JT∕T 904-2023 交通运输行业网络安全等级保护定级指南

ICS35.040CCSL80中华人民共和国交通运输行业标准JT/T904—2023代替JT/T9042014交通运输行业网络安全等级保护定级指南classificationguideforcybersecurityclassifiedprotectionoftransportation2023-06-25发布2023-09-25实施中华人民共和国交通运输部发布标准分享吧http://www.bzfxbJT/T904—2023前言 2规范性引用文件 3术语和定义 4定级原理及流程 4.3定级工作流程 5确定定级对象 5.2通信网络设施 5.3数据资源 6初步确定等级 6.2确定受侵害的客体 6.3确定对客体的侵害程度 6.4确定业务信息安全保护等级 6.5确定系统服务安全保护等级 6.6综合判定等级 7确定安全保护等级 8等级变更 附录A(资料性)某省联网收费结算管理系统定级示例 附录B(资料性)网络安全等级保护定级报告示例 参考文献 Ⅰ标准分享吧http://www.bzfxbJT/T904—2023本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。相比,除结构调整和编辑性改动外,主要技术变化如下:—更改了安全保护等级及定级要素的内容(见4.1和4.2,2014年版的第4章);—增加了“定级工作流程”的内容(见4.3);—更改了“确定定级对象”的内容,信息系统增加了云计算平台/系统的内容,定级对象增加了通信网络设施和数据资源的内容(见第5章,2014年版的5.2);—增加了“确定受侵害的客体的方法”的内容(见6.2.2);—增加了“确定对客体侵害程度的方法”的内容(见6.3.4);—更改了“确定业务信息安全保护等级”和“确定系统服务安全保护等级”的内容(见6.4、6.5,—增加了“确定安全保护等级”的内容(见第7章);—更改了“等级变更”的内容(见第8章,2014年版的第6章);—更改了系统安全保护定级的示例(见附录A,2014年版的附录A);—增加了网络安全等级保护定级的报告示例(见附录B)。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由交通运输信息通信及导航标准化技术委员会提出并归口。本文件起草单位:中国交通通信信息中心、交通运输信息安全中心有限公司、交通运输部规划研究院、中国交通信息科技集团有限公司。本文件及其所代替文件的历次版本发布情况为:—本次为第一次修订。Ⅱ标准分享吧http://www.bzfxbJT/T904—2023交通运输行业网络安全等级保护定级指南本文件给出了交通运输行业网络安全等级保护对象的定级方法和定级流程,包括确定定级对象、初步确定等级、确定安全保护等级和等级变更。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22240—2020信息安全技术网络安全等级保护定级指南GB/T25058—2019信息安全技术网络安全等级保护实施指南3术语和定义下列术语和定义适用于本文件。网络安全等级保护工作直接作用的对象。注:主要包括信息系统、通信网络设施和数据资源等。注1:信息系统通常由计算机或者其他信息终端及相关设备组成,并按照一定的目标和规则进行信息处理或过程控制。注2:典型的信息系统如办公自动化系统、云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统等。受法律保护的、等级保护对象受到破坏时所侵害的社会关系。为信息流通、网络运行等起基础支撑作用的网络设备设施。注:主要包括高速公路光纤网、交通运输行业或单位的专用通信网等。[来源:GB/T22240—2020,定义3.4,有修改]1标准分享吧http://www.bzfxbJT/T904—2023具有或预期具有价值的数据集合。注:数据资源多以电子形式存在。对客体造成侵害的客观外在表现,包括侵害方式和侵害结果等。4定级原理及流程根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度等因素,交通运输行业等级保护对象的安全保护等级分为以下五级:a)第一级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成一般损害,但不危害国家安全、社会秩序和公共利益;b)第二级:等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;c)第三级:等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;d)第四级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;e)第五级:等级保护对象受到破坏后,会对国家安全造成特别严重危害。4.2定级要素4.2.1.1根据交通运输行业网络安全等级保护对象的业务信息和系统服务特征,定级要素分为一级要素和二级要素。4.2.1.2等级保护对象的一级要素与GB/T22240—2020一致,包括以下两个方面:a)受侵害的客体;b)对客体的侵害程度。4.2.1.3等级保护对象的二级要素用于辅助确定等级保护对象的等级。根据等级保护对象的服务对象、功能、范围及效用等特征,等级保护对象的二级要素包括以下四个方面:a)等级保护对象类别;b)承载数据;c)影响范围;d)业务依赖程度。2标准分享吧http://www.bzfxb3JT/T904—2023等级保护对象受到破坏时所侵害的客体包括以下三个方面:a)公民、法人和其他组织的合法权益;b)社会秩序、公共利益;c)国家安全。对客体的侵害程度对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的,因此对客体的侵害外在表现为对等级保护对象的破坏,通过侵害方式、侵害后果和侵害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度归结为以下三种:a)造成一般损害;b)造成严重损害;c)造成特别严重损害。一级要素与安全保护等级的关系表1给出一级要素与安全保护等级的关系。表1一级要素与安全保护等级的关系受侵害的客体对客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级第二级第三级第四级国家安全第三级第四级第五级根据等级保护对象的功能,等级保护对象类别主要分为以下四类:—行政办公类:支撑各级交通运输管理部门和企事业单位,为开展行政事务或维持自身组织活动而建设的网络设施及信息系统;—运行控制类:对交通运输基础设施的运营、运输工具运行进行协调控制,或者对旅客、货物运输进行生产组织、调度指挥的网络设施及信息系统;—信息服务类:为社会公众提供信息服务或开展行业管理等功能的网络设施及信息系统;—基础支撑类:多个交通运输行业信息系统在计算、操作、存储或通信等方面所依赖的网络设施及信息系统。交通运输行业等级保护对象的分类示例见表2。表2交通运输行业等级保护对象分类示例系统类别系统举例行政办公类运行控制类4JT/T904—2023表2交通运输行业等级保护对象分类示例(续)系统类别系统举例信息服务类政府网站、交通运输科技与标准信息资源共享系统、综合交通运输统计信息决策支持系统、全国高速公路信息通信系统、交通运输信用信息管理系统、国家公路网交通情况调查数据采集与服务系统、全国交通运输行政执法综合管理信息系统、全国公路建设市场信用信息管理系统、全国公路出行信息服务系统、国家公路网综合养护管理信息系统、12328交通运输服务监督电话系统、全国治超联网管理信息系统基础支撑类ETC在线密钥管理与服务系统、统一身份认证系统、数据交换共享和开放应用系统承载数据根据等级保护对象所处理数据的安全特征,承载数据主要分为以下三类:—核心数据:关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据;—一般数据:安全属性遭到破坏后,对社会秩序、公共利益或公民、法人和其他组织的合法权益造成不利影响的数据。影响范围根据等级保护对象支撑业务开展情况,影响范围主要分为全国、区域、省域和机构内四类。注:区域一般是指跨两个以上省级行政区的组合,如京津冀地区、长三角地区、东海海域等。业务依赖程度根据等级保护对象运行情况对业务开展的影响,业务依赖程度分为以下三类:—业务依赖程度高:受到侵害后,无法通过其他方式支撑定级对象的业务,业务运行完全受到影响;—业务依赖程度中:受到侵害后,可以通过其他方式支撑定级对象的部分业务,业务运行受到部分影响;—业务依赖程度低:受到侵害后,无须或可以通过其他方式支撑定级对象的全部业务,业务运行未受到影响。4.3定级工作流程图1给出等级保护对象定级工作一般流程。图1等级保护对象定级工作一般流程5JT/T904—2023安全保护等级初步确定为第二级及以上的等级保护对象,其网络运营者依据本文件组织开展专家评审、主管部门核准和备案审核,最终确定其安全保护等级。等级保护对象定级与备案工作宜符合GB/T注:安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据本文件自行确定其最终安全保护等级,可不进行专家评审、主管部门核准和备案审核。5确定定级对象作为定级对象的信息系统具有如下基本特征:a)具有确定的主要安全责任主体;b)承载相对独立的业务应用;c)包含相互关联的多个资源。注1:主要安全责任主体包括但不限于企业、机关和事业单位等法人,以及不具备法人资格的社会团体等其他组织。注2:避免将某个单一的系统组件,如服务器、终端或网络设备等作为定级对象。在确定定级对象时,云计算平台/系统、物联网、工业控制系统,以及采用移动互联技术的系统在要求。5.2通信网络设施对于高速公路光纤网、卫星通信网、通信专网等交通运输行业通信网络设施,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。跨省(区、市)的行业或单位的专用通信网可作为一个整体对象定级或分区域划分为若干个定级对象。5.3数据资源数据资源可独立定级。当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级;当安全责任主体不同时,大数据应独立定级。6初步确定等级不同定级对象的定级方法不同,对于通信网络设施、云计算平台/系统等起支撑作用的定级对象和数据资源,定级方法在第7章给出。对于较为庞大的等级保护对象,为了体现分等级保护、优化信息安全资源配置的原则,可将其划分为多个定级对象。如果等级保护对象责任边界一致,业务关联度较大,也可将多个系统合并为一个等级保护对象进行定级。定级对象的安全主要包括业务信息安全和系统服务安全,与之相关的受侵害客体和对客体的侵害程度可能不同,因此,安全保护等级由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的定级对象安全保护等级称为业务信息安全保护等级;从系统服务安全角度反映的定级对象安全保护等级称为系统服务安全保护等级。具体流程如下:a)确定受到破坏时所侵害的客体:6JT/T904—20231)确定业务信息受到破坏时所侵害的客体;2)确定系统服务受到破坏时所侵害的客体。b)确定对客体的侵害程度:1)根据不同的客体,分别评定业务信息安全被破坏对客体的侵害程度;2)根据不同的客体,分别评定系统服务安全被破坏对客体的侵害程度。c)确定安全保护等级:1)确定业务信息安全保护等级;2)确定系统服务安全保护等级;3)将业务信息安全保护等级和系统服务安全保护等级的较高者确定为定级对象的安全保护等级。定级流程如图2所示。图2交通运输行业定级流程示意图6.2确定受侵害的客体判断交通运输行业等级保护对象受到损害后是否侵害到国家安全,主要基于其是否涉及重要国家事务处理、国防工业生产及国防设施控制,受到非法控制后是否会影响国家统一、民族团结和社会稳定,是否涉及国家安全保卫工作、涉及尖端科技研究及生产,是否涉及国家安全的交通运输基础设施生产、控制、管理等。侵害国家安全的事项包括以下方面:—影响国家政权稳固和领土主权、海洋权益完整;—影响国家统一、民族团结和社会稳定;—影响国家社会主义市场经济秩序和文化实力;—影响国家对外活动中的政治、经济利益;—影响国家国防实力及重要的安全保卫工作;—影响国家经济竞争力和科技实力;—其他影响国家安全的事项。判断交通运输行业等级保护对象受到损害后是否侵害到社会秩序、公共利益,主要基于其是否支撑交通运输行业主管部门宏观调控、市场监管、社会管理和公共服务等职能,是否支撑交通运输领域的公共设施管理和服务工作,是否支撑交通运输领域提供面向社会公众的生产和运营业务。a)侵害社会秩序的事项包括以下方面:7JT/T904—2023务的工作秩序;2)影响公共场所的活动秩序、公共交通秩序;3)影响人民群众的生活秩序;4)影响公众在法律约束和道德规范下的正常生活秩序等;5)其他影响社会秩序的事项。b)侵害公共利益的事项包括以下方面:1)影响社会成员使用公共设施;2)影响社会成员获取公开数据资源;3)影响社会成员接受公共服务等方面;4)影响交通运输行业企事业单位或社会公众合法权益的获得;5)其他影响公共利益的事项。侵害公民、法人和其他组织合法权益的事项是指损害受法律保护的公民、法人和其他组织所享有的社会权利和利益等。[来源:GB/T22240—2020,6.2,有修改]6.2.2确定受侵害的客体的方法判断等级保护对象受到损害后影响的客体,可通过定级对象的二级要素来判断,其中业务信息受到破坏时所侵害的客体与影响范围、承载数据相关,系统服务受到破坏时所侵害的客体与等级保护对象类当无法使用二级要素确定客体时,根据定级对象受到损害后的影响,首先判断是否侵害国家安全,然后判断是否侵害社会秩序或公众利益,最后判断是否侵害公民、法人和其他组织的合法权益。6.3确定对客体的侵害程度在针对不同的客体进行侵害程度的判断时,参照以下不同的判别基准:a)如果客体是公民、法人或其他组织的合法权益,则以本人或本单位的总体利益作为判断侵害程度的基准;b)如果客体是社会秩序、公共利益或国家安全,则以整个交通运输行业或国家的总体利益作为判断侵害程度的基准。6.3.2侵害的客观方面在客观方面,对客体的侵害外在表现为对定级对象的破坏,其侵害方式表现为对业务信息安全的破坏和对系统服务安全的破坏。其中,业务信息安全是指确保定级对象中信息的保密性、完整性和可用性,系统服务安全是指确保定级对象可以及时、有效地提供服务,以完成预定的业务目标。由于业务信息安全和系统服务安全受到破坏所侵害的客体和对客体的侵害程度可能会有所不同,在定级过程中,需要分别处理这两种侵害方式。根据交通运输行业行政管理、公共服务职能和企业生产、经营活动等特征,业务信息安全和系统服务安全受到破坏后,可能产生以下部分或全部损害后果:—影响交通通行能力及服务能力;—影响交通运输行业相关企业生产、经营和管理活动;8JT/T904—2023—影响交通运输相关企业、法人、从业者的合法权益;—影响各级交通运输管理部门正常履行管理、服务职能;—引起法律纠纷;—导致财产损失;—造成社会不良影响;—对其他组织和个人造成损害;—其他影响。6.3.3综合判断侵害程度侵害程度是客观方面的不同外在表现的综合体现,因此,首先根据不同的客体、不同侵害后果分别确定其侵害程度。对不同侵害后果确定其侵害程度所采取的方法和所考虑的角度可能不同。例如,系统服务安全被破坏导致业务能力下降的程度可以从定级对象服务覆盖的区域范围、用户人数或业务量等不同方面确定;业务信息安全被破坏导致的财物损失,可以从直接的资金损失大小、间接的信息恢复费用等方面进行确定。不同侵害后果的三种侵害程度描述如下:—一般损害:使交通运输行业管理、服务工作职能受到局部影响,交通通行能力及服务能力、交通运输企业正常经营能力有所降低但不影响主要业务执行,出现较轻的法律问题,造成较低的财产损失,有限的社会不良影响,对其他组织和个人造成较低损害;—严重损害:使交通运输行业管理、服务工作职能受到严重影响,交通通行能力及服务能力、交通运输企业正常经营能力显著下降且严重影响主要业务执行,出现较严重的法律问题,造成较高的财产损失,较大范围的社会不良影响,对其他组织和个人造成较严重损害;—特别严重损害:使交通运输行业管理、服务职能受到特别严重影响或丧失行使职能能力,交通通行能力及服务能力、交通运输企业正常经营能力等严重下降且主要业务无法执行,出现极其严重的法律问题,造成极高的财产损失,大范围的社会不良影响,对其他组织和个人造成非常严重损害。6.3.4确定对客体侵害程度的方法6.3.4.1可通过定级对象的二级要素,对客体的侵害程度进行判断,其中业务信息受到破坏时所侵害的客体的侵害程度与等级保护对象类别相关,系统服务受到破坏时所侵害的客体的侵害程度与业务依赖程度相关。通过二级要素与一级要素的对应关系,判断业务信息安全、系统服务安全可能受侵害的客体及其侵害程度的建议见表3及表4。表3业务信息安全二级要素与一级要素的对应关系序号二级要素一级要素类别影响范围承载数据可能的受侵害的客体对客体可能的侵害程度1行政办公类全国重要数据严重损害一般数据一般损害严重损害区域重要数据严重损害一般数据一般损害严重损害9JT/T904—2023表3业务信息安全二级要素与一级要素的对应关系(续)序号二级要素一级要素类别影响范围承载数据可能的受侵害的客体对客体可能的侵害程度1行政办公类全省重要数据严重损害一般数据一般损害严重损害机构内重要数据一般损害一般数据一般损害2运行控制类全国核心数据国家安全严重损害重要数据特别严重损害或严重损害一般数据严重损害或一般损害区域核心数据国家安全严重损害重要数据严重损害一般数据严重损害或一般损害全省核心数据国家安全严重损害重要数据严重损害或一般损害一般数据一般损害机构内核心数据国家安全严重损害重要数据严重损害或一般损害一般数据一般损害3信息服务类全国核心数据国家安全严重损害重要数据特别严重损害或严重损害一般数据严重损害或一般损害区域核心数据国家安全严重损害重要数据严重损害一般数据严重损害或一般损害全省核心数据国家安全严重损害重要数据严重损害或一般损害一般数据严重损害或一般损害机构内核心数据国家安全严重损害重要数据严重损害或一般损害一般数据一般损害4基础支撑类全国核心数据国家安全严重损害重要数据特别严重损害或严重损害一般数据严重损害或一般损害区域核心数据国家安全严重损害JT/T904—2023表3业务信息安全二级要素与一级要素的对应关系(续)序号二级要素一级要素类别影响范围承载数据可能的受侵害的客体对客体可能的侵害程度4基础支撑类区域重要数据严重损害一般数据严重损害或一般损害全省核心数据国家安全严重损害重要数据严重损害或一般损害一般数据一般损害机构内核心数据国家安全严重损害重要数据严重损害或一般损害一般数据一般损害表4系统服务安全二级要素与一级要素的对应关系序号二级要素一级要素类别影响范围业务依赖程度可能的受侵害的客体对客体可能的侵害程度1行政办公类全国高严重损害特别严重损害中严重损害或一般损害严重损害或一般损害低一般损害一般损害区域高特别严重损害中严重损害或一般损害低一般损害全省高严重损害中严重损害或一般损害低一般损害机构内高严重损害中严重损害或一般损害低一般损害2运行控制类全国高国家安全严重损害特别严重损害中国家安全严重损害严重损害低国家安全一般损害一般损害JT/T904—2023表4系统服务安全二级要素与一级要素的对应关系(续)序号二级要素一级要素类别影响范围业务依赖程度可能的受侵害的客体对客体可能的侵害程度2运行控制类区域高特别严重损害中严重损害低严重损害或一般损害全省高严重损害中严重损害或一般损害低一般损害机构内高特别严重损害中严重损害低一般损害3信息服务类全国高严重损害或特别严重损害中严重损害低一般损害区域高严重损害中严重损害或一般损害低一般损害全省高严重损害中严重损害或一般损害低一般损害机构内高特别严重损害中严重损害低一般损害4基础支撑类全国高国家安全严重损害特别严重损害中国家安全严重损害严重损害低国家安全一般损害一般损害区域高特别严重损害中严重损害低一般损害全省高特别严重损害中严重损害低一般损害JT/T904—2023表4系统服务安全二级要素与一级要素的对应关系(续)序号二级要素一级要素类别影响范围业务依赖程度可能的受侵害的客体对客体可能的侵害程度4基础支撑类机构内高特别严重损害中严重损害低一般损害当无法使用二级要素确定受侵害的客体及对客体的侵害程度时,可根据定级对象所处理的信息种类和系统服务特点,由对不同侵害结果的侵害程度进行综合评定得出。6.4确定业务信息安全保护等级根据业务信息安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定业务信息安全保护等级,业务信息安全与安全保护等级的关系符合表5的规定。表5业务信息安全与安全保护等级的关系业务信息安全被破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级第二级第三级第四级国家安全第三级第四级第五级6.5确定系统服务安全保护等级根据系统服务安全被破坏时所侵害的客体,以及对相应客体的侵害程度确定系统服务安全保护等级,系统服务安全与安全保护等级的关系符合表6的规定。表6系统服务安全保护等级矩阵表系统服务安全受破坏时所侵害的客体对相应客体的侵害程度一般损害严重损害特别严重损害公民、法人和其他组织的合法权益第一级第二级第二级第二级第三级第四级国家安全第三级第四级第五级6.6综合判定等级定级对象的安全保护等级由业务信息安全保护等级和系统服务安全保护等级中较高者决定。附录A给出了某省联网收费结算管理系统安全等级保护定级示例。JT/T904—20237确定安全保护等级安全保护等级初步确定为第二级及以上的,定级对象的网络运营者在编制网络安全等级保护定级报告(见附录B)后,组织专家评审会对定级结果的合理性进行评审,并出具评审意见。评审通过后,定级对象的网络运营者将定级结果报请交通运输行业主管(监管)部门核准,并取得核准意见。网络运营者按照相关管理规定,将定级结果提交公安机关进行备案审核。审核不通过的,其网络运营者需组织重新定级;审核通过后的,最终确定定级对象的安全保护等级。对于通信网络设施、云计算平台/系统等定级对象,需根据其承载或将要承载的等级保护对象的重要程度确定其安全保护等级,且不低于其承载的等级保护对象的安全保护等级。全国统一联网运行网络,由部级网络(全国中心系统)主管单位统一确定相关定级对象的安全保护等级。对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。涉及大量公民个人信息、为公民提供公共服务的大数据平台/系统,以及处理重要数据的系统,其安全保护等级不低于第三级。[来源:GB/T22240—2020,第7章,有修改]8等级变更当交通运输行业等级保护对象发生服务范围、服务对象等重大变更并可能影响安全保护等级,导致业务信息安全或系统服务安全的一级要素或者二级要素发生变化时,需根据本文件重新确定定级对象和安全保护等级。JT/T904—2023(资料性)某省联网收费结算管理系统定级示例A.1定级对象描述某省申请定级系统为联网收费结算管理中心系统,主要包括清分(拆分)结算子系统、费率管理子系统、客户服务子系统、稽核管理子系统、态势感知平台子系统、省部分为鉴别数据、关键业务数据(交易和清分数据、拆分数据等)、服务支持数据(基础数据、费率数据、黑名单数据、稽查数据、车辆图像数据等)和个人信息。系统支撑取消高速公路省界收费站后的收费、部A.2等级保护对象安全保护等级确定流程A.2.1第一步确定定级对象根据A.1,确定定级对象为某省联