等保2.0定級(jí)指南最新出爐，騰訊安全專(zhuān)家為企業(yè)劃重點(diǎn)

　　近日，新版《GBT 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》正式發(fā)布，新的國(guó)標(biāo)將于2020年11月1日正式實(shí)施。騰訊安全平臺(tái)部天幕團(tuán)隊(duì)聯(lián)合騰訊安全專(zhuān)家咨詢團(tuán)隊(duì)、云鼎實(shí)驗(yàn)室、安全管理部標(biāo)準(zhǔn)團(tuán)隊(duì)，針對(duì)新版定級(jí)指南的一些變化劃重點(diǎn)解讀，供廣大企業(yè)參考。

　　一、定級(jí)原理及流程

　　1、安全保護(hù)等級(jí)如何劃分？

　　本部分變化較小，依舊是五個(gè)等級(jí)，從一級(jí)到五級(jí)由低到高�，F(xiàn)在對(duì)于定級(jí)系統(tǒng)的稱呼統(tǒng)一改為等級(jí)保護(hù)對(duì)象(舊標(biāo)準(zhǔn)中稱為信息系統(tǒng))，這也與等保2.0其他系列標(biāo)準(zhǔn)保持一致。

　　2、等保定級(jí)要素都有哪些？

　　要素可以說(shuō)基本沒(méi)有變化，依舊沿用之前的定義。

　　● 等級(jí)保護(hù)對(duì)象要素的兩個(gè)方面：

　　1)受侵害的客體;

　　2)對(duì)客體的侵害程度。

　　● 等級(jí)保護(hù)對(duì)象受侵害客體的三個(gè)方面：

　　1)公民、法人和其他組織的合法權(quán)益;

　　2)社會(huì)秩序、公共利益;

　　3)國(guó)家安全。

　　● 等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度歸結(jié)為以下三種：

　　1)造成一般損害;

　　2)造成嚴(yán)重?fù)p害;

　　3)造成特別嚴(yán)重?fù)p害。

　　● 定級(jí)要素與安全保護(hù)等級(jí)的關(guān)系

　　之前行業(yè)內(nèi)關(guān)于等保2.0基本要求的解讀中，曾經(jīng)提過(guò)對(duì)于公民、法人和其他組織和合法權(quán)益受到特別嚴(yán)重?fù)p害會(huì)定為第三級(jí)，但是從新版《指南》的官方結(jié)論，依舊按照舊版定為第二級(jí)，這里明確說(shuō)明一下。

　　3、定級(jí)流程是怎樣的？

　　第二級(jí)及以上等級(jí)保護(hù)對(duì)象定級(jí)流程新增專(zhuān)家評(píng)審環(huán)節(jié)，不再自主定級(jí)，需要聘請(qǐng)專(zhuān)家認(rèn)定等級(jí)保護(hù)對(duì)象的級(jí)別。

　　二、確定定級(jí)對(duì)象

　　1、哪些企業(yè)和機(jī)構(gòu)需要定級(jí)備案?

　　定級(jí)對(duì)象的范圍相比舊標(biāo)準(zhǔn)變化較多，本次《指南》包含了云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源，我們來(lái)具體看下。

　　通用定級(jí)對(duì)象基本特征明確，共計(jì)三點(diǎn)：

　　● 具有確定的主要安全責(zé)任體;

　　● 承載相對(duì)獨(dú)立的業(yè)務(wù)應(yīng)用;

　　● 包含相互關(guān)聯(lián)的多個(gè)資源。

　　從這幾個(gè)特征來(lái)看，基本互聯(lián)網(wǎng)上的系統(tǒng)差不多都要定級(jí)備案�！吨改稀方o出了有關(guān)安全責(zé)任主體的解釋?zhuān)喊�括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會(huì)團(tuán)體等其他組織。

　　以前很多人一直有個(gè)疑問(wèn)，我們的系統(tǒng)很小，沒(méi)多少數(shù)據(jù)，就不需要定級(jí)了�，F(xiàn)在官方給出了解釋?zhuān)?strong>企事業(yè)單位、機(jī)關(guān)基本都是具有法人的，那么這些單位的系統(tǒng)必須都要定級(jí)備案。其他團(tuán)體(包括公益組織)和中小私營(yíng)企業(yè)原則上也都要對(duì)系統(tǒng)進(jìn)行定級(jí)備案。這個(gè)事情基本是躲不過(guò)去的。

　　2、哪些系統(tǒng)屬于強(qiáng)制定級(jí)備案范疇?

　　● 云計(jì)算平臺(tái)/系統(tǒng)

　　《指南》明確表示，云上租戶和云服務(wù)商的等級(jí)保護(hù)對(duì)象要分開(kāi)定級(jí)，根據(jù)云上服務(wù)模式再分別定級(jí)。就是說(shuō)，云服務(wù)商的平臺(tái)對(duì)外提供SaaS、PaaS、IaaS三種服務(wù)模式，那么就分為三個(gè)對(duì)象來(lái)分別定級(jí)。

　　對(duì)于大型云計(jì)算平臺(tái)，除了服務(wù)模式之外還可能根據(jù)基礎(chǔ)設(shè)施和輔助服務(wù)系統(tǒng)再次分別定級(jí)。不過(guò)這里《指南》中用了“宜”這個(gè)字，以我們的觀點(diǎn)來(lái)看，應(yīng)該是建議而非強(qiáng)制要求。

　　另外，對(duì)于騰訊云這種大型云計(jì)算平臺(tái)的要求，同樣也適用于搭建私有云和混合云的大中型企業(yè)。

　　● 物聯(lián)網(wǎng)

　　通常是以系統(tǒng)為單位，將所有邊緣設(shè)備和應(yīng)用統(tǒng)一起來(lái)，作為一個(gè)整體來(lái)定級(jí)。(比如某些智能家居系統(tǒng)，就要以整體平臺(tái)作為定級(jí)對(duì)象，不能以不同家庭或不同區(qū)域作為定級(jí)對(duì)象)

　　● 工業(yè)控制系統(tǒng)

　　不同于其他行業(yè)，《指南》要求對(duì)于工業(yè)控制系統(tǒng)，將現(xiàn)場(chǎng)、過(guò)程控制要素作為一個(gè)整體定級(jí)，而生產(chǎn)管理要素單獨(dú)再作為一個(gè)定級(jí)對(duì)象。也就是一個(gè)工業(yè)控制系統(tǒng)，最終會(huì)分成兩個(gè)對(duì)象定級(jí)備案。

　　對(duì)于大型工控系統(tǒng)，類(lèi)似大型云計(jì)算平臺(tái)要求，根據(jù)功能、主體、控制對(duì)象和生產(chǎn)廠商等因素劃分多個(gè)定級(jí)對(duì)象。這里《指南》并不是建議，而是要求，也就是說(shuō)大型工控系統(tǒng)會(huì)進(jìn)行拆分定級(jí)。

　　● 采用移動(dòng)互聯(lián)技術(shù)的系統(tǒng)

　　《指南》為這類(lèi)系統(tǒng)進(jìn)行了簡(jiǎn)要描述，即包括移動(dòng)終端(手機(jī)、平板、筆記本)、移動(dòng)應(yīng)用和無(wú)線網(wǎng)絡(luò)等特征要素的系統(tǒng)。將所有移動(dòng)技術(shù)整合，作為一個(gè)整體來(lái)定級(jí)。

　　● 通信網(wǎng)絡(luò)設(shè)施

　　主要是通信和廣電行業(yè)的核心網(wǎng)絡(luò)，基本可以算得上關(guān)鍵信息基礎(chǔ)設(shè)施了，也是國(guó)家重點(diǎn)關(guān)注的行業(yè)之一�！吨改稀方ㄗh(用了“宜”)可根據(jù)安全責(zé)任主體、服務(wù)類(lèi)型或服務(wù)地域劃分不同的定級(jí)對(duì)象。根據(jù)以往經(jīng)驗(yàn)，基本都是采取責(zé)任主體或地域劃分居多，也便于管理。

　　而對(duì)于運(yùn)營(yíng)商網(wǎng)絡(luò)(骨干網(wǎng)、接入網(wǎng))，多以地市為單位作為定級(jí)對(duì)象�！吨改稀方ㄗh跨省行業(yè)或單位專(zhuān)用通信網(wǎng)可作為一個(gè)整體對(duì)象定級(jí)，這對(duì)于運(yùn)營(yíng)商企業(yè)來(lái)說(shuō)算是一個(gè)利好了。

　　● 數(shù)據(jù)資源

　　這是新版《指南》提出的一個(gè)新要素。數(shù)據(jù)資源可以獨(dú)立定級(jí)。定級(jí)是基于大數(shù)據(jù)、大數(shù)據(jù)平臺(tái)安全責(zé)任主體相同與否。舉個(gè)例子，比如某些電商平臺(tái)，數(shù)據(jù)分布在多個(gè)平臺(tái)，每個(gè)平臺(tái)都有獨(dú)立法人，這種情況就應(yīng)該屬于安全責(zé)任主體不同，這時(shí)就要把數(shù)據(jù)資源單獨(dú)作為定級(jí)對(duì)象，電商平臺(tái)作為另一個(gè)定級(jí)對(duì)象。

　　三、確定安全保護(hù)等級(jí)

　　1、安全保護(hù)等級(jí)的定級(jí)方式是怎樣的?

　　對(duì)于通用系統(tǒng)的定級(jí)方式?jīng)]有明顯變化，依舊根據(jù)對(duì)業(yè)務(wù)信息的影響和對(duì)系統(tǒng)服務(wù)的影響來(lái)評(píng)判，二者取最高級(jí)別。

　　2、確定受侵害的客體與以往相比有哪些變化?

　　確定受侵害的客體方面有明顯變化，這里只說(shuō)明新增變化。

　　侵害國(guó)家安全事項(xiàng)方面：

　　● 新增影響海洋權(quán)益完整的侵害;

　　● 新增影響國(guó)家社會(huì)主義經(jīng)濟(jì)秩序和文化實(shí)力的侵害。

　　侵害社會(huì)秩序事項(xiàng)方面：

　　● 明確提出影響企事業(yè)單位、社會(huì)團(tuán)體生產(chǎn)秩序、醫(yī)療衛(wèi)生秩序的侵害;

　　● 新增影響公共交通秩序的侵害;

　　● 新增影響人民群眾生活的侵害。

　　侵害公共利益事項(xiàng)方面：

　　基本無(wú)變化。

　　確定對(duì)客體的侵害程度方面(包括侵害的客觀方面和綜合判定侵害程度)無(wú)明顯變化。

　　業(yè)務(wù)信息安全等級(jí)矩陣表與系統(tǒng)服務(wù)安全等級(jí)矩陣表無(wú)變化。

　　有關(guān)確定安全保護(hù)等級(jí)和等級(jí)變更部分可自行閱讀《指南》原文。

　　騰訊作為《指南》起草單位之一，同時(shí)也作為大型云服務(wù)商，從各行業(yè)實(shí)踐中梳理和總結(jié)等保2.0時(shí)代網(wǎng)絡(luò)安全合規(guī)工作方式與方法，以“一個(gè)中心、三重防護(hù)”為核心，旨在助力提升企業(yè)網(wǎng)絡(luò)安全能力，規(guī)避和緩解企業(yè)風(fēng)險(xiǎn)。騰訊安全整合騰訊天幕等團(tuán)隊(duì)在云計(jì)算+邊緣計(jì)算、AI、大數(shù)據(jù)以及IPv6普及化等方面的能力優(yōu)勢(shì)，為企業(yè)提供基于強(qiáng)大算力的安全支持，滿足新場(chǎng)景下的安全合規(guī)需求。

　　● 目前，騰訊云已通過(guò)等級(jí)保護(hù)三級(jí)、騰訊金融云已通過(guò)等級(jí)保護(hù)四級(jí)要求，可以為云租戶提供一個(gè)合規(guī)的云平臺(tái)，這也是租戶業(yè)務(wù)系統(tǒng)通過(guò)等級(jí)保護(hù)2.0測(cè)評(píng)的先決條件。

　　如何快速配置符合等保規(guī)定的云服務(wù)器，成為企業(yè)亟待解決的難題之一。對(duì)此，騰訊安全云鼎實(shí)驗(yàn)室推出全球首個(gè)云原生默認(rèn)等保合規(guī)鏡像并免費(fèi)開(kāi)放，用戶一鍵即可自動(dòng)完成基礎(chǔ)合規(guī)配置。

　　● 安全解決方案方面，針對(duì)等保二級(jí)和三級(jí)的要求，騰訊云擁有包含安全管理中心、防火墻、網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、Web應(yīng)用防火墻、DDoS高防、數(shù)據(jù)安全網(wǎng)關(guān)、主機(jī)安全、數(shù)據(jù)庫(kù)審計(jì)、堡壘機(jī)等云原生安全防護(hù)產(chǎn)品。

　　● 安全服務(wù)方面，以騰訊云完備的合作生態(tài)資原為基礎(chǔ)，騰訊云安全專(zhuān)家服務(wù)團(tuán)隊(duì)聯(lián)合各地等保測(cè)評(píng)中心提供一站式安全產(chǎn)品及服務(wù)，以及按需提供專(zhuān)業(yè)的增值服務(wù)來(lái)幫助騰訊云用戶完成等級(jí)保護(hù)測(cè)評(píng)與整改，提升安全防護(hù)能力。

　　客戶可通過(guò)以下方式，聯(lián)系騰訊云安全專(zhuān)家服務(wù)團(tuán)隊(duì)進(jìn)行等保咨詢：登陸騰訊云官網(wǎng)(復(fù)制以下網(wǎng)址在瀏覽器中打開(kāi)https://cloud.tencent.com)，通過(guò)控制臺(tái)提交工單;或在騰訊云官網(wǎng)相關(guān)頁(yè)面提交申請(qǐng)。騰訊云網(wǎng)官菜單導(dǎo)航：產(chǎn)品-安全-安全服務(wù)-專(zhuān)家服務(wù)。