新版《网络安全等级保护定级指南》解读
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第二级
第三级
第二级
第三级
第四级
第三级
第四级
第五级
路漫漫其修远兮, 吾将上下而求索
等级保护对象
信息安全等级保护工作直接作用的具体信息和信息系统。
网络安全等级保护工作的作用对象,主要包括基础信息网络、信息 系统(诸如传统信息系统、工业控制系统、云计算平台、物联网、 使用移动互联技术的信息系统等)和大数据等。
新版《网络安全等级保 护定级指南》解读
路漫漫其修远兮, 吾将上下而求索
2020年4月14日星期二
支撑等级保护管理工作新思路和内容; 适应新形势下信息化新技术新应用的不断涌现; 针对标准使用过程中发现的一些问题进行修订:
降级躲避监管; 拍脑袋定级,流程不完整。
路漫漫其修远兮, 吾将上下而求索
4. 主管部门审核 5. 公安机关备案审查
路漫漫其修远兮, 吾将上下而求索
确定定级对象
对于电信网、广播电视传输网、互联网等基础信息网络,应分别依 据服务类型、服务地域和安全责 任主体等因素将其划分为不同的 定级对象。
跨省全国性业务专网可作为一个整体对象定级,也可以分区域划分 为若干个定级对象。
在云计算环境中,应将云服务方侧 的 云计算平台单独作为定级对象定 级, 云租户侧的等级保护对象也应 作为单 独的定级对象定级。
路漫漫其修远兮, 吾将上下而求索
对于大型云计算平台,应 将 云计算基础设施和有关 辅助服务系统划分为不 同 的定级对象。
物联网应作为一个整体对象定级,主要包括感知层、网络 传输层和处理应用层等要素。
层级2 过程监控层 该层级主要通过分 布式 SCADA系 统 采 集 和 监 控 生 产 过程参数,并利用HMI系统实 现人机交互。
层 级 1 现 场 控 制 层 该层级主要通过PLC、DCS控制 单元 和 RTU等 进 行 生产过程的控制。
层级0 现场设备层 该层级主要通过传感器对实际 生产过程的数据进行 采集,同时,利用执行器对 生产过程进行操作。
路漫漫其修远兮, 吾将上下而求索
生产管理层 过程监控层 现场控制层 现场设备层
仓储管理系统
计划排产系统
现场设备层、现场控制层 工和程过师站程监控层应作为操作一员站 个
素不单独定级。
…
根据系统功能、
OO控PPCC服制务对器 象和生
…
产厂商等因素
划分为多个定 …
级对象。
…
GB/T 31168 2014
路漫漫其修远兮, 吾将上下而求索
传统信息系统
具有唯一确定的安全责任单位;【 大切小 】 承载相对独立的业务应用;【 再切小 】 具有信息系统的基本要素。【 不能再小了 】
单一设备(如服务器、终端、网络设备等)不单独定级。
路漫漫其修远兮, 吾将上下而求索
路漫漫其修远兮, 吾将上下而求索
层 级 4 企 业 资 源 层 该层级主要通过ERP系统为企 业决策层及员工提供 决策运行手段。 层 级 3 生 产 管 理 层 该层级主要通过MES系统为 企业提供包括制造数 据管理、计划排程管理、 生产调度管理等管理模 块。
信息系统
由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的,按照 一定的应用目标和规则 进行信息处理或过程控制的资源集合。
注:资源可以是物理设备,也可以是虚拟设备。
路漫漫其修远兮, 吾将上下而求索
1. 确定定级对象 2. 初步确定等级
定级流程
自主定级 专家评审 主管部门审批
3. 专家评审 4. 主管部门审核 5. 公安机关备案审查
公安机关监督
路漫漫其修远兮, 吾将上下而求索
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象的运营、使用单位应组织信息 安 全专家和业务专家,对初步定级结果 的合 理性进行评审, 出具专家评审意见。
4. 主管部门审核 5. 公安机关备案审查
路漫漫其修远兮, 吾将上下而求索
1. 确定定级对象 2. 初步确定等级 3. 专家评审
路漫漫其修远兮, 吾将上下而求索
等级保护对象
基础信息网络
信息系统
大数据
传统信息系统
工业控制系统
云计算平台
物联网系统
采用移动互联 技术信息系统
路漫漫其修远兮, 吾将上下而求索
基础信息网络
为信息流通、信息系统运行等起基础支撑作用的信息网络,包括电信网、广播电视 传输网、互联网、 业务专网等网络设备设施。
第三级,等级保护对象受到破坏后,会对公民、法人和其他组织的 合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重 损害,或者对国家安全造成损害。
路漫漫其修远兮, 吾将上下而求索
受侵害的客体 公民、法人和其他组织的合法权益
社会秩序、公共利益 国家安全
一般损害
第一级
对客体的侵害程度 严重损害
特别严重损害
安全保护等级定义
第三级:对公民、法人和其他组织的合法权益产生特别严重损害。
等级保护对象
云计算平台、工业控制系统、物联网、大数据等
定级流程
流程完善 、定级方法细化。
路漫漫其修远兮, 吾将上下而求索
安全保护等级
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或 者对国家安全造成损害。
SP 800146
IaaS组件栈和控制范围
:
云计算模式与控制范围
云计算典型模型
ISO/IEC17789-2014 云计算层次框架
运维服务系统 业务运营系统 安全系统 集成 开发
在云计算环境中,应将云服务方侧 的 云计算平台单独作为定级对象定 级, 云租户侧的等级保护对象也应 作为单 独的定级对象定级。
路漫漫其修远兮, 吾将上下而求索
区别在于:移动终端可以通过无线方式 接入网络。
移动终端可以远程通过运营商基站或公共Wi-Fi 接入等级保护对象,也可以在本地通过本地无 线接入设备接入等级保护对象;
系统通过移动管理系统的服务端软件向客户端 软件发送管理策略,并由客户端软件执行实现 系统的安全管理。
采用移动互联技术的等级保护对象应作 为一个整体对象定级,移动终端、移动 应用和无线网络等要素不单独定级。
定级对象的运营、使用单位应将初步定 级结果上报行业主管部门或上级主管部 门进行审核。
4. 主管部门审核 5. 公安机关备案审查
路漫漫其修远兮, 吾将上下而求索
1. 确定定级对象 2. 初步确定等级 3. 专家评审
定级对象运营、使用单位应按照相关 管理规定,将初步定级结果提交公安机 关进行备案审查,最终确定定级对象的 安全保护等级。