等保2.0时代的金融解决方案等保 2.0 时代金融机构还应顺势而谋62018年6月27日.公安部发布 《网络安全等级保护条例(征求意见稿)》(以下简称 “《保护条例》")同期银保监也发布了《关于开展银行保险机构网络安全检查工作的通知》《中国银保监会办公厅加强无线网络安全管理的通知》, 两个部门在同一时间对网络安全等级保护提出了相关要求 , 预示着等保2.0时代即将到来,深信服金融事业部结合《保护条例》对各金融机构的网络要求进行了相关解读�目 录1. 条例适用范围及监管部门 32. 网络安全保护 32.1. 网络定级 32.2. 一般保护业务及特殊保护业务 42.3. 新技木新应用风险管控 43. 涉密网络的安全保护 53.1. 分级保护 53.2. 信息设备、 安全保密产品管理 53.3. 测评审查和凤险评估 54. 密码管理 65. 监督管理 6�1. 条例适用范围及监管部门《保护条例》的适用范围扩大所有金融信息系统都要进行对相关网络开展等保工作其中《保护条例》在中华人民共和国境内建设、运营、 维护、使用网络, 开展网络安全等级保护工作以及监督管理,适用本条例而147号令中要求重点维护国家事物、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
中华人民共和国境内的计算机信息系统的安全保护 ,适用本条例未联网的微型计算机的安全保护办法,另行制定《保护条例》确立了各部门统筹协作、分工负责的监管机制,所涉及的监管部门包括中央网络安全和信息化领导机构、国家网信部门、国务院公安部门、国家保密行政管理部门、国家密码管理部门 、 国务院其他相关部门、 以及县级以上地方人民政府等有关部门2. 网络安全保护2.1. 网络定级定级步骤为:确定定级对象 ->初步确认定级对象->专家评审 — >主管部门审核 ->公安机关备案审查1) 网络等级:网络等级主 要以网络的重要程度以及一旦遭受破坏造成的危害程度来评估《保护条例》将 “ 会造成特别严重损害” 的情况下,信息系统应采取的保护等级提高到第三级,即使对社会公共利益没有造成危害,或者对国冢安全造成危害这也是本条例重大变化之一解读:从广义上将金融行业所有对外提供业务系统网络等级定为至少三级2) 网络定级和定级评审:《保护条例》第十六条 规定,网络运营者应当在规划设计阶段确定网络的安全保护等级第二级以上必须经过专家评审 、 行业主管部门核准跨省或者全国统一联网由行业主管部门统一 拟定安全保护等级、统一组织定级评审。
解读:金融所有新业务系统上线之前,必须通过银保监会统一拟定安全等保护等级并统一组织定级评审3) 定级备案和备案审核与原来变动不大2.2. 一般保护业务及特殊保护业务第二十条[一般安全保护义务]网络运营者应当对安全人员责任、管理制度、身份识别、数据分类和保护 、日志保存记录、违法事件上报等履行相关义务,保障网络和信息安全:解读: 一般安全保护业务必须做等级保护业务,同时对个人信息保护应遵照《银行业金融机构数据治理指引(征求意见稿)》第二十一条[特殊安全保护义务]第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行网络安全管理机构和审批制度、制定并落实整体防护策略并定期审批、对安全关键岗位要求持证上岗、建立预警平台和机制、关键网络设备冗余 、定期进行测评并符合相关法律法规等义务第三级以上还需履行特殊安全保护义务,包含管理机构、总体规划和整体防护策略、背景审查等要求落实网络安全态势感知监测预警措施,并与同级公安机关对接解读:三级以上业务系统网络必须建立安全态势感知系统,并将数据报送到本地公安机关进行报备2.3. 新技木新应用风险管控《保护条例》对云计算 、 人工智能 、 物联网等新技木要求进行风险识别及风险管控,体现了等级保护定级对象大扩展。
除此之外 ,《保护条例》也对等级测评、 安全整改、自查工作、上线监测、监测预警通报、数据和信息安全保护、应急处置要求、审核审计要求等提出了相应的要求3. 涉密网络的安全保护3.1. 分级保护等级保护是针对非涉密系统和网络、涉密网络进行分级保护,分级保护定级有三个级别:秘密级\机密级\ 绝密级,安全要求依次增强解读:金融业务按照业务影响范围分力秘密、机密和绝密,安全要求依次增强3.2. 信息设备、 安全保密产品管理涉密网络中使用的安全保密产品,应当从国家有关主管部门发布的涉密专用信息设备名录中选择,并通过国家保密行政管理部门设立的检测机构检测解读:涉及网络中使用的安全保密产品 . 如需国密算法相关产品,必须有国家密码管理局授权产品才可进行使用3.3. 测评审查和凤险评估绝密级网络每年至少进行一次,机密级和柲密级网络每两年至少进行一次解读:按照业务影响范围从小到大,绝密需要每年设管理、涉密网络重大变化和涉密网络废止的处理等也提出了相应的要求4. 密码管理涉密网络及传输的国家权密信息,应当依法采用密码保护第三级以上网络应当使用国家密码管理部门认可的密码技木、产品和服务(等级保护三级使用),需委托密码应用安全性洌评机构开展密码应用安全性评估。
解读:与涉密网络安全保护中信息设备和安全保密产品管理中要求一致5. 监督管理监督管理明确了网络评级的结果必须上报网信部门、测评中的问题必须及时处理,如果未及时处理可能会造成停机整顿的影响,同时还会对先关法定代表人进行约谈解读:此项要求明确了监管部门的职责和权限,如发生重大情况相关部门有权对涉事单位进行通报,对相关责任人进行约谈深信服等级保护2.0解决方案,提倡“ 持续保护、不止合规”的等保核心价值,从用户自身业务和安全运维角度出发,在保障业务安全、稳定运行的同时,结口与时俱进的安全防御体系及枝木手段,让更多用户从等 级保护建设中获益此外,深信服可以提供全生命周期的等保建设咨询服务,在建设整改阶段,除了帮助用尸进行安全管理制度的梳理外,还会以《信息系统安全等级保护基本要求》为基本准则,针对安全现状进行整体决方案是深信服推出的轻量级、快速交付的一站式解决方案,不仅能够帮助用户快速有效地完成等级保护的建设,同时方案丰富的安全能力,可助力用尸为各项业务按需提供个性化的安全增值服务金融行业的网络安全关系着国家经济命运,各金融机构保证业务高效运转的同时, 还需提高业务的安全性,深信服愿同监管治理机构、行业机构携手共行,为金融行业安全贡献绵薄之力。