很多单位想把网络基础设施进行定级备案和测评,但是不知道这样可否?
目前湖北省是可以的。因为根据《定级指南》的术语解释3.2对等级保护对象的定义是包括通信基础设施的,也就是网络基础设施。其他地区目前有的地方可以有的地方不行,但是总体来看,大部分是可以的。
有没有比较典型的纯网络场景?
有的,比如各地银行的分行和支行的骨干网。很多商业银行其实业务系统都在总行,各地分行和支行都没有业务系统,因此,从银行总行角度来说,业务系统定级由总行统一定级,但由于银行内网跨省,根据《定级指南》5.2条,从分行和支行来说,由于骨干网络就是通信基础设施,因此,可以将分行、支行的骨干网络单独定级备案和测评。
那如果单位的纯网络系统可以单独定级备案,那系统名字一般怎么定义比较合适?
一般建议定义为XX骨干网络或者XX业务专网可能更合适,这样可以明显体现出专属于单位内部或行业的通信基础设施,更容易通过专家评审和备案审核。
那这种纯网络的测评范围或者指标选取主要是哪些?
纯网络需要测评安全物理环境、安全通信网络、安全区域边界、安全计算环境的网络设备、安全设备、系统管理软件(若有)、配置数据、审计数据、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。
纯网络的测评结论容易过么?
容易。因为根据2021版测评报告计算公式,安全计算环境的由于少很多服务器、业务应用软件等测评对象,加上网络设备安全设备基本容易整改达到符合,因此,被扣的分数的概率其实是小于非纯网络的系统。且根据实际经验来看,大部分可以达到80分。