![等保、密评、关基安全检测评估,三者之间有什么联系?]( "等保、密评、关基安全检测评估,三者之间有什么联系?")
文章来源:上海CA中心
网络空间不是“法外之地”,尤其是随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被逐步打通,国家级和商业级的网络攻防战开始打响。
为保障网络空间安全、规范网络世界行为,我国网络安全法治建设持续推进,在国家逐渐出台《网络安全法》、《密码法》、《GM/T 0054-2018 信息系统密码应用基本要求》等法律法规的进程中,在网络安全等级保护(以下简称“等保”)制度稳步落地的推动下,“海陆空网”立体式通道日渐清晰,在网络空间安全得到充分重视的同时,商用密码应用安全性评估(以下简称“密评”)和关键信息基础设施安全检测评估(以下简称“关基安全检测评估”)等工作也开始步入网络安全工作的舞台中央。
《网络安全法》中明确规定国家实行等保制度,落实网络安全责任制,依据相关规定开展等级保护工作,通过等级测评来检验网络系统的安全防护能力,识别系统可能存在的安全风险;同时,《网络安全法》中规定关键信息基础设施运营者通过安全检测评估的方式识别可能存在的风险;《密码法》中规定使用商用密码进行保护的关键基础设施,其运营者应履行开展密评工作,并指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接,避免重复评估、测评。
网络安全等级测评是测评机构依据国家等保制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,是信息系统安全等级保护工作的重要环节。
关键信息基础设施安全检测评估是对关基安全性和可能存在的风险进行检测评估的活动,是《网络安全法》中的具体要求。检测评估内容包括但不限于网络安全制度落实、网络安全等级保护工作落实、密码应用安全性评估、技术防护、云服务安全评估、风险评估等情况,尤其要关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。
商用密码应用安全评估是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估,是我国《密码法》的明确规定。
总体而言,等级保护对象基本覆盖了全部的网络和信息系统,第三级以上的网络安全等级保护对象同时为关基和密评的评估对象;关键基础设施一定是等级测评和密评的评估的对象;密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。
根据计算机信息系统安全保护等级划分准则,企业的网络和信息系统需要满足其在身份鉴别、数据完整性等方面的规定。通过购买并部署代表企业身份的SSL证书于服务器中,企业便可以在实现身份认证的同时,保证内外网服务器访问时的数据加密性与完整性。此外,等保2.0中还明确指出了数据库的安全。采用SSL证书是保证调用方与数据库之间的链路安全的最优方案,可有效解决内部人员在链路上恶意拦截等问题。
在关键信息基础设施方面,采用SM2、SM3等商用密码算法的GMSSL国密证书实现网站HTTPS加密、电子邮件加密、PDF文件签名加密等,是帮助关键信息基础设施运营者通过安全检测评估的重要环节。
在密码技术应用的具体要求中,密评涵盖了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等各个方面,单纯由不同的密码厂商提供不同的密码产品,已经不能够满足现阶段密评的需求。因此迫切需要如上海CA这样具有全面密码能力的密码应用厂商,为信息系统提供全面的密码应用服务。
联系/合作/投稿邮箱:[email protected]
![等保、密评、关基安全检测评估,三者之间有什么联系?]( "等保、密评、关基安全检测评估,三者之间有什么联系?")
本文始发于微信公众号(安全365):等保、密评、关基安全检测评估,三者之间有什么联系?
评论