發(fā)布時間：2021年4月10日

網(wǎng)絡(luò)空間不是“法外之地”,，尤其是隨著5G,、大數(shù)據(jù)、云計算,、人工智能,、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新一代信息技術(shù)的發(fā)展,，網(wǎng)絡(luò)空間與物理空間被逐步打通,，國家級和商業(yè)級的網(wǎng)絡(luò)攻防戰(zhàn)開始打響。

為保障網(wǎng)絡(luò)空間安全、規(guī)范網(wǎng)絡(luò)世界行為,，我國網(wǎng)絡(luò)安全法治建設(shè)持續(xù)推進，在國家逐漸出臺《網(wǎng)絡(luò)安全法》,、《密碼法》,、《GM/T 0054-2018 信息系統(tǒng)密碼應(yīng)用基本要求》等法律法規(guī)的進程中，在網(wǎng)絡(luò)安全等級保護（以下簡稱“等?！保┲贫确€(wěn)步落地的推動下,，“海陸空網(wǎng)”立體式通道日漸清晰，在網(wǎng)絡(luò)空間安全得到充分重視的同時,，商用密碼應(yīng)用安全性評估（以下簡稱“密評”）和關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估（以下簡稱“關(guān)基安全檢測評估”）等工作也開始步入網(wǎng)絡(luò)安全工作的舞臺中央,。

抽絲剝繭 · Ta們之間緊密相連

《網(wǎng)絡(luò)安全法》中明確規(guī)定國家實行等保制度，落實網(wǎng)絡(luò)安全責任制,，依據(jù)相關(guān)規(guī)定開展等級保護工作,，通過等級測評來檢驗網(wǎng)絡(luò)系統(tǒng)的安全防護能力，識別系統(tǒng)可能存在的安全風(fēng)險,；同時,，《網(wǎng)絡(luò)安全法》中規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者通過安全檢測評估的方式識別可能存在的風(fēng)險；《密碼法》中規(guī)定使用商用密碼進行保護的關(guān)鍵基礎(chǔ)設(shè)施,，其運營者應(yīng)履行開展密評工作,，并指出商用密碼應(yīng)用安全評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估與網(wǎng)絡(luò)安全等級測評進行銜接,，避免重復(fù)評估,、測評。

網(wǎng)絡(luò)安全等級測評是測評機構(gòu)依據(jù)國家等保制度規(guī)定,，按照有關(guān)管理規(guī)范和技術(shù)標準,，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動，是信息系統(tǒng)安全等級保護工作的重要環(huán)節(jié),。

關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估是對關(guān)基安全性和可能存在的風(fēng)險進行檢測評估的活動,，是《網(wǎng)絡(luò)安全法》中的具體要求。檢測評估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度落實,、網(wǎng)絡(luò)安全等級保護工作落實,、密碼應(yīng)用安全性評估、技術(shù)防護,、云服務(wù)安全評估,、風(fēng)險評估等情況，尤其要關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施跨系統(tǒng),、跨區(qū)域間的信息流動,，及其關(guān)鍵業(yè)務(wù)流動過程中所經(jīng)資產(chǎn)的安全防護情況。

商用密碼應(yīng)用安全評估是指對采用商用密碼技術(shù),、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性,、正確性,、有效性進行評估，是我國《密碼法》的明確規(guī)定,。

▲ 關(guān)系圖

總體而言,，等級保護對象基本覆蓋了全部的網(wǎng)絡(luò)和信息系統(tǒng)，第三級以上的網(wǎng)絡(luò)安全等級保護對象同時為關(guān)基和密評的評估對象,；關(guān)鍵基礎(chǔ)設(shè)施一定是等級測評和密評的評估的對象,；密評對象含關(guān)鍵基礎(chǔ)設(shè)施、第三級等級保護對象和部分重要的信息系統(tǒng),。

三項重量級測評的前路 · 密碼守護

根據(jù)計算機信息系統(tǒng)安全保護等級劃分準則,，企業(yè)的網(wǎng)絡(luò)和信息系統(tǒng)需要滿足其在身份鑒別、數(shù)據(jù)完整性等方面的規(guī)定,。通過購買并部署代表企業(yè)身份的SSL證書于服務(wù)器中,，企業(yè)便可以在實現(xiàn)身份認證的同時，保證內(nèi)外網(wǎng)服務(wù)器訪問時的數(shù)據(jù)加密性與完整性,。此外,，等保2.0中還明確指出了數(shù)據(jù)庫的安全。采用SSL證書是保證調(diào)用方與數(shù)據(jù)庫之間的鏈路安全的較優(yōu)方案,，可有效解決內(nèi)部人員在鏈路上惡意攔截等問題,。

在關(guān)鍵信息基礎(chǔ)設(shè)施方面，采用SM2,、SM3等商用密碼算法的GMSSL國密證書實現(xiàn)網(wǎng)站HTTPS加密,、電子郵件加密、PDF文件簽名加密等,，是幫助關(guān)鍵信息基礎(chǔ)設(shè)施運營者通過安全檢測評估的重要環(huán)節(jié),。

在密碼技術(shù)應(yīng)用的具體要求中，密評涵蓋了物理和環(huán)境安全,、網(wǎng)絡(luò)和通信安全,、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等各個方面,，單純由不同的密碼廠商提供不同的密碼產(chǎn)品,，已經(jīng)不能夠滿足現(xiàn)階段密評的需求。因此迫切需要如上海CA這樣具有全面密碼能力的密碼應(yīng)用廠商,，為信息系統(tǒng)提供全面的密碼應(yīng)用服務(wù),。

只爭朝夕，矢志前行,。作為電子認證領(lǐng)域的先行者,，上海CA在身份安全、商密產(chǎn)品、密碼服務(wù),、國密算法等模塊深耕力拓,，已經(jīng)形成了以安全為基礎(chǔ)，以合法合規(guī)為首要前提,，以護航企業(yè)發(fā)展為根本目的的全方位數(shù)字信任服務(wù)體系,。除了可以為客戶提供由國家密碼管理局頒發(fā)了商用密碼產(chǎn)品型號證書的身份認證服務(wù)器、電子簽章服務(wù)器,、時間戳服務(wù)器、移動智能終端安全密碼模塊,、支持國密算法的SSLVPN安全網(wǎng)關(guān)等諸多商用密碼產(chǎn)品外,，上海CA還可以為您量身打造適合客戶的的密碼改造方案。

紛繁世事多元應(yīng),，擊鼓催征穩(wěn)駕馭,。上海CA將做好行業(yè)發(fā)展的主峰，在建設(shè)和運營好上海市網(wǎng)絡(luò)信任體系的同時,，從我們擅長的身份認證,、電子簽名、電子印章,、數(shù)據(jù)加解密,、安全密碼、國密算法,、數(shù)字證書等技術(shù)和服務(wù)出發(fā),，為企業(yè)和國家永續(xù)發(fā)展掃除安全發(fā)展隱患，筑牢數(shù)字信任根基,。