等保2.0時代 金融機構不“止”合規
作者:啟明星辰
2020-08-28
網絡安全等級保護技術2.0版本(簡稱等保2.0)的正式公開發布���,意味著等級保護正式進入2.0時代����。除了基本要求外��,等保2.0還增加了對云計算����、移動互聯�����、物聯網���、工業控制和大數據等對象全覆蓋�,更加注重全方位主動防御�、動態防御���、整體防控和精準防護����。
對于金融機構來說�����,監管合規有著怎樣的標準���?等保建設實施如何落地�����?
啟明星辰集團作為唯一全部參與等保2.0三個標準(基本要求��、測評要求�、安全設計要求)起草的安全廠商����,從行業實踐角度出發����,梳理了2.0時代等級保護工作思路�,旨在助力提升金融企業網絡安全防護能力和信息安全管理能力���,合理規避風險�����。
金融行業網絡安全等級保護建設的必要性
國家高度重視金融領域網絡安全����,事關經濟發展和社會穩定����,事關廣大民眾的切身利益��。2017年6月1日發布的《中華人民共和國網絡安全法》第二十一條明確了將等級保護制度提升到法律要求���。
“第二十一條國家實行網絡安全等級保護制度��。網絡運營者應當按照網絡安全等級保護制度的要求��,履行下列安全保護義務����,保障網絡免受干擾�、破壞或者未經授權的訪問���,防止網絡數據泄露或者被竊取����、篡改�����?�!?/span>
金融領域的關鍵信息基礎設施是經濟社會運行的神經中樞��,金融業是高度依賴信息技術的產業�����,金融業的高質量發展離不開網絡和信息系統的安全穩定運行���。隨著新技術的持續迭代升級�����,未來金融機構在業務�����、風控�����、運營���、審計����、人力等前中后臺場景都將進行智能化轉型�,同時對信息安全�����、風險控制提出了更高的要求���。
等級保護2.0的新變化對金融行業的影響
等保2.0對保護對象范圍��、定級流程�����、標準內容構成��、等級測評等方面都做了較大的調整�。隨著金融科技的不斷深入和發展�����,特別是互聯網���、移動互聯�、云計算�、物聯網等技術的不斷涌現和應用�����,金融行業的網絡安全工作面臨著越來越多的新情況���、新問題���,基礎信息網絡與重要信息系統面臨著日益嚴峻的威脅與挑戰���。
1���、互聯網金融和移動互聯
巨大的市場需求與行業融合共同推動著移動互聯網金融快速創新���,不斷涌現出移動支付���、移動理財�����、移動交易�、APP模式�����、O2O等新型的移動互聯網金融模式��。由于互聯網金融的各方參與者對于數據安全����、客戶信息安全的風險防患意識薄弱�,造成了互聯網金融信息風險事件時有發生���。
2�、云計算
在整個金融行業����,銀行業機構大部分采用建設小規模的私有云的方式���,非銀機構的互聯網金融大多采用金融行業的公有云�����。對于云計算而言����,安全性和可持續性是最需關注的兩個點��。
3�、物聯網金融
物聯網和金融的深度融合���,使得金融能夠依托物聯網技術�,提升服務體驗���、降低運營成本���,實現資金流����、信息流���、實體流的三流合一�����,從而變革金融的信用體系����,控制金融風險�,深刻��、深遠地變革銀行����、證券��、保險���、租賃����、投資等眾多金融領域的原有模式�����,在帶來新的金融變革的同時��,也引入了新的安全風險���。
啟明星辰助力等級保護2.0落地實施整體思路
由于金融機構業務對IT依賴度極高�����,安全要求也高����,等保2.0也將重點保護人員�、網絡�、系統��、數據等網絡空間體系的安全�,思路從關注架構安全��、被動防御能力建設����,發展為主動防御����、動態防御���、整體防控的精準防護能力�。金融機構在依據新的等級保護標準進行安全建設時����,也應該不僅僅為應對合規�����,更多的是需要與金融業務深度融合��,構建創新的安全體系��。
等保2.0的《信息安全技術網絡安全等級保護安全設計技術要求》的設計思想是以PPDR(以策略為中心����,構建防護-檢測-響應防護機制)為核心思想�,以可信認證為基礎��、訪問控制為核心��,構建可信-可控-可管的立體化縱深防御體系���。
?可信
以可信計算技術為基礎���,構建一個可信的業務系統執行環境�����,即用戶����、平臺��、程序都是可信的�,確保用戶無法被冒充���、病毒無法執行���、入侵行為無法成功���?���?尚诺沫h境保證業務系統永遠都按照設計預期的方式執行�,不會出現非預期的流程����,從而保障了業務系統安全可信����。
?可控
以訪問控制技術為核心�,實現主體對客體的受控訪問�����,保證所有的訪問行為均在可控范圍之內進行���,在防范內部攻擊的同時有效防止了從外部發起的攻擊行為�。對用戶訪問權限的控制可以確保系統中的用戶不會出現越權操作�����,永遠都按系統設計的方式進行資源訪問���,保證了系統的信息安全可控�。
?可管
通過構建集中管控�����、最小權限管理與三權分立的管理平臺���,為管理員創建了一個工作平臺���,使其可以借助于平臺對系統進行更好的管理���,從而彌補了我國現在重機制�、輕管理的不足���,保證信息系統安全可管�����。
面對新業務��、新技術���、新威脅�����,金融機構網絡安全建設的進階路徑是夯實基礎����、提升能力���,逐步規劃建設主動防御�、動態御防的安全防護體系�。
第一�����,基于“零信任”安全模型���,構建網絡空間信任體系�。
導致敏感信息泄露的威脅���,大部分都是由于內部原因造成的��,例如內部用戶����、外部用戶或合作供應商�。通過統一用戶管理�、統一認證服務���、統一授權管理��、統一日志管理�,構建網絡空間信任體系�����。
第二���,完善信息安全管理體系建設��,從組織體系��、運營體系���、技術體系三個維度進行���。
第三�����,提升安全防護和安全運維能力��,組建安全運維團隊���,開展日常安全防護和運維工作���,進行人員安全技能培訓��,提升安全事件應急響應能力�。
第四�,組建網絡安全藍軍����,驗證安全防護和安全運維有效性����。
京公網安備11010802024551號