安全資訊

11月11日，中國人民銀行發(fā)布《金融行業(yè)網(wǎng)絡(luò )安全等級保護實(shí)施指引》（以下簡(jiǎn)稱(chēng)“實(shí)施指引”）系列標準，以及《金融行業(yè)網(wǎng)絡(luò )安全等級保護測評指南》（以下簡(jiǎn)稱(chēng)“評測指南”）標準，自發(fā)布之日起實(shí)施。

其中，《實(shí)施指引》系列共包括《基礎和術(shù)語(yǔ)》、《基本要求》、《崗位能力要求和評價(jià)指引》、《培訓指引》、《審計要求》、《審計指引》六個(gè)部分，其中基本要求部分為標準主要內容。

網(wǎng)絡(luò )安全保障框架：兩要求、兩體系

網(wǎng)絡(luò )安全等級保護是國家網(wǎng)絡(luò )安全保障工作的一項基本制度。隨著(zhù)云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數據等新技術(shù)的廣泛應用，金融機構正根據自己需要不斷推進(jìn)IT架構轉型。

據移動(dòng)支付網(wǎng)了解，《實(shí)施指引》依據國家網(wǎng)絡(luò )安全等級保護相關(guān)要求，為金融行業(yè)的網(wǎng)絡(luò )安全建設提供方法論、具體的建設措施及技術(shù)指導，完善金融行業(yè)網(wǎng)絡(luò )安全等級保護體系。

《實(shí)施指引》指出，金融行業(yè)網(wǎng)絡(luò )安全保障總體框架包含技術(shù)、管理要求以及技術(shù)、管理體系，遵循交互、綜合保障的原則。

其中，技術(shù)要求涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò )、安全區域邊界、安全計算環(huán)境、安全管理中心五方面要求；管理要求涉及安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理五方面要求。

技術(shù)體系以“一個(gè)中心，三重防護”為核心理念，劃分安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )與安全管理中心；管理體系遵從生命周期法則，從建立、實(shí)施和執行、監管和審計、保持和改進(jìn)四個(gè)過(guò)程進(jìn)行科學(xué)化管理，通過(guò)循壞改進(jìn)形成“生命環(huán)”的管理辦法。

新增“金融行業(yè)增強性安全要求（F類(lèi)）”

《實(shí)施指引》完整的給出了從第二級到第四級的安全要求，由于業(yè)務(wù)目標不同、使用技術(shù)不同、應用場(chǎng)景不同，不同的等級保護對象會(huì )以不同的形式出現。為方便實(shí)現對不同等級和不同形態(tài)的等級保護對象的共性化和個(gè)性化保護，等級保護要求分為安全通用要求和安全擴展要求。

無(wú)論等級保護對象以何種形式出現，都應根據相應保護等級實(shí)現相應級別的安全通用要求，另外根據使用的特定技術(shù)或特定場(chǎng)景選擇性實(shí)現安全擴展要求?！秾?shí)施指引》給出了針對云計算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、大數據系統的安全擴展要求。

另外，新增了“金融行業(yè)增強性安全要求（F類(lèi)）”，要求在結合金融行業(yè)相關(guān)規定的基礎上對等級保護要求進(jìn)行補充和完善，F2、F3、F4分別對應二級、三級、四級增強性要求。

從第二級安全要求開(kāi)始，每一級對個(gè)人信息保護都做出了要求，每一級都包括同樣的7條說(shuō)明，只不過(guò)在“金融行業(yè)增強性安全要求（F類(lèi)）”等級中做出了區分。

另外，在《實(shí)施指引》中對自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、服務(wù)供應商選擇、環(huán)境管理、設備維護管理等等方面都提出了細致的要求。

在外包軟件開(kāi)發(fā)中明確要求，禁止外包服務(wù)商轉包并嚴格控制分包。在開(kāi)發(fā)時(shí)，應要求開(kāi)發(fā)人員和測試人員分離，開(kāi)發(fā)人員不能兼任系統管理員或業(yè)務(wù)操作員，并要求在軟件開(kāi)發(fā)過(guò)程中對代碼規范、代碼質(zhì)量、代碼安全性進(jìn)行審查。

測評指南非常詳細

標準出臺最重要的一部分是什么？所有人都會(huì )說(shuō)是落地。不落地的標準等于不存在的標準，為幫助《實(shí)施指引》落地，《測評指南》與《實(shí)施指引》同時(shí)發(fā)布、實(shí)施。

在《測評指南》中增加了“云計算安全測評擴展要求”、“移動(dòng)互聯(lián)安全測評擴展要求、”“物聯(lián)網(wǎng)安全測評擴展要求”。增加了“大數據可參考安全評估方法”，對金融行業(yè)大數據平臺提出分級要求。

《測評指南》適用于指導金融機構、測評機構和金融行業(yè)網(wǎng)絡(luò )安全等級保護主管部門(mén)對等級保護對象的安全狀況進(jìn)行安全測評。

據移動(dòng)支付網(wǎng)了解，與金融機構系統特色相結合，《測評指南》同樣新增“金融行業(yè)增強安全保護類(lèi)（F類(lèi)）”要求，與《實(shí)施指引》同樣采用F2、F3、F4進(jìn)行分級表示。