《中华人民共和国网络安全法》第21条明确规定了“国家实行网络安全等级保护制度,要求网络运营者应当按照网络安全等级保护制度要求,履行安全保护义务”;第31条规定“对于国家关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
为了进一步构建完善等级保护技术标准体系,自2014年4月起,公安部网络安全保卫局组织包括公安部一所、三所、浙江大学、阿里、鼎普科技等多家单位在内的检测机构、科研院所、安全厂商、互联网企业,对云计算、大数据、物联网、移动互联、工业控制系统等新技术、新应用安全问题进行了深入、广泛的调研,对2008年发布的《信息安全技术 信息安全等级保护基本要求》(GB/T 22239)进行修订,并在此基础上,根据各领域的技术特点研究起草了网络安全等级保护系列标准。同时,为进一步规范、指导新技术条件下等级保护定级工作的开展,对2008年发布的《信息安全技术 信息安全等级保护定级指南规范》(GB/T 22240)进行修订,增加了云计算平台、大数据、物联网、工业控制系统环境下信息系统定级对象、定级方法的描述,形成了《信息安全等级保护定级指南》。
为确保等级保护系列标准草案的科学性、合规性,公安部网络安全保卫局组织专家、学者及有关技术单位、一线实战部门召开了多次标准专题研讨会和专家评审会,对标准草案进行研究、讨论、评审、把关,该批标准将于近日颁布出台并作为等保合规性技术文件全面使用。
本文邀请上述技术标准的第一起草者,与我们共同分享他们在编制过程中所思所想,希望能给大家今后的工作带来帮助。
——为什么要修订《网络安全等级保护定级指南》?
作为国家等级保护标准体系的核心标准之一,GB/T 22240-2008《信息安全技术 信息系统安全等级保护定级指南》(简称08版标准)规定了信息系统安全等级保护的定级原理与方法,用以规范和指导信息系统的运营、使用单位的定级活动,通过合理地划分定级对象和准确的确定安全保护等级,为后续的安全建设整改、等级测评等工作奠定了良好的基础,有力推动了等级保护工作的开展。
近年来,随着信息技术的高速发展和网络安全监管需求的不断提升,以传统信息系统为关注对象的《定级指南》也在实际工作中遇到一些问题,反映出一定的局限性,不能满足新形势下等级保护定级工作的需要。
主要体现在
1、安全内涵的不断演进
安全的内涵由早期面向数据的信息安全,过渡到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全。《网络安全法》在总则的第一条中明确指出,本法的立法宗旨是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益”。安全内涵的演进必然带来等级保护对象和工作内容的变化。
2、IT系统重要性的提升
随着互联网融入社会生活的方方面面,信息技术产品和系统的重要性不断提高,其作用和地位已经由最初的辅助、支撑,逐步成为不可或缺的信息基础设施。习近平总书记在中央网信领导小组第一次会议上的讲话中指出:“当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会和军事等领域发展产生了深刻影响。”信息技术产品和系统在国家安全和社会生活中重要性和地位的提升,对安全保护等级的定义也带来了显著影响。
3、网络安全责任的变化
云计算、物联网、大数据和移动互联网等新技术新应用在给社会和公众带来巨大便利的同时,也对等级保护工作,特别是定级工作提出了新的挑战。例如,云计算服务带来了“云主机”等虚拟计算资源,也将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任,导致云环境下的定级工作更加复杂和困难。
4、标准内容的完善和明确
《定级指南》在实际工作中发现个别内容描述不够全面和严谨,如定级流程仅描述了系统划分和单位自定级等活动,需要进一步加以完善和明确。
为更好地指导备案单位科学、合理地开展定级工作,公安部信息安全等级保护评估中心在部网络安全保卫局指导下,牵头启动了对GB/T 22240-2008的修订工作,主要包括修订了标准名称,扩充了等级保护对象,订正了安全保护等级的定义,并完善了定级流程和定级方法,以满足新形势下等级保护定级工作对标准的需求。
——《网络安全等级保护定级指南》修订要点解读
主要修订内容
1、标准名称的修订
如前所述,“网络安全(Cyber-security)”以其更丰富的内涵逐步取代“信息安全”和“信息系统安全”成为领域共识,即将施行的《网络安全法》也明确规定“国家实行网络安全等级保护制度。”作为国家网络安全等级保护制度的核心支撑标准之一,GB/T 22240-2008的标准名称修订为《网络安全等级保护定级指南》,更加准确的反映了标准的适用和规范领域,同时也与现行法律法规以及相关系列标准的表述保持一致性。
2、等级保护对象定义的变化
GB/T 22240-2008中,等级保护对象被定义为:“信息安全等级保护工作直接作用的具体信息和信息系统”,这是与当时的技术发展状况和等级保护工作需求相适应的。但近年来,随着云计算平台、物联网和工业控制系统等新形态的等级保护对象不断涌现,原定义内涵的局限性日益显现,无法全面覆盖当前的等级保护工作对象,需要进一步扩充和完善以适应当前工作的需要。
汇总分析习总书记关于网络安全的系列重要讲话,以及《网络安全法》、《“十三五”国家信息化规划》和《国家网络空间安全战略》等法律法规和文件对于网络安全内涵的阐述和相关要求可以看出,当前关注的网络安全是面向网络空间的安全,重点涉及信息系统、网络基础设施和重要数据资源等,因此等级保护对象的定义也应从这三个方面出发,全面覆盖。
首先,信息系统是等级保护制度最早的保护对象。1994年颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)的第九条规定:“计算机信息系统实行安全等级保护。”随着信息技术的发展,传统的计算机信息系统与互联网、工业控制、云计算、物联网和移动互联等新技术新应用不断融合,呈现出工业控制系统、云计算平台、物联网等新的信息系统形态。
其次,网络基础设施在国家层面被作为等级保护对象是在2003年予以明确的。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。随着信息化的发展进程,网络基础设施也由最初的电信和互联网基础信息网络,逐步扩展到广播电视传输网,以及跨省的行业专网或企业业务专网。
第三,数据资源是随着云计算和大数据应用等新技术新应用而涌现的一类新等级保护对象。数据资源的最初形态是信息系统中的信息,包括业务信息、配置信息和管理信息等,是信息系统的组成部分。但随着我国由工业化向信息化的转型,以开发和利用信息资源为目的的经济活动迅速扩大,逐步出现了面向大数据资源的应用需求。与初期信息系统中常见的结构化、文本数据不同,大数据体量巨大、类型繁多、处理速度快且具有价值等特质,决定了难以采用传统数据结构进行有效处理,需要引入新的分布式体系结构和计算平台进行存储、操作和分析。同时,随着云计算这种计算模式的出现,出现了大数据资源、大数据应用/工具和大数据支撑平台所有权和安全责任的分离,导致大数据逐步成为独立的等级保护对象。
综上,修订后的等级保护对象定义为:“网络安全等级保护的作用对象,主要包括基础信息网络、信息系统(如工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统以及其他信息系统)和大数据等。
3、安全保护等级定义的变化
GB/T 22240-2008中,将安全保护等级第三级定义为:“等级保护对象受到破坏后,对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”。依据上述定义,那些未对国家安全造成损害或社会秩序和公共利益造成严重损害,但可能对法人或组织造成特别严重损害的等级保护对象(如全国性集团公司的资金集中管理系统,大型互联网信息平台的统一运维管理系统等),将被确定为第二级。
但是,等级保护工作的实践经验表明,这些等级保护对象通常是核心业务系统的基础设施或重要支撑系统,对法人和组织履行其职能或完成业务功能来说不可或缺,其重要程度应与核心业务系统保持基本一致,相应的安全保护等级可以确定为第三级;另一方面,从监督管理的角度来看,鉴于这些等级保护对象对相关法人和组织的重要性,它们也应该纳入到监督、检查(对应第三级)的范围内。
因此,安全保护等级第三级的定义修订为:“等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”。
定级要素与安全保护等级的关系也相应修订,如下表所示:
|
受侵害的客体
|
对客体的侵害程度
|
|
一般损害
|
严重损害
|
特别严重损害
|
|
公民、法人和其他组织的合法权益
|
第一级
|
第二级
|
第三级
|
|
社会秩序、公共利益
|
第二级
|
第三级
|
第四级
|
|
国家安全
|
第三级
|
第四级
|
第五级
|
4、定级流程的完善
对于定级流程,GB/T 22240-2008聚焦于如何从业务信息和系统服务两个角度分析和确定定级对象的安全保护级别,并未完整描述整个定级工作过程,在实际工作中可能导致备案单位缺漏部分环节,最终影响定级结果的准确性。
依据国家等级保护制度监管的十六字方针要求:“自主定级、专家评审、主管部门审批和公安机关监督”,编制组补充和完善了定级工作流程,修订后的定级工作包括以下5个环节:
1)确定定级对象
通过合理的划分等级保护对象确定定级对象。
2)初步确定等级
通过综合分析定级对象的业务信息安全和系统服务安全,初步确定安全保护等级。
3)专家评审
定级对象的运营、使用单位应组织信息安全专家和业务专家对初步定级结果进行评审,出具专家评审意见。
4)主管部门审核
定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。
5)公安机关备案审查
定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查。审查通过的,其结果最终确定为定级对象的安全保护等级;审查不通过的,定级对象的运营、使用单位应重新组织定级。
5、定级对象的确定
作为定级对象的信息系统应具有以下基本特征:
a)具有确定的主要安全责任主体,包含但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织;
b)承载相对独立的业务应用;
c)包含相互关联的多个资源,如由服务器、终端、网络互联设备和安全设备组成的办公自动化系统;单一设备不单独定级。
在云计算环境中,考虑到不同的安全建设和管理责任,应将云服务方侧的云计算平台和云租户方侧的等级保护对象作为不同的定级对象分别定级。
更进一步分析,对于大型云计算平台,应将云计算基础设施和相关辅助服务系统划分为不同的定级对象;同一云计算平台上的不同租户的等级保护对象也应划分为不同的定级对象。
对于工业控制系统,其一般包含现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制、过程控制等要素应作为一个整体对象定级,各层次要素不单独定级;生产管理要素可单独定级。对于大型工业控制系统,可以根据系统功能、控制对象或生产厂商等因素划分为多个定级对象。
对于大数据这类等级保护保护对象,应将安全责任主体相同的大数据和相关支撑平台作为一个整体对象统一定级;对于安全责任主体不同的大数据和相关支撑平台,应将大数据和支撑平台划分为不同的定级对象分别定级。 | 
