等保、密评、关基安全检测评估，三者之间有什么联系？

等保、密评、关基安全检测评估，三者之间有什么联系？

发布时间：April 10, 2021

网络空间不是“法外之地”，尤其是随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展，网络空间与物理空间被逐步打通，国家级和商业级的网络攻防战开始打响。

为保障网络空间安全、规范网络世界行为，我国网络安全法治建设持续推进，在国家逐渐出台《网络安全法》、《密码法》、《GM/T 0054-2018 信息系统密码应用基本要求》等法律法规的进程中，在网络安全等级保护（以下简称“等保”）制度稳步落地的推动下，“海陆空网”立体式通道日渐清晰，在网络空间安全得到充分重视的同时，商用密码应用安全性评估（以下简称“密评”）和关键信息基础设施安全检测评估（以下简称“关基安全检测评估”）等工作也开始步入网络安全工作的舞台中央。

抽丝剥茧 · Ta们之间紧密相连

《网络安全法》中明确规定国家实行等保制度，落实网络安全责任制，依据相关规定开展等级保护工作，通过等级测评来检验网络系统的安全防护能力，识别系统可能存在的安全风险；同时，《网络安全法》中规定关键信息基础设施运营者通过安全检测评估的方式识别可能存在的风险；《密码法》中规定使用商用密码进行保护的关键基础设施，其运营者应履行开展密评工作，并指出商用密码应用安全评估、关键信息基础设施安全检测评估与网络安全等级测评进行衔接，避免重复评估、测评。

网络安全等级测评是测评机构依据国家等保制度规定，按照有关管理规范和技术标准，对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动，是信息系统安全等级保护工作的重要环节。

关键信息基础设施安全检测评估是对关基安全性和可能存在的风险进行检测评估的活动，是《网络安全法》中的具体要求。检测评估内容包括但不限于网络安全制度落实、网络安全等级保护工作落实、密码应用安全性评估、技术防护、云服务安全评估、风险评估等情况，尤其要关注关键信息基础设施跨系统、跨区域间的信息流动，及其关键业务流动过程中所经资产的安全防护情况。

商用密码应用安全评估是指对采用商用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性进行评估，是我国《密码法》的明确规定。

▲ 关系图

总体而言，等级保护对象基本覆盖了全部的网络和信息系统，第三级以上的网络安全等级保护对象同时为关基和密评的评估对象；关键基础设施一定是等级测评和密评的评估的对象；密评对象含关键基础设施、第三级等级保护对象和部分重要的信息系统。

三项重量级测评的前路 · 密码守护

根据计算机信息系统安全保护等级划分准则，企业的网络和信息系统需要满足其在身份鉴别、数据完整性等方面的规定。通过购买并部署代表企业身份的SSL证书于服务器中，企业便可以在实现身份认证的同时，保证内外网服务器访问时的数据加密性与完整性。此外，等保2.0中还明确指出了数据库的安全。采用SSL证书是保证调用方与数据库之间的链路安全的较优方案，可有效解决内部人员在链路上恶意拦截等问题。

在关键信息基础设施方面，采用SM2、SM3等商用密码算法的GMSSL国密证书实现网站HTTPS加密、电子邮件加密、PDF文件签名加密等，是帮助关键信息基础设施运营者通过安全检测评估的重要环节。

在密码技术应用的具体要求中，密评涵盖了物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等各个方面，单纯由不同的密码厂商提供不同的密码产品，已经不能够满足现阶段密评的需求。因此迫切需要如上海CA这样具有全面密码能力的密码应用厂商，为信息系统提供全面的密码应用服务。

只争朝夕，矢志前行。作为电子认证领域的先行者，上海CA在身份安全、商密产品、密码服务、国密算法等模块深耕力拓，已经形成了以安全为基础，以合法合规为首要前提，以护航企业发展为根本目的的全方位数字信任服务体系。除了可以为客户提供由国家密码管理局颁发了商用密码产品型号证书的身份认证服务器、电子签章服务器、时间戳服务器、移动智能终端安全密码模块、支持国密算法的SSLVPN安全网关等诸多商用密码产品外，上海CA还可以为您量身打造适合客户的的密码改造方案。

纷繁世事多元应，击鼓催征稳驾驭。上海CA将做好行业发展的主峰，在建设和运营好上海市网络信任体系的同时，从我们擅长的身份认证、电子签名、电子印章、数据加解密、安全密码、国密算法、数字证书等技术和服务出发，为企业和国家永续发展扫除安全发展隐患，筑牢数字信任根基。