安全資訊

金融行業(yè)網(wǎng)絡(luò )安全等級保護建設的必要性

【時(shí)間】2019-12-26

【編輯】Admin

【瀏覽量】

【等級保護QQ交流群】881590869

網(wǎng)絡(luò )安全等級保護技術(shù)2.0版本(簡(jiǎn)稱(chēng)等保2.0)的正式公開(kāi)發(fā)布,意味著(zhù)等級保護正式進(jìn)入2.0時(shí)代。除了基本要求外,等保2.0還增加了對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數據等對象全覆蓋,更加注重全方位主動(dòng)防御、動(dòng)態(tài)防御、整體防控和精準防護。

對于金融機構來(lái)說(shuō),監管合規有著(zhù)怎樣的標準?等保建設實(shí)施如何落地?

我們作為參與等保2.0三個(gè)標準(基本要求、測評要求、安全設計要求)起草的機構,從行業(yè)實(shí)踐角度出發(fā),梳理了2.0時(shí)代等級保護工作思路,旨在助力提升金融企業(yè)網(wǎng)絡(luò )安全防護能力和信息安全管理能力,合理規避風(fēng)險。


金融行業(yè)網(wǎng)絡(luò )安全等級保護建設的必要性


國家高度重視金融領(lǐng)域網(wǎng)絡(luò )安全,事關(guān)經(jīng)濟發(fā)展和社會(huì )穩定,事關(guān)廣大民眾的切身利益。2017年6月1日發(fā)布的《中華人民共和國網(wǎng)絡(luò )安全法》第二十一條明確了將等級保護制度提升到法律要求。

“第二十一條國家實(shí)行網(wǎng)絡(luò )安全等級保護制度。網(wǎng)絡(luò )運營(yíng)者應當按照網(wǎng)絡(luò )安全等級保護制度的要求,履行下列安全保護義務(wù),保障網(wǎng)絡(luò )免受干擾、破壞或者未經(jīng)授權的訪(fǎng)問(wèn),防止網(wǎng)絡(luò )數據泄露或者被竊取、篡改?!?/span>

金融領(lǐng)域的關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞,金融業(yè)是高度依賴(lài)信息技術(shù)的產(chǎn)業(yè),金融業(yè)的高質(zhì)量發(fā)展離不開(kāi)網(wǎng)絡(luò )和信息系統的安全穩定運行。隨著(zhù)新技術(shù)的持續迭代升級,未來(lái)金融機構在業(yè)務(wù)、風(fēng)控、運營(yíng)、審計、人力等前中后臺場(chǎng)景都將進(jìn)行智能化轉型,同時(shí)對信息安全、風(fēng)險控制提出了更高的要求。


等級保護2.0的新變化對金融行業(yè)的影響


等保2.0對保護對象范圍、定級流程、標準內容構成、等級測評等方面都做了較大的調整。隨著(zhù)金融科技的不斷深入和發(fā)展,特別是互聯(lián)網(wǎng)、移動(dòng)互聯(lián)、云計算、物聯(lián)網(wǎng)等技術(shù)的不斷涌現和應用,金融行業(yè)的網(wǎng)絡(luò )安全工作面臨著(zhù)越來(lái)越多的新情況、新問(wèn)題,基礎信息網(wǎng)絡(luò )與重要信息系統面臨著(zhù)日益嚴峻的威脅與挑戰。

1、互聯(lián)網(wǎng)金融和移動(dòng)互聯(lián)


巨大的市場(chǎng)需求與行業(yè)融合共同推動(dòng)著(zhù)移動(dòng)互聯(lián)網(wǎng)金融快速創(chuàng )新,不斷涌現出移動(dòng)支付、移動(dòng)理財、移動(dòng)交易、APP模式、O2O等新型的移動(dòng)互聯(lián)網(wǎng)金融模式。由于互聯(lián)網(wǎng)金融的各方參與者對于數據安全、客戶(hù)信息安全的風(fēng)險防患意識薄弱,造成了互聯(lián)網(wǎng)金融信息風(fēng)險事件時(shí)有發(fā)生。

2、云計算


在整個(gè)金融行業(yè),銀行業(yè)機構大部分采用建設小規模的私有云的方式,非銀機構的互聯(lián)網(wǎng)金融大多采用金融行業(yè)的公有云。對于云計算而言,安全性和可持續性是最需關(guān)注的兩個(gè)點(diǎn)。

3、物聯(lián)網(wǎng)金融


物聯(lián)網(wǎng)和金融的深度融合,使得金融能夠依托物聯(lián)網(wǎng)技術(shù),提升服務(wù)體驗、降低運營(yíng)成本,實(shí)現資金流、信息流、實(shí)體流的三流合一,從而變革金融的信用體系,控制金融風(fēng)險,深刻、深遠地變革銀行、證券、保險、租賃、投資等眾多金融領(lǐng)域的原有模式,在帶來(lái)新的金融變革的同時(shí),也引入了新的安全風(fēng)險。

等級保護2.0落地實(shí)施整體思路

由于金融機構業(yè)務(wù)對IT依賴(lài)度極高,安全要求也高,等保2.0也將重點(diǎn)保護人員、網(wǎng)絡(luò )、系統、數據等網(wǎng)絡(luò )空間體系的安全,思路從關(guān)注架構安全、被動(dòng)防御能力建設,發(fā)展為主動(dòng)防御、動(dòng)態(tài)防御、整體防控的精準防護能力。金融機構在依據新的等級保護標準進(jìn)行安全建設時(shí),也應該不僅僅為應對合規,更多的是需要與金融業(yè)務(wù)深度融合,構建創(chuàng )新的安全體系。
 
等保2.0的《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》的設計思想是以PPDR(以策略為中心,構建防護-檢測-響應防護機制)為核心思想,以可信認證為基礎、訪(fǎng)問(wèn)控制為核心,構建可信-可控-可管的立體化縱深防御體系。

?可信

以可信計算技術(shù)為基礎,構建一個(gè)可信的業(yè)務(wù)系統執行環(huán)境,即用戶(hù)、平臺、程序都是可信的,確保用戶(hù)無(wú)法被冒充、病毒無(wú)法執行、入侵行為無(wú)法成功??尚诺沫h(huán)境保證業(yè)務(wù)系統永遠都按照設計預期的方式執行,不會(huì )出現非預期的流程,從而保障了業(yè)務(wù)系統安全可信。

?可控

以訪(fǎng)問(wèn)控制技術(shù)為核心,實(shí)現主體對客體的受控訪(fǎng)問(wèn),保證所有的訪(fǎng)問(wèn)行為均在可控范圍之內進(jìn)行,在防范內部攻擊的同時(shí)有效防止了從外部發(fā)起的攻擊行為。對用戶(hù)訪(fǎng)問(wèn)權限的控制可以確保系統中的用戶(hù)不會(huì )出現越權操作,永遠都按系統設計的方式進(jìn)行資源訪(fǎng)問(wèn),保證了系統的信息安全可控。

?可管

通過(guò)構建集中管控、最小權限管理與三權分立的管理平臺,為管理員創(chuàng )建了一個(gè)工作平臺,使其可以借助于平臺對系統進(jìn)行更好的管理,從而彌補了我國現在重機制、輕管理的不足,保證信息系統安全可管。

面對新業(yè)務(wù)、新技術(shù)新威脅,金融機構網(wǎng)絡(luò )安全建設的進(jìn)階路徑是夯實(shí)基礎、提升能力,逐步規劃建設主動(dòng)防御、動(dòng)態(tài)御防的安全防護體系。

第一,基于“零信任”安全模型,構建網(wǎng)絡(luò )空間信任體系。

導致敏感信息泄露的威脅,大部分都是由于內部原因造成的,例如內部用戶(hù)、外部用戶(hù)或合作供應商。通過(guò)統一用戶(hù)管理、統一認證服務(wù)、統一授權管理、統一日志管理,構建網(wǎng)絡(luò )空間信任體系。

第二,完善信息安全管理體系建設,從組織體系、運營(yíng)體系、技術(shù)體系三個(gè)維度進(jìn)行。

第三,提升安全防護和安全運維能力,組建安全運維團隊,開(kāi)展日常安全防護和運維工作,進(jìn)行人員安全技能培訓,提升安全事件應急響應能力。

第四,組建網(wǎng)絡(luò )安全藍軍,驗證安全防護和安全運維有效性。

我們作為國內信息安全領(lǐng)域的領(lǐng)軍企業(yè),始終積極參與等保標準的制訂、推進(jìn)和落地,為金融行業(yè)用戶(hù)提供專(zhuān)業(yè)的安全產(chǎn)品、服務(wù)和解決方案。未來(lái),我們將繼續專(zhuān)注研究,實(shí)現技術(shù)突破和創(chuàng )新,在網(wǎng)絡(luò )安全防護、保護關(guān)鍵信息基礎設施安全等方面持續努力,為金融行業(yè)用戶(hù)的網(wǎng)絡(luò )安全提供更好的保障。

金融行業(yè)網(wǎng)絡(luò )安全等級保護建設的必要性

服務(wù)熱線(xiàn)

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò )公眾號

微信公眾號

午夜成人无码免费看网站_97国语自产拍在线_无码一区精油按摩视频_国产色婷婷五月精品综合在线