科学定级是等保建设的首要环节。
如果定级不准确,安全建设和等级测评工作就失去了基础,后期也会出现安全保护能力不足或过度保护的情况,直接影响单位安全保障的效果。
图1 等级保护的规定动作
今天,绿盟君就跟大家分享下,如何对等级保护对象进行科学定级。
一、安全保护等级
《网络安全等级保护条例(征求意见稿)》第十五条规定,根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。(关于“网络”的解释,见条例第三条)
安全保护能力应随着安全保护等级的增高,逐渐增强。
图2 安全保护等级
二、定级对象的类型
等级保护的定级对象主要包括基础网络设施、信息系统(例如:云计算平台、物联网系统、工业控制系统、移动互联系统、其他系统)以及数据资源对象。
三、定级对象的基本特征
1.具有确定的安全责任主体;
2.承载相对独立的业务应用;
3.具有信息系统的基本要素,应避免将某个单一组件(如终端或服务器、网络设备)作为定级对象。
四、定级要素与安全保护等级的关系
等级保护对象的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成的侵害程度。
图3 定级要素与安全保护等级的关系
五、定级方法
定级对象的安全保护等级由业务信息安全(简记为S)保护等级和系统服务安全(简记为A)保护等级的较高者决定。
图4 定级方法流程示意图
六、定级结果
参照定级方法的流程,可以初步确定定级对象存在的安全保护等级。
图5 定级结果组合
七、定级流程
《网络安全等级保护条例(征求意见稿)》第十七条规定,对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。
跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
图6 定级流程
其他等级保护对象的定级要点(参考定级指南报批稿)
云计算平台
在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。
图7 云计算场景不同的定级对象
移动互联系统
移动互联系统的等级保护对象应作为一个整体对象定级,主要包括移动终端、移动应用、无线网络以及相关应用系统等。
物联网
物联网应作为一个整体对象定级,主要包括感知层、网络传输层和处理应用层等要素。
工业控制系统
工业控制系统主要由生产管理层、现场设备层、现场控制层和过程监控层构成。现场设备层、现场控制层和过程监控层应作为一个整体对象定级,各层次要素不单独定级。
接下来的等级保护2.0时代,开展网络安全等级保护成为未来用户合规运营的必经之路。绿盟科技将持续关注等级保护2.0的相关法规标准、市场动态,后续将对云计算、物联网、工业控制系统场景进行深入解读,敬请期待。