近日,旧版《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》正式公告,新的国标将于2020年11月1日正式可以实行。腾讯安全平台部天幕团队联合腾讯安全专家咨询团队、云鼎实验室、安全管理部标准团队,针对2010版定级指南的一些变化划重点解读,供南疆企业参考。一、定级原理及流程1、安全保护等级怎么划为?本部分变化较小,依旧是五个等级,从一级到五级从低到高。现在对于定级系统的称呼统一替换成安全等级保护对象(旧标准中称做信息系统),这也与个人信息和重要数据出境安全评估办法那些系列标准保持一致。2、等保定级要素都有吧哪些地方?要素的确都差不多就没变化,仍然沿称之后的定义。●等级保护对象要素的两个方面:1)受侵害的客体;2)对客体的侵害程度。●信息安全等级保护对象受非法侵犯客体的三个方面:1)公民、法人和其他组织的合法权益;2)社会秩序、公共利益;3)国家安全。●等级保护对象受到破坏后对客体导致侵害的程度归罪于为100元以内三种:1)倒致就像损害;2)导致严重点损害到;3)会造成而且相当严重损害。●定级要素与安全保护等级的关系之前行业内关於个人信息和重要数据出境安全评估办法基本要求的解读中,曾经的提过对于公民、法人和其他组织和合法权益被最重要的相当严重不良影响会定为第三级,不过从2011版《指南》的官方结论,仍旧通过旧版定为第二级,这里应明确只能说明一下。3、定级流程是怎样的?第二级及以上信息安全等级保护对象定级流程新增专家评审环节,继续自主定级,需要聘请专家认定网络安全等级保护对象的级别。二、确认定级对象1、哪些企业和机构必须定级备案?定级对象的范围两者相比旧标准变化较容易,大赛期间《指南》包涵了云计算、物联网、工业控制系统、采用移动互联技术的系统、通信网络设施以及数据资源,我们来具体一点看下。通用定级对象一般特征应明确,共计三点:●具备确认的比较多安全责任体;●唤起相对独立的业务应用;●包含彼此关联的多个资源。从这几个特征判断,基本都互联网上的系统不多都要定级需要备案。《指南》具体了无关安全责任主体的解释:如所有权企业、机关和事业单位等法人,包括不具备法人资格的社会团体等其他组织。以前很多人一直有个疑问,我们的系统很小,没多少数据,就不要定级了。现在官方给出了解释,企事业单位、机关都差不多也是具高法人的,那么那些个单位的系统需要都要定级提交备案。其余团体(和公益组织)和中小私营企业原则上也都要对系统并且定级提交备案。这个事情基本上是躲不下来的。2、哪些系统属于满定级提交备案范畴?●云计算平台/系统《指南》必须明确表示,云上租户和云服务商的等级保护对象要不能分开定级,依据云上服务模式再三个定级。是说,云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式,那你就两类三个对象来三个定级。相对于小型云计算平台,除了服务模式除此之外还很有可能参照基础设施和辅助服务系统又一次各定级。但是这里《指南》中用了“宜”这种字,以我们的观点来说,应该是是建议而非噬灵鬼斩要求。同时,是对腾讯云这样的规模大云计算平台的要求,同样也适用规定于搭建私有云和混合云的大中型企业。●物联网常见是以系统为单位,将全部边缘设备和应用统一站了起来,充当个整体来定级。(比如说其它智能家居系统,还要以整体平台另外定级对象,又不能以相同家庭或不同区域充当定级对象)●工业控制系统不只是其他行业,《指南》具体的要求相对于工业控制系统,将现场、过程控制要素才是个构造定级,而生产管理要素另再作为个定级对象。也就是另一个工业控制系统,最终会四等份两个对象定级备案。是对规模大工控系统,类似规模很大云计算平台要求,据功能、主体、操纵对象和生产厂商等因素划分多个定级对象。这里《指南》并不是见意,只是要求,也就是说规模大工控系统会接受拆细定级。●需要移动互联技术的系统《指南》为这类系统通过了简要描述,即和移动终端(手机、平板、笔记本)、移动应用和无线网络等特征要素的系统。将全部移动技术整合,才是两个整体来定级。●通信网络设施要注意是通信和广电行业的核心网络,都差不多这个可以也算上关键信息基础设施了,都是国家重点留意的行业之一。《指南》个人建议(在用“宜”)可据安全责任主体、服务类型或服务地域划分有所不同的定级对象。根据以往经验,都差不多都是采取什么措施责任主体或地域划作少部分,也管理起来。而对此运营商网络(骨干网、接入网),多以地市为单位作为定级对象。《指南》建议异地行业或单位有带通信网可以及一个整体对象定级,这是对运营商企业来说也算一个利好了。●数据资源这是旧版《指南》提出来的个新要素。数据资源可以不的的定级。定级是设计和实现大数据、大数据平台安全责任主体相同成功与否。举个例子,诸如某些特殊电商平台,数据广泛分布在多个平台,你是哪平台都是单独的法人,那种情况就应该属于安全责任主体差别,正当此时还要把数据资源另作为定级对象,电商平台才是一个定级对象。三、确定安全保护等级1、安全保护等级的定级是怎样的?对于通用系统的定级是没有很明显变化,仍然据对业务信息的影响和对系统服务的影响来评判,二者取最高级别。2、确定受侵害的客体与以往相比较有哪些变化?判断受侵害的客体方面有的确变化,这里只只能证明2020年规划变化。严重侵害国家安全事项方面:●新增审批影响大海洋权益求下载的侵害;●新增加影响不大国家社会主义经济秩序和文化实力的非法侵犯。非法侵犯社会秩序事项方面:●内容明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的侵害;●新增加引响公共交通秩序的侵害;●再新增影响大人民群众生活的被损害。严重侵害公共利益事项方面:基本上无变化。考虑对客体的侵害程度方面(除开侵害的客观方面和综合判定被损害程度)无的确变化。业务信息安全等级矩阵表与系统服务安全等级矩阵表无变化。无关确认安全保护等级和等级变更部分可让其阅读《指南》原文。腾讯充当《指南》起草单位之一,而也才是规模大云服务商,从各行业实践中梳理和学习总结等级保护2.0时代网络安全业务合规工作与方法,以“一个中心、三重防护”为核心,旨在倡导助力实力提升企业网络安全能力,完美躲避和只能缓解企业风险。腾讯安全整合腾讯天幕等团队在云计算+边缘计算、AI、大数据和IPv6普及化等方面的能力优势,为企业可以提供基于条件强横无比算力的安全支持,满足新场景下的安全合规需求。●目前,腾讯云已是从信息安全等级保护三级、腾讯金融云已安全等级保护四级要求,可以不为云租户可以提供两个合规的云平台,这也是租户业务系统安全等级保护2.0测评的先决条件。要如何急速配置符合国家规定等保相关规定的云服务器,曾经的企业亟待解决的难题之一。对于,腾讯安全云鼎实验室再推出全球首个云原生默认等保合规镜像并免费开放,用户一键恢复即可自动能够完成基础合规配置。●安全解决方案方面,是对等保二级和三级的要求,腾讯云占据中有安全管理中心、防火墙、网络入侵防护系统、Web应用防火墙、DDoS高防、数据安全网关、主机安全、数据库审计、堡垒机等云原生安全防护产品。●安全服务方面,以腾讯云比较完备的合作生态资原为基础,腾讯云安全专家服务团队同盟各地等保测评中心能提供打造一站式安全产品及服务,这些按需可以提供专业的增值服务来指导腾讯云用户能够完成专业等级与彻底整改,进阶安全防护能力。客户可以下,联系联系腾讯云安全专家服务团队通过等保咨询:登陆后腾讯云官网(图片文件夹200元以内网址在浏览器中再打开),实际控制台重新提交工单;或在腾讯云官网去相关页面提交申请。腾讯云网官菜单导航:产品-安全-安全服务-专家服务。