关键词:
近年来,随着信息技术的高速发展和网络安全监管需求的不断提升,以传统信息系统为关注对象的《定级指南》也在实际工作中遇到一些问题,反映出一定的局限性,不能满足新形势下等级保护定级工作的需要,主要体现在:
安全的内涵由早期面向数据的信息安全,过渡到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全.《中华人民共和国网络安全法》在总则的第一条中明确指出,本法的立法宗旨是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益”。安全内涵的演进必然带来等级保护对象和工作内容的变化,对等级保护工作也提出了新的要求。
随着互联网融入社会生活的方方面面,信息技术产品和系统的重要性不断提高,其作用和地位已经由最初的辅助、支撑,逐步成为不可或缺的信息基础设施。
习近平总书记在中央网信领导小组第一次会议上的讲话中指出:“当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会和军事等领域发展产生了深刻影响。”信息技术产品和系统在国家安全和社会生活中重要性和地位的提升,对安全保护等级的定义也带来了显著影响。
第三,新技术新应用不断涌现
云计算、物联网、大数据和移动互联网等新技术新应用在给社会和公众带来巨大便利的同时,也对等级保护工作,特别是定级工作提出了新的挑战。例如,云计算服务带来了“云主机”等虚拟计算资源,也将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任,导致云环境下的定级工作更加复杂和困难。
第四,等级保护政策体系进一步完善
《中华人民共和国网络安全法》确立了网络安全等级保护制度的法律地位,建立了以《网络安全等级保护条例》(征求意见稿)为核心的等级保护2.0政策体系,与之配套的等级保护标准体系,特别是《定级指南》需要在全面性、时效性和可操作性等方面进一步加以完善,以适应新形势下等级保护工作的需要。
定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
对比GB/T 22240-2008,2020版定级指南,有了很大的改变,主要有以下方面。
与GB/T 22240-2008相比,本次《定级指南》修订工作的主要技术变化如下:
――标准名称变更为《信息安全技术网络安全等级保护定级指南》。
――修改了等级保护对象、信息系统的定义,增加了通信网络设施、数据资源等术语和定义;
――增加了通信网络设施和数据资源的定级对象确定方法;
――增加了特定定级对象定级说明;
――修改了定级流程。
GB/T 22240-2008中,等级保护对象被定义为:“信息安全等级保护工作直接作用的具体信息和信息系统”,这是与当时的技术发展状况和等级保护工作需求相适应的。但近年来,随着云计算平台、物联网和工业控制系统等新形态的等级保护对象不断涌现,原定义内涵的局限性日益显现,无法全面覆盖当前的等级保护工作对象,需要进一步扩充和完善以适应当前工作的需要。
汇总分析习总书记关于网络安全的系列重要讲话,以及《中华人民共和国网络安全法》、《“十三五”国家信息化规划》和《国家网络空间安全战略》等法律法规和文件对于网络安全内涵的阐述和相关要求可以看出,当前关注的网络安全是面向网络空间的安全,重点涉及信息系统、网络基础设施和重要数据资源等,因此等级保护对象的定义也应从这三个方面出发,全面覆盖。
首先,计算机信息系统是等级保护制度最早确定的保护对象。《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)的第九条规定:“计算机信息系统实行安全等级保护。”随着信息技术的发展,传统的计算机信息系统与互联网、工业控制、云计算、物联网和移动互联等新技术新应用不断融合,涌现出工业控制系统、云计算平台、物联网等多种新的信息系统形态。
其次,通信网络设施作为等级保护对象之一是在2003年予以明确。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。随着信息化的发展进程,通信网络设施也由最初的电信传输网和互联网基础信息网络,逐步扩展到广播电视传输网,以及跨省的行业专网或业务专网。
第三,数据资源是随着云计算和大数据应用等新技术新应用而涌现出来的一类新型等级保护对象。数据资源的最初形态是计算机信息系统中的各类信息集合,如业务信息、配置信息和管理信息等,是特定信息系统的组成部分。但随着我国由工业化向信息化的转型,以开发和利用信息资源为目的的经济活动迅速扩大,逐步出现了面向大数据的应用需求。大数据所具有体量巨大、类型繁多、处理速度快等特质,决定了大数据难以采用传统数据结构进行有效处理,需要引入新的分布式体系结构和计算平台,如云计算平台进行存储、操作和分析,而这些技术和平台的引入则进一步推动了数据资源、数据处理平台和网络运营者的解耦,即大数据资源、大数据应用/工具和大数据基础平台可能从属于不同的网络运营者,所有权和安全责任的分离导致大数据逐步成为独立的等级保护对象。
综上,修订后的等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。
其中,通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;而数据资源的典型例子是大数据。
所以,数据安全已经囊括在网络安全等级保护制度之内了,《数据安全法》明确了“开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务”。而随着新技术新应用的应用与发展,包括车联网、太空网络等等,都可以纳到网络安全等级保护这个大制度之内。后期,我们将根据已有资料再和大家一起整理,欢迎持续关注。
参考资料:
原文始发于微信公众号(祺印说信安):网络安全等级保护:等级保护确定定级对象
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论