Solution
近年来,《网络安全法》、《密码法》、《国家政务信息化项目建设管理办法》等法律法规、标准规范的颁布,标志着我国网络安全等级保护工作进入了等保2.0时代以及密码应用安全性评估工作的全面展开。这对网络运营者提出了更高的要求,网络运营者必须将两者有机融合,才能事半功倍,真正确保网络安全的合规有效。具体应从工作流程和技术措施两个层面进行考虑。
一.工作流程
网络运营者应在网络规划、网络建设、运行维护三个阶段,同步开展等保2.0和密码应用与安全性评估工作。
(一)规划阶段:网络运营者应根据《信息安全技术网络安全等级保护安全设计技术要求》、《信息安全技术网络安全等级保护基本要求》和《信息系统密码应用基本要求》等标准要求,立足业务实际,分析等保2.0和密码应用的需求,形成网络安全设计方案和密码应用方案,方案应经专家论证或测评机构评审通过后方可立项。
(二)建设阶段:网络运营者应深化网络安全设计方案和密码应用方案,严格按照方案进行建设,形成统一的技术体系和管理体系,通过测评验收。
(三)运行维护阶段:网络运营者应定期进行等保测评和密码应用安全性评估,发现存在的严重隐患问题,及时整改,不断完善技术体系和管理机制。
二.技术措施
等保2.0和密码应用与安全性评估工作均对密码技术与产品提出了相应等级的要求,主要涉及以下密码技术。
(一)身份鉴别:等保2.0要求身份鉴别中至少要使用一种密码技术,密码标准要求对网络设备以及用户的登录都要进行身份鉴别,包括网络设备的边界接入,以及管理员、审计员、操作用户的身份的真实性。
(二)数据机密性:等保2.0的安全计算环境对数据的保密性提出了要求。映射到密码标准即是对数据的机密性要求。要求对敏感信息、身份鉴别信息、重要数据都需要保证机密性。
(三)数据完整性:等保2.0要求对通信数据、鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息进行数据完整性保护。密码标准在此基础上增加了对电子门禁系统进出记录、视频监控音像记录的完整性要求。
(四)密码产品和服务:等保2.0要求密码产品与服务的采购和使用符合国家密码管理主管部门的要求。密码标准中更加细化的要求系统中所使用的算法、技术、产品、服务均遵循国家密码管理主管部门的要求。
等保2.0和密码应用与安全性评估工作相辅相成,缺一不可。在实际工作中必须将两者有机结合,网络安全工作才能切实可行,行之有效。