微信公众号:计算机与网络安全
▼
金融行业等保2.0详解
▼
金融领域的关键信息基础设施是经济社会运行的神经中枢,金融业是高度依赖信息技术的产业,金融业的高质量发展离不开网络和信息系统的安全稳定运行。随着新技术的持续迭代升级,未来金融机构在业务、风控、运营、审计、人力等前中后台场景都将进行智能化转型,同时对信息安全、风险控制提出了更高的要求。
2020年11月1日,中国人民银行发布《金融行业网络安全等级保护实施指引》和《金融行业网络安全等级保护测评指南》系列标准,为金融行业数字化转型提供了网络安全建设的方法论、具体的建设措施及技术指导,完善了金融行业网络安全等级保护体系,帮助金融机构更好地适应新技术的应用,全面提升金融行业网络安全整体防护水平,金融等级保护正式进入2.0建设阶段。
金标第二级里面增加了国标第三级才会涉及到的安全产品;金标第三级增加了很多近几年金融行业重点采购的安全检测分析类产品和高级安全服务等;金标第四级要求分级管理、逐级分布部署,形成联动防护机制并快速处置。
从三级能力要求来看,对比国标,金标强化了应对网络攻击的检测、溯源分析和威胁狩猎的安全能力,提出了针对高级可持续威胁的监测和发现要求,与滑动标尺对照整体能力要求提升至威胁情报甚至反制的能力。
金标二级里面增加了统一时钟要求;金标第三级里面增加了互联网客户历史登录信息回显;金标四级要求能够及时发现异常登录行为。对比国标,金标的安全审计要求更具体,明确了审计记录保存时间,同时针对金融互联网业务的风险,细化并强化了互联网应用的审计要求,安全要求与金融业务进一步进行融合。
金标第三级里面增加了全量/增量要求、两地三中心要求、异地灾备要求;金标四级要求完全备份至少保存1个月为期的数据冗余。对比国标,金标的业务连续性要求更具体,同时结合金融业务要求对容灾备份中心的建设、运行、配置和管理要求更加明确。
金标第三级里面增加了个人信息收集、传输、存储、使用、删除、销毁等生命周期要求;金标四级与金标三级相同。对比国标,金标在个人信息保护方面明确了金融用户信息的范围以及更具体的要求,同样是在业务融合方面进行具体明确的要求,并关联了金融JR/T 0171—2020相关标准。
金标第三级里面增加了配置文件每月/及时备份要求,新增网络设备软件季度检查测试验证升级要求;金标四级要求每月检验网络设备软件版本信息。对比国标,金标明确要求采用自动化技术手段对设备进行实时监测,并具体指出了每天、每月、每季度需要进行的系统安全运维操作内容。
金标第三级里面增加了门户网站内容审核、管理、监控机制;新增安全管理处罚细则要求;金标四级与金标三级要求相同。对比国标,金标明确了检查通报和处罚要求,加强了网络安全的红线管理。
金标第三级里面增加了人员安全技能和安全认知考核要求。金标四级增加保密制度建立、执行检查或考核要求。
金标第三级里面增加了开发环境,测试环境,实际运行环境分离和敏感数据使用要求;对代码检查提出细致要求。金标四级与三级要求相似。
金标第三级里面增加了外包服务的日志,控制分包,对外包机构进行安全审计,提交审计报告要求。金标四级增加对外包服务商的细节要求,包括安全审计、监督检查、控制分包和定期开展风险评估等内容。
金标第三级里面增加了上线系统试运行时间及测试报告方案等要求;细化安全测试具体内容;对试运行时间、风险分析等作出要求,同时增加测试工作的审批流程。金标四级与三级要求相同。
金标第三级里面要求每半年一次漏扫;严禁跨境远程连接,控制国内远程访问范围;控制内网占带宽多媒体应用;不得擅自网间互联。金标四级要求每季度一次漏扫。
金标第三级里面要求每年应急演练,每三年全面灾备演练;每季度备份数据检查;每年内部灾难恢复工作审计。金标四级要求每年灾难恢复演练。
▲
- The end -
原文始发于微信公众号(计算机与网络安全):金融行业等保2.0详解
评论