新版《网络安全等级保护定级指南》解读课件

网络安全等级保护定级指南解读网络安全等级保护定级指南解读支撑等级保护管理工作新思路和内容；适应新形势下信息化新技术新应用的不断涌现；针对标准使用过程中发现的一些问题进行修订：降级躲避监管；拍脑袋定级，流程不完整。支撑等级保护管理工作新思路和内容；适应新形势下信息化安全保护等级定义 第三级：对公民、法人和其他组织的合法权益产生特别严重损害。等级保护对象 云计算平台、工业控制系统、物联网、大数据等定级流程 流程完善、定级方法细化。安全保护等级定义 第三级：对公民、法人和其他组织的合法第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。第三级，等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。安全保护等级第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严受侵害的客体受侵害的客体对客体的侵害程度对客体的侵害程度一般损害一般损害严重损害严重损害特别严重损特别严重损害害公民、法人和其他组织的公民、法人和其他组织的合法权益合法权益第一级第一级第二级第二级第三级第三级社会秩序、公共利社会秩序、公共利益益第二级第二级第三级第三级第四级第四级国家安全国家安全第三级第三级第四级第四级第五级第五级受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民信息安全等级保护工作直接作用的具体信息和信息系统。网络安全等级保护工作的作用对象，主要包括基础信息网络、信息系统（诸如传统信息系统、工业控制系统、云计算平台、物联网、使用移动互联技术的信息系统等）和大数据等。等级保护对象信息安全等级保护工作直接作用的具体信息和信息系统。等级保等级保护对象基 础信息网络信息系统大数据采用移动互联工业控制系统云计算平台物联网系统技术信息系统传统信息系统等级保护对象基础信息网络信息系统大数据传统信息系统为信息流通、信息系统运行等起基础支撑作用的信息网络，包括电信网、广播电视传输网、互联网、业务专网等网络设备设施。信息系统由计算机和类计算机的软硬件及其相关的和配套的设备、设施构成的，按照一定的应用目标和规则进行信息处理或过程控制的资源集合。注:资源可以是物理设备，也可以是虚拟设备。基础信息网络为信息流通、信息系统运行等起基础支撑作用的信息网络，包括定级流程1.确定定级对象2.初步确定等级3.专家评审4.主管部门审核5.公安机关备案审查自主定级专家评审主管部门审批公安机关监督定级流程1.确定定级对象3.专家评审4.主管部门审核自1.确定定级对象2.初步确定等级3.专家评审4.主管部门审核5.公安机关备案审查定级对象的运营、使用单位应组织信息安全专家和业务专家，对初步定级结果的合理性进行评审，出具专家评审意见。1.确定定级对象5.公安机关备案审查定级对象的运营、使用1.确定定级对象2.初步确定等级3.专家评审4.主管部门审核5.公安机关备案审查定级对象的运营、使用单位应将初步定级结果上报行业主管部门或上级主管部门进行审核。1.确定定级对象5.公安机关备案审查定级对象的运营、使用1.确定定级对象2.初步确定等级3.专家评审4.主管部门审核5.公安机关备案审查定级对象的运营、使用单位应按照相关管理规定，将初步定级结果提交公安机关进行备案审查，最终确定定级对象的安全保护等级。1.确定定级对象5.公安机关备案审查定级对象的运营、使用对于电信网、广播电视传输网、互联网等基础信息网络，应分别依据服务类型、服务地域和安全责任主体等因素将其划分为不同的定级对象。跨省全国性业务专网可作为一个整体对象定级，也可以分区域划分为若干个定级对象。确定定级对象对于电信网、广播电视传输网、互联网等基础信息网络，应分别具有唯一确定的安全责任单位；【大切小】承载相对独立的业务应用；【再切小】具有信息系统的基本要素。【不能再小了】单一设备（如服务器、终端、网络设备等）不单独定级。传统信息系统具有唯一确定的安全责任单位；【大切小】传统信息系统层级4 企业资源层 该层级主要通过ERP系统为企业决策层及员工提供 决策运行手段。层级3 生产管理层 该层级主要通过MES系统为企业提供包括制造数 据管理、计划排程管理、生产调度管理等管理模 块。层级2 过程监控层 该层级主要通过分布式SCADA系统采集和监控生产 过程参数，并利用HMI系统实现人机交互。层级1 现场控制层 该层级主要通过PLC、DCS控制单元 和 R T U 等 进 行 生产过程的控制。层级0 现场设备层 该层级主要通过传感器对实际生产过程的数据进行 采集，同时，利用执行器对生产过程进行操作。层级4 企业资源层 该层级主要通过ERP系统为企业决策层及员工程师站操作员站根据系统功能、OO控PPCC服制务对器 象和生生产管理层过程监控层现场控制层现场设备层仓储管理系统计划排产系统现场设备层、现场控制层和过程监控层应作为一个素不单独定级。产厂商等因素划分为多个定级对象。工程师站操作员站根据系统功能、生产管理层过程监控层现SP 800-146GB/T 31168：2014ISO/IEC17789-2014云计算层次框架云计算典型模型云计算模式与控制范围 运维服务系统 业务运营系统 安全系统 集成 开发IaaS组件栈和控制范围SP 800-146GB/T 31168：2014ISO/I在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。在云计算环境中，应将云服务方侧的 云计算平台单独作为定级对象 对于大型云计算平台，应将云计算基础设施和有关辅助服务系统划分为不同的定级对象。在云计算环境中，应将云服务方侧的云计算平台单独作为定级对象定级，云租户侧的等级保护对象也应作为单独的定级对象定级。对于大型云计算平台，应 将云计算基础设施和有物联网应作为一个整体对象定级，主要包括感知层、网络传输层和处理应用层等要素。物联网应作为一个整体对象定级，主要包括感知层、网络 传输区别在于：移动终端可以通过无线方式接入网络。移动终端可以远程通过运营商基站或公共Wi-Fi接入等级保护对象，也可以在本地通过本地无线接入设备接入等级保护对象；系统通过移动管理系统的服务端软件向客户端软件发送管理策略，并由客户端软件执行实现系统的安全管理。采用移动互联技术的等级保护对象应作为一个整体对象定级，移动终端、移动应用和无线网络等要素不单独定级。区别在于：移动终端可以通过无线方式接入网络。应将具有统一安全责任单位的大数据作为一个整体对象定级。应将具有统一安全责任单位的大数据作为一个整体对象定级。业务处理类定级方法 适用于传统信息系统、工业控制系统、物联网、和采用移动互联技术的信息系统等定级对象。数据资源类定级方法：适用于大数据等定级对象。基础支撑类定级方法 适用于基础信息网络和云计算平台等定级对象。确定安全保护等级业务处理类定级方法确定安全保护等级对于大数据等定级对象，应综合考虑数据规模、数据价值等因素根据其在国家安全、经济建设、社会生活中的重要程度，以及数据资源遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定其安全保护等级。原则上大数据安全保护等级为第三级以上。数据资源类定级方法对于大数据等定级对象，应综合考虑数据规模、数据价值等因素 对于基础信息网络、云计算平台等定级对象，应根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级，原则上应不低于其承载的等级保护对象的安全保护等级。基础支撑类定级方法对于基础信息网络、云计算平台等定级对象，应根据其承载或 谢谢！请大家指正！谢谢！