定级指南规定了非涉及国家秘密的等级保护对象的定级方法和流程,通过指导网络运营者合理划分定级对象和准确的 确定安全保护等级 ,为后续的安全建设整改、等级测评等工作奠定了良好的基础。
新版定级指南在等级保护10定级指南的基础上,对等级保护对象做了新的定义,增加了对云大物移工等场景的说明,修改了定级流程,以适应新形势下等级保护工作的需要,有力推动了等级保护工作的开展。那么20的定级指南正式实施后,我们需要注意哪些点呢?
等级保护对象新定义
等保保护定级对象主要包括: 信息系统 、 通信网络设施 和 数据资源等 。
信息系统 就是我们在10时候的定级对象,指的是各类信息系统;
通信网络设施 指的是为信息流通、网络运行等起基础支撑作用的网络设备设施,主要包括电信网、广播电视传输网和行业或单位的专用通信网等,所以大家得注意了自己单位的专网得定级,特别是承载了重要信息系统或者专网规模较大的网络;
数据资源 指的是具有或预期具有价值的数据集合,数据资源主要是拥有大量各类有价值的数据,那么这些单位需要保护好这些数据资源,自然需要对该数据资源进行定级,我们可以想象的这类数据有:人社数据、医保数据、公积金数据、个人财产数据(银行、房产、保险等)等信息。
定级要素与安全保护等级新关系
依据安全保护等级的定义,定级应综合考虑“等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭受到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”。因此本标准中明确等级保护对象的定级要素为两个,分别为“ 受侵害的客体 ”和“ 对客体的侵害程度 ”。
定级要素与安全保护等级的关系如下。
受侵害的客体表现形式有哪些
定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织
侵害国家安全的事项包括以下方面 :
1影响国家政权稳固和领土主权、海洋权益完整;
2影响国家统一、民族团结和社会稳定;
3影响国家社会主义市场经济秩序和文化实力;
4其他影响国家安全的事项。
侵害社会秩序的事项包括以下方面 :
1影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;影响公共场所的活动秩序公共交通秩序;
2影响人民群众的生活秩序;
3其他影响社会秩序的事项。
侵害公共利益的事项包括以下方面 :
1影响社会成员使用公共设施;
2影响社会成员获取公开数据资源;
3影响社会成员接受公共服务等方面;
4其他影响公共利益的事项。
业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果 :
1影响行使工作职能;
2导致业务能力下降;
3引起法律纠纷;
4导致财产损失;
5造成社会不良影响;
6对其他组织和个人造成损失;
7其他影响。
侵害公民法人和其他组织的合法权益是指受法律保护的公民法人和其他组织所享有的社会权利和利益等受到损害。
确定受侵害的客体时首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益最后判断是否侵害公民,法人和其他组织的合法权益。
等级保护对象新特征
作为等级保护对象的网络应具有如下基本特征:
具有确定的主要安全责任主体 ;
承载相对独立的业务应用 ;
包含相互关联的多个资源 。
在确定定级对象时,云计算平台/系统、物联网、工业控制系统、采用移动互联技术的系统在满足以上基本特征的基础上,需要满足以下要求。
定级新流程
对于新建网络、运营者应当依照等级保护相关法律法规要求和本标准,在规划设计阶段确定其安全保护等级;对于跨省或者全国统一联网运行的网络可以由行业主管(监管)部门统一组织定级工作。安全保护等级初步确定为第二级及以上的等级保护对象,其运营者应当依据标准要求分别进行专家评审、主管部门核准和公安机关备案审核,最终确定其安全保护等级。
专家评审 :定级对象的运营、使用单位应组织信息安全专家和业务专家等,对初步定级结果的合理性进行评审,并出具专家评审意见 。
主管部门审批 :定级对象的运营、使用单位应将初步定级结果报请行业主管(监管)部门核准,并出具核准意见。
公安机关审核 :定级对象的运营、使用单位应按照相关管理规定,将初步定级结果提交公安机关进行备案审查,审查不通过,其运营使用单位应组织重新定级;审查通过后最终确定定级对象的安全保护等级。
所以物联网的体系结构可分为:
感知层、网络层和应用层三大层次。
1、感知层:
感知层是物联网的底层,但它是实现物联网全面感知的核心能力,主要解决生物世界和物理世界的数据获取和连接问题。
2、网络层:
广泛覆盖的移动通信网络是实现物联网的基础设施,网络层主要解决感知层所获得的长距离传输数据的问题。
它是物联网的中间层,是物联网三大层次中标准化程度最高、产业化能力最强、最成熟的部分。
3、应用层:
物联网应用层是提供丰富的基于物联网的应用,是物联网和用户(包括人、组织和其他系统)的接口。它与行业需求结合,实现物联网的智能应用,也是物联网发展的根本目标。
扩展资料:
感知层:
物联网是各种感知技术的广泛应用。物联网上有大量的多种类型传感器,不同类别的传感器所捕获的信息内容和信息格式不同,所以每个传感器都是唯一的一个信息源。
传感器获得的数据具有实时性,按一定的频率周期性地采集环境信息,不断更新数据。
物联网运用的射频识别器、全球定位系统、红外感应器等这些传感设备,它们的作用就像是人的五官,可以识别和获取各类事物的数据信息。
通过这些传感设备,能让任何没有生命的物体都拟入化,让物体也可以有“感受和知觉”,从而实现对物体的智能化控制。
通常,物联网的感知层包括二氧化碳浓度传感器、温湿度传感器、二维码标签、电子标签、条形码和读写器、摄像头等感知终端。
感知层采集信息的来源,它的主要功能是识别物体、采集信息,其作用相当于人的五个功能器官。
网络层:
它由各种私有网络、互联网、有线通信网、无线通信网、网络管理系统和云计算平台等组成,相当于人的神经中枢和大脑,负责传递和处理感知层获取的信息。
网络层的传递,主要通过因特网和各种网络的结合,对接收到的各种感知信息进行传送,并实现信息的交互共享和有效处理,关键在于为物联网应用特征进行优化和改进,形成协同感知的网络。
网络层的目的是实现两个端系统之间的数据透明传送。其具体功能包括寻址、路由选择,以及连接的建立、保持和终止等。它提供的服务使运输层不需要了解网络中的数据传输和交换技术。
网络层的产生是物联网发展的结果。在联机系统和线路交换的环境中,通信技术实实在在地改变着人们的生活和工作方式。
传感器是物联网的“感觉器官”,通信技术则是物联网传输信息的“神经”,实现信息的可靠传送。
通信技术,特别是无线通信技术的发展,为物联网感知层所产生的数据提供了可靠的传输通道。因此,以太网、移动网、无线网等各种相关通信技术的发展,为物联网数据的信息传输提供了可靠的传送保证。
物联网网络层是三大层次结构中的第二次,物联网要求网络层把感知层接收到的信息高效、安全地进行传送。
应用层:
物联网的行业特性主要体现在其应用领域内。目前绿色农业、工业监控、公共安全、城市管理、远程医疗、智能家居、智能交通和环境监测等各个行业均有物联网应用的尝试,某些行业已经积累了一些成功的案例。
将物联网开发技术与行业信息化需求相结合,实现广泛智能化应用的解决方案,关键在于行业融合、信息资源的开发利用、低成本高质量的解决方案、信息安全的保障以及有效的商业模式的开发。
感知层收集到大量的、多样化的数据,需要进行相应的处理才能作出智能的决策。海量的数据存储与处理,需要更加先进的计算机技术。近些年,随着不同计算技术的发展与融合所形成的云计算技术,被认为是物联网发展最强大的技术支持。
云计算技术为物联网海量数据的存储提供了平台,其中的数据挖掘技术、数据库技术的发展为海量数据的处理分析提供了可能。
物联网应用层的标准体系主要包括应用层架构标准、软件和算法标准、云计算技术标准、行业或公众应用类标准以及相关安全体系标准。
应用层架构是面向对象的服务架构,包括SOA体系架构、业务流程之间的通信协议、面向上层业务应用的流程管理、元数据标准以及SOA安全架构标准。
云计算技术标准重点包括开放云计算接口、云计算互 *** 作、云计算开放式虚拟化架构(资源管理与控制)、云计算安全架构等。
软件和算法技术标准包括数据存储、数据挖掘、海量智能信息处理和呈现等。安全标准重点有安全体系架构、安全协议、用户和应用隐私保护、虚拟化和匿名化、面向服务的自适应安全技术标准等。
物联网是新型信息系统的代名词,它是三方面的组合:
一是“物”,即由传感器、射频识别器以及各种执行机构实现的数字信息空间与实际事物关联;
二是“网”,即利用互联网将这些物和整个数字信息空间进行互联,以方便广泛的应用;
三是应用,即以采集和互联作为基础,深入、广泛、自动化地采集大量信息,以实现更高智慧的应用和服务。
参考资料来源:百度百科-物联网
网络安全的发展可以分为三个阶段:1 第一阶段:主要关注数据传输的安全,如加密技术、数据隐私保护等。
2 第二阶段:由于网络的普及,重点转向网络威胁的解决和安全防御,如防火墙、入侵检测系统、反病毒软件等。
3 第三阶段:随着云计算、物联网等技术的兴起,网络安全发展到了数据和设备安全的层面,如网络安全监管、云安全、智能设备安全等。
网络安全体系包括三个主要部分:
1 网络安全管理:包括恶意代码防范、网络安全监管等。
2 网络安全技术:包括防火墙、反病毒软件、入侵检测等。
3 网络安全标准:确保网络安全达到一定的标准,包括加密算法、认证技术等。这三个部分综合起来形成了网络安全的体系结构。
为什么要做网络安全等级保护
网络安全等级保护技术20版本(简称等保20)正式公开发布,等保20覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据。
一、等级保护是什么
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息系统运营、使用单位应当选择符合国家要求的测评机构,依据《信息安全技术网络安全等级保护基本要求》等技术标准,定期对信息系统开展测评工作。
二、为什么要做等级保护
(一)法律规章要求
《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
第二十一条规定:
第三十八条规定:
第五十九条规定:
(二)行业要求
在金融、电力、广电、医疗、教育、交通等行业,主管单位明确要求从业机构的信息系统要开展等级保护工作。
(三)企业系统安全的需求
信息系统运营、使用单位通过开展等级保护工作可以发现系统内部的安全隐患与不足之处,可通过安全整改提升系统的安全防护能力,降低被攻击的风险。
为什么要做网络安全等级保护?
被感知的信息通过无线网络平台进行传输时,信息的安全性相当脆弱。
在物联网的传输层和应用层也存在一系列的安全隐患,亟待出现相对应的、高效的安全防范策略和技术。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)