网络安全等级保护技术2.0版本(简称等保2.0)的正式公开发布,意味着等级保护正式进入2.0时代。除了基本要求外,等保2.0还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖,更加注重全方位主动防御、动态防御、整体防控和精准防护。
对于金融机构来说,监管合规有着怎样的标准?等保建设实施如何落地?
启明星辰集团作为唯一全部参与等保2.0三个标准(基本要求、测评要求、安全设计要求)起草的安全厂商,从行业实践角度出发,梳理了2.0时代等级保护工作思路,旨在助力提升金融企业网络安全防护能力和信息安全管理能力,合理规避风险。
金融行业网络安全等级保护建设的必要性
国家高度重视金融领域网络安全,事关经济发展和社会稳定,事关广大民众的切身利益。2017年6月1日发布的《中华人民共和国网络安全法》第二十一条明确了将等级保护制度提升到法律要求。
“第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
金融领域的关键信息基础设施是经济社会运行的神经中枢,金融业是高度依赖信息技术的产业,金融业的高质量发展离不开网络和信息系统的安全稳定运行。随着新技术的持续迭代升级,未来金融机构在业务、风控、运营、审计、人力等前中后台场景都将进行智能化转型,同时对信息安全、风险控制提出了更高的要求。
等级保护2.0的新变化对金融行业的影响
等保2.0对保护对象范围、定级流程、标准内容构成、等级测评等方面都做了较大的调整。随着金融科技的不断深入和发展,特别是互联网、移动互联、云计算、物联网等技术的不断涌现和应用,金融行业的网络安全工作面临着越来越多的新情况、新问题,基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。
1、互联网金融和移动互联
巨大的市场需求与行业融合共同推动着移动互联网金融快速创新,不断涌现出移动支付、移动理财、移动交易、APP模式、O2O等新型的移动互联网金融模式。由于互联网金融的各方参与者对于数据安全、客户信息安全的风险防患意识薄弱,造成了互联网金融信息风险事件时有发生。
2、云计算
在整个金融行业,银行业机构大部分采用建设小规模的私有云的方式,非银机构的互联网金融大多采用金融行业的公有云。对于云计算而言,安全性和可持续性是最需关注的两个点。
3、物联网金融
物联网和金融的深度融合,使得金融能够依托物联网技术,提升服务体验、降低运营成本,实现资金流、信息流、实体流的三流合一,从而变革金融的信用体系,控制金融风险,深刻、深远地变革银行、证券、保险、租赁、投资等众多金融领域的原有模式,在带来新的金融变革的同时,也引入了新的安全风险。
启明星辰助力等级保护2.0落地实施整体思路
由于金融机构业务对IT依赖度极高,安全要求也高,等保2.0也将重点保护人员、网络、系统、数据等网络空间体系的安全,思路从关注架构安全、被动防御能力建设,发展为主动防御、动态防御、整体防控的精准防护能力。金融机构在依据新的等级保护标准进行安全建设时,也应该不仅仅为应对合规,更多的是需要与金融业务深度融合,构建创新的安全体系。
等保2.0的《信息安全技术网络安全等级保护安全设计技术要求》的设计思想是以PPDR(以策略为中心,构建防护-检测-响应防护机制)为核心思想,以可信认证为基础、访问控制为核心,构建可信-可控-可管的立体化纵深防御体系。
▸可信
以可信计算技术为基础,构建一个可信的业务系统执行环境,即用户、平台、程序都是可信的,确保用户无法被冒充、病毒无法执行、入侵行为无法成功。可信的环境保证业务系统永远都按照设计预期的方式执行,不会出现非预期的流程,从而保障了业务系统安全可信。
▸可控
以访问控制技术为核心,实现主体对客体的受控访问,保证所有的访问行为均在可控范围之内进行,在防范内部攻击的同时有效防止了从外部发起的攻击行为。对用户访问权限的控制可以确保系统中的用户不会出现越权操作,永远都按系统设计的方式进行资源访问,保证了系统的信息安全可控。
▸可管
通过构建集中管控、最小权限管理与三权分立的管理平台,为管理员创建了一个工作平台,使其可以借助于平台对系统进行更好的管理,从而弥补了我国现在重机制、轻管理的不足,保证信息系统安全可管。
面对新业务、新技术、新威胁,金融机构网络安全建设的进阶路径是夯实基础、提升能力,逐步规划建设主动防御、动态御防的安全防护体系。
第一,基于“零信任”安全模型,构建网络空间信任体系。
导致敏感信息泄露的威胁,大部分都是由于内部原因造成的,例如内部用户、外部用户或合作供应商。通过统一用户管理、统一认证服务、统一授权管理、统一日志管理,构建网络空间信任体系。
第二,完善信息安全管理体系建设,从组织体系、运营体系、技术体系三个维度进行。
第三,提升安全防护和安全运维能力,组建安全运维团队,开展日常安全防护和运维工作,进行人员安全技能培训,提升安全事件应急响应能力。
第四,组建网络安全蓝军,验证安全防护和安全运维有效性。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
