根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民,法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为五大等级。其中第二级网络安全保护简称二级等保,在过二级等保时,SSL证书是实现安全通信网络不可或缺的安全防护产品之一。然而SSL证书根据验证级别有DV、OV、EV之分,并不是所有级别都能过等保,什么样的SSL证书符合二级等保要求呢?
首先,我们来了解什么是二级等保以及二级等保对安全通信网络设计技术要求
在GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》中对网络安全等级保护分成了五级,其中对二级等保是这样描述的:
- 第二级——等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全。
在GB/T 25070《信息安全技术 网络安全等级保护安全设计技术要求》中,对二级等保安全通信网络设计技术提出了以下要求:
- 通信网络安全审计
- 应在安全通信网络设置审计机制,由安全管理中心管理。
- 通信网络数据传输完整性保护
- 可采用由密码等技术支持的完整性校验机制,以实现通信网络数据传输完整性保护。
- 通信网络数据传输保密性保护
- 可采用由密码等技术支持的保密性保护机制,以实现通信网络数据传输保密性保护。
- 可信连接验证
- 通信节点应采用具有网络可信连接保护功能的系统软件或可信根支撑的信息技术产品,在设备连接网络时,对源和目标平台身份、执行程序进行可信验证,并将验证结果形成审计记录。
什么样的SSL证书符合二级等保要求?
根据二级等保安全通信网络设计技术要求,可采用遵循SSL协议,支持国际RSA或国密SM2等商用密码的SSL证书来实现通信网络数据传输的完整性和加密性保护。
又因其需要可信根对源和目标平台身份、执行程序进行可信验证,所以二级等保需要由全球可信CA机构签发的、可验证企业真实身份的OV SSL证书或EV SSL证书。
1、验证企业可信身份
由全球可信的权威CA机构(比如锐安信sslTrus、CFCA等)签发的OV SSL证书或EV SSL证书,CA机构在颁发这些证书的时候不仅会验证域名所有权,还会验证企业信息。注册人必须提供相关的企业真实存在、运营和法律地位详细信息,以证明企业的有效性。这些文件包括企业名称、实际地址、电话号码和法定地址等,从而确保其数字身份是真实的可信的。
2、确保数据传输保密性
SSL证书可实现HTTPS加密,其采用国际RSA算法或国密SM2算法,使用公钥和私钥的组合来进行加密和解密操作,其中公钥进行加密,私钥进行解密,以确保数据传输的保密性。
3、确保数据传输完整性
在数据传输过程中,SSL证书遵循SSL安全协议,通过在客户端浏览器和Web服务器之间建立一条SSL安全通道,确保传输数据不会被非法第三方劫持或篡改,从而确保数据传输的完整性。
总而言之,随着网络威胁的日益剧增,等保测评在二级等保及以上的企业系统或网站,都需要采用OV SSL证书或EV SSL证书来达到安全通信设计的技术要求,从而保护网络安全,乃至国家安全。
