2023等保20定级备案剖析.docx

《2023等保20定级备案剖析.docx》由会员分享，可在线阅读，更多相关《2023等保20定级备案剖析.docx（38页珍藏版）》请在第一文库网上搜索。

1、等保2.0定级备案剖析目录CNTENN新旧标准定级备案变化新标准扩展部分定级备案剖析1新旧标准定级备案变化重新对部分内容的顺序作了调整，从整体显得更加的合理。熠加了新的内容和流程，例如扩展了定级的对象，包括基础信息网络、信息系统（工业控制系统、云计算平台、物联网、采用移动互联技术的信息系统、其他信息系统）、大数据等；新增加的流程为定级工作一般流程”。1.0要求2.0要求第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家定级一般流程;第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成

2、损害；新增定级工作一般流程。原标准受侵害的客体对客体的侵害程度i股损害严里损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级新标准受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第级第:级J第:级q社会秩序、公共利益第.级第:级第四级国家安全第一:级第四级第五级等级的概念重要程度等级变化 第二级信息系统 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。 第三级信息系统 信息系统受到破坏后，会对公民、法人和其

3、他组织的合法权益产生特别严重损害,或对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。等级的概念相互之间的关系变化信息系统级别信息系统重要性安全保护能力级别管理强度第一级一般信息系统一级安全保护能力自主保护第二级一般信息系统二级安全保护能力指导保护第三级重瞿i鬣置/键三级安全保护能力监督保护第四级关键信息基础设施四级安全保护能力强制保护第五级关键信息基础设施未公布专控保护确定定级对象包括基础信息网络、信息系统、大数据等。初步确认等级包括确定受侵害的客体、侵害对客体的侵害程度以及综合判定侵害程度。专家评审定级对象的运营、使用单位应组织信息安全专家和业务专家,对初步定级结果的合理性进行评审

4、，出具专家评审意见。主管部门审核定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。公安机关备案审查定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，审查不通过，其运营使用单位应组织重新定级；审查通过后最终确定定级对象的安全保护等级。最终确定的等级竟运安全让安全更安全重新对定级对象进行调整，并进行相应的介绍。2.0定级对象分为.和,其中信息系统再细分为工业控制系统,物联网.其他信息系统.移动互联以及云计算平台。信息系统1.0要求一个单位内运行的信息系统可能较庞大，为了体现重要部分重点保护，有效控制信息安仝建的信息系统划分为若干个较小

5、2.0要求工业控制系统采用移动互联技术的信息系统其他信息系统大数据竞远安全让安全更安全基础信息网络对于电信网.广播电视传输网.互联网等基础信息网络，应分别依据服务类型,服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级f也可以分区域划分为若干个定级对象。云计算平台在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。采用移动互联技术的信息系统采用移动互联技术的等级保护对象应作为一个整体对象定级，主要包括移动终端、移

6、动应用、无线网络以及相关应用系统等。物联网物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层等要素。工业控制系统工业控制系统主要由现场设备层、现场控制层、过程监控层和生产管理层构成，其中：生产管理层的定级对象确定原则见（其他信息系统）。现场设备层、现场控制层和过程监控层应作为一个整体对象定级，各层次要素不单独定级。对于大型工业控制系统，可以根据系统功能、控制对象和生产厂商等因素划分为多个定级对象。竟远身全让安全更安全f其他信息系统（作为定级对象的其他信息系统应具有如下基本特征：Ia）具有确定的主要安全责任单位。!作为定级对象的信息系统应能够明确其主要安全责任单位；b）承载相对

7、独立的业务应用。i作为定级对象的信息系统应承载相对独立的业务应用，完成不同业务目标或者支撑不同单位I或不同部门职能的多个信息系统应划分为不同的定级对象；IC）具有信息系统的基本要素。;作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组!合而成的多费源集合，单一设备（如服务器、终端、网络设备等）不单独定级。竞远安全让安全更安全大数据应将具有统一安全责任单位的大数据作为一个整体对象定级，或将其与责任主体相同的相关支撑平台统一定级。2新标准扩展部分定级备案剖析芸讥Kzi、i1攵分史攵公云计算服务模式与控制慈围关系云租户云计算平台由设施、硬件、资源抽象控制层、虚拟化计算资

8、源、软件平台和应用软件等组成。软件即服务（SaaS）在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件;平台即服务（PaaS）在平台即服务模式下，云计算平台包括设施、硬件、资源抽象控制层、虚拟化计算资源和软件平台；基础设施即服务（IaaS）在基础设施即服务模式下，云计算平台由设施、硬件、资源抽象控制层组成；范围和控制应用软件软件平台虚拟化计算资源资源抽象控制硬件设施一包括部慧用职责及业务应用3需要进一步梳理各主要业务应用模块的逻辑关系如每种应用都需使用物理基础支撑平台，则业务应用系统可不包含基础支撑的物理硬件部分业务应用1业务应用2业务应用3如基础

9、支撑平台可以对应到不同业务应用系统，则将基础支撑平台的物理设备一同划入相应定级系统 竟迈安全让安全更安全对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。云服务方云租户 以IaaS为例，在云计算环境中畛监服务方侧的云计算平台单附4定级对象定级，云租户侧少藏保护对象也应作为单独的定级.象定级。 应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级 国家关键信息基础设施（重要云计算平台）的安全保护等级应不低于第三级 在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为

10、单独的定级对象定级 对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象竟远身全让安全更安全云计算备案注意事项传统企业IT基础设施、运维地点、工商注册地基本一致，备案地明确云计算系统基础设施通常遍布多地，与运维地点和工商注册地不完全一致,存在备案地点不明确的问题云服务提供商负责将云计算平台的定级结果向所辖公安机关进行备案，备案地应为运维管理端所在地；云租户负责对云平台上承载的租户信息系统进行定级备案，备案地为工商注册或实际经营所在地。党近安全让安全更安全做云服务客户业务应用系统测评前，需要确认云计算平台完成等级测评情况，索要云平台测评报告结论盖章页。做云服务客户业务应用

11、系统测评中，需要核实云计算平台是否为云服务客户提供安全防护功能。服务器区移动管理服务器业务系统服务器无线接入网关接入设备无线接入设备移动互联移动互联技术对象构成移动互联系统指采用了移动互联技术，以移动应用为主要发布形式，用户通过移动终端获取业务和服务的信息系统。简言之为利用手机终端APP,通过3G、4G网络或W1F1连接服务商的后台服务器，获取即时通讯、移动办公、移动作业等服务。移动互联技术的等级保护对象应作为一个整体对象定级，移动终端,移动应用和无线网I络等要素不单独定级，与采用移动互联技术等级保护对象的应用环境和应用对象一起定级。竟远安全让安全更安全场景1GPRS,3G,1TE(01移动运

12、营商网络服务器区移动终端勾成处理应用层智能处理数据存储计算服务/电信网/互联网网络传输层专用网移动通信网3D系统线道无通感知网关节点物联网物联网系统才物联网可分为感知层、网络层和应用层三层。感知层包括感知层网关和传感器；网络层主要实现感知层数据信息和控制信息的双向传递；应用层指对感知数据进行集中处理的平台。物联网安全保护对象的范围覆盖感知、网络传输和处理应用三个层面。其它新闻.AV支持团队互联网其它车辆道路.础设施第消防物联网定级要求物联网主要包括感知,网络传输和处理应用等特征要素，应将以上要素作为一个整体!对象定级，各要素不单独定级。停车场Q11餐厅为公朝F朝工业控制系统功能层次结构模型软便

13、件数据网络协议际标准IEC62264-11（企业控制系统第1部分:模型和术语）将工业控制系统进行了层次结构模型划分，层次模第3层生产管理层第2层过程监控层型从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场第1层现场控制层设备层。第。层现场设备层no员员加度作程调操工操值工作班程员员师工程师MES系统：计划排产系统、生产调度系统等实时库、工程师站、HMI等P1C、DCS控制单元和RnJ等传感器和执行器等报表、历史数据、人机交互、权限审计重要生产信息统计数据调度指令计划指令工艺指令U人机交互、权限审计生产数据八设备状态配置文件生产数据.设备状态竞远安全让安全更安全以太网标准协议/非标准协议控制逻辑间置文件下装U算法策略控制逻辑生产数据、设备状态以太网标准协议/非标准协议232/485/总线/以太网标准协议/非标准协议工业控制系统一定级Z一现场采集/执行、现场控制和过程控制等要素应作为一个整体对象定级，各要素不单独定级；生产管理要素可单独定级。对于大型工业控制系统，可以根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。基础信息网络一定级对于电信网.广播电视传输网.互联网等基础信息网络，应分别依据服务类型,服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。谢谢.