一种新的等级测评综合得分算法研究

doi:10.3969/j.issn.1671-1122.2020.02.001

信息网络安全 ›› 2020, Vol. 20 ›› Issue (2): 1-6.doi: 10.3969/j.issn.1671-1122.2020.02.001

一种新的等级测评综合得分算法研究

黎水林¹(), 祝国邦², 范春玲², 陈广勇¹

1.公安部第三研究所,上海 200031
2.公安部网络安全保卫局,北京 100741

收稿日期:2019-07-10 出版日期:2020-02-10 发布日期:2020-05-11
作者简介:
作者简介：黎水林（1981—）,男,湖北,助理研究员,硕士,主要研究方向为网络安全、等级保护;祝国邦（1979—）男,吉林,副研究员,硕士,主要研究方向为信息技术、网络安全、等级保护;范春玲（1976—）女,吉林,副研究员,硕士,主要研究方向为信息技术、网络安全、等级保护;陈广勇（1973—）,男,天津,副研究员,硕士,主要研究方向为信息技术、网络安全。
基金资助:
国家重点研发计划[2018YFB0803503]

Research on a New Scoring Algorithm of Testing and Evaluation for Classified Cybersecurity Protection

LI Shuilin¹(), ZHU Guobang², FAN Chunling², CHEN Guangyong¹

1. The Third Research Institute of Ministry of Public Security, Shanghai 200031, China
2. Cyber Security Department of the Ministry of Public Security, Beijing 100741, China

Received:2019-07-10 Online:2020-02-10 Published:2020-05-11

摘要/Abstract

摘要：

信息安全等级保护测评报告模版（2015版）给出了信息系统等级测评综合得分算法,但该算法存在计算工作量大、计算结果不影响测评结论的问题。针对2015版等级测评综合得分算法存在的不足,文章提出了一种新的等级测评综合得分算法,该算法缩小了测评项符合程度的得分取值范围,简化了测评项加权得分的计算方法,大幅度降低了等级测评的计算工作量,实现了对信息系统等级测评结论的定量判定。实验结果表明,新的等级测评综合得分算法能够对信息系统进行合理评价,有效提高了等级测评结论的准确性和科学性。

关键词: 网络安全等级保护, 等级测评, 综合得分算法

Abstract:

The report template (2015 edition) gives the scoring algorithm of testing and evaluation for classified cybersecurity protection, however, there are some problems in this algorithm, such as the heavy workload of calculation and the result of calculation does not affect the evaluation conclusion. In this paper, aiming at the problem of scoring algorithm in 2015 edition report template, a new scoring algorithm of classified cybersecurity protection evaluation is proposed. The algorithm reduces the score range of coincidence degree of evaluation items, simplifies the calculation method of weighted score of evaluation items, greatly reduces the computational workload, and realizes the quantitative determination of evaluation conclusion. The experimental results show that the new scoring algorithm achieves a reasonable result in quantitative evaluation of information system, and effectively improves the accuracy and scientificity of evaluation conclusion.

Key words: classified cybersecurity protection, testing and evaluation for classified cybersecurity protection, scoring algorithm

中图分类号:

TP309

黎水林, 祝国邦, 范春玲, 陈广勇. 一种新的等级测评综合得分算法研究[J]. 信息网络安全, 2020, 20(2): 1-6.

LI Shuilin, ZHU Guobang, FAN Chunling, CHEN Guangyong. Research on a New Scoring Algorithm of Testing and Evaluation for Classified Cybersecurity Protection[J]. Netinfo Security, 2020, 20(2): 1-6.

图/表 4

图1

图2

表1

表2

参考文献 11

[1]	Cybersecurity Law of the People’s Republic of China[EB/OL]. , 2016-11-7.
	中华人民共和国网络安全法[EB/OL]. , 2016-11-7.
[2]	GUO Qiquan.Training Course on Cybersecurity Law and Classified Protection of Cybersecurity(2018 Edition)[M]. Beijing: Publishing House of Electronics Industry, 2018
	郭启全. 网络安全法与网络安全等级保护制度培训教程(2018版)[M].北京:电子工业出版社,2018.
[3]	ZHANG Yuxiang, TAO Yuan.Construction of Critical Information Infrastructure Protection System Based on Classified Protection and Trusted Computing[J]. Journal of Information Security Research, 2017, 3(4): 375-381.
	张宇翔,陶源.基于等级保护与可信计算构建我国关键信息基础设施保障体系[J]. 信息安全研究,2017,3(4):375-381.
[4]	ZHANG Peng, XIE Xiaoyao.Determination of Safety Conclusion in Evaluating Information System Based on Cloud Model[J]. Journal of Wuhan Universit(Natural Science Edition), 2014, 60(5): 429-433.
	张鹏,谢晓尧.基于云模型的信息系统测评安全结论判定[J]. 武汉大学学报(理学版),2014,60(5):429-433.
[5]	WANG Tian, XU Hui, WEI Lihao, et al.Risk Quantified Evaluation Method and Platform Design for Graded Protection[J]. Computer Engineering and Design, 2012, 33(5): 1761-1766.
	王甜,徐晖,魏理豪,等.量化风险的等级保护测评方法及平台设计[J]. 计算机工程与设计,2012,33(5):1761-1766.
[6]	TANG Yongli, XU Guoai, NIU Xinxin, et al.Information Security Management Measurement Model Based on AHP[J]. Journal of Liaoning Technical University (Natural Science Edition), 2008, 27(4): 575-578.
	汤永利,徐国爱,钮心忻,等.基于AHP的信息安全管理测量模型[J]. 辽宁工程技术大学学报(自然科学版),2008,27(4):575-578.
[7]	DENG Yong, SHI Huawang.A Grey Model for Evaluation of Information Systems Security[J]. Journal of Computers, 2012, 7(1): 284-291.
[8]	YAN Qiang, CHEN Zhong, DUAN Yunsuo, et al.Information System Security Metrics and Evaluation Model[J]. ACTA Electronica Sinica, 2003, 31(9): 1351-1355.
	闫强,陈钟,段云所,等.信息系统安全度量与评估模型[J]. 电子学报,2003,31(9):1351-1355.
[9]	XU Yang, XIE Xiaoyao.Quantification Model of Testing and Evaluation for Classified Protection of Information System Security[M]. Wuhan: Wuhan University Press, 2017.
	徐洋,谢晓尧.信息安全等级保护测评量化模型[M].武汉:武汉大学出版社,2017.
[10]	GB/T 28448-2019B/T 28448-2019. Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019.
	GB/T 28448-2019B/T 28448-2019.信息安全技术网络安全等级保护测评要求[S].北京:中国标准出版社,2019.
[11]	GB/T 22239-2019B/T 22239-2019. Information Security Technology—Baseline for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019.
	GB/T 22239-2019B/T 22239-2019.信息安全技术网络安全等级保护基本要求[S].北京:中国标准出版社,2019.

测评结论	判别依据
优	被测信息系统综合得分90分以上（含90分）
良	被测信息系统综合得分80分以上（含80分）
中	被测信息系统综合得分70分以上（含70分）
差	被测信息系统综合得分低于70分

类别	总测评项	安全通信网络		安全计算环境		综合得分
类别	总测评项	不符合	部分符合	不符合	部分符合	综合得分
场景1	211	0	0	4	6	97.91
场景2	211	0	0	10	10	95.70
场景3	211	0	0	16	14	93.58
场景4	517	0	0	190	140	92.60
场景5	211	2	2	16	14	89.89

[1]	马力. 网络安全等级保护测评中结论产生的定量计算方法研究[J]. 信息网络安全, 2020, 20(3): 1-8.
[2]	陈广勇, 祝国邦, 范春玲. 《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）标准解读[J]. 信息网络安全, 2019, 19(7): 1-8.
[3]	张振峰, 张志文, 王睿超. 网络安全等级保护2.0云计算安全合规能力模型[J]. 信息网络安全, 2019, 19(11): 1-7.
[4]	黎水林, 陈广勇, 陶源. 网络安全等级保护测评中网络和通信安全测评研究[J]. 信息网络安全, 2018, 18(9): 19-24.
[5]	袁静;任卫红;朱建平. 等级测评中关键安全保护功能有效性测评技术研究[J]. , 2013, 13(1): 0-0.
[6]	王心玉. PMBOK在信息安全等级测评项目中的应用[J]. , 2012, 12(Z): 0-0.
[7]	沈昭华. 等级保护测评库的建立与完善工作探讨[J]. , 2012, 12(Z): 0-0.
[8]	庄建儿. 浅谈如何推进地市信息安全等级保护工作[J]. , 2012, 12(Z): 0-0.
[9]	许晓晨;张懿. 浅谈等级测评工作中信息收集与分析的开展[J]. , 2012, 12(Z): 0-0.
[10]	汪志. 新技术对测评技术的影响[J]. , 2012, 12(Z): 0-0.
[11]	公安部信息安全等级保护评估中心. 网络设备配置安全检查的难点与自动化工具的实际应用[J]. , 2012, 12(Z): 0-0.
[12]	肖国煜. 信息系统等级保护测评实践[J]. , 2011, 11(7): 0-0.
[13]	公安部网络安全保卫局. 2010年信息安全等级保护工作加快推进成效显著有力促进了国家信息安全保障工作的深入开展[J]. , 2011, 11(1): 0-0.
[14]	袁静;任卫红;李明. 基于测评知识库的自动评价系统研究[J]. , 2010, (9): 0-0.
[15]	张晓丽;朱建平;罗峥. 信息安全等级测评师素质模型分析[J]. , 2010, (12): 0-0.

一种新的等级测评综合得分算法研究

Research on a New Scoring Algorithm of Testing and Evaluation for Classified Cybersecurity Protection

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 4

参考文献 11

相关文章 15

编辑推荐

Metrics

本文评价