新版《GBT 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》正式發(fā)布

新版《GBT 22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南》正式發(fā)布，新的國標(biāo)將于2020年11月1日正式實施。騰訊安全平臺部天幕團(tuán)隊聯(lián)合騰訊安全專家咨詢中心、云鼎實驗室、安全管理部標(biāo)準(zhǔn)團(tuán)隊，針對新版定級指南的一些變化劃重點(diǎn)解讀，供廣大企業(yè)參考。

01

定級原理及流程1、安全保護(hù)等級如何劃分？本部分變化較小，依舊是五個等級，從一級到五級由低到高?，F(xiàn)在對于定級系統(tǒng)的稱呼統(tǒng)一改為等級保護(hù)對象（舊標(biāo)準(zhǔn)中稱為信息系統(tǒng)），這也與等保2.0其他系列標(biāo)準(zhǔn)保持一致。2、等保定級要素都有哪些？要素可以說基本沒有變化，依舊沿用之前的定義。

等級保護(hù)對象要素的兩個方面： 1）受侵害的客體； 2）對客體的侵害程度。

等級保護(hù)對象受侵害客體的三個方面： 1）公民、法人和其他組織的合法權(quán)益； 2）社會秩序、公共利益； 3）國家安全。

等級保護(hù)對象受到破壞后對客體造成侵害的程度歸結(jié)為以下三種： 1）造成一般損害； 2）造成嚴(yán)重?fù)p害； 3）造成特別嚴(yán)重?fù)p害。

定級要素與安全保護(hù)等級的關(guān)系

之前行業(yè)內(nèi)關(guān)于等保2.0基本要求的解讀中，曾經(jīng)提過對于公民、法人和其他組織和合法權(quán)益受到特別嚴(yán)重?fù)p害會定為第三級，但是從新版《指南》的官方結(jié)論，依舊按照舊版定為第二級，這里明確說明一下。3、定級流程是怎樣的？第二級及以上等級保護(hù)對象定級流程新增專家評審環(huán)節(jié)，不再自主定級，需要聘請專家認(rèn)定等級保護(hù)對象的級別。

02

確定定級對象1、哪些企業(yè)和機(jī)構(gòu)需要定級備案？定級對象的范圍相比舊標(biāo)準(zhǔn)變化較多，本次《指南》包含了云計算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的系統(tǒng)、通信網(wǎng)絡(luò)設(shè)施以及數(shù)據(jù)資源，我們來具體看下。 通用定級對象基本特征明確，共計三點(diǎn)：

具有確定的主要安全責(zé)任體；

承載相對獨(dú)立的業(yè)務(wù)應(yīng)用；

包含相互關(guān)聯(lián)的多個資源。

從這幾個特征來看，基本互聯(lián)網(wǎng)上的系統(tǒng)差不多都要定級備案?！吨改稀方o出了有關(guān)安全責(zé)任主體的解釋：包括但不限于企業(yè)、機(jī)關(guān)和事業(yè)單位等法人，以及不具備法人資格的社會團(tuán)體等其他組織。 以前很多人一直有個疑問，我們的系統(tǒng)很小，沒多少數(shù)據(jù)，就不需要定級了?，F(xiàn)在官方給出了解釋，企事業(yè)單位、機(jī)關(guān)基本都是具有法人的，那么這些單位的系統(tǒng)必須都要定級備案。其他團(tuán)體（包括公益組織）和中小私營企業(yè)原則上也都要對系統(tǒng)進(jìn)行定級備案。這個事情基本是躲不過去的。2、哪些系統(tǒng)屬于強(qiáng)制定級備案范疇？

云計算平臺/系統(tǒng)

《指南》明確表示，云上租戶和云服務(wù)商的等級保護(hù)對象要分開定級，根據(jù)云上服務(wù)模式再分別定級。就是說，云服務(wù)商的平臺對外提供SaaS、PaaS、IaaS三種服務(wù)模式，那么就分為三個對象來分別定級。 對于大型云計算平臺，除了服務(wù)模式之外還可能根據(jù)基礎(chǔ)設(shè)施和輔助服務(wù)系統(tǒng)再次分別定級。不過這里《指南》中用了“宜”這個字，以我們的觀點(diǎn)來看，應(yīng)該是建議而非強(qiáng)制要求。 另外，對于騰訊云這種大型云計算平臺的要求，同樣也適用于搭建私有云和混合云的大中型企業(yè)。

物聯(lián)網(wǎng)

通常是以系統(tǒng)為單位，將所有邊緣設(shè)備和應(yīng)用統(tǒng)一起來，作為一個整體來定級。（比如某些智能家居系統(tǒng)，就要以整體平臺作為定級對象，不能以不同家庭或不同區(qū)域作為定級對象）

工業(yè)控制系統(tǒng)

不同于其他行業(yè)，《指南》要求對于工業(yè)控制系統(tǒng)，將現(xiàn)場、過程控制要素作為一個整體定級，而生產(chǎn)管理要素單獨(dú)再作為一個定級對象。也就是一個工業(yè)控制系統(tǒng)，最終會分成兩個對象定級備案。 對于大型工控系統(tǒng)，類似大型云計算平臺要求，根據(jù)功能、主體、控制對象和生產(chǎn)廠商等因素劃分多個定級對象。這里《指南》并不是建議，而是要求，也就是說大型工控系統(tǒng)會進(jìn)行拆分定級。

采用移動互聯(lián)技術(shù)的系統(tǒng)

《指南》為這類系統(tǒng)進(jìn)行了簡要描述，即包括移動終端（手機(jī)、平板、筆記本）、移動應(yīng)用和無線網(wǎng)絡(luò)等特征要素的系統(tǒng)。將所有移動技術(shù)整合，作為一個整體來定級。

通信網(wǎng)絡(luò)設(shè)施

主要是通信和廣電行業(yè)的核心網(wǎng)絡(luò)，基本可以算得上關(guān)鍵信息基礎(chǔ)設(shè)施了，也是國家重點(diǎn)關(guān)注的行業(yè)之一?！吨改稀方ㄗh（用了“宜”）可根據(jù)安全責(zé)任主體、服務(wù)類型或服務(wù)地域劃分不同的定級對象。根據(jù)以往經(jīng)驗，基本都是采取責(zé)任主體或地域劃分居多，也便于管理。 而對于運(yùn)營商網(wǎng)絡(luò)（骨干網(wǎng)、接入網(wǎng)），多以地市為單位作為定級對象?！吨改稀方ㄗh跨省行業(yè)或單位專用通信網(wǎng)可作為一個整體對象定級，這對于運(yùn)營商企業(yè)來說算是一個利好了。

數(shù)據(jù)資源

這是新版《指南》提出的一個新要素。數(shù)據(jù)資源可以獨(dú)立定級。定級是基于大數(shù)據(jù)、大數(shù)據(jù)平臺安全責(zé)任主體相同與否。舉個例子，比如某些電商平臺，數(shù)據(jù)分布在多個平臺，每個平臺都有獨(dú)立法人，這種情況就應(yīng)該屬于安全責(zé)任主體不同，這時就要把數(shù)據(jù)資源單獨(dú)作為定級對象，電商平臺作為另一個定級對象。

03

確定安全保護(hù)等級1、安全保護(hù)等級的定級方式是怎樣的？對于通用系統(tǒng)的定級方式?jīng)]有明顯變化，依舊根據(jù)對業(yè)務(wù)信息的影響和對系統(tǒng)服務(wù)的影響來評判，二者取最高級別。2、確定受侵害的客體與以往相比有哪些變化？確定受侵害的客體方面有明顯變化，這里只說明新增變化。 ?侵害國家安全事項方面：

新增影響海洋權(quán)益完整的侵害；

新增影響國家社會主義經(jīng)濟(jì)秩序和文化實力的侵害。

?侵害社會秩序事項方面：

明確提出影響企事業(yè)單位、社會團(tuán)體生產(chǎn)秩序、醫(yī)療衛(wèi)生秩序的侵害；

新增影響公共交通秩序的侵害；

新增影響人民群眾生活的侵害。

?侵害公共利益事項方面：基本無變化。 ?確定對客體的侵害程度方面（包括侵害的客觀方面和綜合判定侵害程度）無明顯變化。 業(yè)務(wù)信息安全等級矩陣表與系統(tǒng)服務(wù)安全等級矩陣表無變化。 有關(guān)確定安全保護(hù)等級和等級變更部分可自行閱讀《指南》原文。

騰訊作為《指南》起草單位之一，同時也作為大型云服務(wù)商，從各行業(yè)實踐中梳理和總結(jié)等保2.0時代網(wǎng)絡(luò)安全合規(guī)工作方式與方法，以“一個中心、三重防護(hù)”為核心，旨在助力提升企業(yè)網(wǎng)絡(luò)安全能力，規(guī)避和緩解企業(yè)風(fēng)險。騰訊安全整合騰訊天幕等團(tuán)隊在云計算+邊緣計算、AI、大數(shù)據(jù)以及IPv6普及化等方面的能力優(yōu)勢，為企業(yè)提供基于強(qiáng)大算力的安全支持，滿足新場景下的安全合規(guī)需求。

?目前，騰訊云已通過等級保護(hù)三級、騰訊金融云已通過等級保護(hù)四級要求，可以為云租戶提供一個合規(guī)的云平臺，這也是租戶業(yè)務(wù)系統(tǒng)通過等級保護(hù)2.0測評的先決條件。 如何快速配置符合等保規(guī)定的云服務(wù)器，成為企業(yè)亟待解決的難題之一。對此，騰訊安全云鼎實驗室推出全球首個云原生默認(rèn)等保合規(guī)鏡像并免費(fèi)開放，用戶一鍵即可自動完成基礎(chǔ)合規(guī)配置。 ?安全解決方案方面，針對等保二級和三級的要求，騰訊云擁有包含安全管理中心、防火墻、網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、Web應(yīng)用防火墻、DDoS高防、數(shù)據(jù)安全網(wǎng)關(guān)、主機(jī)安全、數(shù)據(jù)庫審計、堡壘機(jī)等云原生安全防護(hù)產(chǎn)品。 ?安全服務(wù)方面，以騰訊云完備的合作生態(tài)資原為基礎(chǔ)，騰訊云安全專家服務(wù)團(tuán)隊聯(lián)合各地等保測評中心提供一站式安全產(chǎn)品及服務(wù)，以及按需提供專業(yè)的增值服務(wù)來幫助騰訊云用戶完成等級保護(hù)測評與整改，提升安全防護(hù)能力。 客戶可通過以下方式，聯(lián)系騰訊云安全專家服務(wù)團(tuán)隊進(jìn)行等保咨詢：登陸騰訊云官網(wǎng)（復(fù)制以下網(wǎng)址在瀏覽器中打開https://cloud.tencent.com或點(diǎn)擊「閱讀原文」），通過控制臺提交工單。騰訊云官網(wǎng)菜單導(dǎo)航：產(chǎn)品-安全-安全服務(wù)-專家服務(wù)。 企業(yè)如何才能更高效、平穩(wěn)地通過等級保護(hù)2.0，并將安全能力轉(zhuǎn)化為自身的發(fā)展助力？5月15日晚19點(diǎn)，騰訊安全等級保護(hù)合規(guī)服務(wù)負(fù)責(zé)人王余將在【產(chǎn)業(yè)安全公開課·等保2.0專場】中，分享在網(wǎng)絡(luò)安全建設(shè)和等級保護(hù)合規(guī)建設(shè)全生命周期的過程中，騰訊如何為網(wǎng)絡(luò)運(yùn)營者特別是騰訊云租戶，提供相關(guān)的產(chǎn)品、服務(wù)、解決方案及最佳實踐經(jīng)驗，如何快速通過等級保護(hù)測評，提升安全的投入產(chǎn)出率。