等级保护测评算分介绍.docVIP

等级保护测评过程中人工算分公式及方法解析

为了提高等保测评效率、质量等因素，目前全国大部分测评机构已采用等保测评助手及相关软件来提供测评质量、效率，人工测评算分逐渐被淘汰，原始复杂的人工算分已被软件代替，所有现在很多测评师会用软件，但是测评人工算分方法不够熟悉，希望这篇文章能帮助到想学习人工算分的测评师。

网络安全等级保护测评由公安部统一测评指导书，指导书中根据测评项的重要性有对应的权重，分别为0.2、0.5、1.0三个级别。

目前等保测评分数分三个级别：60分以下为不符合，60-99分为部分符合，100分为符合，一般满足部分符合即可。

等保2.0开始75分以下为不符合，75-99分部分符合，100分符合。

金融行业除外，上海已经发文要求，满90分为部分符合，有部分城市金融行业也参考上海，满90分为部分符合。

等级保护测评报告第一版（2015年之前）是没有分数体现，只有不符合、部分符合、不符合；2015版测评报告发布才有算分对比。

一：等保测评总分计算方法及公式

等级保护测评总分计算，首先计算出每个层面的得分

公式：

得分=测评项权重×符合程度；

层面得分=得分总和/权重总和；

不适用项不列入计算，包括权重。

以应用安全层面为例：

身份鉴别a）得分=测评项权重×符合程度，即：0.5×5=2.5

应用层面得分=得分总和/权重总和，即：82.9/17.2=4.81（保留小数点后两位）

所有应用安全层面得分为：4.81

其他层面算分方法一样

等级保护要求

测评项权重

符合程度

得分

控制点名称

L3

测评项

身份鉴别(S)

s3

a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别

0.5

5

2.5

s3

b)应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别

1

5

5

s3

c)应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用

1

5

5

s3

d)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施

0.5

5

2.5

s3

e)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数

0.5

0

0

访问控制(S)

s3

a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问

0.5

5

2.5

s3

b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作

0.5

5

2.5

s3

c)应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限

0.5

5

2.5

s3

d)应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系

1

5

5

s3

e)应具有对重要信息资源设置敏感标记的功能

1

5

5

s3

f)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作

1

5

5

安全审计(G)

g3

a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计

1

5

5

g3

b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录

0.5

5

2.5

g3

c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等

0.5

5

2.5

g3

d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能

1

5

5

剩余信息保护(S)

s3

a)应保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中

0.5

5

2.5

s3

b)应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除

0.2

5

1

通信完整性(S)

s3

a)应采用密码技术保证通信过程中数据的完整性

0.2

5

1

通信保密性（S）

g3

a)在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证

0.5

5

2.5

g3

b)应对通信过程中的整个报文或会话过程进行加密

1

5

5

抗抵赖（G）

g3

a)应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能

0.5

5

2.5

g3

b)应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能

0.5

5

2.5

软件容错（A）

a3

a)应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求

1

5

5

a3

b)应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复

0.5

5

2.5

资源控制(A)

a3

a)当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话

0.5

5

2.5

a3