新版本《GBT 22240-2020 信息安全技术 网络安全等级保

新版本《GBT 22240-2020信息安全技术网络安全等级保护定级指南》正式发布，新的国家标准将于2020年11月1日正式实施。腾讯安全平台部天目团队与腾讯安全专家咨询中心、云鼎实验室和安全管理部标准团队一起，重点解读新评级指南中的一些变化，供企业参考。

01

分级原则和过程1。如何划分安全防护等级？这部分的变化很小，仍然是五个级别，从1级到5级，从低到高。目前，等级制度的名称已改为等级保护的对象(在旧标准中称为信息系统)，这也与平等保护2.0的其他系列标准相一致。2.保定层面的因素是什么？元素可以说基本保持不变，以前的定义仍然在使用。

等级保护对象要素的两个方面：1)被侵害对象；2)侵害客体的程度。

分级保护对象的三个方面：1)公民、法人和其他组织的合法权益；2)社会秩序和公共利益；3)国家安全。

被保护物损坏后的损坏程度可概括如下：1)造成一般损坏；(二)造成严重损害的；(三)造成特别严重损害的。

分级要素与安全防护等级的关系

在先前对行业平等保护基本要求2.0的解释中，提到将为受到特别严重损害的公民、法人、其他组织和合法权益设定第三个层次。然而，从新版本《指南》的官方结论来看，第二个级别仍将根据旧版本进行设置。这里有一个明确的解释。3.什么是评分过程？在2级及以上级别对受保护对象进行分级的过程添加了一个新的专家评审链接，该链接将不再是自动分级的。需要聘请专家来确定该级别受保护对象的级别。

02

确定定级对象1、哪些企事业单位需要定级备案？与旧标准相比，放坡对象的范围发生了很大变化。这次《指南》包括云计算、物联网、工业控制系统、使用移动互联技术的系统、通信网络设施和数据资源。让我们详细看看它们。一般放坡对象的基本特征明确，共三点：

有明确的主要安全责任主体；

承载相对独立的业务应用；

包含多个相互关联的资源。

从这些特点来看，基本互联网上几乎所有的系统都必须进行分级和归档。《指南》对安全责任主体进行了说明：包括但不限于企业、政府机关、事业单位等法人，以及不具有法人资格的社会团体等其他组织。以前，很多人总是有一个问题：我们的系统很小，没有太多的数据，所以没有必要评分。现在政府解释说，企业、事业单位和机关基本上都是法人，所以这些单位的制度必须分级备案。原则上，其他组织(包括公益组织)和中小民营企业也应分级备案。这件事情基本上是不能隐瞒过去的。2.哪些系统属于强制定级归档的范畴？

云计算平台/系统

《指南》明确指出，租户和云服务提供商在云上的级别保护对象应该分别分级，然后根据云上的服务模式分别分级。也就是说，云服务提供商平台向外界提供SaaS、PaaS和IaaS服务模式，然后将其分为三个对象分别进行分级。对于大规模云计算平台，除了服务模式外，还可以根据基础设施和辅助服务系统分别进行分级。但是，《指南》中使用了“适当”一词。在我们看来，这应该是一项建议，而不是一项强制性要求。此外，对大型云计算平台滕循云的要求也适用于构建私有云和混合云的大中型企业。

物联网

通常，所有边缘设备和应用程序都

与其他行业不同，《指南》要求对于工业控制系统，现场和过程控制要素应作为一个整体进行分级，而生产管理要素应作为一个单独的分级对象进行处理。也就是说，工业控制系统最终将分为两个对象进行分级和归档。对于大规模工业控制系统，类似于大规模云计算平台的要求，根据功能、主体、控制对象、制造商等因素划分多个分级对象。这里《指南》不是一个建议，而是一个要求，也就是说，大型工业控制系统将被分割和分级。

采用移动互联技术的系统

《指南》给出了这种系统的简要描述，即包括移动终端(移动电话、平板电脑、笔记本电脑)、移动应用、无线网络和其他特征元素的系统。整合所有移动技术，并对它们进行整体排名。

通信网络设施

它主要是通信和广播电视行业的核心网络，可以说是关键的信息基础设施，也是国家关注的行业之一。《指南》建议(使用“适当”)根据安全责任主体、服务类型或服务区域划分不同的分级对象。根据以往的经验，大多采用主要责任或区域划分，也便于管理。然而，对于运营商网络(骨干网和接入网)，城市大多被作为分级对象。《指南》建议跨省行业或单位专用通信网络可以作为一个整体进行评级，这对运营商企业来说是一件好事。

数据资源

这是新版本《指南》提出的新元素。数据资源可以独立分级。评级基于大数据和大数据平台的安全责任主体是否相同。例如，对于一些电子商务平台，数据分布在多个平台上，每个平台都有一个独立的法人。这种情况应该属于不同的安全责任主体。在这种情况下，数据资源应该单独作为评分对象，电子商务平台作为另一个评分对象。

03

确定安全防护等级1和安全防护等级的分级方法是什么？一般系统的评分方法没有明显变化，仍然根据对业务信息的影响和对系统服务的影响来判断，两者取最高水平。2.确定与过去相比，被侵害对象发生了哪些变化？在确定被侵害的对象方面有明显的变化，这里只解释新的变化。关于侵犯国家安全：

影响海洋权益完整性的新侵权行为；

影响国家社会主义经济秩序和文化实力的新的违法行为。

关于破坏社会秩序的问题：

明确提出影响企事业单位、社会团体生产秩序、医疗卫生秩序的违法行为；

影响公共交通秩序的新违规行为；

影响人们生活的新的违法行为。

在侵犯公共利益的问题上：基本上没有变化。对客体侵权程度的确定(包括侵权的客观方面和对侵权程度的综合判断)没有明显变化。业务信息安全级别矩阵和系统服务安全级别矩阵没有变化。《指南》的原文可自行阅读，以确定安全防护等级和等级变化。

腾讯作为《指南》的起草单位之一，也是大型云服务提供商，从各行业实践出发，梳理和总结了2.0时代网络安全合规的工作方法和手段，以“一个中心、三个保障”为核心，旨在帮助企业提升网络安全能力，规避和化解企业风险。腾讯安全整合了腾讯天目等团队在云计算边缘计算、人工智能、大数据和IPv6普及方面的能力和优势，为企业提供基于强大计算能力的安全支持，满足新形势下的安全合规要求。

目前，滕循云已通过三级保护，腾讯金融云已通过四级保护，可为云租户提供合规的云平台。这也是租户业务系统通过2.0级保护评估的先决条件。如何快速配置满足同等保护要求的云服务器已成为企业最迫切的问题之一。作为回应，腾讯安全云丁实验室推出了全球首个默认云主同等保护合规镜像，并免费开放。用户只需单击一下，就可以自动完成基本的合规性配置。在安全解决方案方面，滕循云拥有基于云的安全防护产品，包括安全管理中心、防火墙、网络入侵防护系统、网络应用防火墙、DDoS高防护、数据安全网关、主机安全、数据库审计、鲍蕾机器等。以响应第二和第三级安全保护的要求。在安全服务方面，基于滕循云完整的合作生态资源，滕循云安全专家服务团队协同全国其他安全评估中心提供一站式安全产品和服务，并根据需要提供专业增值服务，帮助滕循云用户完成等级保护评估和整改，提升安全防护能力。并通过控制台提交工作单，联系滕循云安全专家服务团队进行同等保护咨询。滕循云官方网站菜单导航：产品-安全-安全服务-专家服务。企业如何更高效、更顺利地通过等级保护2.0，并将其安全能力转化为自身的发展援助？5月15日晚19点，腾讯安全等级保护合规服务负责人王宇将在[工业安全开放班平等保护2.0专题会议上分享腾讯如何在网络安全建设和等级保护合规建设的全生命周期内，为网络运营商特别是滕循云租户提供相关产品、服务、解决方案和最佳实践经验，以及腾讯如何快速通过等级保护评估，提高安全投入和产出率。