随着資訊技術不斷融入社會生産、生活、社會運轉、政府管理等各個方面,國家高度重視網絡空間的安全保障,制定了多項政策及法律法規,指導政企機構提高網絡安全意識,提升網絡安全技術能力水準。網絡安全測評作為政府保障國家安全、社會穩定的抓手之一,在企業網絡隐患識别、安全保障等方面起到至關重要的作用。
近年來,網絡安全的法律法規不斷出台,網絡安全産業發展環境逐漸優化,合規性的審查和測評機制愈加完善,網絡安全測評與認證作為審查手段,随着合規範圍的擴大,其市場規模将迎來高速增長。
CC認證、等級保護和風險評價這三個詞也因而一直發生在我們的視線當中,還經常被搞混。那這三者到底如何區分呢?他們中間有哪些聯絡嗎?
1.CC認證
資訊安全評估通用準則 CC(Common Criteria for Information Technology Security Evaluation),簡稱CC标準,是美、日、英、西班牙等31個國家制定的評估資訊安全産品和系統安全特性的基礎準則,是確定資訊安全産品和系統安全的一個指導性檔案。它綜合了已有的資訊安全的準則和标準,形成了一個更全面的架構。
應用場景:
CC定義了評估資訊技術産品和系統安全性所需的基礎準則,是度量資訊技術安全性的基準。首先,CC适用于所有IT産品的檢測,不管是硬體、軟體還是固件,都能在同一個架構下評估,還可用于指導産品或系統開發;其次,CC融合了TCSEC、ITSEC、CTCPEC等标準,站在巨人肩膀上又超越了這些标準,更能适應資訊技術的發展,這就為CC标準通用性提供了技術支撐。
認證流程:
1 . 明确需要認證的CC認證等級
評估保護等級EAL(Evaluation Assurance Level),規定産品檢測的程度,評估保護等級從1級到7級,1級為最低級别,7級為最進階别,是IT産品或系統在CC安全評估下的數字等級。每個保障級由一些安全保障要求組成。滿足了保障級相應的安全保障要求,就達到了相應的保障級。等級越高,表示通過認證需要滿足的安全保證要求越多,系統的安全特性越可靠。
2 . 明确等級後,做相關的開發和文檔
EAL1-EAL7級評估基礎的安全保障能力文檔,可直接在望安科技留言CC認證流程擷取。
3. 将證據提供給評估機構
将标準化證據傳遞評估機構,并針對評估機構的回報依照 CC 标準進行證據、産品和疊代。
此時,評估機構可能會要求廠商配合相關評估操作。直至評估機構完成綜合評估,對認證産品進行注冊。
服務價值:
CC認證服務使IT 公司以低成本且高效的方式促進高品質、安全和可控的 IT 産品的開發,并在無需熟悉CC的情況下通過 CC 相關認證。
通過 CC 認證,可将産品出售給高安全要求的客戶,提高使用者對産品的信任度,提高産品的曝光率與知名度,并深層次排除産品的資訊安全隐患。
2.等級保護測評
等級保護測評是對已定級備案的資訊系統,采用安全技術測評和安全管理測評方式,從實體環境、通信網絡、區域邊界、計算環境以及制度、機構、人員、建設、運維等多個方面,對保護狀況進行檢測評估,判定受測系統的技術和管理級别與所定安全等級要求的符合程度,以發現資訊系統存在的安全隐患和漏洞,進而加強系統防攻擊和防入侵的能力,提升資訊系統整體安全保護水準,最大限度的保障國家重要基礎設施和重點行業的安全穩定營運。
應用場景:
對已定級備案的資訊系統,第二級以上資訊系統在建設完成後應當進行等級測評,測評合格後方可投入使用。其中,第三級資訊系統應當每年至少進行一次等級測評,第四級資訊系統應當每半年至少進行一次等級測評,第五級資訊系統應當依據特殊安全需求進行等級測評。
業務流程:
等級保護工作主要分為定級備案、協助自查、建設整改、等級測評、監督檢查共5個階段。
服務價值:
通過開展網絡安全等級保護工作,可以在資訊化規劃初期,按照等級保護相關要求進行開發設計,避免重複安全投資;在測評過程中,全面梳理機關資産資訊,形成書面化的資産台賬,理順各資訊系統互相關系,識别資訊系統存在的安全風險,為系統安全加強提供技術依據,為系統穩定、安全運作提供支撐。
3.風險評價
網絡資訊安全風險評價是參考風險評價規範和管理制度,對資訊管理系統的财産使用價值.潛在性威協.薄弱點.已采用的防護措施等實作剖析,分辨安全事故産生的幾率及其很有可能導緻的損害,明确提出風險管控對策的全過程。
三者的關系和差別
CC認證、等級保護和風險評估都是資訊安全領域中重要的概念,它們之間存在着密切的關系。
首先,CC認證和等級保護都是針對資訊系統安全的保護措施。CC認證是一種國際性的資訊安全評估标準,在國際獲得較廣泛的認可度,在國内也是目前資訊安全産品認證趨勢,旨在評估資訊技術産品的安全性和可信性。等級保護則是針對大陸資訊系統安全保護的規定,是大陸資訊安全保護體系的重要組成部分。CC認證和等級保護都強調了資訊系統安全的重要性,并提出了相應的安全保護要求和措施。
其次,風險評估可以與CC認證和等級保護相結合,用于評估資訊系統的安全性和可信性。風險評估是資訊安全保障工作的重要内容之一,其目的是為了識别和評估可能對資訊系統産生影響的各種風險,并制定相應的風險控制措施。風險評估可以通過風險發現、分析、評價為CC認證與等級保護提供支援。
綜上所述,CC認證、等級保護和風險評估是互相關聯的概念,都是資訊安全保護體系的重要一環。風險評估可以用于指導CC認證和等級保護的實施,而CC認證和等級保護也可以作為資訊系統安全保護的一種手段,用于降低系統受到風險的影響。
END