1
国家等保工作要求
●
2017年6月1日发布的《中华人民共和国网络安全法》第二十一条明确了将等级保护制度提升到法律要求。“第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。”
2018年,等级保护工作正式迈入2.0时代,网络安全等级保护条例确立制度,国家实行网络安全等级保护制度,对网络实施分等级保护与监管。
2
金融行业等保工作要求
●
金融领域的关键信息基础设施是经济社会运行的神经中枢,金融业是高度依赖信息技术的产业,金融业的高质量发展离不开网络和信息系统的安全稳定运行。随着新技术的持续迭代升级,未来金融机构在业务、风控、运营、审计、人力等前中后台场景都将进行智能化转型,同时对信息安全、风险控制提出了更高的要求。
2020年11月1日,中国人民银行发布《金融行业网络安全等级保护实施指引》和《金融行业网络安全等级保护测评指南》系列标准,为金融行业数字化转型提供了网络安全建设的方法论、具体的建设措施及技术指导,完善了金融行业网络安全等级保护体系,帮助金融机构更好地适应新技术的应用,全面提升金融行业网络安全整体防护水平,金融等级保护正式进入2.0建设阶段。
JR/T 0071.2—2020
金融行业网络安全等级保护实施指引
第2 部分:基本要求
要点梳理
1、 适用范围
本部分规范了金融行业网络安全保障框架和不同安全等级对应的安全要求。
本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。
2、网络安全保障框架
金融行业网络安全保障总体框架包含技术要求、管理要求、技术体系、管理体系四个部分,遵循技管交互、综合保障的原则。
技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求;
管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求;
技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心,并且结合金融行业的系统与业务现状,进行分区分域保护;
管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法;
3、 安全要求
本部分对第二、三、四级安全要求的具体内容进行了描述。第二、三、四级安全要求均包含安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求四部分。
注:安全通用要求包含技术要求和管理要求两部分,具体内容见上文“网络安全保障框架”。
云计算安全扩展要求
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心(第二级安全要求不包含此项)、安全建设管理、安全运维管理;
云计算应用场景说明:本部分中将采用了云计算技术的信息系统,称为云计算平台/系统。金融行业云计算平台的特征是云服务客户所提供的金融服务种类众多,数据体量大,受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成较大影响,所以金融行业云计算平台所定安全保护等级应不低于第三级,部署在金融行业云计算平台上的云服务客户应用服务自主定级。
移动互联安全扩展要求
安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理、安全运维管理(第二级安全要求不包含此项);
移动互联应用场景说明:采用移动互联技术的等级保护对象其移动互联部分由移动应用、移动终端、无线网络和后台系统四部分组成,移动应用是安装移动终端上,包括个人金融客户端、金融业务专用应用和移动办公应用程序;移动终端包括个人移动终端、金融业务专用终端和移动办公设备,其中金融业务专用终端包括智能POS、业务处理Pad等;移动终端通过无线通道连接无线接入设备接入,无线通道包括无线设备和移动网络;无线接入网关通过访问控制策略限制移动终端的访问行为,后台的移动终端管理系统负责对移动终端的管理。移动互联安全扩展要求主要针对移动应用、移动终端和无线网络部分提出安全要求。
物联网安全扩展要求
安全物理环境、安全区域边界、安全计算环境、安全运维管理;
物联网应用场景说明:对物联网的安全防护应包括感知层、网络传输层和处理应用层,由于网络传输层和处理应用层通常是由计算机设备构成,因此这两部分按照安全通用要求提出的要求进行保护,本部分的物联网安全扩展要求针对感知层提出特殊安全要求,与安全通用要求一起构成对物联网的完整安全要求。具有感知层、网络传输层、处理应用层的物联网应符合物联网扩展要求。
等保2.0金融行业标准
与国家标准的差异
《实施指引》在国标的基础上进行了增强。它整体延续了国标的安全通用要求分类,在“安全管理人员”中增加了“人员考核”,并主要对12个控制点要求进行了加强。
(黄色为有变化的控制点,橙色为新增的控制点)
1、 恶意代码和垃圾邮件防范、入侵检测
金标第二级里面增加了国标第三级才会涉及到的安全产品;金标第三级增加了很多近几年金融行业重点采购的安全检测分析类产品和高级安全服务等;金标第四级要求分级管理、逐级分布部署,形成联动防护机制并快速处置。
从三级能力要求来看,对比国标,金标强化了应对网络攻击的检测、溯源分析和威胁狩猎的安全能力,提出了针对高级可持续威胁的监测和发现要求,与滑动标尺对照整体能力要求提升至威胁情报甚至反制的能力。
2、 安全审计
金标二级里面增加了统一时钟要求;金标第三级里面增加了互联网客户历史登录信息回显;金标四级要求能够及时发现异常登录行为。对比国标,金标的安全审计要求更具体,明确了审计记录保存时间,同时针对金融互联网业务的风险,细化并强化了互联网应用的审计要求,安全要求与金融业务进一步进行融合。
3、 数据备份恢复
金标第三级里面增加了全量/增量要求、两地三中心要求、异地灾备要求;金标四级要求完全备份至少保存1个月为期的数据冗余。对比国标,金标的业务连续性要求更具体,同时结合金融业务要求对容灾备份中心的建设、运行、配置和管理要求更加明确。
4、个人信息保护
金标第三级里面增加了个人信息收集、传输、存储、使用、删除、销毁等生命周期要求;金标四级与金标三级相同。对比国标,金标在个人信息保护方面明确了金融用户信息的范围以及更具体的要求,同样是在业务融合方面进行具体明确的要求,并关联了金融JR/T 0171—2020相关标准。
5、 系统管理
金标第三级里面增加了配置文件每月/及时备份要求,新增网络设备软件季度检查测试验证升级要求;金标四级要求每月检验网络设备软件版本信息。对比国标,金标明确要求采用自动化技术手段对设备进行实时监测,并具体指出了每天、每月、每季度需要进行的系统安全运维操作内容。
6、 审核和检查
金标第三级里面增加了门户网站内容审核、管理、监控机制;新增安全管理处罚细则要求;金标四级与金标三级要求相同。对比国标,金标明确了检查通报和处罚要求,加强了网络安全的红线管理。
7、 人员考核
金标第三级里面增加了人员安全技能和安全认知考核要求。金标四级增加保密制度建立、执行检查或考核要求。
8、 自行开发软件
金标第三级里面增加了开发环境,测试环境,实际运行环境分离和敏感数据使用要求;对代码检查提出细致要求。金标四级与三级要求相似。
9、外包软件开发
金标第三级里面增加了外包服务的日志,控制分包,对外包机构进行安全审计,提交审计报告要求。金标四级增加对外包服务商的细节要求,包括安全审计、监督检查、控制分包和定期开展风险评估等内容。
10、 测试验收
金标第三级里面增加了上线系统试运行时间及测试报告方案等要求;细化安全测试具体内容;对试运行时间、风险分析等作出要求,同时增加测试工作的审批流程。金标四级与三级要求相同。
11、 网络和系统安全管理
金标第三级里面要求每半年一次漏扫;严禁跨境远程连接,控制国内远程访问范围;控制内网占带宽多媒体应用;不得擅自网间互联。金标四级要求每季度一次漏扫。
12、 备份与恢复管理
金标第三级里面要求每年应急演练,每三年全面灾备演练;每季度备份数据检查;每年内部灾难恢复工作审计。金标四级要求每年灾难恢复演练。
来源:中国人民银行成都分行、安全内参
原文始发于微信公众号(信息安全国家工程研究中心):金融行业等保有什么要求?详解来了!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论