3分钟搞懂网络安全中的等保测评与密评

网络安全已成为国家安全、企业运营和个人隐私保护的重要基石。为了应对日益严峻的网络安全挑战，我国建立了包括等保测评（信息安全等级保护测评）和密评（商用密码应用安全性评估）在内的多重网络安全防护体系。这两项制度各自承担着不同的职责和使命。本文将从多个维度深入剖析等保测评与密评的相关性及其区别，力求语言通俗易懂，同时又不失技术深度，为技术人员提供一份详实的参考。

一、等保测评：信息系统的全面守护者

等保测评，全称信息安全等级保护测评，是依据《中华人民共和国网络安全法》及《信息安全等级保护管理办法》等相关法律法规，对信息系统进行安全性评估和测定的活动。其核心目的在于确保信息系统的安全性、可靠性和可用性，避免信息泄露、数据篡改等安全风险。

1. 等保测评的分级与标准

等保测评将信息系统分为五个安全保护等级，从第一级（自主保护级）到第五级（专控保护级），每个等级对应不同的安全保护要求。这些要求涵盖了物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个方面。测评机构将依据国家信息安全等级保护标准，如《信息安全技术 网络安全等级保护基本要求》等，对信息系统的安全保护状况进行全面评估。

2. 等保测评的流程

等保测评的流程通常包括系统备案、安全评估、整改改进、复测复评、颁发证书和监督检查等环节。系统备案是首要步骤，涉及备案申请、初步审查和系统备案；安全评估则包括选择测评机构、前期准备、安全评估和编写评估报告；整改改进阶段，系统将根据评估报告制定整改方案并实施整改；复测复评则是对整改后的系统进行再次评估；最后，验证合格的系统将获得等保证书，并接受定期的监督检查。

3. 等保测评的适用对象

等保测评适用于所有非涉密信息系统，特别是政府机关、企事业单位和其他关键信息基础设施等。这些系统承载着大量敏感信息和数据，一旦遭受攻击或泄露，将对国家安全、社会稳定和经济发展造成严重影响。因此，通过等保测评，确保这些系统的安全防护能力至关重要。

二、密评：密码应用的合规性审查

密评，全称商用密码应用安全性评估，是针对采用商用密码技术、产品和服务集成建设的网络和信息系统中，对其密码应用的合规性、正确性和有效性进行评估的活动。其核心目的在于确保密码应用的整体安全性，防止信息泄露和破坏。

1. 密评的对象与要求

密评的对象主要包括基础信息网络（如电信网络、广播电视网、互联网）、涉及国计民生和基础信息资源的重要信息系统（如能源、教育、公安、测绘地理、社保、交通、卫生计生、金融等信息系统）、重要工业控制系统（如核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等）以及面向社会服务的政务信息系统等。这些系统通常承载着大量国家秘密或敏感数据，因此密码应用的安全性尤为重要。

密评要求信息系统必须遵循密码算法、密码技术、密码产品和密码服务四个层面的要求。密码算法应符合法律法规规定和密码标准和行业标准的有关要求；密码技术应遵循密码相关国家标准和行业标准，重点关注加密技术的合规性；密码产品应通过国家密码管理部门核准，需根据国家相关规定进行密码产品安全等级确定和检测；密码服务用的密码服务应通过国家密码管理部门许可，如电子认证机构应获得《电子认证服务使用密码许可证》以及《电子认证服务许可证》。

2. 密评的流程

密评的流程通常包括确定评估对象、开展测评工作、输出密码测评报告、密评结果上报等阶段。确定评估对象是首要步骤，需要明确哪些系统需要进行密评；开展测评工作则包括现场检查、文档审查和技术测试等环节；输出密码测评报告是对测评结果的总结和分析；最后，密评结果将上报给国家密码管理部门进行审查和备案。

3. 密评的适用范围与频率

密评主要适用于使用商用密码进行保护的信息系统，特别是关键信息基础设施和网络安全等级保护第三级及以上的信息系统。这些系统通常承载着大量敏感数据和重要信息，因此密码应用的安全性尤为重要。根据规定，这些系统每年至少需要进行一次密评，以确保密码应用的合规性、正确性和有效性。

三、等保测评与密评的相关性

等保测评与密评在网络安全领域具有紧密的相关性，它们共同构成了我国网络安全防护体系的重要组成部分。

1. 共同目标：提升网络安全防护能力

等保测评与密评的最终目标都是提升网络和信息系统的安全防护能力，确保信息的保密性、完整性和可用性。通过等保测评，可以全面评估信息系统的安全防护水平，发现并消除潜在的安全隐患；而密评则专注于密码应用的安全性，确保密码算法、密码协议和密码设备等的整体安全性。两者相辅相成，共同提升信息系统的安全防护能力。

2. 遵循相似技术标准和管理规范

等保测评与密评在评估过程中都需要遵循一定的技术标准和管理规范，以确保评估结果的准确性和可靠性。这些标准和规范通常由国家相关部门制定和发布，如《信息安全技术 网络安全等级保护基本要求》、《商用密码应用安全性评估管理办法》等。这些标准和规范为等保测评和密评提供了明确的评估依据和评判标准。

3. 评估流程相似

等保测评与密评的评估流程也具有一定的相似性。两者都需要对信息系统进行分级、备案、建设整改、检测评估、监督检查等环节，并输出相应的报告或证书。这些环节共同构成了等保测评和密评的完整评估流程，确保了评估工作的全面性和准确性。

四、等保测评与密评的区别

尽管等保测评与密评在网络安全领域具有紧密的相关性，但它们在评估侧重点、适用范围和评估内容等方面也存在明显的区别。

1. 评估侧重点不同

等保测评主要关注整个信息系统的安全性，包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等多个方面。它通过对信息系统的全面评估，发现并消除潜在的安全隐患，确保信息系统的安全防护能力与承载信息的重要性和敏感性相匹配。而密评则主要关注密码应用的安全性，对密码算法、密码协议和密码设备等进行全面评估。它通过对密码应用的合规性、正确性和有效性的审查，确保密码应用的整体安全性。

2. 适用范围不同

等保测评适用于所有非涉密信息系统，特别是政府机关、企事业单位和其他关键信息基础设施等。这些系统承载着大量敏感信息和数据，一旦遭受攻击或泄露，将对国家安全、社会稳定和经济发展造成严重影响。而密评则主要适用于使用商用密码进行保护的信息系统，特别是关键信息基础设施和网络安全等级保护第三级及以上的信息系统。这些系统通常承载着大量国家秘密或敏感数据，因此密码应用的安全性尤为重要。

3. 评估内容不同

等保测评的评估内容涵盖了信息系统的多个安全领域，包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等。它通过对这些领域的全面评估，确保信息系统的安全防护能力与承载信息的重要性和敏感性相匹配。而密评的评估内容则主要关注密码应用的合规性、正确性和有效性等方面。它通过对密码算法、密码协议和密码设备等的审查，确保密码应用的整体安全性。此外，密评还需要对密码产品的安全性进行检测和评估，确保密码产品的质量和安全性。

4. 组织实施部门不同

等保测评由公安部门指导监督，由具备资质的网络安全服务机构承担具体工作。这些机构通常具有专业的网络安全技术团队和丰富的评估经验，能够确保等保测评的准确性和可靠性。而密评则由国家密码管理部门统一组织实施，由具备资质的商用密码检测机构承担具体工作。这些机构通常具有专业的密码技术团队和丰富的检测经验，能够确保密评的准确性和可靠性。

五、总结

等保测评与密评作为我国网络安全防护体系的重要组成部分，共同承担着提升网络和信息系统安全防护能力的重任。它们在评估侧重点、适用范围和评估内容等方面虽然存在明显的区别，但共同构成了我国网络安全防护的坚实屏障。因此，在实际应用中，我们需要根据信息系统的具体情况和需求，选择合适的评估方式，并加强两者之间的协同配合，共同提升信息系统的安全防护能力。