等保测评(网络安全等级保护测评)主要涵盖以下十个层面,这些层面被分为技术部分和管理部分:
1.安全物理环境:主要关注机房、配电间、消防间等物理设施的安全性,包括防地震、防水淹等能力,以及网络资源的拓扑分配是否合理,确保不会因资源过于集中而导致访问效率低下。
2.安全通信网络:确保通信网络的完整性和可信性,防止信息被窃听或泄露。
3.安全区域边界:通过区域边界保护,实现不同区域和部门之间的信息流通防护,防止信息泄露。
4.安全计算环境:包括数据库、密码、主机等计算资源的安全,这些资源被抽象化成一个个主体,共同构成计算环境的一部分。
5.安全管理中心:要求在系统管理、安全管理、审计管理三个方面实现集中管控,实现从被动防护到主动防护、从静态防护到动态防护、从单点防护到整体防护、从粗放防护到精准防护的转变。
1.安全管理制度:涉及安全管理策略、制度发布、制度发布评审以及修订等方面,确保有完善的安全管理制度来指导各项安全工作。
2.安全管理机构:关注人员、岗位设置、审核和检查记录等方面,确保有专门的安全管理机构来负责安全工作的实施和监督。
3.安全管理人员:主要考核人员安全管理方面的能力和执行情况,包括人员培训、安全意识提升等方面。
4.安全建设管理:包括安全方案设计、产品采购要求、自行软件开发、外包软件开发、工程监理、测试验收、系统交付、等级保护以及服务供应商选择等方面的管理,确保系统建设过程中的安全性。
5.安全运维管理:涵盖环境管理、资产管理、介质管理、设备维护、漏洞和风险检查、网络和系统安全管理、恶意代码防御管理、账号密码管理、备份恢复管理以及应急安全防御管理等方面,确保系统运维过程中的安全性。
商用密码应用安全性评估(简称“密评”)以下是具体的四个层面:
关注密码设备和密码系统在物理环境中的安全性,包括设备所在机房的物理安全、环境监控等。
涉及身份鉴别、电子门禁记录数据的完整性、视频记录数据完整性等测评内容。
评估密码在网络通信过程中的安全性,包括通信数据的机密性、完整性以及安全接入认证等。
涉及身份鉴别、内部网络安全接入、访问控制信息完整性、通信数据完整性、通信数据保密性、集中管理通道安全等测评内容。
关注密码设备和密码系统在设备和计算环境中的安全性,包括设备的身份鉴别、远程管理安全等。
涉及身份鉴别、远程管理鉴别信息保密性、访问控制信息完整性、敏感标记完整性、重要程序或文件完整性、日志记录完整性等测评内容。
评估密码在应用和数据层面的安全性,包括数据传输和存储的机密性、完整性以及不可否认性等。
涉及身份鉴别、访问控制信息和敏感标记完整性、数据传输保密性、数据存储保密性、数据传输完整性、数据存储完整性、日志记录完整性、重要应用程序的加载和卸载、抗抵赖等测评内容。
欢迎关注《网络安全和等保测评》微信公众号⬇️
关注我们
联系我们
原文始发于微信公众号(网络安全和等保测评):等保和密评的测评层面有何不同
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3485431.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论