等保测评中系统定级的核心要素与特征

经常有甲方单位问:我这好几个系统,能整体打包定级吗?一般而言,如果管理维护责任在不同部门,或者系统之间的网络、软硬件资源没有关联,或者两个系统之间没有逻辑关联,那么是不宜打包定级的。在网络安全等级保护制度中,“明确的责任主体”“相对独立的应用”和“资源的关联性”是定级与保护的核心要素,这三者定义了一个系统能否、应否定级为一个保护对象。以下是具体解析:

一、责任主体:安全保护的直接担当者

1. 定义与职责
责任主体指网络运营者(如企业、机关、事业单位等),需根据所属网络的重要程度及遭受破坏后的危害程度,科学确定其安全保护等级,并落实以下职责:

  • 技术防护部署防火墙、入侵检测系统(IDS/IPS)、加密技术等,确保系统机密性、完整性和可用性。
  • 管理制度制定安全策略、应急预案、人员培训计划,并定期进行安全审计和漏洞修复。
  • 合规义务接受公安、网信等部门的监管,完成定级备案、安全建设、事件处置等工作。

2. 法律责任与案例

  • 未履行义务的后果如某企业因未落实防病毒措施导致网站被入侵,被罚款1万元;南京某研究院因制度缺失被罚款5万元,相关责任人同步受罚。
  • 监管依据《网络安全法》第21条、第59条明确规定,责任主体需履行安全保护义务,否则将面临行政处罚甚至刑事责任。

二、相对独立的应用:定级对象的核心特征

1. 定级对象的基本要求
应用需满足以下条件方可独立定级:

  • 明确的安全责任主体如企业、机关等法人或组织,避免将单一组件(如服务器)作为定级对象。
  • 承载独立业务功能如电商网站的订单处理系统、金融系统的交易模块,需与整体业务逻辑解耦。
  • 包含关联资源如硬件、软件、数据等需形成有机整体,确保业务连续性。

2. 行业差异与技术实践

  • 云计算平台需将客户侧应用与云服务商侧基础设施分开定级,例如阿里云按服务模式(IaaS/PaaS/SaaS)划分保护等级。
  • 工业控制系统现场控制层与生产管理层可独立定级,但需确保数据交互安全。
  • 物联网感知层、网络层、应用层需整体定级,避免因单点漏洞导致系统崩溃。

3. 企业实施案例

  • 门户网站防护将网站分为用户认证、数据交换、内容发布等区域,对核心区域(如支付接口)实施更高保护等级。
  • 移动应用安全结合APP加固、API安全网关等技术,确保移动端与后台系统的安全交互。

三、资源的关联性:系统安全的整体性视角

1. 系统组成与风险评估
信息系统由硬件、软件、数据、网络等资源构成,需作为整体进行防护:

  • 硬件资源服务器、存储设备、网络设备等需物理安全防护(如门禁、监控)。
  • 软件资源操作系统、数据库、中间件等需定期打补丁,防范漏洞利用。
  • 数据资源敏感数据(如用户隐私、商业机密)需加密存储和传输,并实施访问控制。

2. 关联性对定级的影响

  • 工业控制系统需评估控制对象(如电厂设备)与生产厂商的关联性,避免供应链攻击。
  • 大数据平台当安全责任主体相同时,大数据平台与数据资源可整体定级;若责任主体不同,则需独立定级。

3. 防护策略与工具

  • 统一安全管理平台(SOC)整合日志分析、威胁检测、事件响应等功能,实现资源关联性监控。
  • 零信任架构基于“永不信任,始终验证”原则,对所有访问请求进行动态授权,降低内部威胁。
  • 供应链安全对第三方组件(如开源库、SDK)进行安全审查,避免因关联资源引入风险。

四、三要素的协同作用

  1. 责任主体通过明确职责,确保“相对独立的应用”得到合理定级与保护。
  2. 资源的关联性要求从整体视角评估风险,避免因单一组件漏洞导致系统崩溃。例如,某医院信息系统需将挂号系统(独立应用)与医疗影像系统(关联资源)整体定级,由医院(责任主体)落实防护措施,如部署医疗隔离网闸、数据加密传输等。