《信息安全技术-网络安全等级保护定级指南.docx》由会员分享,可在线阅读,更多相关《信息安全技术-网络安全等级保护定级指南.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络安全等级保护定级指南1范围本标准规定了网络安全等级保护的定级方法和定级流程。本标准适用于指导网络运营者开展等级保护对象的定级工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适 用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB 17859-1999计算机信息系统安全保护等级划分准则GB/T 25069-2010信息安全技术 术语GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 31167信息安全技术云计算服务安全指南3术语和定义GB17859-1999、GB/T 25069-2010、GB/T
2、 22239和GB/T 31167界定的以及下列术语和定 义适用于本文件。3. 1等级保护对象target of c I ass i f i ed protect i on网络安全等级保护工作的作用对象,主要包括基础信息网络、工业控制系统、云计算平 台、物联网、使用移动互联技术的网络、其他网络以及大数据等。基础信息网络 bas i c i nformat i on network为信息流通、网络运行等起基础支撑作用的网络设备设施,包括电信网、广播电视传输 网、互联网、业务专网等。网络 network由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、 存储、传输、交换、
3、处理的系统。关键信息基础设施 cr it ical i nformat ion infrastructure公共通信和信息服务、能源、金融、交通、水利、公共服务和电子政务等重要行业和领 域以及其他一旦遭到破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和公共 利益的网络。附录E (资料性附录)附录F各级等级保护对象定级工作要求各级等级保护对象定级工作具体要求如下:a)安全保护等级初步确定为第二级及以上的等级保护对象,其运营使用单位应当依据 本标准进行初步定级、专家评审、主管部门审批、公安机关备案审查,最终确定其安全保护 等级;b)安全保护等级初步确定为第四级的等级保护对象,在开展专家评
4、审工作时,其运营 使用单位应当请国家信息安全等级保护专家评审委员会进行评审。参考文献1 GB/T 31168-2014信息安全技术云计算服务安全能力要求2 National Institute of Standards and Technology Special Publication 800-60, Revision 1, Guide for Mapping Types of Information and Information Systems to Security Categories, August 2008.3.5大数据平台big data platform采用分布式存储和计算技
5、术,提供大数据的访问、处理和存储,支撑大数据应用安全高 效运行的软硬件集合。客体object受法律保护的、等级保护对象受到破坏时所侵害的社会关系。客观方面objective对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。4定级原理及流程4.1 安全保护等级根据等级保护相关管理文件,等级保护对象的安全保护等级分为以下五级:a)第一级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损 害,但不损害国家安全、社会秩序和公共利益;b)第二级,等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严 重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;c)第三级,
6、等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特 别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;d)第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害;e)第五级,等级保护对象受到破坏后,会对国家安全造成特别严重损害。4.2 定级要素4.3 2. 1定级要素概述等级保护对象的级别由两个定级要素决定:a)受侵害的客体;b)对客体的侵害程度。4.4 .2受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。侵害国家安全的事
7、项包括以下方面: 影响国家政权稳固和主权完整; 影响国家统一、民族团结和社会稳定; 影响国家经济秩序和文化实力; 影响宗教活动秩序和反恐能力建设; 其他影响国家安全的事项。侵害社会秩序的事项包括以下方面: 影响国家机关社会管理和公共服务的工作秩序; 影响各种类型的经济活动秩序; 影响各行业的科研、生产秩序; 影响公众在法律约束和道德规范下的正常生活秩序等; 其他影响社会秩序的事项。侵害公共利益的事项包括以下方面: 影响社会成员使用公共设施; 影响社会成员获取公开信息资源; 影响社会成员接受公共服务等方面; 其他影响公共利益的事项。侵害公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的
8、公民、法人和 其他组织所享有的一定的社会权利和利益等受到损害。对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等 级保护对象的破坏实现的,因此,对客体的侵害外在表现为对等级保护对象的破坏,通过危 害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。三种侵害程度的描述如下: 一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行, 出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人 造成较低损害; 严重损害:工作职能受
9、到严重影响,业务能力显著下降且严重影响主要功能执行, 出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织 和个人造成较严重损害; 特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且 或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良 影响,对其他组织和个人造成非常严重损害。1.3 定级要素与安全保护等级的关系定级要素与安全保护等级的关系如表1所示。表1定级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三
10、级第四级第五级1.4 定级流程等级保护对象定级工作的一般流程如图1所示:图1等级保护对象定级工作一般流程各级等级保护对象定级工作具体要求参见附录B。5确定定级对象5. 1定级对象的基本特征作为定级对象的网络应具有如下基本特征:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体 等其他组织;注2:应避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。在确定定级对象时,基础信息网络、工业控制系统、云计算平台、物联网、采用移动互 联技术的网络和大数据在满足以上基
11、本特征的基础上,还应分别遵循5. 2、5.3、5.4、5.5、 5. 6和5. 7的相关要求。5.1 基础信息网络对于电信网、广播电视传输网、互联网等基础信息网络,应分别依据服务类型、服务地 域和安全责任主体等因素将其划分为不同的定级对象。跨省业务专网可作为一个整体对象定级,也可以分区域划分为若干个定级对象。5.2 工业控制系统工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。 其中,现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级,各要素不单 独定级;生产管理要素可单独定级。对于大型工业控制系统,可以根据系统功能、责任主体、控制对象和生产厂商等因素划
12、分为多个定级对象。5.3 云计算平台在云计算环境中,应将云服务方侧的云计算平台单独作为定级对象定级,云租户侧的等 级保护对象也应作为单独的定级对象定级。对于大型云计算平台,应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。5.4 物联网物联网主要包括感知、网络传输和处理应用等特征要素,应将以上要素作为一个整体对 象定级,各要素不单独定级。5.5 采用移动互联技术的网络采用移动互联技术的网络主要包括移动终端、移动应用、无线网络等特征要素,应与相 关有线网络业务系统作为一个整体对象定级。5.6 大数据大数据应作为单独定级对象进行定级;安全责任主体相同的大数据、大数据平台和应用 可作为一个整
13、体对象定级。6初步确定等级6. 1定级方法概述对于一般的网络,其定级方法应按照以下描述进行;对于基础信息网络、云计算平台和 大数据平台等起支撑作用的网络,其定级方法应参照6. 5。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客 体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确 定。从业务信息安全角度反映的定级对象安全保护等级称业务信息安全保护等级;从系统服 务安全角度反映的定级对象安全保护等级称系统服务安全保护等级。定级方法如下:a)确定受到破坏时所侵害的客体1)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到侵害时所侵害的
14、客体。b)确定对客体的侵害程度1)根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。c)确定安全保护等级1)确定业务信息安全保护等级;2)确定系统服务安全保护等级;3)将业务信息安全保护等级和系统服务安全保护等级的较高者初步确定为定级 对象的安全保护等级。定级方法的流程示意图参见附录Ao6.1 确定受侵害的客体定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人 和其他组织的合法权益。确定受侵害的客体时,应首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公 众利益,最后判断是否侵害
15、公民、法人和其他组织的合法权益。6.2 确定对客体的侵害程度6.2.1 侵害的客观方面在客观方面,对客体的侵害外在表现为对定级对象的破坏,其危害方式表现为对信息安 全的破坏和对网络服务的破坏,其中信息安全是指确保网络内信息的保密性、完整性和可用 性等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。 由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所 不同,在定级过程中,需要分别处理这两种危害方式。业务信息安全和系统服务安全受到破坏后,可能产生以下危害后果: 影响行使工作职能; 导致业务能力下降; 引起法律纠纷;导致财产损失; 造成社会不
16、良影响; 对其他组织和个人造成损失; 其他影响。6.2.2 综合判定侵害程度侵害程度是客观方面的不同外在表现的综合体现,因此,应首先根据不同的受侵害客体、 不同危害后果分别确定其危害程度。对不同危害后果确定其危害程度所采取的方法和所考虑 的角度可能不同,例如系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆 盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可 以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的判断时,应参照以下不同的判别基准:如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体
17、利 益作为判断侵害程度的基准;如果受侵害客体是社会秩序、公共利益或国家安全,则应以整个行业或国家的总体 利益作为判断侵害程度的基准。业务信息安全和系统服务安全被破坏后对客体的侵害程度,由对不同危害结果的危害程 度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业 务信息安全和系统服务安全受到破坏后关注的危害结果、危害程度的计算方式均可能不同, 各行业可根据本行业信息特点和系统服务特点,制定危害程度的综合评定方法,并给出侵害 不同客体造成一般损害、严重损害、特别严重损害的具体定义。6.3 确定安全保护等级根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,依
18、据表2业务信 息安全保护等级矩阵表,即可得到业务信息安全保护等级。表2业务信息安全保护等级矩阵表业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,依据表3系统服 务安全保护等级矩阵表,即可得到系统服务安全保护等级。表3系统服务安全保护等级矩阵表系统服务安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第三级社会秩序、公共利益第二级第
19、三级第四级国家安全第三级第四级第五级定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者 决定。6.4 特定定级对象定级说明对于基础信息网络、云计算平台、大数据平台等支撑类网络,应根据其承载或将要承载 的等级保护对象的重要程度确定其安全保护等级,原则上应不低于其承载的等级保护对象的 安全保护等级。对于大数据,应综合考虑数据规模、数据价值等因素,根据数据资源(完整性、保密性、 可用性)遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权 益的侵害程度等因素确定其安全保护等级。原则上,大数据安全保护等级不低于第三级。对于确定为关键信息基础设施的,原则上其安
20、全保护等级不低于第三级。7专家评审定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理 性进行评审,出具专家评审意见。8主管部门审核定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。9公安机关备案审查定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备 案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安 全保护等级。10等级变更当等级保护对象所处理的信息、业务状态和系统服务范围发生变化,可能导致业务信息 安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,应根据本标 准要求重新确定定级对象和安全保护等级。附录B (资料性附录)附录C定级方法流程等级保护对象定级方法流程如图A. 1所示:图A. 1定级方法流程示意图