新版《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》正式发布,新的国标将于2020年11月1日正式实施。腾讯安全平台部天幕团队联合腾讯安全专家咨询中心、云鼎实验室、安全管理部标准团队,针对新版定级指南的一些变化划重点解读,供广大企业参考。
一、定级原理及流程
1、安全保护等级如何划分?
本部分变化较小,依旧是五个等级,从一级到五级由低到高。现在对于定级系统的称呼统一改为等级保护对象(旧标准中称为信息系统),这也与等保2.0其他系列标准保持一致。
2、等保定级要素都有哪些?
要素可以说基本没有变化,依旧沿用之前的定义。
- 等级保护对象要素的两个方面: 1)受侵害的客体; 2)对客体的侵害程度。
- 等级保护对象受侵害客体的三个方面: 1)公民、法人和其他组织的合法权益; 2)社会秩序、公共利益; 3)国家安全。
- 等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种: 1)造成一般损害; 2)造成严重损害; 3)造成特别严重损害。
- 定级要素与安全保护等级的关系
之前行业内关于等保2.0基本要求的解读中,曾经提过对于公民、法人和其他组织和合法权益受到特别严重损害会定为第三级,但是从新版《指南》的官方结论,依旧按照旧版定为第二级,这里明确说明一下。
3、定级流程是怎样的?
第二级及以上等级保护对象定级流程新增专家评审环节,不再自主定级,需要聘请专家认定等级保护对象的级别。
二、确定定级对象
1、哪些企业和机构需要定级备案?
定级对象的范围相比旧标准变化较多,本次《指南》包含了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源,我们来具体看下。
通用定级对象基本特征明确,共计三点:
- 具有确定的主要安全责任体;
- 承载相对独立的业务应用;
- 包含相互关联的多个资源。
从这几个特征来看,基本互联网上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释:包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
以前很多人一直有个疑问,我们的系统很小,没多少数据,就不需要定级了。现在官方给出了解释,企事业单位、机关基本都是具有法人的,那么这些单位的系统必须都要定级备案。其他团体(包括公益组织)和中小私营企业原则上也都要对系统进行定级备案。这个事情基本是躲不过去的。
2、哪些系统属于强制定级备案范畴?
- 云计算平台/系统
《指南》明确表示,云上租户和云服务商的等级保护对象要分开定级,根据云上服务模式再分别定级。就是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那么就分为三个对象来分别定级。
对于大型云计算平台,除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。不过这里《指南》中用了“宜”这个字,以我们的观点来看,应该是建议而非强制要求。
另外,对于腾讯云这种大型云计算平台的要求,同样也适用于搭建私有云和混合云的大中型企业。
- 物联网
通常是以系统为单位,将所有边缘设备和应用统一起来,作为一个整体来定级。(比如某些智能家居系统,就要以整体平台作为定级对象,不能以不同家庭或不同区域作为定级对象)
- 工业控制系统
不同于其他行业,《指南》要求对于工业控制系统,将现场、过程控制要素作为一个整体定级,而生产管理要素单独再作为一个定级对象。也就是一个工业控制系统,最终会分成两个对象定级备案。
对于大型工控系统,类似大型云计算平台要求,根据功能、主体、控制对象和生产厂商等因素划分多个定级对象。这里《指南》并不是建议,而是要求,也就是说大型工控系统会进行拆分定级。
- 采用移动互联技术的系统
《指南》为这类系统进行了简要描述,即包括移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将所有移动技术整合,作为一个整体来定级。
- 通信网络设施
主要是通信和广电行业的核心网络,基本可以算得上关键信息基础设施了,也是国家重点关注的行业之一。《指南》建议(用了“宜”)可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验,基本都是采取责任主体或地域划分居多,也便于管理。
而对于运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《指南》建议跨省行业或单位专用通信网可作为一个整体对象定级,这对于运营商企业来说算是一个利好了。
- 数据资源
这是新版《指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子,比如某些电商平台,数据分布在多个平台,每个平台都有独立法人,这种情况就应该属于安全责任主体不同,这时就要把数据资源单独作为定级对象,电商平台作为另一个定级对象。
三、确定安全保护等级
1、安全保护等级的定级方式是怎样的?
对于通用系统的定级方式没有明显变化,依旧根据对业务信息的影响和对系统服务的影响来评判,二者取最高级别。
2、确定受侵害的客体与以往相比有哪些变化?
确定受侵害的客体方面有明显变化,这里只说明新增变化。
➤侵害国家安全事项方面:
- 新增影响海洋权益完整的侵害;
- 新增影响国家社会主义经济秩序和文化实力的侵害。
➤侵害社会秩序事项方面:
- 明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害;
- 新增影响公共交通秩序的侵害;
- 新增影响人民群众生活的侵害。
➤侵害公共利益事项方面:
基本无变化。
➤确定对客体的侵害程度方面(包括侵害的客观方面和综合判定侵害程度)无明显变化。
业务信息安全等级矩阵表与系统服务安全等级矩阵表无变化。
有关确定安全保护等级和等级变更部分可自行阅读《指南》原文。
腾讯作为《指南》起草单位之一,同时也作为大型云服务商,从各行业实践中梳理和总结等保2.0时代网络安全合规工作方式与方法,以“一个中心、三重防护”为核心,旨在助力提升企业网络安全能力,规避和缓解企业风险。腾讯安全整合腾讯天幕等团队在云计算 边缘计算、AI、大数据以及IPv6普及化等方面的能力优势,为企业提供基于强大算力的安全支持,满足新场景下的安全合规需求。
➤目前,腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求,可以为云租户提供一个合规的云平台,这也是租户业务系统通过等级保护2.0测评的先决条件。
如何快速配置符合等保规定的云服务器,成为企业亟待解决的难题之一。对此,腾讯安全云鼎实验室推出全球首个云原生默认等保合规镜像并免费开放,用户一键即可自动完成基础合规配置。
➤安全解决方案方面,针对等保二级和三级的要求,腾讯云拥有包含安全管理中心、防火墙、网络入侵防护系统、Web应用防火墙、DDoS高防、数据安全网关、主机安全、数据库审计、堡垒机等云原生安全防护产品。
➤安全服务方面,以腾讯云完备的合作生态资原为基础,腾讯云安全专家服务团队联合各地等保测评中心提供一站式安全产品及服务,以及按需提供专业的增值服务来帮助腾讯云用户完成等级保护测评与整改,提升安全防护能力。
客户可通过以下方式,联系腾讯云安全专家服务团队进行等保咨询:登陆腾讯云官网(复制以下网址在浏览器中打开https://cloud.tencent.com),通过控制台提交工单。
企业如何才能更高效、平稳地通过等级保护2.0,并将安全能力转化为自身的发展助力?5月15日晚19点,腾讯安全等级保护合规服务负责人王余将在【产业安全公开课·等保2.0专场】中,分享在网络安全建设和等级保护合规建设全生命周期的过程中,腾讯如何为网络运营者特别是腾讯云租户,提供相关的产品、服务、解决方案及最佳实践经验,如何快速通过等级保护测评,提升安全的投入产出率。
【推荐阅读】:
- 统一回复:等保2.0企业必须关注的40个问题