“沒有網(wǎng)絡(luò)安全就沒有國家安全,沒有信息化就沒有現(xiàn)代化,網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪”。隨著5G、大數(shù)據(jù)、云計算、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新一代信息技術(shù)的發(fā)展,網(wǎng)絡(luò)空間與物理空間被徹底打通,網(wǎng)絡(luò)空間成為繼“陸??仗?rdquo;之后的第五大戰(zhàn)略空間,愈演愈烈的網(wǎng)絡(luò)攻擊已經(jīng)成為國家安全的新挑戰(zhàn)。為保障網(wǎng)絡(luò)空間安全,我國網(wǎng)絡(luò)安全法治建設(shè)持續(xù)推進(jìn),《網(wǎng)絡(luò)安全法》、《密碼法》等多部法律已頒布實施,《個人信息保護(hù)法》《數(shù)據(jù)安全法》加速制定中,網(wǎng)絡(luò)空間不再是“法外之地”。
在《網(wǎng)絡(luò)安全法》中明確規(guī)定國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,落實網(wǎng)絡(luò)安全責(zé)任制,依據(jù)相關(guān)規(guī)定開展等級保護(hù)工作,通過等級測評來檢驗網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)能力,識別系統(tǒng)可能存在的安全風(fēng)險;同時《網(wǎng)絡(luò)安全法》中規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者通過安全檢測評估的方式識別可能存在的風(fēng)險;在《密碼法》中規(guī)定使用商用密碼進(jìn)行保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施,其運營者應(yīng)履行開展商用密碼應(yīng)用安全評估的工作,同時指出商用密碼應(yīng)用安全評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估與網(wǎng)絡(luò)安全等級測評進(jìn)行銜接,避免重復(fù)評估、測評。
商用密碼應(yīng)用安全評估、關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估與網(wǎng)絡(luò)安全等級測評三者間該如何銜接,三者間又存在什么樣的聯(lián)系與區(qū)別呢?本文對其進(jìn)行簡要分析。
基本概念
網(wǎng)絡(luò)安全等級測評:(簡稱“等級測評”)是測評機(jī)構(gòu)依據(jù)國家信息安全等級保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),對非涉及國家秘密信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行檢測評估的活動,是信息系統(tǒng)安全等級保護(hù)工作的重要環(huán)節(jié)。
關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估:(簡稱“關(guān)基安全檢測評估”)對關(guān)鍵信息基礎(chǔ)設(shè)施安全性和可能存在的風(fēng)險進(jìn)行檢測評估的活動。檢測評估內(nèi)容包括但不限于網(wǎng)絡(luò)安全制度(國家和行業(yè)相關(guān)法律法規(guī)政策文件及運營者制定的制度)落實情況、組織機(jī)構(gòu)建設(shè)情況、人員和經(jīng)費投入情況、教育培訓(xùn)情況、網(wǎng)絡(luò)安全等級保護(hù)工作落實情況、密碼應(yīng)用安全性評估情況、技術(shù)防護(hù)情況、云服務(wù)安全評估情況、風(fēng)險評估情況、應(yīng)急演練情況、攻防演練情況等,尤其關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施跨系統(tǒng)、跨區(qū)域間的信息流動,及其關(guān)鍵業(yè)務(wù)流動過程中所經(jīng)資產(chǎn)的安全防護(hù)情況。
商用密碼應(yīng)用安全評估:(簡稱“密評”)是指對采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評估。
聯(lián)系與區(qū)別
1)評估對象
等級測評、關(guān)基安全檢測評估、密評三者間詳細(xì)的評估對象如下:
三者評估對象間的關(guān)系如下如:
等級保護(hù)對象基本覆蓋了全部的網(wǎng)絡(luò)和信息系統(tǒng),第三級以上的網(wǎng)絡(luò)安全等級保護(hù)對象同時為關(guān)基和密評的評估對象;關(guān)鍵基礎(chǔ)設(shè)施一定是等級測評和密評的評估的對象;密評對象含關(guān)鍵基礎(chǔ)設(shè)施、第三級等級保護(hù)對象和部分重要的信息系統(tǒng)。
2)評估周期
等級測評、關(guān)基安全檢測評估、密評在實際開展過程中應(yīng)銜接進(jìn)行,第三級以上的等級保護(hù)對象、關(guān)鍵基礎(chǔ)設(shè)施、商用密碼應(yīng)用安全的評估周期均為每年至少一次。針對被識別為關(guān)鍵基礎(chǔ)設(shè)施的系統(tǒng),為避免重復(fù)測評,可先確定等級保護(hù)對象,確定安全級別、進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施識別/安全防護(hù)、開展密碼應(yīng)用方案/等級保護(hù)建設(shè)方案評估、開展等級測評及密評工作以及進(jìn)行關(guān)鍵基礎(chǔ)設(shè)施安全檢測評估。
3)評估內(nèi)容
等級測評、關(guān)基安全檢測評估、密評的主要參考標(biāo)準(zhǔn)和評估內(nèi)容如下:
密評主要參考標(biāo)準(zhǔn)GB/T 39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》于2021年3月9日正式發(fā)布,2021年10月1日實施。
關(guān)基安全檢測評估包括了等級測評、密評的所有測評內(nèi)容,密評中的部分評估內(nèi)容來自等級保護(hù)基本要求中關(guān)于密碼相關(guān)的要求項。
4)評估流程
等級保護(hù)工作包括五個規(guī)定動作:定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查;關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)包括識別認(rèn)定、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、事件處置五個環(huán)節(jié);商用密碼應(yīng)用安全評估的工作流程大致包括確定評估對象、開展測評工作、輸出密碼測評報告、密評結(jié)果上報四個階段。
關(guān)基安全檢測評估通過合規(guī)檢查、技術(shù)檢測和分析評估完成,具體評估流程為:評估工作準(zhǔn)備(調(diào)研、方案制定)、工作實施、工作總結(jié)(風(fēng)險研判、報告編制、結(jié)果反饋);密評和等級測評包括測評準(zhǔn)備、方案編制、現(xiàn)場測評、測評結(jié)論分析、測評報告編制。
三者的評估流程基本類似,整個工作開展綜合流程可歸納為:
5)評估結(jié)論
網(wǎng)絡(luò)安全等級保護(hù)評估結(jié)論為優(yōu)、良、中、差,密評的測評結(jié)論有符合、基本符合、不符合;等級測評和密評都引入了風(fēng)險分析,依據(jù)資產(chǎn)、威脅、脆弱性進(jìn)行賦值,并計算風(fēng)險值進(jìn)行判定,風(fēng)險結(jié)論有高、中、低;關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基于風(fēng)險評估的方法,重在分析安全風(fēng)險可能引起的安全事件及總體安全狀況。當(dāng)網(wǎng)絡(luò)和信息系統(tǒng)存在高風(fēng)險時,等級測評和密評的結(jié)論均為不符合(差)。
等級保護(hù)是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ),關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)的重點防護(hù)對象。關(guān)鍵信息基礎(chǔ)設(shè)施必須落實網(wǎng)絡(luò)安全等級保護(hù)制度,開展定級備案、等級測評、安全建設(shè)整改、安全檢查等強(qiáng)制性及規(guī)定性工作;商用密碼應(yīng)用安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的一項防護(hù)措施,也是保障關(guān)鍵基礎(chǔ)設(shè)施安全的重要手段,關(guān)鍵基礎(chǔ)設(shè)施必須按照密評相關(guān)標(biāo)準(zhǔn)、規(guī)定,開展密評工作;此外,對于使用了商用密碼的網(wǎng)絡(luò)和信息系統(tǒng)也必須按照密評相關(guān)標(biāo)準(zhǔn)、規(guī)定,開展密評工作。由于網(wǎng)絡(luò)安全等級保護(hù)基本要求第三級以上網(wǎng)絡(luò)和信息系統(tǒng)和國家政務(wù)信息系統(tǒng)必須基于密碼技術(shù)保障其安全性,故針對此類系統(tǒng)必須開展密評工作。
等級保護(hù)是支撐國家網(wǎng)絡(luò)安全的基本制度、開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)和商用密碼應(yīng)用安全評估的基礎(chǔ),若無法將等級保護(hù)制度落實到位,則很難實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)到位,商用密碼應(yīng)用安全評估工作也無法順利進(jìn)行。
等級保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、商用密碼應(yīng)用安全評估都是網(wǎng)絡(luò)安全運營者應(yīng)履行的責(zé)任和義務(wù),并非哪一個重要,哪一個不重要,只是安全防護(hù)力度、角度存在一定差異。