

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 计算安全分数
<a name="standards-security-score"></a>

在 Sec AWS urity Hub CSPM 控制台上，“**摘要**” 页面和 “**控制**” 页面显示所有已启用标准的安全分数摘要。在**安全标准**页面上，Security Hub CSPM 还会显示每个已启用标准的安全分数（介于 0-100% 之间）。

首次启用 Security Hub CSPM 时，Security Hub CSPM 会在您首次访问控制台上的**摘要**或**安全标准**页面 30 分钟内计算出摘要安全分数和标准安全分数。仅针对您访问控制台上的这些页面时启用的标准生成分数。此外，必须配置 AWS Config 资源记录才能显示分数。摘要安全评分是标准安全评分的平均值。要查看当前启用的标准列表，你可以使用 Security Hub CSPM API 的[GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html)操作。

首次生成分数后，Security Hub CSPM 每 24 小时更新一次安全分数。Security Hub CSPM 显示时间戳以指示安全分数上次更新的时间。请注意，在中国区域和 AWS GovCloud (US) Regions生成首次安全分数最多需要 24 小时。

如果您启用[整合的控件调查发现](controls-findings-create-update.md#consolidated-control-findings)，则最长可能需要 24 小时才能更新安全分数。此外，启用新的聚合区域或更新关联区域会重置现有的安全分数。Security Hub CSPM 最多可能需要 24 小时才能生成包含来自更新区域的数据的新安全分数。

## 计算安全分数的方法
<a name="standard-security-score-calculation"></a>

安全分数表示**通过**的控件与已启用的控件的比例。分数显示为四舍五入到最接近的整数的百分比。

Security Hub CSPM 会计算所有已启用标准的摘要安全分数。Security Hub CSPM 还会计算每个已启用标准的安全分数。为了计算分数，启用的控件包括状态为**通过**、**失败**和**未知**的控件。状态为**无数据**的控件将排除在分数计算之外。

在计算控件状态时，Security Hub CSPM 会忽略已存档和隐藏的调查发现。这可能会影响安全分数。例如，如果您隐藏控件的所有失败的调查发现，则其状态将变为**已通过**，这反过来可以提高安全分数。有关控件状态的详细信息，请参阅 [评估合规性状态和控件状态](controls-overall-status.md)。

**评分示例：**


| 标准 | 已通过的控件 | 失败的控件 | 未知控件 | 标准分数 | 
| --- | --- | --- | --- | --- | 
| AWS 基础安全最佳实践 v1.0.0 | 168 | 22 | 0 | 88% | 
| 独联体 AWS 基金会基准测试 v1.4.0 | 8 | 29 | 0 | 22% | 
| 独联体 AWS 基金会基准测试 v1.2.0 | 6 | 35 | 0 | 15% | 
| NIST 特别出版物 800-53 第 5 版 | 159 | 56 | 0 | 74% | 
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% | 

在计算摘要安全分数时，Security Hub CSPM 在各类标准中只计算每个控件一次。例如，如果您启用了一个适用于三个启用标准的控件，则出于评分目的，它仅算作一个启用的控件。

在此示例中，虽然跨已启用标准的已启用控件总数为 528 个，但出于评分目的，Security Hub CSPM 仅对每个唯一控件进行一次计数。唯一启用的控件的数量可能低于 528。如果我们假设唯一启用的控件的数量为 515，并且唯一通过的控件的数量为 357，则汇总分数为 69%。该分数的计算方法是将唯一通过的控件数量除以唯一启用的控件数量。

即使您在当前区域的账户中只启用了一个标准，摘要分数也可能与标准安全分数不同。如果您登录到管理员账户并且成员账户启用了其他标准或不同的标准，则可能会发生这种情况。如果您正在查看聚合区域的分数并且在链接的区域中启用了其他标准或不同的标准，也可能会发生这种情况。

## 管理员账户的安全评分
<a name="standard-security-score-admin"></a>

如果您登录了管理员账户，则摘要安全分数和标准分数会说明管理员账户和所有成员账户中的控件状态。

如果一个成员账户中的控件状态为**失败**，则管理员账户中的控件状态为**失败**，这会影响管理员账户的分数。

如果您已登录管理员账户并正在查看聚合区域的分数，则安全分数会考虑所有成员账户*和*所有关联区域中的控件状态。

## 安全分数（如果您已设置聚合区域）
<a name="standard-security-aggregation-region"></a>

如果您设置了聚合 AWS 区域，则摘要安全分数和标准分数将全部考虑控制状态 关联的地区。

即使在一个关联区域中，控件的状态也为**失败**，则其在聚合区域中的状态为 **失败**，这会影响聚合区域分数。

如果您已登录管理员账户并正在查看聚合区域的分数，则安全分数会考虑所有成员账户*和*所有关联区域中的控件状态。