安全的内涵由早期面向数据的信息安全,过渡到面向信息系统的信息保障(信息系统安全),并进一步演进为面向网络空间的网络安全.《中华人民共和国网络安全法》在总则的第一条中明确指出,本法的立法宗旨是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益”。安全内涵的演进必然带来等级保护对象和工作内容的变化,对等级保护工作也提出了新的要求。
随着互联网融入社会生活的方方面面,信息技术产品和系统的重要性不断提高,其作用和地位已经由最初的辅助、支撑,逐步成为不可或缺的信息基础设施。
第三,新技术新应用不断涌现
云计算、物联网、大数据和移动互联网等新技术新应用在给社会和公众带来巨大便利的同时,也对等级保护工作,特别是定级工作提出了新的挑战。例如,云计算服务带来了“云主机”等虚拟计算资源,也将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任,导致云环境下的定级工作更加复杂和困难。
第四,等级保护政策体系进一步完善
《中华人民共和国网络安全法》确立了网络安全等级保护制度的法律地位,建立了以《网络安全等级保护条例》(征求意见稿)为核心的等级保护2.0政策体系,与之配套的等级保护标准体系,特别是《定级指南》需要在全面性、时效性和可操作性等方面进一步加以完善,以适应新形势下等级保护工作的需要。
定级对象的基本特征
作为定级对象的信息系统应具有如下基本特征:
包含相互关联的多个资源。
注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
注2:避免将某个单一的系统组件,如服务器、终端或网络设备作为定级对象。
在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同服务模式将云计算平台/系统划分为不同的定级对象。
对于大型云计算平台,宜将云计算基础设施和有关辅助服务系统划分为不同的定级对象。
物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。
工业控制系统主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,现场采集/执行、现场控制和过程控制等要素需作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。
对于大型工业控制系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。
采用移动互联技术的系统
通信网络设施
对于电信网、广播电视传输网等通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。
跨省的行业或单位的专用通信网可作为一个整体对象定级,或分区域划分为若干个定级对象。
数据资源
数据资源可独立定级。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
对比GB/T22240-2008,2020版定级指南,有了很大的改变,主要有以下方面。
与GB/T22240-2008相比,本次《定级指南》修订工作的主要技术变化如下:
――标准名称变更为《信息安全技术网络安全等级保护定级指南》。
――修改了等级保护对象、信息系统的定义,增加了通信网络设施、数据资源等术语和定义;
――增加了通信网络设施和数据资源的定级对象确定方法;
――增加了特定定级对象定级说明;
――修改了定级流程。
GB/T22240-2008中,等级保护对象被定义为:“信息安全等级保护工作直接作用的具体信息和信息系统”,这是与当时的技术发展状况和等级保护工作需求相适应的。但近年来,随着云计算平台、物联网和工业控制系统等新形态的等级保护对象不断涌现,原定义内涵的局限性日益显现,无法全面覆盖当前的等级保护工作对象,需要进一步扩充和完善以适应当前工作的需要。
首先,计算机信息系统是等级保护制度最早确定的保护对象。《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)的第九条规定:“计算机信息系统实行安全等级保护。”随着信息技术的发展,传统的计算机信息系统与互联网、工业控制、云计算、物联网和移动互联等新技术新应用不断融合,涌现出工业控制系统、云计算平台、物联网等多种新的信息系统形态。
其次,通信网络设施作为等级保护对象之一是在2003年予以明确。《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。随着信息化的发展进程,通信网络设施也由最初的电信传输网和互联网基础信息网络,逐步扩展到广播电视传输网,以及跨省的行业专网或业务专网。
第三,数据资源是随着云计算和大数据应用等新技术新应用而涌现出来的一类新型等级保护对象。数据资源的最初形态是计算机信息系统中的各类信息集合,如业务信息、配置信息和管理信息等,是特定信息系统的组成部分。但随着我国由工业化向信息化的转型,以开发和利用信息资源为目的的经济活动迅速扩大,逐步出现了面向大数据的应用需求。大数据所具有体量巨大、类型繁多、处理速度快等特质,决定了大数据难以采用传统数据结构进行有效处理,需要引入新的分布式体系结构和计算平台,如云计算平台进行存储、操作和分析,而这些技术和平台的引入则进一步推动了数据资源、数据处理平台和网络运营者的解耦,即大数据资源、大数据应用/工具和大数据基础平台可能从属于不同的网络运营者,所有权和安全责任的分离导致大数据逐步成为独立的等级保护对象。
综上,修订后的等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。