文章目录

  • 简介
  • 等级保护对象
    • 信息系统
    • 通信网络设施
    • 数据资源
  • 定级对象的划分
  • 小结

简介

在等保2.0的过程中,会有很多个对象,这些对象分别指的是什么?在测评过程中如何进行选择?本文将从等保定级的角度来谈谈等级保护对象,测评对象留到另外一篇来讲。

等级保护对象

在GB/T 22240-2020 《 信息安全技术 网络安全等级保护定级指南》2020年刚发布的定级指南中提到了等级保护对象,在这里我们可以认为:
等 级 保 护 对 象 = 定 级 对 象 等级保护对象=定级对象 等级保护对象=定级对象
在标准GB/T 22240-2020 (p1)中给出的等级保护对象(target of classified protection)定义为:“包括信息系统、通信网络设施和数据资源”。
拆开看就是三个对象:

  1. 信息系统
  2. 通信网络设施
  3. 数据资源

这三个都是网络安全等级保护工作直接作用的对象,后面两个是等保1.0(原标准定义:信息安全等级保护工作直接作用的具体的信息和信息系统。)中没有规定的。

信息系统

信息系统(Information system),是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统(百度百科的定义)。常见的信息系统如:OA,客户关系管理系统,进销存管理系统等(详细列表可参考各计算机专业本科毕业设计题目),还有特定行业如医院的HIS/LIS/PACS等;当然也保护融合了新技术新应用的各种工控、云计算、物联网系统。
信息系统是在GB/T 22240-2008中就一直存在的等保对象,这个标准是08年发布的,10多年过去了,现在的移动互联、大数据、云计算、物联网和工控系统当做信息系统来进行等级保护明显不太合适。
例如:大数据、云计算平台中包含大量的虚拟化设备,这些设备和传统设备的安全设置、要求都有很大不同。

通信网络设施

通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等。
通信网络设施作为等保对象虽然是新版标准中的修订部分,但是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号)早就明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。在中级测评师复习资料里指出:随着信息化的发展进程,通信网络设施也由最初的电信传输网和互联网基础信息网络,逐步扩展到广播电视传输网,以及跨省的行业专网或业务专网。
除了通信网络设施外,我觉得这里的意思应该是鼓励将通用的基础网络设施部分单独抽取出来,单独定级,这样做是以模块化的思想来处理我们要保护的这些对象,举个栗子:
机房有若干个信息系统,有三级,有二级,那么要满足等保要求,要么整个机房物理环境都满足三级,要么就是机房进行了分区,二级信息系统放一个区域、三级系统放一个区域。如果机房里面有10个信息系统要做等保,就要对机房部署的机房环境,网络边界设备等做10次测评(当然如果10个信息系统同时做另说)。明显,这样不便于管理,工作量也大,这个时候就可以考虑单独把机房及内部的网络设备都单独拿出来,按运行的信息系统等保级别的就高原则做等保测评。也可以这么想,把机房做了三级等保之后,将来上面再加别的系统,或者二级系统变更为三级系统,物理环境、安全边界就不需要考虑这么多了。当然,如果信息系统数量不多或机房规模不大的情况下,就无需单独切分为等保对象。

数据资源

GB/T 22240-2008中的等保对象有提到信息,信息广义上可以泛指声音、图像、视频、记录等结构化及其他非结构化数据,香农(Shannon,1948)认为“信息是用来消除随机不确定性的东西”。在等保1.0阶段,信息主要还是指信息系统中涉及到的数据,如:业务信息、配置信息、管理信息、鉴别信息等。
中级测评资料中指出:随着我国由工业化向信息化的转型,以开发和利用信息资源为目的的经济活动迅速扩大,逐步出现了面向大数据的应用需求。大数据具有体量巨大、类型繁多、处理速度快等特质,决定了大数据难以采用传统数据结构进行有效处理,需要引入新的分布式体系结构和计算平台,如云计算平合进行存储、操作和分析,而这些技术和平台的引入则进一步推动了数据资源、数据处理平合和网络运营者的解耦,即大数据资源、大数据应用/工具和大数据基础平合可能从属于不同的网络运营者,所有权和安全责任的分离导致大数据逐步成为独立的等级保护对象。
而数据资源的典型例子是大数据,至于什么时候数据资源单独作为定级对象,什么时候整合在系统或平台中,下一节来讲解。

定级对象的划分

上面说的是等级保护对象,既然某对象要进行等级保护,那当然要先定级,这个时候就变成了定级对象。对于测评对象的主管单位而言,定级对象划分越粗越好,什么网站群系统,内含10多个网站。这样只算一个定级对象,出一份钱,解决多个网站的问题。这也是为什么要先写定级报告,然后由专家评审(新版标准规定),定级对象划分以及定级是否准确。下面以传统信息系统为例,看看如何来划分定级对象(公控、物联网、移动互联等系统可以参考中级测评师复习材料)。
一共看三点:

  1. 具有确定的主要安全责任主体;
    这里的安全责任主体可以窄义理解为信息系统的所有/运营者,具体还是要看网络安全法中的规定(标准里面也有,从建设或运维角度来看),这里不展开,通常包括企业机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
    这里要额外说明一下,很多单位都有这样的错误思想:我的网站放在某云平台上,安全责任不属于我管,应该是由云平台负责。客观来说,在某云平台上的网站,云平台仅负责安全物理环境、安全网络边界等一部分内容,出了安全问题还是由网站的所有/运营者负责。
  2. 承载相对独立的业务应用;
    2.1. 相对独立的业务应用是指该业务应用与外部业务关联度低,交互较少。如果两个业务应用紧密耦合,数据交互频繁,就应该考虑是否应该合并为一个定级对象。
    这里意思是两个系统如何界定是作为一个定级对象还是两个定级对象。例如:
    某医院有门诊系统和住院系统,如果两个系统放在不同的服务器,或者使用不同的数据库,甚至连开发单位也不一样,二者没有或者只有很少的数据交互,那么就要分开作为两个定级对象;
    如果两个系统用的同一套硬件、数据库,数据也有交互,可以用一卡通在门诊开药,医生可以预定床位,住院部可以看到门诊记录等,这个时候可以把两个系统看做是整个HIS的两个大模块,整个HIS作为一个定级对象进行处理。
    再例如之前提到的网站群的例子,假如某高校有后勤网站、二级学院网站、计财处网站。这个时候要考虑划分的粒度,不能全部都作为某高校网站群作为对象,也无需每一个网站都分开,通常可以把二级学院的网站,部门的网站等二级域名的放到一块:
    www.xxx.edu.cn;jsj.xxx.edu.cn;hqgl.xxx.edu.cn
    但是承担特殊业务的一些网站,如科研管理系统、财务报销系统要单独拿出来做为定级对象。
    2.2. 该业务应用不强制要求完全覆盖从客户终端到数据库后台的整个业务流程,也可以是其中一部分。《银行业定级指南》中就明确指出,“部署有应用服务器或者数据库服务器的前置系统”可以作为应用系统类定级对象独立定级。
    这里意思是信息系统对象什么时候可以拆分为多个定级对象,例如铁路的自动售票终端设备,按理说是属于售票管理系统,都是连接相同的数据,但是这些终端设备部署有自己的应用,可以单独拿出来作为定级对象。
  3. 包含相互关联的多个资源。
    这块还没想到具体的解释,欢迎各位评论区补充讨论。

最后补充一下数据资源对象的划分标准:
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。

小结

借用中级测评材料一小段总结一下:等保2.0中,等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。其中,通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;数据资源的典型例子是大数据。

等保2.0.等保对象知多少相关推荐

  1. 关于等保2.0,这些是你应该知道的

    ▼更多精彩推荐,请关注我们▼ 等保2.0,一个全新的网络安全时代的开始! 2019年5月13日,网络安全等级保护制度2.0(以下简称等保2.0)标准正式发布,并将于2019年12月1日开始实施. 等保 ...

  2. 看各大安全厂商对等保2.0的应对措施及解决方案

    5月13日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统.云计算.大数据.物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据. 前面文章已经分析过 ...

  3. 智安网络丨什么是等保2.0?

    等保2.0于在2019年12月1日开始实施,下面我们从多个角度切入,带大家详细了解等级保护2.0到底是什么. 等保1.0回顾 在开始讲等保2.0之前,让我们先回顾一下等保1.0.等保1.0发布距今已经 ...

  4. 你说的等保3.0,是不是等保三级测评

    不懂等级保护的朋友,也许很容易出现这样的错误.不少首次咨询等保测评服务的朋友,很容易这样说,你好,我想做等保3.0,您这里可以帮忙吗?一听这哥们这样说话,我就知道他是不清楚信息安全等级保护或者网络安全 ...

  5. 等保2.0标准_信息安全技术标准与等保2.0

    1. 等保2.0 等保2.0相关的<信息安全技术网络安全等级保护基本要求>.<信息安全技术网络安全等级保护测评要求>.<信息安全技术网络安全等级保护安全设计技术要求> ...

  6. 云上安全工作乱如麻,等保2.0来一下

    "甘孜某集团OA和财务系统遭受勒索病毒攻击,罚50000元,责任人再罚5000元!" "宜宾某馆藏书目查询平台的页面被攻击篡改.罚80000元,责任人再罚10000元!& ...

  7. 等保2.0基本要求与等保1.0对比解读

    等级保护共分为五级具体介绍如下: https://blog.csdn.net/weixin_33860528/article/details/89573660 等级保护2.0发布后,市场上铺天盖地的出 ...

  8. 等保2.0的自动代码审计及开源治理解决方案

    2016年10月10日,第五届全国信息安全等级保护技术大会召开,公安部网络安全保卫局郭启全总工指出:国家对网络安全等级保护制度提出了新的要求,标志着等级保护制度进入2.0时代.2017年5月,公安部发 ...

  9. 电脑软件系统等保2.0 二级安全要求

    下载地址:(干货)GBT+22239-2019+信息安全技术+网络安全2.0等级保护基本要求1.xlsx 或添加文章底部微信公众号回复[2.0等保]获取更全面Excel版本 目录 1|11安全通用要求 ...

最新文章

  1. springboot配置ssl-pfx
  2. Greenplum 2000亿 近似度查询 性能 以及注意事项
  3. 土地利用结构信息熵_科研成果快报第163期:基于市政用水时序数据的城市混合土地利用感知与分析...
  4. 只显示隐藏文件 显示指定目录下的目录
  5. 第八十期:初创公司5大Java服务困局,阿里工程师如何打破?
  6. layui多文件上传讲解_layui文件上传的实际应用实例
  7. css3探测光圈_一款带光圈阴影的纯CSS3 Instagram图标
  8. 对SQLite数据库操作 操作db文件
  9. pythonopencv直方图均衡化_OpenCV-Python教程(10、直方图均衡化)
  10. 极速office如何插入超链接
  11. Android 项目必备(十七)-->实现身份证认证功能
  12. 【科学文献计量】中英文文献标题及摘要分词字数与频数统计与可视化
  13. ASP.NET Session详细介绍
  14. 明解C语言入门篇_第8章_动手编写各种程序吧
  15. bigemap批量添加第三方在线地图浏览
  16. 完成RPA类产品设计需要解决哪些技术问题
  17. 计算机毕业设计Java宠物交易平台(源码+系统+mysql数据库+lw文档)
  18. 言过其行、言而不行。
  19. 电脑日常使用指南(电脑的正确使用姿势)
  20. Djiango SimpleUI后台优化

热门文章

  1. Android系统 Systrace调试使用说明
  2. Apple safari浏览器, 把table 的td改为display:block之后显示不正常
  3. Sell in和sell through
  4. 电脑删除文件显示计算机管理员,为什么电脑文件夹删不掉?需要管理员权限删除如何解决...
  5. Python黑科技:暴力破解,你的密码真的安全么?
  6. 全球及中国唇彩行业商业模式分析及投资风险预测报告2022-2028年版
  7. C# 是否读到文件尾, 怎么判断
  8. android发展的最新动态,5G消息最新进展:进程有波折、前景很光明!
  9. 实时游戏计算机配置,怎么知道自己的电脑配置可以玩那些游戏?
  10. Docker镜像报错:Error response from daemon: Get https://registry-1.docker.io/v2/: net/http: request cance