近日,新版《GBT 22240-2020 信息安全技術 網絡安全等級保護定級指南》正式發布,新的國標將於 2020 年 11 月 1 日正式實施。騰訊安全平臺部天幕團隊聯合騰訊安全專家諮詢團隊、雲鼎實驗室、安全管理部標準團隊,針對新版定級指南的一些變化劃重點解讀,供廣大企業參考。
一、定級原理及流程
1、安全保護等級如何劃分?
本部分變化較小,依舊是五個等級,從一級到五級由低到高。現在對於定級系統的稱呼統一改為等級保護對象(舊標準中稱為信息系統),這也與等保2. 0 其他系列標準保持一致。
2、等保定級要素都有哪些?
要素可以說基本沒有變化,依舊沿用之前的定義。
● 等級保護對象要素的兩個方面:
1)受侵害的客體;
2)對客體的侵害程度。
● 等級保護對象受侵害客體的三個方面:
1)公民、法人和其他組織的合法權益;
2)社會秩序、公共利益;
3)國家安全。
● 等級保護對象受到破壞後對客體造成侵害的程度歸結為以下三種:
1)造成一般損害;
2)造成嚴重損害;
3)造成特別嚴重損害。
● 定級要素與安全保護等級的關係
之前行業內關於等保2. 0 基本要求的解讀中,曾經提過對於公民、法人和其他組織和合法權益受到特別嚴重損害會定為第三級,但是從新版《指南》的官方結論,依舊按照舊版定為第二級,這裡明確說明一下。
3、定級流程是怎樣的?
第二級及以上等級保護對象定級流程新增專家評審環節,不再自主定級,需要聘請專家認定等級保護對象的級別。
二、確定定級對象
1、哪些企業和機構需要定級備案?
定級對象的範圍相比舊標準變化較多,本次《指南》包含了雲計算、物聯網、工業控制系統、採用移動互聯技術的系統、通信網絡設施以及數據資源,我們來具體看下。
通用定級對象基本特徵明確,共計三點:
● 具有確定的主要安全責任體;
● 承載相對獨立的業務應用;
● 包含相互關聯的多個資源。
從這幾個特徵來看,基本網際網路上的系統差不多都要定級備案。《指南》給出了有關安全責任主體的解釋:包括但不限於企業、機關和事業單位等法人,以及不具備法人資格的社會團體等其他組織。
以前很多人一直有個疑問,我們的系統很小,沒多少數據,就不需要定級了。現在官方給出了解釋,企事業單位、機關基本都是具有法人的,那麼這些單位的系統必須都要定級備案。其他團體(包括公益組織)和中小私營企業原則上也都要對系統進行定級備案。這個事情基本是躲不過去的。
2、哪些系統屬於強制定級備案範疇?
● 雲計算平臺/系統
《指南》明確表示,雲上租戶和雲服務商的等級保護對象要分開定級,根據云上服務模式再分別定級。就是說,雲服務商的平臺對外提供SaaS、PaaS、IaaS三種服務模式,那麼就分為三個對象來分別定級。
對於大型雲計算平臺,除了服務模式之外還可能根據基礎設施和輔助服務系統再次分別定級。不過這裡《指南》中用了「宜」這個字,以我們的觀點來看,應該是建議而非強制要求。
另外,對於騰訊雲這種大型雲計算平臺的要求,同樣也適用於搭建私有雲和混合雲的大中型企業。
● 物聯網
通常是以系統為單位,將所有邊緣設備和應用統一起來,作為一個整體來定級。(比如某些智能家居系統,就要以整體平臺作為定級對象,不能以不同家庭或不同區域作為定級對象)
● 工業控制系統
不同於其他行業,《指南》要求對於工業控制系統,將現場、過程控制要素作為一個整體定級,而生產管理要素單獨再作為一個定級對象。也就是一個工業控制系統,最終會分成兩個對象定級備案。
對於大型工控系統,類似大型雲計算平臺要求,根據功能、主體、控制對象和生產廠商等因素劃分多個定級對象。這裡《指南》並不是建議,而是要求,也就是說大型工控系統會進行拆分定級。
● 採用移動互聯技術的系統
《指南》為這類系統進行了簡要描述,即包括移動終端(手機、平板、筆記本)、移動應用和無線網絡等特徵要素的系統。將所有移動技術整合,作為一個整體來定級。
● 通信網絡設施
主要是通信和廣電行業的核心網絡,基本可以算得上關鍵信息基礎設施了,也是國家重點關注的行業之一。《指南》建議(用了「宜」)可根據安全責任主體、服務類型或服務地域劃分不同的定級對象。根據以往經驗,基本都是採取責任主體或地域劃分居多,也便於管理。
而對於運營商網絡(骨幹網、接入網),多以地市為單位作為定級對象。《指南》建議跨省行業或單位專用通信網可作為一個整體對象定級,這對於運營商企業來說算是一個利好了。
● 數據資源
這是新版《指南》提出的一個新要素。數據資源可以獨立定級。定級是基於大數據、大數據平臺安全責任主體相同與否。舉個例子,比如某些電商平臺,數據分布在多個平臺,每個平臺都有獨立法人,這種情況就應該屬於安全責任主體不同,這時就要把數據資源單獨作為定級對象,電商平臺作為另一個定級對象。
三、確定安全保護等級
1、安全保護等級的定級方式是怎樣的?
對於通用系統的定級方式沒有明顯變化,依舊根據對業務信息的影響和對系統服務的影響來評判,二者取最高級別。
2、確定受侵害的客體與以往相比有哪些變化?
確定受侵害的客體方面有明顯變化,這裡只說明新增變化。
侵害國家安全事項方面:
● 新增影響海洋權益完整的侵害;
● 新增影響國家社會主義經濟秩序和文化實力的侵害。
侵害社會秩序事項方面:
● 明確提出影響企事業單位、社會團體生產秩序、醫療衛生秩序的侵害;
● 新增影響公共運輸秩序的侵害;
● 新增影響人民群眾生活的侵害。
侵害公共利益事項方面:
基本無變化。
確定對客體的侵害程度方面(包括侵害的客觀方面和綜合判定侵害程度)無明顯變化。
業務信息安全等級矩陣表與系統服務安全等級矩陣表無變化。
有關確定安全保護等級和等級變更部分可自行閱讀《指南》原文。
騰訊作為《指南》起草單位之一,同時也作為大型雲服務商,從各行業實踐中梳理和總結等保2. 0 時代網絡安全合規工作方式與方法,以「一個中心、三重防護」為核心,旨在助力提升企業網絡安全能力,規避和緩解企業風險。騰訊安全整合騰訊天幕等團隊在雲計算+邊緣計算、AI、大數據以及IPv6 普及化等方面的能力優勢,為企業提供基於強大算力的安全支持,滿足新場景下的安全合規需求。
● 目前,騰訊雲已通過等級保護三級、騰訊金融雲已通過等級保護四級要求,可以為雲租戶提供一個合規的雲平臺,這也是租戶業務系統通過等級保護2. 0 測評的先決條件。
如何快速配置符合等保規定的雲伺服器,成為企業亟待解決的難題之一。對此,騰訊安全雲鼎實驗室推出全球首個雲原生默認等保合規鏡像並免費開放,用戶一鍵即可自動完成基礎合規配置。
● 安全解決方案方面,針對等保二級和三級的要求,騰訊雲擁有包含安全管理中心、防火牆、網絡入侵防護系統、Web應用防火牆、DDoS高防、數據安全網關、主機安全、資料庫審計、堡壘機等雲原生安全防護產品。
● 安全服務方面,以騰訊雲完備的合作生態資原為基礎,騰訊雲安全專家服務團隊聯合各地等保測評中心提供一站式安全產品及服務,以及按需提供專業的增值服務來幫助騰訊雲用戶完成等級保護測評與整改,提升安全防護能力。
客戶可通過以下方式,聯繫騰訊雲安全專家服務團隊進行等保諮詢:登陸騰訊雲官網(複製以下網址在瀏覽器中打開https://cloud.tencent.com),通過控制臺提交工單;或在騰訊雲官網相關頁面提交申請。騰訊雲網官菜單導航:產品-安全-安全服務-專家服務。