#每日三件事,第734天#
定级就是为了给等级保护对象确定一个准确的等级进行适度的安全防护。由于三级系统每年都需要开展测评工作,当然也需要花一笔测评费用,还有配套的安全整改费用。很多单位出于资金方面的考虑,想要争取经费的就会尽可能让定级的系统多、级别高一些;争取不来经费的就会尽可能让定级的系统少、级别低一些。在定级的过程中掺杂了这些和定级毫不相干的因素,就会导致定级不准,防护不力,最终的结果就是有限的资金滥用、系统得不到合理的防护。
定级针对的是信息系统,信息系统的基本特征有三点:一,具有确定的主要安全责任主体。安全责任主体包括企业、机关和事业等法人单位。二,承载相对独立的业务应用。也就是能够处理至少一个完整的业务流程,从数据的采集、传输、加工、处理、存储等方面来看,能够完成一个独立的流程操作。三,包含相互关联的多个资源。这主要是避免将一个单独的服务器、终端或者网络设备作为定级对象。
云计算环境中,云服服务侧和云租户侧要分别作为单独的定级对象进行定级。云平台的安全保护等级必须高于所承载系统的安全保护等级,也就是说二级的云平台不能承载三级的信息系统;三级云平台则可以承载二级和三级的信息系统,当然这个云平台也不能承载四级的信息系统。
大型云计算平台,还应当将云计算基础设施和有关辅助服务系统划分为不同的定级对象。云平台单独作为定级对象时,还应工具不同服务模式将云计算平台划分为不同的定级对象。
物联网则应该将感知层、网络传输层、数据处理层和应用层作为一个整体对象定级。
工业控制系统则应该把现场采集/执行、现场控制、过程控制作为一个整体对象定级,生产管理系统可以单独定级。
移动互联网系统应该把移动终端、移动应用和无线网络作为一个整体对象定级,或者与相关业务系统一起定级。
通信网络,比如广电、电信等的网络,可以根据安全责任主体、服务类型或服务地域等因素划分成不同的定级对象。
数组资源可以独立定级,当安全责任主体相同时,大数据、大数据平台/系统可以作为一个整体对象定级。安全责任不同时,大数据应独立定级。
在确定了定级对象后,就需要根据系统受到破坏时所侵害的客体以及对客体的侵害程度来确定等级了。需要从两个方面来考虑:一是确定业务信息受到破坏时所侵害的客体,以及对客体的侵害程度;二是确定系统服务受到破坏时所侵害的客体,以及对客体侵害的程度。
定级对象的安全保护等级最终由业务信息安全保护等级和系统服务安全保护等级的较高者决定。
很多行业也有定级指导意见,国家也会对有些行业出台定级指导意见,在定级的时候都可以参考。
初步确定为二级以上的系统,需要网络运营者组织网络安全专家和业务专家对定级结果的合理性进行评审,并给出评审意见。有行业主管部门的,还需要将定级结果报请行业主管部门核准。最后将定级结果提交公安机关进行备案审核,审核不通过的,需要重新定级;审核通过后最终确定定级对象的安全保护等级。
等级保护对象随着处理业务和服务范围的变化,以及生命周期的变化,其业务信息安全或系统服务安全受到破坏后侵害的客体以及对客体的侵害程度会发生变化。这时候需要对定级对象重新定级,也就是说系统发生重大变化时,需要重新定级备案。当然,系统废止时,需要撤销备案。
网友评论