最近,在去几个客户的办公室交流的方案的时候,都会被重点问到网络安全问题,在方案中“等保”是如何体现和落实的。而且有些客户的领导也会提到“密评”与“等保”如何衔接,是否有先后顺序,可否同时进行测评等问题。
关于“等保”与“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在联系,一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全方面各自的作用与互补性,以确保信息系统的政策合规性,并在网络安全上得到全面、高效的保障。
“等保”即网络安全等级保护,旨在通过不同安全等级的管理和技术措施,确保信息系统的安全稳定运行。我国于2017年颁布的《网络安全法》中第二十一条规定“国家实行网络安全等级保护制度”。法律要求网络运营者需按照网络安全等级保护制度要求,履行制定安全管理制度、采取防范技术措施、监测记录网络状态、保护数据安全等多项义务,确保网络安全稳定。
现行的网络安全等级保护要求简称为“等保2.0",相较于等保1.0主要体现在技术防护体系的扩展和安全管理要求的强化,以及对新技术应用安全的覆盖,更加全面和深入地保障了网络安全。
”密评“即商用密码应用安全性评估,是对网络信息系统中所使用的商用密码产品和应用进行的安全性评估。《密码法》于2020年开始实施,其中第二十七条要求关键信息基础设施的运营者需依法使用商用密码进行保护,并自行或委托专业机构开展安全性评估,确保与其他安全检测评估制度相衔接,避免重复工作。
”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分,两者相互补充,强化了网络空间的整体防御能力,有力地支撑了国家信息化建设的安全稳定。”等保“侧重于对网络信息系统进行整体的安全管理与技术防护,以确保网络信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应的标准和要求。
”密评“则聚焦于使用了商用密码的产品、系统和服务,对其密码算法选择、密码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、正确性和有效性评估。
以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面对”等保“和”密评“的具体差异与内在联系进行简单的探讨。
01.国家法律法规角度对比
《网络安全法》下的网络安全等级保护测评全面关注国家、公共、关键信息基础设施及个人信息安全,涵盖物理、网络、主机、应用和数据安全等多个维度。该测评重点关注网络与信息安全、系统管理、数据安全、访问控制、恶意代码防范及网络安全事件应急响应等方面,通过设定不同等级的安全保护要求,旨在确保网络基础设施、信息系统和数据的安全,有效预防网络攻击和数据泄露。
相对而言,《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的应用和管理,深入评估密码算法、协议、应用设计、密钥管理、密码设备及模块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的密码学方法和工具,确保关键领域网络和信息系统的密码应用安全无虞。
两者在目的、保护对象和关注重点上虽各有侧重,但均是我国网络安全和密码应用安全法律保障体系的重要组成部分,共同维护着国家网络安全和信息安全的大局。
网络安全等级保护测评 | 商用密码应用安全性评估 | |
法律法规 | 《网络安全法》、《关键信息基础设施安全保护条例》等 | 《密码法》、《商⽤密码管理条例》等 |
目的 | 确保网络基础设施、信息系统及数据的安全性,防止网络攻击和数据泄露 | 规范商用密码的应用和管理,确保关键领域网络和信息系统的密码应用安全 |
保护对象 | 各类信息系统、网络基础设施、数据和个人信息 | 商用密码的应用,特别是关键领域网络和信息系统的密码应用 |
关注重点 | 整体安全设计、安全管理、物理环境、网络通信、身份认证、访问控制等系统全面安全 | 密码算法安全性、密钥管理、密码设备安全性能、密码应用系统架构安全设计等密码技术的具体应用和实现 |
评估手段 | 包括文档审查、现场评估、技术检测、资料审核、人员访谈、模拟演练等措施 | |
测评内容 | 安全管理制度、安全防范措施、应急处置能力,物理安全、网络安全、应用安全主机安全、应用安全、数据安全及备份恢复等多个层面的综合评估 | 密码算法安全性、密码协议安全性、密码应用设计安全性、密钥管理安全性、密码设备及密码模块安全性等方面的评估 |
目标效果 | 构建安全、可靠、稳定的网络环境,促进信息化发展,保障国家安全 | 提升密码安全保障能力,确保关键领域密码应用安全,维护网络空间安全 |
违法责任 | 不按规定开展工作的将面临警告、罚款、吊销许可等处罚;造成严重后果者依法追究刑事责任 |
02.标准层面的对比
我国为了规范和指导等级保护(等保)和商用密码应用安全评估(密评)的相关工作,近年来陆续制定和颁布了一系列相关的国家标准。这些标准旨在规范等级保护(等保)和商用密码应用安全评估(密评)的各个环节。这些标准涵盖了“基本要求、实施(设计)指南以及测评要求”等关键内容,确保各类组织机构能够按照统一且严格的标准构建和维护安全的信息系统环境。
网络安全等级保护测评 | 商用密码应用安全评估 | |
基本要求 | 《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019) | 《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021) |
实施/设计指南 | 《信息安全技术—网络安全等级保护实施指南》(GB/T 25058-2019) | 《信息安全技术 信息系统密码应用设计指南》(GBT 43207-2023) |
测评要求 | 《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019) | 《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023) |
-
基本要求
标准 《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019) 《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021) 定级 系统分为五个等级:一级至五级,主要根据信息系统的业务重要性、信息价值和受破坏后的潜在影响来划分 密码应用要求通常按照GB/T 22239-2019要求,跟随网络安全等级保护级别设定,即针对不同等级的信息系统提出相应的密码应用要求,不独立进行定级。 安全技术要求 安全通用要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心等;扩展安全要求包括:云计算、移动互联网、物联网及工业控制系统等; 通用测评要求包括:密码算法、密码技术、密码产品、 密码服务、密钥管理等,技术测评包括:物理和环境安全、网络和通信安全、设备和计算安全、 应用和数据安全 安全管理要求 包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、 安全运维管理 包括:管理制度、人员管理、建设运行、应急处置 -
实施/设计指南
《信息安全技术—网络安全等级保护实施指南》(GB/T 25058-2019) 《信息安全技术 信息系统密码应用设计指南》(GBT 43207-2023) 标准目的 提供一个系统的框架和指导原则,以帮助组织和机构对信息系统实施有效的安全保护措施。 确保信息系统在设计和实施过程中能够有效地利用密码技术来加强安全防护,同时满足合规性和业务需求。 适用范围 适用于各种类型的信息系统并指导网络安全等级保护工作的实施 适用于指导信息系统密码应用方案的设计。可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门安全性评估备案工作的参考。 内容侧重点 为信息系统提供从定级备案、总体安全规划、安全设计与实施、技术措施的实现、安全运行与维护、定级终止供了详细的指导,以帮助组织建立和维护一个符合等级保护要求的网络安全环境 为信息系统密码应用提供全面的设计指导,确保密码应用方案的系统性、安全性和有效性。 实施流程 包括定级备案、安全规划、设计与实施、技术措施实现、运行维护以及定级终止六个关键阶段。 涵盖了三个核心流程:密码应用需求分析、密码应用设计分析以及安全与合规性分析,并详细描计算平台、密码支撑平台和业务应用平台的密码应用技术框架 关键任务与活动 安全等级确定、安全规划设计实施、安全运维及测评、定级终止 包括需求、应用、合规分析以及计算、支撑、应用等密码技术框架设计 -
测评要求
网络安全等级保护测评要求(GB/T 28448-2019) 信息系统密码应用测评要求(GB/T 43206-2023) 目的 验证信息系统是否符合相应等级的安全保护要求。 评估信息系统中密码应用的安全性和合规性。 适用范围 适用于所有需要执行网络安全等级保护测评的信息系统。 涉及密码技术的所有信息系统,特别是商用密码产品和服务 测评对象 系统各个层面的安全防护措施(物理、边界、网络、计算环境、建设、管理、运维等) 密码使用环节的算法、技术、产品、服务、密钥,使用的环境、网络、计算以及应用和数据,密码的管理等 测评方法 文档审查、配置核查、功能测试、渗透测试等综合评价 密码技术检测与验证,包括密钥生命周期检查、算法安全性分析等 合规要求 符合《网络安全法》、等级保护基本要求等相关法律法规和技术标准 遵守《密码法》、《商用密码管理条例》及相关国家密码行业标准 测评结论 结论指出系统是否达到等级保护要求并提出整改建议 明确系统密码应用是否符合安全要求,并给出改进意见
03.测评流程的比较
等保测评和商用密码应用安全评估在流程上有一定的相似性,但侧重点不同。等保测评更侧重于信息系统的整体安全性能评估,而商用密码应用安全评估则专注于商用密码技术、产品和服务的合规性、正确性和有效性的评估。
等保测评 | 商用密码应用安全评估 | |
测评准备 | 测评工作启动,系统信息收集和分析、相关测评工具和表单准备 | 收集被测系统的相关资料信息。掌握被测系统密码使用的详细情况 |
方案编制 | 测评对象及指标的确定,测评内容、工具测试方案确定,测评指导书及测评方案编制 | 正确合理确定测评对象、测评边界和测评指标、根据技术标准和规范编、制测评方案和测评结果记录表格。 |
现场测评 | 测评准备、测评及记录、确认记录、归还资料 | 遵循测评方案,使用指定工具执行操作,记录结果,收集证据以评估系统密码安全,并确保测评活动得到适当监督和记录。 |
报告编制 | 根据测评结果,形成正式的测评报告。报告中包括测评结果判定、安全保障评估、风险分析、测评结论等 | 评估信息系统密码安全现状与标准要求的差异,识别潜在风险,得出结论,并依据国家密码管理部门统一的报告模板编写。报告包含完整测评结果和专业分析的判断。 |
04.”等保“和”密评“同步实施
“双评合规”这一概念,即同步进行“等保测评”与“密评”(商用密码应用安全评估),亦称作“一次入场,同步双审”。这一举措旨在同一时间段内高效整合并实施等保测评和商用密码应用安全评估两项安全合规工作。
“等保测评”与“密评”存在诸多方面的共性,通过恰当的方法优化整合测评指标与流程,完全有可能实现两项测评的同时进行,既节约了时间和成本,又确保了评估的协调性和准确性。
双评一致性 | ||
等级测评 | 商用密码应用安全性评估 | |
对象一致性 | 已定级的信息系统 | |
过程一致性 | 测评准备、方案编制、现场测评、分析与报告编制 | |
测评方法一致性 | 访谈、安全测试、查看文档等 | |
测评内容交集 | 身份鉴别、数据传输和存储等 | |
双评差异性 | ||
测评内容 | 等级测评 | 商用密码应用安全性评估 |
测评指标 | 依据《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》 | GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》 |
指标要求与等级保护标准对应 | 指标要求与密码应用标准对应 | |
涉及物理安全、网络安全、应用安全、数据安全等方面 | 侧重于密码技术、密码管理、密码应用等方面 | |
测评报告 | 分值计算依据不同公式 | 分值计算依据不同公式 |
70分达到合格线 | 60分达到合格线 | |
结论分为优、良、中、差 | 结论分为符合、基本符合、不符合等 |
"双评"工作流程,即等级保护测评和商用密码应用安全评估的同步实施,涵盖了准备阶段、方案编制阶段、现场测评阶段以及分析报告阶段。各阶段的具体工作内容如下:
工作阶段 | 双评工作内容 |
1.准备阶段 | 调研表融合:通过整合资产调研表,增加密码产品与服务的相关内容,确保被测评单位能够一次性完成资产梳理与统计。 工作计划确认:与被测评单位明确入场时间和对接人员,确保两项测评工作的高效协同。 |
2.方案编制阶段 | 标准依据区分:尽管两者在过程上相似,但由于依据的标准不同(等级测评依据《GB/T22239一2019》,商用密码评估依据《GB/T43206-2023》),需要分别制定测评方案。 指标选取:针对两项标准的具体要求,分别确定并选取测评指标。 |
3.现场测评阶段 | 内容与方法交集利用:利用两者在测评内容和方法上的交集,如身份鉴别、数据传输和存储等,进行联合测评,提高现场测评效率。 验证测试分工:由于目的不同,等级测评侧重于漏洞和安全风险发现,而商用密码评估关注密码技术的有效性,因此建议两者分别组织专业团队进行测试 |
4.分析与报告编制阶段 | 分析方法采用:两者都采用单元测评和整体测评的分析方法,但在量化评估和高风险判定上有所不同,因此需分别进行。 报告编制:基于各自的分析结果,分别完成等级测评和商用密码应用安全性评估的报告编制。 |
通过合理的规划与实施,可以实现“一次入场,同步双评”的目标,“同步双评”机制的优势在于显著提升了企业评估效率,确保企业能够在接受整体网络安全考核时,无需分阶段或重复投入资源通过合并评估流程大幅度降低了时间和经济成本,同时也强化了等保与密评之间的保障网络安全协同性和评估结果的一致性。