带你读《网络安全等级保护2.0定级测评实施与运维》——3.3 初步确定安全保护等级

简介: 带你读《网络安全等级保护2.0定级测评实施与运维》——3.3 初步确定安全保护等级

3.3  初步确定安全保护等级

3.3.1  定级方法概述


定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。


定级方法的流程如图 3-2 所示。


image.png

3-2 定级方法的流程示意图

具体流程如下。


1.确定受到破坏时所侵害的客体


1)确定业务信息安全受到破坏时所侵害的客体。

2)确定系统服务安全受到破坏时所侵害的客体。


2.综合评定对客体的侵害程度


1)根据不同的受侵害客体,评定业务信息安全被破坏时对客体的侵害程度。

2)根据不同的受侵害客体,评定系统服务安全被破坏时对客体的侵害程度。


3.确定安全保护等级


1)确定业务信息安全保护等级。

2)确定系统服务安全保护等级。

3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象

的安全保护等级。


3.3.2  确定受侵害的客体


定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织的合法权益。


1.侵害国家安全的事项


1)影响国家政权稳固和领土主权、海洋权益完整。

2)影响国家统一、民族团结和社会稳定。

3)影响国家社会主义市场经济秩序和文化实力。

4)其他影响国家安全的事项。


2.侵害社会秩序的事项


1)影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩

序、医疗卫生秩序。

2)影响公共场所的活动秩序、公共交通秩序。

3)影响人民群众的生活秩序。

4)其他影响社会秩序的事项。


3.侵害公共利益的事项


1)影响社会成员使用公共设施。

(2)影响社会成员获取公开数据资源。


3.3.3  确定对客体的侵害程度


1.侵害的客观方面


在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。其中业务信息安全是指确保信息系统中信息的保密性、完整性和可用性等;系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏时所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种侵害方式。业务信息安全和系统服务安全受到破坏后,可能产生以下侵害后果。


1)影响行使工作职能。

2)导致业务能力下降。

3)引起法律纠纷。

4)导致财产损失。

5)造成社会不良影响。

6)对其他组织和个人造成损失。

7)其他影响。


2.综合评定侵害程度


侵害程度是客观方面的不同外在表现的综合体现,因此,首先根据不同受侵害客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同,例如,系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定;业务信息安全被破坏导致的财物损失可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。在针对不同的受侵害客体进行侵害程度的评定时,可以参照以下不同的判别基准。


1)如果受侵害客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准。


2)如果受侵害客体是社会秩序、公共利益或国家安全,则以整个行业或国家的总体利益作为判断侵害程度的基准。不同侵害后果的 3 种侵害程度描述如下。


1)一般损害:工作职能受到局部影响、业务能力有所降低但不影响主要功能的执行,出现较轻的法律问题、较低的财产损失、有限的社会不良影响,对其他组织和个人造成较低损害。


2)严重损害:工作职能受到严重影响,业务能力显著下降且严重影响主要功能执行,出现较严重的法律问题、较高的财产损失、较大范围的社会不良影响,对其他组织和个人造成较高损害。


(3)特别严重损害:工作职能受到特别严重影响或丧失行使能力,业务能力严重下降或功能无法执行,出现极其严重的法律问题、极高的财产损失、大范围的社会不良影响,对其他组织和个人造成非常高的损害。


对客体的侵害程度由对不同危害后果的侵害程度进行综合评定得出。由于各行业定级对象所处理的信息种类和系统服务特点各不相同,业务信息安全和系统服务安全受到破坏后关注的侵害后果、侵害程度的计算方式均可能不同。各行业可根据本行业的信息特点和系统服务特点制定侵害程度的综合评定方法,并给出一般损害、严重损害、特别严重损害的具体定义。


3.3.4  初步确定等级度


根据业务信息安全被破坏时所侵害的客体以及对相应客体的侵害程度,通过表3-2 可得到业务信息安全保护等级。

3-2 业务信息安全保护等级矩阵表

image.png

根据系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,通过表3-3 可得到系统服务安全保护等级。

image.png

定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级的较高者决定。


3.5  等级变更


当等级保护对象所处理的业务信息和系统服务范围发生变化,可能导致业务信息安全或系统服务安全受到破坏后的受侵害客体和对客体的侵害程度发生变化时,需根据标准要求重新确定定级对象和安全保护等级。

相关文章
|
2月前
|
存储 安全 算法
网络安全与信息安全:构建安全数字生活的基石
【10月更文挑战第5天】 在数字化时代,网络安全与信息安全已成为维护个人隐私、企业机密和国家安全的重要防线。本文旨在探讨网络安全漏洞的形成与防范、加密技术的应用及其重要性,以及提升公众安全意识的必要性。通过深入浅出的方式,帮助读者理解网络安全的核心要素,并强调每个人都是网络安全生态中不可或缺的一环。
55 1
|
2月前
|
运维 监控 安全
安全运维:入侵检测与防御实战指南
安全运维:入侵检测与防御实战指南 【10月更文挑战第9天】
117 3
|
2月前
|
存储 安全 网络安全
云计算与网络安全:探索云服务中的安全挑战与对策
【10月更文挑战第6天】在数字化转型的浪潮中,云计算已成为企业IT架构的核心。然而,随着其应用的广泛性,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的安全策略和最佳实践,以帮助组织构建更加安全的云环境。我们将从云服务的基础知识出发,逐步深入到网络安全和信息安全的关键领域,最后通过代码示例展示如何实施这些安全措施。
|
2月前
|
存储 安全 网络安全
云计算与网络安全:构建安全的数字基石## 一、
本文探讨了云计算与网络安全之间的紧密联系,强调在享受云服务带来的便利与效率的同时,必须重视并加强信息安全管理。通过分析云服务的基本概念、特点及面临的主要安全风险,提出了一系列增强网络安全的策略与措施,旨在为企业和个人用户提供一个更加安全、可靠的云计算环境。 ## 二、
|
2月前
|
安全 网络安全 区块链
网络安全与信息安全:构建数字世界的防线在当今数字化时代,网络安全已成为维护个人隐私、企业机密和国家安全的重要屏障。随着网络攻击手段的不断升级,从社交工程到先进的持续性威胁(APT),我们必须采取更加严密的防护措施。本文将深入探讨网络安全漏洞的形成原因、加密技术的应用以及提高公众安全意识的重要性,旨在为读者提供一个全面的网络安全知识框架。
在这个数字信息日益膨胀的时代,网络安全问题成为了每一个网民不可忽视的重大议题。从个人信息泄露到企业数据被盗,再到国家安全受到威胁,网络安全漏洞如同隐藏在暗处的“黑洞”,时刻准备吞噬掉我们的信息安全。而加密技术作为守护网络安全的重要工具之一,其重要性不言而喻。同时,提高公众的安全意识,也是防范网络风险的关键所在。本文将从网络安全漏洞的定义及成因出发,解析当前主流的加密技术,并强调提升安全意识的必要性,为读者提供一份详尽的网络安全指南。
|
2月前
|
安全 算法 网络安全
网络安全与信息安全:守护数字世界的坚盾在这个高度数字化的时代,网络安全和信息安全已成为全球关注的焦点。无论是个人隐私还是企业数据,都面临着前所未有的风险和挑战。本文将深入探讨网络安全漏洞、加密技术以及安全意识的重要性,旨在为读者提供实用的知识,帮助构建更加安全的网络环境。
【10月更文挑战第4天】 在数字化浪潮中,网络安全与信息安全成为不可忽视的议题。本文通过分析网络安全漏洞的类型与成因,探讨加密技术的原理与应用,并强调提升安全意识的必要性,为读者提供一套全面的网络安全知识框架。旨在帮助个人和企业更好地应对网络威胁,保护数字资产安全。
122 65
|
7天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
2月前
|
存储 监控 安全
如何实施有效的网络安全策略?
【10月更文挑战第13天】如何实施有效的网络安全策略?
91 5
|
21天前
|
云安全 安全 网络安全
云计算与网络安全:技术融合下的安全挑战与应对策略
【10月更文挑战第33天】在数字化转型的浪潮中,云计算作为支撑现代企业IT架构的核心,其安全性成为业界关注的焦点。本文从云计算服务的基本概念出发,探讨了云环境下的网络安全风险,并分析了信息安全的关键技术领域。通过对比传统网络环境与云端的差异,指出了云计算特有的安全挑战。文章进一步提出了一系列应对策略,旨在帮助企业和组织构建更为坚固的云安全防护体系。最后,通过一个简化的代码示例,演示了如何在云计算环境中实施基本的安全措施。
|
2月前
|
存储 安全 网络安全
云计算与网络安全的融合之路:探索云服务的安全边界
【10月更文挑战第6天】随着云计算技术的飞速发展,越来越多的企业和个人选择将数据和应用迁移到云端。然而,随之而来的网络安全问题也日益凸显。本文将从云计算的基础概念入手,探讨云服务中的网络安全挑战,并提出相应的信息安全策略。文章旨在为读者提供一个关于如何在享受云计算便捷的同时,保障数据安全和隐私保护的全面视角。

热门文章

最新文章