版测评报告计算过程.docx

版测评报告计算过程.docx

《版测评报告计算过程.docx》由会员分享，可在线阅读，更多相关《版测评报告计算过程.docx（13页珍藏版）》请在冰豆网上搜索。

版测评报告计算过程

1.1物理安全

1.1.1结果记录

测评对象

安全控制点

测评指标

结果记录

符合程度

机房1

物理位置的选择

A项）.......

机房位置合理

5

B项）.......

机房无用水设施

5

物理访问控制

…

机房2

物理位置的选择

A项）.......

机房设置在顶楼

4

B项）.......

机房有水管穿过，没有采取封闭措施。

2

物理访问控制

…

机房3

物理位置的选择

A项）.......

机房在办公大楼中层，办公大楼建筑年限过久，没有防震证明。

3

B项）.......

机房有水管穿过，但已采取封闭措施。

4

物理访问控制

…

1.1.2结果汇总

针对不同安全控制点对单个测评对象在物理安全层面的单项测评结果进行汇总和统计。

表4-1物理安全-单元测评结果汇总表

序号

测评

对象

符合

情况

安全控制点

物理位置的选择

物理访问控制

防盗窃和防破坏

防雷击

防火

防水和防潮

防静电

温湿度控制

电力供应

电磁屏蔽

1

机房1

符合

2

部分

符合

0

不符合

0

不适用

0

2

机房2

符合

0

部分

符合

2

不符合

0

不适用

0

3

机房3

符合

0

部分

符合

2

不符合

0

不适用

0

1.1.3控制点符合情况汇总

根据附录A中测评项的符合程度得分，以算术平均法合并多个测评对象在同一测评项的得分，得到各测评项的多对象平均分。

根据测评项权重（参见附件《测评项权重赋值表》，其他情况的权重赋值另行发布），以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的5分制得分。

控制点得分

，n为同一控制点下的测评项数，不含不适用的控制点和测评项。

以表格形式汇总测评结果，表格以不同颜色对测评结果进行区分，部分符合（安全控制点得分在0分和5分之间，不等于0分或5分）的安全控制点采用黄色标识，不符合（安全控制点得分为0分）的安全控制点采用红色标识。

表4-*单元测评结果分类统计表

序号

安全层面

安全控制点

安全控制点得分

符合情况

符合

部分符合

不符合

不适用

1

物理安全

物理位置的选择

3.77

√

2

物理访问控制

3

防盗窃和防破坏

4

防雷击

序号

控制点得分计算过程实例

1

三级“物理安全”-“物理位置选择”控制点有AB两个测评项，测评了三个机房，A项得分分别为5、4、3，

B项分别得分是5、2、4。

（见4.1.1章节）

控制点得分计算过程如下：

1）计算各测评项的多对象平均分

 A项的多对象平均分=（5+4+3）/3=4

 B项的多对象平均分=（5+2+4）/3=3.67

2）所有测评项的多对象平均分的加权之和（查表得知A项权重0.2，B项权重0.5）

  4*0.2+3.67*0.5=0.8+1.84=2.64

3）计算测评项的权重和:

  0.2+0.5=0.7

4）计算控制点的得分

  2.64/0.7=3.77

因此，三级“物理安全”-“物理位置选择”控制点的得分是3.77，结果为“部分符合”。

（上述计算过程中，计算结果四舍五入后取到小数点后2位。

）

序号

控制点得分计算过程实例2（有不适用项）

1

三级“物理安全”-“物理位置选择”控制点有AB两个测评项，测评了三个机房，A项得分分别为5、4、不适用，

B项分别得分是5、2、4。

控制点得分计算过程如下：

1）计算各测评项的多对象平均分

 A项的多对象平均分=（5+4）/2=4.5

 B项的多对象平均分=（5+2+4）/3=3.67

2）所有测评项的多对象平均分的加权之和（查表得知A项权重0.2，B项权重0.5）

  4.5*0.2+3.67*0.5=0.9+1.84=2.74

3）计算测评项的权重算术平均分:

  0.2+0.5=0.7

4）计算控制点的得分

  2.74/0.7=3.91

因此，三级“物理安全”-“物理位置选择”控制点的得分是3.91，结果为“部分符合”。

（上述计算过程中，计算结果四舍五入后取到小数点后2位。

）

1.1.4安全问题汇总

针对单元测评结果中存在的部分符合项或不符合项加以汇总，形成安全问题列表并计算其严重程度值。

依其严重程度取值为1~5，最严重的取值为5。

安全问题严重程度值是基于对应的测评项权重并结合附录A中对应测评项的符合程度进行的。

具体计算公式如下：

安全问题严重程度值=（5-测评项符合程度得分）×测评项权重。

表4-4安全问题汇总表

问题编号

安全问题

测评对象

安全层面

安全控制点

测评项

测评项权重

问题严重程度值

1

机房设置在顶楼

机房2

物理安全

物理位置选择

A项...

0.2

（5-4）*0.2=0.2

2

机房有水管穿过，没有采取封闭措施。

机房2

物理安全

物理位置选择

B项...

0.5

（5-2）*0.5=1.5

3

机房在办公大楼中层，办公大楼建筑年限过久，没有防震证明。

机房3

物理安全

物理位置选择

A项...

0.2

（5-3）*0.2=0.4

4

机房有水管穿过，但已采取封闭措施。

机房3

物理安全

物理位置选择

B项...

0.5

（5-4）*0.5=0.5

1.2整体测评结果汇总

根据整体测评结果，修改安全问题汇总表中的问题严重程度值及对应的修正后测评项符合程度得分，并形成修改后的安全问题汇总表（仅包括有所修正的安全问题）。

可根据整体测评安全控制措施对安全问题的弥补程度将修正因子设为0.5~0.9。

修正后问题严重程度值=修正前的问题严重程度值×修正因子。

修正后测评项符合程度=5-修正后问题严重程度值/测评项权重。

表5-1修正后的安全问题汇总表

序号

问题编号

安全问题描述

测评项

权重

整体测

评描述

修正

因子

修正后问题严重程度值

修正后测评项符合程度

1

1

机房设置在顶楼

0.2

Xxxx

0.9

0.2*0.9=0.18

5-0.18/0.2=5-0.9=4.1

2

2

机房有水管穿过，没有采取封闭措施。

0.5

Xxxx

0.9

1.5*0.9=1.35

5-1.35/0.5=5-2.7=2.3

3

3

机房在办公大楼中层，办公大楼建筑年限过久，没有防震证明。

0.2

Xxxx

/

/

/

4

4

机房有水管穿过，但已采取封闭措施。

0.5

Xxxx

0.5

0.5*0.5=0.25

5-0.25/0.5=5-0.5=4.5

0.9

0.5*0.9=0.45

5-0.45/0.5=5-0.9=4.1

（根据上表行四选择不同的调节因子后的分数结果可知:

问题获得的弥补性越强，选择的修正因子越小！

！

即:

单项分数要高，调节因子要选小！

）

（问题3无法获得弥补，测评项得分维持不变！

如果强行进行修正，修正后得分为负分！

！

）

即：

“物理安全”-“物理位置选择”控制点的最终测评结果为

测评对象

安全控制点

测评指标

结果记录

符合程度（调整前）

符合程度（调整后）

机房1

物理位置的选择

A项）.......

机房位置合理

5

5

B项）.......

机房无用水设施

5

5

物理访问控制

…

机房2

物理位置的选择

A项）.......

机房设置在顶楼

4

4.1

B项）.......

机房有水管穿过，没有采取封闭措施。

2

2.3

物理访问控制

…

机房3

物理位置的选择

A项）.......

机房在办公大楼中层，办公大楼建筑年限过久，没有防震证明。

3

3

B项）.......

机房有水管穿过，但已采取封闭措施。

4

4.5

物理访问控制

…

2总体安全状况分析

2.1系统安全保障评估

以表格形式汇总被测信息系统已采取的安全保护措施情况，并综合附录A中的测评项符合程度得分以及5.5章节中的修正后测评项符合程度得分（有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算），以算术平均法合并多个测评对象在同一测评项的得分，得到各测评项的多对象平均分。

根据测评项权重（见附件《测评项权重赋值表》，其他情况的权重赋值另行发布），以加权平均合并同一安全控制点下的所有测评项的符合程度得分，并按照控制点得分计算公式得到各安全控制点的5分制得分。

计算公式为：

控制点得分

，n为同一控制点下的测评项数，不含不适用的控制点和测评项。

以算术平均合并同一安全层面下的所有安全控制点得分，并转换为安全层面的百分制得分。

根据表格内容描述被测信息系统已采取的有效保护措施和存在的主要安全问题情况。

表6-1系统安全保障情况得分表

序号

安全层面

安全控制点

安全控制点得分

安全层面得分

1

物理安全

物理位置的选择

3.96

2

物理访问控制

3

防盗窃和防破坏

4

防雷击

5

防火

6

防水和防潮

7

防静电

8

温湿度控制

9

电力供应

10

电磁防护

11

网络安全

结构安全

4.11

共7个控制点，但有一个控制点为不适用，因此：

6个控制点总得分26.17

平均分为26.17/6=4.36

转换为百分制后得分为4.36*20=87.2

网络安全层面得分为87.2分

12

访问控制

4.50

13

安全审计

5.00

14

边界完整性检查

不适用

15

入侵防范

4.80

16

恶意代码防范

3.25

17

网络设备防护

4.51

2.2等级测评结论

综合上述几章节的测评与风险分析结果，根据符合性判别依据给出等级测评结论，并计算信息系统的综合得分。

等级测评结论应表述为“符合、“基本符合”或者“不符合”。

结论判定及综合得分计算方式见下表：

测评结论

符合性判别依据

综合得分计算公式

符合

信息系统中未发现安全问题，等级测评结果中所有测评项得分均为5分。

100分

基本符合

信息系统中存在安全问题，但不会导致信息系统面临高等级安全风险。

，p为总测评项数，不含不适用的控制点和测评项，有修正的测评项以5.5章节中的修正后测评项符合程度得分带入计算。

不符合

信息系统中存在安全问题，而且会导致信息系统面临高等级安全风险。

，l为安全问题数，p为总测评项数，不含不适用的控制点和测评项。

注：

修正后问题严重程度赋值结果取多对象中针对同一测评项的最大值。