推荐 | 等级保护与商用密码安全性评估相关技术、测评要求比对分析
“等保”即网络安全等级保护,旨在通过不同安全等级的管理和技术措施,确保信息系统的安全稳定运行。我国于2017年颁布的《网络安全法》中第二十一条规定“国家实行网络安全等级保护制度”。法律要求网络运营者需按照网络安全等级保护制度要求,履行制定安全管理制度、采取防范技术措施、监测记录网络状态、保护数据安全等多项义务,确保网络安全 稳定。
“密评”即商用密码应用安全性评估,是对网络信息系统中所使用的商用密码产品和应用进行的安全性评估。《密码法》于2020年开始实施,其中第二十七条要求关键信息基础设施的运营者需依法使用商用密码进行保护,并自行或委托专业机构开展安全性评估,确保与其他安全检测评估制度相衔接,避免重复工作。
“等保”和“密评”共同构成了我国网络安全防御体系的重要组成部分,两者相互补充,强化了网络空间的整体防御能力,有力地支撑了国家信息化建设的安全稳定。“等保”侧重于对网络信息系统进行整体的安全管理与技术防护,以确保网络信息系统在物理安全、网络安全、主机安全、应用安全和数据安全等方面达到相应的标准和要求。
“密评”则聚焦于使用了商用密码的产品、系统和服务,对其密码算法选择、密码协议设计、密钥管理以及密码模块的安全性等方面进行全面而深入的合规性、正确性和有效性评估。
以下内容将从国家相应的法律法规、测评标准、测评流程以及测评实施等方面对“等保”和“密评”的具体差异与内在联系进行简单的探讨。
一、国家法律法规角度对比
《网络安全法》下的网络安全等级保护测评全面关注国家、公共、关键信息基础设施及个人信息安全,涵盖物理、网络、主机、应用和数据安全等多个维度。该测评重点关注网络与信息安全、系统管理、数据安全、访问控制、恶意代码防范及网络安全事件应急响应等方面,通过设定不同等级的安全保护要求,旨在确保网络基础设施、信息系统和数据的安全,有效预防网络攻击和数据泄露。
相对而言,《密码法》下的商用密码应用安全性评估则聚焦于规范商用密码的应用和管理,深入评估密码算法、协议、应用设计、密钥管理、密码设备及模块的安全性与合规性。其主要目的是保护使用密码技术进行数据加密、身份认证、通信安全等涉及国家安全、商业秘密和个人隐私的信息系统。
二、两者相关标准文件
(一)等级保护2.0相关标准规范
(二)商用密码安全性评估标准规范
三、标准层面对比
我国为了规范和指导等级保护(等保)和商用密码应用安全评估(密评)的相关工作,近年来陆续制定和颁布了一系列相关的国家标准。这些标准涵盖了“基本要求、实施(设计)指南以及测评要求”等关键内容,确保各类组织机构能够按照统一且严格的标准构建和维护安全的信息系统环境。
(一)基本要求
(二)实施/设计指南
(三)测评要求
四、测评流程的比较
等保测评更侧重于信息系统的整体安全性能评估,而商用密码应用安全评估则专注于商用密码技术、产品和服务的合规性、正确性和有效性的评估。
五、”等保“和”密评“同步实施
双评一致性 |
||
等级测评 |
商用密码应用安全性评估 |
|
对象一致性 |
已定级的信息系统 |
|
过程一致性 |
测评准备、方案编制、现场测评、分析与报告编制 |
|
测评方法 一致性 |
访谈、安全测试、查看文档等 |
|
测评内容交集 |
身份鉴别、数据传输和存储等 |
|
双评差异性 |
||
测评内容 |
等级测评 |
商用密码应用安全性评估 |
测评指标 |
依据《GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求》 |
GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》 |
指标要求与等级保护标准对应 |
指标要求与密码应用标准对应 |
|
涉及物理安全、网络安全、应用安全、数据安全等方面 |
侧重于密码技术、密码管理、密码应用等方面 |
|
测评报告 |
分值计算依据不同公式 |
分值计算依据不同公式(对象、单元、层面、整体测评) |
70分达到合格线 |
60分达到合格线(且无高风险项) |
|
结论分为优、良、中、差 |
结论分为符合、基本符合、不符合等 |
各阶段的具体工作内容如下:
通过合理的规划与实施,可以实现“一次入场,同步双评”的目标,“同步双评”机制的优势在于显著提升了企业评估效率,确保企业能够在接受整体网络安全考核时,无需分阶段或重复投入资源通过合并评估流程大幅度降低了时间和经济成本,同时也强化了等保与密评之间的保障网络安全协同性和评估结果的一致性。
声明:本文来自微信公众号“商密之巅”,版权归作者所有。文章内容仅代表作者独立观点,不代表量安科技立场,转载目的在于传递更多信息。