Optimization of Measurement Methods in the Assessment of Classified Protection of Cybersecurity

doi:10.3969/j.issn.1671-1122.2020.05.001

Abstract

Abstract:

This paper analyzes the possible impact of the new changes of the national standard in classified protection of cybersecurity in the period of 2.0 on the assessment conclusions, and discusses the limitations of the quantitative analysis methods based on assessment indicators and assessment objects described in the past with actual cases and data, and puts forward the idea of adjusting and optimizing quantitative calculation to produce the assessment conclusions according to the new characteristics of the structure and content of the national standard in classified protection of cybersecurity. The principle of defect deduction and the quantitative calculation method of defect deduction are given, and the difference in the calculation results of various quantitative calculation methods is compared with the example, and the quantitative calculation formula of the assessment conclusion is proposed suitable for the new standard for the reader to analyze and reference.

Key words: classified protection object, classified protection assessment, assessment indicators, assessment objects

CLC Number:

TP309

MA Li. Optimization of Measurement Methods in the Assessment of Classified Protection of Cybersecurity[J]. Netinfo Security, 2020, 20(5): 1-10.

Figures/Tables 16

References 8

[1]	GUO Qiquan. Training Course on Cybersecurity Law and Classified Protection of Cybersecurity(2018 Edition)[M]. Beijing: Publishing House of Electronics Industry, 2018.
	郭启全 . 网络安全法与网络安全等级保护制度培训教程(2018版)[M]. 北京: 电子工业出版社, 2018.
[2]	MA Li . Research on Quantitative Analysis Method in the Assessment of Classified Protection Based on Arithmetic Average[J]. Netinfo Security, 2011(z1):4-7.
[3]	MA Li . Research on the Quantitative Calculation Method Resulting from the Conclusions in the Assessment of Classified Protection of Cybersecurity[J]. Netinfo Security, 2020,20(3):1-7.
[4]	GB/T 22239-2019. Information Security Technology—Baseline for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019.
	GB/T 22239-2019. 信息安全技术网络安全等级保护基本要求[S].北京: 中国标准出版社, 2019.
[5]	GB/T 28448-2019. Information Security Technology—Evaluation Requirement for Classified Protection of Cybersecurity[S]. Beijing: Standards Press of China, 2019.
	GB/T 28448-2019. 信息安全技术网络安全等级保护测评要求[S].北京: 中国标准出版社, 2019.
[6]	ZHANG Peng, XIE Xiaoyao . Determination of Safety Conclusion in Evaluating Information System Based on Cloud Model[J]. Journal of Wuhan Universit(Natural Science Edition), 2014,60(5):429-433.
	张鹏, 谢晓尧 . 基于云模型的信息系统测评安全结论判定[J]. 武汉大学学报(理学版), 2014,60(5):429-433.
[7]	XU Yang, XIE Xiaoyao. Quantification Model of Testing and Evaluation for Classified Protection of Information System Security[M]. Wuhan: Wuhan University Press, 2017.
	徐洋, 谢晓尧 . 信息安全等级保护测评量化模型[M]. 武汉: 武汉大学出版社, 2017.
[8]	TANG Yongli, XU Guoai, NIU Xinxin , et al. Information Security Management Measurement Model Based on AHP[J]. Journal of Liaoning Technical University(Natural Science Edition), 2008,27(4):575-578.

大类		一级	二级	三级	四级
技术要求	安全物理环境	7	10	10	10
	安全通信网络	2	3	3	3
	安全区域边界	3	6	6	6
	安全计算环境	7	10	11	11
	安全管理中心	0	2	4	4
管理要求	安全管理制度	1	4	4	4
	安全管理机构	3	5	5	5
	安全管理人员	4	4	4	4
	安全建设管理	7	10	10	10
	安全运维管理	8	14	14	14
控制点合计	/	42	68	71	71

大类		一级	二级	三级	四级
技术要求	安全物理环境	7	15	22	24
	安全通信网络	2	4	8	11
	安全区域边界	5	11	20	21
	安全计算环境	11	23	34	36
	安全管理中心	0	4	12	13
管理要求	安全管理制度	1	6	7	7
	安全管理机构	3	9	14	15
	安全管理人员	4	7	12	14
	安全建设管理	9	25	34	35
	安全运维管理	13	31	48	52
要求项合计	/	55	135	211	228

测评指标
技术/管理	大类	控制点	要求项（测评指标）
安全技术	安全物理环境	10	15
	安全通信网络	3	4
	安全区域边界	6	11
	安全计算环境	10	23
	安全管理中心	2	4
安全管理	安全管理制度	4	6
	安全管理机构	5	9
	安全管理人员	4	7
	安全建设管理	10	25
	安全运维管理	14	31
合计		68	135

测评指标和测评对象
技术/管理	大类	测评指标	测评对象
安全技术	安全物理环境	15	机房（1个或多个）
	安全通信网络	4	整体网络（1个或多个）
	安全区域边界	11	整体网络（1个或多个）
	安全计算环境	23	网络设备、安全设备等（多个）
	安全管理中心	4	整体管控（1或多个）
安全管理	安全管理制度	6	管理体系（1个或多个）
	安全管理机构	9
	安全管理人员	7
	安全建设管理	25
	安全运维管理	31
合计		135

测评指标和测评对象
技术/管理	大类	测评指标	测评对象
安全技术	安全物理环境	15	机房1个
	安全通信网络	4	整体网络1个
	安全区域边界	11	整体网络1个
	安全计算环境	23	网络设备2台、安全设备1台、服务器1台、终端1台
	安全管理中心	4	整体管控1个
安全管理	安全管理制度	6	管理体系1套
	安全管理机构	9
	安全管理人员	7
	安全建设管理	25
	安全运维管理	31
合计		135	9