隨著信息技術(shù)不斷滲透到社會生產(chǎn)、生活、運(yùn)轉(zhuǎn)和政府管理等各個(gè)領(lǐng)域，國家非常重視網(wǎng)絡(luò)空間的安全。為此，制定了多項(xiàng)政策和法律法規(guī)，引導(dǎo)政府和企業(yè)提高網(wǎng)絡(luò)安全意識，并提升網(wǎng)絡(luò)安全技術(shù)能力。網(wǎng)絡(luò)安全測評作為確保國家安全和社會穩(wěn)定的重要措施之一，在企業(yè)發(fā)現(xiàn)網(wǎng)絡(luò)隱患和保障安全方面發(fā)揮著至關(guān)重要的作用。

        近年來，我們不斷制定出更多的法律法規(guī)來保障網(wǎng)絡(luò)安全。這使得網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展環(huán)境逐漸變好，并且我們的合規(guī)性審查和測評機(jī)制也更加完善。網(wǎng)絡(luò)安全測評和認(rèn)證作為一種審查手段，隨著合規(guī)范圍的擴(kuò)大，將會迎來高速增長。根據(jù)賽迪顧問的預(yù)測，到2024年，中國網(wǎng)絡(luò)安全測評及認(rèn)證服務(wù)市場的規(guī)模將達(dá)到149.8億元。

CC認(rèn)證、等級保護(hù)和風(fēng)險(xiǎn)評估這三個(gè)術(shù)語經(jīng)常在我們的視線中出現(xiàn)，但常常會被混淆。那么這三者到底有何區(qū)別？它們之間有哪些聯(lián)系呢？

CC認(rèn)證
        CC標(biāo)準(zhǔn)是一個(gè)評估信息安全產(chǎn)品和系統(tǒng)安全特性的基礎(chǔ)準(zhǔn)則，它是由包括美國、日本、英國、西班牙在內(nèi)的31個(gè)國家所制定。作為一個(gè)指導(dǎo)性文件，CC標(biāo)準(zhǔn)旨在確保信息安全產(chǎn)品和系統(tǒng)的安全性。它綜合了現(xiàn)有的信息安全準(zhǔn)則和標(biāo)準(zhǔn)，為評估提供了更全面的框架。

應(yīng)用場景：
        CC標(biāo)準(zhǔn)定義了評估信息技術(shù)產(chǎn)品和系統(tǒng)安全性所需的基礎(chǔ)準(zhǔn)則，作為度量信息技術(shù)安全性的基準(zhǔn)。首先，CC適用于所有IT產(chǎn)品的檢測，無論是硬件、軟件還是固件，都可以在同一個(gè)框架下進(jìn)行評估，同時(shí)也可以用于指導(dǎo)產(chǎn)品或系統(tǒng)的開發(fā)。其次，CC融合了TCSEC、ITSEC、CTCPEC等標(biāo)準(zhǔn)的要素，立足于這些標(biāo)準(zhǔn)的基礎(chǔ)上，又超越了它們，更能適應(yīng)信息技術(shù)的發(fā)展，從而為CC標(biāo)準(zhǔn)的普適性提供了技術(shù)支持。

認(rèn)證流程：
1.請明確需要進(jìn)行認(rèn)證的CC認(rèn)證等級。
        保護(hù)等級評估（EvaluationAssuranceLevel，簡稱EAL）確定了產(chǎn)品檢測的程度。保護(hù)等級從1級到7級，其中1級是最低級別，7級是最高級別。這些等級是IT產(chǎn)品或系統(tǒng)在CC安全評估下的數(shù)字表示。每個(gè)保障級別由一系列安全保障要求組成。只要滿足了相應(yīng)保障級別的安全保障要求，就能達(dá)到該級別。等級越高，表示通過認(rèn)證所需的安全保證要求越多，系統(tǒng)的安全特性也更加可靠。

2.確定等級后，進(jìn)行相關(guān)的開發(fā)工作和文檔編寫。
        您可以通過訪問望安科技的CC認(rèn)證流程，直接獲取EAL1-EAL7級評估基礎(chǔ)的安全保障能力文檔。

3.將證據(jù)提交給評估機(jī)構(gòu)
        將標(biāo)準(zhǔn)化的證據(jù)提交給評估機(jī)構(gòu)，并根據(jù)評估機(jī)構(gòu)的反饋，按照CC標(biāo)準(zhǔn)對證據(jù)、產(chǎn)品進(jìn)行改進(jìn)和迭代。

        在這個(gè)階段，評估機(jī)構(gòu)可能要求廠商合作進(jìn)行相關(guān)的評估操作，直到評估機(jī)構(gòu)完成對認(rèn)證產(chǎn)品的綜合評估并進(jìn)行注冊。

服務(wù)價(jià)值:
        1. CC認(rèn)證服務(wù)提供給IT公司的是一種低成本且高效的方式，幫助它們促進(jìn)高質(zhì)量、安全和可控的IT產(chǎn)品開發(fā)。即使在無需了解CC的情況下，IT公司也能通過CC相關(guān)認(rèn)證。
通過CC認(rèn)證，可以將產(chǎn)品銷售給對安全要求較高的客戶，增加用戶對產(chǎn)品的信任度，提升產(chǎn)品的知名度和曝光率，并徹底解決產(chǎn)品的信息安全隱患。

2.等級保護(hù)測評
        等級保護(hù)測評是對已經(jīng)確定等級備案的信息系統(tǒng)進(jìn)行評估，采用安全技術(shù)測評和安全管理測評的方法。評估會從物理環(huán)境、通信網(wǎng)絡(luò)、區(qū)域邊界、計(jì)算環(huán)境以及制度、機(jī)構(gòu)、人員、建設(shè)、運(yùn)維等多個(gè)方面進(jìn)行檢測，以判斷受測系統(tǒng)的技術(shù)和管理級別是否符合所定的安全等級要求。通過此評估，可以發(fā)現(xiàn)信息系統(tǒng)存在的安全隱患和漏洞，進(jìn)一步加強(qiáng)系統(tǒng)的防攻擊和防入侵能力，提升整個(gè)信息系統(tǒng)的安全保護(hù)水平，從而最大程度地確保國家重要基礎(chǔ)設(shè)施和重點(diǎn)行業(yè)的安全穩(wěn)定運(yùn)營。

應(yīng)用場景：
        已經(jīng)完成定級備案的信息系統(tǒng)，在建設(shè)完成后需要進(jìn)行等級測評合格后才能投入使用。其中，第三級信息系統(tǒng)每年至少進(jìn)行一次等級測評，第四級信息系統(tǒng)每半年至少進(jìn)行一次等級測評，第五級信息系統(tǒng)根據(jù)特殊安全需求進(jìn)行等級測評。

業(yè)務(wù)流程：
等級保護(hù)工作包括五個(gè)主要階段，即定級備案、協(xié)助自查、建設(shè)整改、等級測評和監(jiān)督檢查。

服務(wù)價(jià)值:
        通過進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)工作，在信息化規(guī)劃初期，可以按照等級保護(hù)的相關(guān)要求進(jìn)行開發(fā)設(shè)計(jì)，以避免重復(fù)的安全投資。在測評過程中，可以全面梳理單位的資產(chǎn)信息，并形成書面化的資產(chǎn)臺賬，以理順各信息系統(tǒng)之間的相互關(guān)系，識別信息系統(tǒng)存在的安全風(fēng)險(xiǎn)，并為系統(tǒng)的安全加固提供技術(shù)依據(jù)，從而為系統(tǒng)的穩(wěn)定和安全運(yùn)行提供支撐。

風(fēng)險(xiǎn)評價(jià)
        網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)評估是依據(jù)風(fēng)險(xiǎn)評估規(guī)范和管理制度，對信息管理系統(tǒng)的價(jià)值、潛在威脅、弱點(diǎn)以及已采取的防護(hù)措施等進(jìn)行分析，以確定安全事故發(fā)生的可能性及其可能導(dǎo)致的損失，并明確提出全面的風(fēng)險(xiǎn)管控對策的過程。

        什么是等保？

　　等保是指信息系統(tǒng)安全等級保護(hù)，是中國政府為保障信息系統(tǒng)安全而制定的一項(xiàng)安全標(biāo)準(zhǔn)。等保旨在根據(jù)信息系統(tǒng)的重要性和敏感程度，對其進(jìn)行等級劃分，并提供相應(yīng)的安全保護(hù)措施和要求。等保標(biāo)準(zhǔn)主要適用于政府部門、重要行業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施等領(lǐng)域，旨在提高信息系統(tǒng)的安全性和保護(hù)國家安全、經(jīng)濟(jì)安全、社會穩(wěn)定等方面的需求。

等保的實(shí)施需要進(jìn)行等保測評，即對信息系統(tǒng)進(jìn)行全面評估和審查，以確定其符合等保標(biāo)準(zhǔn)的要求。等保測評包括對物理環(huán)境、網(wǎng)絡(luò)設(shè)備、系統(tǒng)安全、安全管理等多個(gè)方面的檢查和測試，以驗(yàn)證系統(tǒng)的安全性和合規(guī)性。

        為什么要做等保？

　?。?從法律要求層面來說，網(wǎng)絡(luò)安全等級保護(hù)是國家信息安全保障基本制度、基本策略、基本方法?！吨腥A人民共和國網(wǎng)絡(luò)安全法》明確規(guī)定信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求，履行安全保護(hù)義務(wù)，如果拒不履行，將會受到相應(yīng)處罰。也就是說，如果不開展等保工作就等同于違法。

　?。?從行業(yè)要求層面來說，等保已成為許多行業(yè)的必需品。很多行業(yè)主管單位明確要求從業(yè)機(jī)構(gòu)的信息系統(tǒng)要開展等保工作，比如金融、電力、廣電、醫(yī)療、教育等行業(yè)。

　?。?從安全要求層面來說，信息系統(tǒng)運(yùn)營、使用單位通過開展等保工作可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的安全隱患與不足之處，可通過安全整改提升系統(tǒng)的安全防護(hù)能力，降低被攻擊的風(fēng)險(xiǎn)。

          根據(jù)網(wǎng)絡(luò)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及其一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及相關(guān)公民、法人和其他組織的合法權(quán)益的危害程度等因素，網(wǎng)絡(luò)分為五個(gè)安全保護(hù)等級。

          第一級：一般網(wǎng)絡(luò)系統(tǒng)，自主保護(hù)級 受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成損害，但不危害國家安全、社會秩序和公共利益的一般網(wǎng)絡(luò)系統(tǒng)。

          第二級：一般網(wǎng)絡(luò)系統(tǒng)，指導(dǎo)保護(hù)級 受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害，或者對社會秩序和公共利益造成危害，但不危害國家安全的一般網(wǎng)絡(luò)系統(tǒng)。

          第三級：重要系統(tǒng)/關(guān)鍵信息基礎(chǔ)設(shè)施，監(jiān)督保護(hù)級 一旦受到破壞會對相關(guān)公民、法人和其他組織的合法權(quán)益造成特別嚴(yán)重?fù)p害，或者會對社會秩序和社會公共利益造成嚴(yán)重危害，或者對國家安全造成危害的重要網(wǎng)絡(luò)。

          第四級：關(guān)鍵信息基礎(chǔ)設(shè)施，強(qiáng)制保護(hù)級 一旦受到破壞會對社會秩序和公共利益造成特別嚴(yán)重危害，或者對國家安全造成嚴(yán)重危害的特別重要網(wǎng)絡(luò)。

          第五級：極其重要網(wǎng)絡(luò) 一旦受到破壞后會對國家安全造成特別嚴(yán)重危害的極其重要網(wǎng)絡(luò)。

三者之間的關(guān)系和區(qū)別。
        CC認(rèn)證、等級保護(hù)和風(fēng)險(xiǎn)評估在信息安全領(lǐng)域中都是至關(guān)重要的概念，而且它們之間有著緊密的聯(lián)系。

        首先，CC認(rèn)證和等級保護(hù)都是為了保護(hù)信息系統(tǒng)安全而采取的措施。CC認(rèn)證是一項(xiàng)國際性的信息安全評估標(biāo)準(zhǔn)，在國際上得到廣泛認(rèn)可，在國內(nèi)也是信息安全產(chǎn)品認(rèn)證的趨勢。它的目的是評估信息技術(shù)產(chǎn)品的安全性和可信度。等級保護(hù)則是我國信息系統(tǒng)安全保護(hù)的規(guī)定，是信息安全保護(hù)體系的重要組成部分。CC認(rèn)證和等級保護(hù)都強(qiáng)調(diào)了信息系統(tǒng)安全的重要性，并提出了相應(yīng)的安全要求和措施。

        其次，風(fēng)險(xiǎn)評估可以與CC認(rèn)證和等級保護(hù)相結(jié)合，用于評估信息系統(tǒng)的安全性和可信度。風(fēng)險(xiǎn)評估是信息安全工作中的重要組成部分，其目的是識別和評估可能對信息系統(tǒng)產(chǎn)生影響的各種風(fēng)險(xiǎn)，并制定相應(yīng)的風(fēng)險(xiǎn)控制措施。通過發(fā)現(xiàn)、分析和評估風(fēng)險(xiǎn)，可以為CC認(rèn)證和等級保護(hù)提供支持。

        總之，CC認(rèn)證、等級保護(hù)和風(fēng)險(xiǎn)評估是密切相關(guān)的概念，它們都是信息安全保護(hù)體系中的重要組成部分。風(fēng)險(xiǎn)評估可以指導(dǎo)CC認(rèn)證和等級保護(hù)的執(zhí)行，而CC認(rèn)證和等級保護(hù)則作為信息系統(tǒng)安全保護(hù)的手段，可降低系統(tǒng)受到風(fēng)險(xiǎn)的影響。