金融行业增强安全保护类(F类)要求是在结合等级保护及金融行业相关规定的基础上进行补充和完善。使得本实施指引更贴近金融行业的特点及需求,更容易理解和落实。
金融行业等保相关政策文件:
《中国人民银行关于银行业金融机构信息系统安全等级保护定级的指导意见》(银发〔2012〕163 号)
《金融行业信息系统信息安全等级保护实施指引 (JR T 0071-2012)》
《金融行业信息系统信息安全等级保护测评指南 (JR T 0072-2012)》
《金融行业信息安全等级保护测评服务安全指引 (JR T 0073-2012)
新增F类要求及其新增安全控制点如下:
物理物理安全:
物理安全部分新增F类要求18项,主要对银行业金融机构信息机房的物理安全防护提出了相关要求,考虑到金融行业信息机房的特点,如:各类系统及各类设备数量较多,能耗较大,第三方维护人员出入较频繁等。F类要求主要是对原有要求的补充、提高及细化,如电力供应中对UPS冗余方式的要求、对配电系统及电力供应线缆材质的要求等。
网络安全:
网络安全部分新增F类要求7项,主要对网络访问控制及网络设备防护提出了相关要求,F类强化了原有要求的力度的同时细化了要求策略,如对最小化访问原则的要求、配置的备份、服务端口的进一步细化、时钟同步等。
主机安全:
主机安全部分新增F类要求3项,分别对主机身份鉴别、恶意代码防范、资源控制提出了相关要求,包括对服务器身份鉴别及远程管理时信息防窃听,服务器专机专用及病毒监控中心的细化要求。
应用安全:
应用安全部分新增F类要求6项,主要对金融行业重要业务系统的安全防护提出了相关要求,这部分的F类要求体现了金融业务系统对防探测、防攻击方面的考虑,比如:软件容错中细化要求了“应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。”此项尤其体现了下一步对于业务系统防外部侵害的行业监管要求。
数据安全及备份恢复:
数据安全及备份恢复部分新增F类要求3项,主要对数据的备份与恢复相关要求进行了细化,包括对同城、异地数据备份中心的距离要求,对备份数据的可靠性测试,尤其对异地备份中心恢复环境定义了“就绪状态”及“运行状态”进行了明确的定义。
安全管理部分
安全管理部分五大层面共新增F类要求 86 项,从F类要求占得比重就可以看出行业监管对于下一步落实“金融风险防控体系”的决心及力度。由于金融行业对于信息化系统的依赖程度较高,目前基本建立了以“安全产品、安全策略、安全中心”为一体的安全技术防控手段,下一步的监管重心将侧重于提高各金融机构的安全管理水平,将行业安全管理水平提高到一个新的高度。
金融行业增强安全保护类要求的出台,对于国家信息安全等级保护制度在金融行业的落地起到了很好的促进作用,体现了下一步行业合规性监管的力度和侧重点,所以我们考虑在信息化项目实施过程中验证等级保护符合性的同时重点落实行业的合规性监管要求。
针对金融等保2.0需求我们突出安全管理中心建设,引入整体安全运营理念,加强用户技术体系及管理体系的完善,推进用户与安全厂商安全能力融合,以切实经验助力安全运营,构建优化以安全通信网络、安全区域边界、安全计算环境的多重防御架构,建立感知预警、主动防护、全面监测、应急处置的动态保障体系,提供持续覆盖企事业单位整体安全防护的安全能力。
重点聚焦在安全管理中心、安全技术体系、安全服务体系三个方面的建设:
安全管理中心:
根据自身实际情况,重点实现集中的安全管理,划分统一的安全运维区;建立统一的大数据架构的安全管理中心,实现企业级安全态势感知,整合安全能力,实现安全监测、通报预警、应急处置、态势感知、技术检测、安全可控、教育培训的具体保障能力
。
安全技术体系:
落实安全技术相关控制要求,实现物理、网络、主机、应用和数据的所有安全控制项,通常采用安全产品加以实现,辅助安全技术以增强安全控制能力。划分不同安全域,如互联网出口区、办公接入区、DMZ区域、核心交换机等,分区域进行安全规划,并且设立独立安全管理区。
安全服务体系:
制定安全策略,落实安全管理机构、人员、建设、运维安全管理等要求,通过安全评估、安全加固、应急响应、代码审计、安全监测、安全培训等信息安全技术,对信息系统的各个阶段进行检查、控制与修正,保障信息系统的持续安全运营。
