网络单元定级包括了划分网络单元类型与计算安全等级两个工作,确定通信网络单元所属类型及其安全等级并撰写《定级报告》,直接影响定级的准确性和后续符合性评测与安全风险评估的有效性。《定级报告》是提交备案材料后预审阶段的评审对象,网元类型和安全等级划分错误会导致《定级报告》被打回,符合性评测与安全风险评估工作也可能要重新开展(《定级报告》通过之后才会审查《符合性评测报告》和《安全风险分析报告》,否则三份报告会被一起打回)。今天简单分享一下如何划分网元类型、确定安全等级、编写《定级报告》。
相关标准、报告模板都放网盘里了,需要的自取。
百度网盘:https://pan.baidu.com/s/1elJTHnVdjruYfGXv84VF0A?pwd=f6jn
划分网络单元类型
划分网络单元类型时,一方面可以参考《YD/T 3799-2020 电信网和互联网网络安全防护定级备案实施指南》中划分的网络单元类型(但是该标准中并没有对各网络单元类型进行定义),如下图所示:
另一方面,也可参考《电信业务分类目录》中对各类型业务的定义划分网络单元类型,例如:
信息社区服务系统是指在公用通信网或互联网上建立具有社会化特征的网络活动平台,可供注册或群聚用户同步或异步进行在线文本、图片、音视频交流的信息交互平台。
即时通信系统指利用公用通信网或互联网,并通过运行在计算机、智能终端等的客户端软件、浏览器等,为用户提供即时发送和接收消息(包括文本、图片、音视频)、文件等信息的服务。
还可以参考各网络单元的安全防护要求划分网络单元类型,例如:
《移动互联网联网应用安全防护要求》:移动互联网联网应用泛指以移动互联网智能终端为载体,通过应用软件客户端调用后台系统功能为用户提供各种类型移动服务的应用软件及后台系统。
《网络交易系统安全防护要求》:网络交易系统是指利用公众电信网和互联网,面向社会公众提供电子商务有关商品与服务的交易处理平台。
《邮件系统安全防护要求》:邮件系统是指通过互联网建立采用邮件简单传输协议(SMTP)、邮局协议(POP)、邮件访问协议(IMAP)等为用户提供一对一、一对多的邮件编辑、发送、传输、接收、存储、转发的电子信箱业务系统。
《公有云服务安全防护要求》:公有云服务指云计算基础设施由某一组织所拥有,通过网络向公众提供IaaS、PaaS、SaaS等IT能力的服务模式。
定级时要依据该网络单元的核心业务功能划分网络单元类型,企业可能遇到业务系统同时满足多个网络单元类型的模糊情况,不知道应该划分为哪种网络单元,此时建议按安全防护要求更严格的网络单元类型进行划分。
例1:
以某游戏类APP为例,该网络单元符合移动互联网应用-公众服务类联网应用的特征,但同时游戏内具有语音和文字沟通的功能,满足信息社区服务系统的特征(能够支持用户之间的交流互动,用户可以自主编辑交流内容),信息社区服务系统的安全防护要求更严格,因此建议将该游戏APP划分为信息社区服务系统。
例2:
以某棋牌游戏APP为例,游戏内用户无法自主编辑交流内容,只能发送“你的牌打得真棒”、“等得我花都谢了”这种限定范围内的固定短句,则不完全符合信息社区服务系统的特征,因此将其网络单元类型划分为公众服务类联网应用。
例3:
除了上述两个例子,也有一些系统的业务比较广,同时满足多种网络单元的功能特性,例如某个应用中既可以看视频留言发弹幕,又可以在会员中心购买商品,同时满足信息社区服务系统的特征和网络交易系统的特征,这种情况下该系统需要按照信息社区服务系统的特征和网络交易系统的特征分别开展定级、符合性评测以及安全风险分析评估工作,提交两套通信网络安全防护定级备案材料(即分别提交两个类型网络单元对应的三份报告)。
计算安全等级
根据《YD/T 1729-2008 电信网和互联网安全等级保护实施指南》,网络/系统单元的安全等级应根据社会影响力、规模和服务范围、所提供服务的重要性三个相互独立的定级要素确定。
社会影响力:衡量网络单元受到破坏后对国家安全、社会秩序、经济运行和公共利益的损害程度。对社会影响力赋值原则如下表所示:
| 社会影响力定义 | 赋值 |
| 定级对象受到破坏后不损害国家安全、社会秩序、经济运行和公共利益 | 1 |
| 定级对象受到破坏后不损害国家安全,对社会秩序、经济运行和公共利益造成轻微损害 | 2 |
| 定级对象受到破坏后对国家安全造成较大损害,或者对社会秩序、经济运行和公共利益造成较为严重的损害 | 3 |
| 定级对象受到破坏后对国家安全造成严重损害,或者对社会秩序、经济运行和公共利益造成特别严重损害 | 4 |
| 定级对象受到破坏后对国家安全造成特别严重损害 | 5 |
损害社会秩序的事项包括但不限于以下几个方面:影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等。
损害经济运行的事项包括但不限于以下方面:直接或间接导致国家经济活动主体的经济损失等。
损害公共利益的事项包括但不限于以下几个方面:影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等。
对此要素进行赋值时,应先确定对国家安全的损害程度,再确定对社会秩序、经济运行和公共利益的损害程度。定级对象的社会影响力赋值应是对国家安全、社会秩序、经济运行和公共利益的损害程度中的最严重者。
规模和服务范围:规模反映网络单元的服务用户数,服务范围反映网络单元服务的地区范围的大小。网络单元的规模和服务范围赋值如下表所示:
| 规模和服务范围定义 | 赋值 |
| 定级对象被破坏后对较少的用户造成影响,或者对较小的地区造成影响 | 1 |
| 定级对象被破坏后对较多的用户造成影响,或者对较大的地区造成影响 | 2 |
| 定级对象被破坏后对很多的用户造成影响,或者对很大的地区造成影响 | 3 |
| 定级对象被破坏后对非常多的用户造成影响,或者对非常大的地区造成影响 | 4 |
| 定级对象被破坏后对特别多的用户造成影响或者对特别大的地区造成影响 | 5 |
| 所提供服务的重要性定义 | 赋值 |
| 定级对象所提供服务的重要性较低,被破坏后对网络和业务运营商的合法权益造成轻微损害 | 1 |
| 定级对象所提供服务的重要性一般,被破坏后对网络和业务运营商的合法权益造成较大损害 | 2 |
| 定级对象所提供服务的重要性很高,被破坏后对网络和业务运营商的合法权益造成很大损害 | 3 |
| 定级对象所提供服务的重要性非常高,被破坏后对网络和业务运营商的合法权益造成非常大的损害 | 4 |
| 定级对象所提供服务的重要性特别高,被破坏后对网络和业务运营商的合法权益造成特别严重的损害 | 5 |
不同类型网络单元的社会影响力、规模和服务范围、所提供服务的重要性三个关键要素须参考《YD/T 3799-2020 电信网和互联网网络安全防护定级备案实施指南》以及《电信网和互联网网络安全防护定级备案实施指南》第1号修改单进行赋值。
以网络交易系统为例,《YD/T 3799-2020 电信网和互联网网络安全防护定级备案实施指南》中已给出网络交易系统的社会影响力和所提供服务的重要性的参考赋值(社会影响力赋值为3,提供服务的重要性赋值为3),而规模和服务范围需要结合业务的注册用户数R1和每日交易金额R2进行考量,最终赋值取R1与R2中的较大值。
根据网络单元的社会影响力I、规模和服务范围R、所提供服务重要性V三个定级要素赋值,采用以下公式计算网络单元的安全等级值:
其中,k代表安全等级值,I代表社会影响力赋值、R代表规模和服务范围赋值、V代表所提供服务的重要性赋值,Round1{}表示四舍五入处理,保留1位小数,Log2[]表示取以2为底的对数,α、β、γ分别表示网络单元的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,分别为1/3、1/3、1/3。
注:k值需精确到小数点后一位(四舍五入)。
可以借助excle的函数进行安全等级值的自动计算,计算公式参考如下:
计算所得网络单元的安全等级值与安全等级的映射关系如下表所示:
注: 之前k值等于4时会定为第3级,今年发生了变更,调整为了第4级。
| 安全等级值与安全等级映射关系对应表 | |
| 安全等级值k | 安全等级 |
| 1 ≤ k < 1.5 | 第1级 |
| 1.5 ≤ k < 2.5 | 第2级 |
| 2.5 ≤ k < 4 | 第3级 |
| 4 ≤ k < 4.5 | 第4级 |
| 4.5 ≤ k < 5 | 第5级 |
撰写《定级报告》
完成上述定级工作内容后编制详细的《定级报告》,报告的基本框架如下(报告的模板在网盘里,通信网络安全防护管理系统(https://www.mii-aqfh.cn)中也可以下载):
一、基本情况
“(三)技术情况”这部分,要放网络拓扑图,下面的设备信息表中填写的内容要和拓扑图中的设备一一对应(也要和安全管理措施以及网络安全域的描述中提到的设备能对得上,否则前后矛盾)
二、安全等级的确定
扫一扫
469
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
