一种网络安全设备自主可控度评估方法与流程
本发明涉及网络安全设备自主可控度评估技术领域,尤其涉及一种网络安全设备自主可控度评估方法。
背景技术
网络防火墙设备、漏洞扫描设备、网络入侵检测设备等网络安全设备的自主可控程度对信息安全性起着重要作用。目前,国内自主可控信息系统在处理器、操作系统、数据库、中间件等关键软硬件取得了技术的突破。然而,自主软件和硬件相对独立开发,相互间的技术协同和融合不够,导致从底层硬件到上层软件之间的整合优化不够,应用系统综合性能不高;同时,现有应用软件移植难度大,基于自主可控的应用开发刚刚起步,开发量大,短期难以满足规模化应用需求。所以,国防信息化建设安全发展,不仅需要自主可控核心软硬件实现技术层面的突破,更需要国产的网络安全设备,需要加速对国产网络安全设备的发展,提升应对新形势下国防应用需求的响应能力。为了避免一个打印机芯片导致防空系统瘫痪的悲剧不在我们的军队上演,近年来国内各行业都在适时推广国产软硬件,形成国产网络安全设备,尤其是关系到国家安全的国防系统更是如此。网络安全设备的自主可控度是指具备承制资质的单位主导研发和生产网络安全设备的能力。自主可控度评估结果使用百分率表示,按照评估结果,可以将产品的自主可控度从高到低分为若干等级。随着国产网络安全设备应用推进工作的逐渐深入,网络安全设备在各领域和项目中的应用越来越广。但是,目前还没有一种可量化的网络安全设备自主可控度评估方法,从而无法指导产品研制部门开展自主可控度自评价以促进产品不断改进完善和自主化水平的提高,第三方评估机构也无法出具网络安全设备的自主可控度,无法为应用部门把握产品自主可控程度、开展产品选型工作提供数据支撑。
技术实现要素:
本发明的目的在于通过一种网络安全设备自主可控度评估方法,来解决以上背景技术部分提到的问题。
为达此目的,本发明采用以下技术方案:
一种网络安全设备自主可控度评估方法,该方法包括如下步骤:
s101、确定待评估网络安全设备的类型;
s102、设定待评估网络安全设备的评估对象;
s103、确定所述评估对象的一级评估内容并设定一级评估内容的权重值;
s104、确定各一级评估内容的二级评估内容并设定二级评估内容的权重值;
s105、设定各二级评估内容的自主可控度得分;
s106、根据如下公式计算待评估网络安全设备的自主可控度ocr:
如某二级评估内容含三级评估内容,则该二级评估内容的自主可控度得分sij为:
上式中:
l为一级评估内容的总项数;
n为第i个一级评估内容中的二级评估内容的总项数;
m为第i个一级评估内容中第j个二级评估内容的三级评估内容总项数;
wi为第i个一级评估内容的权重值;
wij为第i个一级评估内容中的第j个二级评估内容的权重值;
wijk为第i个一级评估内容中的第j个二级评估内容的第k个三级评估内容的权重值;
sij为第i个一级评估内容中的第j个二级评估内容的自主可控度得分;
sijk为第i个一级评估内容中的第j个二级评估内容的第k个三级评估内容的自主可控度得分。
特别地,所述步骤s106之后还包括:s107、根据所述步骤s106获得的待评估网络安全设备的自主可控度ocr,按照设定的自主可控度等级划分条件确定所述待评估网络安全设备的自主可控度的等级。
特别地,所述待评估网络安全设备包括网络防火墙设备、漏洞扫描设备、网络入侵检测设备三种类型。
特别地,当所述待评估网络安全设备为网络防火墙设备时,设定的评估对象包括硬件系统、基础软件及研制团队;所述硬件系统的一级评估内容包括:中央处理器、网卡控制芯片、内存、硬盘、主板;所述中央处理器、网卡控制芯片的二级评估内容相同,均包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景;体系结构设计的三级评估内容包括:指令集、知识产权;芯片设计的三级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的三级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的三级评估内容包括:裸片测试;配套软硬件的三级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmm;
所述内存的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:内存颗粒、控制芯片,根据是否是境内设计、生产判定内存颗粒的得分;根据是否是境内设计、生产判定控制芯片的得分;
所述硬盘包括机械硬盘和固态硬盘,机械硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、磁头、盘片、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定磁头的得分;根据是否是境内设计、生产判定盘片的得分;根据是否是境内设计、生产判定pcb的得分;固态硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、存储颗粒、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定存储颗粒的得分;根据是否是境内设计、生产判定pcb的得分;
所述主板的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:人员构成、资本构成、技术积累时间,其中,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:设计、生产、其它元器件,根据是否是境内厂商设计以及是否能够提供原理图和pcb布局设计资料图纸判定设计的得分;根据是境内还是境外厂商完成pcb生产或电装判定生产的得分;根据境内生产的数量占比判定其它元器件的得分;
所述基础软件的一级评估内容包括固件、操作系统、网络防火墙设备应用系统;所述固件、操作系统、网络防火墙设备应用系统的二级评估内容相同,均包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景,总体架构设计的三级评估内容包括正向系统设计方案、知识产权、知识产权风险分析、技术文档,代码设计的三级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的三级评估内容包括:集成开发环境、安装包制作工具;项目管理的三级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质;
所述研制团队的一级评估内容包括研制团队背景;所述研制团队背景的二级评估内容包括技术积累时间、研制单位市场竞争力和人员构成,根据从事本领域产品的研制时间判定技术积累时间的得分;根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名判定研制单位市场竞争力的得分;根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。
特别地,当所述待评估网络安全设备为漏洞扫描设备时,设定的评估对象包括硬件系统、基础软件及研制团队;所述硬件系统的一级评估内容包括:中央处理器、网卡控制芯片、内存、硬盘、主板;所述中央处理器、网卡控制芯片的二级评估内容相同,均包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景;体系结构设计的三级评估内容包括:指令集、知识产权;芯片设计的三级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的三级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的三级评估内容包括:裸片测试;配套软硬件的三级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmm;
所述内存的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:内存颗粒、控制芯片,根据是否是境内设计、生产判定内存颗粒的得分;根据是否是境内设计、生产判定控制芯片的得分;
所述硬盘包括机械硬盘和固态硬盘,机械硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、磁头、盘片、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定磁头的得分;根据是否是境内设计、生产判定盘片的得分;根据是否是境内设计、生产判定pcb的得分;固态硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、存储颗粒、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定存储颗粒的得分;根据是否是境内设计、生产判定pcb的得分;
所述主板的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:人员构成、资本构成、技术积累时间,其中,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:设计、生产、其它元器件,根据是否是境内厂商设计以及是否能够提供原理图和pcb布局设计资料图纸判定设计的得分;根据是境内还是境外厂商完成pcb生产或电装判定生产的得分;根据境内生产的数量占比判定其它元器件的得分;
所述基础软件的一级评估内容包括固件、操作系统、入侵检测引擎、入侵检测知识库;所述固件、操作系统、漏洞扫描引擎、漏洞扫描知识库的二级评估内容相同,均包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景,总体架构设计的三级评估内容包括正向系统设计方案、知识产权、知识产权风险分析、技术文档,代码设计的三级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的三级评估内容包括:集成开发环境、安装包制作工具;项目管理的三级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质;
所述研制团队的一级评估内容包括研制团队背景;所述研制团队背景的二级评估内容包括技术积累时间、研制单位市场竞争力和人员构成,根据从事本领域产品的研制时间判定技术积累时间的得分;根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名判定研制单位市场竞争力的得分;根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。
特别地,当所述待评估网络安全设备为网络入侵检测设备时,设定的评估对象包括硬件系统、基础软件及研制团队;所述硬件系统的一级评估内容包括:中央处理器、网卡控制芯片、内存、硬盘、主板;所述中央处理器、网卡控制芯片的二级评估内容相同,均包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景;体系结构设计的三级评估内容包括:指令集、知识产权;芯片设计的三级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的三级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的三级评估内容包括:裸片测试;配套软硬件的三级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmm;
所述内存的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:内存颗粒、控制芯片,根据是否是境内设计、生产判定内存颗粒的得分;根据是否是境内设计、生产判定控制芯片的得分;
所述硬盘包括机械硬盘和固态硬盘,机械硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、磁头、盘片、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定磁头的得分;根据是否是境内设计、生产判定盘片的得分;根据是否是境内设计、生产判定pcb的得分;固态硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、存储颗粒、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定存储颗粒的得分;根据是否是境内设计、生产判定pcb的得分;
所述主板的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:人员构成、资本构成、技术积累时间,其中,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:设计、生产、其它元器件,根据是否是境内厂商设计以及是否能够提供原理图和pcb布局设计资料图纸判定设计的得分;根据是境内还是境外厂商完成pcb生产或电装判定生产的得分;根据境内生产的数量占比判定其它元器件的得分;
所述基础软件的一级评估内容包括固件、操作系统、入侵检测引擎、入侵检测知识库;所述固件、操作系统、入侵检测引擎、入侵检测知识库的二级评估内容相同,均包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景,总体架构设计的三级评估内容包括正向系统设计方案、知识产权、知识产权风险分析、技术文档,代码设计的三级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的三级评估内容包括:集成开发环境、安装包制作工具;项目管理的三级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质;
所述研制团队的一级评估内容包括研制团队背景;所述研制团队背景的二级评估内容包括技术积累时间、研制单位市场竞争力和人员构成,根据从事本领域产品的研制时间判定技术积累时间的得分;根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名判定研制单位市场竞争力的得分;根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。
特别地,所述步骤s107中设定的自主可控度等级划分条件,具体如下:针对待评估网络安全设备的自主可控度ocr:a级:ocr≥80%;b级:70%≤ocr<80%;c级:60%≤ocr<70%;d级:50%≤ocr<60%;e级:ocr<50%。
本发明提出的网络安全设备自主可控度评估方法能够准确、全面的计算出网络安全设备的自主化程度,评估出网络安全设备的国产化率,是一种可量化的网络安全设备自主可控度评估方法。本发明一方面可以指导产品研制部门开展自主可控度自评价,促进产品不断改进完善和自主化水平的提高,另一方面也可以作为第三方评估机构开展产品自主可控度评估的基本依据,评估结果可以为应用部门把握产品自主可控程度、开展产品选型工作提供数据支撑。
附图说明
图1为本发明实施例提供的网络安全设备自主可控度评估方法流程图。
具体实施方式
为了便于理解本发明,下面将参照相关附图对本发明进行更全面的描述。附图中给出了本发明的较佳实施例。但是,本发明可以以许多不同的形式来实现,并不限于本文所描述的实施例。相反地,提供这些实施例的目的是使对本发明的公开内容理解的更加透彻全面。需要说明的是,除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
请参照图1所示,图1为本发明实施例提供的网络安全设备自主可控度评估方法流程图。
本实施例中网络安全设备自主可控度评估方法采用“基于过程要素和研制团队背景的层次分析法”进行评估内容分析,将产品的研发生产过程视为多个过程,分别进行过程要素分析。从研发过程、核心技术、生产制造、研发人员等方面提出自主可控度的评估体系,包括准入条件、评估内容及权重值、评估工具和环境、评估过程、分值模型、等级划分六部分。具体包括如下步骤:
s101、确定待评估网络安全设备的类型。在本实施例中所述待评估网络安全设备是指信息系统中,由硬件系统和软件系统组成的对网络系统实施安全包含的设备,包括网络防火墙设备、漏洞扫描设备、网络入侵检测设备等。网络防火墙设备(networkfirewalldevice)是指根据预先定义的过滤规则和安全防护规则,对所有服务器的访问请求和服务器的响应进行协议和内容过滤,实现安全防护功能的信息安全产品。漏洞扫描设备(vulnerabilityscanningdevice)是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用漏洞的安全检测设备。网络入侵检测设备(networkintrusiondetectiondevice)是指以网络上的数据包作为数据源,监听所保护网络内的所有数据包并进行分析,从而发现异常行为的设备。
s102、设定待评估网络安全设备的评估对象。
s103、确定所述评估对象的一级评估内容并设定一级评估内容的权重值。
s104、确定各一级评估内容的二级评估内容并设定二级评估内容的权重值。
s105、设定各二级评估内容的自主可控度得分。
s106、根据如下公式计算待评估网络安全设备的自主可控度ocr:
如某二级评估内容含三级评估内容,则该二级评估内容的自主可控度得分sij为:
上式中:
l为一级评估内容的总项数;
n为第i个一级评估内容中的二级评估内容的总项数;
m为第i个一级评估内容中第j个二级评估内容的三级评估内容总项数;
wi为第i个一级评估内容的权重值;
wij为第i个一级评估内容中的第j个二级评估内容的权重值;
wijk为第i个一级评估内容中的第j个二级评估内容的第k个三级评估内容的权重值;
sij为第i个一级评估内容中的第j个二级评估内容的自主可控度得分;
sijk为第i个一级评估内容中的第j个二级评估内容的第k个三级评估内容的自主可控度得分。
s107、根据所述步骤s106获得的待评估网络安全设备的自主可控度ocr,按照设定的自主可控度等级划分条件确定所述待评估网络安全设备的自主可控度的等级。在本实施例中设定的自主可控度等级划分条件具体如下:针对待评估网络安全设备的自主可控度ocr:a级:ocr≥80%;b级:70%≤ocr<80%;c级:60%≤ocr<70%;d级:50%≤ocr<60%;e级:ocr<50%。
具体的,在本实施例中当所述待评估网络安全设备为网络防火墙设备时,设定的评估对象包括硬件系统、基础软件及研制团队;所述硬件系统的一级评估内容包括:中央处理器、网卡控制芯片、内存、硬盘、主板;所述中央处理器、网卡控制芯片的二级评估内容相同,均包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景;体系结构设计的三级评估内容包括:指令集、知识产权;芯片设计的三级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的三级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的三级评估内容包括:裸片测试;配套软硬件的三级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmm。
所述内存的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:内存颗粒、控制芯片,根据是否是境内设计、生产判定内存颗粒的得分;根据是否是境内设计、生产判定控制芯片的得分。
所述硬盘包括机械硬盘和固态硬盘,机械硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、磁头、盘片、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定磁头的得分;根据是否是境内设计、生产判定盘片的得分;根据是否是境内设计、生产判定pcb的得分;固态硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、存储颗粒、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定存储颗粒的得分;根据是否是境内设计、生产判定pcb的得分。
所述主板的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:人员构成、资本构成、技术积累时间,其中,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:设计、生产、其它元器件,根据是否是境内厂商设计以及是否能够提供原理图和pcb布局设计资料图纸判定设计的得分;根据是境内还是境外厂商完成pcb生产或电装判定生产的得分;根据境内生产的数量占比判定其它元器件的得分。
所述基础软件的一级评估内容包括固件、操作系统、网络防火墙设备应用系统;所述固件、操作系统、网络防火墙设备应用系统的二级评估内容相同,均包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景,总体架构设计的三级评估内容包括正向系统设计方案、知识产权、知识产权风险分析、技术文档,代码设计的三级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的三级评估内容包括:集成开发环境、安装包制作工具;项目管理的三级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质。
所述研制团队的一级评估内容包括研制团队背景;所述研制团队背景的二级评估内容包括技术积累时间、研制单位市场竞争力和人员构成,根据从事本领域产品的研制时间判定技术积累时间的得分;根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名判定研制单位市场竞争力的得分;根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。
具体的,在本实施例中当所述待评估网络安全设备为漏洞扫描设备时,设定的评估对象包括硬件系统、基础软件及研制团队;所述硬件系统的一级评估内容包括:中央处理器、网卡控制芯片、内存、硬盘、主板;所述中央处理器、网卡控制芯片的二级评估内容相同,均包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景;体系结构设计的三级评估内容包括:指令集、知识产权;芯片设计的三级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的三级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的三级评估内容包括:裸片测试;配套软硬件的三级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmm。
所述内存的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:内存颗粒、控制芯片,根据是否是境内设计、生产判定内存颗粒的得分;根据是否是境内设计、生产判定控制芯片的得分。
所述硬盘包括机械硬盘和固态硬盘,机械硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、磁头、盘片、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定磁头的得分;根据是否是境内设计、生产判定盘片的得分;根据是否是境内设计、生产判定pcb的得分;固态硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、存储颗粒、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定存储颗粒的得分;根据是否是境内设计、生产判定pcb的得分。
所述主板的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:人员构成、资本构成、技术积累时间,其中,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:设计、生产、其它元器件,根据是否是境内厂商设计以及是否能够提供原理图和pcb布局设计资料图纸判定设计的得分;根据是境内还是境外厂商完成pcb生产或电装判定生产的得分;根据境内生产的数量占比判定其它元器件的得分。
所述基础软件的一级评估内容包括固件、操作系统、入侵检测引擎、入侵检测知识库;所述固件、操作系统、漏洞扫描引擎、漏洞扫描知识库的二级评估内容相同,均包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景,总体架构设计的三级评估内容包括正向系统设计方案、知识产权、知识产权风险分析、技术文档,代码设计的三级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的三级评估内容包括:集成开发环境、安装包制作工具;项目管理的三级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质。
所述研制团队的一级评估内容包括研制团队背景;所述研制团队背景的二级评估内容包括技术积累时间、研制单位市场竞争力和人员构成,根据从事本领域产品的研制时间判定技术积累时间的得分;根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名判定研制单位市场竞争力的得分;根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。
具体的,在本实施例中当所述待评估网络安全设备为网络入侵检测设备时,设定的评估对象包括硬件系统、基础软件及研制团队;所述硬件系统的一级评估内容包括:中央处理器、网卡控制芯片、内存、硬盘、主板;所述中央处理器、网卡控制芯片的二级评估内容相同,均包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景;体系结构设计的三级评估内容包括:指令集、知识产权;芯片设计的三级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的三级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的三级评估内容包括:裸片测试;配套软硬件的三级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmm。
所述内存的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:内存颗粒、控制芯片,根据是否是境内设计、生产判定内存颗粒的得分;根据是否是境内设计、生产判定控制芯片的得分。
所述硬盘包括机械硬盘和固态硬盘,机械硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、磁头、盘片、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定磁头的得分;根据是否是境内设计、生产判定盘片的得分;根据是否是境内设计、生产判定pcb的得分;固态硬盘的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:组装产地、人员构成、资本构成、技术积累时间,其中,根据是境内组装还是境外组装判定组装产地的得分,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:主控芯片、存储颗粒、pcb,根据是否是境内设计、生产判定主控芯片的得分;根据是否是境内设计、生产判定存储颗粒的得分;根据是否是境内设计、生产判定pcb的得分。
所述主板的二级评估内容包括:研制团队背景、核心技术掌握程度,研制团队背景的三级评估内容包括:人员构成、资本构成、技术积累时间,其中,根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分;根据境内法人或自然人持有资本占比判定资本构成的得分;根据从事本领域产品的研制时间判定技术积累时间的得分;核心技术掌握程度的三级评估内容包括:设计、生产、其它元器件,根据是否是境内厂商设计以及是否能够提供原理图和pcb布局设计资料图纸判定设计的得分;根据是境内还是境外厂商完成pcb生产或电装判定生产的得分;根据境内生产的数量占比判定其它元器件的得分。
所述基础软件的一级评估内容包括固件、操作系统、入侵检测引擎、入侵检测知识库;所述固件、操作系统、入侵检测引擎、入侵检测知识库的二级评估内容相同,均包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景,总体架构设计的三级评估内容包括正向系统设计方案、知识产权、知识产权风险分析、技术文档,代码设计的三级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的三级评估内容包括:集成开发环境、安装包制作工具;项目管理的三级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的三级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质。
所述研制团队的一级评估内容包括研制团队背景;所述研制团队背景的二级评估内容包括技术积累时间、研制单位市场竞争力和人员构成,根据从事本领域产品的研制时间判定技术积累时间的得分;根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名判定研制单位市场竞争力的得分;根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。
下面对上述网络安全设备自主可控度评估方法中中央处理器、网卡控制芯片等处理器芯片的自主可控度评估以及基础软件的自主可控度评估过程扼要介绍如下:
处理器芯片的自主可控度评估过程如下:
确定处理器芯片的一级评估内容及其权重值。具体的,处理器芯片的一级评估内容包括:体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景。
确定体系结构设计、芯片设计、芯片生产、芯片测试、配套软硬件、研制团队背景的二级评估内容及其权重值。具体的,体系结构设计的二级评估内容包括:指令集、知识产权;芯片设计的二级评估内容包括:逻辑设计、验证平台、物理设计、设计平台;芯片生产的二级评估内容包括:流片、封装设计、封装生产、封装材料;芯片测试的二级评估内容包括:裸片测试;配套软硬件的二级评估内容包括:芯片组、开发板与仿真器、开发工具链、驱动程序/板级支持包/固件、用户文档;研制团队背景的二级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成、cmmi资质。指令集的得分细则包括:自主指令集,通过权威机构认证,不存在知识产权风险;非自主指令集,获得长期有效授权,可自主扩展;非自主指令集,获得长期有效授权,不可自主扩展;非自主指令集,获得有效授权,可自主扩展;非自主指令集,获得有效授权,不可自主扩展;非自主指令集,未获得有效授权。知识产权的得分细则包括:掌握全部知识产权,拥有完整的专利体系;掌握部分知识产权,拥有部分专利,其它部分有授权;有专利授权;有专利侵权风险,且风险无法回避。
逻辑设计的三级评估内容包括:处理器核心、片上互连及一致性、接口;处理器核心的得分细则包括:所有源代码完全自主设计;主要源代码(流水线、运算部件、指令部件)自主设计;主要源代码(流水线、运算部件、指令部件)采用境内厂商自主研发的ip;不能达到以上要求。片上互连及一致性的得分细则包括:所有源代码完全自主设计;主要源代码(一致性协议、互连逻辑)自主设计;主要源代码(一致性协议、互连逻辑)采用境内厂商自主研发的ip;不能达到以上要求。接口的得分细则包括:控制器源代码完全自主设计,模拟电路物理层ip完全自主研制;控制器源代码自主设计或采用境内厂商自主研发的ip,模拟电路物理层ip采用境外厂商授权ip;控制器源代码采用境外厂商授权ip,模拟电路物理层ip自主研制;控制器源代码和模拟电路物理层ip均采用境内厂商自主研发的ip;不能达到以上要求。
验证平台的得分细则包括:完全自主搭建模拟验证平台、硬件仿真器验证平台和fpga验证平台,测试向量完全自主开发,测试结果可见;部分自主搭建模拟验证平台、硬件仿真器验证平台和fpga验证平台,测试向量部分自主开发,测试结果部分可见;无自主验证平台。物理设计的得分细则包括:完全自主设计(采用定制、半定制或综合方法实现,具有完整的设计文档和数据,具备完整的设计及检查流程,检查结果可见);部分自主设计(采用定制、半定制或综合方法实现,具有部分设计文档和数据,具备部分设计及检查流程,检查结果部分可见),采用的授权硬核≤3个;全部外包给境内单位;全部外包给境外单位。设计平台的得分细则包括:全部采用境内eda工具进行设计;部分采用境外eda工具进行设计,或在境外eda工具上进行不同程度的二次开发;全部采用境外eda工具进行设计。
流片的得分细则包括:实际控股股东为境内法人或自然人,生产线为境内生产线;实际控股股东为境内法人或自然人,生产线为境外生产线;实际控股股东为境外法人或自然人,生产线为境外生产线。封装设计的得分细则包括:完全自主设计;非完全自主设计。封装生产的得分细则包括:实际控股股东为境内法人或自然人,生产线为境内生产线;实际控股股东为境内法人或自然人,生产线为境外生产线;实际控股股东为境外法人或自然人,生产线为境外生产线。封装材料的得分细则包括:管壳、焊球、盖板和金丝等全部为境内生产;管壳、焊球、盖板和金丝等部分为境外生产;管壳、焊球、盖板和金丝等全部为境外生产。裸片测试的得分细则包括裸片测试和封装测试在境内自主测试;封装测试在境内自主测试,裸片测试在境外测试;裸片测试在境内自主测试,封装测试在境外测试;裸片测试和封装测试在境外测试。
芯片组的得分细则包括:无需采用其它芯片组,或芯片组全部采用境内生产的芯片,或芯片组自主研发;部分采用境外生产的芯片,芯片可公开获得,供应有保障;全部采用境外生产的芯片,供应无保障。开发板与仿真器的得分细则包括:提供境内生产的开发板与仿真器;提供境外生产的开发板与境内生产的仿真器;提供境内生产的开发板与境外生产的仿真器;提供境外生产的开发板与仿真器。开发工具链的得分细则包括:开发工具链全部为境内研发,拥有全部源代码,拥有全部知识产权;开发工具链部分为境外研发,拥有全部源代码,无侵权;开发工具链全部为境外研发,拥有全部源代码;开发工具链全部为境外研发,无源代码;开发工具链不完整。驱动程序/板级支持包/固件的得分细则包括:拥有驱动程序、板级支持包和固件的全部源代码,具备修改源代码能力;拥有驱动程序、板级支持包和固件的部分源代码,具备修改源代码能力;无驱动程序、板级支持包和固件的源代码。用户文档的得分细则包括:完全自主编写全部用户文档;非完全自主编写用户文档,部分引用境外厂商文档;非完全自主编写用户文档,全部引用境外厂商文档。
根据从事本领域产品的研制时间判定技术积累时间的得分。根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名(事业单位以合同额、企业单位以销售额作为评价指标)判定研制单位市场竞争力的得分。
根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。根据获得cmmi认证的级别判定cmmi资质的得分。
最后,根据如下二公式计算处理器芯片的自主可控度ocr:
如某二级评估内容含三级评估内容,则该二级评估内容的自主可控度得分sij为:
上式中:
n为第i个一级评估内容中的二级评估内容的总项数;
m为第i个一级评估内容中第j个二级评估内容的三级评估内容总项数;
wi为第i个一级评估内容的权重值;
wij为第i个一级评估内容中的第j个二级评估内容的权重值;
wijk为第i个一级评估内容中的第j个二级评估内容的第k个三级评估内容的权重值;
sij为第i个一级评估内容中的第j个二级评估内容的自主可控度得分;
sijk为第i个一级评估内容中的第j个二级评估内容的第k个三级评估内容的自主可控度得分。
基础软件的自主可控度评估过程如下:
确定基础软件(如固件、操作系统、网络防火墙设备应用系统、漏洞扫描引擎、漏洞扫描知识库、入侵检测引擎、入侵检测知识库、数据库管理系统、浏览器、办公软件、网络协议软件、云计算平台软件以及其他软件等)的一级评估内容及其权重值。一级评估内容包括总体架构设计、代码设计、代码生成、项目管理和研制团队背景。
确定一级评估内容的二级评估内容及其权重值。总体架构设计的二级评估内容包括:正向系统设计方案、知识产权、知识产权风险分析、技术文档。代码设计的二级评估内容包括:一、基于开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力、社区参与能力;二、基于非开源技术体系的基础软件:自主代码比率、代码分析与注释、代码定制优化能力;代码生成的二级评估内容包括:集成开发环境、安装包制作工具;项目管理的二级评估内容包括:一、测试过程及文档;二、配置管理;研制团队背景的二级评估内容包括:技术积累时间、研制单位市场竞争力、人员构成及cmmi资质。
正向系统设计方案的得分细则包括:完全自主的架构设计;架构设计主要使用开源协议的产品,不存在知识产权、期限、法律、禁用于军事领域的限制;架构设计主要使用境外非公开的授权产品,不存在知识产权、期限、法律、禁用于军事领域的限制;架构设计主要使用境外非公开的授权产品,存在知识产权、期限、法律、禁用于军事应用领域的限制。知识产权的得分细则包括:授权专利数量具备较大规模,在核心技术上有核心专利,专利布局严密并具有前瞻性,权利要求保护范围大,权利基本无瑕疵,专利成果转化效益良好,在相关领域具有明显的专利竞争优势;授权专利数量、核心技术核心专利、专利布局、权利要求保护范围、专利成果转化效益等综合情况良好,在相关领域具有一定的专利竞争优势;授权专利数量少,在核心技术上无专利,专利布局不严密,权利要求保护范围小,权利有重大瑕疵,专利成果转化效益差,在相关领域不具备专利竞争优势。知识产权风险分析的得分细则包括:专利风险分析实质内容充分,专利风险把握准确,提供有效的风险应对措施;专利风险分析实质内容较充分,专利风险把握较准确,提供基本有效的风险应对措施;专利风险分析缺乏实质内容,专利风险把握不准确,缺乏有效的风险应对措施;无专利风险分析。技术文档的得分细则包括:提供概要设计、安全设计、详细设计和打包测试的全部技术文档,文档完备、规范、一致;提供概要设计、安全设计、详细设计和打包测试的部分技术文档;未提供文档或提供无效文档。
根据开源和非开源两种不同的技术体系,对基于开源或非开源技术体系的基础软件的代码设计进行评估。自主代码设计情况的评估内容包括系统结构模块划分及重要性系数、子模块划分及重要性系数和子模块分值。
1)参考gjb7716-2012、gjb7717-2012、gjb7718-2012和gjb7719-2012的模块分类,基于开源技术体系的基础软件划分为以下系统结构模块,并确定了重要性系数。
固件的系统结构模块包括:各类协议和基础服务、板级管理软件;驱动模块、操作系统加载器。
桌面操作系统的系统结构模块包括:基础内核、基础编译器、基础库、二进制工具集;编程接口、安全模块、硬件平台适配模块;图形库、图像库、窗口系统、运行时api、桌面系统、集成开发环境;桌面应用软件(包括即时通信、输入法、视频、音频、邮件等)
网络交换机操作系统的系统结构模块包括:基础内核、基础编译器、基础库、二进制工具集;编程接口、高可用支撑模块、安全模块、硬件平台适配模块;api、运行时、中间件、集成开发环境、网络交换机专用软件;网络交换机应用软件(包括web服务、共享服务等。
嵌入式操作系统的系统结构模块包括:核心模块;扩展模块;专用模块;
数据库管理系统的系统结构模块包括:数据层模块;数据服务层模块;接口模块;客户工具层模块;专用模块。
办公软件的系统结构模块包括:文档格式模块、i/o模块;构架实现、ui模块、二次开发接口;底层支持库。浏览器的系统结构模块包括:javascript引擎;浏览器集成运行环境。网络协议软件的系统结构模块包括:网络数据包捕获模块;网络协议分析模块;存储模块。云计算平台软件的系统结构模块包括:弹性计算、容器服务、跨域数据传输;全局文件系统;对象存储。
2)对每个系统结构模块,根据实现的功能,进一步划分为若干子模块,依据其重要程度,分别指定重要性系数,分为三档。
关键功能模块的划分依据:产品核心功能模块;一般功能模块的划分依据:产品标准功能模块。扩展功能模块的划分依据:产品扩展功能模块。
3)对每个子模块,规定了评分细则及分值。
自主代码比率的得分细则包括:借鉴主流开源代码,提供完整的开源代码分析文档和设计文档,自主代码比率≥30%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;借鉴主流开源代码,提供完整的开源代码分析文档和设计文档,自主代码比率介于20%~30%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;借鉴主流开源代码,提供完整的开源代码分析文档和设计文档,自主代码比率介于10%~20%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;借鉴主流开源代码,提供完整的开源代码分析文档和设计文档,自主代码比率介于5%~10%,具备按照需求修改源代码的能力;借鉴主流开源代码,提供完整的开源代码分析文档和设计文档,自主代码比率低于2%~5%,具备按照需求修改源代码的能力;借鉴主流开源代码,提供完整的开源代码分析文档和设计文档,自主代码比率<2%。
代码分析与注释的得分细则包括:代码分析说明文档(包括需求分析文档、架构设计/分析文档、功能设计实现/分析文档、引用模块的分析文档、改动模块的说明文档等)和代码注释齐全,与产品源代码对应性好;代码分析说明文档(包括需求分析文档、架构设计/分析文档、功能设计实现/分析文档、引用模块的分析文档、改动模块的说明文档等)或代码注释较为齐全,与产品源代码对应性较好;缺少代码分析说明文档(包括需求分析文档、架构设计/分析文档、功能设计实现/分析文档、引用模块的分析文档、改动模块的说明文档等)和代码注释。
代码定制优化能力的得分细则包括:同类产品现场考核评估,总分排名第一;同类产品现场考核评估,总分排名第二;同类产品现场考核评估,总分排名第三;同类产品现场考核评估,总分排名第四;同类产品现场考核评估,总分排名第五;同类产品现场考核评估,总分排名超出前五。
社区参与能力的得分细则包括:一、同类产品中,被redhat、fedora、centos、debian、ubuntu、libreoffice、openoffice、kernel、kvm、openstack、gnome、openssl和docker等主流社区采纳的补丁、建议、模块数量较多,且重要性程度高;二、同类产品中,被redhat、fedora、centos、debian、ubuntu、libreoffice、openoffice、kernel、kvm、openstack、gnome、openssl和docker等主流社区采纳的补丁、建议、模块数量较少,且重要性程度高;三、同类产品中,被redhat、fedora、centos、debian、ubuntu、libreoffice、openoffice、kernel、kvm、openstack、gnome、openssl和docker等主流社区采纳的补丁、建议、模块数量较少,且重要性程度不高;四、同类产品中,被redhat、fedora、centos、debian、ubuntu、libreoffice、openoffice、kernel、kvm、openstack、gnome、openssl和docker等主流社区采纳的补丁、建议、模块数量最少,且重要性程度不高。
基于非开源技术体系的基础软件的评估内容主要针对自主代码设计情况。自主代码设计情况的评估内容包括系统结构模块划分及重要性系数、子模块划分及重要性系数和子模块分值。
1)系统结构模块划分及重要性系数:与基于开源技术体系的基础软件一致。2)子模块划分及重要性系数:与基于开源技术体系的基础软件一致。3)子模块分值:对每个子模块,规定了评分细则及分值,如下:
自主代码比率的得分细则包括:源代码自主编写,设计文档完整一致,自主代码比率≥90%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;源代码和设计文档自主编写,设计文档完整一致,自主代码比率介于80%~90%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;源代码和设计文档自主编写,代码模块设计借鉴典型算法,自主代码比率介于70%~80%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;源代码和设计文档自主编写,代码模块设计借鉴典型算法,自主代码比率介于50%~70%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;源代码和设计文档自主编写,代码模块设计借鉴典型算法,自主代码比率介于30%~50%,全面掌握源代码的结构和实现方法,具备按照需求修改源代码的能力;源代码非自主实现,自主代码比率介于20%~30%,部分掌握源代码的结构和实现方法,但了解源代码功能;源代码非自主实现,自主代码比率<20%。
代码分析与注释的得分细则包括:代码分析说明文档(包括需求分析文档、架构设计/分析文档、功能设计实现/分析文档、引用模块的分析文档、改动模块的说明文档等)和代码注释齐全,与产品源代码对应性好;代码分析说明文档(包括需求分析文档、架构设计/分析文档、功能设计实现/分析文档、引用模块的分析文档、改动模块的说明文档等)或代码注释较为齐全,与产品源代码对应性较好;缺少代码分析说明文档(包括需求分析文档、架构设计/分析文档、功能设计实现/分析文档、引用模块的分析文档、改动模块的说明文档等)和代码注释。
代码定制优化能力的得分细则包括:同类产品现场考核评估,总分排名第一;同类产品现场考核评估,总分排名第二;同类产品现场考核评估,总分排名第三;同类产品现场考核评估,总分排名第四;同类产品现场考核评估,总分排名第五;同类产品现场考核评估,总分排名超出前五。集成开发环境的得分细则包括:编译系统采用自主研发产品;编译系统采用改造后的开源产品;编译系统采用开源产品;编译系统采用境内商用产品;编译系统采用境外商用产品。安装包制作工具的得分细则包括:安装包制作工具采用自主研发产品;安装包制作工具采用改造后的开源产品;安装包制作工具采用开源产品;安装包制作工具采用境内商用产品;安装包制作工具采用境外商用产品。测试过程及文档的得分细则包括:覆盖对所有一级和二级模块的完整测试过程,包括单元测试、集成测试和系统测试,具备完整的测试过程文档;覆盖对一级模块的集成测试和系统测试,对二级模块的测试不完整,具备相应的测试文档;不能达到以上要求。配置管理的得分细则包括:可追踪软件生命周期各阶段的所有版本,可控制、记录、追踪对软件所有版本的修改,缺陷管理完善,前后一致并可追溯;可追踪软件开发阶段的主要版本,可控制、记录、追踪对软件主要版本的修改,缺陷管理较为完善,前后一致并可追溯;不能达到以上要求。根据从事本领域产品的研制时间判定技术积累时间的得分。根据可批量生产并长期稳定供货的本类产品上两个年度的市场占有率在同类产品中的排名(事业单位以合同额、企业单位以销售额作为评价指标)判定研制单位市场竞争力的得分。根据核心研制团队和管理团队是否全部为境内人员以及境内开发人员的占比判定人员构成的得分。根据获得cmmi认证的级别判定cmmi资质的得分。
根据如下二公式计算基础软件的自主可控度ocr:
依据系统结构模块、子模块划分和代码行数,确定每个功能模块的自主可控度得分值,并计算自主代码比率的得分s自主代码比率:
上式中:
n为第i个一级评估内容中的二级评估内容的总项数;
wi为第i个一级评估内容的权重值;
wij为第i个一级评估内容中的第j个二级评估内容的权重值;
sij为第i个一级评估内容中的第j个二级评估内容的自主可控度得分;
x为第p个系统结构模块的总数;
y为第p个系统结构模块中的所包含的第q个子模块总数;
cp为第p个系统结构模块的重要性系数;
cpq为第p个系统结构模块的第q个子模块的重要性系数;
mpq为第p个系统结构模块中的第q个子模块的分值。
本发明的技术方案能够准确、全面的计算出网络安全设备的自主化程度,评估出网络安全设备的国产化率,是一种可量化的网络安全设备自主可控度评估方法。本发明一方面可以指导产品研制部门开展自主可控度自评价,促进产品不断改进完善和自主化水平的提高,另一方面也可以作为第三方评估机构开展产品自主可控度评估的基本依据,评估结果可以为应用部门把握产品自主可控程度、开展产品选型工作提供数据支撑。本评估体系明确了进行自主可控度评估的一级评估内容和权重值,以及每一项一级评估内容包括的二级评估内容和权重值。科学系统、指标明确,可指导对网络安全设备的自主可控度评估。
以上所述仅为本发明的优选实施例,并不用于限制本发明,对于本领域技术人员而言,本发明可以有各种改动和变化。凡在本发明的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
- 还没有人留言评论。精彩留言会获得点赞!