等保2.0.2021版等级测评报告模板修订总结

未经许可，严禁转载~！
公式输入请参考： 在线Latex公式

总体注意事项

1.要注意红色字体，例如
如果云服务客户业务应用系统同时部署在不同模式的云计算平台上时，可以使用多个等级测评结论扩展表（云计算安全）来展示。
例如：大系统如果部署在多个云平台，多个云平台要看成多个测评对象，分别给出等级测评结论扩展表（云计算安全）；
2.算法变化超级大，主要是原来的算法得分比较集中（75-85区间比较集中），新的算法会使得分数差异变大，具体计算实例可以看另外一篇博文：《等保2.0.2021版综合测评得分计算实例》；
3.填写表格要注意前后的一致性；
4.执行时间为：2021年6月18日。

总体修订情况说明

总共三大块：

1. 技术修订：公式、一些评定合格的方式有变化
2. 格式修订：表格等格式上规范报告内容
3. 说明修订：主要是模板中红色字体部分

技术修订

1.调整综合得分计算公式：从原来的10个安全层面计算变成了从技术和管理两方面计算，从原来根据符合标准情况累加计算变成了扣分计算，额外添加关注系数，这块后面估计还要额外写。
2.根据将数据作为独立测评对象，单独列出数据安全测评结果，突出各类数据安全防护情况。
3.保留控制点符合情况统计表，删除控制点得分计算。

综合得分计算修订

缺陷扣分规则就是不符合或者部分符合要扣分，按特定倍数来扣：

1. 先计算单个测评项的基准分$S$。
2. 一般测评指标：部分符合，扣$0.5\times S$分；不符合，扣$S$分
3. 重要测评指标：部分符合，扣1倍$S$分；不符合，扣$2\times S$分
4. 关键测评指标：部分符合，扣$1.5\times S$分；不符合，扣$3\times S$分
5. 设置关注系数：关注系数统一发布，明确技术、管理的占比。

关注系数的原理是看政策对技术还是管理的侧重，另外也考虑到在控制点或者说标准要求上，技术和管理的要求在数量上是不匹配的，乘以这个系数或者说权重，相当于对计算出来的得分进行归一化。
测评指标的类别：一般、重要、关键有额外的权重表，分别对应0.4、0.7、1。

综合得分公式：
记总体分数为$M$，则
$$M=V_t+V_m\text{\hspace{1em}(1)}$$
$V_t$表示技术Technology类总体得分；
$V_m$表示管理Management类总体得分。
$V_t$的计算公式为：
$$V_t=\{\begin{array}{cc}100\cdot y-{\sum }_{k=1}^{t}f({\omega }_k)\cdot (1-x_k)\cdot S,& V_t>0\\ 0,& V_t\le 0\end{array}\text{\hspace{1em}(2)}$$

$V_m$的计算公式为：
$$V_m=\{\begin{array}{cc}100\cdot (1-y)-{\sum }_{k=1}^{m}f({\omega }_k)\cdot (1-x_k)\cdot S,& V_m>0\\ 0,& V_m\le 0\end{array}\text{\hspace{1em}(3)}$$

上面两个公式可以简化写为一个式子
$$V_t=ReLU\left(100\cdot y-\sum _{k=1}^{t}f({\omega }_k)\cdot (1-x_k)\cdot S\right)\text{\hspace{1em}(4)}$$

$$V_m=ReLU\left(100\cdot (1-y)-\sum _{k=1}^{m}f({\omega }_k)\cdot (1-x_k)\cdot S\right)\text{\hspace{1em}(5)}$$
这里
$$ReLU(x)=\max (0,x)=\{\begin{array}{c}x,\text{if }x>0\\ 0,\text{if }x\le 0\end{array}$$
看上去很复杂，先来化简一下，这里$y$是关注系数，是官方统一发布的常数，目前是0.5，带入上面，变成：
$$V_t=ReLU\left(50-\sum _{k=1}^{t}f({\omega }_k)\cdot (1-x_k)\cdot S\right)\text{\hspace{1em}(6)}$$

$$V_m=ReLU\left(50-\sum _{k=1}^{m}f({\omega }_k)\cdot (1-x_k)\cdot S\right)\text{\hspace{1em}(7)}$$
看上去技术和管理的计算都非常相似，这里面${\omega }_k$代表当前测评指标的类型，上面说了，有三种：一般、重要、关键，这里${\omega }_k$经过函数$f$后，变成：
$$f({\omega }_k)=\{\begin{array}{c}1,{\omega }_k=一般\\ 2,{\omega }_k=重要\\ 3,{\omega }_k=关键\end{array}$$
${\omega }_k$是原来的权重表中的0.4/0.7/1，这三个值分别对应一般/重要/关键。
$S$是单个测评项的基准分，这里$n$代表测评的项数，但不是测评对象越多，测评的项数也就越多，具体看下一篇计算实例：
$$S=100\cdot \frac{1}{n}$$
$x_k$是测评结果，分别不符合、部分符合、符合，取值对应0,0.5,1，即：
$$x_k=(0,0.5,1)$$
看到这里估计还有很多小伙伴不明白，我们举个例子，如果有一个测评项a，它属于关键测评指标，则$f({\omega }_k)=3$，如果它测评结果是不符合，那么$x_k=0$，则$1-x_k=1$，该测评项的基准分是$S$的话：
$$f({\omega }_k)\cdot (1-x_k)\cdot S=3S$$
如果测评项去掉不适用项，$n$有200项，那么$S=\frac{100}{200}=0.5$，那么一个关键测评项不符合就是要扣1.5分，10个关键测评项不符合就直接丢15分。。。
从这个例子可以看到，如果是关键测评指标不符合，扣分非常严重。假设一个系统大多数关键测评指标不符合，那么就会导致19版的分数换算到21版的分数就会变低。官方做了实验：

这里面相差最大的就是所有指标均为部分符合的情况，由于是部分符合，按照2019版本的计算公式，是
$$100-0.5\times \sum 所有项=50$$
按照2021公式计算：
$$50-\sum 2S+50-\sum 2S=0$$
总体来说：
1.关键指标非常重要，如果关键指标不符合太多项新版会不及格，以前是可以靠大量的符合来加分，现在不管你有多少符合，是按不符合来减分。
2.新版计算貌似更加简单，但是应该还涉及多个测评对象的问题，应该和原来的计算方式相同，等实操后再补充。（经过仔细看，不管你测评对象有几个，这里只计算中的测评项数了。。。）
3.估计这个世界上不会有哪个系统能拿满分，意味着肯定会有扣分，也就是说$V_t$或者$V_m$都不可能等于0，所以，我认为系统最后的综合得分公式可以写为：
$$\begin{array}{rl}M& =100-\sum _{k=1}^{t}f({\omega }_k)\cdot (1-x_k)\cdot S-\sum _{k=1}^{m}f({\omega }_k)\cdot (1-x_k)\cdot S\\ & =100-\sum _{k=1}^t\frac{100\cdot f({\omega }_k)\cdot (1-x_k)}{n}-\sum _{k=1}^m\frac{100\cdot f({\omega }_k)\cdot (1-x_k)}{n}\end{array}\text{\hspace{1em}(8)}$$
当然为了防止出现扣到负分的情况，综合测评分数最低是0分。

将数据作为独立测评对象

在2021新版报告里面，单独加上了数据这块内容，分别加在了正文3.4.6节和附录A.9 中，这块需要填写什么？
附录A.9模板的填写说明为：
以列表形式描述具有相近业务属性和安全需求的数据集合。数据资源一般包括鉴别数据、重要业务数据、重要审计数据、重要配置数据和重要个人信息等。安全防护需求一般从保密性、完整性等方面进行分析。

是不是看不懂？要正确填写先要搞清楚数据在整个系统有很多种，测评涉及的维度也很多，我简单整理一个表就很清楚了：

数据类型	数据类别（新）	各自测评对象（网络设备、安全设备、服务器/终端、系统管理软件）	安全管理中心	测评内容
鉴别数据		√		完整性、保密性、备份和恢复
重要业务数据	√			完整性、保密性、剩余信息保护、备份和恢复
重要审计数据			√	完整性
重要配置数据		√		完整性、保密性、备份和恢复
重要个人信息	√			个人信息保护
音视频数据		√		完整性、保密性、备份和恢复
大数据	√			完整性、保密性、剩余信息保护、备份和恢复

格式修订10类

1.等级测评结论扩展表：明确其适用场景，给出表格填写说明，给出平台服务能力描述方式。
说明：加了等级测评结论扩展表（大数据安全）、等级测评结论扩展表（云计算安全）两个扩展表的说明，里面以四级系统为例给出了平台服务能力描述。就是把等保标准里面的大数据和云计算的指标替换过来了。
这里要注意，如果一个大的系统部署在两个云平台（或者部署在同一个平台的两种服务模式），那么要填写两张等级测评结论扩展表（大数据安全）。

2.主要安全问题及整改建议：给出了本节内容编写示例，规范全国测评机构报告编写风格。
说明：这里要根据等保标准里面的要求大类（安全物理环境、 安全通信网络、 安全区域边界、 安全计算环境、 安全管理中心、 安全管理制度、 安全管理机构、 安全管理人员、 安全建设管理、 安全运维管理…如果有扩展要求继续加）分别填写。填写格式为：
（序号）问题1描述
整改建议描述
（序号）问题2问题3描述
整改建议描述
上面的问题要和报告5章列出的所有安全问题对应，可以多个问题合并给出建议
3.不适用安全要求指标：明确不适用指标填写要求，给出了不适用安全要求指标表格。
2.2.4不适用安全要求指标填写时注意，只能填写那些所有测评对象都不适用的指标。对于仅某个对象不适用的指标不填写在本节表格，填写到该对象的测评结果（附录C）中即可

4.等级测评结论：给出了“优、良、中、差”四个等级测评结论编写示例，规范全国测评机构报告编写风格。
说明：给出了四个样例：
[被测对象名称]本次等级测评的综合得分为90分以上（含90分），且不存在中、高等级安全风险，等级测评结论为优。
[被测对象名称]本次等级测评的综合得分为80分以上（含80分），但存在中等级安全风险，等级测评结论为良。
[被测对象名称]本次等级测评的综合得分为70分以上（含70分），且不存在高等级安全风险，等级测评结论为中。
[被测对象名称]本次等级测评的综合得分为低于70分，或存在高等级安全风险，等级测评结论为差。
5.附录H和附录I。明确其适用场景，给出内容编写要求。
说明：
附录H是云计算平台测评及整改情况
附录I是大数据平台测评及整改情况
这两个找系统托管的厂家要。
6.测评对象选择结果，调整分类方式，明确填表要求。
说明：多加了2.3.2.6其他设备，加了2.3.2.9数据类别
其他设备指：移动互联的移动终端、物联网的感知终端、工业控制系统的控制设备等。
数据类别上面有讲，不啰嗦。
系统管理软件/平台指：系数据库、中间件、网管软件/平台、安管软件/平台、云计算管理软件/平台等。
7.验证测试。给出了漏扫和渗透的编写要求，给出了相关表格进行规范。
说明：
漏扫和渗透给出了具体表格，要把漏扫和渗透的结果填到表格里面，漏洞多的时候可以只填高危漏洞。
8.整体测评结果汇总：给出了整体测评编写要求，给出了相关表格进行规范。
说明：给出了具体表格和示例，表格问题编号要和3.13.2安全间题汇总表的编号要对应。

问题编号	安全问题	测评对象	整体测评描述	严重程度变化
T1	中心机房未部署防盗报警系统。	中心机房	中心机房只有一个出入口，安排24小时专人值守机房的出入口。通过专人值守可以及时发现并阻止设备被盗窃。	√降低

9.附录B上次测评问题整改情况：给出了本节内容编写要求，给出了相关表格进行规范。
说明：要核查上一次测评报告中的《主要安全问题及整改建议》，核查整改情况。
1.如果是部分整改判断为未整改；
2.不是全部问题，是主要问题。

10.附录D单项测评结果记录，给出了单项测评结果记录表格。
说明：略

说明修订

略

其他说明

封面的被测单位和基本信息表的被测单位可能不一致，前一个是签合同给钱的主，后一个是被测的主。
报告中的编号带括号的必须是中文括号。

参考文献

等级测评报告模板（2021版）
模板培训ppt，这个网上有，自己百度