.png)
在数字化转型进程中,不少单位为保障核心数据安全,搭建了与互联网物理隔离的不联网内网(以下简称“内网”)。然而,“不联网=绝对安全”、“内网等保直接定1级”、“无需做等保测评”等错误认知普遍存在,导致内网安全防护体系存在漏洞。事实上,依据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019,即“等保2.0”)及相关法规,内网不仅需开展等保测评,定级更需结合系统实际情况科学判定,绝非“不联网就定1级”那么简单。
一 为何内网等保容易陷入“1级化”与“免测评”陷阱? 当前,部分单位对不联网内网等保工作的认知偏差,主要源于三大误解: 1 “物理隔离=安全无虞” 认为内网与互联网彻底断开,就不会遭受网络攻击,无需按高等级标准防护。但实际情况是,内网风险多来自内部——员工误操作删除核心数据、恶意拷贝敏感信息,或通过U盘、移动硬盘等外设带入病毒、木马,均可能引发安全事故。 2 “不联网就符合1级标准” 混淆了“网络连接状态”与“等保定级要素”的关系。等保1级针对的是“一般信息系统”,定义为“受到破坏后,会对公民、法人和其他组织的合法权益造成轻微损害,但不损害国家安全、公共利益和社会秩序”。而内网若存储企业核心商业数据、政务敏感信息(如人口统计数据、医疗档案),或支撑关键业务(如工厂生产控制、电力调度),即便不联网,其重要性也远超“一般系统”,显然不符合1级定级条件。 3 “法规只针对联网系统” 这种错误认知,源于对《网络安全法》《数据安全法》等法规理解片面,认为等保义务仅覆盖联网系统。但等保2.0明确规定,“等级保护的对象包括网络基础设施、网络安全设施、网络安全产品、网络服务、应用系统、数据等”,并未将“不联网系统”排除在外。尤其是涉及“关键信息基础设施”的内网,如金融机构的核心账务系统、能源企业的生产监控内网,更是等保工作的重点对象。 二 不联网内网为何必须开展等保测评? 内网的“物理隔离”属性,无法抵消其安全需求与合规义务,开展等保测评是保障安全、规避风险的必要举措,主要源于四大需求: 1 内部风险防控的现实需要 不联网内网的安全威胁多来自“内部场景”:某国企曾因员工使用私人U盘拷贝生产数据,导致内网感染勒索病毒,生产系统瘫痪3天;某医院内网因护士误操作,删除了近千条患者病历数据,造成严重医疗服务中断。等保测评可通过“主机权限审计”、“外设接入管控”、“数据备份验证”等环节,发现内部防护漏洞,比如是否存在“一人多岗共用账户”、“重要操作无日志记录”等问题,从源头降低内部风险。 2 设备与软件的固有漏洞不可忽视 内网中的服务器、终端、数据库等设备,以及操作系统、应用软件,并非“零漏洞”。即便不联网,设备老化、软件版本陈旧仍会存在安全隐患——例如,WindowsXP等老旧系统已停止安全更新,若内网仍在使用,一旦遭遇针对该系统的漏洞攻击(如通过内部移动设备传播),将毫无防护能力。等保测评可通过“漏洞扫描”、“配置检查”,识别设备与软件的薄弱点,推动安全补丁更新与配置优化。 3 数据价值决定安全等级 内网往往存储单位最核心、最敏感的数据:政府内网的政策起草文档、企业内网的客户隐私数据与研发图纸、医院内网的电子病历、高校内网的科研成果数据。这些数据若泄露或破坏,可能导致经济损失、声誉受损,甚至危害公共利益与国家安全。根据等保2.0,数据敏感性与业务重要性是定级核心依据——例如,存储“国家秘密级数据”的内网需定3级及以上,存储“重要业务数据”的内网至少定2级,绝非1级可覆盖。 4 合规义务的刚性约束 《网络安全法》第二十一条明确要求,“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改”;《数据安全法》也要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估”。不联网内网若未开展等保测评,属于未履行法定安全义务,一旦发生安全事件,单位及相关责任人可能面临行政处罚,甚至承担刑事责任。 三 不联网内网等保定级的 4 大核心原则 这 4 个原则是定级的 “标尺”,直接决定了内网该定 1 级、2 级还是 3 级及以上,与是否联网无关。 1 业务重要性优先原则 以内网承载的业务价值为首要依据。若内网支撑 “关键业务”(如工厂生产控制、医院病历管理、国企核心账务),业务中断会导致生产停滞、服务瘫痪或重大经济损失,定级需往高走;若仅承载 “非重要业务”(如内部通知发布、普通文件存储),中断影响轻微,可考虑低等级。 2 数据敏感性核心原则 以内网存储的数据风险为核心判定点。若存储 “敏感数据”(如用户身份证号、企业研发图纸、政务敏感信息),泄露或破坏会引发声誉危机、法律纠纷甚至公共利益损害,需提高定级;若仅存储 “公开 / 非敏感数据”(如公司规章制度、公开培训资料),可降低定级。 3 影响范围导向原则 以安全事件的影响边界为参考。若内网出问题(如数据丢失、系统瘫痪)仅影响本单位内部(如小公司办公内网),影响范围有限,定级可适中;若影响会扩散到外部(如能源企业生产内网中断导致区域供电异常),涉及公共利益或社会秩序,必须定更高等级。 4 依法合规底线原则 严格遵循国家标准与法规要求。定级需完全对照《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020),不能自主降低标准;涉及 “关键信息基础设施” 的内网(如金融、能源、交通领域),需额外符合行业主管部门的定级要求,不可突破合规底线。 四 不联网内网等保的具体定级步骤 原则落地需要可操作的流程,按以下 5 步走可确保定级科学合规,避免 “拍脑袋定 1 级”。 第一步:界定系统边界,明确定级对象先确定要定级的内网范围,避免 “大而化之”。比如明确是 “生产控制内网”“数据存储内网” 还是 “办公内网”,同时梳理该内网包含的设备(服务器、终端、数据库)和业务模块(如 “生产线实时监控模块”“财务数据核算模块”),确保定级对象清晰。 第二步:评估业务影响,判断中断后果分析内网承载业务的 “不可替代性” 和 “中断损失”: 举例 若业务中断 1 天,是否会导致生产停滞、收入损失超 100 万元?(如制造企业生产内网) 若业务中断,是否会影响核心服务交付?(如医院内网中断影响患者就诊) 根据损失大小,初步判断业务属于 “关键”、“重要” 还是 “一般”。 第三步:评估数据风险,判断泄露 / 破坏后果 梳理内网存储的数据类型,评估风险: 举例 数据是否属于 “个人敏感信息”“核心业务数据” 或 “国家秘密”? 若数据泄露,是否会引发用户投诉、法律诉讼(如违反《个人信息保护法》)? 若数据被破坏,是否会导致业务无法恢复? 数据风险越高,定级越需向高等级倾斜。 第四步:对照国标标准,确定初步等级 结合 “业务影响” 和 “数据风险”,对照 GB/T 22240-2020 确定等级: 分级 1 级:业务为 “一般”,数据为 “非敏感”,中断 / 泄露仅造成轻微影响(如小公司内部通知内网)。 2 级:业务为 “重要”,数据为 “敏感”,中断 / 泄露造成较大损失(如普通企业财务内网)。 3 级及以上:业务为 “关键”,数据为 “重要 / 秘密级”,中断 / 泄露影响公共利益或国家安全(如能源企业生产内网、政务敏感信息内网)。 第五步:完成备案审核,确认最终等级 2 级及以下内网:自行定级后留存备案材料,以备监管检查。 3 级及以上内网:需将定级材料提交行业主管部门或公安网安部门审核,通过后确认最终等级,不可自行定低。 案例参考 某汽车工厂 “生产控制内网”(不联网),承载生产线实时调度业务,中断 1 小时会导致损失 50 万元,且存储生产工艺核心数据(泄露会被竞争对手盗用)。 按步骤评估后,业务为 “关键”、数据为 “重要”,最终定 3 级,需每 1 年开展 1 次等保测评。
公司地址: 北京朝阳区惠河南街1069号卓明大厦B206室
联系方式:13683549697
.png)