“没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼、驱动之双轮”。随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》等多部法律已颁布实施,《个人信息保护法》《数据安全法》加速制定中,网络空间不再是“法外之地”。
商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者间该如何衔接,三者间又存在什么样的联系与区别呢?本文对其进行简要分析。
关键信息基础设施安全检测评估:(简称“关基安全检测评估”)对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。检测评估内容包括但不限于网络安全制度(国家和行业相关法律法规政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。
商用密码应用安全评估:(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
联系与区别
- 评估对象
- 评估周期
等级测评、关基安全检测评估、密评在实际开展过程中应衔接进行,第三级以上的等级保护对象、关键基础设施、商用密码应用安全的评估周期均为每年至少一次。针对被识别为关键基础设施的系统,为避免重复测评,可先确定等级保护对象,确定安全级别、进行关键基础设施识别/安全防护、开展密码应用方案/等级保护建设方案评估、开展等级测评及密评工作以及进行关键基础设施安全检测评估。
- 评估内容
- 评估流程
等级保护工作包括五个规定动作:定级、备案、建设整改、等级测评、监督检查;关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节;商用密码应用安全评估的工作流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。
关基安全检测评估通过合规检查、技术检测和分析评估完成,具体评估流程为:评估工作准备(调研、方案制定)、工作实施、工作总结(风险研判、报告编制、结果反馈);密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。
网络安全等级保护评估结论为优、良、中、差,密评的测评结论有符合、不符合;等级测评和密评都引入了风险分析,依据资产、威胁、脆弱性进行赋值,并计算风险值进行判定,风险结论有高、中、低;关键信息基础设施保护基于风险评估的方法,重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时,等级测评和密评的结论均为不符合(差)。
等级保护是关键信息基础设施保护的基础,关键信息基础设施是等级保护的重点防护对象。关键信息基础设施必须落实网络安全等级保护制度,开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作;商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段,关键基础设施必须按照密评相关标准、规定,开展密评工作;此外,对于使用了商用密码的网络和信息系统也必须按照密评相关标准、规定,开展密评工作。由于网络安全等级保护基本要求第三级以上网络和信息系统和国家政务信息系统必须基于密码技术保障其安全性,故针对此类系统必须开展密评工作。
等级保护是支撑国家网络安全的基本制度、开展关键信息基础设施保护和商用密码应用安全评估的基础,若无法将等级保护制度落实到位,则很难实现关键信息基础设施保护到位,商用密码应用安全评估工作也无法顺利进行。
等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务,并非哪一个重要,哪一个不重要,只是安全防护力度、角度存在一定差异。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/224208.html原文链接:https://javaforall.net
![Python Matplotlib 画心形曲线[通俗易懂]](https://javaforall.net/wp-content/uploads/2020/11/2020110817443450-480x300.jpg)
