糖果 2025-06-11 08:45 上海
安小圈
第684期
商密应用 · 安全评估
量化评估规则框架
综合单元测评结果和整体测评结果,计算得分,并进行总体评价。 整个测评最终以整体得分为主,整体得分依据各层面的加权平均后取得,各层面得分由各层面的测评单元进行计算;各单元测评分值是由各测评对象决定的,最终决定测评分值大小。(大于60分时,还需要考虑是否有高风险项)。
密评的测评流程
量化计算规则解读(一)
各测评对象的测评结果量化评估结果其中,0 表示不符合,1 表示符合,其他情况表示部分符合。当测评对象 A弥补了测评对象 B 的不足时,测评对象 B 弥补后的量化评估分值
计算公式为:
式中:为测评对象 A 的分值;
为测评对象B 的弥补前分值;
为取
和
之间的较大值(四舍五入,取小数点后 4 位)。
对各测评对象的测评结果量化评估结果取算术平均值便得到测评单元的测评结果量化评估分值。测评单元的测评结果量化评估分值计算公式为:
式中:为第 i 个安全层面中第 j 个测评单元测评对象的个数;
为各测评对象的测评结果量化评估分值(四舍五入,取小数点后 4 位)。
对测评单元的测评结果量化评估分值取加权平均值,便能够得到安全层面的测评结果量化评估分值。安全层面的测评结果量化评估分值计算公式为:
式中:为第 i 个安全层面中第 j 个测评单元的权重;
为第 i 个安全层面中第 j 个测评单元的量化评估结果;
为第 i 个安全层面的量化评估结果(四舍五入,取小数点后 4 位)。
也可以这样计算,2023 版《商用密码应用安全性评估量化评估规则》中,整体测评结果量化评估分值计算公式为:
量化计算规则解读(二)
(1)各测评对象的测评结果量化评估规则
密码应用技术要求中,第 i 个安全层面的第 j 测评单元的第 k 测评对象 Ti,j,k,其量化评估结果 Si,j,k∈{0, 0.25, 0.5,1},其中 0 表示不符合,1 表示符合,其它表示部分符合。Si,j,k 的取值分别见表 1。通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标不单独评价。
密码应用管理要求不针对各个测评对象的测评结果进行量化评估。
(2)测评单元的测评结果量化评估规则
密码应用技术要求中,第 i 个安全层面的第j 测评单元 Ui,j 的量化评估结果 Si,j 为该测评单元内所有 ni,j 个测评对象测评结果的算术平均值(四舍五入,取小数点后 4 位),即:
密码应用管理要求中,第 i 个安全层面的第 j 测评单元,根据 GM/T 0115-2021 给出判定结果 Si,j,符合为 1 分,不符合为 0 分,部分符合为 0.5 分。
(3)安全层面的测评结果量化评估规则
本文件为每个测评单元分配了相应的权重𝑤𝑗,𝑘,如表 2 所示。第 i 个安全层面 Li 的量化评估结果 Si 为该安全层面内所有 ni 个适用测评单元测评结果 Si,j 的加权平均值(四舍五入,取小数点后 4 位),即:
若某 测 评 指 标 不 适 用 , 则 不 参 与 量 化 评 估 过 程 , 不 适 用 的 判 定 方 式 参 见 GM/T0115-2021)。
(4)整体测评结果量化评估规则
本文件为每个安全层面分配了相应的权重𝑤𝑗,如表 2 所示。量化评估结果 S 为所有 n个安全层面测评结果 Si 的加权平均值(四舍五入,取小数点后 2 位),即:
也可以这样计算,2023 版《商用密码应用安全性评估量化评估规则》中,整体测评结果量化评估分值计算公式为:
若某个安全层面的所有测评指标都不适用,则该安全层面不参与量化评估过程。比如,如果信息系统中“物理和环境安全”层面所有测评指标都不适用,而其他各层面均有适用的测评指标,那么根据表 2 提供的安全层面权重,上述分值计算公式具体为:
密评分数计算案例
以物理和环境安全层面为例,其测评结果量化评估过程如下图所示,其他层面的量化评估过程以此类推。
物理和环境安全层面的测评结果量化评估过程
测评对象为最小单元,基于DAK评分规则进行分值确定
各测评对象得分
DAK检查结果决定对象测评分值匹配(1\0.5\0.25\0),分为以下几类情况:
情况(一)
情况(二)
情况(三)
情况(四)
具体案例
测评单元权重值(规范中固定的值)如下:
计算各层面的分值如下:
各层面加权平均值计算整体得分如下:
案例测评结论如下:
案例来源于微信公众号信息安全与通信保密杂志社
END
【内容来源:网络安全与等保测评】
