等保测评密评对照:一文看懂两者差异

图片

最近,在去几个客户的办公室交流的方案的时候,都会被重点问到网络安全问题,在方案中“等保”是如何体现和落实的。而且有些客户的领导也会提到“密评”与“等保”如何衔接,是否有先后顺序,可否同时进行测评等问题。

关于“等保”“密评”在法律、标准、流程以及测评实施等方面的具体差异与内在联系,一直是客户领导关注的焦点。他们希望了解这两项制度在维护网络安全方面各自的作用与互补性,以确保信息系统的政策合规性,并在网络安全上得到全面、高效的保障。

“等保”即网络安全等级保护,旨在通过不同安全等级的管理和技术措施,确保信息系统的安全稳定运行。我国于2017年颁布的《网络安全法》中第二十一条规定“国家实行网络安全等级保护制度”。法律要求网络运营者需按照网络安全等级保护制度要求,履行制定安全管理制度、采取防范技术措施、监测记录网络状态、保护数据安全等多项义务,确保网络安全稳定。

现行的网络安全等级保护要求简称为“等保2.0",相较于等保1.0主要体现在技术防护体系的扩展和安全管理要求的强化,以及对新技术应用安全的覆盖,更加全面和深入地保障了网络安全。

”密评“即商用密码应用安全性评估,是对网络信息系统中所使用的商用密码产品和应用进行的安全性评估。《密码法》于2020年开始实施,其中第二十七条要求关键信息基础设施的运营者需依法使用商用密码进行保护,并自行或委托专业机构开展安全性评估,确保与其他安全检测评估制度相衔接,避免重复工作。

”等保“和”密评“共同构成了我国网络安全防御体系的重要组成部分,两者相互补充,强化了网络空间的整体防御能力,有力地支撑了国家信息化建设的安全稳定。”等保“侧重于对网络信息系统进行整体的安全管理与技术防护,以确保网络信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应的标准和要求。

”密评“则聚焦于使用了商用密码的产品、系统和服务,对其密码算法选择、密码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、正确性和有效性评估。

以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面对”等保“和”密评“的具体差异与内在联系进行简单的探讨。

图片

01.国家法律法规角度对比

《网络安全法》下的网络安全等级保护测评全面关注国家、公共、关键信息基础设施及个人信息安全,涵盖物理、网络、主机、应用和数据安全等多个维度。该测评重点关注网络与信息安全、系统管理、数据安全、访问控制、恶意代码防范及网络安全事件应急响应等方面,通过设定不同等级的安全保护要求,旨在确保网络基础设施、信息系统和数据的安全,有效预防网络攻击和数据泄露。

相对而言,《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的应用和管理,深入评估密码算法、协议、应用设计、密钥管理、密码设备及模块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。通过专业的密码学方法和工具,确保关键领域网络和信息系统的密码应用安全无虞。

两者在目的、保护对象和关注重点上虽各有侧重,但均是我国网络安全和密码应用安全法律保障体系的重要组成部分,共同维护着国家网络安全和信息安全的大局。

网络安全等级保护测评商用密码应用安全性评估
法律法规《网络安全法》、《关键信息基础设施安全保护条例》等《密码法》、《商⽤密码管理条例》等
目的确保网络基础设施、信息系统及数据的安全性,防止网络攻击和数据泄露规范商用密码的应用和管理,确保关键领域网络和信息系统的密码应用安全
保护对象各类信息系统、网络基础设施、数据和个人信息商用密码的应用,特别是关键领域网络和信息系统的密码应用
关注重点整体安全设计、安全管理、物理环境、网络通信、身份认证、访问控制等系统全面安全密码算法安全性、密钥管理、密码设备安全性能、密码应用系统架构安全设计等密码技术的具体应用和实现
评估手段包括文档审查、现场评估、技术检测、资料审核、人员访谈、模拟演练等措施
测评内容安全管理制度、安全防范措施、应急处置能力,物理安全、网络安全、应用安全主机安全、应用安全、数据安全及备份恢复等多个层面的综合评估密码算法安全性、密码协议安全性、密码应用设计安全性、密钥管理安全性、密码设备及密码模块安全性等方面的评估
目标效果构建安全、可靠、稳定的网络环境,促进信息化发展,保障国家安全提升密码安全保障能力,确保关键领域密码应用安全,维护网络空间安全
违法责任不按规定开展工作的将面临警告、罚款、吊销许可等处罚;造成严重后果者依法追究刑事责任

图片

02.标准层面的对比

我国为了规范和指导等级保护(等保)和商用密码应用安全评估(密评)的相关工作,近年来陆续制定和颁布了一系列相关的国家标准。这些标准旨在规范等级保护(等保)和商用密码应用安全评估(密评)的各个环节。这些标准涵盖了“基本要求、实施(设计)指南以及测评要求”等关键内容,确保各类组织机构能够按照统一且严格的标准构建和维护安全的信息系统环境。

网络安全等级保护测评商用密码应用安全评估
基本要求《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)
实施/设计指南《信息安全技术—网络安全等级保护实施指南》(GB/T 25058-2019)《信息安全技术 信息系统密码应用设计指南》(GBT 43207-2023)
测评要求《信息安全技术—网络安全等级保护测评要求》(GB/T 28448-2019)《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023)
  • 基本要求

    标准《信息安全技术—网络安全等级保护基本要求》(GB/T 22239-2019)《信息安全技术  信息系统密码应用基本要求》(GB/T 39786-2021)
    定级系统分为五个等级:一级至五级,主要根据信息系统的业务重要性、信息价值和受破坏后的潜在影响来划分密码应用要求通常按照GB/T  22239-2019要求,跟随网络安全等级保护级别设定,即针对不同等级的信息系统提出相应的密码应用要求,不独立进行定级。
    安全技术要求安全通用要求包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境以及安全管理中心等;扩展安全要求包括:云计算、移动互联网、物联网及工业控制系统等;通用测评要求包括:密码算法、密码技术、密码产品、  密码服务、密钥管理等,技术测评包括:物理和环境安全、网络和通信安全、设备和计算安全、 应用和数据安全
    安全管理要求包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、  安全运维管理包括:管理制度、人员管理、建设运行、应急处置
  • 实施/设计指南

    《信息安全技术—网络安全等级保护实施指南》(GB/T  25058-2019)《信息安全技术 信息系统密码应用设计指南》(GBT 43207-2023)
    标准目的提供一个系统的框架和指导原则,以帮助组织和机构对信息系统实施有效的安全保护措施。确保信息系统在设计和实施过程中能够有效地利用密码技术来加强安全防护,同时满足合规性和业务需求。
    适用范围适用于各种类型的信息系统并指导网络安全等级保护工作的实施适用于指导信息系统密码应用方案的设计。可作为信息系统密码保障建设、密码应用安全性评估和密码管理部门安全性评估备案工作的参考。
    内容侧重点为信息系统提供从定级备案、总体安全规划、安全设计与实施、技术措施的实现、安全运行与维护、定级终止供了详细的指导,以帮助组织建立和维护一个符合等级保护要求的网络安全环境为信息系统密码应用提供全面的设计指导,确保密码应用方案的系统性、安全性和有效性。
    实施流程包括定级备案、安全规划、设计与实施、技术措施实现、运行维护以及定级终止六个关键阶段。涵盖了三个核心流程:密码应用需求分析、密码应用设计分析以及安全与合规性分析,并详细描计算平台、密码支撑平台和业务应用平台的密码应用技术框架
    关键任务与活动安全等级确定、安全规划设计实施、安全运维及测评、定级终止包括需求、应用、合规分析以及计算、支撑、应用等密码技术框架设计
  • 测评要求

    网络安全等级保护测评要求(GB/T  28448-2019)信息系统密码应用测评要求(GB/T  43206-2023)
    目的验证信息系统是否符合相应等级的安全保护要求。评估信息系统中密码应用的安全性和合规性。
    适用范围适用于所有需要执行网络安全等级保护测评的信息系统。涉及密码技术的所有信息系统,特别是商用密码产品和服务
    测评对象系统各个层面的安全防护措施(物理、边界、网络、计算环境、建设、管理、运维等)密码使用环节的算法、技术、产品、服务、密钥,使用的环境、网络、计算以及应用和数据,密码的管理等
    测评方法文档审查、配置核查、功能测试、渗透测试等综合评价密码技术检测与验证,包括密钥生命周期检查、算法安全性分析等
    合规要求符合《网络安全法》、等级保护基本要求等相关法律法规和技术标准遵守《密码法》、《商用密码管理条例》及相关国家密码行业标准
    测评结论结论指出系统是否达到等级保护要求并提出整改建议明确系统密码应用是否符合安全要求,并给出改进意见

图片

03.测评流程的比较

等保测评和商用密码应用安全评估在流程上有一定的相似性,但侧重点不同。等保测评更侧重于信息系统的整体安全性能评估,而商用密码应用安全评估则专注于商用密码技术、产品和服务的合规性、正确性和有效性的评估。

等保测评商用密码应用安全评估
测评准备测评工作启动,系统信息收集和分析、相关测评工具和表单准备收集被测系统的相关资料信息。掌握被测系统密码使用的详细情况
方案编制测评对象及指标的确定,测评内容、工具测试方案确定,测评指导书及测评方案编制正确合理确定测评对象、测评边界和测评指标、根据技术标准和规范编、制测评方案和测评结果记录表格。
   
现场测评测评准备、测评及记录、确认记录、归还资料遵循测评方案,使用指定工具执行操作,记录结果,收集证据以评估系统密码安全,并确保测评活动得到适当监督和记录。
报告编制根据测评结果,形成正式的测评报告。报告中包括测评结果判定、安全保障评估、风险分析、测评结论等评估信息系统密码安全现状与标准要求的差异,识别潜在风险,得出结论,并依据国家密码管理部门统一的报告模板编写。报告包含完整测评结果和专业分析的判断。

图片

04.”等保“和”密评“同步实施

“双评合规”这一概念,即同步进行“等保测评”与“密评”(商用密码应用安全评估),亦称作“一次入场,同步双审”。这一举措旨在同一时间段内高效整合并实施等保测评和商用密码应用安全评估两项安全合规工作。

“等保测评”与“密评”存在诸多方面的共性,通过恰当的方法优化整合测评指标与流程,完全有可能实现两项测评的同时进行,既节约了时间和成本,又确保了评估的协调性和准确性。

双评一致性
等级测评商用密码应用安全性评估
对象一致性已定级的信息系统
过程一致性测评准备、方案编制、现场测评、分析与报告编制
测评方法一致性访谈、安全测试、查看文档等
测评内容交集身份鉴别、数据传输和存储等
双评差异性
测评内容等级测评商用密码应用安全性评估
测评指标依据《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》
指标要求与等级保护标准对应指标要求与密码应用标准对应
涉及物理安全、网络安全、应用安全、数据安全等方面侧重于密码技术、密码管理、密码应用等方面
测评报告分值计算依据不同公式分值计算依据不同公式
70分达到合格线60分达到合格线
结论分为优、良、中、差结论分为符合、基本符合、不符合等

"双评"工作流程,即等级保护测评和商用密码应用安全评估的同步实施,涵盖了准备阶段、方案编制阶段、现场测评阶段以及分析报告阶段。各阶段的具体工作内容如下:

工作阶段双评工作内容
1.准备阶段

调研表融合:通过整合资产调研表,增加密码产品与服务的相关内容,确保被测评单位能够一次性完成资产梳理与统计。

工作计划确认:与被测评单位明确入场时间和对接人员,确保两项测评工作的高效协同。

2.方案编制阶段标准依据区分:尽管两者在过程上相似,但由于依据的标准不同(等级测评依据《GB/T22239一2019》,商用密码评估依据《GB/T43206-2023》),需要分别制定测评方案。
指标选取:针对两项标准的具体要求,分别确定并选取测评指标。
3.现场测评阶段内容与方法交集利用:利用两者在测评内容和方法上的交集,如身份鉴别、数据传输和存储等,进行联合测评,提高现场测评效率。
验证测试分工:由于目的不同,等级测评侧重于漏洞和安全风险发现,而商用密码评估关注密码技术的有效性,因此建议两者分别组织专业团队进行测试
4.分析与报告编制阶段分析方法采用:两者都采用单元测评和整体测评的分析方法,但在量化评估和高风险判定上有所不同,因此需分别进行。
报告编制:基于各自的分析结果,分别完成等级测评和商用密码应用安全性评估的报告编制。

通过合理的规划与实施,可以实现“一次入场,同步双评”的目标,“同步双评”机制的优势在于显著提升了企业评估效率,确保企业能够在接受整体网络安全考核时,无需分阶段或重复投入资源通过合并评估流程大幅度降低了时间和经济成本,同时也强化了等保与密评之间的保障网络安全协同性和评估结果的一致性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/488450.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

后端常问面经之Java集合

HashMap底层原理 HashMap的数据结构: 底层使用hash表数据结构,即数组和链表或红黑树 当我们往HashMap中put元素时,利用key的hashCode重新hash计算出当前对象的元素在数组中的下标 存储时,如果出现hash值相同的key,此…

《自动机理论、语言和计算导论》阅读笔记:p28-p48

《自动机理论、语言和计算导论》学习第3天,p28-p48总结,总计21页。 一、技术总结 1.希腊字母(Greek Alphabet包含大小写)。 24个,掌握其读写有助于阅读及数学推导时使用。 2.自动机理论的核心概念 (1)alphabet (2)string (3)language …

【CXL协议-事务层之CXL.mem(3)】

3.3 CXL.mem 3.3.1 Introduction (介绍) CXL 内存协议称为 CXL.mem,它是 CPU 和内存之间的事务接口。 跨芯片通信时,它使用 Compute Express Link (CXL) 的物理层和链路层。 该协议可用于多种不同的内存连接选项,包括…

Pandas操作MultiIndex合并行列的Excel,写入读取以及写入多余行及Index列处理,插入行,修改某个单元格的值

Pandas操作MultiIndex合并行列的excel,写入读取以及写入多余行及Index列处理 1. 效果图及问题2. 源码参考 今天是谁写Pandas的 复合索引MultiIndex,写的糊糊涂涂,晕晕乎乎。 是我呀… 记录下,现在终于灵台清明了。 明天在记录下直…

Vue3进阶(叁):关于 Vue2 项目迁移至 Vue3 的几点注意事项

文章目录 一、前言二、Vue3 新特性三、Vue2 安全保障四、迁移方案4.1 迁移辅助工具 vue/compat 库 五、迁移注意事项5.1 升级和兼容性5.2 组件的改变5.3 Composition API5.4 Vue Router5.5 Vuex5.6 其他库和插件5.7 差异示例5.7.1 创建vue5.7.2 定义时间格式全局过滤器5.7.3 vu…

PTAxt的考研路

xt是我院19级专业第一,但他认为保研并不能展示他全部的实力,所以他在22年初试一结束就加入了23考研的队伍中,并且他为了填补我院近些年来无北大研究生的空白,毅然决然决定扛起19级的大旗,在学校百年华诞之际献上他最诚…

平台介绍-搭建赛事运营平台(3)

上文介绍了品牌隔离的基本原理,就是通过不同的前端和微服务来实现。但是确实很多功能是类似的,所以从编程角度还是有些管理手段的。 前端部分:前端部分没有什么特别手段,就是两个独立的项目工程,分别维护。相同的部分复…

maven的依赖继承

先说一下创建子maven工程的步骤 继承 继承的作用:在父工程中,统一管理项目中的依赖信息,进行统一的版本控制 继承的背景是:对一个大型的项目进行了模块拆分,一个project下,创建了很多的module&#xff0c…

绝地求生:PUBG七周年在线人数70万,比六周年增加24万

大家好,我是闲游盒 自从3月PUBG7周年活动开启,PUBG在线人数再次突破70万,黑盒数据显示最高在线人数达704344人,PUBG迎来又一春。 对比6周年的数据而言,7周年的玩家在线人数增长了24万! 而根据数据显示,PUBG…

centos7 装 docker-ce

安装必要的系统工具: sudo yum install -y yum-utils device-mapper-persistent-data lvm2 sudo yum install -y yum-utils device-mapper-persistent-data lvm2 命令会以超级用户的身份安装三个软件包:yum-utils,device-mapper-persistent-…

『笔记』可扩展架构设计之消息队列

前言 众所周知,开发低耦合系统是软件开发的终极目标之一。低耦合的系统更加容易扩展,低耦合的模块更加容易复用,更易于维护和管理。我们知道,消息队列的主要功能就是收发消息,但是它的作用不仅仅只是解决应用之间的通…

数据库高级查询【mysql】

数据库高级查询【数据库】 前言版权推荐数据库高级查询行转列统计数据 CASE WHEN 条件 THEN 结果1 ELSE 结果2 END数据库查询带排名建表查询带排名,排名连续查询带排名,排名不连续查询带排名,按行号 Mysql数据库函数常用函数最后 前言 2024-…

(四)图像的%2线性拉伸

环境:Windows10专业版 IDEA2021.2.3 jdk11.0.1 OpenCV-460.jar 系列文章: (一)PythonGDAL实现BSQ,BIP,BIL格式的相互转换 (二)BSQ,BIL,BIP存储格式的相互转换算法 (三…

SQLite中的原子提交(四)

返回:SQLite—系列文章目录 上一篇:SQLite数据库成为内存中数据库(三) 下一篇:SQLite使用的临时文件(二) 1. 引言 SQLite等事务数据库的一个重要特性 是“原子提交”。 原子提交意味着所有数据库都在…

【文献分享】WimPyDD 程序:用于计算 WIMP 直接检测信号的面向对象的 Python 代码

题目:WimPyDD: An object–oriented Python code for the calculation of WIMP direct detection signals 链接:DOI: 10.1016/j.cpc.2022.108342 Program Title: WimPyDD (first release: v1.6.1) CPC Library link to program files: https://doi.…

【哈希专题】【蓝桥杯备考训练】:星空之夜、模拟散列表、字符串哈希、四平方和、扫雷【已更新完成】

目录 1、星空之夜(usaco training 5.1) 2、模拟散列表(模板) 3、字符串哈希(模板) 4、四平方和(第七届蓝桥杯省赛C A组/B组 & JAVA B组/C组) 5、扫雷(Google Ki…

AOI检测是如何逐步渗透进半导体领域

欢迎关注GZH《光场视觉》 一直以来AOI检测都是制造业视觉检测系统产业的核心要素。 AOI检测技术应运而生的背景是:电子元件集成度与精细化程度高,检测速度与效率更高、检测零缺陷的发展需求。 在制造业视觉检测系统中下游应用领域中,AOI检测…

linux-开发板移植MQTT

将源码复制到共享文件夹 链接:https://pan.baidu.com/s/1kvvO-HhDMDXkQ_wlNtyW_A?pwd332i 提取码:332i 以下步骤教程里都写了,我这里边进行,方便大家对照 pc端 1.进入mqtt_lib, 解压open压缩包 2.按照教程复制这一句并运行&…

EAK研发制造片式厚膜高压电阻

用于制造的工艺是丝网印刷和模板印刷。使用的修整是磨料或激光。 使用的电阻材料是氧化钌浆料,阻值范围:-10GQ超出阻值范围可协商订货 阻值精度:士0.5% ~士10%(根据需要可生产士0.1%) 温度系数范围:25ppm/c~80ppmC(25C~105℃)其它要求可协商订货 最高工作温度:22…

ESCTF-密码赛题WP

*小学生的爱情* Base64解码获得flag *中学生的爱情* 社会主义核心价值观在线解码得到flag http://www.atoolbox.net/Tool.php?Id850 *高中生的爱情* U2FsdG开头为rabbit密码,又提示你密钥为love。本地toolfx密码工具箱解密。不知道为什么在线解密不行。 *大学生的爱情* …