这里说的分级保护:按资产价值进行分类,每类采取不同的保护措施。而非涉密系统测评。 第一次听到四个字是在GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 。后来不断在工作中引用这4个字,感觉这4个字非常的好。分级保护 好在哪里?
分级保护是安全落地实践的方法任何的企业资源(人、钱、物)都是相对有限的,因此,需要将有限的资源用到刀刃上。 比如有一串密钥,放到保险柜里面最安全,开启的时候需要多人同时在场,相对来说比较安全。但将所有信息都保存到保险柜里面,需要买N个,N个保险柜的价格超过预算(假定就是要保护信息的价值)。 因此在有限预算下,将信息分级,最高级别才放入保险柜保存,以达到资源与安全的最大平衡。注意不是最安全,安全讲究的是风险管理,风险管理的依据是ROI,用多少资源保护了多少价值的资产,如果保护成本大于了资产价值,就要接受风险,其实就是放弃保护了。 是不是在实际工作中,都要落实 分级保护? 它真的挺好的 。
分级保护是基本方法,实践应灵活但方案、策略、原则,都应该场景化的,所谓分类、分级、分场景、分阶段,比如你非要让研发根据数据等级进行分级加密,研发说那太麻烦了,我把这些所有的都加密了,咱们这系统对性能没有那么高要求,你还坚持教条主义,说不行要分级,有些不用加密? 原则是总的指导方针是基本的,在实践中是可以灵活的应用的。
分级保护与分层、纵深防御咋区分感觉分级保护与分层、纵深防御都比较类似,都是强调保护的方式。个人理解: 分级保护更多偏向具体策略,针对资产进行分等级,不同等级不同防御措施 。 分层保护是从防御措施角度,将其分成不同层级 。 纵深防御习惯上是指从外向里的这种层,比如网络、主机、应用系统这个层
现在看起来,我说的分级其实更偏向等级保护
