1
如何正确理解信息系统定级
信息安全等级保护的核心是对信息安全分等级、按标准进行建设、管理和监督,明确重点、突出重点、保护重点,将有限的财力、物力、人力投入到重要信息系统安全保护中,有效保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统的安全,维护国家信息安全。对信息系统的安全等级划分通常有三种描述形式,一是重要程度等级,是根据主体遭受破坏后对客体的破坏程度划分安全等级的描述。二是安全保护能力等级,是根据安全保护能力划分安全等级的描述。三是监督管理等级,是信息系统运营、使用单位依据“管理办法”和相关技术标准对信息系统进行保护,国家有关信息安全职能部门对其信息安全等级保护工作进行监督管理程度的等级。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,即重要程度等级。
系统的定级是以系统的重要性和信息系统遭到破坏后对国家安全、社会稳定、人民群众合法权益的危害程度为依据确定的,及重要程度等级,是信息系统的客观属性,是而不是以已采取或将采取什么安全保护措施为依据。如未正确理解系统定级的含义,很容易造成定级偏高或偏低的情况:
(1)定级偏高
如果系统定级偏高,则会造成该信息系统信息安全过度保护,会增加技术安全防护费用,同时大量增加管理成本。信息系统的测评的频率和要求也相应提高,造成资源浪费。同时由于级别越高,系统的技术和管理要求越高,致使信息系统的易用性受到影响。总的来说,系统定级偏高,会形成“好钢没用在刀刃上”的后果。
(2)定级偏低
如果系统定级偏低,则会造成该信息系统安全保护不到位,没有根据系统侵害客体以及侵害客体的实际情况确定系统保护等级,相应的技术防护水平和安全管理要求难以满足安全需求,且系统安全测评的频率和要求也随之降低。系统一旦发生安全问题,会形成管理部门的过度责任。
2
确定定级对象
1、认识定级对象
等保2.0的定级对象包括传统信息系统、基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据平台。
基础信息网络为信息流通、网络运行等起基础支撑作用的网络设备设施,包括电信网、广播电视传输网、互联网、业务专网等。大数据平台为采用分布式存储和计算技术,提供大数据的访问、处理和存储,支撑大数据应用安全高效运行的软硬件集合。
2、定级对象的确定
1)传统信息系统定级对象
定级对象的网络应具有如下基本特征:
a) 具有确定的主要安全责任主体;
b) 承载相对独立的业务应用;
c) 包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;
注2:应避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
2)扩展对象的定级对象
在确定定级对象时,基础信息网络、工业控制系统、云计算平台、物联网、采用移动互联技术的网络和大数据在满足以上基本特征的基础上,还要遵循以下要求:
基础信息网络:对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。
工业控制系统:工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单独定级;生产管理要素可单独定级。对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
云计算平台:在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网:物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对象定级,各要素不单独定级。
采用移动互联技术的网络:采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素,应与相关有线网络业务系统作为一个整体对象定级。
大数据:大数据应作为单独定级对象进行定级;安全责任主体相同的大数据、大数据平台和应用可作为一个整体对象定级。
3
确定等级
等级保护对象的级别由两个定级要素决定:a) 受侵害的客体;b) 对客体的侵害程度。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全(S)和系统服务安全(A)两方面确定,根据业务信息的重要性和受到破坏后的危害性确定业务信息安全等级;根据系统服务的重要性和受到破坏后的危害性确定系统服务安全等级;由业务信息安全等级和系统服务安全等级的较高者确定定级对象的安全保护等级。
在定级之前需要理解三个重要概念:
一是两个定级要素;
二是三类定级指标;
三是定级要素与安全保护等级的关系。
1、认识两个定级要素
1)两个定级要素
2)如何判断侵害的客体
a.侵害国家安全
b. 侵害社会秩序和公共利益
3)如何判断受侵害的程度
三种侵害程度的描述如下:
2、认识等保定级中涉及的三类指标
从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。不同级别的系统中,信息安全等级保护的基本要求有很大差异,对技术要求和管理要求的级别也不同。
3、定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如下图:
被破坏时所侵害的客体 | 对相应客体的侵害程度 | ||
一般损害 | 严重损害 | 特别严重损害 | |
公民、法人和其他组织的合法权益 | 第一级 | 第二级 | 第三级 |
社会秩序、公共利益 | 第二级 | 第三级 | 第四级 |
国家安全 | 第三级 | 第四级 | 第五级 |
4、初步确定等级的三个步骤
确定等级的流程如下图:
定级相关标准:《网络安全等级保护定级指南》
具体行业有定级指导意见的参考相关行业定级指南:
1、金融行业
《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)
2、电力行业
《关于印发〈电力行业信息系统等级保护定级工作指导意见〉的通知》(电监信息〔2007〕44 号)
3、广电
《广播电视相关信息系统安全等级保护定级指南》(国家广播电影电视总局科技司于 2011 年 5 月 31 日发布)
4、交通
《JT/T904—2014交通运输行业信息系统安全等级保护定级指南》
5、教育
《教育部办公厅关于印发〈教育行业信息系统安全等级保护定级工作指南(试行)〉的通知》(教技厅函 [2014]74 号)
6、税务
《税务信息系统安全等级保护定级工作指南》(国家税务总局于 2007 年 9 月发布)
7、烟草
《烟草行业信息系统安全等级保护与信息安全事件的定级准则》
8、档案
档案信息系统安全等级保护定级工作指南(国家档案局于 2013 年 7 月发布)