关于绿盟科技

市场活动

等保2.0时代 金融重要信息系统如何防护?

11月7日,十二届全国人大常委会第二十四次会议表决通过了《中华人民共和国网络安全法》,该法将于2017年6月1日起施行。《网络安全法》就网络安全等级保护制度给予相关规定。其第三章第二十一条规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。(详细条款请参阅《中华人民共和国网络安全法》全文)



信息技术发展日新月异,网络强国成为国家战略,网络安全和信息化更是纳入“十三五”规划,网络安全等级保护被赋予了更高的期望,且已作为法律条款写入《中华人民共和国网络安全法》。公安部网络安全保卫局郭启全总工曾在公开场合表示,国家对网络安全等级保护制度提出了新的要求,等级保护制度已进入2.0时代。但随着信息技术的不断发展,特别是云计算、物联网等新技术的不断涌现和应用,开展等级保护工作面临着越来越多的新情况、新问题,基础信息网络与重要信息系统面临着日益严峻的威胁与挑战。


作为信息安全防御重中之重的金融行业,面对等保2.0时代,企业重要信息系统如何防护?企业信息安全工作如何实践?在昨日召开的绿盟科技Security+金融信息峰会上,绿盟科技等保专家在题为《互联网金融:等级保护标准与实践》的主题演讲中给出了答案,互联网金融企业信息安全合规工作要从建立安全运营体系、信息安全监督体系与内审、信息安全外部审核与认证三个步骤进行。



互联网金融企业必须满足等保合规要求
当前互联网金融由传统金融机构和非金融机构组成,传统金融机构主要指传统金融的互联网创新和电商创新、APP软件等,非金融机构主要指运用互联网技术进行金融运作的第三方支付、P2P网贷平台、手机理财APP等。据报道,目前中国互联网金融市场的规模已是世界第一,2015年中国互联网保险的保费规模达到2234亿元,但是目前国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融的各方参与者对于数据安全、客户信息安全的风险防患意识薄弱,造成互联网金融信息风险事件时有发生。
在此背景下,国务院办公厅联合多个部门发布互联网金融“1+N整治方案”,包括国务院办公厅的总方案《互联网金融风险专项整治工作实施方案》,以及一行三会与工商总局出台的六大领域专项整治方案。(专项整治对象:非金融机构支付服务、互联网资产管理、互联网保险、P2P网络借贷、股权众筹、互联网金融广告)。



方案明确指出,互联网企业未取得相关金融业务资质不得依托互联网开展相应业务,其与传统金融企业平等竞争,行为规则和监管要求保持一致;互联网金融从业机构必须落实等级保护制度。互联网金融专项整治方案密集公布是国家层面给我们放出的明确信号,要注重企业信息安全,积极开展等级保护评定,确定资质的重要性,保护合法,打击非法,没有资质就不能从事相关业务。
从1994年第一个等保条例颁布至今,国家等级保护制度已经形成一套完整的管理和测评体系。从自主定级、系统备案、差距分析、安全整改、等级测评等等保工作流程来看,其是一个典型的复杂大系统,专业性极强。作为信息安全领域的领军企业,绿盟科技可以为企业提供等保定级备案、现状差距分析、整改咨询、安全规划、协助等保测评等一系列服务。
互联网金融企业信息安全合规工作如何开展?

互联网金融行业成熟度提升,信息安全的投入比例也将会进一步增加,与此同时,监管政策的完善会促进互联网金融行业整体信息安全防护水平提升。绿盟科技认为,互联网金融企业信息安全合规工作要从建立安全运营体系、信息安全监督体系与内审、信息安全外部审核与认证三个步骤进行。



绿盟科技等保专家在演讲中指出,面对新业务、新技术、新威胁,信息安全防护进阶路径是夯实基础、提升能力,逐步规划建设防护体系。

具体而言要做到,

一是夯实基础,满足等保合规要求,完成等保现状差距分析,指导整改,协助消除主要安全风险;

二是明确企业信息安全工作内容,查看安全设备和系统的安全告警和响应处理、汇报各类可疑情况并进一步追查、修补各类安全漏洞和复核、填报各类安全报表和报告、应对各类安全检查和内外部审计;

三是搭建企业安全架构,从安全标准、安全团队、安全工作三个维度进行;

四是形成安全防护和安全运维能力,部署安全设备、组建安全运维团队,开展日常安全防护和运维工作,进行人员安全技能培训,培养安全分析、事件处理能力;

五是建立安全验证架构,明确对标企业、定义指标,定期分析差距并完善,组建安全蓝军,验证安全防护和安全运维有效性。


绿盟科技作为安全领域领军企业,始终积极参与等保体系的推进、落地以及维护和修订工作,以“巨人背后的专家”为己任,为行业用户提供专业的安全产品、服务和解决方案,目前已与超过千余家金融机构建立商业合作。未来,绿盟科技将继续专注研究,实现技术突破和创新,在网络安全防护、保护关键信息基础设施安全等方便持续发力。


关闭