文 | 中国光大银行 信息科技部安全管理处 牟健君 王婕
2020年11月,中国人民银行正式批准发布金融行业标准《金融行业网络安全等级保护实施指引》(JR/T 0071—2020,简称《实施指引》)。这是等保2.0国家标准体系发布以来首个更新的行业等级保护标准,为我国金融行业等级保护工作开展提供了重要指导。
本文介绍了金融行业等级保护的发展历程,详细对比了等保2.0金融行业标准与国家标准的差异,并分析了这些差异将带来的变化。
一、金融行业等级保护的发展历程
从1994年国务院147号令首次提出“安全等级保护”至今,等级保护制度已经发展了25个年头,历经等保1.0、等保2.0两个建设阶段,法律地位也不断提高。
2003年,中办发27号文要求重点保护基础信息网络和重要信息系统抓紧建设信息安全等级保护制度,行业等级保护开始全面推动;2012年,《金融行业信息系统信息安全等级保护实施指引标准》发布,金融行业有了首个行业等级保护指导标准。下图梳理了金融行业等级保护制度的发展历程:
二、等保2.0金融行业标准与国家标准的差异
《实施指引》包括六部分,包括基础和术语、基本要求、岗位能力要求和评价指引、培训指引、审计要求、审计指引。
《实施指引》在国标的基础上进行了增强。它整体延续了国标的安全通用要求分类,在“安全管理人员”中增加了“人员考核”,并主要对12个控制点要求进行了加强。
(黄色为有变化的控制点,橙色为新增的控制点)
1、恶意代码和垃圾邮件防范、入侵检测
金标第二级里面增加了国标第三级才会涉及到的安全产品;金标第三级增加了很多近几年金融行业重点采购的安全检测分析类产品和高级安全服务等;金标第四级要求分级管理、逐级分布部署,形成联动防护机制并快速处置。
从三级能力要求来看,对比国标,金标强化了应对网络攻击的检测、溯源分析和威胁狩猎的安全能力,提出了针对高级可持续威胁的监测和发现要求,与滑动标尺对照整体能力要求提升至威胁情报甚至反制的能力。
2、安全审计
金标二级里面增加了统一时钟要求;金标第三级里面增加了互联网客户历史登录信息回显;金标四级要求能够及时发现异常登录行为。
对比国标,金标的安全审计要求更具体,明确了审计记录保存时间,同时针对金融互联网业务的风险,细化并强化了互联网应用的审计要求,安全要求与金融业务进一步进行融合。
3、数据备份恢复
金标第三级里面增加了全量/增量要求、两地三中心要求、异地灾备要求;金标四级要求完全备份至少保存1个月为期的数据冗余。
对比国标,金标的业务连续性要求更具体,同时结合金融业务要求对容灾备份中心的建设、运行、配置和管理要求更加明确。
4、个人信息保护
金标第三级里面增加了个人信息收集、传输、存储、使用、删除、销毁等生命周期要求;金标四级与金标三级相同。
对比国标,金标在个人信息保护方面明确了金融用户信息的范围以及更具体的要求,同样是在业务融合方面进行具体明确的要求,并关联了金融JR/T 0171—2020相关标准。
5、系统管理
金标第三级里面增加了配置文件每月/及时备份要求,新增网络设备软件季度检查测试验证升级要求;金标四级要求每月检验网络设备软件版本信息。
对比国标,金标明确要求采用自动化技术手段对设备进行实时监测,并具体指出了每天、每月、每季度需要进行的系统安全运维操作内容。
6、审核和检查
金标第三级里面增加了门户网站内容审核、管理、监控机制;新增安全管理处罚细则要求;金标四级与金标三级要求相同。
对比国标,金标明确了检查通报和处罚要求,加强了网络安全的红线管理。
7、人员考核
金标第三级里面增加了人员安全技能和安全认知考核要求。金标四级增加保密制度建立、执行检查或考核要求。
8、自行开发软件
金标第三级里面增加了开发环境,测试环境,实际运行环境分离和敏感数据使用要求;对代码检查提出细致要求。金标四级与三级要求相似。
9、外包软件开发
金标第三级里面增加了外包服务的日志,控制分包,对外包机构进行安全审计,提交审计报告要求。金标四级增加对外包服务商的细节要求,包括安全审计、监督检查、控制分包和定期开展风险评估等内容。
10、测试验收
金标第三级里面增加了上线系统试运行时间及测试报告方案等要求;细化安全测试具体内容;对试运行时间、风险分析等作出要求,同时增加测试工作的审批流程。金标四级与三级要求相同。
11、网络和系统安全管理
金标第三级里面要求每半年一次漏扫;严禁跨境远程连接,控制国内远程访问范围;控制内网占带宽多媒体应用;不得擅自网间互联。金标四级要求每季度一次漏扫。
12、备份与恢复管理
金标第三级里面要求每年应急演练,每三年全面灾备演练;每季度备份数据检查;每年内部灾难恢复工作审计。金标四级要求每年灾难恢复演练。
三、总结
总体来看,金融等保新增和调整的控制点有以下多个方面的趋势:
与金融的业务风险结合更紧密;
针对金融行业所面临的威胁和攻击,提出了相比国标更高的检测分析和响应的能力要求;
针对金融行业所涉及的用户个人隐私风险,提出了相比国标与金融业务结合更紧密,且内容更具体、全面、对性强的标准规范要求;
针对金融业务的业务连续性特点,提出了具体灾难备份中心的建设要求;
能够看到对金融网络安全运维的自动化、精细化管理趋势;
针对产生隐患较多的开发和测试环节,提出了更具体的开发、测试安全要求。
金标《实施指引》的发布,为金融行业的网络安全建设提供了方法论、具体的建设措施及技术指导,为金融行业推进IT架构转型的过程中提供了安全指导,更好适应新技术在金融行业的应用,将全面提升金融行业系统网络安全的整体防护水平。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。