ICS_65.020.40 LY B 65 中华人民共和国林业行业标准 LY/T 2929—2017 林业网络安全等级保护定级指南 Classification guide for classified protection of network for the forestry 2017-10-27发布 2018-01-01实施 国家林业局 发布 LY/T2929—2017 目 次 前言 范围 1 2 规范性引用文件 基本原则 3 网络安全等级保护原则 定级方法 5 6 等级变更 13 LY/T 2929—2017 前言 本标准按照GB/T1.1一2009给出的规则起草。 请注意本文件的某些内容可能涉及的专利。本文件的发布机构不承担识别这些专利的责任。 本标准由国家林业局提出。 本标准由全国林业信息数据标准化技术委员会（SAC/TC386)归口。 本标准起草单位：国家林业局信息中心、中国电子技术标准化研究院。 本标准主要起草人：顾红波、卓兰、白莹。 LY/T2929—2017 林业网络安全等级保护定级指南 1范围 本标准规定了林业网络安全等级保护实施的过程，基本原则，保护原则，定级要素和定级方法。 本标准适用于指导林业网络安全等级的定级工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 3基本原则 按照GB/T22240一2008，网络安全等级保护的核心是对网络分等级、按标准进行建设、管理和监 督。网络安全等级保护实施过程中应遵循以下基本原则： a）自主保护原则 网络的安全责任单位应按照国家相关法规和标准，自主确定本单位的网络安全保护等级，自行组织 实施安全保护。 b）重点保护原则 根据网络的重要程度、业务特点，对网络划分不同安全保护等级，安全责任单位自行组织实施响应 强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的网络。 c）同步建设原则 网络在新建、改建、扩建时应当同步规划和设计安全方案，投入一定比例的资金建设信息安全设施， 保障信息安全与信息化建设相适应。 d）动态调整原则 需要跟踪实际使用情况，调整安全保护措施。若网络处理的信息和提供的服务发生变化，或其他原 因影响网络的安全保护等级，安全责任单位应当根据等级保护的管理规范和技术标准的要求，重新确定 网络的安全保护等级，根据网络安全保护等级的调整情况，重新实施安全保护。 4网络安全等级保护原则 4.1角色和职责 各级林业信息安全责任单位依照本标准和技术标准，督促、检查和指导本行业、本部门或者本地区 信息系统运营、使用单位的网络安全等级保护工作。网络建设与管理单位按照本标准确定安全保护等 级，并按照相关流程进行备案。网络运行维护单位按确定的安全等级进行网络安全保护。 4.2网络安全保护等级 根据受侵害客体和侵害程度，网络安全保护等级由低到高依次分为五级，见表1。 1 LY/T2929—2017 表1网络安全保护等级 等级 描述 信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会 第一级 秩序和公共利益 信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公 第二级 共利益造成损害，但不损害国家安全 第三级 信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害 信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重 第四级 损害 第五级 信息系统受到破坏后，会对国家安全造成特别严重损害 4.3 网络安全保护等级的定级要素 4.3.1 一级要素 4.3.1.1 判定因素 用来直接判定信息安全保护等级的因素，包括等级保护对象受到破坏时所侵害的客体和对客体造 成侵害的程度。 4.3.1.2 受侵害的客体 等级保护对象受到破坏时所侵害的客体包括以下三个方面：国家安全；公民、法人和其他组织的合 法权益；社会秩序和公共利益。 4.3.1.3对客体的侵害程度 4.3.1.3.1网络遭到破坏会危及业务信息安全和系统服务安全。 4.3.1.3.2业务信息安全主要指各业务信息（如：生物多样性资源监管、荒漠化资源监管、湿地资源监管 等）的保密性、完整性和可用性。业务信息安全主要关注的保护数据在存储、传输、处理等过程中不被泄 露、破坏和免受未授权的修改，数据被破坏时因所侵害的业务信息类型、数量等不同而对客体造成不同 程度的侵害。 4.3.1.3.3系统服务安全主要指在处理各类业务信息过程中，其服务地域范围内所提供服务的及时性、 有效性和持续性。系统服务安全关注的保护系统连续正常运行，避免因对系统的未授权修改、破坏而导 致系统不可用，系统被破坏时因侵害的服务范围、服务时间等不同而对客体造成不同程度的侵害。 般损害、造成严重损害、造成特别严重损害。 4.3.1.4一级要素与等级的关系 一级要素与网络安全保护等级的关系见表2。 2 LY/T2929—2017 表2 2一级要素与网络安全保护等级的关系 受侵害的客体 对客体的侵害程度 受侵害的客体 一般损害 严重损害 特别严重损害 公民、法人和其他组织的合法权益 第一级 第二级 第二级 社会秩序、公共利益 第二级 第三级 第四级 国家安全 第三级 第四级 第五级 4.3.2 二级要素 二级要素用于辅助确定一级要素。根据服务对象、功能、范围及效用等特征，分为信息系统类别、承 载信息类别、系统服务范围和业务依赖程度四类要素。 5 定级方法 5.1 定级流程 同，因此，网络安全定级也应由业务信息安全和系统服务安全两方面确定。 从业务信息安全角度反映的网络安全保护等级称业务信息安全保护等级。可参照表4和表5确定 等级。 从系统服务安全角度反映的网络安全保护等级称系统服务安全保护等级。可参照表6和表7确定 等级。 林业网络安全等级保护的基本流程如图1所示。确定网络安全保护等级的一般流程如下： a） 确定定级对象。作为顶级对象应具有唯一的安全责任单位，具有网络的基本要素、承载单位或 相对独立的业务； 确定一级要素。根据林业行业行政管理及公共服务职能，网络受到破坏时所受到破坏时所侵 b) 害的客体具体表现及客体的侵害行为的外在表现，确定受到破环时所受侵害的客体和对客体 的侵害程度； c) 确定二级要素。如果不能准确判定业务信息安全一级要素，可以依据二级要素进行辅助判定； 确定业务信息安全保护等级。从信息系统业务信息安全受到破坏时所受侵害的客体和对客体 的侵害程度，综合判定业务信息安全保护等级； 确定系统信息安全保护等级。从信息系统系统服务安全受到破坏时所受侵害的客体和对客体 e) 的侵害程度，综合判定业务信息安全保护等级； f) 将业务信息安全保护等级和系统信息安全保护等级的较高者定位定级对象的安全保护等级。 3 LY/T2929—2017 确定定级对象 依据表4 依据表6 通过一级要素定级 香 通过二级要素辅助确 依据表7 依据表5 是 是 确定业务信息安全受到破坏 确定系统服务安全受到破 时所侵害的客体 坏时所侵害的客体 1 综合评定对客体的侵害程 综合评定对客体的侵害程度 度 确定系统服务安全等级 确定业务信息安全等级 依据表8 确定定级对象的安全保护等级 图1林业网络安全等级保护定级基本流程 5.2确定定级对象 5.2.1作为定级对象的网络应具有唯一确定的安全责任单位。如果一个单位的某个下级单位负责网络 安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为网络的安全责任单位；如果一个 单位中的不同下级单位分别承担网络不同方面的安全责任，则该网络的安全责任单位应是这些下级单 位共同所属的单位；如果一个跨不同地域运行的分布式信息系统，存在不同的安全责任单位，应根据不 同地域划分出不同的定级对象。 5.2.2具有网络的基本要素。作为定级对象的网络应该是由相关的和配套的设备、设施按照一定的应 用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为 定级对象。 5.2.3承载单一或相对独立的业务应用。定级对象承载“单一”的业务应用是指该业务应用的业务流 程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务 应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换、且独享所有信息处 理设备。 5.3确定一级要素 5.3.1 确定受侵害的客体 5.3.1.1 侵害国家安全的事项 定级对象受到破坏时所侵害的客体包括国家安全、社会秩序、公众利益以及公民、法人和其他组织 的合法权益。侵害国家安全的事项包括以下方面：