随着信息技术不断融入社会生产、生活、社会运转、政府管理等各个方面,国家高度重视网络空间的安全保障,制定了多项政策及法律法规,指导政企机构提高网络安全意识,提升网络安全技术能力水平。网络安全测评作为政府保障国家安全、社会稳定的抓手之一,在企业网络隐患识别、安全保障等方面起到至关重要的作用。
近年来,网络安全的法律法规不断出台,网络安全产业发展环境逐渐优化,合规性的审查和测评机制愈加完善,网络安全测评与认证作为审查手段,随着合规范围的扩大,其市场规模将迎来高速增长。
CC认证、等级保护和风险评价这三个词也因而一直发生在我们的视线当中,还经常被搞混。那这三者到底如何区分呢?他们中间有哪些联络吗?
1.CC认证
信息安全评估通用准则 CC(Common Criteria for Information Technology Security Evaluation),简称CC标准,是美、日、英、西班牙等31个国家制定的评估信息安全产品和系统安全特性的基础准则,是确保信息安全产品和系统安全的一个指导性文件。它综合了已有的信息安全的准则和标准,形成了一个更全面的框架。
应用场景:
CC定义了评估信息技术产品和系统安全性所需的基础准则,是度量信息技术安全性的基准。首先,CC适用于所有IT产品的检测,不管是硬件、软件还是固件,都能在同一个框架下评估,还可用于指导产品或系统开发;其次,CC融合了TCSEC、ITSEC、CTCPEC等标准,站在巨人肩膀上又超越了这些标准,更能适应信息技术的发展,这就为CC标准通用性提供了技术支撑。
认证流程:
1 . 明确需要认证的CC认证等级
评估保护等级EAL(Evaluation Assurance Level),规定产品检测的程度,评估保护等级从1级到7级,1级为最低级别,7级为最高级别,是IT产品或系统在CC安全评估下的数字等级。每个保障级由一些安全保障要求组成。满足了保障级相应的安全保障要求,就达到了相应的保障级。等级越高,表示通过认证需要满足的安全保证要求越多,系统的安全特性越可靠。
2 . 明确等级后,做相关的开发和文档
EAL1-EAL7级评估基础的安全保障能力文档,可直接在望安科技留言CC认证流程获取。
3. 将证据提供给评估机构
将标准化证据交付评估机构,并针对评估机构的反馈依照 CC 标准进行证据、产品和迭代。
此时,评估机构可能会要求厂商配合相关评估操作。直至评估机构完成综合评估,对认证产品进行注册。
服务价值:
CC认证服务使IT 公司以低成本且高效的方式促进高质量、安全和可控的 IT 产品的开发,并在无需熟悉CC的情况下通过 CC 相关认证。
通过 CC 认证,可将产品出售给高安全要求的客户,提高用户对产品的信任度,提高产品的曝光率与知名度,并深层次排除产品的信息安全隐患。
2.等级保护测评
等级保护测评是对已定级备案的信息系统,采用安全技术测评和安全管理测评方式,从物理环境、通信网络、区域边界、计算环境以及制度、机构、人员、建设、运维等多个方面,对保护状况进行检测评估,判定受测系统的技术和管理级别与所定安全等级要求的符合程度,以发现信息系统存在的安全隐患和漏洞,从而加强系统防攻击和防入侵的能力,提升信息系统整体安全保护水平,最大限度的保障国家重要基础设施和重点行业的安全稳定运营。
应用场景:
对已定级备案的信息系统,第二级以上信息系统在建设完成后应当进行等级测评,测评合格后方可投入使用。其中,第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。
业务流程:
等级保护工作主要分为定级备案、协助自查、建设整改、等级测评、监督检查共5个阶段。
服务价值:
通过开展网络安全等级保护工作,可以在信息化规划初期,按照等级保护相关要求进行开发设计,避免重复安全投资;在测评过程中,全面梳理单位资产信息,形成书面化的资产台账,理顺各信息系统相互关系,识别信息系统存在的安全风险,为系统安全加固提供技术依据,为系统稳定、安全运行提供支撑。
3.风险评价
网络信息安全风险评价是参考风险评价规范和管理制度,对信息管理系统的财产使用价值.潜在性威协.薄弱点.已采用的防护措施等实现剖析,分辨安全事故产生的几率及其很有可能导致的损害,明确提出风险管控对策的全过程。
三者的关系和区别
CC认证、等级保护和风险评估都是信息安全领域中重要的概念,它们之间存在着密切的关系。
首先,CC认证和等级保护都是针对信息系统安全的保护措施。CC认证是一种国际性的信息安全评估标准,在国际获得较广泛的认可度,在国内也是目前信息安全产品认证趋势,旨在评估信息技术产品的安全性和可信性。等级保护则是针对大陆信息系统安全保护的规定,是大陆信息安全保护体系的重要组成部分。CC认证和等级保护都强调了信息系统安全的重要性,并提出了相应的安全保护要求和措施。
其次,风险评估可以与CC认证和等级保护相结合,用于评估信息系统的安全性和可信性。风险评估是信息安全保障工作的重要内容之一,其目的是为了识别和评估可能对信息系统产生影响的各种风险,并制定相应的风险控制措施。风险评估可以通过风险发现、分析、评价为CC认证与等级保护提供支持。
综上所述,CC认证、等级保护和风险评估是相互关联的概念,都是信息安全保护体系的重要一环。风险评估可以用于指导CC认证和等级保护的实施,而CC认证和等级保护也可以作为信息系统安全保护的一种手段,用于降低系统受到风险的影响。
END