浅谈等保和密评在数据保密性控制项的关联
网络安全等级保护测评和商用密码应用安全性评估在数据保密性控制项上既有重叠也有差异,二者分别从整体安全防护和密码技术应用角度提出要求。以下是具体对比:
一、数据保密性控制项的异同对比
控制维度 | 等保测评(GB/T 22239-2019) | 密评(GM/T 0054-2018) | 核心差异 |
目标范围 | 保障数据在存储、传输、处理中的机密性(整体安全框架) | 聚焦密码技术在数据保密性中的应用有效性(专项评估) | 等保范围更广,密评专注密码技术落实 |
技术手段 | 加密、访问控制、脱敏等通用技术 | 强制使用合规商用密码(如SM4、SM2) | 密评对算法和实现有明确要求 |
测评重点 | 数据是否按需加密(如敏感字段加密) | 加密算法、密钥管理、密码产品是否合规 | 密评需验证密码技术全生命周期合规性 |
适用对象 | 所有信息系统(按等级划分) | 涉及国家秘密/重要数据的系统(如政务、金融) | 密评针对密码应用关键领域 |
二、典型控制项对比
1. 数据传输保密性
等保要求(三级系统示例):
· 检查是否使用SSL/TLS、VPN等加密通道传输敏感数据。
· 测评方法:验证HTTPS配置(如OpenSSL检查证书和协议版本)。
密评要求:
· 必须使用国密算法(如SM2-SM3-SM4组合的SSL协议)。
· 测评方法:验证是否部署国密SSL(如GM/T 0024标准)。
2. 数据存储保密性
等保要求:
· 敏感数据(如用户密码、身份证号)需加密存储。
· 测评方法:检查数据库字段是否加密(如查看是否使用AES加密)。
密评要求:
· 必须使用国密算法(如SM4)加密,且密钥管理需符合GM/T 0036标准。
· 测评方法:验证加密算法和密钥存储方式(如HSM硬件模块)。
3. 密钥管理
等保要求:
Ø 密钥与数据分离存储,定期更换(无具体算法要求)。
密评要求:
Ø 密钥全生命周期管理(生成、存储、分发、更新、销毁)需通过商用密码产品认证。
Ø 测评方法:检查是否使用合规密钥管理系统(如支持SM2的KMS)。
三、测评结论差异
场景 | 等保测评结论 | 密评结论 |
使用AES加密存储数据 | 符合要求(满足通用加密) | 不符合(未使用国密算法) |
通过HTTPS传输数据 | 符合要求 | 需检查是否为国密SSL(如TLCP) |
密钥存储在配置文件 | 可能扣分(安全性不足) | 直接不通过(违反GM/T 0036) |
四、协同实施建议
1.优先满足密评:涉及国家秘密的系统,先通过密评(国密算法强制),再适配等保要求。
2.技术融合:
² 在等保加密要求中直接部署国密算法(如SM4替换AES)。
² 使用双证书体系(RSA+SM2)兼顾兼容性与合规性。
3. 工具统一:
² 等保检查工具:Nessus、OpenSCAP。
² 密评专用工具:密评检测工具箱(如国密协议分析仪)。
五、典型问题示例
问题1:系统使用MySQL的AES_ENCRYPT函数加密数据。
² 等保:通过。
² 密评:不通过(需改用SM4,如通过`openssl sm4`命令加密)。
问题2:密钥硬编码在代码中。
² 等保:扣分(安全缺陷)。
² 密评:一票否决(违反GM/T 0036密钥管理要求)。
总体来讲,密码测评(密评)和等保测评在目标范围、技术手段、测评重点及适用对象方面均有显著差别:
² 目标:等保测评构建全局安全体系,密评专项保障密码安全。
² 手段:等保采用综合评估,密评侧重密码技术检测(如算法强度、密钥生命周期)。
² 适用性:等保面向全行业信息系统,密评主要针对法律要求或高敏感领域。
两者互补,共同构成我国网络安全与密码安全的双重保障机制。
