2022大数据平台安全评价指标及方法

大数据平台安全评价指标及方法 （2022） 目 次 前言 II 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 安全评价指标 1 5 指标权重 2 5.1 方法概述 2 5.2 计算步骤 2 5.2.1 建立层次结构 2 5.2.2 构建比较矩阵 2 5.2.3 初步计算指标权重 2 5.2.4 一致性检验 3 5.2.5 指标权重确定 3 6 安全评价方法 3 6.1 指标赋分 3 6.2 综合得分计算 3 6.3 评价等级确定准则 4 参考文献 5 I 大数据平台安全评价指标及方法 1 范围 本文件给出了大数据平台相关的术语和定义、安全评价指标、指标权重、评价方法等内容。 本文件适用于指导大数据平台研发机构、使用单位、运维机构等单位开展大数据平台安全自评估工 作，政府部门、专业的第三方评价机构开展大数据平台安全评价工作时可参考使用。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 GB/T 37973-2019 信息安全技术 大数据安全管理指南 3 术语和定义 GB/T 25069-2010 、GB/T 37973-2019界定的以及下列术语和定义适用于本文件。为了便于使用， 以下重复列出了GB/T 37973-2019 中的某些术语和定义。 3.1 大数据 big date 具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处 理技术进行有效组织、存储、计算、分析和管理的数据集。 [GB/T 37973-2019，3.1] 3.2 合。 3.3  大数据平台 big date platform 采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集[GB/T 37973-2019，3.3] 大数据安全 big date safety 通过采取必要的措施，防范对网络（系统、数据）的攻击、侵入、干扰、破坏和非法使用以及意外 事故，使网络（系统）处于稳定可靠运行以及保障大数据的完整性、保密性、可用性的的状态。 4 安全评价指标 本文件构建的大数据平台安全评价指标框架包含目标层A、准则层B（一级评价指标）以及方案层C （二级评价指标）三个层次： a) 目标层是安全评价的总目标，综合评价大数据平台的安全程度； b) 准则层包含平台安全、数据安全、管理安全、服务安全 4 个一级评价指标； c) 方案层包含 18 个二级评价指标，其中平台安全下包含软件安全、硬件安全、物理环境安全、运维安全 4 个二级指标，数据安全下包含数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全 6 个二级指标，管理安全下包含用户管理、组织 1 管理、资产管理、数据权责管理 4 个二级指标，服务安全下包含监测预警、网络审计、网络 防护、评估评价 4 个二级指标。大数据平台安全评价指标框架详见图1。 图 1 大数据平台安全评价指标框架 5 指标权重 5.1 方法概述 本文件采用层次分析法确定各指标的权重，计算步骤如图2所示。 图 2 权重计算步骤图 5.2 计算步骤 5.2.1 建立层次结构 本文件构建的层次结构如图1所示。 5.2.2 构建比较矩阵 本文件利用1-9标度法，经咨询大数据领域的专家构建比较矩阵。 5.2.3 初步计算指标权重 2 构建比较矩阵后，采用层次分析法专用计算软件初步计算指标的权重。 5.2.4 一致性检验 初步计算得出的指标权重，经一致性检验后可作为指标的最终权重，未通过一致性检验的，需修改 比较矩阵直至通过一致性检验。 5.2.5 指标权重确定 经5.2所述的步骤所确定的指标权重见表1。 表 1 评价指标及权重 一级评价指标及权重 二级评价指标及权重 平台安全 B1 （0.2720） 软件安全 C11 （0.0363） 硬件安全 C12 （0.0844） 物理环境安全 C13 （0.1346） 运维安全 C14 （0.0167） 数据采集安全 C21 （0.0982） 数据传输安全 C22 （0.1409） 数据安全 B2 数据存储安全 C23 （0.0578） （0.4829） 数据处理安全 C24 （0.0578） 数据交换安全 C25 （0.0923） 数据销毁安全 C26 （0.0359） 管理安全 B3 （0.1570） 用户管理 C31 （0.0854） 组织管理 C32 （0.0425） 资产管理 C33 （0.0191） 数据权责管理 C34 （0.0100） 服务安全 B4 （0.0882） 监测预警 C41 （0.0609） 行为审计 C42 （0.0085） 网络防护 C43 （0.0122） 评估评价 C44 （0.0065） 6 安全评价方法 6.1 指标赋分 大数据平台安全评价宜通过专家将各指标进行量化赋分，各项指标赋分采用百分制：非常安全赋分 100分，安全赋分80分，基本安全赋分60分，不安全赋分40分，极不安全赋分20分。 6.2 综合得分计算 对方案层（二级指标）各指标进行赋分，并结合各指标权重，进行分数集成，可得到准则层（一级 评价指标）各指标及目标层的得分。 准则层（一级指标）各指标评价指标得分采用公式（1）进行计算： 3 B =Σ� � �� ···················································· (1) i �=1 �� � 式中： Bi ——第i个一级指标指标的计算分值； Wij ——第i个一级指标所包含的第j个二级指标的权重； Cij——第i个一级指标所包含的第j个二级指标的赋分； i——一级指标的顺序（i取值1、2、3、4）； j——一级指标下包含的二级指标的顺序（j取值1、2、3、4、5、6）； n——第i个一级指标所包含二级指标的数量（n取值4或6）。 目标层即政务大数据平台安全得分采用公式（2）进行计算： å B W BDPS = 4（ i i） (2) i=1 式中： Bi——第i个一级指标的计算分值； Wi——第i个一级指标指标的权重； BDPS——大数据平台安全综合得分。 6.3 评价等级确定准则 大数据平台安全评价等级划分为非常安全、安全、基本安全、不安全和极不安全5个等级，分值与等级对应关系见表2。 a) 非常安全：评价得分在 90-100 分之间。 b) 安全：评价得分在 70-90（含）分之间。 c) 基本安全：评价得分在 50-70（含）分之间。 d) 不安全：评价得分在 30-50（含）分之间。 e) 极不安全：评价得分小于等于 30（含）分。 表 2 评价等级与得分对应关系表 评价得分 90＜BDPS≤100 70＜BDPS≤90 50＜BDPS≤70 30＜BDPS≤50 BDPS≤30 评价等级 非常安全 安全 基本安全 不安全 极不安全 4