定级
在等级保护中,定级这个步骤很关键,首先我们需要知道我们这个资产是什么样的一个级别,一级二级三级,因为不同的级别表示着我们要对这个资产做相应的保护,那么我们这个定级是怎么么定级呢,参考的又是什么标准呢,首先我们需要先确认定级对象,这个对象定几级主要是与这个资产的重要程度有关系的,越重要的资产肯定级别就越高,比如我自己在家里搭的一个web网站,和外面企业公司的服务器,那肯定资产越重要,那个重要程度就越高,等级就越高,
我们评定一个资产的等级的时候我们一般是有两个维度的,第一是受侵害的对象,第二是受侵害对象的侵害程度,而受侵害的对象也有三个维度,第一公民、法人和其他组织的合法权益,第二社会秩序公共的利益、第三国家安全,就是看我们这个资产被窃取了或着是破坏了,它影响到了什么人,影响到公民还是影响到了国家,然后影响的程度是多少。
这边我举两个例子,假如是教育系统的信息泄露,把高考学生的考试成绩以及姓名电话泄露出去了,然后售卖给了一些网络诈骗机构,而这些诈骗机构机就会做一些危害的工作,因为这个潜在的威胁是特别严重的所以也会上升一定的级别,所以教务系统大都是三级等保建设,又比如12306系统down机了,大概两三个小时或者更久的时间没办法网上购票,这有可能导致上千万人没办法买票,造成社会动荡。
如果受侵害的客体上升到国家层面上了,那一般损害上三级,严重损害是四级,特别严重是五级,就比如12306我们能够基本判断出是危害到了国家安全的,但是严重程度是多少呢,
等保里面安全厂商是不能同时作为作为测评工程师,以上是定级的一个标准,但是标准之上还是有很多经验的,可能我们评定3级但是它可能会拔高到4级,这个是需要专业人员进行定级的,我们在定级里面有一个专家评审的东西,安全厂商可以对客户的系统做分析,大概的评定出一个基础的级别,然后再定级之后,还是需要先通过专家进行评审的,然后做好这个定级
我们要进行定级的时候先站在两个维度,业务信息安全类和系统服务保证类,然后在判断当信息泄露或是系统崩溃后,所影响到的对象是公民、公共利益还是国家,最后再通过对侵害对象的一个侵害程度进行一个判断,确定初步的安全保护等级
假如一份资产的业务信息受到破坏后定为3级那么可以记为S3,系统服务安全受到破坏后定为4级,那么就是A4,合起来就是S3A4,为等保4级建设。
等级划分及测评时间
一级建设和二级建设的对象为一般系统,三级和四级的对象是重要系统,第五级的对象为极端重要系统
等保一级到五级的监管程度分别为自主保护级、指导保护级、监督保护级、强制保护级和专控保护级
等级测评第五级的系统都是由国家保密局进行指导建设,依据特殊安全需求进行等级测评
一级对测评时间无要求,二级建议两年做一次等级测评,三级、四级分别是一年和半年必须做一次等级测评。