信息网络安全 ›› 2020, Vol. 20 ›› Issue (5): 1-10.doi: 10.3969/j.issn.1671-1122.2020.05.001
收稿日期:
2019-12-15
出版日期:
2020-05-10
发布日期:
2020-06-05
通讯作者:
马力
E-mail:mali@cspec.org.cn
作者简介:
马力(1963—),男,江苏,副研究员,硕士,主要研究方向为信息技术、网络安全、等级保护。
Received:
2019-12-15
Online:
2020-05-10
Published:
2020-06-05
Contact:
Li MA
E-mail:mali@cspec.org.cn
摘要:
文章分析了网络安全等级保护2.0时期国家标准的新变化对等级测评结论可能产生的影响,并用实际案例和数据论述了以往描述的基于测评指标和基于测评对象的定量分析方法存在的局限性。根据网络安全等级保护国家标准结构和内容的新特点,结合新的等级测评结论表述方法,文章提出了调整和优化定量计算产生等级测评结论的思路,给出了缺陷扣分的原理和缺陷扣分的定量计算方法,并比较了各种定量计算方法在计算结果上的差异,提出了适合新标准的测评结论定量计算公式。
中图分类号:
马力. 网络安全等级保护测评中测评结论的度量方法优化[J]. 信息网络安全, 2020, 20(5): 1-10.
MA Li. Optimization of Measurement Methods in the Assessment of Classified Protection of Cybersecurity[J]. Netinfo Security, 2020, 20(5): 1-10.
表6
场景条件举例1
场景条件 | |
---|---|
情况1 | 所有指标均为部分符合,全部指标赋值80 |
情况2 | 安全物理环境类所有指标均为不符合,其他指标均为符合 |
情况3 | 安全通信网络和安全区域边界类指标均为不符合,其他指标均为符合 |
情况4 | 安全计算环境类指标均为不符合,其他指标均为符合 |
情况5 | 安全运维管理类指标均为不符合,其他指标均为符合 |
情况6 | 安全管理类指标均为不符合,安全技术类指标均为符合 |
情况7 | 安全技术类指标均为不符合,安全管理类指标均为符合 |
情况8 | 有10%的一般指标(14个)为不符合,其他指标均为符合 |
情况9 | 有10%的重要指标(14个)为不符合,其他指标均为符合 |
情况10 | 有10%的关键指标(14个)为不符合,其他指标均为符合 |
表7
计算结果举例1
场景 条件 | 测评指标权重相同 测评对象权重相同 | 测评指标权重不同 测评对象权重相同 | 测评指标权重不同 测评对象权重不同 | |||
---|---|---|---|---|---|---|
公式(1) | 公式(2) | 公式(1) | 公式(2) | 公式(1) | 公式(2) | |
情况1 | 80.00 | 80.00 | 80.00 | 80.00 | 80.00 | 80.00 |
情况2 | 88.89 | 88.89 | 88.89 | 88.89 | 86.96 | 88.89 |
情况3 | 88.89 | 88.89 | 88.89 | 88.89 | 86.96 | 88.89 |
情况4 | 44.44 | 82.96 | 44.44 | 82.64 | 52.17 | 82.64 |
情况5 | 95.58 | 77.04 | 95.80 | 78.47 | 95.07 | 78.47 |
情况6 | 88.89 | 42.22 | 88.89 | 43.06 | 86.96 | 43.06 |
情况7 | 11.11 | 57.78 | 11.11 | 56.94 | 13.04 | 56.94 |
情况8 | 90.47 | 89.63 | 95.57 | 95.14 | 95.49 | 95.14 |
情况9 | 90.47 | 89.63 | 91.13 | 90.28 | 90.98 | 90.28 |
情况10 | 90.47 | 89.63 | 86.70 | 85.42 | 86.48 | 85.42 |
表8
场景条件举例2
场景条件 | |
---|---|
情况11 | 各个大类下均有一个一般指标和一个重要指标不符合 |
情况12 | 各个大类下均有一个重要指标和一个关键指标不符合 |
情况13 | 各个大类下均有一个一般指标不符合和一个重要指标存在瑕疵(80分) |
情况14 | 各个大类下均有一个重要指标不符合和一个关键指标存在瑕疵(80分) |
情况15 | 各个大类下均有一个重要指标和一个关键指标存在问题(40分) |
情况16 | 有5%(7个)的一般指标不符合,5%(7个)的重要指标存在问题(40分) |
情况17 | 有5%(7个)的重要指标存在问题(40分),5%(7个)的重要指标存在瑕疵(80分) |
情况18 | 有5%(7个)的重要指标不符合,5%(7个)的关键指标存在问题(40分) |
情况19 | 有5%(7个)的重要指标存在问题(40分),5%(7个)的关键指标存在瑕疵(80分) |
情况20 | 有5%(7个)的重要指标存在瑕疵(80分),5%(7个)的关键指标存在瑕疵(80分) |
表9
计算结果举例2
场景 条件 | 测评指标权重相同 测评对象权重相同 | 测评指标权重不同 测评对象权重相同 | 测评指标权重不同 测评对象权重不同 | |||
---|---|---|---|---|---|---|
公式(1) | 公式(2) | 公式(1) | 公式(2) | 公式(1) | 公式(2) | |
情况11 | 83.74 | 85.19 | 90.30 | 89.93 | 89.66 | 89.93 |
情况12 | 83.74 | 85.19 | 83.90 | 83.02 | 83.20 | 83.33 |
情况13 | 90.25 | 91.11 | 96.07 | 95.49 | 95.87 | 95.49 |
情况14 | 90.25 | 91.11 | 92.86 | 91.67 | 92.52 | 91.67 |
情况15 | 90.25 | 91.11 | 91.19 | 90.21 | 90.70 | 90.21 |
情况16 | 88.35 | 91.70 | 95.43 | 94.65 | 95.40 | 94.65 |
情况17 | 93.84 | 95.85 | 96.68 | 96.11 | 96.66 | 96.11 |
情况18 | 88.35 | 91.70 | 92.11 | 90.76 | 92.06 | 90.76 |
情况19 | 93.84 | 95.85 | 96.26 | 95.63 | 96.24 | 95.63 |
情况20 | 96.92 | 97.93 | 97.92 | 97.57 | 97.91 | 97.57 |
表10
第1组数据等级保护对象定量计算结果
场景 条件 | 定性 结果 | 测评指标权重相同 测评对象权重相同 | 测评指标权重不同 测评对象权重相同 | 测评指标权重不同 测评对象权重不同 | |||
---|---|---|---|---|---|---|---|
公式(1) | 公式(2) | 公式(1) | 公式(2) | 公式(1) | 公式(2) | ||
情况1 | 差 | 良 | 良 | 良 | 良 | 良 | 良 |
情况2 | 差 | 良 | 良 | 良 | 良 | 良 | 良 |
情况3 | 差 | 良 | 良 | 良 | 良 | 良 | 良 |
情况4 | 差 | 差 | 良 | 差 | 良 | 差 | 良 |
情况5 | 差 | 优 | 中 | 优 | 中 | 优 | 中 |
情况6 | 差 | 良 | 差 | 良 | 差 | 良 | 差 |
情况7 | 差 | 差 | 差 | 差 | 差 | 差 | 差 |
情况8 | 良 | 优 | 优 | 优 | 优 | 优 | 优 |
情况9 | 中 | 优 | 优 | 优 | 优 | 优 | 优 |
情况10 | 中/差 | 优 | 优 | 良 | 良 | 良 | 良 |
表11
第2组数据等级保护对象定量计算结果
场景 条件 | 定性结果 | 测评指标权重相同 测评对象权重相同 | 测评指标权重不同 测评对象权重相同 | 测评指标权重不同 测评对象权重不同 | |||
---|---|---|---|---|---|---|---|
公式(1) | 公式(2) | 公式(1) | 公式(2) | 公式(1) | 公式(2) | ||
情况11 | 中 | 良 | 良 | 优 | 优 | 优 | 优 |
情况12 | 差 | 良 | 良 | 良 | 良 | 良 | 良 |
情况13 | 良 | 优 | 优 | 优 | 优 | 优 | 优 |
情况14 | 中 | 优 | 优 | 优 | 优 | 优 | 优 |
情况15 | 差 | 优 | 优 | 优 | 优 | 优 | 优 |
情况16 | 良 | 良 | 优 | 优 | 优 | 优 | 优 |
情况17 | 良 | 优 | 优 | 优 | 优 | 优 | 优 |
情况18 | 中 | 良 | 优 | 优 | 优 | 优 | 优 |
情况19 | 良 | 优 | 优 | 优 | 优 | 优 | 优 |
情况20 | 良 | 优 | 优 | 优 | 优 | 优 | 优 |
表12
第1组数据定量计算结果
场景 条件 | 测评指标权重不同 测评对象权重不同 | |||||
---|---|---|---|---|---|---|
公式(1) | 公式(2) | 公式(3) | 公式(4) | 公式(5) | 公式(6) | |
情况1 | 80.00 | 80.00 | 50.00 | -5.75 | 50.00 | -5.75 |
情况2 | 86.96 | 88.89 | 88.89 | 76.50 | 78.89 | 66.50 |
情况3 | 86.96 | 88.89 | 88.89 | 76.50 | 68.89 | 56.50 |
情况4 | 52.17 | 82.64 | 82.64 | 63.50 | 72.64 | 53.50 |
情况5 | 95.07 | 78.47 | 78.47 | 53.50 | 68.47 | 43.50 |
情况6 | 86.96 | 43.06 | 43.06 | -21.00 | -6.94 | -71.00 |
情况7 | 13.04 | 56.94 | 56.94 | 9.50 | 6.94 | -40.50 |
情况8 | 95.49 | 95.14 | 95.14 | 86.00 | 95.14 | 86.00 |
情况9 | 90.98 | 90.28 | 90.28 | 79.00 | 90.28 | 79.00 |
情况10 | 86.48 | 85.42 | 85.42 | 72.00 | 85.42 | 72.00 |
表14
第2组数据定量计算结果
场景 条件 | 测评指标权重不同 测评对象权重不同 | |||||
---|---|---|---|---|---|---|
公式(1) | 公式(2) | 公式(3) | 公式(4) | 公式(5) | 公式(6) | |
情况11 | 89.66 | 89.93 | 89.93 | 76.00 | 89.93 | 76.00 |
情况12 | 83.20 | 83.33 | 83.33 | 66.50 | 83.33 | 66.50 |
情况13 | 95.87 | 95.49 | 93.40 | 83.50 | 93.40 | 83.50 |
情况14 | 92.52 | 91.67 | 88.54 | 76.50 | 88.54 | 76.50 |
情况15 | 90.70 | 90.21 | 83.68 | 67.00 | 83.68 | 67.00 |
情况16 | 95.40 | 94.65 | 92.71 | 82.50 | 92.71 | 82.50 |
情况17 | 96.66 | 96.11 | 92.71 | 84.25 | 92.71 | 84.25 |
情况18 | 92.06 | 90.76 | 87.85 | 75.50 | 87.85 | 75.50 |
情况19 | 96.24 | 95.63 | 91.49 | 82.50 | 91.49 | 82.50 |
情况20 | 97.91 | 97.57 | 93.92 | 87.75 | 93.92 | 87.75 |
[1] | GUO Qiquan. Training Course on Cybersecurity Law and Classified Protection of Cybersecurity(2018 Edition)[M]. Beijing: Publishing House of Electronics Industry, 2018. |
郭启全 . 网络安全法与网络安全等级保护制度培训教程(2018版)[M]. 北京: 电子工业出版社, 2018. | |
[2] | MA Li . Research on Quantitative Analysis Method in the Assessment of Classified Protection Based on Arithmetic Average[J]. Netinfo Security, 2011(z1):4-7. |
[3] | MA Li . Research on the Quantitative Calculation Method Resulting from the Conclusions in the Assessment of Classified Protection of Cybersecurity[J]. Netinfo Security, 2020,20(3):1-7. |
[4] | GB/T 22239-2019. Information Security Technology—Baseline for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019. |
GB/T 22239-2019. 信息安全技术网络安全等级保护基本要求[S].北京: 中国标准出版社, 2019. | |
[5] | GB/T 28448-2019. Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019. |
GB/T 28448-2019. 信息安全技术网络安全等级保护测评要求[S].北京: 中国标准出版社, 2019. | |
[6] | ZHANG Peng, XIE Xiaoyao . Determination of Safety Conclusion in Evaluating Information System Based on Cloud Model[J]. Journal of Wuhan Universit(Natural Science Edition), 2014,60(5):429-433. |
张鹏, 谢晓尧 . 基于云模型的信息系统测评安全结论判定[J]. 武汉大学学报(理学版), 2014,60(5):429-433. | |
[7] | XU Yang, XIE Xiaoyao. Quantification Model of Testing and Evaluation for Classified Protection of Information System Security[M]. Wuhan: Wuhan University Press, 2017. |
徐洋, 谢晓尧 . 信息安全等级保护测评量化模型[M]. 武汉: 武汉大学出版社, 2017. | |
[8] | TANG Yongli, XU Guoai, NIU Xinxin , et al. Information Security Management Measurement Model Based on AHP[J]. Journal of Liaoning Technical University(Natural Science Edition), 2008,27(4):575-578. |
[1] | 马力. 网络安全等级保护测评中结论产生的定量计算方法研究[J]. 信息网络安全, 2020, 20(3): 1-8. |
[2] | 陈广勇, 祝国邦, 范春玲. 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)标准解读[J]. 信息网络安全, 2019, 19(7): 1-8. |
[3] | 马力, 祝国邦, 陆磊. 《网络安全等级保护基本要求》(GB/T 22239-2019)标准解读[J]. 信息网络安全, 2019, 19(2): 77-84. |
[4] | 赵继军;陈伟. 一种基于云安全模型的信息系统安全等级保护测评方法[J]. , 2013, 13(Z): 0-0. |
[5] | 张剑. 一种基于三维分类的现场测评模式[J]. , 2013, 13(Z): 0-0. |
[6] | 夏拥军;杜文琦. 浅谈MAP2DR2安全模型在等级保护下的应用[J]. , 2013, 13(10): 0-0. |
[7] | 刘越男. 虚拟化技术在等保测评中的应用研究[J]. , 2012, 12(Z): 0-0. |
[8] | 李科. 服务器操作系统的测评方法[J]. , 2012, 12(Z): 0-0. |
[9] | 方舟;黄俊强;王希忠. 基于粗糙集神经网络的信息安全等保测评方法[J]. , 2012, 12(Z): 0-0. |
阅读次数 | ||||||||||||||||||||||||||||||||||||||||||||||||||
全文 738
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||
摘要 931
|
|
|||||||||||||||||||||||||||||||||||||||||||||||||