代码编织梦想

“没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼、驱动之双轮”。随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》等多部法律已颁布实施,《个人信息保护法》《数据安全法》加速制定中,网络空间不再是“法外之地”。

在《网络安全法》中明确规定国家实行网络安全等级保护制度,落实网络安全责任制,依据相关规定开展等级保护工作,通过等级测评来检验网络系统的安全防护能力,识别系统可能存在的安全风险;同时《网络安全法》中规定关键信息基础设施运营者通过安全检测评估的方式识别可能存在的风险;在《密码法》中规定使用商用密码进行保护的关键基础设施,其运营者应履行开展商用密码应用安全评估的工作,同时指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接,避免重复评估、测评。

商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者间该如何衔接,三者间又存在什么样的联系与区别呢?本文对其进行简要分析。

基本概念

网络安全等级测评:(简称“等级测评”)是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,是信息系统安全等级保护工作的重要环节。

关键信息基础设施安全检测评估:(简称“关基安全检测评估”)对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。检测评估内容包括但不限于网络安全制度(国家和行业相关法律法规政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。

商用密码应用安全评估:(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。

联系与区别

  1. 评估对象

等级测评、关基安全检测评估、密评三者间详细的评估对象如下:

三者评估对象间的关系如下如:

等级保护对象基本覆盖了全部的网络和信息系统,第三级以上的网络安全等级保护对象同时为关基和密评的评估对象;关键基础设施一定是等级测评和密评的评估的对象;密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。

  1. 评估周期

等级测评、关基安全检测评估、密评在实际开展过程中应衔接进行,第三级以上的等级保护对象、关键基础设施、商用密码应用安全的评估周期均为每年至少一次。针对被识别为关键基础设施的系统,为避免重复测评,可先确定等级保护对象,确定安全级别、进行关键基础设施识别/安全防护、开展密码应用方案/等级保护建设方案评估、开展等级测评及密评工作以及进行关键基础设施安全检测评估。

  1. 评估内容

等级测评、关基安全检测评估、密评的主要参考标准和评估内容如下:

关基安全检测评估包括了等级测评、密评的所有测评内容,密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项。

  1. 评估流程

等级保护工作包括五个规定动作:定级、备案、建设整改、等级测评、监督检查;关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节;商用密码应用安全评估的工作流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。

关基安全检测评估通过合规检查、技术检测和分析评估完成,具体评估流程为:评估工作准备(调研、方案制定)、工作实施、工作总结(风险研判、报告编制、结果反馈);密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。

  1. 评估结论

网络安全等级保护评估结论为优、良、中、差,密评的测评结论有符合、部分符合、不符合;等级测评和密评都引入了风险分析,依据资产、威胁、脆弱性进行赋值,并计算风险值进行判定,风险结论有高、中、低;关键信息基础设施保护基于风险评估的方法,重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时,等级测评和密评的结论均为不符合(差)。

等级保护是关键信息基础设施保护的基础,关键信息基础设施是等级保护的重点防护对象。关键信息基础设施必须落实网络安全等级保护制度,开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作;商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段,关键基础设施必须按照密评相关标准、规定,开展密评工作;此外,对于使用了商用密码的网络和信息系统也必须按照密评相关标准、规定,开展密评工作。由于网络安全等级保护基本要求第三级以上网络和信息系统和国家政务信息系统必须基于密码技术保障其安全性,故针对此类系统必须开展密评工作。

等级保护是支撑国家网络安全的基本制度、开展关键信息基础设施保护和商用密码应用安全评估的基础,若无法将等级保护制度落实到位,则很难实现关键信息基础设施保护到位,商用密码应用安全评估工作也无法顺利进行。

等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务,并非哪一个重要,哪一个不重要,只是安全防护力度、角度存在一定差异。

智安网络丨什么是等保2.0?-爱代码爱编程

等保2.0于在2019年12月1日开始实施,下面我们从多个角度切入,带大家详细了解等级保护2.0到底是什么。 等保1.0回顾 在开始讲等保2.0之前,让我们先回顾一下等保1.0。等保1.0发布距今已经有10多年的时间,在这些日子里,网络安全也越来越被人们所重视。 在1.0的初期,企业只要有安全意识,能开始做等保,开始测评就已经很不错了;到了中期,整体

智安网络丨网络架构,是数据中心的“神经脉络”-爱代码爱编程

如果把数据中心比作一个“人”,则服务器和存储设备构成了数据中心的“器官”,而网络(交换机,路由器,防火墙)就是这个数据中心的“神经脉络”。那本节就针对数据中心的网络架构和一般设计的套路来说了。 01 网络分区与等保 一般情况下,本着灵活、安全、易管理的设计原则,企业都会对数据中心网络的物理设备进行分区。通常情况下,数据中心都会采用核心—汇聚—接入三层

智安网络丨一文区分等级保护与分级保护(等保与分保区别)-爱代码爱编程

通过手头资料整理,写一下两者之间区别,方便从业者能清晰区分出两者之间的关系。 要问两者之间有区别吗,答案是肯定的!首先责任单位不同,等保公安部牵头,分保保密局牵头,其次等保是针对不涉及国家秘密的系统,而分保针对的是涉及国家秘密的系统。 分别介绍下两者: 等级保护 定义: 信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息

智安网络丨「云安全」 什么是云访问安全代理(CASB )-爱代码爱编程

云访问安全代理(Cloud Access Security Broker,CASB,发音为KAZ-bee)是位于云服务消费者和云服务提供商(CSP)之间的内部或基于云的策略实施点,用于监视与云相关的活动,并应用与基于云的资源的使用相关的安全性、合规性和治理规则。CASB允许组织将其应用于本地基础设施的相同类型的控制扩展到云中,并可以组合不同类型的策略实施,

智安网络丨科普关于安全访问服务边缘(SASE),你需要知道的事情-爱代码爱编程

在企业纷纷拥抱数字业务的过程中,由于边缘计算、云服务、混合网络的逐渐兴起,使得本就漏洞百出的传统网络安全架构更加岌岌可危,而且远远无法满足企业数字业务的需要。为了应对这种情况,一个全新的模型——安全访问服务边缘(SASE)应运而生。 什么是安全访问服务边缘(SASE)? 首先,我们需要明确SASE的定义。定义很重要,迄今为止,SASE对于不同的人而言意

智安网络丨36 张图详解 DNS :网络世界的导航-爱代码爱编程

图片 上帝视角 我们平时在访问网站时,不使用 IP 地址,而是网站域名。但是抓包发现:交互报文是以 IP 地址进行的。那么 IP 地址是从哪来的呢?这是因为 DNS 把网站域名自动转换为 IP 地址。 图片 报文交互抓包 DNS 出现 TCP/IP 是基于 IP 地址进行通信的,但是 IP 地址不太好记。于是出现了另一种方便记忆的标识符,那就是主机名。为

智安网络丨24 张图搞定 ICMP :最常用的网络命令 ping 和 tracert-爱代码爱编程

图片 上帝视角 ICMP IP 是尽力传输的网络协议,提供的数据传输服务是不可靠的、无连接的,不能保证数据包能成功到达目的地。那么问题来了:如何确定数据包成功到达目的地? 图片 不可靠传输 这需要一个网络层协议,提供错误检测功能和报告机制功能,于是出现了 ICMP(互联网控制消息协议)。ICMP 的主要功能是,确认 IP 包是否成功送达目的地址,通知发

智安网络丨收快递也要注意隐私保护,小心信息泄露!-爱代码爱编程

现在,网购已经成为了大多数人的常态化购物方式,网购在为我们购物提供便利的同时也带动了快递行业的发展,网购离不开快递,人们收到自己心仪的宝贝拆快递时确实是件十分激动的事情,会有一种莫名的兴奋感占据我们的大脑,但这个时候也是我们最为掉以轻心的时刻。同时,很多不法分子也在悄悄打着我们的主意,他们手段层出不穷,想尽办法从我们身上牟取利益、实施诈骗。这些不法分子可能

智安网络丨云安全:浅谈态势感知-爱代码爱编程

"态势感知"于美国空军提出,包括“感知、理解、预测”三个层次。在目前的一些安全系统中,实际仅做到了“感知”。借用客户一句话,安全的核心技术实际还在国外,今天从我们自己做起,来点滴学习安全知识。 一、态势感知的三个层面的递进关系 1、感知,实际是获取一些安全事件的重要线索。在网络环境中,IDS、IPS实际上是这个层面的工作。 2、理解,分析安全事件之间

智安网络丨DDoS攻击:无限战争-爱代码爱编程

1 风云再起 小Q是Linux帝国网络部负责TCP连接的公务员。 一直以来工作都很轻松,加班也少,但自从小马哥到Linux帝国开设了nginx公司,小Q的工作量一下就大了起来,经常加班,为此小Q背后没少抱怨。 一大早,nginx按时启动,绑定了80端口监听,开始了今天的营生。 没过多久,今天的第一个客户来了。 ​ 搜图 编辑 请输入图片描述

智安网络丨CPU 空闲时在干嘛?-爱代码爱编程

人空闲时会发呆会无聊,计算机呢? 假设你正在用计算机浏览网页,当网页加载完成后你开始阅读,此时你没有移动鼠标,没有敲击键盘,也没有网络通信,那么你的计算机此时在干嘛? 有的同学可能会觉得这个问题很简单,但实际上,这个问题涉及从硬件到软件、从 CPU 到操作系统等一系列环节,理解了这个问题你就能明白操作系统是如何工作的了。 你的计算机 CPU 使用率是

智安网络丨居安思危·洞见未来 —— 智安网络安全周报-爱代码爱编程

安全周报第7期:2021年7月13日丨 国内资讯 ►腾讯牵头的业内首部《零信任系统技术规范》正式发布 近日,由腾讯安全牵头编制的中国第一部《零信任系统技术规范》正式发布。《规范》不但填补了国内在零信任领域的技术标准空白,也在产业技术的发展升级、改善品质服务、降低部署成本等层面,提供了极具操作性的指导意义和参考标准。 ►工信部:到2023年网络安全产业

智安网络丨全局负载均衡、CDN内容分发的原理与实践-爱代码爱编程

CDN 简介 - CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。 CDN的关键技术主要有内容存储和分发技术。简而言之,

智安网络丨2021 必须了解的40个问题-爱代码爱编程

前言 为了让有过保需求的客户能够更全面地了解当前的等保测评机制、以及针对性进行2021年等保合规建设,梳理了等级保护常见的40个问题,以供参考。 Q1 什么是等级保护? 答:等级保护制度是我国网络安全的基本制度。等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用

智安新闻丨智安网络【一站式等保云平台】产品发布会,荣耀开启!-爱代码爱编程

2021年8月8日,中国在东京奥运会比赛全部结束,夺得38金32银18铜的佳绩;恰东奥期间,成都疫情突发,成都智安同事在居家云办公的同时,也一起开启了云看奥运的旅程,云上经济蓬勃发展的今天,云安全同样成为不可忽视的一环; 8月9日,智安网络【一站式等保云平台】产品发布会在总经理张继宗,首席安全官郭海骏的领导下,于成都分部正式召开;同时,为响应国家号召,防

智安网络丨等级保护2.0标准最全解读,三分钟读懂!-爱代码爱编程

2019年5月13日,网络安全等级保护制度2.0标准正式发布,同时这些标准将于12月1日正式实施,我国迈入等保2.0时代。相较于等保1.0,等保2.0标准在很多方面都做了调整,重点包括:等保2.0覆盖范围变化、等保2.0基本结构变化、等保2.0要求项变化、等保2.0测评结论变化、等保2.0定级要求变化。 一、等保2.0覆盖范围变化 等保2.0覆盖范围更

智安荣誉丨智安【一站式等保云平台】荣获第六届“创客中国”网络安全中小企业创新创业大赛优胜奖!-爱代码爱编程

图片 2021年9月18日,由工业和信息化部、财政部指导,工业和信息化部网络安全产业发展中心(工业和信息化部信息中心)、成都市经济和信息化局、成都高新技术产业开发区管理委员会联合主办的第六届“创客中国”网络安全中小企业创新创业大赛决赛在成都高新区圆满收官。 图片 ▲大赛现场 同时,经过大赛网络筛选、项目初审、复赛和决赛环节的激烈角逐和层层选拔,最终,

智安网络丨等保大考新挑战,这里有一份标准答案!-爱代码爱编程

图片 等保2.0时代,几乎所有企业都要通过的网络安全大考,究竟应该如何准备呢? 这不,继今年6月等保测评计分规则做了新的修订,对等保建设的要求更高了,采用缺陷扣分法,单个测评项判定为“不符合”和“部分符合”的都要扣分,今年9月《关键信息基础设施安全保护条例》也已正式施行(👉戳我看【关保条例】解读); 多项政策措施的连续颁布、执行,标志着国家对信息基础