安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
网络安全等级保护之商用密码管理办法
2022-01-07 14:08:04 【

我经常在和人探讨等级保护时会注意区别等级保护制度和等级保护测评之间的关系。因为,社会上或者说市场上,大家把等级保护测评等同于等级保护的人太多了,所以在这里有必要再做一次区分。

首先,我们要知道等级保护制度是以公安机关为主导的一项国家基本国策,而在1.0时代,我们知道关于等级保护相关政策文件,都是以国信办、公安部、国家密码管理、国家保密局四家单位联合发布。《信息安全等级保护管理办法》中也明确了,等级保护涵盖三个大方向的内容,即公安机关监管的非涉密信息系统、国家保密局监管的涉密信息系统以及国家密码管理监管的密码方向。所以,在1.0时代这三者共同组成了我们的1.0时代的等级保护。

而到了2.0时代,《网络安全法》第二十一条明确了国家实行网络安全等级保护制度。在历史沿革中,我们常常用信息安全,经《网络安全法》确定后“信息安全”属于上改为“网络安全”,有历史原因,但是这二者是同质异名,而网络安全的范畴更广了。网络安全法对该制度的名称作了调整,改为网络安全等级保护制度,对其主要内容作了规定。国务院有关部门应当根据本法完善相关配套规定,确保网络安全等级保护制度落到实处。

回到今天的主题,其实大家接触密码评估是近两年的事情,很多朋友对这个的理解和前几年对等级保护的理解是一样的,总认为这事情是突然一声炸雷一下,蹦出来的事务。其实不然,在《信息安全等级保护管理办法》是2007年6月22日发布,而国家密码管理局同年11月27日发布了《信息安全等级保护商用密码管理办法》,而这个管理办法的制定依据是《信息安全等级保护管理办法》《商用密码管理条例》,再次以文件的形式明确密码管理是等级保护的一部分,当然也再次否定所谓做测评就是过等级保护这个误解。

等级保护工作要求“三同步”,在规划之初就需要考虑满足等级保护相关政策和标准要求,大家在落实等级保护过程中,是落实等级保护制度要求,所以在这里需要考虑满足非涉密系统(以非涉密系统为例)的技术和管理要求,所以需要在规划之初考虑《信息安全技术 网络安全等级保护基本要求》《信息安全技术 信息系统密码应用基本要求》等国家标准,根据要求依据对应的技术标准考虑如何实现对应的要求,在方案里予以明确,依据国家标准进行安全建设。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇微软观察到许多攻击者开始对Log4j.. 下一篇全球网络空间安全发展态势综述

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800