网络定级是等级保护工作的首要环节和关键环节,是开展网络备案、建设整改、等级测评、监督检查等工作的重要基础。这里先明确一个概念,网络是广义的概念,包括起支撑、传输作用的基础信息网络、各类应用系统和数据资源。网络的安全级别如果确定不准,网络备案、建设整改、等级测评等后续工作都会失去意义,网络安全就没有保证,因此,网络运营者、行业主管部门、网络安全监管部门和等级测评机构、信息安全企业和专家等,都要高度重视网络的定级。定级工作可以按照下列步骤进行。
1.定级工作流程
摸底调查,掌握网络底数;确定定级对象;初步确定网络的安全保护等级;专家评审;主管部门核准;公安机关备案;公安机关审核。
2.定级范围
已经投入运行的网络、新建网络都要定级。新建网络应在规划设计阶段定级,按照“三同步”原则,同步设计、同步建设、同步运行网络安全设施,落实安全保护措施。
3.等级确定
第一级、第二级网络为一般网络,第三级、第四级、第五级网络为重要网络。重要网络是国家和各部门保护的重点,国家在项目、经费、科研等方面将给予重点支持。
网络的安全保护等级是网络的客观属性。在定级时,应站在维护国家网络安全的高度,综合考虑网络遭到破坏后对国家安全、社会秩序、公共利益及公民、法人和其他组织的合法权益的影响,确定网络的安全保护等级。
4.定级工作指导
行业主管部门可以根据定级指南,结合行业特点和网络的实际情况,出台定级指导意见,保证同行业网络在不同地区的安全保护等级的一致性,指导本行业网络的定级工作。
现在应该是很多人都知道,等级保护工作的五个规定动作:定级、备案、建设整改、等级测评、监督检查。这五个规定动作来自《信息安全等级保护管理办法》,首当其冲的就是定级工作,不过很多单位仍然对定级工作如何开展了解甚少,在一些地区都是委托给第三方了,但是定级责任是运营、使用单位,可以委托工作,却无法转移责任的。所以,了解定级工作还是非常重要的,因为该项工作其实主要在于网络运营单位。
我前面其实也整理过一篇关于定级工作的文字,大家可以参考《网络安全等级保护:如何做好定级与备案工作》,这篇是有关定级备案工作的一个介绍,而本篇则主要是定级具体细节性工作的介绍。
定级方法概述
定级对象的定级方法按照以下描述进行。对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源。
定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。
下面,为《信息安全技术 网络安全等级保护定级指南》中的定级方法流程示意图。
具体流程如下:
a)确定受到破坏时所侵害的客体
1) 确定业务信息受到破坏时所侵害的客体;
2) 确定系统服务受到侵害时所侵害的客体。
b)确定对客体的侵害程度
1) 根据不同的受侵害客体,分别评定业务信息安全被破坏对客体的侵害程度;
2) 根据不同的受侵害客体,分别评定系统服务安全被破坏对客体的侵害程度。
c)确定安全保护等级
1) 确定业务信息安全保护等级;
2) 确定系统服务安全保护等级;
3) 将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。
确定受侵害的客体
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。
侵害国家安全的事项包括以下方面:
———影响国家政权稳固和领土主权、海洋权益完整;
———影响国家统一、民族团结和社会稳定;
———影响国家社会主义市场经济秩序和文化实力;
———其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面:
———影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;
———影响公共场所的活动秩序、公共交通秩序;
———影响人民群众的生活秩序;
———其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面:
———影响社会成员使用公共设施;
———影响社会成员获取公开数据资源;
———影响社会成员接受公共服务等方面;
———其他影响公共利益的事项。
侵害公民、法人和其他组织的合法权益是指受法律保护的公民、法人和其他组织所享有的社会权利和利益等受到损害。
确定受侵害的客体时,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。
确定对客体的侵害程度
侵害的客观方面
在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。其中,业务信息安全是指确保定级对象中信息的保密性、完整性和可用性等,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种侵害方式。
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果:
———影响行使工作职能;
———导致业务能力下降;
———引起法律纠纷;
———导致财产损失;
———造成社会不良影响;
———对其他组织和个人造成损失;
———其他影响。
综合判定侵害程度
侵害程度是客观方面的不同外在表现的综合体现,因此,首先根据不同的受侵害客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同,例如,系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定,业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。
在针对不同的受侵害客体进行侵害程度的判断时,参照以下不同的判别基准:
———如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;
———如果受侵害客体是社会秩序、公共利益或国家安全,则以整个行业或国家的总体利益作为判断侵害程度的基准。
不同侵害后果的三种侵害程度描述如下:
———一般损害:工作职能受到局部影响,业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题,较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;
———严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题,较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较高损害;
———特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降且或功能无法执行,出现极其严重的法律问题,极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常高损害。
对客体的侵害程度由对不同侵害结果的侵害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的侵害结果、侵害程度的计算方式均可能不同,各行业可根据本行业业务信息和系统服务特点制定侵害程度的综合评定方法,并给出一般损害、严重损害、特别严重损害的具体定义。
分别根据业务信息和系统服务两个维度,被破坏时所侵害的客体以及对相应客体的侵害程度,依据下面矩阵表,可得到业务信息或系统服务的安全保护等级。
最终确定安全保护等级
安全保护等级初步确定为第二级及以上的,定级对象的网络运营者需组织信息安全专家和业务专家对定级结果的合理性进行评审,并出具专家评审意见。有行业主管(监管)部门的,还需将定级结果报请行业主管(监管)部门核准,并出具核准意见。最后,定级对象的网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过,其网络运营者需组织重新定级;审核通过后最终确定定级对象的安全保护等级。
对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,原则上不低于其承载的等级保护对象的安全保护等级。
对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。