“没有网络安全就没有国家安全,没有信息化就没有现代化,网络安全和信息化是一体之两翼、驱动之双轮”。随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家安全的新挑战。为保障网络空间安全,我国网络安全法治建设持续推进,《网络安全法》、《密码法》等多部法律已颁布实施,《个人信息保护法》《数据安全法》加速制定中,网络空间不再是“法外之地”。
在《网络安全法》中明确规定国家实行网络安全等级保护制度,落实网络安全责任制,依据相关规定开展等级保护工作,通过等级测评来检验网络系统的安全防护能力,识别系统可能存在的安全风险;同时《网络安全法》中规定关键信息基础设施运营者通过安全检测评估的方式识别可能存在的风险;在《密码法》中规定使用商用密码进行保护的关键基础设施,其运营者应履行开展商用密码应用安全评估的工作,同时指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接,避免重复评估、测评。
商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评三者间该如何衔接,三者间又存在什么样的联系与区别呢?本文对其进行简要分析。
基本概念
网络安全等级测评:(简称“等级测评”)是测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动,是信息系统安全等级保护工作的重要环节。
关键信息基础设施安全检测评估:(简称“关基安全检测评估”)对关键信息基础设施安全性和可能存在的风险进行检测评估的活动。检测评估内容包括但不限于网络安全制度(国家和行业相关法律法规政策文件及运营者制定的制度)落实情况、组织机构建设情况、人员和经费投入情况、教育培训情况、网络安全等级保护工作落实情况、密码应用安全性评估情况、技术防护情况、云服务安全评估情况、风险评估情况、应急演练情况、攻防演练情况等,尤其关注关键信息基础设施跨系统、跨区域间的信息流动,及其关键业务流动过程中所经资产的安全防护情况。
商用密码应用安全评估:(简称“密评”)是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估。
联系与区别
等级测评、关基安全检测评估、密评三者间详细的评估对象如下:
三者评估对象间的关系如下如:
等级保护对象基本覆盖了全部的网络和信息系统,第三级以上的网络安全等级保护对象同时为关基和密评的评估对象;关键基础设施一定是等级测评和密评的评估的对象;密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。
等级测评、关基安全检测评估、密评在实际开展过程中应衔接进行,第三级以上的等级保护对象、关键基础设施、商用密码应用安全的评估周期均为每年至少一次。针对被识别为关键基础设施的系统,为避免重复测评,可先确定等级保护对象,确定安全级别、进行关键基础设施识别/安全防护、开展密码应用方案/等级保护建设方案评估、开展等级测评及密评工作以及进行关键基础设施安全检测评估。
等级测评、关基安全检测评估、密评的主要参考标准和评估内容如下:
关基安全检测评估包括了等级测评、密评的所有测评内容,密评中的部分评估内容来自等级保护基本要求中关于密码相关的要求项。
等级保护工作包括五个规定动作:定级、备案、建设整改、等级测评、监督检查;关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节;商用密码应用安全评估的工作流程大致包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报四个阶段。
关基安全检测评估通过合规检查、技术检测和分析评估完成,具体评估流程为:评估工作准备(调研、方案制定)、工作实施、工作总结(风险研判、报告编制、结果反馈);密评和等级测评包括测评准备、方案编制、现场测评、测评结论分析、测评报告编制。
网络安全等级保护评估结论为优、良、中、差,密评的测评结论有符合、部分符合、不符合;等级测评和密评都引入了风险分析,依据资产、威胁、脆弱性进行赋值,并计算风险值进行判定,风险结论有高、中、低;关键信息基础设施保护基于风险评估的方法,重在分析安全风险可能引起的安全事件及总体安全状况。当网络和信息系统存在高风险时,等级测评和密评的结论均为不符合(差)。
等级保护是关键信息基础设施保护的基础,关键信息基础设施是等级保护的重点防护对象。关键信息基础设施必须落实网络安全等级保护制度,开展定级备案、等级测评、安全建设整改、安全检查等强制性及规定性工作;商用密码应用安全是保障网络和信息系统安全的一项防护措施,也是保障关键基础设施安全的重要手段,关键基础设施必须按照密评相关标准、规定,开展密评工作;此外,对于使用了商用密码的网络和信息系统也必须按照密评相关标准、规定,开展密评工作。由于网络安全等级保护基本要求第三级以上网络和信息系统和国家政务信息系统必须基于密码技术保障其安全性,故针对此类系统必须开展密评工作。
等级保护是支撑国家网络安全的基本制度、开展关键信息基础设施保护和商用密码应用安全评估的基础,若无法将等级保护制度落实到位,则很难实现关键信息基础设施保护到位,商用密码应用安全评估工作也无法顺利进行。
等级保护制度、关键信息基础设施保护、商用密码应用安全评估都是网络安全运营者应履行的责任和义务,并非哪一个重要,哪一个不重要,只是安全防护力度、角度存在一定差异。