|
作者丨山志 出品丨北京一等一技術(shù)咨詢有限公司
頭圖丨freepik 
“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全,,沒(méi)有信息化就沒(méi)有現(xiàn)代化,網(wǎng)絡(luò)安全和信息化是一體之兩翼,、驅(qū)動(dòng)之雙輪”,。隨著5G、大數(shù)據(jù),、云計(jì)算,、人工智能、工業(yè)互聯(lián)網(wǎng),、物聯(lián)網(wǎng)等新一代信息技術(shù)的發(fā)展,,網(wǎng)絡(luò)空間與物理空間被徹底打通,網(wǎng)絡(luò)空間成為繼“陸??仗臁敝蟮牡谖宕髴?zhàn)略空間,,愈演愈烈的網(wǎng)絡(luò)攻擊已經(jīng)成為國(guó)家安全的新挑戰(zhàn)。為保障網(wǎng)絡(luò)空間安全,,我國(guó)網(wǎng)絡(luò)安全法治建設(shè)持續(xù)推進(jìn),,《網(wǎng)絡(luò)安全法》、《密碼法》等多部法律已頒布實(shí)施,,《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》加速制定中,,網(wǎng)絡(luò)空間不再是“法外之地”。在《網(wǎng)絡(luò)安全法》中明確規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,,落實(shí)網(wǎng)絡(luò)安全責(zé)任制,,依據(jù)相關(guān)規(guī)定開(kāi)展等級(jí)保護(hù)工作,通過(guò)等級(jí)測(cè)評(píng)來(lái)檢驗(yàn)網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力,,識(shí)別系統(tǒng)可能存在的安全風(fēng)險(xiǎn),;同時(shí)《網(wǎng)絡(luò)安全法》中規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者通過(guò)安全檢測(cè)評(píng)估的方式識(shí)別可能存在的風(fēng)險(xiǎn),;在《密碼法》中規(guī)定使用商用密碼進(jìn)行保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)履行開(kāi)展商用密碼應(yīng)用安全評(píng)估的工作,,同時(shí)指出商用密碼應(yīng)用安全評(píng)估,、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估與網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)進(jìn)行銜接,避免重復(fù)評(píng)估,、測(cè)評(píng),。商用密碼應(yīng)用安全評(píng)估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估與網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)三者間該如何銜接,,三者間又存在什么樣的聯(lián)系與區(qū)別呢,?本文對(duì)其進(jìn)行簡(jiǎn)要分析。網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng):(簡(jiǎn)稱“等級(jí)測(cè)評(píng)”)是測(cè)評(píng)機(jī)構(gòu)依據(jù)國(guó)家信息安全等級(jí)保護(hù)制度規(guī)定,,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),,對(duì)非涉及國(guó)家秘密信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng),是信息系統(tǒng)安全等級(jí)保護(hù)工作的重要環(huán)節(jié),。關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估:(簡(jiǎn)稱“關(guān)基安全檢測(cè)評(píng)估”)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全性和可能存在的風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估的活動(dòng),。檢測(cè)評(píng)估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度(國(guó)家和行業(yè)相關(guān)法律法規(guī)政策文件及運(yùn)營(yíng)者制定的制度)落實(shí)情況、組織機(jī)構(gòu)建設(shè)情況,、人員和經(jīng)費(fèi)投入情況,、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級(jí)保護(hù)工作落實(shí)情況,、密碼應(yīng)用安全性評(píng)估情況,、技術(shù)防護(hù)情況、云服務(wù)安全評(píng)估情況,、風(fēng)險(xiǎn)評(píng)估情況,、應(yīng)急演練情況、攻防演練情況等,,尤其關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施跨系統(tǒng),、跨區(qū)域間的信息流動(dòng),及其關(guān)鍵業(yè)務(wù)流動(dòng)過(guò)程中所經(jīng)資產(chǎn)的安全防護(hù)情況,。商用密碼應(yīng)用安全評(píng)估:(簡(jiǎn)稱“密評(píng)”)是指對(duì)采用商用密碼技術(shù),、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性,、有效性進(jìn)行評(píng)估,。等級(jí)測(cè)評(píng),、關(guān)基安全檢測(cè)評(píng)估,、密評(píng)三者間詳細(xì)的評(píng)估對(duì)象如下:
三者評(píng)估對(duì)象間的關(guān)系如下如:
等級(jí)保護(hù)對(duì)象基本覆蓋了全部的網(wǎng)絡(luò)和信息系統(tǒng),第三級(jí)以上的網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)象同時(shí)為關(guān)基和密評(píng)的評(píng)估對(duì)象,;關(guān)鍵基礎(chǔ)設(shè)施一定是等級(jí)測(cè)評(píng)和密評(píng)的評(píng)估的對(duì)象,;密評(píng)對(duì)象含關(guān)鍵基礎(chǔ)設(shè)施,、第三級(jí)等級(jí)保護(hù)對(duì)象和部分重要的信息系統(tǒng)。等級(jí)測(cè)評(píng),、關(guān)基安全檢測(cè)評(píng)估,、密評(píng)在實(shí)際開(kāi)展過(guò)程中應(yīng)銜接進(jìn)行,第三級(jí)以上的等級(jí)保護(hù)對(duì)象,、關(guān)鍵基礎(chǔ)設(shè)施,、商用密碼應(yīng)用安全的評(píng)估周期均為每年至少一次。針對(duì)被識(shí)別為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng),,為避免重復(fù)測(cè)評(píng),,可先確定等級(jí)保護(hù)對(duì)象,確定安全級(jí)別,、進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施識(shí)別/安全防護(hù),、開(kāi)展密碼應(yīng)用方案/等級(jí)保護(hù)建設(shè)方案評(píng)估、開(kāi)展等級(jí)測(cè)評(píng)及密評(píng)工作以及進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估,。
等級(jí)測(cè)評(píng),、關(guān)基安全檢測(cè)評(píng)估、密評(píng)的主要參考標(biāo)準(zhǔn)和評(píng)估內(nèi)容如下:
關(guān)基安全檢測(cè)評(píng)估包括了等級(jí)測(cè)評(píng),、密評(píng)的所有測(cè)評(píng)內(nèi)容,,密評(píng)中的部分評(píng)估內(nèi)容來(lái)自等級(jí)保護(hù)基本要求中關(guān)于密碼相關(guān)的要求項(xiàng)。等級(jí)保護(hù)工作包括五個(gè)規(guī)定動(dòng)作:定級(jí),、備案,、建設(shè)整改、等級(jí)測(cè)評(píng),、監(jiān)督檢查,;關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)包括識(shí)別認(rèn)定、安全防護(hù),、檢測(cè)評(píng)估,、監(jiān)測(cè)預(yù)警、事件處置五個(gè)環(huán)節(jié),;商用密碼應(yīng)用安全評(píng)估的工作流程大致包括確定評(píng)估對(duì)象,、開(kāi)展測(cè)評(píng)工作、輸出密碼測(cè)評(píng)報(bào)告,、密評(píng)結(jié)果上報(bào)四個(gè)階段,。
關(guān)基安全檢測(cè)評(píng)估通過(guò)合規(guī)檢查、技術(shù)檢測(cè)和分析評(píng)估完成,,具體評(píng)估流程為:評(píng)估工作準(zhǔn)備(調(diào)研,、方案制定)、工作實(shí)施,、工作總結(jié)(風(fēng)險(xiǎn)研判,、報(bào)告編制,、結(jié)果反饋);密評(píng)和等級(jí)測(cè)評(píng)包括測(cè)評(píng)準(zhǔn)備,、方案編制,、現(xiàn)場(chǎng)測(cè)評(píng)、測(cè)評(píng)結(jié)論分析,、測(cè)評(píng)報(bào)告編制,。三者的評(píng)估流程基本類似,整個(gè)工作開(kāi)展綜合流程可歸納為:網(wǎng)絡(luò)安全等級(jí)保護(hù)評(píng)估結(jié)論為優(yōu),、良,、中、差,,密評(píng)的測(cè)評(píng)結(jié)論有符合,、部分符合、不符合,;等級(jí)測(cè)評(píng)和密評(píng)都引入了風(fēng)險(xiǎn)分析,,依據(jù)資產(chǎn)、威脅,、脆弱性進(jìn)行賦值,,并計(jì)算風(fēng)險(xiǎn)值進(jìn)行判定,風(fēng)險(xiǎn)結(jié)論有高,、中,、低;關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基于風(fēng)險(xiǎn)評(píng)估的方法,,重在分析安全風(fēng)險(xiǎn)可能引起的安全事件及總體安全狀況,。當(dāng)網(wǎng)絡(luò)和信息系統(tǒng)存在高風(fēng)險(xiǎn)時(shí),等級(jí)測(cè)評(píng)和密評(píng)的結(jié)論均為不符合(差),。
等級(jí)保護(hù)是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ),,關(guān)鍵信息基礎(chǔ)設(shè)施是等級(jí)保護(hù)的重點(diǎn)防護(hù)對(duì)象。關(guān)鍵信息基礎(chǔ)設(shè)施必須落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,,開(kāi)展定級(jí)備案,、等級(jí)測(cè)評(píng)、安全建設(shè)整改,、安全檢查等強(qiáng)制性及規(guī)定性工作,;商用密碼應(yīng)用安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的一項(xiàng)防護(hù)措施,也是保障關(guān)鍵基礎(chǔ)設(shè)施安全的重要手段,,關(guān)鍵基礎(chǔ)設(shè)施必須按照密評(píng)相關(guān)標(biāo)準(zhǔn),、規(guī)定,開(kāi)展密評(píng)工作,;此外,,對(duì)于使用了商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)也必須按照密評(píng)相關(guān)標(biāo)準(zhǔn),、規(guī)定,,開(kāi)展密評(píng)工作,。由于網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第三級(jí)以上網(wǎng)絡(luò)和信息系統(tǒng)和國(guó)家政務(wù)信息系統(tǒng)必須基于密碼技術(shù)保障其安全性,故針對(duì)此類系統(tǒng)必須開(kāi)展密評(píng)工作,。等級(jí)保護(hù)是支撐國(guó)家網(wǎng)絡(luò)安全的基本制度,、開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)和商用密碼應(yīng)用安全評(píng)估的基礎(chǔ),若無(wú)法將等級(jí)保護(hù)制度落實(shí)到位,,則很難實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)到位,,商用密碼應(yīng)用安全評(píng)估工作也無(wú)法順利進(jìn)行。等級(jí)保護(hù)制度,、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),、商用密碼應(yīng)用安全評(píng)估都是網(wǎng)絡(luò)安全運(yùn)營(yíng)者應(yīng)履行的責(zé)任和義務(wù),并非哪一個(gè)重要,,哪一個(gè)不重要,,只是安全防護(hù)力度、角度存在一定差異,。
|
