等保测评密评对照:一文看懂两者差异

news2024/11/15 22:45:32

图片

最近,在去几个客户的办公室交流的方案的时候,都会被重点问到网络安全问题,在方案中“等保”是如何体现和落实的。而且有些客户的领导也会提到“密评”与“等保”如何衔接,是否有先后顺序,可否同时进行测评等问题。

关于“等保”“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在联系,一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全方面各自的作用与互补性,以确保信息系统的政策合规性,并在网络安全上得到全面、高效的保障。

“等保”即网络安全等级保护,旨在通过不同安全等级的管理和技术措施,确保信息系统的安全稳定运行。我国于2017年颁布的《网络安全法》中第二十一条规定“国家实行网络安全等级保护制度”。法律要求网络运营者需按照网络安全等级保护制度要求,履行制定安全管理制度、采取防范技术措施、监测记录网络状态、保护数据安全等多项义务,确保网络安全稳定。

现行的网络安全等级保护要求简称为“等保2.0",相较于等保1.0主要体现在技术防护体系的扩展和安全管理要求的强化,以及对新技术应用安全的覆盖,更加全面和深入地保障了网络安全。

”密评“即商用密码应用安全性评估,是对网络信息系统中所使用的商用密码产品和应用进行的安全性评估。《密码法》于2020年开始实施,其中第二十七条要求关键信息基础设施的运营者需依法使用商用密码进行保护,并自行或委托专业机构开展安全性评估,确保与其他安全检测评估制度相衔接,避免重复工作。

”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分,两者相互补充,强化了网络空间的整体防御能力,有力地支撑了国家信息化建设的安全稳定。”等保“侧重于对网络信息系统进行整体的安全管理与技术防护,以确保网络信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应的标准和要求。

”密评“则聚焦于使用了商用密码的产品、系统和服务,对其密码算法选择、密码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、正确性和有效性评估。

以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面对”等保“和”密评“的具体差异与内在联系进行简单的探讨。

图片

01.国家法律法规角度对比

《网络安全法》下的网络安全等级保护测评全面关注国家、公共、关键信息基础设施及个人信息安全,涵盖物理、网络、主机、应用和数据安全等多个维度。该测评重点关注网络与信息安全、系统管理、数据安全、访问控制、恶意代码防范及网络安全事件应急响应等方面,通过设定不同等级的安全保护要求,旨在确保网络基础设施、信息系统和数据的安全,有效预防网络攻击和数据泄露。

相对而言,《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的应用和管理,深入评估密码算法、协议、应用设计、密钥管理、密码设备及模块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的密码学方法和工具,确保关键领域网络和信息系统的密码应用安全无虞。

两者在目的、保护对象和关注重点上虽各有侧重,但均是我国网络安全和密码应用安全法律保障体系的重要组成部分,共同维护着国家网络安全和信息安全的大局。

网络安全等级保护测评商用密码应用安全性评估
法律法规《网络安全法》、《关键信息基础设施安全保护条例》等《密码法》、《商⽤密码管理条例》等
目的确保网络基础设施、信息系统及数据的安全性,防止网络攻击和数据泄露规范商用密码的应用和管理,确保关键领域网络和信息系统的密码应用安全
保护对象各类信息系统、网络基础设施、数据和个人信息商用密码的应用,特别是关键领域网络和信息系统的密码应用
关注重点整体安全设计、安全管理、物理环境、网络通信、身份认证、访问控制等系统全面安全密码算法安全性、密钥管理、密码设备安全性能、密码应用系统架构安全设计等密码技术的具体应用和实现
评估手段包括文档审查、现场评估、技术检测、资料审核、人员访谈、模拟演练等措施
测评内容安全管理制度、安全防范措施、应急处置能力,物理安全、网络安全、应用安全主机安全、应用安全、数据安全及备份恢复等多个层面的综合评估密码算法安全性、密码协议安全性、密码应用设计安全性、密钥管理安全性、密码设备及密码模块安全性等方面的评估
目标效果构建安全、可靠、稳定的网络环境,促进信息化发展,保障国家安全提升密码安全保障能力,确保关键领域密码应用安全,维护网络空间安全
违法责任不按规定开展工作的将面临警告、罚款、吊销许可等处罚;造成严重后果者依法追究刑事责任

图片

02.标准层面的对比

我国为了规范和指导等级保护(等保)和商用密码应用安全评估(密评)的相关工作,近年来陆续制定和颁布了一系列相关的国家标准。这些标准旨在规范等级保护(等保)和商用密码应用安全评估(密评)的各个环节。这些标准涵盖了“基本要求、实施(设计)指南以及测评要求”等关键内容,确保各类组织机构能够按照统一且严格的标准构建和维护安全的信息系统环境。

网络安全等级保护测评商用密码应用安全评估
基本要求《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)
实施/设计指南《信息安全技术—网络安全等级保护实施指南》(GB/T 25058-2019)《信息安全技术 信息系统密码应用设计指南》(GBT 43207-2023)
测评要求《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023)
  • 基本要求

    标准《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术  信息系统密码应用基本要求》(GB/T 39786-2021)
    定级系统分为五个等级:一级至五级,主要根据信息系统的业务重要性、信息价值和受破坏后的潜在影响来划分密码应用要求通常按照GB/T  22239-2019要求,跟随网络安全等级保护级别设定,即针对不同等级的信息系统提出相应的密码应用要求,不独立进行定级。
    安全技术要求安全通用要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心等;扩展安全要求包括:云计算、移动互联网、物联网及工业控制系统等;通用测评要求包括:密码算法、密码技术、密码产品、  密码服务、密钥管理等,技术测评包括:物理和环境安全、网络和通信安全、设备和计算安全、 应用和数据安全
    安全管理要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、  安全运维管理包括:管理制度、人员管理、建设运行、应急处置
  • 实施/设计指南

    《信息安全技术—网络安全等级保护实施指南》(GB/T  25058-2019)《信息安全技术 信息系统密码应用设计指南》(GBT 43207-2023)
    标准目的提供一个系统的框架和指导原则,以帮助组织和机构对信息系统实施有效的安全保护措施。确保信息系统在设计和实施过程中能够有效地利用密码技术来加强安全防护,同时满足合规性和业务需求。
    适用范围适用于各种类型的信息系统并指导网络安全等级保护工作的实施适用于指导信息系统密码应用方案的设计。可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门安全性评估备案工作的参考。
    内容侧重点为信息系统提供从定级备案、总体安全规划、安全设计与实施、技术措施的实现、安全运行与维护、定级终止供了详细的指导,以帮助组织建立和维护一个符合等级保护要求的网络安全环境为信息系统密码应用提供全面的设计指导,确保密码应用方案的系统性、安全性和有效性。
    实施流程包括定级备案、安全规划、设计与实施、技术措施实现、运行维护以及定级终止六个关键阶段。涵盖了三个核心流程:密码应用需求分析、密码应用设计分析以及安全与合规性分析,并详细描计算平台、密码支撑平台和业务应用平台的密码应用技术框架
    关键任务与活动安全等级确定、安全规划设计实施、安全运维及测评、定级终止包括需求、应用、合规分析以及计算、支撑、应用等密码技术框架设计
  • 测评要求

    网络安全等级保护测评要求(GB/T  28448-2019)信息系统密码应用测评要求(GB/T  43206-2023)
    目的验证信息系统是否符合相应等级的安全保护要求。评估信息系统中密码应用的安全性和合规性。
    适用范围适用于所有需要执行网络安全等级保护测评的信息系统。涉及密码技术的所有信息系统,特别是商用密码产品和服务
    测评对象系统各个层面的安全防护措施(物理、边界、网络、计算环境、建设、管理、运维等)密码使用环节的算法、技术、产品、服务、密钥,使用的环境、网络、计算以及应用和数据,密码的管理等
    测评方法文档审查、配置核查、功能测试、渗透测试等综合评价密码技术检测与验证,包括密钥生命周期检查、算法安全性分析等
    合规要求符合《网络安全法》、等级保护基本要求等相关法律法规和技术标准遵守《密码法》、《商用密码管理条例》及相关国家密码行业标准
    测评结论结论指出系统是否达到等级保护要求并提出整改建议明确系统密码应用是否符合安全要求,并给出改进意见

图片

03.测评流程的比较

等保测评和商用密码应用安全评估在流程上有一定的相似性,但侧重点不同。等保测评更侧重于信息系统的整体安全性能评估,而商用密码应用安全评估则专注于商用密码技术、产品和服务的合规性、正确性和有效性的评估。

等保测评商用密码应用安全评估
测评准备测评工作启动,系统信息收集和分析、相关测评工具和表单准备收集被测系统的相关资料信息。掌握被测系统密码使用的详细情况
方案编制测评对象及指标的确定,测评内容、工具测试方案确定,测评指导书及测评方案编制正确合理确定测评对象、测评边界和测评指标、根据技术标准和规范编、制测评方案和测评结果记录表格。
   
现场测评测评准备、测评及记录、确认记录、归还资料遵循测评方案,使用指定工具执行操作,记录结果,收集证据以评估系统密码安全,并确保测评活动得到适当监督和记录。
报告编制根据测评结果,形成正式的测评报告。报告中包括测评结果判定、安全保障评估、风险分析、测评结论等评估信息系统密码安全现状与标准要求的差异,识别潜在风险,得出结论,并依据国家密码管理部门统一的报告模板编写。报告包含完整测评结果和专业分析的判断。

图片

04.”等保“和”密评“同步实施

“双评合规”这一概念,即同步进行“等保测评”与“密评”(商用密码应用安全评估),亦称作“一次入场,同步双审”。这一举措旨在同一时间段内高效整合并实施等保测评和商用密码应用安全评估两项安全合规工作。

“等保测评”与“密评”存在诸多方面的共性,通过恰当的方法优化整合测评指标与流程,完全有可能实现两项测评的同时进行,既节约了时间和成本,又确保了评估的协调性和准确性。

双评一致性
等级测评商用密码应用安全性评估
对象一致性已定级的信息系统
过程一致性测评准备、方案编制、现场测评、分析与报告编制
测评方法一致性访谈、安全测试、查看文档等
测评内容交集身份鉴别、数据传输和存储等
双评差异性
测评内容等级测评商用密码应用安全性评估
测评指标依据《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》
指标要求与等级保护标准对应指标要求与密码应用标准对应
涉及物理安全、网络安全、应用安全、数据安全等方面侧重于密码技术、密码管理、密码应用等方面
测评报告分值计算依据不同公式分值计算依据不同公式
70分达到合格线60分达到合格线
结论分为优、良、中、差结论分为符合、基本符合、不符合等

"双评"工作流程,即等级保护测评和商用密码应用安全评估的同步实施,涵盖了准备阶段、方案编制阶段、现场测评阶段以及分析报告阶段。各阶段的具体工作内容如下:

工作阶段双评工作内容
1.准备阶段

调研表融合:通过整合资产调研表,增加密码产品与服务的相关内容,确保被测评单位能够一次性完成资产梳理与统计。

工作计划确认:与被测评单位明确入场时间和对接人员,确保两项测评工作的高效协同。

2.方案编制阶段标准依据区分:尽管两者在过程上相似,但由于依据的标准不同(等级测评依据《GB/T22239一2019》,商用密码评估依据《GB/T43206-2023》),需要分别制定测评方案。
指标选取:针对两项标准的具体要求,分别确定并选取测评指标。
3.现场测评阶段内容与方法交集利用:利用两者在测评内容和方法上的交集,如身份鉴别、数据传输和存储等,进行联合测评,提高现场测评效率。
验证测试分工:由于目的不同,等级测评侧重于漏洞和安全风险发现,而商用密码评估关注密码技术的有效性,因此建议两者分别组织专业团队进行测试
4.分析与报告编制阶段分析方法采用:两者都采用单元测评和整体测评的分析方法,但在量化评估和高风险判定上有所不同,因此需分别进行。
报告编制:基于各自的分析结果,分别完成等级测评和商用密码应用安全性评估的报告编制。

通过合理的规划与实施,可以实现“一次入场,同步双评”的目标,“同步双评”机制的优势在于显著提升了企业评估效率,确保企业能够在接受整体网络安全考核时,无需分阶段或重复投入资源通过合并评估流程大幅度降低了时间和经济成本,同时也强化了等保与密评之间的保障网络安全协同性和评估结果的一致性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1544921.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

网络原理(7)——以太网数据帧和DNS协议(数据链路层和应用层)

目录 一、以太网数据帧(数据链路层) 二、DNS协议(域名解析系统,应用层协议) 一、以太网数据帧(数据链路层) 以太网横跨了数据链路层和物理层,这里只做简单介绍,因为普通程序员用不到这一块&am…

UI自动化_id 元素定位

## 导包selenium from selenium import webdriver import time1、创建浏览器驱动对象 driver webdriver.Chrome() 2、打开测试网站 driver.get("你公司的平台地址") 3、使浏览器窗口最大化 driver.maximize_window() 4、在用户名输入框中输入admin driver.find_ele…

hbase启动错误-local host is“master:XXXX“ destination is:master

博主的安装前提: zookeeper安装完成,且启动成功 hdfs高可用安装,yarn高可用安装,且启动成功 报错原因:端口配置不对 解决方案: 输入:hdfs getconf -confKey fs.default.name 然后把相应的…

WM8978 —— 带扬声器驱动程序的立体声编解码器(7)

接前一篇文章:WM8978 —— 带扬声器驱动程序的立体声编解码器(6) 十、音频接口 WM8978具有一个标准的音频接口,支持立体声数据在芯片之间的传输。该接口是一个3线标准音频接口,支持多种音频数据格式,包括I…

C++ 简单模拟实现 STL 中的 list 与 queue

目录 一,list 1, list 的节点与迭代器 2,list 的数据结构、一些简单的功能、构造函数 3,list 的对元素操作 4,C 11 的一些功能 5,完整代码: 二,queue 一,list std…

Visual Studio 小更新:改善变量的可见性

在 Visual Studio 2022 17.10 预览版 2 中,我们改善了一些小功能,例如:在调试版本中,变量窗口现已可以显示调用堆栈中任意帧的局部变量。 如需体验此功能,请直接安装最新预览版本,就可以知道是怎么一回事儿…

CSS及javascript

一、CSS简介 css是一门语言&#xff0c;用于控制网页的表现。 cascading style sheet:层叠样式表 二、css的导入方式 css代码与html代码的结合方式 &#xff08;1&#xff09;css导入html有三种方式&#xff1a; 1.内联样式&#xff1a;<div style"color:red&quo…

mac 系统如何生成秘钥

1.打开终端&#xff0c;输入 cd ~/.ssh 进入.ssh目录&#xff0c;输入 ls 检查是否已经存在SSH密钥。如果看到类似 id_rsa.pub 的文件&#xff0c;说明已经有一对公钥和私钥&#xff0c;不用新建&#xff0c;直接查看就可以&#xff0c;如果没有需要生成新的密钥。 2.在终端输…

Unity 视频组件 VideoPlayer

组件添加&#xff1a; 在自己定义的组件下&#xff08;例如&#xff1a;Panel&#xff09; 点击 Inspector 面板中的 AddComponent &#xff0c;输入“VideoPlayer”。 资源 这里 视频资源有两种形式&#xff0c;第一种是 VideoClip &#xff0c;需要将视频文件拖拽到该属性字段…

【C语言】【Leetcode】88. 合并两个有序数组

文章目录 一、题目二、思路再思考 一、题目 链接: link 二、思路 这题属于简单题&#xff0c;比较粗暴的做法就是直接比较两个数组&#xff0c;先把第二个数组加到第一个的后面&#xff0c;如何冒泡排序&#xff0c;这种方法简单粗暴但有效&#xff0c;可是不适用于这题&…

政安晨:【Keras机器学习实践要点】(二)—— 给首次接触Keras 3 的朋友

政安晨的个人主页&#xff1a;政安晨 欢迎 &#x1f44d;点赞✍评论⭐收藏 收录专栏: TensorFlow与Keras实战演绎机器学习 希望政安晨的博客能够对您有所裨益&#xff0c;如有不足之处&#xff0c;欢迎在评论区提出指正&#xff01; 介绍 Keras 3是一个深度学习框架&#xff0…

牛客网BC-33 统计成绩(数组排序思想)

题目如下 --------------------------------------------------------------------------------------------------------------------------------- 思路&#xff1a;以数组形式输入&#xff0c;并将数组顺序&#xff08;或者逆序&#xff09;排序&#xff0c;最后输出最大值最…

Mysql数据库:日志管理、备份与恢复

目录 前言 一、MySQL日志管理 1、存放日志和数据文件的目录 2、日志的分类 2.1 错误日志 2.2 通用查询日志 2.3 二进制日志 2.4 慢查询日志 2.5 中继日志 3、日志综合配置 4、查询日志是否开启 二、数据备份概述 1、数据备份的重要性 2、备份类型 2.1 从物理与…

2.6 IDE(集成开发环境)是什么

IDE&#xff08;集成开发环境&#xff09;是什么 IDE 是 Integrated Development Environment 的缩写&#xff0c;中文称为集成开发环境&#xff0c;用来表示辅助程序员开发的应用软件&#xff0c;是它们的一个总称。 通过前面章节的学习我们知道&#xff0c;运行 C 语言&…

蓝桥杯单片机快速开发笔记——利用定时器计数器设置定时器

一、基本原理 参考本栏http://t.csdnimg.cn/iPHN0 二、具体步骤 三、主要事项 如果使用中断功能记得打开总中断EA 四、示例代码 void Timer0_Isr(void) interrupt 1 { }void Timer0_Init(void) //10毫秒12.000MHz {AUXR & 0x7F; //定时器时钟12T模式TMOD & 0xF0;…

微服务day06 -- Elasticsearch的数据搜索功能。分别使用DSL和RestClient实现搜索

1.DSL查询文档 elasticsearch的查询依然是基于JSON风格的DSL来实现的。 1.1.DSL查询分类 Elasticsearch提供了基于JSON的DSL&#xff08;Domain Specific Language&#xff09;来定义查询。常见的查询类型包括&#xff1a; 查询所有&#xff1a;查询出所有数据&#xff0c;一…

iMazing2024功能强大的iPhone和iPad管理工具

iMazing是一款功能强大的iPhone和iPad管理工具&#xff0c;确实可以作为iTunes的替代品进行数据备份。以下是一些关于iMazing的主要特点和功能&#xff1a; 设备备份&#xff1a;iMazing可以备份iOS设备上的所有数据&#xff0c;包括照片、视频、音乐、应用程序等。与iTunes相比…

docker部署gitlab 报错的问题!!!

1、什么是gitlab&#xff1f; Gitlab是一个用于仓库管理系统的开源项目&#xff0c;使用git作为代码管理工具&#xff0c;并在此基础上搭建起来的web服务。Gitlab有乌克兰程序员DmitriyZaporozhets和ValerySizov开发&#xff0c;它由Ruby写成。后来&#xff0c;一些部分用Go语…

leetcode 225.用队列实现栈 JAVA

题目 思路 1.一种是用双端队列&#xff08;Deque&#xff09;&#xff0c;直接就可以调用很多现成的方法&#xff0c;非常方便。 2.另一种是用普通的队列&#xff08;Queue&#xff09;,要实现栈的先入后出&#xff0c;可以将最后一个元素的前面所有元素出队&#xff0c;然后…

tcp和udp分别是什么?udp和tcp的区别

TCP和UDP是计算机网络中常见的两种传输层协议&#xff0c;它们在实际应用中具有不同的特点和用途。本文将对TCP和UDP进行介绍&#xff0c;并分析它们之间的区别。 TCP和UDP分别是什么&#xff1f; TCP&#xff08;Transmission Control Protocol&#xff09; TCP是一种面向连…