?等級保護技術標準解讀(一)

　　——為什么要修訂《網絡安全等級保護定級指南》?

　　作為國家等級保護標準體系的核心標準之一，GB/T 22240-2008《信息安全技術信息系統安全等級保護定級指南》(簡稱08版標準)規定了信息系統安全等級保護的定級原理與方法，用以規范和指導信息系統的運營、使用單位的定級活動，通過合理地劃分定級對象和準確的確定安全保護等級，為后續的安全建設整改、等級測評等工作奠定了良好的基礎，有力推動了等級保護工作的開展。

　　近年來，隨著信息技術的高速發展和網絡安全監管需求的不斷提升，以傳統信息系統為關注對象的《定級指南》也在實際工作中遇到一些問題，反映出一定的局限性，不能滿足新形勢下等級保護定級工作的需要。

　　/主要體現在/

　　1 安全內涵的不斷演進

　　安全的內涵由早期面向數據的信息安全，過渡到面向信息系統的信息保障(信息系統安全)，并進一步演進為面向網絡空間的網絡安全?！毒W絡安全法》在總則的第一條中明確指出，本法的立法宗旨是“為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益”。安全內涵的演進必然帶來等級保護對象和工作內容的變化。

　　2 IT系統重要性的提升

　　隨著互聯網融入社會生活的方方面面，信息技術產品和系統的重要性不斷提高，其作用和地位已經由最初的輔助、支撐，逐步成為不可或缺的信息基礎設施。習近平總書記在中央網信領導小組第一次會議上的講話中指出：“當今世界，信息技術革命日新月異，對國際政治、經濟、文化、社會和軍事等領域發展產生了深刻影響?！毙畔⒓夹g產品和系統在國家安全和社會生活中重要性和地位的提升，對安全保護等級的定義也帶來了顯著影響。

　　3 網絡安全責任的變化

　　云計算、物聯網、大數據和移動互聯網等新技術新應用在給社會和公眾帶來巨大便利的同時，也對等級保護工作，特別是定級工作提出了新的挑戰。例如，云計算服務帶來了“云主機”等虛擬計算資源，也將傳統IT環境中信息系統運營、使用單位的單一安全責任轉變為云租戶和云服務商雙方“各自分擔”的安全責任，導致云環境下的定級工作更加復雜和困難。

　　4 標準內容的完善和明確

　　《定級指南》在實際工作中發現個別內容描述不夠全面和嚴謹，如定級流程僅描述了系統劃分和單位自定級等活動，需要進一步加以完善和明確。

　　為更好地指導備案單位科學、合理地開展定級工作，公安部信息安全等級保護評估中心在部網絡安全保衛局指導下，牽頭啟動了對GB/T 22240-2008的修訂工作，主要包括修訂了標準名稱，擴充了等級保護對象，訂正了安全保護等級的定義，并完善了定級流程和定級方法，以滿足新形勢下等級保護定級工作對標準的需求。

　　等級保護技術標準解讀(二)

　　——《網絡安全等級保護定級指南》修訂要點解讀

　　/主要修訂內容/

　　1 標準名稱的修訂

　　如前所述，“網絡安全(Cyber-security)”以其更豐富的內涵逐步取代“信息安全”和“信息系統安全”成為領域共識，即將施行的《網絡安全法》也明確規定“國家實行網絡安全等級保護制度?！弊鳛閲揖W絡安全等級保護制度的核心支撐標準之一，GB/T 22240-2008的標準名稱修訂為《網絡安全等級保護定級指南》，更加準確的反映了標準的適用和規范領域，同時也與現行法律法規以及相關系列標準的表述保持一致性。

　　2 等級保護對象定義的變化

　　GB/T 22240-2008中，等級保護對象被定義為：“信息安全等級保護工作直接作用的具體信息和信息系統”，這是與當時的技術發展狀況和等級保護工作需求相適應的。但近年來，隨著云計算平臺、物聯網和工業控制系統等新形態的等級保護對象不斷涌現，原定義內涵的局限性日益顯現，無法全面覆蓋當前的等級保護工作對象，需要進一步擴充和完善以適應當前工作的需要。

　　匯總分析習總書記關于網絡安全的系列重要講話，以及《網絡安全法》、《“十三五”國家信息化規劃》和《國家網絡空間安全戰略》等法律法規和文件對于網絡安全內涵的闡述和相關要求可以看出，當前關注的網絡安全是面向網絡空間的安全，重點涉及信息系統、網絡基礎設施和重要數據資源等，因此等級保護對象的定義也應從這三個方面出發，全面覆蓋。

　　首先，信息系統是等級保護制度最早的保護對象。1994年頒布的《中華人民共和國計算機信息系統安全保護條例》(國務院147號令)的第九條規定：“計算機信息系統實行安全等級保護?！彪S著信息技術的發展，傳統的計算機信息系統與互聯網、工業控制、云計算、物聯網和移動互聯等新技術新應用不斷融合，呈現出工業控制系統、云計算平臺、物聯網等新的信息系統形態。

　　其次，網絡基礎設施在國家層面被作為等級保護對象是在2003年予以明確的?！秶倚畔⒒I導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)明確指出，“要重點保護基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統，抓緊建立信息安全等級保護制度”。隨著信息化的發展進程，網絡基礎設施也由最初的電信和互聯網基礎信息網絡，逐步擴展到廣播電視傳輸網，以及跨省的行業專網或企業業務專網。

　　第三，數據資源是隨著云計算和大數據應用等新技術新應用而涌現的一類新等級保護對象。數據資源的最初形態是信息系統中的信息，包括業務信息、配置信息和管理信息等，是信息系統的組成部分。但隨著我國由工業化向信息化的轉型，以開發和利用信息資源為目的的經濟活動迅速擴大，逐步出現了面向大數據資源的應用需求。與初期信息系統中常見的結構化、文本數據不同，大數據體量巨大、類型繁多、處理速度快且具有價值等特質，決定了難以采用傳統數據結構進行有效處理，需要引入新的分布式體系結構和計算平臺進行存儲、操作和分析。同時，隨著云計算這種計算模式的出現，出現了大數據資源、大數據應用/工具和大數據支撐平臺所有權和安全責任的分離，導致大數據逐步成為獨立的等級保護對象。

　　綜上，修訂后的等級保護對象定義為：“網絡安全等級保護的作用對象，主要包括基礎信息網絡、信息系統(如工業控制系統、云計算平臺、物聯網、使用移動互聯技術的信息系統以及其他信息系統)和大數據等。

　　3 安全保護等級定義的變化

　　GB/T 22240-2008中，將安全保護等級第三級定義為：“等級保護對象受到破壞后，對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”。依據上述定義，那些未對國家安全造成損害或社會秩序和公共利益造成嚴重損害，但可能對法人或組織造成特別嚴重損害的等級保護對象(如全國性集團公司的資金集中管理系統，大型互聯網信息平臺的統一運維管理系統等)，將被確定為第二級。

　　但是，等級保護工作的實踐經驗表明，這些等級保護對象通常是核心業務系統的基礎設施或重要支撐系統，對法人和組織履行其職能或完成業務功能來說不可或缺，其重要程度應與核心業務系統保持基本一致，相應的安全保護等級可以確定為第三級;另一方面，從監督管理的角度來看，鑒于這些等級保護對象對相關法人和組織的重要性，它們也應該納入到監督、檢查(對應第三級)的范圍內。

　　因此，安全保護等級第三級的定義修訂為：“等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害”。

　　定級要素與安全保護等級的關系也相應修訂，如下表所示。

　　受侵害的客體對客體的侵害程度

　　一般損害嚴重損害特別嚴重損害

　　公民、法人和其他組織的合法權益第一級第二級第三級

　　社會秩序、公共利益第二級第三級第四級

　　國家安全第三級第四級第五級

　　4 定級流程的完善

　　對于定級流程，GB/T 22240-2008聚焦于如何從業務信息和系統服務兩個角度分析和確定定級對象的安全保護級別，并未完整描述整個定級工作過程，在實際工作中可能導致備案單位缺漏部分環節，最終影響定級結果的準確性。

　　依據國家等級保護制度監管的十六字方針要求：“自主定級、專家評審、主管部門審批和公安機關監督”，編制組補充和完善了定級工作流程，修訂后的定級工作包括以下5個環節：

　　1)確定定級對象

　　通過合理的劃分等級保護對象確定定級對象。

　　2)初步確定等級

　　通過綜合分析定級對象的業務信息安全和系統服務安全，初步確定安全保護等級。

　　3)專家評審

　　定級對象的運營、使用單位應組織信息安全專家和業務專家對初步定級結果進行評審，出具專家評審意見。

　　4)主管部門審核

　　定級對象的運營、使用單位應將初步定級結果上報行業主管部門或上級主管部門進行審核。

　　5)公安機關備案審查

　　定級對象的運營、使用單位應按照相關管理規定，將初步定級結果提交公安機關進行備案審查。審查通過的，其結果最終確定為定級對象的安全保護等級;審查不通過的，定級對象的運營、使用單位應重新組織定級。

　　5 定級對象的確定

　　作為定級對象的信息系統應具有以下基本特征：

　　a)具有確定的主要安全責任主體，包含但不限于企業、機關和事業單位等法人，以及不具備法人資格的社會團體等其他組織;

　　b)承載相對獨立的業務應用;

　　c)包含相互關聯的多個資源，如由服務器、終端、網絡互聯設備和安全設備組成的辦公自動化系統;單一設備不單獨定級。

　　在云計算環境中，考慮到不同的安全建設和管理責任，應將云服務方側的云計算平臺和云租戶方側的等級保護對象作為不同的定級對象分別定級。

　　更進一步分析，對于大型云計算平臺，應將云計算基礎設施和相關輔助服務系統劃分為不同的定級對象;同一云計算平臺上的不同租戶的等級保護對象也應劃分為不同的定級對象。

　　對于工業控制系統，其一般包含現場采集/執行、現場控制、過程控制和生產管理等特征要素。其中，現場采集/執行、現場控制、過程控制等要素應作為一個整體對象定級，各層次要素不單獨定級;生產管理要素可單獨定級。對于大型工業控制系統，可以根據系統功能、控制對象或生產廠商等因素劃分為多個定級對象。

　　對于大數據這類等級保護保護對象，應將安全責任主體相同的大數據和相關支撐平臺作為一個整體對象統一定級;對于安全責任主體不同的大數據和相關支撐平臺，應將大數據和支撐平臺劃分為不同的定級對象分別定級。

　　以上內容轉自公眾號：安全測評聯盟