网络安全等级保护工作实践与思考

admin 2024年11月6日19:25:00评论3 views字数 4170阅读13分54秒阅读模式

0

引言

根据《中华人民共和国网络安全法》的要求,我国实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。金融行业网络安全等级保护工作是推广、落实等级保护制度的重要抓手,以《信息安全等级保护管理办法》(公通字[2007]43号)、《信息安全技术 网络安全等级保护基本要求》(GB∕T 22239-2019)(以下简称“国标”)、《金融行业网络安全等级保护实施指引》(JR/T 0071-2020)(以下简称“金标”)等国家、行业法规、标准为基础开展各项工作。

网络安全等级保护(以下简称“等保”)实施对象包括信息系统、云平台、大数据平台、移动互联、物联网、工业控制系统。运营者应按照等保要求,对辖内系统开展定级、备案、建设、测评,并接受网络安全执法检查。根据等保定级要求,等保对象应按照系统的重要程度及受到破坏后的危害程度,由低到高划分为五个安全保护等级。不同级别的保护对象,应按照相应的保护等级要求,在软件设计、开发、运维各生命周期依照执行。国标、金标等保从安全物理环境、安全区域边界、安全通信网络、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十类技术、管理要求出发,提出共计400余条具体防护要求。根据要求,运营者应对辖内所有系统进行等保定级,且定级合理;应邀请专家对初步定级为等保二级及以上的系统进行定级评审,评审通过后向属地公安机关备案;应每年对等保三级及以上的系统开展一次等保测评,对于未上线的三级系统应在等保测评通过后方可上线;等保测评问题及监管检查相关问题应制定整改计划并落实整改。

目前,金融行业总部机构均能按照要求有效开展各项等保工作,但对工作细节的把握各有不同。本文针对等保工作中的难点和痛点提出工作举措及对后续工作的思考、建议。

1

制度为纲、标准为基、检查为尺

保障高规格完成规定动作

等保有严格的工作步骤,定级、备案、建设、测评、监督检查;等保技术、管理条款多,涉及设计、开发、运维生命周期各阶段;等保角色多,由安全岗牵头,涉及开发、运维过程中的项目经理、机房/系统/网络/应用/数据库/安全/数据/灾备/介质/外包管理员;等保测评环节固定,包括前期调研、现场访谈、核查、问题沟通确认等;等保适用于科技条线的各级分支机构,分支机构也应根据属地公安机关的要求办理具体工作;等保测评是必须邀请第三方资质单位开展的重要安全评估,是各级监管检查及内外部审计、风险防控的重要抓手,测评工作执行力要求高,每年必须完成一次三级及以上系统的等保测评,并获得测评报告。

针对工作步骤严格、要求条款多、涉及角色多、测评环节固定、分支机构多、测评执行力要求高的情况,G行总结经验,通过发布管理制度、制定技术规范、确定角色职责、增加分支机构考核评价指标、提早制定年度计划等方法逐一落实各项等保要求。

制度为纲,组织严密

标准工作流程压实责任

G行通过制定、发布并逐年重检机构内部等保制度,普及等保概念,明确工作流程,分别按部门、角色确定工作职责。定级流程方面,新建和重构系统需在架构评审前完成等保定级,架构评审过程确认定级结果。另外,每年根据最新监管要求及系统业务信息和服务变化情况,重检定级结果。职责方面,如:

1)安全管理部门:负责制定等保制度和规范;组织对总部机构的等保对象开展定级、备案、测评工作,对测评问题进行跟踪、验证。

2)开发、运维部门按照等保制度、技术规范,分别负责系统开发、运维过程中的安全建设。配合安全管理部门,组织完成部门内部等保测评工作,在等保测评过程中组织并接受调研、访谈、核查、问题确认,测评完成后对问题进行整改并及时将整改计划和方法反馈安全管理部门。

3)分支机构部门或外部托管应用主管方组织对辖内等保对象或托管应用开展定级、备案和测评,对测评问题进行跟踪、验证,并及时将系统最新定级备案信息、测评报告报送总部机构。按照等保制度、技术规范,完成等保对象开发、运维过程中的安全建设。

4)项目经理定级阶段,在架构评审前,负责发起新上线系统或重构系统的等保定级申请。备案阶段,编写定级报告、备案表、系统安全保护设施设计实施方案或改建实施方案。

5)项目经理和机房/系统/网络/应用/数据库/安全/数据/灾备/介质/外包管理员定级重检阶段,负责完成重检材料填写。系统建设阶段,参照等保定级结果,按照等保技术规范开展系统建设。测评阶段,填写调研表,参加等保测评访谈、核查,确认测评问题并反馈问题整改计划和方法。

6)主管领导:负责等保管理审批,包括等保定级结果、专家评审、测评问题整改等审批。

标准为基,不打折扣

分级分层明确技术要求

等保对系统开发建设、运维过程分等级提出多条技术要求,涉及机房、网络、系统、应用、数据库、数据安全等。为了进一步普及等保技术要求,强化等保标准在机构内部的实施作用,G行参照、引用国标、金标技术条款,落地为机构内部技术规范,作为开发、运维过程中分等级建设、运维的重要规范。同时,针对机构内部的等保技术规范明确等保一级、二级、三级、四级系统的技术要求,整合国标、金标基本要求和扩展要求,兼顾容器安全、大数据安全等团体标准。以安全通用要求和容器安全等保三级技术要求为例,G行经过梳理融合后,形成5大类共35项控制点,覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等。

检查为尺,狠抓落实

制定分支机构考核指标

1、关键细节管理

针对工作步骤严格、测评环节固定、测评执行力要求高的情况,G行等保管理人员在年初制定年度工作计划,提早规划当年需要调整备案级别、备案信息的系统,提出费用预算,并发起专家评审费用申请。评审通过后,尽快向公安机关备案。取得备案证书后,按照三级及以上系统最新备案情况,启动当年等保测评工作。如果涉及测评机构的重新招采、续签合同等商务环节,应至少提前半年发起相关商务流程。

等保测评时,测评机构会对被测评单位的所有测评系统同时开展测评,一般现场测评时间为2-3周。测评师区分网络、系统、应用、管理等专业,需与各系统对应的项目经理及各管理员角色进行访谈、核查。G行内部等保三级系统数量大于20个,对于短时间内多对多的大量沟通、协调情况,建立开发、运维部门等保接口人机制,由接口人负责相关专业测评师与各管理员的现场访谈、核查的沟通协调工作,沟通遇到困难时等保管理岗及时跟进。等保管理岗在详细了解测评细节和问题后,为测评双方做好解释疏通工作,顺利保障现场测评期不留尾巴。在问题初稿沟通阶段,等保管理岗要了解每个问题的整改点,并与相关负责人探讨寻找共性问题的统一解决方案。

对于测评问题的跟踪整改,等保管理岗将组织相关人员、测评师进行充分沟通,制定明确的整改计划并建立问题工单进行跟踪整改;由责任部门落实整改任务,等保管理岗负责跟踪整改,并对整改结果和及时性建立常态化检查和评价机制,实现问题管理闭环。

2、分支机构管理

除总部机构外,分行、子公司等分支机构的等保落地执行情况,需要总部机构督促执行。G行按季度收集分支机构等保工作开展情况,如:分支机构辖内所有系统的等保定级清单、等保测评情况表、等保测评问题跟踪表等,并通过分支机构信息安全考核指标作为抓手。对于落实不到位的予以扣分处理,对于完成质量高且问题整改彻底的进行加分奖励。对于分支机构难以整改的共性问题,总部机构牵头统一整改或给予整改意见。

另外,可在分支机构科技巡检、安全飞行检查等检查工作中增加等保检查项,检查内容包括分支机构是否对辖内所有系统均完成等保定级、等保二级及以上系统是否完成专家评审并向公安机关备案、等保三级及以上系统每年是否完成一次等保测评、结果是否通过、等保测评报告中的问题是否进行了有效的跟踪整改等。

2

细化金融行业定级指标

量化测算系统定级分数

       根据《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)要求,等保定级应由系统业务信息和系统服务两方面受到破坏时的影响所决定。该指南描述的定级对象是政府、企业等各行业的信息系统、云平台、大数据平台、移动互联、物联网、工业控制系统,定级标准是从系统受到破坏时,对国家、社会秩序、公共利益、公民、法人影响的共性情况开展描述。

     《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发[2012]163号文)对银行业金融机构总部、分支机构的核心业务、网上银行、生产网络、前置系统和重要支撑系统、重要交易系统、重要管理系统及其他运行关键业务或涉及敏感信息的重要信息系统提出了定级指导意见。

      根据指导意见,金融行业单位将核心业务等重要系统确定为等保三级及以上系统,但对于目前种类繁多、形式多样的业务系统,主要通过行业内相互对标确保定级的一致性,但缺少定级测算过程依据。根据上述国家、行业定级指南,综合考虑金融行业系统服务特点、业务信息情况、网络互联情况和监管机构关注点,G行研究制定了金融行业等保定级指标27项,包括6项定性指标和21项定量指标。配以分数、权重系数及各等级的分数区间,在完善各指标参数的基础上,可基本实现通过定量指标直接测算定级结果的目的

3

思考与建议

金融行业机构能够按照等保要求完成各项规定动作,但在定级和问题整改方面仍有完善空间,思考及建议如下:

等保定级方面,由于不同行业差异大,而金融行业内各机构的业务规模、业务侧重点同样存在差异,对于特定系统的定级缺少统一定级意见。近年来,来自不同行业机构的检查,对系统定级级别提出了不同意见。等保测评方面,等保2.0出台后,对于可信技术、双因素认证(指对操作系统、网络设备和安全设备直接访问的双因素认证)、所有重要个人信息和业务信息的加密存储提出了更高的要求。据了解,金融行业对于上述问题的整改均存在一定困难。

针对上述情况,G行将积极与主管部门及同业机构开展行业内等保定级意见讨论,共同推进行业系统等保定级指导意见的进一步落地实施;开展技术攻关研究,根据金融行业的服务特点,寻求行之有效的安全运营方案。

作者| 王婕、梁思姣

来源:安全知不道

原文始发于微信公众号(安知讯):网络安全等级保护工作实践与思考

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日19:25:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护工作实践与思考http://cn-sec.com/archives/3365269.html

发表评论

匿名网友 填写信息