《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 2020「網(wǎng)絡(luò)安全等級保護定級指南」最新解讀,這些重點必須注意,!

2020「網(wǎng)絡(luò)安全等級保護定級指南」最新解讀,,這些重點必須注意!

2020-05-15
來源:中國互聯(lián)網(wǎng)大會

新版《GBT 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》正式發(fā)布,,新的國標將于2020年11月1日正式實施。騰訊安全平臺部天幕團隊聯(lián)合騰訊安全專家咨詢中心,、云鼎實驗室,、安全管理部標準團隊,針對新版定級指南的一些變化劃重點解讀,,供廣大企業(yè)參考,。


01

定級原理及流程

1、安全保護等級如何劃分,?

本部分變化較小,,依舊是五個等級,從一級到五級由低到高?,F(xiàn)在對于定級系統(tǒng)的稱呼統(tǒng)一改為等級保護對象(舊標準中稱為信息系統(tǒng)),,這也與等保2.0其他系列標準保持一致。

2,、等保定級要素都有哪些,?

要素可以說基本沒有變化,依舊沿用之前的定義,。

  • 等級保護對象要素的兩個方面:

1)受侵害的客體,;

2)對客體的侵害程度。

  • 等級保護對象受侵害客體的三個方面:

1)公民,、法人和其他組織的合法權(quán)益,;

2)社會秩序、公共利益,;

3)國家安全,。

  • 等級保護對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種:

1)造成一般損害,;

2)造成嚴重損害;

3)造成特別嚴重損害,。

  • 定級要素與安全保護等級的關(guān)系

微信圖片_20200515145932.png

之前行業(yè)內(nèi)關(guān)于等保2.0基本要求的解讀中,,曾經(jīng)提過對于公民、法人和其他組織和合法權(quán)益受到特別嚴重損害會定為第三級,,但是從新版《指南》的官方結(jié)論,,依舊按照舊版定為第二級,這里明確說明一下,。

3,、定級流程是怎樣的?

第二級及以上等級保護對象定級流程新增專家評審環(huán)節(jié),,不再自主定級,,需要聘請專家認定等級保護對象的級別。


02

確定定級對象

1,、哪些企業(yè)和機構(gòu)需要定級備案,?

定級對象的范圍相比舊標準變化較多,本次《指南》包含了云計算,、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng),、采用移動互聯(lián)技術(shù)的系統(tǒng),、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源,我們來具體看下,。

通用定級對象基本特征明確,,共計三點:

  • 具有確定的主要安全責任體;

  • 承載相對獨立的業(yè)務(wù)應(yīng)用,;

  • 包含相互關(guān)聯(lián)的多個資源,。

從這幾個特征來看,基本互聯(lián)網(wǎng)上的系統(tǒng)差不多都要定級備案,?!吨改稀方o出了有關(guān)安全責任主體的解釋:包括但不限于企業(yè)、機關(guān)和事業(yè)單位等法人,,以及不具備法人資格的社會團體等其他組織,。

以前很多人一直有個疑問,我們的系統(tǒng)很小,,沒多少數(shù)據(jù),,就不需要定級了。現(xiàn)在官方給出了解釋,,企事業(yè)單位,、機關(guān)基本都是具有法人的,,那么這些單位的系統(tǒng)必須都要定級備案。其他團體(包括公益組織)和中小私營企業(yè)原則上也都要對系統(tǒng)進行定級備案,。這個事情基本是躲不過去的,。

2、哪些系統(tǒng)屬于強制定級備案范疇,?

  • 云計算平臺/系統(tǒng)

《指南》明確表示,,云上租戶和云服務(wù)商的等級保護對象要分開定級,根據(jù)云上服務(wù)模式再分別定級,。就是說,,云服務(wù)商的平臺對外提供SaaS、PaaS,、IaaS三種服務(wù)模式,,那么就分為三個對象來分別定級。

對于大型云計算平臺,,除了服務(wù)模式之外還可能根據(jù)基礎(chǔ)設(shè)施和輔助服務(wù)系統(tǒng)再次分別定級,。不過這里《指南》中用了“宜”這個字,,以我們的觀點來看,,應(yīng)該是建議而非強制要求。

另外,,對于騰訊云這種大型云計算平臺的要求,,同樣也適用于搭建私有云和混合云的大中型企業(yè)。

  • 物聯(lián)網(wǎng)

通常是以系統(tǒng)為單位,,將所有邊緣設(shè)備和應(yīng)用統(tǒng)一起來,,作為一個整體來定級。(比如某些智能家居系統(tǒng),,就要以整體平臺作為定級對象,,不能以不同家庭或不同區(qū)域作為定級對象)

  • 工業(yè)控制系統(tǒng)

不同于其他行業(yè),《指南》要求對于工業(yè)控制系統(tǒng),,將現(xiàn)場,、過程控制要素作為一個整體定級,而生產(chǎn)管理要素單獨再作為一個定級對象,。也就是一個工業(yè)控制系統(tǒng),,最終會分成兩個對象定級備案。

對于大型工控系統(tǒng),,類似大型云計算平臺要求,,根據(jù)功能、主體,、控制對象和生產(chǎn)廠商等因素劃分多個定級對象,。這里《指南》并不是建議,,而是要求,也就是說大型工控系統(tǒng)會進行拆分定級,。

  • 采用移動互聯(lián)技術(shù)的系統(tǒng)

《指南》為這類系統(tǒng)進行了簡要描述,,即包括移動終端(手機、平板,、筆記本),、移動應(yīng)用和無線網(wǎng)絡(luò)等特征要素的系統(tǒng)。將所有移動技術(shù)整合,,作為一個整體來定級,。

  • 通信網(wǎng)絡(luò)設(shè)施

主要是通信和廣電行業(yè)的核心網(wǎng)絡(luò),基本可以算得上關(guān)鍵信息基礎(chǔ)設(shè)施了,,也是國家重點關(guān)注的行業(yè)之一,。《指南》建議(用了“宜”)可根據(jù)安全責任主體,、服務(wù)類型或服務(wù)地域劃分不同的定級對象,。根據(jù)以往經(jīng)驗,基本都是采取責任主體或地域劃分居多,,也便于管理,。

而對于運營商網(wǎng)絡(luò)(骨干網(wǎng)、接入網(wǎng)),,多以地市為單位作為定級對象,。《指南》建議跨省行業(yè)或單位專用通信網(wǎng)可作為一個整體對象定級,,這對于運營商企業(yè)來說算是一個利好了。數(shù)據(jù)資源這是新版《指南》提出的一個新要素,。

  • 數(shù)據(jù)資源

可以獨立定級,。定級是基于大數(shù)據(jù)、大數(shù)據(jù)平臺安全責任主體相同與否,。舉個例子,,比如某些電商平臺,數(shù)據(jù)分布在多個平臺,,每個平臺都有獨立法人,,這種情況就應(yīng)該屬于安全責任主體不同,這時就要把數(shù)據(jù)資源單獨作為定級對象,,電商平臺作為另一個定級對象,。


03

確定安全保護等級

1、安全保護等級的定級方式是怎樣的,?

對于通用系統(tǒng)的定級方式?jīng)]有明顯變化,,依舊根據(jù)對業(yè)務(wù)信息的影響和對系統(tǒng)服務(wù)的影響來評判,,二者取最高級別。

2,、確定受侵害的客體與以往相比有哪些變化,?

確定受侵害的客體方面有明顯變化,這里只說明新增變化,。

?侵害國家安全事項方面:

  • 新增影響海洋權(quán)益完整的侵害,;

  • 新增影響國家社會主義經(jīng)濟秩序和文化實力的侵害。

?侵害社會秩序事項方面:

  • 明確提出影響企事業(yè)單位,、社會團體生產(chǎn)秩序,、醫(yī)療衛(wèi)生秩序的侵害;

  • 新增影響公共交通秩序的侵害,;

  • 新增影響人民群眾生活的侵害,。

?侵害公共利益事項方面:

基本無變化。

?確定對客體的侵害程度方面(包括侵害的客觀方面和綜合判定侵害程度)無明顯變化,。

業(yè)務(wù)信息安全等級矩陣表與系統(tǒng)服務(wù)安全等級矩陣表無變化,。

有關(guān)確定安全保護等級和等級變更部分可自行閱讀《指南》原文。

騰訊作為《指南》起草單位之一,,同時也作為大型云服務(wù)商,,從各行業(yè)實踐中梳理和總結(jié)等保2.0時代網(wǎng)絡(luò)安全合規(guī)工作方式與方法,以“一個中心,、三重防護”為核心,,旨在助力提升企業(yè)網(wǎng)絡(luò)安全能力,規(guī)避和緩解企業(yè)風險,。騰訊安全整合騰訊天幕等團隊在云計算+邊緣計算,、AI、大數(shù)據(jù)以及IPv6普及化等方面的能力優(yōu)勢,,為企業(yè)提供基于強大算力的安全支持,,滿足新場景下的安全合規(guī)需求。

?目前,,騰訊云已通過等級保護三級,、騰訊金融云已通過等級保護四級要求,可以為云租戶提供一個合規(guī)的云平臺,,這也是租戶業(yè)務(wù)系統(tǒng)通過等級保護2.0測評的先決條件,。如何快速配置符合等保規(guī)定的云服務(wù)器,成為企業(yè)亟待解決的難題之一,。對此,,騰訊安全云鼎實驗室推出全球首個云原生默認等保合規(guī)鏡像并免費開放,用戶一鍵即可自動完成基礎(chǔ)合規(guī)配置。

?安全解決方案方面,,針對等保二級和三級的要求,,騰訊云擁有包含安全管理中心、防火墻,、網(wǎng)絡(luò)入侵防護系統(tǒng),、Web應(yīng)用防火墻、DDoS高防,、數(shù)據(jù)安全網(wǎng)關(guān),、主機安全、數(shù)據(jù)庫審計,、堡壘機等云原生安全防護產(chǎn)品,。

?安全服務(wù)方面,以騰訊云完備的合作生態(tài)資原為基礎(chǔ),,騰訊云安全專家服務(wù)團隊聯(lián)合各地等保測評中心提供一站式安全產(chǎn)品及服務(wù),,以及按需提供專業(yè)的增值服務(wù)來幫助騰訊云用戶完成等級保護測評與整改,提升安全防護能力,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]