金融行業(yè)網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)的必要性
網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)2.0版本(簡(jiǎn)稱等保2.0)的正式公開發(fā)布,意味著等級(jí)保護(hù)正式進(jìn)入2.0時(shí)代。除了基本要求外,等保2.0還增加了對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等對(duì)象全覆蓋,更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準(zhǔn)防護(hù)。
對(duì)于金融機(jī)構(gòu)來(lái)說(shuō),監(jiān)管合規(guī)有著怎樣的標(biāo)準(zhǔn)?等保建設(shè)實(shí)施如何落地?
我們作為參與等保2.0三個(gè)標(biāo)準(zhǔn)(基本要求、測(cè)評(píng)要求、安全設(shè)計(jì)要求)起草的機(jī)構(gòu),從行業(yè)實(shí)踐角度出發(fā),梳理了2.0時(shí)代等級(jí)保護(hù)工作思路,旨在助力提升金融企業(yè)網(wǎng)絡(luò)安全防護(hù)能力和信息安全管理能力,合理規(guī)避風(fēng)險(xiǎn)。
“第二十一條國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改?!?/span>
金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,金融業(yè)是高度依賴信息技術(shù)的產(chǎn)業(yè),金融業(yè)的高質(zhì)量發(fā)展離不開網(wǎng)絡(luò)和信息系統(tǒng)的安全穩(wěn)定運(yùn)行。隨著新技術(shù)的持續(xù)迭代升級(jí),未來(lái)金融機(jī)構(gòu)在業(yè)務(wù)、風(fēng)控、運(yùn)營(yíng)、審計(jì)、人力等前中后臺(tái)場(chǎng)景都將進(jìn)行智能化轉(zhuǎn)型,同時(shí)對(duì)信息安全、風(fēng)險(xiǎn)控制提出了更高的要求。
1、互聯(lián)網(wǎng)金融和移動(dòng)互聯(lián)
2、云計(jì)算
3、物聯(lián)網(wǎng)金融
等級(jí)保護(hù)2.0落地實(shí)施整體思路
由于金融機(jī)構(gòu)業(yè)務(wù)對(duì)IT依賴度極高,安全要求也高,等保2.0也將重點(diǎn)保護(hù)人員、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)等網(wǎng)絡(luò)空間體系的安全,思路從關(guān)注架構(gòu)安全、被動(dòng)防御能力建設(shè),發(fā)展為主動(dòng)防御、動(dòng)態(tài)防御、整體防控的精準(zhǔn)防護(hù)能力。金融機(jī)構(gòu)在依據(jù)新的等級(jí)保護(hù)標(biāo)準(zhǔn)進(jìn)行安全建設(shè)時(shí),也應(yīng)該不僅僅為應(yīng)對(duì)合規(guī),更多的是需要與金融業(yè)務(wù)深度融合,構(gòu)建創(chuàng)新的安全體系。
等保2.0的《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》的設(shè)計(jì)思想是以PPDR(以策略為中心,構(gòu)建防護(hù)-檢測(cè)-響應(yīng)防護(hù)機(jī)制)為核心思想,以可信認(rèn)證為基礎(chǔ)、訪問控制為核心,構(gòu)建可信-可控-可管的立體化縱深防御體系。
?可信
以可信計(jì)算技術(shù)為基礎(chǔ),構(gòu)建一個(gè)可信的業(yè)務(wù)系統(tǒng)執(zhí)行環(huán)境,即用戶、平臺(tái)、程序都是可信的,確保用戶無(wú)法被冒充、病毒無(wú)法執(zhí)行、入侵行為無(wú)法成功。可信的環(huán)境保證業(yè)務(wù)系統(tǒng)永遠(yuǎn)都按照設(shè)計(jì)預(yù)期的方式執(zhí)行,不會(huì)出現(xiàn)非預(yù)期的流程,從而保障了業(yè)務(wù)系統(tǒng)安全可信。
?可控
以訪問控制技術(shù)為核心,實(shí)現(xiàn)主體對(duì)客體的受控訪問,保證所有的訪問行為均在可控范圍之內(nèi)進(jìn)行,在防范內(nèi)部攻擊的同時(shí)有效防止了從外部發(fā)起的攻擊行為。對(duì)用戶訪問權(quán)限的控制可以確保系統(tǒng)中的用戶不會(huì)出現(xiàn)越權(quán)操作,永遠(yuǎn)都按系統(tǒng)設(shè)計(jì)的方式進(jìn)行資源訪問,保證了系統(tǒng)的信息安全可控。
?可管
通過(guò)構(gòu)建集中管控、最小權(quán)限管理與三權(quán)分立的管理平臺(tái),為管理員創(chuàng)建了一個(gè)工作平臺(tái),使其可以借助于平臺(tái)對(duì)系統(tǒng)進(jìn)行更好的管理,從而彌補(bǔ)了我國(guó)現(xiàn)在重機(jī)制、輕管理的不足,保證信息系統(tǒng)安全可管。
面對(duì)新業(yè)務(wù)、新技術(shù)新威脅,金融機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)的進(jìn)階路徑是夯實(shí)基礎(chǔ)、提升能力,逐步規(guī)劃建設(shè)主動(dòng)防御、動(dòng)態(tài)御防的安全防護(hù)體系。
第一,基于“零信任”安全模型,構(gòu)建網(wǎng)絡(luò)空間信任體系。
導(dǎo)致敏感信息泄露的威脅,大部分都是由于內(nèi)部原因造成的,例如內(nèi)部用戶、外部用戶或合作供應(yīng)商。通過(guò)統(tǒng)一用戶管理、統(tǒng)一認(rèn)證服務(wù)、統(tǒng)一授權(quán)管理、統(tǒng)一日志管理,構(gòu)建網(wǎng)絡(luò)空間信任體系。
第二,完善信息安全管理體系建設(shè),從組織體系、運(yùn)營(yíng)體系、技術(shù)體系三個(gè)維度進(jìn)行。
第三,提升安全防護(hù)和安全運(yùn)維能力,組建安全運(yùn)維團(tuán)隊(duì),開展日常安全防護(hù)和運(yùn)維工作,進(jìn)行人員安全技能培訓(xùn),提升安全事件應(yīng)急響應(yīng)能力。
第四,組建網(wǎng)絡(luò)安全藍(lán)軍,驗(yàn)證安全防護(hù)和安全運(yùn)維有效性。
我們作為國(guó)內(nèi)信息安全領(lǐng)域的領(lǐng)軍企業(yè),始終積極參與等保標(biāo)準(zhǔn)的制訂、推進(jìn)和落地,為金融行業(yè)用戶提供專業(yè)的安全產(chǎn)品、服務(wù)和解決方案。未來(lái),我們將繼續(xù)專注研究,實(shí)現(xiàn)技術(shù)突破和創(chuàng)新,在網(wǎng)絡(luò)安全防護(hù)、保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全等方面持續(xù)努力,為金融行業(yè)用戶的網(wǎng)絡(luò)安全提供更好的保障。