论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-22 13:32 
离线
中级用户

注册: 2009-03-31 09:07
最近: 2013-09-23 16:38
拥有: 18,914.00 安全币

奖励: 8 安全币
在线: 2058 点
帖子: 139
最近有两个客户将自己的网络定级三级,已经备案,目前想让我们做咨询,网络设备可以做定级对象么?

在等级保护对象要求中提出
确定定级对象的三个原则:
1、承载相对独立或单一业务应用的信息系统;
2、信息系统的信息安全由本单位主管;
3、具有信息系统的基本要素。(计算机及其相关配套设备、设施构成的人机系统)
这里指的业务系统,那就说明有一定的业务应用才可以做为定级对象。

但在定级说明中指出
一是起传输作用的信息网络(专网、内网、外网等)要作为定级对象。
二是各单位网站要作为独立的定级对象。如果网站的后台数据库管理系统安全级别高,也要作为独立的定级对象。网站上运行的信息系统(例如对社会服务的报名考试系统)也要作为独立的定级对象。
三是用于生产、调度、管理、作业、指挥、办公等目的的各类应用系统,要按照不同业务类别单独确定为定级对象,不以系统是否进行数据交换、是否独享设备为确定定级对象条件。新建系统要在规划设计阶段定级。
这里又可以将信息网络做为定级对象。

没完 还有 信息系统基本要素说明中
作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件(如服务器、终端、网络设备等)作为定级对象。

现在搞糊涂了,究竟网络能否做为等保的定级对象


--------本帖迄今已累计获得71安全币用户奖励--------


最后由 flyingfish 编辑于 2010-06-22 15:51,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护对象
帖子发表于 : 2010-06-22 13:59 
离线
超级用户

注册: 2008-10-13 16:21
最近: 2016-06-08 14:32
拥有: 936.40 安全币

奖励: 2429 安全币
在线: 388 点
帖子: 516
地址: @Beijing
网络 这个说法太泛了!另外他是信息系统的组成部分,通常会作为定级对象的组成部分,也会提出等保要求,但是不会单独成为定级对象!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护对象
帖子发表于 : 2010-06-22 14:21 
离线
中级用户

注册: 2009-03-31 09:07
最近: 2013-09-23 16:38
拥有: 18,914.00 安全币

奖励: 8 安全币
在线: 2058 点
帖子: 139
现在北京有个政府单位就这样定级的,备案了,江苏也有家。公安他们做什么的,就给备案,到时候测评的时候,怎么能过啊


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护对象
帖子发表于 : 2010-06-22 14:24 
离线
超级用户

注册: 2008-10-13 16:21
最近: 2016-06-08 14:32
拥有: 936.40 安全币

奖励: 2429 安全币
在线: 388 点
帖子: 516
地址: @Beijing
定级总得有个依据,最好看他们的定级报告时怎么说的!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护对象
帖子发表于 : 2010-06-22 15:49 
离线
中级用户

注册: 2009-03-31 09:07
最近: 2013-09-23 16:38
拥有: 18,914.00 安全币

奖励: 8 安全币
在线: 2058 点
帖子: 139
刚咨询了测评中心,他们说可以已网络定级,以后的信息系统可以在这个三级系统上来建设。现在的等保真是越来越糊涂了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-23 15:42 
离线
新手

注册: 2010-05-11 15:39
最近: 2014-03-28 17:12
拥有: 15.00 安全币

奖励: 0 安全币
在线: 65 点
帖子: 14
比较重要的网络为什么不可以定级呢?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-23 16:30 
离线
中级用户

注册: 2005-06-19 03:05
最近: 2014-07-07 16:46
拥有: 37.50 安全币

奖励: 289 安全币
在线: 2563 点
帖子: 93
网络设备提供网络服务功能,应用依赖网络来提供服务,怎么不能定级呢~~


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-23 17:17 
离线
中级用户

注册: 2009-03-31 09:07
最近: 2013-09-23 16:38
拥有: 18,914.00 安全币

奖励: 8 安全币
在线: 2058 点
帖子: 139
等保定级是对信息系统而言,
确定定级对象的三个原则:
1、承载相对独立或单一业务应用的信息系统;
2、信息系统的信息安全由本单位主管;
3、具有信息系统的基本要素。(计算机及其相关配套设备、设施构成的人机系统)

但现在公安那边备案的时候就给做了,这种情况应该返回去从新定级,现在也搞不明白了他们是怎么做的备案。也是糊涂的


--------本帖迄今已累计获得43安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-24 10:11 
离线
新手

注册: 2008-12-16 21:05
最近: 2015-06-23 16:17
拥有: 791.70 安全币

奖励: 0 安全币
在线: 203 点
帖子: 6
按照17859中对于信息系统的定义,我觉得对所有网络设备定级是不合适的。
但是就目前现状来讲,郭处明确说可以将所有网络设备成为定级对象。并且有写单位就是这样定级并通过的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-24 12:39 
离线
初级用户

注册: 2006-04-18 09:10
最近: 2012-04-25 21:43
拥有: 227.40 安全币

奖励: 36 安全币
在线: 1125 点
帖子: 21
关于这个一直有争论。

不过实际工作中,确实有将重要网络单独定级并通过定级备案并完成备案的。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-24 16:17 
离线
新手

注册: 2008-04-27 00:07
最近: 2014-05-14 22:53
拥有: 21.10 安全币

奖励: 0 安全币
在线: 34 点
帖子: 14
网络是包含在信息系统中的 不能单独定级


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-28 10:51 
离线
中级用户

注册: 2009-03-31 09:07
最近: 2013-09-23 16:38
拥有: 18,914.00 安全币

奖励: 8 安全币
在线: 2058 点
帖子: 139
就目前情况来说,定级对象主要有3类
1.起支撑、传输的信息网络(包括专网、内网、外网、网关系统)。
2.用于生产、调度、管理、指挥、作业、控制、办公等业务系统
3.各单位网站。
出自最新等保培训-信息安全等级保护基础-十一局。

按照此说明可以明确网络可以做为定级对象,此定级对象是将网络做为提供信息系统运行的基础性系统,将网络做为一个基本系统来做定级对象,为其他业务系统提供基础保障。但在将网络做为定级对象时,应避免将单一网络设备做为定级对象。主要考虑为其他业务系统提供支撑的网络平台做为定级对象。只是个人的理解,欢迎指正


--------本帖迄今已累计获得21安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-06-28 11:07 
离线
初级用户

注册: 2010-05-28 14:30
最近: 2012-11-22 14:57
拥有: 162.00 安全币

奖励: 34 安全币
在线: 65 点
帖子: 27
网络 本身就是一个 信息系统,
应该可以吧我的理解。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-07-14 20:42 
离线
初级用户

注册: 2010-07-14 16:22
最近: 2012-01-16 16:51
拥有: 228.00 安全币

奖励: 106 安全币
在线: 57 点
帖子: 20
网络可以单独定级.这点是确定的,官方半官方都有专门提到过.
个人觉得关于网络单独定级和测评中有几个问题要特别注意:
1 只支撑一个信息系统的网络没有必要单独定级
2 支撑多个业务系统的网络,其测评结果要作为业务系统等级测评的组成部分,业务系统的测评结果不能缺少网络这一块
3 高等级网络上跑低等级业务系统没有异议,其实,低等级网络上也可以跑高等级业务系统,只是,在系统的边界和一些网络设备上要做专门的针对性配置或增加专门的设备
4 低等级网络上跑高等级业务系统时,业务系统的测评中,网络部分要重新测试.


--------本帖迄今已累计获得32安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 网络能否做为等级保护定级对象
帖子发表于 : 2010-09-06 14:47 
离线
中级用户

注册: 2004-10-22 08:40
最近: 2014-09-02 21:50
拥有: 999.00 安全币

奖励: 9 安全币
在线: 2211 点
帖子: 124
所谓等级保护,保的是信息系统,更进一步,保的是信息系统承载的有重要价值的业务应用。
信息系统因为承载了业务而具有价值,网络因为其上跑了信息系统而具有价值。
因此,脱离业务应用去给网络定级是没有意义的。


--------本帖迄今已累计获得31安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 16 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012