等保2.0的第一步：你做對了嗎？

科學定級是等保建設的首要環節。

如果定級不準確，安全建設和等級測評工作就失去了基礎，後期也會出現安全保護能力不足或過度保護的情況，直接影響單位安全保障的效果。

圖1 等級保護的規定動作

今天，綠盟君就跟大家分享下，如何對等級保護物件進行科學定級。

一、安全保護等級

《網路安全等級保護條例（徵求意見稿）》第十五條規定，根據網路在國家安全、經濟建設、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者資料被篡改、洩露、丟失、損毀後，對國家安全、社會秩序、公共利益以及相關公民、法人和其他組織的合法權益的危害程度等因素，網路分為五個安全保護等級。（關於“網路”的解釋，見條例第三條）

 

安全保護能力應隨著安全保護等級的增高，逐漸增強。

 

圖2 安全保護等級

二、定級物件的型別

等級保護的定級物件主要包括基礎網路設施、資訊系統（例如：雲端計算平臺、物聯網系統、工業控制系統、移動互聯絡統、其他系統）以及資料資源物件。

三、定級物件的基本特徵

1.具有確定的安全責任主體；

2.承載相對獨立的業務應用；

3.具有資訊系統的基本要素，應避免將某個單一元件（如終端或伺服器、網路裝置）作為定級物件。

四、定級要素與安全保護等級的關係

等級保護物件的安全保護等級由兩個定級要素決定：等級保護物件受到破壞時所侵害的客體和對客體造成的侵害程度。

 

圖3 定級要素與安全保護等級的關係

五、定級方法

定級物件的安全保護等級由業務資訊保安（簡記為S）保護等級和系統服務安全（簡記為A）保護等級的較高者決定。

圖4 定級方法流程示意圖

六、定級結果

參照定級方法的流程，可以初步確定定級物件存在的安全保護等級。

圖5 定級結果組合

七、定級流程

《網路安全等級保護條例（徵求意見稿）》第十七條規定，對擬定為第二級以上的網路，其運營者應當組織專家評審；有行業主管部門的，應當在評審後報請主管部門核准。

跨省或者全國統一聯網執行的網路由行業主管部門統一擬定安全保護等級，統一組織定級評審。

圖6 定級流程

其他等級保護物件的定級要點（參考定級指南報批稿）

1. 雲端計算平臺

在雲端計算環境中，應將雲服務方側的雲端計算平臺單獨作為定級物件定級，雲租戶側的等級保護物件也應作為單獨的定級物件定級。

圖7 雲端計算場景不同的定級物件

2. 移動互聯絡統

移動互聯絡統的等級保護物件應作為一個整體物件定級，主要包括移動終端、移動應用、無線網路以及相關應用系統等。

3. 物聯網

物聯網應作為一個整體物件定級，主要包括感知層、網路傳輸層和處理應用層等要素。

4. 工業控制系統

工業控制系統主要由生產管理層、現場裝置層、現場控制層和過程監控層構成。現場裝置層、現場控制層和過程監控層應作為一個整體物件定級，各層次要素不單獨定級。

接下來的等級保護2.0時代，開展網路安全等級保護成為未來使用者合規運營的必經之路。綠盟科技將持續關注等級保護2.0的相關法規標準、市場動態，後續將對雲端計算、物聯網、工業控制系統場景進行深入解讀，敬請期待。