夜雨聆风
全文可下载|22240-2020信息安全技术 网络安全等级保护定级指南解读
(一)术语和定义(3)
在讨论系统具体需要定级的级别之前,需要先明确《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》(简称《定级指南》)中给出的几个概念术语。他们分别是网络安全、等级保护对象、信息系统、通信网络设施、数据资源、受侵害的客体、客观方面。【解读:术语对于理解标准本身具有很重要的作用,它能够明确的告诉大家,本标准说要描述对象是什么,以及对象的边界范围等。但是,往往是很多人忽略这一点,跳过术语和定义章节,直奔内容。】。
1、网络安全cybersecurity:通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力【GB/T22239-2019,定义3.1】。
解读:其实网络安全就是两个维度,其一就是网络设备(系统)自身(处于稳定可靠运行的状态),其二就是网络(系统)所承载的数据(使其完整性、保密性和可用性处于安全)。用户方进行定级备案的时候,需要从这两个维度进行考虑。具体的流程,后面章节会有详细的介绍,这里就先不介绍了。
2、等级保护对象target of classified protection:网络安全等级保护工作直接作用的对象。注:主要包括信息系统、通信网络设施和数据资源等。
解读:定级的对象不限于信息系统本身,这也是很多人容易误解的地方,觉得定期的对象一定是信息系统,单纯的通信网络设施或者数据资源不能进行定级。其实通信网络设施以及数据资源等也是等级保护对象的范畴。在进行定级时,都需要纳入考虑的范围。只能说大多数的系统定级的范畴是包括信息系统、通信网络设施和数据资源等内容。但是,如果是单纯的通信网络设施,也可以是定级对象。比如《定级指南》5.2通信网络设施章节,明确表述“对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。”。同理,单纯的数据资源也可以是定级对象等。比如《定级指南》5.3数据资源章节,明确表述“数据资源可独立定级”。
3、信息系统information system:应用、服务、信息技术资产或其他信息处理组件[GB/T 29246-2017,定义 2.39]。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的应用目标和规则进行信息处理或过程控制。注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统以及采用移动互联技术的系统等。
解读:这里对信息系统做了更进一步的细化解读,应用、服务、信息技术资产或其他信息处理组件都是信息系统的范畴。
4、通信网络设施network infrastructure:为信息流通、网络运行等起基础支撑作用的网络设备设施。注:主要包括电信网、广播电视传输网和行业或单位的专用通信网等。
5、数据资源data resources:具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。
6、受侵害的客体 object of infringement:受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注:本标准中简称“客体”。
解读:需要明确,受侵害的不仅仅是等级保护对象本身,而是等级保护对象所关联的社会关系,即也要包括等级保护对象所能影响的其他对象等。
7、客观方面objective:对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。
(二)定级原理及流程(4)
1)安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;
第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
解读:公网安【2025】1001号《关于进一步做好网络安全等级保护有关工作的函》发布之后,对第五级安全保护等级进行了完善,是这样表述的:二、组织开展第五级信息系统定级备案:运营者要以第三级、第四级信息系统为基础,将一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家或地区安全、国计民生的信息系统纳入第五级定级范围。要将第五级信息系统作为关键信息基础设施认定的重要因素,第五级信息系统原则上按照关键信息基础设施保护相关要求进行保护。即:第五级在原来的基础上新增了地区安全、国计民生的描述。使定级的描述更具体,更具有可操作性。
2)定级要素
a)定级要素概述
等级保护对象的定级要素包括:
A)、受侵害的客体;
B)、对客体的侵害程度。
b)受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下三个方面:
A)、公民、法人和其他组织的合法权益;
B)、社会秩序、公共利益;
C)、国家安全。
解读:根据公网安【2025】1001号《关于进一步做好网络安全等级保护有关工作的函》精神,C类客体还应补充地区安全和国计民生。
c)对客体的侵害程度
对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:
A)、造成一般损害;
B)、造成严重损害;
C)、造成特别严重损害。
d)定级要素与安全保护等级的关系
下面是《定级指南》中定级要素与安全保护等级的对应关系。
|
受侵害的客体 |
对客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第三级 |
|
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
|
国家安全 |
第三级 |
第四级 |
第五级 |
下面是公网安【2025】1001号《关于进一步做好网络安全等级保护有关工作的函》中《附件1.网络安全等级保护定级报告模版(2025版)》所提供的定级要素与安全保护等级的对应关系。
|
受侵害的客体 |
对客体的侵害程度 |
||
|
一般损害 |
严重损害 |
特别严重损害 |
|
|
公民、法人和其他组织的合法权益 |
第一级 |
第二级 |
第三级 |
|
社会秩序、公共利益 |
第二级 |
第三级 |
第四级 |
|
国家安全或地区安全、国计民生 |
第四级 |
第五级 |
第五级 |
解读1:从两个矩阵对比可知,公网安【2025】1001号文中只要涉及国家安全、地区安全及国计民生的系统,不管损害程度如何,起步就是四级。如果损害层度是严重或者特别严重,一律定级为五级。在进行新系统定级以及更新旧系统定级备案材料时,需要按照公网安【2025】1001号文的要求去执行。这也是与《定级指南》变大最大的地方。
3)定级流程
等级保护对象定级工作一般流程如下所示:
安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本标准组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。
注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本标准自行确定最终安全保护等级,可不进行专家评审、主管部门核准和备案审核【解读:如果第一级系统非要进行专家评审、主管部门核准和备案审核,也是可以的】。
解读:根据公网安【2025】1001号《关于进一步做好网络安全等级保护有关工作的函》要求:(一、全面开展系统备案动态更新)安全保护等级初步确定为第四级(含)以上的信息系统,运营者需组织国家网络安全等级保护专家对定级结果进行评审。即第四级(含)以上的系统定级评审,需要从国家网络安全等级保护专家库中抽取专家进行评审。国家网络安全等级保护专家库未见公开的渠道,如果有评审需求,建议与各地的网安部门沟通。不过各个省均建立了自己的网络安全等级保护定级评审专家库,比如上海市网络安全等级保护定级评审专家库通过上海市信息网络安全管理协会(https://www.sinsaa.org.cn/)进行管理。如果有针对第二级、第三级系统的定级评审专家的需求,可以直接联系协会推荐评审专家。需要注意的是,定级评审时,不仅仅只有网络安全专家,也应该包括业务专家。
根据公网安【2025】1001号文,原则上备案系统需要“到属地公安机关更新等级保护备案。”,“对跨区域或者全国联网运行的信息系统,运营者到管理运维地公安机关备案并更新,公安部不再受理备案申请。”。根据公网安【2025】1846号《关于对网络安全等级保护有关工作事项进一步说明的函》,“原则上由地市级以上公安机关网安部门受理备案。省级公安机关可以根据实际情况,指定具有受理备案条件的县级公安机关受理备案。备案单位工商注册登记地、实际业务运营机构所在地、安全管理机构所在地、网络设备所在地等不一致的,以备案单位安全管理机构、运维所在地为主受理备案。若安全管理机构和运维所在地等不一致的,以安全管理机构所在地为主受理备案”、“跨省、省内跨地(市),或全国联网运行的网络系统,按照属地管辖原则由省级公安机关网安部门受理备案或其指定地市级公安机关网安部门受理备案。跨省或全国统一联网运行并由主管部门统一定级的网络系统在各地运行、应用的分支系统(包括由上级主管部门定级,在当地有应用的网络),由所在地地市级以上公安机关网安部门受理备案。”。
但是针对第五级的系统备案,“按照《网络安全等级保护备案实施细则(试行)》要求,第五级网络系统需到省级公安机关网安部门备案。”。【注:《网络安全等级保护备案实施细则(试行)》未公开发布。】
总结一下,就是针对第四级(含)以上的系统定级评审,需组织国家网络安全等级保护专家对定级结果进行评审。但是第五级网络系统需到省级公安机关网安部门备案。
解读:这里的第四个步骤“主管部门核准”,主管部门是行业主管(监管)部门,而非公安机关。如果没有行业主管(监管)部门,第四步可以忽略跳过。最终的备案审核工作,是公安机关负责。
(三)确定定级对象(5)
1)信息系统
a)定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
a)具有确定的主要安全责任主体;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
解读:目前定级实践来看,越多越多的责任主体在确定定级对象时,往往会把很多不相关的系统一起定级(所谓的打包定级)。这种操作方法存在一系列的问题及风险。首先就是违反了我们定级对象的基本原则“承载相对独立的业务应用”,也会导致责任边界的模糊(不同的系统,可能存在不同的责任部门,也会忽略不同系统的网络边界),也会导致企业过度的合规负担(有些系统可以定低级别,因为定级是就高不就低)。其次,导致公安机关监管难度加大,针对性指导受阻(无法准确掌握各单位实际运行的各类信息系统的具体情况,难以针对不同系统开展差异化的安全监管和指导工作,影响了等级保护制度的精准实施效果),行业主管部门也无法准确掌握系统情况(无法准确了解各系统的分布、等级和风险状况,影响行业安全管理的有效性)。最后,可能会面临法律风险(打包定级实质上降低了定级工作的准确性和合规性,一旦发生安全事件,可能被认定为“未按规定履行网络安全保护义务”,面临行政处罚甚至刑事责任)。
在确定定级对象时,也不是完全禁多个系统打包定级,只要各个系统存在关联(耦合),还是可以一起定级备案。严禁的是毫无关联的系统,强制放在一起进行定级备案。
b)云计算平台/系统
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
解读:云计算基础设施是支撑云服务运行的底层物理和逻辑资源集合。它不直接面向用户业务,而是为所有上层服务提供计算、存储和网络能力。根据不同的服务模式,大型云平台自身又会进一步划分为独立的定级对象,比如IaaS(比如,阿里云 ECS、腾讯云CVM、AWS EC2 等)、PaaS(比如,阿里云 ACK、腾讯云 TKE、Google App Engine 等)、SaaS(比如,腾讯会议、钉钉、企业微信等)。
辅助服务系统就是确保“云计算基础设施”及其上建筑能够稳定、高效、安全运转的“保障团队”。这些系统不直接提供核心云资源,但对平台的运营、维护和安全至关重要。具体包括:
1、运营类系统,比如,云运营系统 (Cloud Operation System):负责平台整体的资源管理与计费,如产品上架、资源计量、账单生成等。客户关系管理系统 (CRM):用于管理云服务客户的账户、合同、工单和销售过程。云市场系统(Cloud Marketplace):提供第三方应用和服务交易的平台,如华为云市场等。数据分析与报表系统 (Data Analysis & Reporting System):对平台运营数据进行收集、分析,生成运营报表,支撑商业决策等。
2、运维类系统,比如云运维系统 (Cloud Maintenance System):负责平台的自动化监控、告警与故障自愈,确保基础设施的稳定运行。安全管理中心 (Security Management Center, SOC):网络安全的核心大脑,负责统一监控、分析、响应安全事件,管理安全策略,如态势感知、云堡垒机等。配置管理数据库 (CMDB):记录和管理所有IT资产(服务器、网络设备、软件等)的配置信息及其相互关系。日志管理系统 (Log Management System):集中收集、存储和分析来自各类系统和设备的日志,用于审计和故障排查。自动化部署系统 (Automated Deployment System):用于实现云平台自身及其软件的自动化安装、升级和配置管理等。
3、平台支撑类系统,比如,内容分发网络 (CDN):作为核心的边缘服务网络,负责加速静态和动态内容的分发,提升用户访问体验。域名系统 (DNS):提供域名解析服务,将用户请求导向正确的服务节点。身份与访问管理系统 (IAM):管理云平台内部所有管理员、运维人员及系统的身份认证、权限分配和审计,是权限控制的核心。密钥管理系统 (KMS):专门负责加密密钥的全生命周期管理,保障云平台内部及客户数据存储的加密安全。应用性能监控系统 (APM):用于监控云平台上运行的各类业务应用的性能指标,如响应时间、吞吐量等。
c)物联网
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
d)工业控制系统
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
e)采用移动互联技术的系统
采用移动互联技术的系统主要包括移动终端、移动应用和无线网络等特征要素,可作为一个整体独立定级或与相关联业务系统一起定级,各要素不单独定级。
2)通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
当安全责任主体相同时,跨省的行业或单位的专用通信网可作为一个整体对象定级;当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。
3)数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
解读:注意,数据资源可以单独定级,即当数据资源和存放数据资源的平台/系统安全责任主体不同时,可以分别单独定级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。但是大量是多少,量级是多少,目前没有正式发文。实践中,超过10万条及以上公民个人信息,即可定级为三级系统。
(四)初步确定等级(6)
1)定级方法概述
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
具体流程如下:
a) 确定受到破坏时所侵害的客体
1)确定业务信息受到破坏时所侵害的客体;
2)确定系统服务受到侵害时所侵害的客体。
b)确定对客体的侵害程度
1)根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;
2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
c)确定安全保护等级
1)确定业务信息安全保护等级;
2)确定系统服务安全保护等级;
3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
解读:《GBT 22239-2019 信息安全技术 网络安全等级保护基本要求》附录A,本标准中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其他安全保护类要求(简记为G)。本标准中所有安全管理要求和安全扩展要求均标注为G。
有行业主管(监管)部门的单位,有的行业主管(监管)部门会出具行业定级指导意见,只要根据行业指导意见定级即可,比如证券行业、电力行业、广电行业等。
(五)确定安全保护等级(7)
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织网络安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。
(六)等级变更
当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据本标准重新确定定级对象和安全保护等级
(七)结束语
不得不说,标准具有滞后性,标准发布之后,监管机构会根据实际情况发布一些指导性意见。导致与标准不一致。实际操作过程中,应结合指导性意见以及标准综合考虑。有最新指导性意见的,应以最新的指导性意见为主。
下载链接: