下载掌阅APP,畅读海量书库
立即打开
在进行定级之前,首先需要对定级对象进行确认,例如,一个企业中可能存在很多系统,那么确定定级对象的前提是企业需要首先梳理自己的信息化资产,将部署在国内的系统列出,然后才能着手定级工作。定级对象的合理划分与确认对于整个等级保护工作的开展极其重要。如果定级对象划分过大,会导致无法实施合理的安全策略或者安全策略设定极其复杂,容易产生错误和矛盾,但是如果划分过细,则会使一个企业拥有很多的定级对象,后期开展等级保护工作的成本较高。因此,在需要开始定级工作之前,首先要全面梳理安全责任主体自身负责的IT资产,确定业务应用类型,建议可以将相关联的业务应用作为一个等级保护定级对象,并合理评估被破坏后受侵害的客体和受侵害的程度,确定业务信息和系统服务安全等级,最终确定定级对象的安全保护等级。定级过低无法体现定级对象的重要性,防护能力无法满足网络安全等级工作的要求,但是如果定级过高,那么人力和物力的开销也会过高,造成浪费。
在《网络安全等级保护定级指南》中明确了作为定级对象的系统要具有以下特征:
1)具有确定的主要安全责任主体。这是为了如果定级对象万一出现网络安全事件,至少有安全责任主体进行负责并响应处理。
2)承载相对独立的业务应用。如果有多个不相关的业务应用,不建议合并成为一个定级对象。
3)包含相互关联的多个资源。例如,单独一个网络设备、防火墙或服务器操作系统不应作为定级对象。
云计算 技术应用场景中,由于云租户主要使用云服务平台提供的相关服务,因此应该将云服务平台和云租户系统分开作为等级保护定级对象,并且按照使用的云计算技术服务模式不同,分别按照IAAS、PAAS和SAAS的模式来进行定级例如,一个云平台定级对象如果提供IAAS服务,同时也提供PAAS服务,那么应该分开作为两个等级保护定级对象。
物联网 技术应用场景中,定级对象应该包括感知层、传输层和处理应用层,单个层原则上不作为定级对象。
工业控制 技术应用场景中,一般将现场生产设备、生产控制、生产监控等作为一个定级对象,而生产管理相关业务系统作为单独的定级对象。例如,在常规电厂中,一般会划分生产大区一区和生产大区二区来进行业务部署,现场生产设备、生产控制及生产监控等相关业务会部署于生产大区一区之中,而生产管理相关业务则部署于生产大区二区之中,并且要求生产一区与生产二区之间部署单向传输设备进行隔离。
移动互联 技术应用场景中,定级对象应该包括移动终端、移动应用和无线网络等,单个设备、软件或者网络不单独作为定级对象。
在考虑划分定级对象时,建议同时考虑定级对象的边界,尤其是在网络安全等级保护的基本要求正式推出之后,与之前信息安全等级保护基本要求的一大区别为安全区域边界的要求,可以在建设多个定级对象的时候,将相同安全等级的对象部署在一个区域边界中,这样可以降低边界防护措施建设的开销。例如,已举办的某世界博览会网络拓扑图如图3-2所示,从图中可以看到,其应用系统按照等级保护3级和等级保护2级分开部署于不同的区域中,并且建立了统一的安全管理区域,服务于大部分等级保护对象。当时此博览会官方网站的等级保护等级定级为3级,因为其承担了对外宣传的工作,系统可用性要求高,受到破坏后,会对社会秩序、公共利益造成严重损害;同时,内部业务核心相关处理系统也应定级为3级,因为其处理大量博览会出入申请等大量数据,保存有许多个人用户信息,系统保密性、完整性和可用性要求都很高,受到破坏后,会对社会秩序、公共利益造成严重损害。
图3-2 某世界博览会网络拓扑图
当然,由于不同行业业务性质的不同,无法采用统一的标准来对等级保护对象进行确认及划分,因此,有些行业为此发布了行业网络安全定级相关指南文件,用于行业中企业定级时参考。例如,教育部办公厅于2014年发布了《教育行业信息系统安全等级保护定级工作指南(试行)》,其中将教育部门的系统分类为政务管理类、学校管理类、学生管理类、教师管理类和综合服务类,而学校的系统分类为校务管理类、教学科研类、招生就业类、综合服务类。邮政业于2015年发布了行业标准《邮政业信息系统安全等级保护指南》,根据业务属性分为了3类业务大类:邮政服务、快递服务和邮政管理;邮政服务包括核心生产作业类、邮政特殊服务类、电子商务类、门户网站类、运营管理类及其他,快递服务包括核心运营类、在线服务类、客户服务类、门户网站类、运营管理类及其他,邮政管理分为行业管理类、公共服务类、内部管理类、数据资源类及其他。
1.定级方法
根据《网络安全等级保护定级指南》中规定,等级保护对象最终定级的依据是其受到破坏时相应所侵害的客体受侵害的程度,其关系如表3-6所示。当定级对象受到破坏时,如果出现多个客体同时受到侵害,最终级别以其中受到侵害所对应的最高级别为最终定级级别。
表3-6 网络安全保护等级与客体受侵害程度的关系
2.定级流程
为了确定等级保护对象的安全保护等级,需要首先确定其业务信息和系统服务受到破坏之后所侵害的客体及客体所受侵害的程度,然后依据安全保护等级与客体受侵害程度的关系来分别确定业务信息安全保护等级和系统服务安全保护等级,最终根据其中等级较高者确定定级对象的安全保护等级。具体流程如图3-3所示。
图3-3 定级流程
定级对象安全等级的决定性因素:业务信息安全等级和系统服务安全等级,两者对于定级对象的安全保护关注点不同,业务信息安全等级关注在系统中所存储和处理的各类数据信息的安全保护程度及破坏后产生的影响,涉及安全三要素中保密性和完整性的保护,而系统服务安全等级则是从系统能够按照设计和需求完成一系列工作和服务的角度来考虑,涉及安全三要素中可用性的保护。
当等级保护对象涉及的业务信息和系统服务发生变化时,需要重新评估其业务信息安全和系统服务安全受到破坏后,受侵害的客体及其受侵害的程度是否发生变化,如果发生了变化,需要重新确定定级对象的安全保护等级。
3.系统定级参照
一般情况下,实际信息系统的定级可以根据系统的服务对象、服务范围等,同时参照以下原则进行定级。
第一级信息系统:一般适用于小型私营企业、个体企业、中小学、乡镇所属信息系统、县级单位中一般的信息系统。
第二级信息系统:一般适用于县级某些单位中的重要信息系统;地市级以上国家机关、企事业单位内部一般的信息系统,例如,非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。
第三级信息系统:一般适用于地市级以上国家机关、企业、事业单位内部的重要信息系统,例如,涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统;跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及在省、地市的这类分支系统;中央各部委、省(区、市)门户网站和重要网站;跨省连接的网络系统等。
第四级信息系统:一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如,电力、电信、广电、铁路、民航、银行、税务等重要部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。
第五级信息系统:一般适用于国家重要领域、重要部门中的极端重要系统。
4.定级形态
定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者确定,其中业务信息安全是指保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权修改的信息安全类要求,系统服务安全是指保护系统连续正常地运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求。将业务信息安全类要求标记为S类,系统服务保证类要求标记为A类,通用安全保护类要求标记为G类,不同等级的定级形态如下。
第一级:S1A1G1。
第二级:S2A2G2、S2A1G2、S1A2G2。
第三级:S1A3G3、S2A3G3、S3A3G3、S3A2G3、S3A1G3。
第四级:S1A4G4、S2A4G4、S3A4G4、S4A4G4、S4A3G4、S4A2G4、S4A1G4。