前面介紹了國家為什麼要施行網絡安全等級保護制度,讓大家都有所了解國家的安全監管要求,接下來主要講解企業如何進行網絡安全等級保護定級及備案實踐的相關内容。
網絡安全等級保護實施,他有五個規定動作,分别是定級、備案、整改建設、等級測評和監督檢查(51CTO學院搜尋:網絡安全等級保護2.0實踐體系課程(https://edu.51cto.com/course/17518.html))。這節課主要是講定級及備案兩個動作,内容講述如下:
(一)系統如何定級? 先看最新的網絡安全等級保護定級指南
依據《GB/T 22240-2020 資訊安全技術 網絡安全等級保護定級指南》内容,具體如下:
1、安全保護等級
目前需要進行定級備案,分别是二級、三級和四級,五級在等保基本要求未進行内容描述,一級不需要定級備案。相關安全保護等級如下:
2、定級要素
定級要素包括兩個方面,分别為:
受qinhai的客體:(1)公民、法人和其他組織的合法權益;(2)社會秩序、公共利益;(3)國家安全。
對客體qinhai的程度:(1)造成一般損壞;(2)造成嚴重損壞;(3)造成特别嚴重損壞。
3、定級流程
等級保護對象一般定級流程,如下:
保護等級初步定為第二級及以上的等級保護對象,其網絡營運者依據本标準組織進行專家評審、主管部門核準和備案稽核、最終确定其安全保護等級。(注:安全保護等級初步确定為第一級的等級保護對象,其網絡營運者依據本标準自行确定安全保護定級,可不進行專家評審、主管部門核準和備案稽核。)
4、确定等級對象
1)作為定級對象的資訊系統具有如下基本特征(三個):
a)具有确定的主要安全責任體;
b)承載相對獨立的業務應用;
c)包含互相關聯的多個資源。
2)哪些系統屬于強制定級備案範疇?
一類:雲計算平台/系統**
在雲計算環境中,雲服務客戶側的等級保護對象和雲服務商側的雲計算平台/系統需分别作為單獨的定級對象定級,并根據不同服務模式(IASS、PASS和SAAS)将雲計算平台/系統劃分為不同的定級對象。對于大型雲計算平台,宜将雲計算基礎設施和有關輔助服務系統劃分不同的定級對象。
二類:物聯網
通常是以系統為機關,将所有邊緣裝置和應用統一起來,作為一個整體來定級。(比如某些智能家居系統,就要以整體平台作為定級對象,不能以不同家庭或不同區域作為定級對象)。
三類:工業控制系統
不同于其他行業,《指南》要求對于工業控制系統,将現場、過程控制要素作為一個整體定級,而生産管理要素單獨再作為一個定級對象。也就是一個工業控制系統,最終會分成兩個對象定級備案。對于大型工控系統,類似大型雲計算平台要求,根據功能、主體、控制對象和生産廠商等因素劃分多個定級對象。這裡《指南》并不是建議,而是要求,也就是說大型工控系統會進行拆分定級。
四類:采用移動互聯技術的系統
這類系統進行了簡要描述,即包括移動終端(手機、平闆、筆記本)、移動應用和無線網絡等特征要素的系統。将所有移動技術整合,作為一個整體來定級。
五類:通信網絡設施
對于電信網、廣播電視傳輸網等通信網絡設施,宜根據案情責任主體、服務類型或服務地域等因素将其劃分為不同的定級對象。跨省的行業或機關的專用通信網科作為一個整體對象定級,或分區域劃分為若幹個定級對象。
六類: 資料資源**
資料資源可以獨立定級。當安全責任主體相同時,大資料、大資料平台/系統宜作為一個整體對象定級;當安全責任主體不同時,大資料應獨立定級
5、定級方法描述
定級對象的安全主要包括業務資訊安全和系統服務安全,與之相關的受qinhai客體和對客體的qinhai程度可能不同,是以,安全保護等級由業務資訊安全(機密性和完整性)和系統服務安全(可用性)兩方面确定。定級方法流程圖如下:
确定受qinhai的客體時,首先判斷是否qinhai害國家安全(三級),然後判斷是否qinhai社會秩序或公共利益(看嚴重程度定級級别),最後判斷是否侵害公民、法人和其他組織的合法權益(一級或二級)。qinhai客體的影響分類如下:
一類:侵害國家安全的事項影響包括:
a)影響國家zhengquan穩固和lingtuzhuq、海洋權益完整;
b)影響國家統一、民族團結和社會穩定;
c)影響國家社會主義市場經濟秩序和文化實力;
d)其他影響國家安全的事項。
二類:侵害社會秩序的事項包括以下方面:
a)影響國家機關、企事業機關、社會團體的生産秩序、經營秩序、教學科研秩序、醫療衛生秩序;
b)影響公共場所的活動秩序、公共交通秩序;
c)影響人們群衆的生活秩序;
d)其他影響社會秩序的事項。
三類:侵害公共利益的事項包括以下方面:
a)影響社會成員使用公共設施;
b)影響社會成員擷取公開資料資源;
c)影響社會成員接受公共服務等方面;
d)其他影響公共利益的事項。
業務資訊安全和系統服務安全受到pohai後,可能産生以下qinhai後果:
a)影響行使工作職能;
b)導緻業務能力下降;
c)引起法律糾紛;
d)導緻财産損失;
e)造成社會不良影響;
f)對其他組織和個人造成損失;
g)其他影響。
不同侵害後果的三種侵害程度描述如下:
a)一般損害:工作職能受到局部影響,業務能力有所降低但不影響主要功能的執行,出現較輕的法律問題,較低的财産損失,有限的社會不良影響,對其他組織和個人造成較低損害;
b)嚴重損害:工作職能受到嚴重影響,業務能力顯著下降且嚴重影響主要功能的執行,出現較嚴重的法律問題,較高的财産損失,較大範圍的社會不良影響,對其他組織和個人造成較高損害;
c)特别嚴重損害:工作職能受到特别嚴重影響或喪失行使能力,業務能力嚴重下降且功能無法執行,出現極其嚴重的法律問題,極高的财産損失,較大範圍的社會不良影響,對其他組織和個人造成非常高損害;
6、初步确定等級
根據業務資訊安全被破壞時所侵害的客體以及對應的侵害程度,可得到業務資訊安全保護等級:
根據系統服務安全被破壞時所侵害的客體以及對應的侵害程度,可得到系統服務安全保護等級: