freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

解读GBT 22240-2020 《信息安全技术 网络安全等级保护定级指南》
2023-01-10 14:16:54
所属地 黑龙江省

为了配合《中华人民共和国网络安全法》的实施,同时适应云计算、移动互联、物联网、工业控制和大数据等新技术、新应用情况下网络安全等级保护工作的开展,对原有标准GB/T 22240-2008 进行了修订。形成新的网络安全等级保护定级指南标准——GB/T 22240-2020 《信息安全技术  网络安全等级保护定级指南》(以下简称定级指南),于2020年11月1日起正式实施。下面将对定级指南中的内容进行详细解读。

一、安全保护等级

定级指南中明确了网络安全保护等级为五个级别,从低到高分别为第一级:用户自主保护级;第二级:系统审计保护级;第三级:安全标记保护级;第四级:结构化保护级;第五级:访问验证保护级。

各安全保护等级的定义如下:

第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;第二级 :等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。

二、定级要素

通过对五个级别的定义可以了解到等级保护定级包含两个要素为“受侵害的客体”与“对客体的侵害程度”。

1)受侵害的客体

a) 公民、法人和其他组织的合法权益;

b) 社会秩序、公共利益;

c) 国家安全。

2)对客体的侵害程度

a) 造成一般损害;

b) 造成严重损害;

c) 造成特别严重损害。

将定级要素与安全保护等级进行关联,形成定级要素与安全保护等级的关系列表,明确对不同受侵害客体产生损害所对应的安全保护等级。

定级要素与安全保护等级的关系表

受侵害的客体对客体的侵害程度
一般损害严重损害特别严重损害
公民、法人和其他组织的合法权益第一级第二级第二级
社会秩序、公共利益第二级第三级第四级
国家安全第三级第四级

第五级

三、定级流程

安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据定级指南组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。定级流程为1.确定定级对象2.初步确定等级3.专家评审4.主管部门核准5.备案审核五个步骤。

注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据定级指南自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。

3.1 确定定级对象

在确定安全保护等级前,首先要明确定级对象,定级对象的基本特征如下:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。

注:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。

针对云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施、数据资源等在满足以上基本特征的基础上,还应遵循以下定级要求:

序号

定级对象

定级要求

1

云计算平台/系统

  • 云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级;
  • 根据不同服务模式将云计算平台/系统划分为不同的定级对象;
  • 对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。

2

物联网

  • 物联网主要包括感知网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。

3

工业控制系统

  • 工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素;
  • 现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;
  • 生产管理要素宜单独定级;
  • 对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

4

采用移动互联技术的系统
  • 主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。

5

通信网络设施

  • 对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象;
  • 跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。

6

数据资源

  • 数据资源可独立定级;
  • 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;
  • 当安全责任主体不同时,大数据应独立定级。

3.2 初步确定安全保护等级

定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定,定级对象的定级方法按照以下流程进行:a)确定受到破坏时所侵害的客体1)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到侵害时所侵害的客体。b)确定对客体的侵害程度1) 根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。c) 确定安全保护等级1) 确定业务信息安全保护等级;2) 确定系统服务安全保护等级;3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。

3.3 确定安全保护等级

1)安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。

2)有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。

3)最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。

注:1)对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。

2)对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。3)涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。3.4 等级变更

当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据定级指南重新确定定级对象和安全保护等级。

小结:

定级指南中明确了网络安全保护等级为五个级别;并指出了定级的两个要素为“受侵害的客体”与“对客体的侵害程度”;并规定了定级流程为1.确定定级对象2.初步确定等级3.专家评审4.主管部门核准5.备案审核五个步骤。

# xss
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录