今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布。与等保1.0相比,等保2.0的保护对象得到了扩展,内涵更加丰富,体系得到了升级。
等保2.0的发布无疑给产业带来了巨大的影响。在等保2.0当中,关键信息基础设施保护是等级保护的核心,而金融行业的信息系统正好属于国家规定的关键信息基础设施。因此,对于金融行业来说,满足等保2.0的要求是必须要做到的事情。
研读等保2.0成为了金融领域企业的刚需,但是正如前文所说,等保2.0的体系、内容、对象都得到了扩充,哪些应该注意?哪些应该小心呢?
移动金融时代,安全是重中之重
在等保2.0中,云计算、移动互联、物联网、工业控制系统等都被列入标准范围,构成了“安全通用标准+新型应用安全扩展要求”的格局。在此格局下,一系列金融支付场景、移动互联场景都被列入了保护范围。
其中,移动互联安全在金融领域应用是非常值得关注。目前金融企业的发展是科技的进步和监管的合规双向驱动,保证在开放有序的环境下,运用新技术来转型、发展。金融业的特性必然涉及到个人敏感信息,甚至账户、资金等隐私信息,被越来越多的黑客“关照”,各种违规App越界获取用户隐私权限、越权收集个人信息。据不完全统计,在金融行业APP恶意行为当中,隐私窃取类恶意应用占比最高超过40%,用户个人信息受到极大威胁。监管部门针对个人隐私信息的保护也在稳步前行,对个人隐私信息安全的保护愈发重视。移动金融安全处在聚光灯下,稍有差错,不仅仅要面对监管的问责,还要面对社会的诘难。无疑给相关企业带来了极大的压力。
在此背景下,能否满足等保2.0的合规要求,成为了移动金融业务能否顺利发展的决定性因素。等保2.0要求对个人隐私安全和金融信息安全做出全生命周期安全要求,至少要求做到防窃取、防滥用和防误用三个方面,并且对数据生命周期各环节都做出了主要可信验证要求。
业务必须和要求结合 金融领域如何合规?
等保2.0的实施不是某个企业或者某个行业的事情,在《网络安全法》中明文规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。
因此,等保2.0虽然其本身并不是国家强制执行的标准,但是它的实施是国家法律规定的企业义务,是国家意志的体现。所以,在实际合规过程中,企业的业务发展必须和国家要求相结合,才能做到合法合规。等保2.0不仅仅新增了保护对象,还新增了威胁情报、态势感知、全程审计、主动防御等技术要求,传统安全厂商在等保1.0时代的防护理念和产品结构已经无法满足等保2.0的要求。对于金融领域的企业来说,如何满足新的技术要求成为了当务之急。按照计划,等保2.0将于今年12月1日正式实施,剩下的时间已经不足两个月。鉴于此,深圳市能信安技术有限公司受邀参加11月5日在深圳举办的2019第四届中国移动金融安全大会,公司信息技术总监马小龙将以《等保2.0时代的金融行业移动互联安全合规解决方案》为主题进行分享,详细解说如何才能满足等级保护的要求。
马小龙,深圳市能信安科技股份有限公司信息安全专家,高级工程师,具有 CISSP、CISA、ISO27001 Leader Auditor等安全专业认证。在应用安全技术、身份认证与特权管理、安全度量与态势感知、大数据技术和人工智能技术在安全领域的应用等多个领域具有深入的研究和应用经验,曾服务于金融、电力、通信、政府等不同行业的客户,包括亚运会、大运会等重大赛事的安全专家服务。