网络安全等级保护测评中测评结论的度量方法优化

doi:10.3969/j.issn.1671-1122.2020.05.001

摘要/Abstract

摘要：

文章分析了网络安全等级保护2.0时期国家标准的新变化对等级测评结论可能产生的影响,并用实际案例和数据论述了以往描述的基于测评指标和基于测评对象的定量分析方法存在的局限性。根据网络安全等级保护国家标准结构和内容的新特点,结合新的等级测评结论表述方法,文章提出了调整和优化定量计算产生等级测评结论的思路,给出了缺陷扣分的原理和缺陷扣分的定量计算方法,并比较了各种定量计算方法在计算结果上的差异,提出了适合新标准的测评结论定量计算公式。

关键词: 等级保护对象, 等级保护测评, 测评指标, 测评对象

Abstract:

This paper analyzes the possible impact of the new changes of the national standard in classified protection of cybersecurity in the period of 2.0 on the assessment conclusions, and discusses the limitations of the quantitative analysis methods based on assessment indicators and assessment objects described in the past with actual cases and data, and puts forward the idea of adjusting and optimizing quantitative calculation to produce the assessment conclusions according to the new characteristics of the structure and content of the national standard in classified protection of cybersecurity. The principle of defect deduction and the quantitative calculation method of defect deduction are given, and the difference in the calculation results of various quantitative calculation methods is compared with the example, and the quantitative calculation formula of the assessment conclusion is proposed suitable for the new standard for the reader to analyze and reference.

Key words: classified protection object, classified protection assessment, assessment indicators, assessment objects

中图分类号:

TP309

马力. 网络安全等级保护测评中测评结论的度量方法优化[J]. 信息网络安全, 2020, 20(5): 1-10.

MA Li. Optimization of Measurement Methods in the Assessment of Classified Protection of Cybersecurity[J]. Netinfo Security, 2020, 20(5): 1-10.

图/表 16

图1

表1

表2

表3

表4

表5

表6

表7

表8

表9

表10

表11

表12

表13

表14

表15

参考文献 8

[1]	GUO Qiquan. Training Course on Cybersecurity Law and Classified Protection of Cybersecurity(2018 Edition)[M]. Beijing: Publishing House of Electronics Industry, 2018.
	郭启全 . 网络安全法与网络安全等级保护制度培训教程(2018版)[M]. 北京: 电子工业出版社, 2018.
[2]	MA Li . Research on Quantitative Analysis Method in the Assessment of Classified Protection Based on Arithmetic Average[J]. Netinfo Security, 2011(z1):4-7.
[3]	MA Li . Research on the Quantitative Calculation Method Resulting from the Conclusions in the Assessment of Classified Protection of Cybersecurity[J]. Netinfo Security, 2020,20(3):1-7.
[4]	GB/T 22239-2019. Information Security Technology—Baseline for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019.
	GB/T 22239-2019. 信息安全技术网络安全等级保护基本要求[S].北京: 中国标准出版社, 2019.
[5]	GB/T 28448-2019. Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019.
	GB/T 28448-2019. 信息安全技术网络安全等级保护测评要求[S].北京: 中国标准出版社, 2019.
[6]	ZHANG Peng, XIE Xiaoyao . Determination of Safety Conclusion in Evaluating Information System Based on Cloud Model[J]. Journal of Wuhan Universit(Natural Science Edition), 2014,60(5):429-433.
	张鹏, 谢晓尧 . 基于云模型的信息系统测评安全结论判定[J]. 武汉大学学报(理学版), 2014,60(5):429-433.
[7]	XU Yang, XIE Xiaoyao. Quantification Model of Testing and Evaluation for Classified Protection of Information System Security[M]. Wuhan: Wuhan University Press, 2017.
	徐洋, 谢晓尧 . 信息安全等级保护测评量化模型[M]. 武汉: 武汉大学出版社, 2017.
[8]	TANG Yongli, XU Guoai, NIU Xinxin , et al. Information Security Management Measurement Model Based on AHP[J]. Journal of Liaoning Technical University(Natural Science Edition), 2008,27(4):575-578.

大类		一级	二级	三级	四级
技术要求	安全物理环境	7	10	10	10
	安全通信网络	2	3	3	3
	安全区域边界	3	6	6	6
	安全计算环境	7	10	11	11
	安全管理中心	0	2	4	4
管理要求	安全管理制度	1	4	4	4
	安全管理机构	3	5	5	5
	安全管理人员	4	4	4	4
	安全建设管理	7	10	10	10
	安全运维管理	8	14	14	14
控制点合计	/	42	68	71	71

大类		一级	二级	三级	四级
技术要求	安全物理环境	7	15	22	24
	安全通信网络	2	4	8	11
	安全区域边界	5	11	20	21
	安全计算环境	11	23	34	36
	安全管理中心	0	4	12	13
管理要求	安全管理制度	1	6	7	7
	安全管理机构	3	9	14	15
	安全管理人员	4	7	12	14
	安全建设管理	9	25	34	35
	安全运维管理	13	31	48	52
要求项合计	/	55	135	211	228

测评指标
技术/管理	大类	控制点	要求项（测评指标）
安全技术	安全物理环境	10	15
	安全通信网络	3	4
	安全区域边界	6	11
	安全计算环境	10	23
	安全管理中心	2	4
安全管理	安全管理制度	4	6
	安全管理机构	5	9
	安全管理人员	4	7
	安全建设管理	10	25
	安全运维管理	14	31
合计		68	135

测评指标和测评对象
技术/管理	大类	测评指标	测评对象
安全技术	安全物理环境	15	机房（1个或多个）
	安全通信网络	4	整体网络（1个或多个）
	安全区域边界	11	整体网络（1个或多个）
	安全计算环境	23	网络设备、安全设备等（多个）
	安全管理中心	4	整体管控（1或多个）
安全管理	安全管理制度	6	管理体系（1个或多个）
	安全管理机构	9
	安全管理人员	7
	安全建设管理	25
	安全运维管理	31
合计		135

测评指标和测评对象
技术/管理	大类	测评指标	测评对象
安全技术	安全物理环境	15	机房1个
	安全通信网络	4	整体网络1个
	安全区域边界	11	整体网络1个
	安全计算环境	23	网络设备2台、安全设备1台、服务器1台、终端1台
	安全管理中心	4	整体管控1个
安全管理	安全管理制度	6	管理体系1套
	安全管理机构	9
	安全管理人员	7
	安全建设管理	25
	安全运维管理	31
合计		135	9