网络安全等级保护:等级保护对象的定级过程

admin 2022年1月6日04:49:11安全闲碎评论20 views4386字阅读14分37秒阅读模式

本期关键词

网络安全   等级保护制度

网络安全保护等级  定级  备案

责任主体   核准  审核

我们一直在探讨,网络安全等级保护制度是我国现行网络安全领域的一项重要制度。1994年国务院制定的《计算机信息系统安全保护条例》规定:计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。2007年公安部等部门制定的《信息安全等级保护管理办法》规定,信息系统的安全保护等级根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,分为五级,从第一级至第五级的保护要求渐次提高,并规定了每个等级的范围、信息系统运营者的义务及应对措施等。公安部和标准化主管部门制定了相关标准,明确了网络安全等级定级标准、程序以及各个方面的具体要求。

网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。而网络安全等级保护的五个规定动作,其中有一个就是:定级!

定级过程是需要参照《信息安全技术 网络安全等级保护定级指南》进行科学合理定级的,而定级又分为若干步骤,今天我们讨论的内容就是定级过程。


网络安全等级保护:等级保护对象的定级过程


定级工作步骤
1.定级工作流程
摸底调查,掌握网络底数确定定级对象初步确定网络的安全保护等级专家评审;主管部门核准;公安机关备案公安机关审核
2.定级范围
已经投入运行的网络、新建网络都要定级。
新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步使用网络安全设施,落实安全保护措施。
3.等级确定
第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。
网络的安全保护等级是网络的客观属性。在定级时,应站在维护国家网络安全的高度,综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响,确定网络的安全保护等级。
4.定级工作指导
行业主管部门可以根据定级指南,结合行业特点和网络的实际情况,出台定级指导意见,保证本行业网络在不同地区的安全保护等级的一致性,指导本行业网络的定级工作。
今天,我们将展开探讨这部分内容。分别是确定定级对象、拟定等级、专家评审、主管部门核准;公安机关备案审核网络安全等级保护:等级保护对象的定级过程

确定定级对象

定级,是网络安全保护工作五个规定动作的第一个动作。第一个动作标准不标准,对后续工作的影响是非常大的。第一个动作做好了,后面的工作开展就有了正确的依据,方向也就容易把握了。如果第一个动作错了,后面工作都将偏离轨道。
大家需要对《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020和《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)有所了解。

落实网络安全等级保护制度原则四句话:

一是明确责任,共同保护;

二是依照标准,开展保护;

三是同步建设,动态调整;

四是指导监督,重点保护。

其中涉及到同步建设,动态调整这一原则,也就是在建设过程中尽量开好头,但是如果发现开始时有些环节工作考虑不周全,则可以采取补救措施,进行动态调整。但是带来的结果可能是导致网络设施建成后存在严重的安全隐患,削弱系统防范网络安全风险的能力,而消除这些隐患往往需要是否付出巨大的代价,从而造成严重的资源浪费甚至造成不可挽回的损失。因此,在设计、施工、投入使用阶段做好网络安全技术防护,对于防范网络安全风险、减少网络安全事件的发生具有重要意义。

定级工作参考的是《定级指南》,我们援引相关内容加强大家对国家标准的理解和领悟。

网络运营者开展网络定级前,要搞清网络支撑的业务类型、应用或服务范围、网络结构、数据和信息的规模、重要性等基本情况,为合理定级打好基础。

其实第一步算我们工作中常说的“清底数”,只有底数清了,后面工作才能有的放矢。

网络安全等级保护:等级保护对象的定级过程
定级对象基本特征:
  • 具有确定的主要安全责任主体;

  • 承载相对独立的业务应用;

  • 包含相互关联的多个资源。

注意事项:
  • 主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;

  • 相对独立并不意味着完全独立,可与其他业务应用有少量的数据交换;

  • 多个资源可包括但不限于网络资源、计算资源、存储资源等,应避免将某个单一的系统组件(例如服务器、终端或网络设备)作为定级对象。


确定定级对象参考
  • 起支撑、传输作用的信息网络(包括专网、内网、外网、网管系统)要作为定级对象。但不是将整个网络作为一个定级对象,而是要从安全管理和安全责任的角度将基础信息网络划分成若干安全域或单元去定级。

  • 用于生产、调度、管理、作业、指挥、办公等目的的各类业务系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象的条件。不能将某一类信息系统作为一个定级对象去定级。

  • 各单位网站、邮件系统要作为独立的定级对象。如果网站的后台数据库管理系统安全级别较高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会提供服务的报名考试系统)也要作为独立的定级对象。

  • 对于云平台、大数据、工业控制系统、物联网、移动互联网、卫星系统等,要按照定级指南的要求,合理确定定级对象。

  • 确认负责定级的单位是否对所定级网络负有业务主管责任。也就是说,业务部门应主导对业务网络的定级,运维部门(例如信息中心、托管方)可以协助定级并按照业务部门的要求开展后续安全保护工作。

  • 具有网络的基本要素。作为定级对象的网络、信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。


注:不应将某个单一的系统组件.(例如服务器、终端、网络设备等)作为定级对象。

网络安全等级保护:等级保护对象的定级过程

图片:何威风
拟定保护等级

1.定级责任主体

网络运营者行业主管部门是网络定级的责任主体

2.定级要素

网络的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体对客体造成侵害的程度

网络的安全保护等级是网络本身的客观自然属性

不是以已采取或将采取什么安全保护措施为依据,而是以网络的重要性和网络遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据,确定网络的安全保护等级。

定级时应主要考虑网络被破坏对国家安全、社会稳定的影响,以及境内外各种敌对势力、敌对分子针对重要网络入侵攻击破坏和窃取秘密等因素。

既要防止因片面追求绝对安全而定级过高,也要防止为逃避监管而定级偏低。

3.对各类网络定级的处理方法

单位自建的网络(与上级单位无关),由本单位定级。

跨省或者全国统一联网运行的网络或信息系统,可以由行业主管部门统一确定安全保护等级。

由各行业统一规划、统一建设、统一安全保护策略的全国联网的大系统,应由行业主管部门统一对下各级网络分别确定等级;由各行业统一规划、分级建设、全国联网的信息系统,应由部、省、地市分别确定系统等级。

为避免出现同类系统下级定级比上级高的现象。对于该类系统的等级,下级确定后需报上级主管部门审批。这也是上级主管部门审批的一个重要作用。

特别注意同类网络的安全保护等级不能随着部、省、市行政级别的降低而降低,例如地市级重要行业的重要系统不能定为第一级或第二级。

4.新建网络的定级

对于新建网络,网络运营者在规划设计时应确定网络的安全保护等级,按照网络等级,“三同步”安全保护技术措施管理措施
网络安全等级保护:等级保护对象的定级过程

专家评审

在初步确定网络的安全保护等级后,为了保证定级合理、准确,应聘请由公安机关组织成立的网络安全等级保护专家进行评审,并出具评审意见。

*重要行业、部门的网络,必须请专家进行评审,以免发生网络的安全保护等级被故意定低的情况。

等级的核准

在定环节,网络运营者的意见或建议是最终的结果,这个和责任划分是密切相关的。上面提到若网络运营者不认可专家评审意见,这个是可以接受的,网络运营者应明白一旦发生安全事件,发现级别不准确时,则可能面临较重的处罚。

单位自建的网络(与上级单位无关)的安全等级确定后,是否报上级主管部门核准由各行业自行决定。网络运营者参考专家定级评审意见,最终确定网络安全的保护等级,按要求形成定级报告。如果专家评审意见与网络运营者意见不一致,由网络运营者自主决定网络等级。网络运营者上级主管部门的,应当经上级主管部门对安全保护等级进行核准。主管部门一般是指行业的上级主管部门监管部门。如果是跨地域联网运营使用的网络,则必须由其上级主管部门核准,以确保同类网络或分支网络在各地域分别定级的一致性。


公安机关审核

备案材料送交公安机关后,公安机关会对网络定级的准确性进行审核。公安机关的审核是定级工作的最后一道防线。网络定级基本准确的,公安机关颁发由公安部统一监制的《网络安全等级保护备案证明》(下称《备案证明》)。

定级不准的,公安机关会告知网络运营者,建议其组织专家重新进行定级评审,并报上级主管部门核准。网络运营者仍然坚持原定等级的,公安机关也会受理其备案,但会当书面告知其承担由此引发的责任和后果,经上级公安机关同意,同时通报备案单位的上级主管部门。

在这个过程中,网络运营者还是可以“坚持己见”到底的,关键是由此产生的这个责任是需要自行承担,一旦发生安全事件(故),则可能面临上级主管部门的处罚和本级公安机关的处罚。所以,网络运营者应当遵循科学合理定级,或遵从上级主管部门文件精神结合《定级指南》进行定级。

网络安全等级保护:等级保护对象的定级过程

在定级环节,理论上是没有测评机构的相关工作。然而,网络运营者可以咨询或寻找测评机构服务,这样可以促进做到科学、合理、准确。此过程中,机构的责任局限于协助辅助,不具备完全替代网络运营者单位的能力,不应当产生误解。

网络安全等级保护作为国家的一个基本国策,将是长期的、具有远期目标的国策,我们应当高瞻远瞩着眼未来,做好当下。我将在等级保护领域将继续竭诚服务广大用户,在不断夯实基础技术、总结经验的前提下,紧随国家政策要求解决每一个用户有关网络安全等级保护的问题。



参考文件:

  • 《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2020

  • 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字[2007]861号)

  • 《网络安全法与网络安全等级保护制度》

  • 《中华人民共和国网络安全法》


网络安全等级保护:等级保护对象的定级与保护

网络安全等级保护:如何正确处理终止的等级保护对象

网络安全等级保护:如何做好网络安全监督检查迎检工作

网络安全等级保护:如何做好应急响应与保障

网络安全等级保护:如何做好网络安全运行与维护

网络安全等级保护:如何做好网络安全设计与实施

网络安全等级保护:如何做好网络总体安全规划

网络安全等级保护:等级保护测评、分级保护测评、密码保护测评三者之间的关系

本文始发于微信公众号(祺印说信安):网络安全等级保护:等级保护对象的定级过程

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日04:49:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  网络安全等级保护:等级保护对象的定级过程 http://cn-sec.com/archives/473826.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: