中國網財經12月1日訊 近日,「2020北京國際金融安全論壇」在北京召開。本屆論壇以「 新金融、新基建、新安全」為主題。公安部信息安全等級保護評估中心主任助理李明參加了論壇並發表了演講。李明從定級指南的三個變化要點、安保工作的五個步驟、以及具體落實的六個步驟等方面做出了演講。他談到:「無論是從《網絡安全法》,還是前段時間公安部頒布的196號文件,為金融行業來落實等級保護工作,或者是以等級保護工作為抓手,提升整個網絡安全保障工作提供了很好的指導意義。」
以下為部分演講實錄:
李明:很高興有這個時間和機會,和各位交流一下,如何來落實等級保護制度。
大家可以看到,無論是從《網絡安全法》,還是前段時間公安部頒布的196號文件,為金融行業來落實等級保護工作,或者是以等級保護工作為抓手,提升整個網絡安全保障工作提供了很好的指導意義,明確指出了六項工作,後面我會進一步展開。
這六項工作裡面,深化定級備案和同步安全建設是我們整個工作當中的重中之重,如何來開展呢?我就結合整個標準體系裡面的兩個核心標準,定級指南和基本要求給大家解讀一下,如何落實等級保護工作。
首先,定級指南這個標準,要深化定級備案工作,沒有規矩不成方圓,這個規矩就是定級指南,定級指南與之前的標準相比,主要有三個變化,希望大家注意。
1、對象擴充。《網絡安全法》把網絡安全工作的範疇界定為網絡空間,而且信息技術也推升了新的業務形態,等保的工作對象不僅僅有信息系統和網絡,延伸到現在新技術、新應用出來的雲計算、物聯網、大數據等等這些新的業態,所以大家要注意這一點。
2、因為對象擴充了,所以對它的方法,怎樣來確定對象,如何確定它的級別,方法也進行了升級。
3、流程日趨完善,這也是回答大家實際工作當中,定級工作是不是按照我自己的理解定一個級別就行?回答是非常明確的。一個完整的定級工作流程,包括了確定定級對象、初步確定等級、專家評審、主管部門核准、備案審核這5個環節。
前面我也提到了,一個完整的等保工作有5個步驟,對於這5個步驟,提出4個要求幫助大家理解怎麼落實這5個步驟。
1、完成定級備案工作的時候,要注意定級的時機,千萬不要等到系統要上線了,再去考慮定級,這是錯誤的。在項目立項之初,開展建設之前,你就要完成定級工作,否則你對象不全,級別確定不準,很明顯可以知道,你的需求就錯了,需求錯了,後面的開發、集成,包括你的管理體系的建設,全都是錯的。《網絡安全法》裡面明確要求的「三同步」就成為了空中樓閣,所以大家一定要注意,定級備案工作的第一點,時機非常重要。
2、對象要全,劃分要合理。因為我們有這麼多新的形態對象,所以大家一定要注意這一點,對象一定要全,面向一個單位整體的梳理,既有老的業態,也有新的業態,這裡面等級保護對象一定要全。
3、級別要準確。確定對象的基礎上,我們要全面分析它們的功能,服務的對象,服務的地域,以及關鍵數據的情況,綜合來確定級別。
4、定級的流程。前面也提到了,從第1步到第5步,只有完成了公安機關的備案審核,出具了備案證明之後,你的這個定級工作才完成,這個時候,你確定的級別才是所有後續工作的依據。大家一定要注意,第2步,初步確定的等級不是你最終的級別,如果在專家評審,或者是備案審核中,出現不一致的情況,我們作為網絡的運營者,一定要慎重對待。
以上這4個要求裡,主要還是定級對象的劃分這一點,大家會存在一些疑惑,尤其是新對象,這裡面我會舉幾個例子,比如說對雲計算,對於雲計算的劃分,我們有兩大原則,第一原則是什麼?兩個視角的切分,平臺和租戶,不要混在一起,所以我們的第一原則,就是雲服務客戶側的等級保護對象和雲服務商側的雲計算平臺要單獨定級,各管一套。二是對於進一步細分,如果公有雲,大型的雲平臺,你可以繼續將基礎設施、輔助平臺切分,對於更複雜的雲平臺來講,因為它要提供不同的服務模式,比如說IaaS、SaaS、PaaS要分別定級,否則對於雲客戶來講,他不知道怎樣選擇一個合理的平臺。這裡我用一個圖像的形式,因為雲的場景裡面特別複雜,所以我這裡僅僅是舉了一個公有雲提供IaaS服務的圖形,我們的定級是這樣的。雲平臺、雲租戶,如果在公有雲的場景下,可能有不同的雲租戶,可以根據不同的安全責任主體進一步切分,這是要注意的。
第二個,尤其是在新金融裡會遇到的移動互聯,對於移動互聯來講,大家要注意的就是「三要素」,移動終端、移動應用、無線網絡,這「三要素」是要統一,不能切分。當然這個要根據實際情況,統一起來是要和傳統的IT部分統一定級,還是可以獨立,這要根據實際情況分析,但是無論在哪種場景下,這三個要素都是不能夠單獨定級的,千萬不能說我一個App的終端去定一個級別,那是不對的。
另外要提一點的就是數據資源,尤其是在大數據應用越來越廣泛的情況下,一般場景下,我們可以把大數據、大數據平臺,像這個例子,大數據的應用、大數據的資源,統一定級。但是隨著現在新技術,或者是新的商務模式的推廣,數據資源和系統單位,甚至於處理它的工具是日趨剝離的,所以在極特殊的情況下,比如說這三者的安全責任主體不一致的情況下,我們是要求數據資源獨立定級,對於定級對象的確定,這裡有三個形態,我單獨說一下。
當我們完成定級工作之後,接下來很重要的一項工作就是安全建設,對於安全建設,首先看一下這個標準,你一定要依據標準來走,這個標準就是基本要求,全稱就是「網絡安全等級保護基本要求」,編號是2239。這個標準與以前08版的標準相比,有三個升級,一是對象擴充,接下來兩個非常重要的點,架構的統一和能力的提升。第一個要點,是因為跟著整個《網絡安全法》的規定,對象擴充了,所以我的要求也擴充,但是在增強上面,我們是有兩個,大家可以看這張PPT,給了大家一個演示,我們如何從當初的層次模型轉回現在的架構統一,這個架構也是為了更好地體現新的標準所要求的「一中心三重防護」,並不是說2008年這個模型不好,而在於我們現在等級保護2.0裡面,已經完成了08版的時候,怎樣把一個標準和對象做一個簡單對應的工作,我們現在更加強調的是怎樣更加完整,更加強地構建一個彈性的網絡安全體系,這個時候我們「一中心三重防禦」這種模型可以更好地體現我們的需求。
因為時間的關係,標準我就不再展開,這裡面為了幫助大家理解,我提出了六個要點,具體落實基本要求,可以從這六個點來走。
1、優化網絡結構。對應的標準是這兩個條款(安全通信網絡、安全區域邊界),一是要有一個縱深,優化網絡結構最終目標就是要實現縱深的防禦,這裡面可以細分為兩個要求,一是整體結構上是劃區域的,區域之間採用可靠的技術隔離,從而能夠實現縱深。二是收縮邊界,邊界應該有一個可靠的,受控的接口,而且我們這個收縮後的邊界,你要有措施來保證它是完整的,不被繞過的,這一點特別重要。近兩年,一再出現這種情況,而且我覺得這一點對於我們金融機構來說尤其重要,因為我們金融機構有一個特點,縱向來看有總部和分支,橫向來講,我們要和不同的部委,不同的商業機構橫向互聯互通。所以,邊界的問題對於我們來講尤其關鍵。如果我們做不好這些,後面所有的工作都是白廢。第一點,優化網絡結構是所有安全建設工作的起點和基礎。
2、在這個基礎上關注的第二點,要有關鍵設備的加固,如果沒有邊界的突破,就沒有後續的一系列的實踐,但是這個邊界的加固不是那麼簡單,我們要做到幾件事情。一是身份的鑑別,二是安全的配置,三是實現精準的情報結合,我們發現漏洞的時候,就要修補,只有做到這個之後,我們才可以說,我們的邊界守住了,從攻防的角度,最外面的這一道防線守住了。
3、到了應用和數據,這裡我們要做好數據的分類分級,基於數據的分類分級做好防控。這裡面我要額外多說一句,因為我們現在有一些新的技術路線出來,但是大家一定要注意,千萬不要把所謂新的理念、路線、體系,與舊有的體系,以前已經行之有效的體系對立起來,比如說零信任,當然還有一些其他的思路,我們一定要做好新舊的銜接,千萬不要再說新的體系還沒有正常運行,比如說零信任裡面,你的動態決策,動態的授權還沒有實現的時候,我就把邊界已經解除掉了,這些做法都是錯誤的,我們一定要注意循序漸進。同樣的,我們控制應用和數據還要注意到另外一個,軟體的開發,綜合考慮開發之初就要利用編碼的部分,編碼的規範,安全的審計,包括商業滲透測試等等,綜合保證代碼之初應用是安全的,再保證數據的安全,這是第三點。
4、彈性的安全體系非常重要的是什麼?是響應,前面我們也提到安全理念裡面,第一點,安全不是靜態,它是動的,如果我要針對一個動態的場景做好安全,及時發現安全威脅就是必不可少的,這裡面我們要做好監測態勢,尤其是對於新型的網絡攻擊,不要簡單地布一個IDS或者是IPS,我們要注意邊界防好之後,橫向移動裡很重要的是什麼?就是情報、態勢和行為分析,綜合這些手段來實現及時對安全威脅的應對。
5、所有的這些工作都離不開集中管理,大家回想一下,我做一個強制防控,或者說我要構建一個態勢感知平臺,甚至於我要做一個零信任的體系,繞不過的是什麼?繞不過的是一個統一的策略,我們的安全管理中心,所以大家一定要注意,所有的前面的工作,我都是要建立在安全管理中心的集中管控基礎之上的,這裡面我們需要重點地關注統一的策略,統一的監測,統一的分析,只有這樣,我才能夠構建前面提到的整體安全。