新版《GBT 22240-2020 資訊保安技術 網路安全等級保護定級指南》正式釋出，新的國標將於2020年11月1日正式實施。騰訊安全平臺部天幕團隊聯合騰訊安全專家諮詢中心、雲鼎實驗室、安全管理部標準團隊，針對新版定級指南的一些變化劃重點解讀，供廣大企業參考。

一、定級原理及流程

1、安全保護等級如何劃分？

本部分變化較小，依舊是五個等級，從一級到五級由低到高。現在對於定級系統的稱呼統一改為等級保護物件（舊標準中稱為資訊系統），這也與等保2.0其他系列標準保持一致。

2、等保定級要素都有哪些？

要素可以說基本沒有變化，依舊沿用之前的定義。

➤等級保護物件要素的兩個方面：

 1）受侵害的客體；

 2）對客體的侵害程度。

➤等級保護物件受侵害客體的三個方面：

 1）公民、法人和其他組織的合法權益；

 2）社會秩序、公共利益；

 3）國家安全。

➤等級保護物件受到破壞後對客體造成侵害的程度歸結為以下三種：

 1）造成一般損害；

 2）造成嚴重損害；

 3）造成特別嚴重損害。

➤定級要素與安全保護等級的關係

之前行業內關於等保2.0基本要求的解讀中，曾經提過對於公民、法人和其他組織和合法權益受到特別嚴重損害會定為第三級，但是從新版《指南》的官方結論，依舊按照舊版定為第二級，這裡明確說明一下。

3、定級流程是怎樣的？

第二級及以上等級保護物件定級流程新增專家評審環節，不再自主定級，需要聘請專家認定等級保護物件的級別。

二、確定定級物件

1、哪些企業和機構需要定級備案？

定級物件的範圍相比舊標準變化較多，本次《指南》包含了雲端計算、物聯網、工業控制系統、採用移動互聯技術的系統、通訊網路設施以及資料資源，我們來具體看下。

通用定級物件基本特徵明確，共計三點：

1、具有確定的主要安全責任體；

2、承載相對獨立的業務應用；

3、包含相互關聯的多個資源。

從這幾個特徵來看，基本網際網路上的系統差不多都要定級備案。《指南》給出了有關安全責任主體的解釋：包括但不限於企業、機關和事業單位等法人，以及不具備法人資格的社會團體等其他組織。

以前很多人一直有個疑問，我們的系統很小，沒多少資料，就不需要定級了。現在官方給出瞭解釋，企事業單位、機關基本都是具有法人的，那麼這些單位的系統必須都要定級備案。其他團體（包括公益組織）和中小私營企業原則上也都要對系統進行定級備案。這個事情基本是躲不過去的。

2、哪些系統屬於強制定級備案範疇？

➤雲端計算平臺/系統

《指南》明確表示，雲上租戶和雲服務商的等級保護物件要分開定級，根據雲上服務模式再分別定級。就是說，雲服務商的平臺對外提供SaaS、PaaS、IaaS三種服務模式，那麼就分為三個物件來分別定級。

對於大型雲端計算平臺，除了服務模式之外還可能根據基礎設施和輔助服務系統再次分別定級。不過這裡《指南》中用了“宜”這個字，以我們的觀點來看，應該是建議而非強制要求。

另外，對於騰訊雲這種大型雲端計算平臺的要求，同樣也適用於搭建私有云和混合雲的大中型企業。

➤物聯網

通常是以系統為單位，將所有邊緣裝置和應用統一起來，作為一個整體來定級。（比如某些智慧家居系統，就要以整體平臺作為定級物件，不能以不同家庭或不同區域作為定級物件）

➤工業控制系統

不同於其他行業，《指南》要求對於工業控制系統，將現場、過程控制要素作為一個整體定級，而生產管理要素單獨再作為一個定級物件。也就是一個工業控制系統，最終會分成兩個物件定級備案。

對於大型工控系統，類似大型雲端計算平臺要求，根據功能、主體、控制物件和生產廠商等因素劃分多個定級物件。這裡《指南》並不是建議，而是要求，也就是說大型工控系統會進行拆分定級。

➤採用移動互聯技術的系統

《指南》為這類系統進行了簡要描述，即包括移動終端（手機、平板、筆記本）、移動應用和無線網路等特徵要素的系統。將所有移動技術整合，作為一個整體來定級。

➤通訊網路設施

主要是通訊和廣電行業的核心網路，基本可以算得上關鍵資訊基礎設施了，也是國家重點關注的行業之一。《指南》建議（用了“宜”）可根據安全責任主體、服務型別或服務地域劃分不同的定級物件。根據以往經驗，基本都是採取責任主體或地域劃分居多，也便於管理。

而對於運營商網路（骨幹網、接入網），多以地市為單位作為定級物件。《指南》建議跨省行業或單位專用通訊網可作為一個整體物件定級，這對於運營商企業來說算是一個利好了。

➤資料資源

這是新版《指南》提出的一個新要素。資料資源可以獨立定級。定級是基於大資料、大資料平臺安全責任主體相同與否。舉個例子，比如某些電商平臺，資料分佈在多個平臺，每個平臺都有獨立法人，這種情況就應該屬於安全責任主體不同，這時就要把資料資源單獨作為定級物件，電商平臺作為另一個定級物件。

三、確定安全保護等級

1、安全保護等級的定級方式是怎樣的？

對於通用系統的定級方式沒有明顯變化，依舊根據對業務資訊的影響和對系統服務的影響來評判，二者取最高階別。

2、確定受侵害的客體與以往相比有哪些變化？

確定受侵害的客體方面有明顯變化，這裡只說明新增變化。

➤侵害國家安全事項方面：

1、新增影響海洋權益完整的侵害；

2、新增影響國家社會主義經濟秩序和文化實力的侵害。

➤侵害社會秩序事項方面：

1、明確提出影響企事業單位、社會團體生產秩序、醫療衛生秩序的侵害；

2、新增影響公共交通秩序的侵害；

3、新增影響人民群眾生活的侵害。

➤侵害公共利益事項方面：

基本無變化。

➤確定對客體的侵害程度方面（包括侵害的客觀方面和綜合判定侵害程度）無明顯變化。

業務資訊保安等級矩陣表與系統服務安全等級矩陣表無變化。

有關確定安全保護等級和等級變更部分可自行閱讀《指南》原文。

騰訊作為《指南》起草單位之一，同時也作為大型雲服務商，從各行業實踐中梳理和總結等保2.0時代網路安全合規工作方式與方法，以“一箇中心、三重防護”為核心，旨在助力提升企業網路安全能力，規避和緩解企業風險。騰訊安全整合騰訊天幕等團隊在雲端計算+邊緣計算、AI、大資料以及IPv6普及化等方面的能力優勢，為企業提供基於強大算力的安全支援，滿足新場景下的安全合規需求。

➤目前，騰訊雲已通過等級保護三級、騰訊金融雲已通過等級保護四級要求，可以為雲租戶提供一個合規的雲平臺，這也是租戶業務系統通過等級保護2.0測評的先決條件。

如何快速配置符合等保規定的雲伺服器，成為企業亟待解決的難題之一。對此，騰訊安全雲鼎實驗室推出全球首個雲原生預設等保合規映象並免費開放，使用者一鍵即可自動完成基礎合規配置。

➤安全解決方案方面，針對等保二級和三級的要求，騰訊雲擁有包含安全管理中心、防火牆、網路入侵防護系統、Web應用防火牆、DDoS高防、資料安全閘道器、主機安全、資料庫審計、堡壘機等雲原生安全防護產品。

➤安全服務方面，以騰訊雲完備的合作生態資原為基礎，騰訊雲安全專家服務團隊聯合各地等保測評中心提供一站式安全產品及服務，以及按需提供專業的增值服務來幫助騰訊雲使用者完成等級保護測評與整改，提升安全防護能力。

客戶可通過以下方式，聯絡騰訊雲安全專家服務團隊進行等保諮詢：登陸騰訊雲官網（複製以下網址在瀏覽器中開啟https://cloud.tencent.com），通過控制檯提交工單。騰訊雲官網選單導航：產品-安全-安全服務-專家服務。

企業如何才能更高效、平穩地通過等級保護2.0，並將安全能力轉化為自身的發展助力？5月15日晚19點，騰訊安全等級保護合規服務負責人王餘將在【產業安全公開課·等保2.0專場】中，分享在網路安全建設和等級保護合規建設全生命週期的過程中，騰訊如何為網路運營者特別是騰訊雲租戶，提供相關的產品、服務、解決方案及最佳實踐經驗，如何快速通過等級保護測評，提升安全的投入產出率。

【推薦閱讀】：

統一回復：等保2.0企業必須關注的40個問題