我们若要讨论密评体系发展,其实绕不开等级保护这个大制度,想要理解密评发展,则必须追个根溯个源,才能勉强说清楚,这里的勉强当然是指我个人能力的勉强。
首先,我们都已经知道的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),这是我国有关等级保护的第一个上位法规,以此建立政策规范性文件和国家标准,形成一个大信息安全等级保护制度体系。为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化办公室等四部门又依据147号令,在2007年发布了《信息安全等级保护管理办法》,即我们熟知的43号文。
43号文中其中设置了 密码管理专章 ,体现了 密码管理 在 等级保护
工作中的重要作用,明确了安全等级保护密码管理的主要思路、方式和手段,强调了安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权。
同时,对比《信息安全等级保护管理办法》与《网络安全等级保护条例》内容,我们不难发现其内容前后的延续与一致性,所以我们有理由相信《网络安全等级保护条例》颁布实施后,将替代现行的《信息安全等级保护管理办法》,在《网络安全等级保护条例》(征求意见稿)中明确规定了“
国家密码管理部门 负责 网络安全等级保护工作 中有关 密码管理工作 的 监督管理
”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。对我国的网络安全等级保护进行规范和管理。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GsYeCCkT-1693105353894)(https://image.3001.net/images/20230209/1675930336_63e4aae0892ee8d925fd4.jpg!small)]
再者,就是与 《信息安全等级保护管理办法》 2007同期发布的《 信息安全等级保护商用密码管理办法》 ,也明确了 密码管理 与
等级保护 的关系,《 信息安全等级保护商用密码管理办法》 规定:“
信息安全等级保护中使用的商用密码产品,应当是国家密码管理局准予销售的产品 ”,“
信息安全等级保护中第二级及以上的信息系统使用商用密码产品应当备案
,填写《信息安全等级保护商用密码产品备案表》”,“国家密码管理局和省、自治区、直辖市密码管理机构 对第三级及以上信息系统使用商用密码的情况进行检查
”,明确了商用密码产品的使用要求和各级密码管理部门的监管要求。
为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息安全等级保护商用密码工作,国家密码管理局印发《
信息安全等级保护商用密码管理办法实施意见 》,规定“第三级及以上信息系统的商用密码应用系统 建设方案 应当通过 密码管理部门组织
的评审后方可实施”,“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。
电子签名法
|
商用密码管理条例
|
商用密码科研管理规定
—|—|—
商用密码产品销售管理规定
商用密码产品使用管理规定
境外组织和个人在华使用密码产品 管理办法
电子认证服务密码管理办法
信息安全等级保护商用密码管理办法
含有密码技术的信息产品政府采购规定
回到密评,可以说密评最早于2007年提出,本身是等级保护制度的最重要的组成部分之一,经过十余年的积累,密评制度体系不断成熟,其发展经历了四个阶段。
第一阶段:制度奠基期(2007年11月至2016年8月)。 2007年11月27日,国家密码管理局印发11号文件《 信息安全等级保护
商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要求。在实际工作中,以《网络安全等级保护基本要求》中测评项来进行检查,但缺少体系性的密码测评内容。
第二阶段:再次集结期(2016年9月至2017年4月)。
国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局(2017)138号文),在七省五行业开展密评试点。
第三阶段:体系建设期(2017年5月至2017年9月)。
国家密码管理局成立密评领导小组,研究确定了密评体系总体架构,并组织有关单位起草14项制度文件。经征求试点地区、部门意见和专家评审,2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T
0054形式发布,再后来上升为国家标准GB/T 39786-2021 )和《信息系统密码测评要求(试行)》,密评制度体系初步建立。
第四阶段:密评试点开展期(2017年10月至今)。
试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。2019年上半年对第一批密评试点做了评审总结,对参与试点的27家机构进行能力再评审,择优选出16家扩大试点,对另11家机构给予6个月能力提升整改期。2019年10月,开始启动第二批密评试点工作。
伴随着,《密码法》的颁布,密评体系的法律依据更加充分,密评体系的逐渐成熟完善,作为等级保护工作的重要组成分支。势必后期,密码监管部门与公安部门将共同推动等级保护制度更上一个台阶,为等级保护2.0的扎实推进铺平了监管道路。
参考:
《商用密码应用与安全性评估》
《信息安全等级保护管理办法》
《信息安全等级保护商用密码管理办法》等
《商用密码应用与安全性评估》
《信息安全等级保护管理办法》
《信息安全等级保护商用密码管理办法》等
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
5283
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
