欧宝
专注电气元件品牌销售服务
首页 > 资讯中心 > 欧宝平台注册app正版下载

2021-1-30周六 网安资讯

时间: 2024-01-14 09:22:14    作者: 欧宝官方app下载

  1、关于征求《信息安全技术 网络型入侵防御产品技术方面的要求和测试评价方法》等3项国家标准(征求意见稿)意见的通知

  摘要:全国信息安全标准化技术委员会归口的《信息安全技术 网络型入侵防御产品技术方面的要求和测试评价方法》等3项国家标准(清单见附件)现已形成标准征求意见稿。

  摘要:依据《网络安全法》《电信条例》《电信和互联网用户个人隐私信息保护规定》等法律和法规,按照《关于开展纵深推进APP侵害用户权益专项整治行动的通知》(工信部信管函〔2020〕164号)工作部署,工信部近期组织第三方检验测试的机构对手机应用软件进行全方位检查,督促有一定的问题的公司进行整改。截至目前,尚有157款APP未完成整改,上述APP应在1月29日前完成整改落实工作。

  1、2020Botnet趋势报告 僵尸网络新冠疫情期间“没闲着”,攻击速度更快,手段多元更隐匿

  摘要:Botnet是网络恶意行为的手段而非结果,其存在直接体现着“威胁”本身。通过组建Botnet,黑客得以控制大量的网络资源,获取强大的攻击能力。依托于这种攻击能力,黑客能够正常的使用各种方式获取非法的经济利益。近年来,从Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink,我们观察到Botnet升级改造的变化之巨。其非法控制并改造大量的网络资源,不断的提高攻击能力,逐渐增加隐匿手段,从而给有限的网络资源造成了愈发严重的损失。

  摘要:2021年1月25日,阿里云应急响应中心监控到国外安全研究人员披露了SAP Solution Manager EemAdmin 远程代码执行漏洞(CVE-2020-6207)利用脚本。SAP Solution Manager是一套系统监控,能方便对公司进行技术相关与应用相关功能的监控。2020年SAP官方发布安全更新修复了位于UXMon中的一处远程代码执行漏洞(CVE-2020-6207)。2021年1月25日,阿里云应急响应中心监控到国外安全研究人员披露了SAP Solution Manager EemAdmin 远程代码执行漏洞(CVE-2020-6207)利用脚本。攻击者可构造恶意请求控制SAP Solution Manager旗下所有机器,执行任意命令。阿里云应急响应中心提醒 SAP Solution Manager 用户尽快采取安全措施阻止漏洞攻击。

  摘要:2021年1月26日,阿里云应急响应中心监控到国外安全研究人员披露了SonicWall SSL-VPN 历史版本远程命令执行漏洞和相关利用脚本。SonicWall SSL-VPN 是SonicWall公司旗下的VPN软件。近日阿里云应急响应中心监控到国外安全研究人员披露了SonicWall SSL-VPN 历史版本远程命令执行漏洞和相关利用脚本。由于SonicWall SSL-VPN使用了旧版本内核以及HTTP CGI 可执行程序,攻击者可构造恶意其HTTP请求头,造成远程任意命令执行,并获得主机控制权限。阿里云应急响应中心提醒 SonicWall SSL-VPN 用户尽快采取安全措施阻止漏洞攻击。

  摘要:安全公司Radware今天警告说,随着比特币价格的飙涨,DDoS勒索攻击的数量慢慢的开始增多。根据Radware的报告,已经检测到的DDoS勒索组织索要5至10个比特币(150,000至300,000美元)的报酬。

  回复:根据1999年10月7日国务院发布实施的《商用密码管理条例》第一章第二条规定:“本条例所称商用密码,是指对不涉及国家秘密内容的信息进行加密保护或者安全认证所使用的密码技术和密码产品”。

  如何来理解《条例》中对商用密码的定义呢?第一,它明确了商用密码是用于“不涉及国家秘密内容的信息”领域,即非涉密信息领域。商用密码所涉及的范围很广,凡是不涉及国家秘密内容的信息,又需要用密码加以保护的,均能够正常的使用商用密码。第二,它指明了商用密码的作用,是实现非涉密信息的加密保护和安全认证等具体应用。加密是密码的传统应用。采用密码技术实现信息的安全认证,是现代密码的主要应用之一。第三,定义将商用密码归结为商用密码技术和商用密码产品,也就是说,商用密码是商用密码技术和商用密码产品的总称。

  星河:我们公司的电子认证服务使用密码许可证将要到期,期满换证申请材料和程序是什么?

  回复:根据《电子认证服务密码管理办法》第十二条规定,《电子认证服务使用密码许可证》应当在有效期届满30日前向国家密码管理局提出申请。国家密码管理局根据申请,在许可证有效期满前作出是否准予延续的决定。为了方便行政相对人申请延续,国家密码管理局简化申请材料要求和审查程序,委托各省(区、市)密码管理局受理延续申请和现场核查,由省级密码管理局提出意见,报国家密码管理局审批(必要时国家密码管理局进行抽查)。详情见《电子认证服务使用密码许可服务指南》。

  所谓“商用密码”一般是指对不涉及国家机密的信息技术进行安全认证和信息加密的方式或产品,“商用密码”属于“舶来品”与信息技术和信息安全相互依存共生。1949年“保密通信的信息理论”被提出将密码学的研究引入了科学的轨道;1976年“密码学的新方向”著作发表进一步奠定了公钥密码的基础;1977年美国数据加密技术的公布,使得密码学研究和应用走向公开化。如果从商用密码的理论体系、发展历史,运行状态趋势等各个层面进行溯源,我们就会比较清晰的发现国内“商用密码”行业所处的环境、行业和企业大体呈现出的特征和态势。

  第一,国内商用密码行业起步晚但发展快,技术和产品一段时期或未来一个阶段肯定是“内外”相互竞争状态。

  第二,行业发展还属于“初创期”存在鱼龙混杂的情况,随着《密码法》的颁布和实施行业的竞争、净化、专业和精细化将并行展开。

  第三,国内商用密码企业龙头有所体现,相关企业对有突出贡献的公司存在依附效应;行业、企业标注包括第三方认证体系正在搭建并行,未来市场将更规范并且“内外”竞争力加大,“内外”实际技术和产品差距不断缩小。

  第四,随信息技术产业的不断持续发展和完善,更新迭代的速率不断的提高,商用密码行业的技术和产品也将呈现这种态势,商用密码的技术和产品发展空间将得到极大的提升,并且会有很多未知的东西出现,产业前景不容置疑。

  商用密码依附于信息安全产业,信息安全产业的发展形态趋势决定了商用密码行业和企业的生存状态;多个方面数据显示2017年全球网络安全产业规模大致保持在990亿美元左右,2018年全球规模大致在1100亿元左右。

  分项多个方面数据显示,在全球信息安全产业中北美、西欧和亚太三大地区呈现突出强势;2017年北美地区信息安全产业规模为410亿美元附近,西欧为270亿美元附近,而亚太地区大致维持在230美元不到。从以上数据分析来看,全球信息安全产业布局十分不平衡,就在全球“三足鼎立”的局面下,依旧存在地区性的较大差异化。

  商用密码的发展是依托信息安全产业为基础并长期存在的,“安全和密码”如同“矛和盾”的关系此消彼长。信息安全产业的持续增长一种原因是由于经济的发展,信息的承载量呈现的爆炸态势,另一方面也表现出网络漏洞、安全风险隐患、攻击态势络绎不绝,给全球信息安全构成的威胁不断的增加。上图为2012年至今的周度新增信息安全数量变化态势,能够正常的看到2012年至2014年周度变化大致相对来说比较稳定,之后在2015年至2017年开始呈现爆发性增长,2018年左右虽然有所回落,但目前依旧处于历史较高的水平。安全的迫切性和重要性注定了商用密码行业和企业的发展空间。

  根据《2018年全球网络安全企业竞争力研究报告》公布的多个方面数据显示,在全球网络安全100强的企业当中,美国占比55家,微软位列安全网络安全百强之首。中国有17家网络安全企业入围,从国家层面界定位列第二。中国100强网络安全企业华为首当其冲,位列第10,其它入围的企业还有深信服、启明星辰、卫士通、360企业安全、绿盟科技、天融信、安恒、亚信安全、新华三、迪普科技、蓝盾股份、美亚柏科、飞天诚信、北信源、山石科技、安天。

  从信息安全产业链上下游情况看,国内网络信息安全企业虽然在数量上和规模上可能与世界最顶级的企业存在一些差异,不过应该属于全球高端领先水平。国内信息安全产业链下游的分布中政府、金融、电信占比较大,分别能达到22.7%、17.9%和18.7%附近。多个方面数据显示2017年国内商用密码市场规模在240亿元人民币左右,产品和服务企业接近800家,销售企业接近1000家;从地域上看国内商用密码上有产业较为突出的区域为北京、广东、浙江和上海,该四个地区占比国内整体的半壁江山,而其中北京和广东商用密码企业最多。

  根据北京商用密码行业协会的数据,该地区共有145家会员单位,形成了包括芯片、板卡、终端、整机、系统、服务和测评等完整的产业链条,主要企业如下:

  1、北京江南天安科技有限公司,是中国领先的密码技术与信息安全综合服务商,面向能源、金融、政府、电信等行业大客户和企业级客户提供信息安全产品、服务和解决方案。

  公司的密码产品通过加密算法、数字签名、数字认证、密钥管理等来保护用户的数据安全、身份安全和应用安全;公司的网络安全产品利用访问控制、安全审计、反恶意软件和APT、DLP、ICS防火墙、网络风险监控等来保护用户的IT基础设施安全和运营安全;公司的安全咨询、安全实施、安全维护和安全培训等安全服务可以帮助用户提升整体信息安全能力及合规性。

  公司立足自主创新,将自有专利与云计算技术相结合,研发了国内首款支持云计算应用的密码机,推出了国内首张三级云服务密码卡,在公有云、私有云、金融云、政务云、警务云等环境下,实现云计算应用的密钥管理、数据加密、身份认证、数字签名等云加密服务。公司目前与国内多家云服务商建立了战略合作,成功为云租户提供云加密产品和技术服务。

  2、北京数盾信息科技有限公司,是专注于国产密码技术探讨研究、密码信息安全产品研制和信息安全整体解决方案,是首批获得国家密码管理局颁发的商用密码产品定点生产和销售许可资质的单位。形成数据加密,国产自主可控,安全平台三大类产品体系,在高速加密技术领域领跑国际水平。

  数盾科学技术拥有雄厚的密码研发技术实力和顶尖的专家团队,获得双高、双软企业认证,拥有完全自主的知识产权,取得了13款商用密码产品证书、34项商标、26项专利技术、25项软件著作权。数盾科技与国内知名高校、科研机构及行业领军企业联合成立10个研究院和实验室,建立了加密技术和信息安全领域产、学、研一体的研发与创新体系。

  数盾科技已成功为中石油、国家电网等行业设计实施了密码信息安全完整解决方案,与华为、新华三集团等建立了加密产品研制战略合作伙伴关系,连续多年获得信息安全行业领军企业、优秀产品和解决方案奖,公司领导人多次获得密码信息安全行业领军人物称号。

  因密而安,让天下没有不安全的信息,是数盾科技坚持不懈的追求,面向信息安全的未来,数盾科技将向行业、产业、家庭及个人市场全面进发,用数盾的产品和解决方案服务打造用户信息安全的守护盾牌。

  3、北京信安世纪科技股份有限公司,是国内较早从事基于密码研发技术、生产的专业信息安全厂商之一,一直以来致力于传统互联网络、机构内部网络和移动网络在通讯传输、交易过程和网络资源保护等领域的安全实现。已成功为金融、社保、税务、海关、烟草、交通等行业提供领先的信息安全产品和解决方案,并在上千种关键信息系统中得到成功应用,是国内领先的信息安全品牌。

  作为科学技术部认定的国家级高新技术企业和软件企业,也是北京市诚信创建企业、纳税信用A级企业和企业技术中心,信安世纪主持或参与了多项相关国家标准制定,承担了多项国家科研项目开发研制工作,取得了近百项技术专利。

  秉承安全可控的理念,信安世纪创新性研发和生产的全系列信息安全产品,均已获得国家密码管理局、公安部等主管部门的认证资质,并荣获包括省部级科技进步奖、中国信息安全技术创新奖、2017年度中国网络信息安全用户推荐产品奖、2018年福布斯非上市潜力企业、2019年五大网络安全样板工程奖等在内的多项殊荣。公司信息安全产品与解决方案已成功应用于400余家金融机构、百余家政府单位和数百家大规模的公司。

  信安世纪总部设在北京,在华东、华南、华中、西南、西北、东北设有六个大区机构,以及江苏、浙江、山东、福建、吉林等二十多地省级办事处。信安世纪长期为金融、政府及大型企业客户服务而总结出的一套完整有效的技术上的支持服务体系,能够为客户的关键信息系系统安全、稳定、高效、可靠地运行提供强有力的保障。

  随时保持与世界先进应用安全技术的同步,是信安世纪保持业内领先的重要基础。企业具有国内信息安全领域强大的开发团队,以及由资深行业专家组成的技术顾问团队,共同规划信安世纪公司的技术路线,提升专业方面技术的前瞻性,引领公司成为信息安全行业的翘楚。

  4.北京数字认证股份有限公司,是北京市国有资产经营有限责任公司控股的国有企业,是国内领先的信息安全解决方案提供商,主体业务为电子认证服务、电子认证产品及可管理的信息安全服务。

  数字认证是高新技术企业和软件企业,是具有工业与信息化部颁发的电子认证服务许可证资质,国家密码管理局颁发的商用密码销售、使用许可资质和电子政务电子认证服务许可资质、卫生系统电子认证服务资质的电子认证服务商;是具有国家风险评估资质、国家应急处理资质、国家信息安全服务安全工程类资质和北京市信息安全服务资质的信息安全服务提供商。

  作为领先的电子认证企业,数字认证遵照《中华人民共和国电子签名法》的要求和相关管理规定,同时为用户更好的提供涵盖电子认证服务和电子认证产品的整体解决方案,建立起覆盖全国的电子认证服务网络和较完善的电子认证产品体系。应用领域覆盖政府、金融、医疗卫生、彩票、电信等市场,在电子政务领域的市场占有率位居行业前列,并已在医疗信息化、网上保险、互联网彩票等重点新兴应用领域建立了市场领先优势。

  作为专业的可管理信息安全服务提供商,数字认证拥有国内一流的信息安全专家和服务团队,深刻理解各种信息安全政策、标准、指南和规范,遵循“分域防护、深层防御、分级保护、动态防范”的原则,建立起服务专业、响应及时、保障可靠的可管理的信息安全服务体系,为广大新老客户提供涵盖信息系统全生命周期的安全集成、安全咨询、安全运维等服务,多次为国属、市属重大工程保驾护航,特别是在2008年北京奥运信息安全保障工作中发挥及其重要的作用,被北京奥组委授予奥运政务网络和信息安全优秀服务企业。

  5.北京国脉信安科技有限公司,是国家高新技术企业单位、中关村高新技术企业单位、商用密码产品生产定点单位、全国信息安全标准化技术委员会成员单位、密码行业标准化技术委员会成员和北京商用密码行业协会成员单位,已通过ISO9001、ISO27001和ISO20000管理体系认证。公司的电子印章系统、云密码服务管理平台、智能密码钥匙产品取得了国家密码管理局颁发的《商用密码产品型号证书》。其中,电子印章系统更是获得了公安部网络安全保卫局颁发的《计算机信息系统安全专用产品营销售卖许可证》。

  公司致力密码核心应用技术探讨研究和产品研制,是国内领先的密码技术与信息安全综合服务商。拥有一支以博士、硕士以及从事密码工作近10年核心员工为基础的精干开发团队,其中多名核心技术骨干是国内信息安全、密码学专家,主持或参加过30多项国家和行业标准的研制工作,多项国家重要课题,以及多个国家、部委和大型央企信息安全系统工程项目建设。团队身后有国内顶级密码技术专家资源作为我们坚强有力的技术支撑。

  国脉信安的企业文化与核心价值观是“技术头筹、共襄合作”,励志在电子印章、标识密码、云服务密码、移动安全、大数据安全等技术领域打造成国内标杆型企业,成为国内密码核心技术领域的引领者和创新者。

  国脉以密码技术为核心,在密码设备、安全认证、授权管理、移动认证、认证与加密、电子印章等领域,原创性的研发国内领先的产品和系统。是国内IBC密码技术探讨研究领先单位,国内所有有关标准的核心研制单位,致力于中国标识密码的技术发展和产业应用。国脉凭借人才优势和技术优势,以密码算法、CA技术、标识密码技术、密码应用技术为基础,构建了密码设备领域、安全系统产品领域、标准研制领域、信息安全系统建设领域的业务体系。面向政务、商务、大规模的公司、互联网等方向,为用户更好的提供先进、安全、可靠的安全产品、系统建设、安全咨询、安全运作维护等服务。

  根据深圳商用密码行业协会的多个方面数据显示,截至目前有87家会员单位,主要是做商用密码研究、生产、销售的企业及科研单位组成。

  1.鼎铉商用密码测评技术(深圳)有限公司,深圳市坪山区属独资企业,国家密码管理局授权全国首家(唯一一家)第三方商用密码检验测试的机构,中国密码学会密码测评专业委员会发起创建单位、区块链密码创新联盟理事长单位、深圳市商用密码行业协会会长单位。

  公司研发技术人员中硕士研究生占比超过70%,骨干技术人才来自中国银联、华为、联想、中兴等知名高科技企业,均有10年以上的工作经验。在国家、省、市密码管理局和坪山区委区政府的关心支持下,在我国商用密码领域领军人才、原国家密码管理局商用密码检测中心主任李大为董事长的带领下,全体鼎铉人正在全力开拓“商用密码检测和安全测评、区块链开发和应用、智慧城市密码应用”三大核心业务板块,并积极构建“检验测试的机构+基础研究+学会+联盟+协会+院校+联合实验室+孵化器+产业园+产业基金”的商用密码创新创业生态环境。

  公司以商用密码检测为立足点,拥有商用密码产品检验测试机构、国家实验室认可CNAS和国家计量认可CMA资质,即将获得商用密码应用安全性评估机构资质。在此基础上,积极向金融及其他重要领域延伸,已获得国际金融数据安全评估PCIDSS的QSA和ASV机构资质,即将获得中国网络安全技术审查和认证中心风险评估资质与电子银行安全评估资质,并将逐步申请信息系统安全、软件安全、智能终端安全测评资质。服务范围涵盖商用密码产品检验测试、商用密码应用安全性评估、PCIDSS安全测评、风险评估、电子银行安全测评、渗透测试、软件安全测评以及智能设备安全测评。

  2.深圳市旺龙智能科技有限公司,是一家专注于建筑智能物联网领域,集产品研制、生产、销售、售后于一体的高新技术企业。公司秉承”Open、Online、Standard+”的理念,以专业化团队为支撑,研发主要具有统一顶层设计、统一授权管理的旺龙物联设备平台、无接触智能电梯、机器人乘梯、云电梯、云对讲、云门禁等系列物联网产品及系统解决方案,为园区、大厦、小区、酒店等场景,提供无接触智能乘梯、云电梯智能派梯(无感通行)、机器人自主乘梯通行等最全的建筑智能物联网设备集成管理解决方案,拥有最强物联核心,助力客户着着领先。

  公司坚持以研发为主导,做最优质、可信赖的建筑智能物联网产品。公司每年将营业额的15%投入到研发,使公司始终走在行业的最前沿。公司先后发明IC卡电梯、云电梯、机器人乘梯等,其中在2003年,旺龙与中兴、华为等4家企业被列入广东省首批专利实施计划项目。目前,旺龙已获得数十项国家发明专利及近百项软件著作权,获得“国家高新技术企业”、“住建部智慧社区领导成员”、“广东省著名商标”、“广东知名品牌”、“中国安防最具影响力十大品牌”、中国智慧安防杰出企业等众多荣誉称号。

  旺龙产品大范围的应用于政府及各大地产企业、物业,包括国家密码管理局、广东省人民政府、深圳平安金融中心、腾讯大厦、上海汤臣一品、商汤集团中国总部大楼等。公司与奥的斯、三菱、蒂森、东芝、日立等80%国际电梯公司达成战略伙伴关系,产品远销海外。

  3.深圳奥联信息安全技术有限公司,是国家SM9算法的原研及标准主要编制单位,是国家高新技术企业,拥有国家信息安全服务(安全工程类、风险评估)、信息安全系统集成等多项信息安全资质,下设北京-长沙-西安-合肥分子公司及4个参股公司,与西安科技大学合作成立“西电密码研究中心”,建设了西安密码产业园、合肥下一代信息产业园。

  奥联在IBC标识密码技术探讨研究和应用上处于国际领头羊,自主或参与设计的多个标识密码算法已被ISO、IEEE、3GPP和IETF等国际标准组织采纳为标准算法,主导或参与了国际标准7项、国家标准7项、行业标准7项的制定工作。奥联作为主要贡献单位联合中国电信、华为编制的《电信网络物联网标识密码标准》获国际电信联盟(ITU)正式通过并分配标准号X.1365;是国家《信息安全技术政务信息共享数据安全技术方面的要求》的牵头制订单位;2019年完整SM9(签名算法、加密算法、密钥交换协议)已成功纳入ISO,将成为中国第一个完整非对称国际标准算法。

  奥联拥有完整的密码算法设计能力和密码产品研制能力,已授权获得密码应用发明专利33项、其中PCT专利1项,软件著作权上百项。多款产品获得国家密码管理局商用密码产品营销售卖许可证、公安部计算机安全专用产品营销售卖许可证。

  奥联基于SM2/3/4/9/ZUC国密算法的密码产品及解决方案、轻量级密钥体系及安全中间件,在邮件安全、物联网安全、移动加密通讯、云加密、身份认证、工业互联网安全、区块链隐私保护等领域,已成功应用于国家部委、企业和事业单位、军队、电信运营商、金融机构、海外中资机构等单位。

  4.深圳华智融科技股份有限公司,是一家全球领先的支付产品及解决方案提供商,是集研发、生产、销售和技术上的支持与售后服务于一体的国家高新技术企业。

  我们致力于为全球用户更好的提供安全可靠、技术先进的电子支付产品及解决方案,并为推动支付产业全面实现电子化和便捷化而努力。优质的电子支付终端产品离不开设计完善的硬件作为基础。

  通过对目前国内商用密码的企业和行业现在的状况进行罗列、对比和分析,我们大家可以清楚的认识到随国家立法的到来,行业有望进入跨车道并且发展层次有望不断的提高;“内外”更迭的时代有望延续,在国外技术、标注和行业准入等客观情况存在的前提下,将有更多的国内标准、国内技术和行业标准建立并持续发挥影响力,从之前的国外姿势产权向国内逐步过渡,未来国内的商用密码产业也将引领潮流。

  在中国商用密码目前的产业和企业情况看,安全芯片、智能密钥、智能IC卡与服务器密码机占的先机,不过在这一些企业中未来的竞争不会同质化,而是更加高端,更加融合后提升。未来商用密码的管理系统、理论体系提升、签名验签服务器与服务器密码机发展空间更广阔,将吸引更加多的投入和资金参与其中。

  总体的概括当前的国内商用密码企业和行业,行业属于初创期虽然获得了一些成就但自我体系还不完善;企业同质化竞争存在,个性化体系不足,产品核心竞争力、全体系竞争力依旧被大企业和集团所掌握。行业标准体系要继续提升和构建,中小企业可以在个性化、产业链条“独特端”发挥一下思考力。

  《网络安全等级保护基础要求》(GB/T 22239-2019)关于第三级安全物理环境中防雷击b项,描述如下:

  测评项:b) 应采取一定的措施防止感应雷,例如设置防雷保安器或过压保护设施等。

  仅通过上面描述,我们只知道需要防雷保安器,但是防雷保安器有不相同的型号和规格,这个如何明智的选择呢?或者说,用户现场使用的规格型号的产品是不是满足测评项要求呢?大抵现在测评师,看到有这个浪涌产品部署就判定符合了。我刚刚接触等级保护时,教我的测评师以及我自己也是这么认为的。后来,与一位老先生(原公安机关负责建设信息通信的老专家)探讨,他给了我一些启示,我循着这个启示不断整理材料。

  当我阅读到《信息安全技术 信息系统物理安全技术要求》这个标准时,我发现第三级物理安全技术要求是这么描写的:

  6.1.8.1 系统中所应用的设备和部件对来自电源端口的浪涌(冲击)的电磁干扰应有一定的抗扰度。试验方法应按照GB/T 17626.5—1998中给出的试验方法,试验等级采用3级,试验评判结果至少应满足GB/T 17626.5—1998中的性能判据分类B的要求。

  循着这个信息,我们可以找到《电磁兼容 试验和测量技术 浪涌(冲击)抗扰度试验》GB/T 17626.5-2019,其实验等级如下表,其表格有个说明,供参考。

  通过《基本要求》、《物理安全技术要求》、《浪涌(冲击)抗扰度试验》三个标准,我们简单看过之后,那么等级保护三级防雷击的测评项b就有地方安放了。

  首先,作为安全物理环境的方案,则需要《基本要求》到《物理安全技术要求》再到《浪涌(冲击)抗扰度试验》进行了解,然后选择符合对应要求的产品,这个产品在说明中应该标识有满足对应国家标准要求及相应的产品合格说明,那么在该条款上才能严格意义上符合等级保护测评三级要求,也就是才能从第一步做到真正符合。同样,测评人员至少对这些知识要有一定的理解,才能判断出部署的产品是不是满足等级保护三级的要求,才能真正做到客观、公正。

  试想,对一个你根本不懂或不知道的东西,你如何知道他应用的是否合理合适呢?大部分测评师就会根据看到的主观臆测了。很多测评机构的测评师感觉安全物理环境测评和安全管理制度测评是最容易的。其实,如果,你只是为了出报告而出报告,那倒确实非常简单。

  但是,很多安全企业以及集成商,在很多时候会咨询我们做等级测评的专业人员,我们能够告诉别人就只有《基础要求》的测评项的那几个字,而背后的东西都不是太懂。他们也知道那几个字,大家都是成年人谁还不认识那几个字呢?那么,这个时候我们的专业性就会严重受到质疑,同时被你指导的安全厂商或集成商,也只能稀里糊涂的帮网络运营单位或使用单位建设信息系统了。

  这只是一个测评项,其他的还有其他测评项呢?我不知道有多少人真正去了解或愿意去了解,不过我个人不成熟的看法是,等级测评是国家政策,自然有国家政策的高度。我们该严谨、认认真真地对待它,协助网络运营单位或使用单位扎实推进网络安全等级保护制度,认真落实《网络安全法》要求,才能让他们在设计、建设、运行过程中最大限度的合规。

  我知道,这样写肯定会得罪很多人。我听到太多拉客观的理由,给自己台阶下自我妥协的人。不过,我个人觉得应该也有人会是与我志同道合。而特别一些人,既然想要从等级保护中赚钱,特别是有些号称提供相关咨询服务的企业,应该可提供让客户做的明白的好方案,有价值的方案。

【相关推荐】