近些年来,针对通信网络的攻击事件越来越多,而且攻击手段从以往的单点漏洞利用逐渐转向系统性供应链攻击。根据《网络安全法》《通信网络安全防护管理办法》等法规和文件要求,明确网络单元实施分级保护,通过科学划分网络单元并动态调整级别,满足监管合规要求。
一、通信网络单元划分
通信网络单元的划分主要根据《YD-T 3799---2020 电信网和互联网网络安全防护定级备案实施指南》中列明的网络和系统单元划分类型,例如固定通信网、移动通信网、IP 承载网、互联网数据中心、移动互联网联网应用、信息服务业务系统、IPTV 平台等等,具体见下表:
需要注意的是,在划分通信网络单元的时候,要遵循类型单一原则,即一个单元不应包含多种业务系统(如门户网站、邮件系统、数据中心等需分别划分)。
二、通信网络单元级别划分
目前通信网络单元一共分为五级,最低一级、最高五级,目前常见的级别都是二级和三级。划分通信网络单元级别需要根据社会影响力 I、规模和服务范围 R、所提供服务重要性 V三个相互独立的定级要素确定,然后采用以下公式来计算网络/系统单元的安全等级值:
其中,k 代表安全等级值,I 代表社会影响力赋值、R 代表规模和服务范围赋值、V 代表所提供服务 的重要性赋值,Round1{}表示四舍五入处理,保留 1 位小数,Log2[]表示取以 2 为底的对数,α、β、 γ分别表示网络/系统单元的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重,分别为 1/3、1/3、1/3。
不同类型的系统,所对应的三要素也不一样,在《YD-T 3799---2020 电信网和互联网网络安全防护定级备案实施指南》中都有明确的说明,大家自行对照即可。这里就以网络交易系统为例,社会影响力I建议赋值为3、规模和服务范围R假设赋值为1、所提供服务重要性V建议赋值为3,那么最后的等级k=2.6,属于2.5≤k<4这个区间,那安全等级就是第3级。
三、级别调整方法
当通信网络单元的业务功能、服务范围、用户规模等发生显著变化时,需重新评估级别。例如:
用户数量激增导致服务范围扩大;
业务类型变更(如从普通网站升级为交易平台);
网络架构调整(如从城域网升级为骨干网)。
具体类型划分和级别确认方法与上面的流程一致,在调整完成后30日内,在通信网络安全防护系统中修改级别和上传对应的定级报告、符合性评测、风险评估等证件材料进行更新即可。
四、合规要求
根据监管要求,三级及以上通信网络单元,需要每年更新符合性评测、风险评估。二级通信网络单元,每两年进行一次更新。