JT_T 904-2023 交通运输行业网络安全等级保护定级指南.pdf

目次前言1 范围12 规范性引用文件13 术语和定义14 定级原理及流程2 4.1 安全保护等级2 4.2 定级要素2 4.3 定级工作流程45 确定定级对象5 5.1 信息系统5 5.2 通信网络设施5 5.3 数据资源56 初步确定等级5 6.1 定级方法5 6.2 确定受侵害的客体6 6.3 确定对客体的侵害程度7 6.4 确定业务信息安全保护等级12 6.5 确定系统服务安全保护等级12 6.6 综合判定等级127 确定安全保护等级138 等级变更13附录 A(资料性)某省联网收费结算管理系统定级示例14附录 B(资料性)网络安全等级保护定级报告示例16参考文献17JT/T 前言本文件按照 GB/T 1.12020标准化工作导则 第1 部分:标准化文件的结构和起草规则的规定起草。本文件代替 JT/T 9042014交通运输行业信息系统安全等级保护定级指南。与 JT/T 9042014相比,除结构调整和编辑性改动外,主要技术变化如下:更改了“等级保护对象”和“客观方面”的定义(见 3.1 和 3.6,2014 年版的 3.1 和 3.3);增加了“信息系统”“受侵害的客体”“通信网络设施”及“数据资源”的术语和定义(见3.2 3.5);删除了“客体”“系统服务”“业务信息”“交通运输行业信息系统”“定级要素”“业务依赖程度”“承载信息类别”及“系统服务范围”的术语和定义(见 2014 年版的 3.2、3.4 3.10);更改了安全保护等级及定级要素的内容(见 4.1 和 4.2,2014 年版的第 4 章);更改了“二级要素”中“信息系统类别”“承载信息类别”“系统服务范围”的标题及内容,更改了“业务依赖程度”的内容(见 4.2.3,2014 年版的 5.4);增加了“定级工作流程”的内容(见 4.3);更改了“确定定级对象”的内容,信息系统增加了云计算平台/系统的内容,定级对象增加了通信网络设施和数据资源的内容(见第 5 章,2014 年版的 5.2);更改了“定级方法”的内容(见 6.1,2014 年版的 5.1);更改了“确定受侵害的客体”和“确定对客体的侵害程度”的内容(见6.2 和6.3,2014 版的5.3);增加了“确定受侵害的客体的方法”的内容(见 6.2.2);增加了“确定对客体侵害程度的方法”的内容(见 6.3.4);更改了“确定业务信息安全保护等级”和“确定系统服务安全保护等级”的内容(见 6.4、6.5,2014 年版的 5.5、5.6);将“确定信息系统安全保护等级”的标题更改为“综合判定等级”(见 6.6,2014 版的 5.7);增加了“确定安全保护等级”的内容(见第 7 章);更改了“等级变更”的内容(见第 8 章,2014 年版的第 6 章);更改了系统安全保护定级的示例(见附录 A,2014 年版的附录 A);增加了网络安全等级保护定级的报告示例(见附录 B)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、交通运输部规划研究院、中国交通信息科技集团有限公司。本文件主要起草人:杜渐、戴明、李璐瑶、邢宏伟、刘宇畅、姚俊峰、梅乐翔、章稷修、李飞、张铮、刘天宇、刘艳、成瑾、刘佳、肖榕、康小勇、樊娜、武俊峰。本文件及其所代替文件的历次版本发布情况为:2014 年首次发布的 JT/T 9042014;本次为第一次修订。JT/T 9042023学兔兔 w w w.b z f x w.c o m 标准下载交通运输行业网络安全等级保护定级指南1 范围本文件给出了交通运输行业网络安全等级保护对象的定级方法和定级流程,包括确定定级对象、初步确定等级、确定安全保护等级和等级变更。本文件适用于交通运输行业信息系统、通信网络设施、数据资源等非涉密等级保护对象的定级工作。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222402020 信息安全技术 网络安全等级保护定级指南GB/T 250582019 信息安全技术 网络安全等级保护实施指南3 术语和定义下列术语和定义适用于本文件。3.1等级保护对象 target of classified security网络安全等级保护工作直接作用的对象。注:主要包括信息系统、通信网络设施和数据资源等。来源:GB/T 222402020,定义 3.23.2信息系统 information system应用、服务、信息技术资产或其他信息处理组件。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的目标和规则进行信息处理或过程控制。注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统等。来源:GB/T 292462017,定义 2.393.3受侵害的客体 object of infringement受法律保护的、等级保护对象受到破坏时所侵害的社会关系。注:本标准中简称“客体”。来源:GB/T 222402020,定义 3.63.4通信网络设施 network infrastructure为信息流通、网络运行等起基础支撑作用的网络设备设施。注:主要包括高速公路光纤网、交通运输行业或单位的专用通信网等。来源:GB/T 222402020,定义 3.4,有修改1JT/T 9042023学兔兔 w w w.b z f x w.c o m 标准下载3.5数据资源 data resources具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。来源:GB/T 222402020,定义 3.53.6客观方面 objective对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。来源:GB/T 222402020,定义 3.74 定级原理及流程4.1 安全保护等级根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度等因素,交通运输行业等级保护对象的安全保护等级分为以下五级:a)第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;b)第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;c)第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;d)第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;e)第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。来源:GB/T 222402020,4.1,有修改4.2 定级要素4.2.1 要素分级4.2.1.1 根据交通运输行业网络安全等级保护对象的业务信息和系统服务特征,定级要素分为一级要素和二级要素。4.2.1.2 等级保护对象的一级要素与 GB/T 222402020 一致,包括以下两个方面:a)受侵害的客体;b)对客体的侵害程度。4.2.1.3 等级保护对象的二级要素用于辅助确定等级保护对象的等级。根据等级保护对象的服务对象、功能、范围及效用等特征,等级保护对象的二级要素包括以下四个方面:a)等级保护对象类别;b)承载数据;c)影响范围;d)业务依赖程度。2JT/T 9042023学兔兔 w w w.b z f x w.c o m 标准下载4.2.2 一级要素4.2.2.1 受侵害的客体等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。4.2.2.2 对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。4.2.2.3 一级要素与安全保护等级的关系表 1 给出一级要素与安全保护等级的关系。表 1 一级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级社会秩序、公共利益第二级第三级第四级国家安全第三级第四级第五级来源:GB/T 222402020,4.3,有修改4.2.3 二级要素4.2.3.1 等级保护对象类别根据等级保护对象的功能,等级保护对象类别主要分为以下四类:行政办公类:支撑各级交通运输管理部门和企事业单位,为开展行政事务或维持自身组织活动而建设的网络设施及信息系统;运行控制类:对交通运输基础设施的运营、运输工具运行进行协调控制,或者对旅客、货物运输进行生产组织、调度指挥的网络设施及信息系统;信息服务类:为社会公众提供信息服务或开展行业管理等功能的网络设施及信息系统;基础支撑类:多个交通运输行业信息系统在计算、操作、存储或通信等方面所依赖的网络设施及信息系统。交通运输行业等级保护对象的分类示例见表 2。表 2 交通运输行业等级保护对象分类示例系 统 类 别系 统 举 例行政办公类 交通运输财务审计信息管理系统、电子印章系统、移动政务办公系统、交通运输企业门户网站运行控制类 全国高速公路电子不停车收费清分结算中心系统(ETC)、交通运输调度与应急指挥系统、海事业务支撑系统、海事通航管理系统、电子巡航系统、码头数据应用系统、船舶交通管理系统3JT/T 9042023学兔兔 w w w.b z f x w.c o m 标准下载表 2 交通运输行业等级保护对象分类示例(续)系 统 类 别系 统 举 例信息服务类 政府网站、交通运输科技与标准信息资源共享系统、综合交通运输统计信息决策支持系统、全国高速公路信息通信系统、交通运输信用信息管理系统、国家公路网交通情况调查数据采集与服务系统、全国交通运输行政执法综合管理信息系统、全国公路建设市场信用信息管理系统、全国公路出行信息服务系统、国家公路网综合养护管理信息系统、12328 交通运输服务监督电话系统、全国治超联网管理信息系统基础支撑类 ETC 在线密钥管理与服务系统、统一身份认证系统、数据交换共享和开放应用系统4.2.3.2 承载数据根据等级保护对象所处理数据的安全特征,承载数据主要分为以下三类:核心数据:关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据;重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据;一般数据:安全属性遭到破坏后,对社会秩序、公共利益或公民、法人和其他组织的合法权益造成不利影响的数据。4.2.3.3 影响范围根据等级保护对象支撑业务开展情况,影响范围主要分为全国、区域、省域和机构内四类。注:区域一般是指跨两个以上省级行政区的组合,如京津冀地区、长三角地区、东海海域等。4.2.3.4 业务依赖程度根据等级保护对象运行情况对业务开展的影响,业务依赖程度分为以下三类:业务依赖程度高:受到侵害后,无法通过其他方式支撑定级对象的业务,业务运行完全受到影响;业务依赖程度中:受到侵害后,可以通过其他方式支撑定级对象的部分业务,业务运行受到部分影响;业务依赖程度低:受到侵害后,无须或可以通过其他方式支撑定级对象的全部业务,业务运行未受到影响。4.3 定级工作流程图 1 给出等级保护对象定级工作一般流程。图 1 等级保护对象定级工作一般流程4JT/T 9042023学兔兔 w w w.b z f x w.c o m 标准下载