我们若要讨论密评体系发展,其实绕不开等级保护这个大制度,想要理解密评发展,则必须追个根溯个源,才能勉强说清楚,这里的勉强当然是指我个人能力的勉强。
首先,我们都已经知道的《中华人民共和国计算机信息系统安全保护条例》(国务院147号令),这是我国有关等级保护的第一个上位法规,以此建立政策规范性文件和国家标准,形成一个大信息安全等级保护制度体系。为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,公安部、国家保密局、国家密码管理局、国务院信息化办公室等四部门又依据147号令,在2007年发布了《信息安全等级保护管理办法》,即我们熟知的43号文。
43号文中其中设置了 密码管理专章 ,体现了 密码管理 在 等级保护
工作中的重要作用,明确了安全等级保护密码管理的主要思路、方式和手段,强调了安全等级保护第三级及以上系统使用密码进行保护的义务,突出了商用密码应用安全性评估作为等级保护密码管理主要抓手的地位和作用,强化了密码管理部门在等级保护技术标准制定、监督检查、密码应用安全性评估工作开展等方面的职权。
同时,对比《信息安全等级保护管理办法》与《网络安全等级保护条例》内容,我们不难发现其内容前后的延续与一致性,所以我们有理由相信《网络安全等级保护条例》颁布实施后,将替代现行的《信息安全等级保护管理办法》,在《网络安全等级保护条例》(征求意见稿)中明确规定了“
国家密码管理部门 负责 网络安全等级保护工作 中有关 密码管理工作 的 监督管理
”,还从网络安全等级保护的事前备案审核、事中应用要求,以及事中事后监管和法律责任各环节对密码管理和应用进行了规定。对我国的网络安全等级保护进行规范和管理。
再者,就是与 《信息安全等级保护管理办法》 2007同期发布的《 信息安全等级保护商用密码管理办法》 ,也明确了 密码管理 与
等级保护 的关系,《 信息安全等级保护商用密码管理办法》 规定:“
信息安全等级保护中使用的商用密码产品,应当是国家密码管理局准予销售的产品 ”,“
信息安全等级保护中第二级及以上的信息系统使用商用密码产品应当备案
,填写《信息安全等级保护商用密码产品备案表》”,“国家密码管理局和省、自治区、直辖市密码管理机构 对第三级及以上信息系统使用商用密码的情况进行检查
”,明确了商用密码产品的使用要求和各级密码管理部门的监管要求。
为配合《信息安全等级保护商用密码管理办法》的实施,进一步规范信息安全等级保护商用密码工作,国家密码管理局印发《
信息安全等级保护商用密码管理办法实施意见 》,规定“第三级及以上信息系统的商用密码应用系统 建设方案 应当通过 密码管理部门组织
的评审后方可实施”,“第三级及以上信息系统的商用密码应用系统,应当通过国家密码管理部门指定测评机构的密码测评后方可投入运行。
电子签名法
|
商用密码管理条例
|
商用密码科研管理规定
—|—|—
商用密码产品销售管理规定
商用密码产品使用管理规定
境外组织和个人在华使用密码产品 管理办法
电子认证服务密码管理办法
信息安全等级保护商用密码管理办法
含有密码技术的信息产品政府采购规定
回到密评,可以说密评最早于2007年提出,本身是等级保护制度的最重要的组成部分之一,经过十余年的积累,密评制度体系不断成熟,其发展经历了四个阶段。
第一阶段:制度奠基期(2007年11月至2016年8月)。 2007年11月27日,国家密码管理局印发11号文件《 信息安全等级保护
商用密码管理办法》,要求信息安全等级保护商用密码测评工作由国家密码管理局指定的测评机构承担。2009年12月15日,国家密码管理局印发管理办法实施意见,进一步明确了与密码测评有关的要求。在实际工作中,以《网络安全等级保护基本要求》中测评项来进行检查,但缺少体系性的密码测评内容。
第二阶段:再次集结期(2016年9月至2017年4月)。
国家密码管理局成立起草小组,研究起草《商用密码应用安全性评估管理办法(试行)》。2017年4月22日,正式印发《关于开展密码应用安全性评估试点工作的通知》(国密局(2017)138号文),在七省五行业开展密评试点。
第三阶段:体系建设期(2017年5月至2017年9月)。
国家密码管理局成立密评领导小组,研究确定了密评体系总体架构,并组织有关单位起草14项制度文件。经征求试点地区、部门意见和专家评审,2017年9月27日,国家密码管理局印发《商用密码应用安全性测评机构管理办法(试行)》《商用密码应用安全性测评机构能力评审实施细则(试行)》《信息系统密码应用基本要求》(后以密码行业标准GM/T
0054形式发布,再后来上升为国家标准GB/T 39786-2021 )和《信息系统密码测评要求(试行)》,密评制度体系初步建立。
第四阶段:密评试点开展期(2017年10月至今)。
试点开展过程同时也是机构培育过程,包括机构申报遴选、考察认定、发布目录、开展试点测评工作并提升测评机构能力、总结试点经验、完善相关规定等。2019年上半年对第一批密评试点做了评审总结,对参与试点的27家机构进行能力再评审,择优选出16家扩大试点,对另11家机构给予6个月能力提升整改期。2019年10月,开始启动第二批密评试点工作。
伴随着,《密码法》的颁布,密评体系的法律依据更加充分,密评体系的逐渐成熟完善,作为等级保护工作的重要组成分支。势必后期,密码监管部门与公安部门将共同推动等级保护制度更上一个台阶,为等级保护2.0的扎实推进铺平了监管道路。
参考:
《商用密码应用与安全性评估》
《信息安全等级保护管理办法》
《信息安全等级保护商用密码管理办法》等
《商用密码应用与安全性评估》
《信息安全等级保护管理办法》
《信息安全等级保护商用密码管理办法》等
网络安全学习路线
这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-c8iutZQg-1690876570698)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑
阶段一:基础入门
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ffZ4tjD9-1690876570698)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
网络安全导论
渗透测试基础
网络基础
操作系统基础
Web安全基础
数据库基础
编程基础
CTF基础
该阶段学完即可年薪15w+
阶段二:技术进阶(到了这一步你才算入门)
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LIAVIDHG-1690876570698)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
弱口令与口令爆破
XSS漏洞
CSRF漏洞
SSRF漏洞
XXE漏洞
SQL注入
任意文件操作漏洞
业务逻辑漏洞
该阶段学完年薪25w+
阶段三:高阶提升
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DFHYfFnR-1690876570699)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
反序列化漏洞
RCE
综合靶场实操项目
内网渗透
流量分析
日志分析
恶意代码分析
应急响应
实战训练
该阶段学完即可年薪30w+
阶段四:蓝队课程
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QGayeeEv-1690876570699)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]
蓝队基础
蓝队进阶
该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。
攻防兼备,年薪收入可以达到40w+
阶段五:面试指南&阶段六:升级内容
需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
同学们可以扫描下方二维码获取哦!