网络安全等级保护:等级保护的定级原理

admin 2023年10月26日02:36:22评论11 views字数 5092阅读16分58秒阅读模式

关键词:

网络安全等级保护   定级 安全等级   等级保护原则

定级工作原则

网络的定级工作应按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。定级工作的主要内容包括确定定级对象、拟定网络的安全保护等级、组织专家评审、主管部门核准、公安机关审核,具体可按照《关于开展全国重要信息系统安全等级保护定级工作的通知》(公通字〔2007〕861号)和《网络安全等级保护定级指南》(GB/T 22240-2020)的要求执行。

在861号文中,我们看到定级范围为:

(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 

(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 

(三)市(地)级以上党政机关的重要网站和办公信息系统。 

(四)涉及国家秘密的信息系统(以下简称涉密信息系统)

在这里,如果没有仔细去思考等级保护制度的人,往往会疑惑在“涉密信息系统”这个点上,不过我们在探讨常规定级过程中,是不需要纠结在这里的,我们有个了解即可。我们在以GB/T 22240-2020中所说的“定级”,全部是面向非涉密信息系统的,而涉密信息系统的具体定级工作则由涉密的另一套网络安全体系负责。

安全保护等级

根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:

第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;

第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;

第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;

第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;

第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。

网络运营者是网络安全等级保护的责任主体,根据所属网络的重要程度和遭到破坏后的危害程度,科学合理确定网络的安全保护等级。同时,按照所定等级,依照网络安全等级保护基本要求中相应等级的管理规范和技术标准,建设网络安全保护设施,建立安全制度,落实安全责任,对网络实施保护。
在等级保护工作中,网络运营者和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受网络安全监管部门的监管。网络运营者和主管部门是网络基础设施安全的第一责任人,对所属网络自身安全负有直接责任;公安、保密、密码部门对网络运营者和主管部门开展等级保护工作进行监督、检查、指导,对重要信息系统安全负监管责任。
重要网络和信息系统的安全运行不仅影响本行业、本单位的生产和工作秩序,也影响国家安全、社会稳定、公共利益,因此,国家网络安全职能部门要对重要网络和信息系统的安全进行监管。

网络安全等级保护:等级保护的定级原理

网络的安全保护等级

网络的安全保护等级应当根据网络在国家安全、经济建设、社会生活中的重要程度,以及网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的危害程度等因素确定。网络安全等级保护制度将网络划分为五个安全保护等级,从第一级到第五级逐级增高,如下表所示。

受侵害的客体

对客体的侵害程度

一般损害

严重损害

特别严重损害

公民、法人和其他组织的合法权益

第一级

第二级

第二级

社会秩序、公共利益

第二级

第三级

第四级

国家安全

第三级

第四级

第五级

定级要素

定级要素概述

等级保护对象的定级要素包括:受侵害的客体和对客体的侵害程度。

受侵害的客体

等级保护对象受到破坏时所侵害的客体包括以下三个方面:

一是公民、法人和其他组织的合法权益;

二是社会秩序、公共利益;

三是国家安全。

对客体的侵害程度

对客体的侵害程度由客观方面的不同外在表现综合决定。

由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。

等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:

一是造成一般损害;
二是造成严重损害;
三是造成特别严重损害。

网络安全等级保护:等级保护的定级原理

五级保护和监管
定级要素与网络的安全保护等级的关系如表所示。

定级要素与安全保护等级的关系

等级
对象
侵害客体
侵害程度
监管强度
第一级
一般网络
合法权益
损害
自主保护
第二级
合法权益
严重损害
指导
社会秩序和公共利益
危害
第三级
重要网络
合法权益
特别严重损害
监督检查
社会秩序和公共利益
严重损害
国家安全
危害
第四级
特别重要网络
社会秩序和公共利益
特别严重损害
强制监督检查
国家安全
严重危害
第五级
极端重要网络
国家安全
特别严重危害
专门监督检查

定级工作的主要步骤

网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。
网络是广义的概念,包括起支撑、传输作用的基础信息网络、各类应用系统和数据资源。网络的安全级别如果确定不准,网络备案、建设整改、等级测评等后续工作都会失去意义,网络安全就没有保证。
定级工作步骤
1.定级工作流程
摸底调查,掌握网络底数确定定级对象初步确定网络的安全保护等级专家评审;主管部门核准;公安机关备案公安机关审核
2.定级范围
已经投入运行的网络、新建网络都要定级。
新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步使用网络安全设施,落实安全保护措施。
3.等级确定
第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。
网络的安全保护等级是网络的客观属性。在定级时,应站在维护国家网络安全的高度,综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响,确定网络的安全保护等级。
4.定级工作指导
结合《网络安全等级保护实施指南》,从主管部负责依照国家网络安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区等级保护对象运营、使用单位的网络安全等级保护工作。主管部门可以根据定级指南,结合行业特点和网络的实际情况,出台定级指导意见,保证本行业网络在不同地区的安全保护等级的一致性,指导本行业网络的定级工作。
国家安全:

——影响国家政权稳固和领土主权、海洋权益完整;

——影响国家统一、民族团结和社会稳定;

——影响国家社会主义市场经济秩序和文化实力;

——其他影响国家安全的事项。
社会秩序:

——影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;

——影响公共场所的活动秩序、公共交通秩序;

——影响人民群众的生活秩序;

——其他影响社会秩序的事项。
公共利益:

——影响社会成员使用公共设施;

——影响社会成员获取公开信息资源;

——影响社会成员接受公共服务等方面;

——其他影响公共利益的事项。

——影响社会成员使用公共设施;

——影响社会成员获取公开信息资源;

——影响社会成员接受公共服务等方面;

——其他影响公共利益的事项。


一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害
严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害
特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害

>>>错与罚<<<

湖南网安适用《数据安全法》对多个单位作出行政处罚
由上海政务系统数据泄露引发的一点点感慨
个人信息保护不当,宁夏6家物业公司被处罚
网络安全保护不是儿戏,违法违规必被查处
罚款8万!某科技公司因数据泄漏被依法处罚
近2万条学员信息泄露!该抓的抓,该罚的罚!
信息系统被入侵,单位主体也得担责!
警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙
张家界警方全链条团灭非法侵入1600余台计算机系统终端案!
警方提醒!多名百万网红被抓,54人落网!
不履行数据安全保护义务,这些公司企业被罚!
“一案双查”!网络设备产品服务商这项义务要履行!
>>>等级保护<<<
开启等级保护之路:GB 17859网络安全等级保护上位标准
网络安全等级保护:什么是等级保护?
网络安全等级保护:等级保护工作从定级到备案
网络安全等级保护:等级测评中的渗透测试应该如何做
网络安全等级保护:等级保护测评过程及各方责任
网络安全等级保护:政务计算机终端核心配置规范思维导图
网络安全等级保护:信息技术服务过程一般要求
网络安全等级保护:浅谈物理位置选择测评项
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载
闲话等级保护:什么是网络安全等级保护工作的内涵?
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求
闲话等级保护:测评师能力要求思维导图
闲话等级保护:应急响应计划规范思维导图
闲话等级保护:浅谈应急响应与保障
闲话等级保护:如何做好网络总体安全规划
闲话等级保护:如何做好网络安全设计与实施
闲话等级保护:要做好网络安全运行与维护
闲话等级保护:人员离岗管理的参考实践
信息安全服务与信息系统生命周期的对应关系
>>>工控安全<<<
工业控制系统安全:信息安全防护指南
工业控制系统安全:工控系统信息安全分级规范思维导图
工业控制系统安全:DCS防护要求思维导图
工业控制系统安全:DCS管理要求思维导图
工业控制系统安全:DCS评估指南思维导图
工业控制安全:工业控制系统风险评估实施指南思维导图
工业控制系统安全:安全检查指南思维导图(内附下载链接)
业控制系统安全:DCS风险与脆弱性检测要求思维导图
>>>数据安全<<<
数据治理和数据安全
数据安全风险评估清单
成功执行数据安全风险评估的3个步骤
美国关键信息基础设施数据泄露的成本
备份:网络和数据安全的最后一道防线
数据安全:数据安全能力成熟度模型
数据安全知识:什么是数据保护以及数据保护为何重要?
信息安全技术:健康医疗数据安全指南思维导图
金融数据安全:数据安全分级指南思维导图
金融数据安全:数据生命周期安全规范思维导图
什么是数据安全态势管理 (DSPM)?
>>>供应链安全<<<
美国政府为客户发布软件供应链安全指南
OpenSSF 采用微软内置的供应链安全框架
供应链安全指南:了解组织为何应关注供应链网络安全
供应链安全指南:确定组织中的关键参与者和评估风险
供应链安全指南:了解关心的内容并确定其优先级
供应链安全指南:为方法创建关键组件
供应链安全指南:将方法整合到现有供应商合同中
供应链安全指南:将方法应用于新的供应商关系
供应链安全指南:建立基础,持续改进。
思维导图:ICT供应链安全风险管理指南思维导图
英国的供应链网络安全评估
>>>其他<<<
网络安全十大安全漏洞
网络安全等级保护:做等级保护不知道咋定级?来一份定级指南思维导图
网络安全等级保护:应急响应计划规范思维导图
安全从组织内部人员开始
VMware 发布9.8分高危漏洞补丁
影响2022 年网络安全的五个故事
2023年的4大网络风险以及如何应对
网络安全知识:物流业的网络安全
网络安全知识:什么是AAA(认证、授权和记账)?
美国白宫发布国家网络安全战略
开源代码带来的 10 大安全和运营风险
不能放松警惕的勒索软件攻击
10种防网络钓鱼攻击的方法
5年后的IT职业可能会是什么样子?
累不死的IT加班人:网络安全倦怠可以预防吗?
网络风险评估是什么以及为什么需要
美国关于乌克兰战争计划的秘密文件泄露
五角大楼调查乌克兰绝密文件泄露事件
如何减少制造攻击面的暴露
来自不安全的经济、网络犯罪和内部威胁三重威胁
2023 年OWASP Top 10 API 安全风险
什么是渗透测试,能防止数据泄露吗?
SSH 与 Telnet 有何不同?
管理组织内使用的“未知资产”:影子IT
最新更新:全国网络安全等级测评与检测评估机构目录(9月15日更新)

原文始发于微信公众号(祺印说信安):网络安全等级保护:等级保护的定级原理

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年10月26日02:36:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护:等级保护的定级原理https://cn-sec.com/archives/2139526.html

发表评论

匿名网友 填写信息