新版《网络安全等级保护定级指南》解读教学提纲
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
素不单独定级。
…
根据系统功能、
… OO控PPCC服制务对器
象产和厂生商等因素
划分为多个定 …
级对象。
…
SP 800146
GB/T 31168 2014
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
适用于基础信息网络和云计算平台等定级对象。
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审批 公安机关监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
第四级
第Leabharlann Baidu级
第四级
第五级
等级保护对象
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使 用移动互联技术的信息系统等)和大数据等。
基
传统信息系统
等级保护对象
信息系统
云计算平台
层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际生产过程的 数据进行 采集,同时,利用执行器对生产过程进行操作。
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站个
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
对于大型云计算平台,应 将云计算基础设施和有关 辅助服务系统划分为不同 的定级对象。
4. 主管部门审核 5. 公安机关备案审查
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象; 系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
单一设备(如服务器、终端、网络设备等)不单独定级。
层级4 企业资源层 该层级主要通过ERP系统为企业决策层及 员工提供 决策运行手段。 层级3 生产管理层 该层级主要通过MES系统为企业提供包括 制造数 据管理、计划排程管理、生产调度管理等管理模 块。
层级2 过程监控层 该层级主要通过分布式SCADA系统采集和 监控生产 过程参数,并利用HMI系统实现人机交互。
原则上大数据安全 保护等级为第三级以上。
基础支撑类定级方法
对于基础信息网络、云计算平台等定级对象,应根据其承载或 将要承载的等级保护对象的重要程度 确定其安全保护等级,原 则上应不低于其承载的等级保护对象的安全保护等级。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
受侵害的客体 公民、法人和其他组织的合法权益
社会秩序、公共利益 国家安全
一般损害
第一级
对客体的侵害程度 严重损害
特别严重损害
第二级
第三级
第二级
第三级
新版《网络安全等级保护定级指南》解读
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
云计算平台、工业控制系统、物联网、大数据等
定级流程
流程完善 、定级方法细化。
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
采用移动互联技术的等级保护对象 应作 为一个整体对象定级,移动终端、 移动 应用和无线网络等要素不单独定级。
应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
业务处理类定级方法
适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技 术的信息系统等定级对象。
数据资源类定级方法:适用于大数据等定级对象。 基础支撑类定级方法
…
根据系统功能、
… OO控PPCC服制务对器
象产和厂生商等因素
划分为多个定 …
级对象。
…
SP 800146
GB/T 31168 2014
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
适用于基础信息网络和云计算平台等定级对象。
数据资源类定级方法
对于大数据等定级对象,应综合考虑数据规模、数据价值等因素根 据 其在国家安全、经济建设、社 会生活中的重要程度,以及数据资 源 遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其 他组织的合法权益的危害程度等因素确定其安全保护等级。
础信息网络 大数据
采用移动互联 工业控制系统
物联网系统 技术信息系统
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广 播电视传输网、互联网、 业务专网等网络设备设施。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。 注:资源可以是物理设备,也可以是虚拟设备。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。
1. 确定定级对象 2. 初步确定等级
自主定级 专 家评审 主管部门审批 公安机关监督
定级流程
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
第四级
第Leabharlann Baidu级
第四级
第五级
等级保护对象
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使 用移动互联技术的信息系统等)和大数据等。
基
传统信息系统
等级保护对象
信息系统
云计算平台
层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际生产过程的 数据进行 采集,同时,利用执行器对生产过程进行操作。
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站个
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
在云计算环境中,应将云服务方侧的 云计算平台单独作为定级对象定级, 云租户侧的等级保护对象也应作为单 独的定级对象定级。
对于大型云计算平台,应 将云计算基础设施和有关 辅助服务系统划分为不同 的定级对象。
4. 主管部门审核 5. 公安机关备案审查
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
物联网应作为一个整体对象定级,主要包括感知层、网 络 传输层和处理应用层等要素。
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接 入设备接入等级保护对象; 系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统 的安全管理。
单一设备(如服务器、终端、网络设备等)不单独定级。
层级4 企业资源层 该层级主要通过ERP系统为企业决策层及 员工提供 决策运行手段。 层级3 生产管理层 该层级主要通过MES系统为企业提供包括 制造数 据管理、计划排程管理、生产调度管理等管理模 块。
层级2 过程监控层 该层级主要通过分布式SCADA系统采集和 监控生产 过程参数,并利用HMI系统实现人机交互。
原则上大数据安全 保护等级为第三级以上。
基础支撑类定级方法
对于基础信息网络、云计算平台等定级对象,应根据其承载或 将要承载的等级保护对象的重要程度 确定其安全保护等级,原 则上应不低于其承载的等级保护对象的安全保护等级。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
受侵害的客体 公民、法人和其他组织的合法权益
社会秩序、公共利益 国家安全
一般损害
第一级
对客体的侵害程度 严重损害
特别严重损害
第二级
第三级
第二级
第三级
新版《网络安全等级保护定级指南》解读
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
云计算平台、工业控制系统、物联网、大数据等
定级流程
流程完善 、定级方法细化。
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
采用移动互联技术的等级保护对象 应作 为一个整体对象定级,移动终端、 移动 应用和无线网络等要素不单独定级。
应将具有统一安全责任单位的大数据作为一个整体对象定级。
确定安全保护等级
业务处理类定级方法
适用于传统信息系统、工业控制系统、物联网、和采用移动互联 技 术的信息系统等定级对象。
数据资源类定级方法:适用于大数据等定级对象。 基础支撑类定级方法