很多單位想把網絡基礎設施進行定級備案和測評,但是不知道這樣可否?
目前湖北省是可以的。因為根據《定級指南》的術語解釋3.2對等級保護對象的定義是包括通信基礎設施的,也就是網絡基礎設施。其他地區目前有的地方可以有的地方不行,但是總體來看,大部分是可以的。
有沒有比較典型的純網絡場景?
有的,比如各地銀行的分行和支行的骨干網。很多商業銀行其實業務系統都在總行,各地分行和支行都沒有業務系統,因此,從銀行總行角度來說,業務系統定級由總行統一定級,但由于銀行內網跨省,根據《定級指南》5.2條,從分行和支行來說,由于骨干網絡就是通信基礎設施,因此,可以將分行、支行的骨干網絡單獨定級備案和測評。
那如果單位的純網絡系統可以單獨定級備案,那系統名字一般怎么定義比較合適?
一般建議定義為XX骨干網絡或者XX業務專網可能更合適,這樣可以明顯體現出專屬于單位內部或行業的通信基礎設施,更容易通過專家評審和備案審核。
那這種純網絡的測評范圍或者指標選取主要是哪些?
純網絡需要測評安全物理環境、安全通信網絡、安全區域邊界、安全計算環境的網絡設備、安全設備、系統管理軟件(若有)、配置數據、審計數據、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理。
純網絡的測評結論容易過么?
容易。因為根據2021版測評報告計算公式,安全計算環境的由于少很多服務器、業務應用軟件等測評對象,加上網絡設備安全設備基本容易整改達到符合,因此,被扣的分數的概率其實是小于非純網絡的系統。且根據實際經驗來看,大部分可以達到80分。