等保2.0.等保对象知多少

简介

在等保2.0的过程中,会有很多个对象,这些对象分别指的是什么?在测评过程中如何进行选择?本文将从等保定级的角度来谈谈等级保护对象,测评对象留到另外一篇来讲。

等级保护对象

在GB/T 22240-2020 《 信息安全技术 网络安全等级保护定级指南》2020年刚发布的定级指南中提到了等级保护对象,在这里我们可以认为:
等 级 保 护 对 象 = 定 级 对 象 等级保护对象=定级对象 =
在标准GB/T 22240-2020 (p1)中给出的等级保护对象(target of classified protection)定义为:“包括信息系统、通信网络设施和数据资源”。
拆开看就是三个对象:

  1. 信息系统
  2. 通信网络设施
  3. 数据资源

这三个都是网络安全等级保护工作直接作用的对象,后面两个是等保1.0(原标准定义:信息安全等级保护工作直接作用的具体的信息和信息系统。)中没有规定的。

信息系统

信息系统(Information system),是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统(百度百科的定义)。常见的信息系统如:OA,客户关系管理系统,进销存管理系统等(详细列表可参考各计算机专业本科毕业设计题目),还有特定行业如医院的HIS/LIS/PACS等;当然也保护融合了新技术新应用的各种工控、云计算、物联网系统。
信息系统是在GB/T 22240-2008中就一直存在的等保对象,这个标准是08年发布的,10多年过去了,现在的移动互联、大数据、云计算、物联网和工控系统当做信息系统来进行等级保护明显不太合适。
例如:大数据、云计算平台中包含大量的虚拟化设备,这些设备和传统设备的安全设置、要求都有很大不同。

通信网络设施

通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等。
通信网络设施作为等保对象虽然是新版标准中的修订部分,但是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号)早就明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。在中级测评师复习资料里指出:随着信息化的发展进程,通信网络设施也由最初的电信传输网和互联网基础信息网络,逐步扩展到广播电视传输网,以及跨省的行业专网或业务专网。
除了通信网络设施外,我觉得这里的意思应该是鼓励将通用的基础网络设施部分单独抽取出来,单独定级,这样做是以模块化的思想来处理我们要保护的这些对象,举个栗子:
机房有若干个信息系统,有三级,有二级,那么要满足等保要求,要么整个机房物理环境都满足三级,要么就是机房进行了分区,二级信息系统放一个区域、三级系统放一个区域。如果机房里面有10个信息系统要做等保,就要对机房部署的机房环境,网络边界设备等做10次测评(当然如果10个信息系统同时做另说)。明显,这样不便于管理,工作量也大,这个时候就可以考虑单独把机房及内部的网络设备都单独拿出来,按运行的信息系统等保级别的就高原则做等保测评。也可以这么想,把机房做了三级等保之后,将来上面再加别的系统,或者二级系统变更为三级系统,物理环境、安全边界就不需要考虑这么多了。当然,如果信息系统数量不多或机房规模不大的情况下,就无需单独切分为等保对象。

数据资源

GB/T 22240-2008中的等保对象有提到信息,信息广义上可以泛指声音、图像、视频、记录等结构化及其他非结构化数据,香农(Shannon,1948)认为“信息是用来消除随机不确定性的东西”。在等保1.0阶段,信息主要还是指信息系统中涉及到的数据,如:业务信息、配置信息、管理信息、鉴别信息等。
中级测评资料中指出:随着我国由工业化向信息化的转型,以开发和利用信息资源为目的的经济活动迅速扩大,逐步出现了面向大数据的应用需求。大数据具有体量巨大、类型繁多、处理速度快等特质,决定了大数据难以采用传统数据结构进行有效处理,需要引入新的分布式体系结构和计算平台,如云计算平合进行存储、操作和分析,而这些技术和平台的引入则进一步推动了数据资源、数据处理平合和网络运营者的解耦,即大数据资源、大数据应用/工具和大数据基础平合可能从属于不同的网络运营者,所有权和安全责任的分离导致大数据逐步成为独立的等级保护对象。
而数据资源的典型例子是大数据,至于什么时候数据资源单独作为定级对象,什么时候整合在系统或平台中,下一节来讲解。

定级对象的划分

上面说的是等级保护对象,既然某对象要进行等级保护,那当然要先定级,这个时候就变成了定级对象。对于测评对象的主管单位而言,定级对象划分越粗越好,什么网站群系统,内含10多个网站。这样只算一个定级对象,出一份钱,解决多个网站的问题。这也是为什么要先写定级报告,然后由专家评审(新版标准规定),定级对象划分以及定级是否准确。下面以传统信息系统为例,看看如何来划分定级对象(公控、物联网、移动互联等系统可以参考中级测评师复习材料)。
一共看三点:

  1. 具有确定的主要安全责任主体;
    这里的安全责任主体可以窄义理解为信息系统的所有/运营者,具体还是要看网络安全法中的规定(标准里面也有,从建设或运维角度来看),这里不展开,通常包括企业机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
    这里要额外说明一下,很多单位都有这样的错误思想:我的网站放在某云平台上,安全责任不属于我管,应该是由云平台负责。客观来说,在某云平台上的网站,云平台仅负责安全物理环境、安全网络边界等一部分内容,出了安全问题还是由网站的所有/运营者负责。
  2. 承载相对独立的业务应用;
    2.1. 相对独立的业务应用是指该业务应用与外部业务关联度低,交互较少。如果两个业务应用紧密耦合,数据交互频繁,就应该考虑是否应该合并为一个定级对象。
    这里意思是两个系统如何界定是作为一个定级对象还是两个定级对象。例如:
    某医院有门诊系统和住院系统,如果两个系统放在不同的服务器,或者使用不同的数据库,甚至连开发单位也不一样,二者没有或者只有很少的数据交互,那么就要分开作为两个定级对象;
    如果两个系统用的同一套硬件、数据库,数据也有交互,可以用一卡通在门诊开药,医生可以预定床位,住院部可以看到门诊记录等,这个时候可以把两个系统看做是整个HIS的两个大模块,整个HIS作为一个定级对象进行处理。
    再例如之前提到的网站群的例子,假如某高校有后勤网站、二级学院网站、计财处网站。这个时候要考虑划分的粒度,不能全部都作为某高校网站群作为对象,也无需每一个网站都分开,通常可以把二级学院的网站,部门的网站等二级域名的放到一块:
    www.xxx.edu.cn;jsj.xxx.edu.cn;hqgl.xxx.edu.cn
    但是承担特殊业务的一些网站,如科研管理系统、财务报销系统要单独拿出来做为定级对象。
    2.2. 该业务应用不强制要求完全覆盖从客户终端到数据库后台的整个业务流程,也可以是其中一部分。《银行业定级指南》中就明确指出,“部署有应用服务器或者数据库服务器的前置系统”可以作为应用系统类定级对象独立定级。
    这里意思是信息系统对象什么时候可以拆分为多个定级对象,例如铁路的自动售票终端设备,按理说是属于售票管理系统,都是连接相同的数据,但是这些终端设备部署有自己的应用,可以单独拿出来作为定级对象。
  3. 包含相互关联的多个资源。
    这块还没想到具体的解释,欢迎各位评论区补充讨论。

最后补充一下数据资源对象的划分标准:
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。

小结

借用中级测评材料一小段总结一下:等保2.0中,等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。其中,通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;数据资源的典型例子是大数据。

  • 8
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
### 回答1: 等保2.0三级算分表普通标准v2.0.xlsx是根据等保2.0安全标准的要求制定的,用于评估信息系统在安全性方面的等级。其主要作用是为企业提供一套量化的衡量标准,以评估信息系统的安全性能,并对其进行提升或优化。 该算分表主要分为五个模块,分别是管理安全、人员安全、物理环境安全、通信与操作系统安全以及应用及数据安全。每个模块中都涵盖了一系列的安全要求以及针对此项要求的具体评分标准。 下载该算分表对企业来说具有指导作用,可以根据自身信息系统的特点和实际情况进行详细的评估。在评估过程中,企业需要根据算分表中的评分标准进行自查,每项标准对应一定的分数,企业需要根据分数的高低来确定信息系统的安全等级。 总的来说,该算分表可以帮助企业在信息系统安全方面打好基础,提升信息系统的安全性能和防御能力,从而更好地保护企业的业务和财产安全。 ### 回答2: 等保2.0(GB/T 22239-2019网络安全等级保护管理规定)是我国网络安全领域的权威标准之一,主要用于保障企业、机构等组织在数字化转型和信息化发展过程中的安全。等保2.0标准包含5个等级,其中三级是适用于重要行业和关键领域的保护等级,要求相对较高。 等保2.0三级算分表普通标准v2.0.xlsx是在等保2.0标准基础上,用于评估企业、机构等组织的网络安全等级,并给出相应的实施标准。其包含了一系列安全控制要求,包括网络边界安全、主机安全、用户身份验证、数据加密、日志审查等等,考虑了组织的规模、业务性质、重要程度等因素。 下载等保2.0三级算分表普通标准v2.0.xlsx可以帮助组织了解自己在网络安全方面的强弱点,并提供相应的建议和指导。同时,也能够帮助组织进行内部自查和外部评估,从而达到提高网络安全等级的目的。 需要注意的是,在使用等保2.0三级算分表普通标准v2.0.xlsx时,应该根据实际情况进行调整和适当灵活处理,以确保符合组织的实际需求和情况。此外,组织在进行网络安全评估时,应该与专业机构或者具备相关资质的第三方机构合作,以确保评估的公正性、客观性和专业性。 ### 回答3: 等保2.0三级算分表普通标准v2.0.xlsx是按照等保2.0标准设计的一份算分表,用于评估企业信息系统的安全等级。这份表格是权威的国家标准,具有一定的科学性和规范性,能够有效地评估信息系统的安全等级。它包括了一系列的评估指标,如身份认证、访问控制、数据加密等,从不同方面评估信息系统的安全性。企业在评估自身信息系统安全等级时,可以根据这份表格来评估自己的安全等级,并采取相应的保障措施。表格中的每个指标都有不同的得分,企业需要根据自身实际情况来评估得分,最终得分越高,表示信息系统的安全等级越高。企业应根据自身实际情况有针对性地制定安全保障计划,保障信息系统的安全性。通过等保2.0三级算分表普通标准v2.0.xlsx下载,企业可以更加科学地、规范地评估信息系统的安全等级,从而更好地保障信息系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oldmao_2000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值