等保2.0测评结果分数计算

概述

网络安全等级保护2.0正式实施后，等级测评结论的判定较等保1.0时代的判定方法有着重大的变化。
等级测评报告应给出等级保护对象的等级测评结论，确认等级保护对象达到相应等级保护要求的程度。
应结合各类的测评结论和对单项测评结果的风险分析给出等级测评结论：
a）符合：定级对象中未发现安全问题，等级测评结果中所有测评项的单项测评结果中部分符合和不符合项的统计结果全为0，综合得分为100分。
b）基本符合：定级对象中存在安全问题，部分符合和不符合项的统计结果不全为0，但存在的安全问题不会导致定级对象面临高等级安全风险，且综合得分不低于阈值。
c）不符合：定级对象中存在安全问题，部分符合项和不符合项的统计结果不全为0，而且存在的安全问题会导致定级对象面临高等级安全风险，或者中低风险所占比例超过阀值。
总而言之就是不能存在高风险项，以及分数要达到要求的阈值（一般为70，特殊行业要求会变高）。
本文就等级测评综合得分的计算进行说明。

公式及说明

原版公式：
$$M=100\cdot \left[1-\frac{1}{q}\cdot \sum _{j=1}^q\frac{{\sum }_{k=1}^{p(j)}({\sum }_{i=1}^{m(k)}{\hat{w}}_k+0.5\cdot {\sum }_{i=1}^{m(k)}{w}_k^{\prime })}{{\sum }_{k=1}^{p(j)}{\sum }_{i=1}^{m(k)}{w}_k}\right]$$
其中，$q$为被测对象涉及的安全类，$p(j)$为某一安全类对应的测评项数（不含不适用项），$m(k)$为测评项$k$对应的测评对象数。${\hat{w}}_k$为不符合测评项的权重，$w_k^{\prime }$为部分符合测评项的权重。
在网络安全等级保护基本要求中，共包括10个安全类：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，分别用D1、D2、D3、D4、D5、D6、D7、D8、D9、D10代表10个安全类/层面，其中只有D1、D4会涉及对对象。
因测评项量化集为$(0,0.5,1)$，于是原公式可以写成：

$$\begin{gathered} M=100\cdot \left[1-\frac{1}{q}\cdot \sum _{j=1}^q\frac{{\sum }_{k=1}^{p(j)}{\sum }_{i=1}^{m(k)}(1-x_k)\cdot w_k}{{\sum }_{k=1}^{p(j)}{\sum }_{i=1}^{m(k)}{w}_k}\right] \\ =100\cdot \left[1-\frac{1}{q}(D_1+D_2+\cdots +D_{10})\right]\text{\hspace{1em}(1)} \end{gathered}$$
其中，当$i=2,3,5,6,7,8,9,10$：
$$D_j=\frac{{\sum }_{k=1}^{p(j)}(1-x_k)\cdot w_k}{{\sum }_{k=1}^{p(j)}{w}_k}\text{\hspace{1em}(2)}$$
当$i=1,4$：
$$D_j=\frac{{\sum }_{k=1}^{p(j)}{\sum }_{i=1}^{m(k)}(1-x_k)\cdot w_k}{{\sum }_{k=1}^{p(j)}{\sum }_{i=1}^{m(k)}{w}_k}\text{\hspace{1em}(3)}$$
就是说对于D1和D4，计算会麻烦一点，要针对多个对象。
分子：先求得多个对象在同一测评项的$(1-x_k)$之和，再乘以各测评项的权重。
分母：多对象测评项权重和。

分类计算实例

实例数据纯属虚构，如有雷同，纯属巧合~！

单一对象

上表中，测评结果是根据等保对象是否符合或部分测评要求项是否：符合、部分符合、不符合、不适用得来的。这里不赘述。可信验证可以不要求，所以直接弄不适用。
安全通信网络只计算单一对象，因此根据公式(2)：
$$D2=\frac{0.5+1+1+0.7+0.5}{0.7+0.7+1+1+1+0.7+0.7+1+1+1}=\frac{3.7}{8.8}=0.42$$

多个对象

这里是针对安全计算环境中测评了三个对象，分别是web服务器，数据库db服务器，应用服务器，测评项得分结果见蓝色部分。
分子计算：
先分别计算每个对象的每个测评项的$1-x_k$，不适用的不用算或者记为0，把所有对象每个测评项的$1-x_k$结果进行累加：${\sum }_{i=1}^{m(k)}(1-x_k)$，然后乘上权重：${\sum }_{i=1}^{m(k)}(1-x_k)\cdot w_k$，然后把没个测评项的结果进行累加，结果在上图中的右下角：5.35
分母计算：
将每个测评项的权重按对象个数进行累加：${\sum }_{i=1}^{m(k)}{w}_k$，其中不适用项不加，例如：

这里有三个对象，其中一个对象不适用该测评项，因此权重累加结果为：0.7+0.7=1.4
然后将所有测评项的权重结果累加，结果在上图中的右下角：28.5
最后根据公式(3)：结果为：5.35/28.5=0.187719
PS，安全计算环境测评项很多，这里只列举了其中一小部分。

结果

分类结果计算完毕后，代入公式(1)即可得到结果。