新版《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》正式对外发布

  安全等级保护定级指南》正式发布，新的国标将于2020年11月1日正式实施。腾讯安全平台部天幕团队联合腾讯安全专家咨询、云鼎实验室、安全管理部标准团队，针对新版定级指南的一些变化划重点解读，供广大企业参考。

  定级原理及流程1、安全保护等级如何划分？本部分变化较小，依旧是五个等级，从一级到五级由低到高。现在对于定级系统的称呼统一改为等级保护对象（旧标准中称为信息系统），这也与等保2.0其他系列标准保持一致。2、等保定级要素都有哪些？要素能说基本没有变化，依旧沿用之前的定义。

  等级保护对象要素的两个方面： 1）受侵害的客体； 2）对客体的侵害程度。

  等级保护对象受侵害客体的三个方面： 1）公民、法人和其他组织的合法权益； 2）社会秩序、公共利益； 3）国家安全。

  等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种： 1）造成一般损害； 2）导致非常严重损害； 3）造成很严重损害。

  之前行业内关于等保2.0基本要求的解读中，曾经提过对于公民、法人和其他组织和合法权益受到特别严重损害会定为第三级，但是从新版《指南》的官方结论，依旧按照旧版定为第二级，这里明确说明一下。3、定级流程是怎样的？第二级及以上等级保护对象定级流程新增专家评审环节，不再自主定级，需要聘请专家认定等级保护对象的级别。

  确定定级对象1、哪些企业和机构需要定级备案？定级对象的范围相比旧标准变化较多，本次《指南》包含了云计算物联网工业控制管理系统、采用移动互联技术的系统、通信网络设施以及数据资源，我们来具体看下。 通用定级对象基本特征明确，共计三点：

  从这几个特征来看，基本网络上的系统差不多都要定级备案。《指南》给出了有关安全责任主体的解释：包括但不限于企业、机关和事业单位等法人，以及不具备法人资格的社会团体等其他组织。 以前很多人一直有个疑问，我们的系统很小，没多少数据，就不需要定级了。现在官方给出了解释，企业和事业单位、机关基本都是具有法人的，那么这些单位的系统必须都要定级备案。其他团体（包括公益组织）和中小私营企业原则上也都要对系统来进行定级备案。这个事情基本是躲不过去的。2、哪些系统属于强制定级备案范畴？

  《指南》明确说，云上租户和云服务商的等级保护对象要分开定级，根据云上服务模式再分别定级。就是说，云服务商的平台对外提供SaaS、PaaS、IaaS三种服务模式，那么就分为三个对象来分别定级。 对于大型云计算平台，除了服务模式之外还可能根据基础设施和辅助服务系统再次分别定级。不过这里《指南》中用了“宜”这个字，以我们的观点来看，应该是建议而非强制要求。 另外，对于腾讯云这种大型云计算平台的要求，同样也适用于搭建私有云和混合云的大中型企业。

  通常是以系统为单位，将所有边缘设备和应用统一起来，作为一个整体来定级。（比如某些智能家居系统，就要以整体平台作为定级对象，不能以不同家庭或不一样的区域作为定级对象）

  不同于别的行业，《指南》要求对于工业控制管理系统，将现场、过程控制要素作为一个整体定级，而生产管理要素单独再作为一个定级对象。也就是一个工业控制管理系统，最终会分成两个对象定级备案。 对于大型工控系统，类似大型云计算平台要求，根据功能、主体、控制对象和制造商等因素划分多个定级对象。这里《指南》并不是建议，而是要求，也就是说大型工控系统会进行拆分定级。

  《指南》为这类系统来进行了简要描述，即包括移动终端（手机、平板、笔记本）、移动应用和无线网络等特征要素的系统。将所有移动技术整合，作为一个整体来定级。

  主要是通信和广电行业的核心网络，基本能算得上关键信息基础设施了，也是国家着重关注的行业之一。《指南》建议（用了“宜”）可根据安全责任主体、服务类型或服务地域划分不同的定级对象。根据以往经验，基本都是采取责任主体或地域划分居多，也便于管理。 而对于运营商网络（骨干网、接入网），多以地市为单位作为定级对象。《指南》建议跨省行业或单位专用通信网可作为一个整体对象定级，这对于运营商企业来说算是一个利好了。

  这是新版《指南》提出的一个新要素。数据资源可以独立定级。定级是基于大数据、大数据平台安全责任主体相同与否。举个例子，比如某些电子商务平台，数据分布在多个平台，每个平台都有独立法人，这样的一种情况就应该属于安全责任主体不同，这时就要把数据资源单独作为定级对象，电子商务平台作为另一个定级对象。

  确定安全保护等级1、安全保护等级的定级方式是怎样的？对于通用系统的定级方式无显著变化，依旧根据对业务信息的影响和对系统服务的影响来评判，二者取最高级别。2、确定受侵害的客体与以往相比有哪些变化？确定受侵害的客体方面有明显变化，这里只说明新增变化。 ➤侵害国家安全事项方面：

  ➤侵害公共利益事项方面：基本无变化。 ➤确定对客体的侵害程度方面（包括侵害的客观方面和综合判定侵害程度）无明显变化。 业务信息安全等级矩阵表与系统服务安全等级矩阵表无变化。 有关确定安全保护等级和等级变更部分可自行阅读《指南》原文。

  腾讯作为《指南》起草单位之一，同时也作为大型云服务商，从各行业实践中梳理和总结等保2.0时代网络安全合规工作方式与方法，以“一个中心、三重防护”为核心，旨在助力提升企业网络安全能力，规避和缓解企业风险。腾讯安全整合腾讯天幕等团队在云计算+边缘计算、AI、大数据以及IPv6普及化等方面的能力优势，为公司可以提供基于强大算力的安全支持，满足新场景下的安全合规需求。

  ➤目前，腾讯云已通过等级保护三级、腾讯金融云已通过等级保护四级要求，可以为云租户提供一个合规的云平台，这也是租户业务系统通过等级保护2.0测评的先决条件。 如何快速配置符合等保规定的云服务器，成为企业亟待解决的难题之一。对此，腾讯安全云鼎实验室推出全球首个云原生默认等保合规镜像并免费开放，用户一键即可自动完成基础合规配置。 ➤安全解决方案方面，针对等保二级和三级的要求，腾讯云拥有包含安全管理中心、防火墙、网络入侵防护系统、Web应用防火墙、DDoS高防、数据安全网关、主机安全、数据库审计、堡垒机等云原生安全防护产品。 ➤安全服务方面，以腾讯云完备的合作生态资原为基础，腾讯云安全专家服务团队联合各地等保测评中心提供一站式安全产品及服务，以及按需提供专业的增值服务来帮助腾讯云用户完成等级保护测评与整改，提升安全防护能力。 客户可通过以下方式，联系腾讯云安全专家服务团队进行等保咨询：登陆腾讯云官网（复制以下网址在浏览器中打开te

  原文标题：2020「网络安全等级保护定级指南」最新解读，这些重点必须注意！

  文章出处：【微信号：gridthink，微信公众号：电网智囊团】欢迎添加关注！文章转载请注明出处。

  （Safety Capacitor）是一种特殊设计的电容器，大多数都用在限制电流、

  电路和设备。当电路中的电压超过一定值时，安规电容会迅速释放电荷，从而防止电路中的电流过大，

  标准 /

  （等保2.0）建设方案 /

  俱乐部主任，中国计算机学会高级会员，中国可信连接架构规范工作组副组长，高级

  的持续普及和应用，很多企业纷纷加入数字化转型的队伍，但在企业“上云”的过程中，数据

  过“等保” /

  【星嵌电子XQ138F-EVM开发板体验】（原创）8.安全FPGA防御黑客病毒（芯片设计制造级防护）源代码

  【米尔-全志T113-i开发板试用】米尔-全志T113-i开发环境搭建