维护网络信息安全,中国评测网安中心邀您同行
此前,我们介绍了中国评测网安中心的风险评估业务,主要包括传统安全风险评估、新技术新业务评估、网络信息安全规划咨询等,详细了解请点这儿【4·15全民国家安全教育日】中国软件评测中心核心能力建设主题之网络信息安全评估业务。其实,我们中国评测网安中心的业务非常全面,今天就来看看网络安全等级保护测评、商用密码应用安全性评估和关键信息基础设施安全保护吧,这些领域我们也是有非常丰富的从业经验的。
网络安全等级保护测评
等保测评工作的开展主要依据GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》等技术标准,对非涉及国家秘密的信息系统的安全等级保护状况进行检测评估的活动。
主要通过访谈、文档审查、实地察看、配置检查、工具测试等方法,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面的安全通用要求和系统对应的安全扩展要求进行等级保护测评,分析判断目前信息系统所采取的安全措施与所备案的安全保护等级标准要求之间的差距,并及时提出安全建设整改建议。待被测单位完成问题整改后进行复测,根据复测结果进行汇总分析,形成等级测评结果,并出具网络安全等级保护测评报告。
典型案例:中组部等保测评、中宣部等保测评、工信部等保测评、商务部等保测评、国家认监委等保测评、中国工程院等保测评、国家知识产权局等保测评、中国红十字会总会等保测评、北京市公安局等保测评、北京市财政局等保测评、北京市药监局等保测评、北京市医管中心等保测评、北京轨道交通指挥中心等保测评、京东云等保测评、金山云等保测评、华为云等保测评、云上贵州等保测评、微软云等保测评等。
商用密码应用安全性评估
密评工作的开展主要依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、《信息安全技术 信息系统密码应用测评要求(征求意见稿)》,对信息系统商用密码应用的合规性、正确性和有效性给出科学准确的评估结果。
主要通过访谈、文档审查、实地查看、配置检查、工具测试等方法从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面对系统商用密码应用情况进行安全性评估,对评估发现的问题进行风险分析得出风险级别,随后给出整改建议。待被测单位完成问题整改后进行复测,对复测结果进行汇总分析,形成评估结果,最后形成商用密码应用安全性评估报告。
典型案例:西云数据密码安全性评估、国务院研究中心密码安全性评估。
关键信息基础设施安全保护
关键信息基础设施安全保护工作的开展主要依据《关键信息基础设施安全保护条例(征求意见稿)》、《关键信息基础设施网络安全保护基本要求(报批稿)》,开展关键信息基础设施安全测试和关键信息基础设施安全评估业务,提高系统安全性。
关键信息基础设施安全测试包括识别认定、安全防护、检测评估、监测预警、应急处置五个安全保护环节,首先帮助行业、地区、集团等识别认定关键基础设施,然后通过访谈、检查和测试等方法对在现场对关键基础设施进行检测评估,并同期远程开展监测预警,总结分析现场和远程发现的关键信息基础设施安全防护薄弱点,形成测试报告,为系统应急处置提供有效依据。
关键信息基础设施安全评估,利用风险评估的方法降低关键信息基础设施安全投入产出比。评估工作先对关键基础设施进行资产识别、脆弱性识别、威胁识别、已有安全措施识别等识别,再根据资产重要程度、脆弱性严重程度、威胁发生频率、已有安全措施有效性等为资产、脆弱性、威胁等进行赋值,而后进行风险分析、风险排序并给出能降低安全投入产出比的整改建议,在被评估方反馈整改完成后进行复测、风险重新排序,最后出关键信息基础设施安全评估报告。
典型案例:黑龙江移动关键信息基础设施风险评估、云南移动关键信息基础设施安全保护检测、江西省关键信息基础设施安全保护检查、外交部安全抽查、中国红十字会总会网络安全抽查、国家行政学院网络安全抽查、国家知识产权局安全检查、税务总局安全检查、文化和旅游部安全检查、中央统战部安全检查、中央外事工作领导小组办公室(中央外办)安全检查、全国总工会安全检查、共青团中央安全检查、全国妇联安全检查、中国文联安全检查、中国作协安全检查、中国南光集团有限公司安全检查。
文字 | 网安中心
编辑 | 般 若