网络安全等级保护2.0等级测评结论判定方法

网络安全等级保护2.0正式实施后，等级测评结论的判定较等保1.0时代的判定方法有着重大的变化，本篇对等保2.0时代等级测评结论的判定方法进行概述。

结论

等级测评综合得分依据综合得分计算公式给出，等级测评结论由综合得分和被测对象面临的风险等级综合决定。

即，网络安全等级保护2.0等级测评结论的判定是定性加定量的综合评价，其中：

定性：被测对象面临的风险等级；

定量：综合得分（可看做“被测指标符合率”）。

解答

等级保护综合得分综合得分计算公式：

在网络安全等级保护基本要求中，共包括10个安全类：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，分别用D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表10个安全类，也就是说只有D1、D4会涉及对对象。

因测评项量化集为（0，0.5, 1），于是报告模板中的公式可以写成：

在网络安全等级保护2.0中，可信计算为可，暂不计入算分。D3、D5、D6、D7、D8、D9、D10的计算方法同D2，而D1，D4涉及多对象、多类对象，详细计算方法如下：

如安全通信网络这一安全类中，可求得D2：

于是可得：

被测对象面临的风险等级：

风险评估方法有两种：

i.定性分析

定性分析基于测评师的经验给出，同时可参考高风险判例指引得出，但存在一定的主观性和不可控性。

ii.定量分析

当前暂未有较优的量化方法，从定性到定量有一定的难度。本文参考GB/T 20984-XXXX信息安全风险评估规范中关于风险的评判方法，结合网络安全等级测评中发现的安全问题进行风险评判。

风险分析方法

基于网络安全等级保护测评工作，可以识别等级保护对象面临的风险，在风险识别基础上开展风险分析，风险分析应：

a)根据威胁出现的可能性及脆弱性被利用的可能性的基础上，确定安全事件发生的可能性；
b)根据脆弱性的严重程度及其作用的资产重要性，确定安全事件发生后的损失；
c)根据安全事件发生的可能性以及安全事件发生后造成的损失，确定被评估对象面临的风险。

基于上述风险分析方法，结合GB/T 20984-XXXX中附录F.２相乘法给出网络安全等级测评中的风险分析方法。

1.脆弱性等级

基于网络安全等级保护测评发现的安全问题，分析安全问题的严重程度，识别脆弱性等级Ａ。Ａ可根据安全问题的严重程度对脆弱性进行（１～５）赋值，Ａ＝｛１，２，３，４，５｝；

2.关联资产等级

安全问题关联资产，根据资产的重要性确定资产等级Ｂ，Ｂ可基于资产的完整性、保密性、可用性（Ｃ、Ｉ、Ａ）进行（１～５）赋值，Ｂ＝｛１，２，３，４，５｝；

3.威胁安全级别

基于安全问题关联的威胁发生的可能性Ｃ进行（１～５）赋值，Ｃ＝｛１，２，３，４，５｝；

4.安全事件发生的可能性

安全事件发生的可能性Ｄ是基于威胁出现的可能性Ｃ及脆弱性被利用的可能性Ｂ求得，利用相乘法，可得：

5.安全事件发生后的损失

安全事件发生的损失Ｅ基于脆弱性的严重程度Ａ及其关联资产重要性Ｂ求得，可得：

6.评估对象面临的风险

安全事件的风险值基于安全事件发生的可能性Ｄ以及安全事件发生后造成的损失Ｅ求得，可得：

综合可得：

基于上述方法可得到安全问题的风险级别以及被测等级保护对象面临的安全问题的风险等级。

等级测评结论判定方法

1)等级测评结论为优，当满足下列某一情形时：

a)被测等级保护对象存在低风险，被测等级保护对象得分大于等于90分；
b)被测等级保护对象不存在中、高风险。

2)等级测评结论为良，当满足下列某一情形时：

a)被测等级保护对象存在中风险，得分大于等于８0分；
b)被测等级保护对象存在低风险，得分介于８０分与９０分（不含９０分）之间。

3)等级测评结论为中，当满足下列情形时：

a)被测等级保护对象无高风险，得分介于７0分与８０分（不含８０分）之间。

4)等级测评结论为差，当满足下列某一情形时：

a)被测等级保护对象存在高风险；
b)被测等级保护对象无高风险，得分介于６0分与７０分（不含７０分）之间。

等级测评综合判断矩阵表：

*本文原创作者：艾尔等保之道，本文属于FreeBuf原创奖励计划，未经许可禁止转载