如何理解網(wǎng)絡(luò)的五個安全保護等級
網(wǎng)絡(luò)安全保護等級的確定,應(yīng)按照網(wǎng)絡(luò)安全等級保護定級指南開展,既要防止因片面追求絕對安全而定級過高,也要防止為逃避監(jiān)管而定級偏低。信息網(wǎng)絡(luò)的安全等級可以參照在其上運行的信息系統(tǒng)的等級、網(wǎng)絡(luò)的服務(wù)范圍和自身的安全需求確定適當?shù)谋Wo等級,不以在其上運行的信息系統(tǒng)的最高等級或最低等級為標準,即“不就高、不就低”。
為了幫助網(wǎng)絡(luò)運營者準確確定網(wǎng)絡(luò)安全保護等級,可以參考下列對五級的說明確定網(wǎng)絡(luò)安全等級。
第一級網(wǎng)絡(luò)
一般適用于小型私營及個體企業(yè),中小學(xué),以及鄉(xiāng)鎮(zhèn)所屬網(wǎng)絡(luò)系統(tǒng)、縣級單位中重要性不高的網(wǎng)絡(luò)系統(tǒng)。
第二級網(wǎng)絡(luò)
一般適用于縣級某些單位中的重要網(wǎng)絡(luò)系統(tǒng),以及地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部一般的網(wǎng)絡(luò)系統(tǒng)。例如,非涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng)等。
第三級網(wǎng)絡(luò)
一般適用于地市級以上國家機關(guān)、企事業(yè)單位內(nèi)部重要的網(wǎng)絡(luò)系統(tǒng)。例如,涉及工作秘密、商業(yè)秘密、敏感信息的辦公系統(tǒng)和管理系統(tǒng),跨省或全國聯(lián)網(wǎng)運行的用于生產(chǎn)、調(diào)度、管理、指揮、作業(yè)、控制等方面的重要信息系統(tǒng)及這類系統(tǒng)在省、地市的分支系統(tǒng),中央各部委、。▍^(qū)、市)門戶網(wǎng)站和重要網(wǎng)站,跨省連接的網(wǎng)絡(luò)系統(tǒng),大型云平臺、工控系統(tǒng)、物聯(lián)網(wǎng)、移動網(wǎng)絡(luò)、大數(shù)據(jù)等。
第四級網(wǎng)絡(luò)
一般適用于國家重要領(lǐng)域、重要部門中的特別重要網(wǎng)絡(luò)系統(tǒng)及核心系統(tǒng)。例如,電力、電信、廣電、鐵路、民航、銀行、稅務(wù)等重要部門的生產(chǎn)、調(diào)度、指揮等涉及國家安全、國計民生的核心系統(tǒng),超大型的云平臺、工控系統(tǒng)、物聯(lián)網(wǎng)、移動網(wǎng)絡(luò)、大數(shù)據(jù)等。
第五級網(wǎng)絡(luò)
一般適用于國家重要領(lǐng)域、重要部門中的極端重要系統(tǒng)。
網(wǎng)絡(luò)定級的一般流程
網(wǎng)絡(luò)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同。因此,網(wǎng)絡(luò)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的網(wǎng)絡(luò)的安全保護等級稱為業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的網(wǎng)絡(luò)的安全保護等級稱為系統(tǒng)服務(wù)安全等級。
確定網(wǎng)絡(luò)安全保護等級
一般流程
- 確定作為定級對象的網(wǎng)絡(luò)系統(tǒng);
- 確定業(yè)務(wù)信息安全受到破壞時所侵害的客體;
- 根據(jù)不同的受侵害客體,從多個方面綜合評定業(yè)務(wù)信息安全被破壞對客體的侵害程度,根據(jù)業(yè)務(wù)信息的重要性和受到破壞后的危害性確定業(yè)務(wù)信息安全等級;
- 確定系統(tǒng)服務(wù)安全受到破壞時所侵害的客體;
- 根據(jù)不同的受侵害客體,從多個方面綜合評定系統(tǒng)服務(wù)安全被破壞對客體的侵害程度,根據(jù)系統(tǒng)服務(wù)的重要性和受到破壞后的危害性確定系統(tǒng)服務(wù)安全等級;
- 由業(yè)務(wù)信息安全等級和系統(tǒng)服務(wù)安全等級的較高者確定定級對象的安全保護等級。
參考《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》附錄中的圖,確定網(wǎng)絡(luò)安全保護等級的一般流程如下圖。
第一,對于傳統(tǒng)網(wǎng)絡(luò)系統(tǒng)及工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)系統(tǒng),依然分別從業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個角度確定業(yè)務(wù)信息安全保護等級和系統(tǒng)服務(wù)安全保護等級,按兩者取高作為保護對象的安全保護等級。
第二,對于基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺和大數(shù)據(jù)平臺等起支撐作用的網(wǎng)絡(luò)系統(tǒng),應(yīng)根據(jù)其承載或?qū)⒁休d的等級保護對象的重要程度確定其安全保護等級,原則上應(yīng)不低于其承載的等級保護對象的安全保護等級。
第三,對于大數(shù)據(jù),應(yīng)綜合考慮數(shù)據(jù)規(guī)模、數(shù)據(jù)價值等因素,根據(jù)數(shù)據(jù)資源(完整性、保密性、可用性)遭到破壞后對國家安全、社會秩序、公共利益及公民、法人和其他組織的合法權(quán)益的侵害程度等因素確定其安全保護等級。原則上大數(shù)據(jù)的安全保護等級不低于第三級。
附:《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》中表2和表3