等保对象知多少
The following article is from 等级保护测评 Author 毛华庆
在等保2.0的过程中,会有很多个对象,这些对象分别指的是什么?在测评过程中如何进行选择?本文将从等保定级的角度来谈谈等级保护对象,测评对象留到另外一篇来讲。
在GB/T 22240-2020 《 信息安全技术 网络安全等级保护定级指南》今年刚发布的等级指南中提到了等级保护对象,在这里我们可以认为:
等级保护对象=定级对象
在标准GB/T 22240-2020 (p1)中给出的等级保护对象(target of classified protection)定义为:“包括信息系统、通信网络设施和数据资源”。
拆开看就是三个对象:
◇ 信息系统◇ 通信网络设施◇ 数据资源
这三个都是网络安全等级保护工作直接作用的对象,后面两个是等保1.0(原标准定义:信息安全等级保护工作直接作用的具体的信息和信息系统。)中没有规定的。
信息系统
信息系统(Information system),是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统(百度百科的定义)。常见的信息系统如:OA,客户关系管理系统,进销存管理系统等(详细列表可参考各计算机专业本科毕业设计题目),还有特定行业如医院的HIS/LIS/PACS等;当然也保护融合了新技术新应用的各种工控、云计算、物联网系统。
信息系统是在GB/T 22240-2008中就一直存在的等保对象,这个标准是08年发布的,10多年过去了,现在的移动互联、大数据、云计算、物联网和工控系统当做信息系统来进行等级保护明显不太合适。
例如:大数据、云计算平台中包含大量的虚拟化设备,这些设备和传统设备的安全设置、要求都有很大不同。
通信网络设施
通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等。
通信网络设施作为等保对象虽然是新版标准中的修订部分,但是在2003年《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003] 27号)早就明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度”。在中级测评师复习资料里指出:随着信息化的发展进程,通信网络设施也由最初的电信传输网和互联网基础信息网络,逐步扩展到广播电视传输网,以及跨省的行业专网或业务专网。
除了通信网络设施外,我觉得这里的意思应该是鼓励将通用的基础网络设施部分单独抽取出来,单独定级,这样做是以模块化的思想来处理我们要保护的这些对象,举个栗子:
机房有若干个信息系统,有三级,有二级,那么要满足等保要求,要么整个机房物理环境都满足三级,要么就是机房进行了分区,二级信息系统放一个区域、三级系统放一个区域。如果机房里面有10个信息系统要做等保,就要对机房部署的机房环境,网络边界设备等做10次测评(当然如果10个信息系统同时做另说)。明显,这样不便于管理,工作量也大,这个时候就可以考虑单独把机房及内部的网络设备都单独拿出来,按运行的信息系统等保级别的就高原则做等保测评。也可以这么想,把机房做了三级等保之后,将来上面再加别的系统,或者二级系统变更为三级系统,物理环境、安全边界就不需要考虑这么多了。当然,如果信息系统数量不多或机房规模不大的情况下,就无需单独切分为等保对象。
数据资源
GB/T 22240-2008中的等保对象有提到信息,信息广义上可以泛指声音、图像、视频、记录等结构化及其他非结构化数据,香农(Shannon,1948)认为“信息是用来消除随机不确定性的东西”。在等保1.0阶段,信息主要还是指信息系统中涉及到的数据,如:业务信息、配置信息、管理信息、鉴别信息等。
中级测评资料中指出:随着我国由工业化向信息化的转型,以开发和利用信息资源为目的的经济活动迅速扩大,逐步出现了面向大数据的应用需求。大数据具有体量巨大、类型繁多、处理速度快等特质,决定了大数据难以采用传统数据结构进行有效处理,需要引入新的分布式体系结构和计算平台,如云计算平合进行存储、操作和分析,而这些技术和平台的引入则进一步推动了数据资源、数据处理平合和网络运营者的解耦,即大数据资源、大数据应用/工具和大数据基础平合可能从属于不同的网络运营者,所有权和安全责任的分离导致大数据逐步成为独立的等级保护对象。
而数据资源的典型例子是大数据,至于什么时候数据资源单独作为定级对象,什么时候整合在系统或平台中,下一节来讲解。
定级对象的划分
上面说的是等级保护对象,既然某对象要进行等级保护,那当然要先定级,这个时候就变成了定级对象。对于测评对象的主管单位而言,定级对象划分越粗越好,什么网站群系统,内含10多个网站。这样只算一个定级对象,出一份钱,解决多个网站的问题。这也是为什么要先写定级报告,然后由专家评审(新版标准规定),定级对象划分以及定级是否准确。下面以传统信息系统为例,看看如何来划分定级对象(工控、物联网、移动互联等系统可以参考中级测评师复习材料)。
◇ 具有确定的主要安全责任主体;
这里的安全责任主体可以窄义理解为信息系统的所有/运营者,具体还是要看网络安全法中的规定(标准里面也有,从建设或运维角度来看),这里不展开,通常包括企业机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。
这里要额外说明一下,很多单位都有这样的错误思想:我的网站放在某云平台上,安全责任不属于我管,应该是由云平台负责。客观来说,在某云平台上的网站,云平台仅负责安全物理环境、安全网络边界等一部分内容,出了安全问题还是由网站的所有/运营者负责。
◇ 承载相对独立的业务应用;
1. 相对独立的业务应用是指该业务应用与外部业务关联度低,交互较少。如果两个业务应用紧密耦合,数据交互频繁,就应该考虑是否应该合并为一个定级对象。
这里意思是两个系统如何界定是作为一个定级对象还是两个定级对象。例如:
某医院有门诊系统和住院系统,如果两个系统放在不同的服务器,或者使用不同的数据库,甚至连开发单位也不一样,二者没有或者只有很少的数据交互,那么就要分开作为两个定级对象;
如果两个系统用的同一套硬件、数据库,数据也有交互,可以用一卡通在门诊开药,医生可以预定床位,住院部可以看到门诊记录等,这个时候可以把两个系统看做是整个HIS的两个大模块,整个HIS作为一个定级对象进行处理。
再例如之前提到的网站群的例子,假如某高校有后勤网站、二级学院网站、计财处网站。这个时候要考虑划分的粒度,不能全部都作为某高校网站群作为对象,也无需每一个网站都分开,通常可以把二级学院的网站,部门的网站等二级域名的放到一块:
www.xxx.edu.cn;jsj.xxx.edu.cn;hqgl.xxx.edu.cn
但是承担特殊业务的一些网站,如科研管理系统、财务报销系统要单独拿出来做为定级对象。
2. 该业务应用不强制要求完全覆盖从客户终端到数据库后台的整个业务流程,也可以是其中一部分。《银行业定级指南》中就明确指出,“部署有应用服务器或者数据库服务器的前置系统”可以作为应用系统类定级对象独立定级。
这里意思是信息系统对象什么时候可以拆分为多个定级对象,例如铁路的自动售票终端设备,按理说是属于售票管理系统,都是连接相同的数据,但是这些终端设备部署有自己的应用,可以单独拿出来作为定级对象。
◇ 包含相互关联的多个资源。
这块还没想到具体的解释,欢迎各位评论区补充讨论。
当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。
借用中级测评材料一小段总结一下:等保2.0中,等级保护对象定义为:“网络安全等级保护工作直接作用的对象,包括信息系统、通信网络设施和数据资源”。其中,通信网络设施是指为信息流通、网络运行等起基础支撑作用的网络设备设施,典型对象包括电信网、广播电视传输网,以及行业或单位的跨省专用网(骨干部分)等;信息系统是指由计算机或其他信息终端及相关设备组成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的系统,典型对象即包括办公自动化系统、邮件系统等传统计算机信息系统,也包括工业控制系统、云计算平台、物联网以及使用移动互联技术的信息系统等融合了新技术新应用的新型等级保护对象;数据资源的典型例子是大数据。
文章转载自:等级保护测评公众号
头图丨freepik
(文章经授权转载,仅代表作者本人观点,不代表密码头条公众号立场)
* 原创 | 密评系列之:专业解读密评与0054(不可否认性)
*(原创) 密码服务支撑新基建:5GV2X中的密码