网络安全等级保护之网络安全定级与备案
该文本主要介绍了信息安全管理中的核心概念——安全保护等级及其定级方法。文章首先阐述了安全保护等级的划分依据及原则,并详细说明了如何通过分析受侵害客体及其对客体的侵害程度来确定具体等级。其次,文章明确了定级对象的范围及分类标准,并提出了针对不同类型对象(如信息系统、通信网络设施等)的安全保护等级设定规则。最后,文章还讨论了安全保护等级变更的情况及处理流程,并强调了相关操作需遵循的标准和规范要求。
1、定级原理及流程
1)安全保护等级
基于等级保护对象在国家安全环境下的重要地位,在经济和社会生活的布局中具有特殊性,并且一旦遭受破坏导致功能丧失或数据经历篡改/泄露/丢失/损坏等情况出现时
第 一级等级保护机制一旦遭受破坏,则可能导致相关公民、法人或其他组织的一般权益受到影响,并不会威胁到国家安全、社会秩序以及公共利益。
第二级情况下,在受保护对象遭受破坏后会导致相关公民、法人及其他组织的合法权益受到严重的损害或者特别严重的损害,并可能对社会秩序和公共利益造成影响;但这种情况下不会危及国家安全。
第三方主体遭受破坏后,可能危及社会秩序和公共利益;也可能威胁国家安全
第四级等级保护对象遭受破坏后会导致社会秩序受到影响以及公共利益受到特别严重的损失,并且可能会对国家安全产生威胁。
第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
2)定级要素
1. 定级要素概述
等级保护对象的定级要素包括以下2个方面。
(1) 受侵害的客体。
(2) 对客体的侵害程度。
2. 受侵害的客体
等级保护对象受到破坏时所侵害的客体包括以下3个方面。
(1) 公民、法人和其他组织的合法权益。
(2) 社会秩序、公共利益。
(3) 国家安全。
3. 对客体的侵害程度
由于对客体的侵害是由主观方面与客观方面共同作用的结果,在这种情况下,对客体的侵害程度主要取决于外在表现综合影响。基于等级保护框架理论的相关规定可知,在这种情况下,对客体实施的直接性侵扰行为主要以破坏等级保护对象的行为发生和持续发展过程作为其外在表现形式。这种现象的发生必然导致一系列负面后果并引发相应的安全风险评估结果。因此,在这种情况下,对客体实施的安全威胁不仅表现为破坏行为的发生和持续发展过程,并且还应从多个维度进行分析评价。
等级保护对象受到破坏后对客体造成侵害的程度归结为以下3种。
(1) 造成一般损害。
(2) 造成严重损害。
(3) 造成特别严重损害。
3)定级要素与安全保护等级的关系
定级要素与安全保护等级的关系如下表所示:
4)定级流程
等级保护对象定级工作的一般流程如下图所示:
经评估后, 安全保护等级被确认为二级及以上等级保护对象. 该单位应按照本标准组织开展专家评审. 主管部门审批以及备案审核工作, 最终确认其安全保护等级.
2、确定定级对象
1)信息系统
1. 定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征。
(1)明确指定的核心安全责任主体。
(2)负责相对独立的业务应用。
(3)涵盖相互关联的多个资源。
在识别定级对象时,在满足上述核心特征的基础上,云计算平台及系统、物联网和工业控制系统需分别按照相关要求中的2至4项进行规范设置或操作流程设计。
2. 云计算平台/系统
在云计算环境中,在进行安全评估时应分别考虑云服务客户一侧的保护范围以及云服务提供商一侧的计算平台或系统,并依据其提供的服务类型对计算平台或相关配套支持系统进行相应的安全定级划分。对于大型计算中心,在安全评估过程中宜将计算基础设施与其配套的辅助支持系统区分开来分别进行分析评估
3. 物联网
物联网主要包含感知、网络传输以及处理应用这三个核心要素,在整体系统架构中应当对这些要素进行统一规划与定位评价工作;同时需要避免对各个具体要素单独设定级别或等级的做法。
4. 工业控制系统
工业控制系统主要由现场采集-执行环节、现场控制、过程控制以及生产管理等核心构成元素组成。在其中,前三个环节应被视为一个综合考量的整体单元来加以分类处理;而生产管理则可独立作为一类处理。
对于大型工业控制系统来说, 可依据其功能特点. 责任主体性质. 控制目标以及主要供应商等因素进行分类管理.
2)通信网络设施
对于电信网、广播电视传输网等通信网络设施,在进行管理时应基于多方面的考量因素将其归类为不同级别的等级对象。
跨区域的行业或部门的专用通信网络可被视为一个整体对象进行分级管理,也可依据地理区域将其划分为多个分级单元
3)数据资源
数据资源可以独立定级。当安全责任主体相同时,则建议将大数据、大数据平台/系统作为一个整体对象进行定级;而当安全责任主体不同时,则要求对大数据进行单独的定级。
3、初步确定安全保护等级
1)定级方法概述
以业务信息安全和系统服务安全为核心维度展开对定级对象的安全评估工作具有重要意义。不同类型的客体及其遭受的安全威胁程度可能存在差异性特征,在这种情况下合理的分类方法应当考虑到多维风险特性的影响因素。从而使得针对不同风险特性的安全评估体系更加科学合理。基于业务信息安全维度确定的安全保护等级指标统一被称为业务信息安全保障级别;而基于系统服务安全管理维度确定的安全评估基准则被称为系统服务安全管理级别。
定级方法的流程:
具体流程如下:
1. 确定受到破坏时所侵害的客体
(1) 识别业务信息安全遭受攻击时的目标。
(2) 识别系统服务安全遭受攻击的目标。
2. 综合评定对客体的侵害程度
(1)针对不同类型的受害者,在业务信息安全遭受破坏时评估其可能受到的影响。
(2)针对不同类型的受害者,在系统服务安全遭受破坏时评估其可能受到的影响。
3. 确定安全保护等级
(1) 判定业务信息安全保障级别。
(2) 评估系统服务安全保障级别。
(3) 选择最高(业务信息安全保障级别、系统服务安全保障级别)
确定为定级对象的安全保护等级。
2)确定受侵害的客体
定级对象遭受破坏后所涉及的客体涵盖国家安全、社会秩序、公共利益以及公民、法人和其他组织享有的权利权益。
1. 侵害国家安全的事项
(1)对国家政权稳固性和主权范围及海洋权益完整性构成影响。
(2)涉及国家统一、民族团结以及社会稳定。
(3)涉及国家社会主义市场经济体制运行秩序以及文化软实力。
(4)包括网络安全、意识形态安全、金融安全等多方面的内容。
2. 侵害社会秩序的事项
涉及国家机关等的生产秩序、企业单位的经营秩序以及社会组织的教学科研和社会卫生秩序
(2)影响公共场所的活动秩序、公共交通秩序。
(3) 影响人民群众的生活秩序。
(4) 其他影响社会秩序的事项。
3. 侵害公共利益的事项
(1)涉及市民群体使用公共设施的情况。
(2)牵涉到普通居民获取公开数据资源。
(3)涉及市民群体接受公共服务等多个方面。
(4)其他可能对公共利益产生影响的事项。
公民、法人及其它组织依法受到保护的权利权益即为其合法权益。其权利权益遭受侵害。
在确定受侵害的客体时, 首先需判定是否造成国家安全受损, 其次需判定是否会带来社会秩序混乱或者损害公众利益, 最后需判定是否会侵犯公民、法人或其他各类组织享有的合法权益.
3)确定对客体的侵害程度
1. 侵害的客观方面
在客观方面分析中发现:当客体遭受侵害时会表现出对定级对象的破坏性影响。这种破坏主要体现在两个方面:一是信息系统的保密性、完整性和可用性受到影响;二是服务提供能力得到保障以实现预定目标。需要注意的是,在某些情况下虽然两种安全机制都会被破坏但其影响的对象和程度可能有所不同因此需要分别采取相应的防护措施以确保系统的稳定运行
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后
(1)工作职能受到的影响
(2)业务能力因此降低
(3)法律纠纷由此产生
(4)财产损失随之发生
(5)社会不良影响由此显现
(6)其他组织和个人因此蒙受损失
(7)其他形式的影响显现出来
2. 综合评定侵害程度
在外部表现的不同层次上综合反映了一种客观情况。为此应当根据遭受侵害的具体客体类型以及不同的损害结果分别对应地确立相应的伤害等级。对于不同的损害结果确立相应伤害等级的方法及涉及的因素可能是多样的例如当系统服务安全遭受破坏而导致运营功能受损时可依据受损区域的具体覆盖范围参阅人员数量或是处理数据规模等因素来评估伤害等级;而对于信息系统的物理毁坏造成的经济损失则需从实际资金损失幅度以及潜在的数据恢复成本等多个维度加以考量。
在基于不同受侵害对象的侵害程度评估时, 可以采用相应的评估标准.
(1)当侵害行为涉及公民、法人或其他组织的合法权益时,则应依据个体或组织整体利益来评估损害程度。
(2)对于侵害行为影响到社会秩序、公共利益或国家安全的情形,则需参照行业整体或国家总体利益进行损害评估。
对不同可能产生的损害程度进行分类描述。其中主要包括以下三种情况:第一类为轻微损害:工作职责出现局部性影响并伴随业务效能略有下降但未显著干扰主要功能运行仅造成轻微的法律问题较小金额财产损失以及有限的社会负面影响范围对其他组织和个人造成较低程度的影响;第二类为重大损害:工作职责面临系统性挑战导致核心业务效能大幅削弱严重影响主要功能执行并引发较为严重的法律纠纷较高的财产损失以及较大的社会负面影响范围对其他组织和个人造成显著的危害;第三类为超乎寻常损害:工作职责遭受全面性破坏或根本丧失行使能力业务效能全面崩溃无法执行关键功能从而引发极其严重的法律后果极为高昂的财产损失以及广泛的社会负面影响范围对其他组织和个人造成极端的危害。综上所述各类不同的侵害后果其造成的危害程度各有差异需要根据具体情况采取相应的应对措施以确保工作的正常开展和社会系统的稳定运行
客体遭受侵害的程度可通过对其各类危害结果所造成伤害程度的综合评估来确定。鉴于各行业定级主体所处理的信息类型及系统服务特性各有差异,在业务信息安全与系统服务安全遭受破坏后关注到的影响结果及其影响程度计算方式也可能存在差异。据此原则下,各行业可根据自身的信息属性与服务特性制定出一套完整的危害结果综合判定方法,并明确划分一般性影响、严重性影响以及高度性影响的具体范围。
4)初步确定等级
基于业务信息安全遭受攻击的对象及其造成的影响程度,利用表格即可获得业务信息安全保护等级。
业务信息安全保护等级矩阵表:
基于系统服务遭受破坏时所涉及的客体及其影响程度的基础上,借助表格的形式可明确得出系统的安全保护等级
系统服务安全保护等级矩阵表:
安全防护等级由业务信息安全防护级别和系统服务安全防护级别的较大值确定。
4、确定安全保护等级
初步判定为二级及以上等级的安全保护级别后,在具体实施过程中需要确保各项评估工作的规范性与科学性。具体操作中应当由责任主体组织专业的技术团队与业务部门人员对评估结论的有效性进行审核。若涉及相关监管部门,则还需经监管部门复核后需提交最终确认文件。
依据相关规定向公安机关完成备案程序,并依据相关规定向公安机关完成备案程序,并依据相关规定向公安机关完成备案程序,并依据相关规定向公安机关完成备案程序。
在备案申请未获通过时,则需重新开展安全防护标准评定工作;若备案通过,则最终确认其所属的安全防护级别等级。
就通信网络设施、云计算平台/系统等定级对象而言,在对其承载或即将承载的等级保护对象重要程度进行评估后确定其安全保护等级,则应至少达到与其承载相关联的等级保护对象的安全保护等级。
在处理数据资源时,我们应从规模和价值等多维度出发,并全面评估这些资源若遭受破坏可能对国家安全.社会治理秩序.公共利益以及各相关方权益造成的潜在影响.特别针对那些包含大量个人敏感信息且承担着为公众提供服务功能的数据平台/系统,通常建议设置至少三级的安全保护等级.
5、等级变更
随着等级保护对象所管理的业务信息及系统服务范围发生变更,可能导致业务信息安全或系统服务安全遭受破坏后的目标及其遭受程度发生变动时,应依据相关标准重新评估并明确新的定级主体及其相应的防护级别。