日前,“2020北京国际金融安全论坛”在北京召开,公安部信息安全等级保护评估中心主任助理李明在会上表示,《网络安全法》以及等级保护制度的升级,为我们提供了一个很好的契机,无论是从法律要求,还是我们自身需求,我们都应该去落实它,强化金融业自身的安全,只有安全的金融科技,才能够有效地推动整个金融产业的蓬勃发展。
以下为演讲内容:
李明:很高兴有这个时间和机会,和各位交流一下,如何来落实等级保护制度。应该说这几年大家应该也清楚地认识到,无论是从国际上,还是国内来看,我们的网络安全形势还是比较严峻的,从金融业内部自己来看,尽管相对来说金融行业的网络安全工作比较好,但是因为有金融科技的创新,也有现在所提倡的数字化转型,这些新的业务、新的形态,其实也是在不断对我们产生一些新的挑战。所以,无论是综合从外还是从内来看,金融科技面临的局面还是非常严峻的。
在这种情况下,尤其是现在国家又在提新基建、新金融,像今天提的内容一样,在这种情况下,如何来应对这种挑战呢?等级保护工作是很好的内容。从年初到现在,整个等级保护工作,从制度和标准体系上,已经完成了升级工作,也为我们的金融科技安全,网络安全工作提供了很好的切入点和把手。
大家可以看到,无论是从《网络安全法》,还是前段时间公安部颁布的196号文件,为金融行业来落实等级保护工作,或者是以等级保护工作为抓手,提升整个网络安全保障工作提供了很好的指导意义,明确指出了六项工作,后面我会进一步展开。
这六项工作里面,深化定级备案和同步安全建设是我们整个工作当中的重中之重,如何来开展呢?我就结合整个标准体系里面的两个核心标准,定级指南和基本要求给大家解读一下,如何落实等级保护工作。
首先,定级指南这个标准,要深化定级备案工作,没有规矩不成方圆,这个规矩就是定级指南,定级指南与之前的标准相比,主要有三个变化,希望大家注意。
1、对象扩充。《网络安全法》把网络安全工作的范畴界定为网络空间,而且信息技术也推升了新的业务形态,等级保护的工作对象不仅仅有信息系统和网络,延伸到现在新技术、新应用出来的云计算、物联网、大数据等等这些新的业态,所以大家要注意这一点。
2、因为对象扩充了,所以对它的方法,怎样来确定对象,如何确定它的级别,方法也进行了升级。
3、流程日趋完善,这也是回答大家实际工作当中,定级工作是不是按照我自己的理解定一个级别就行?回答是非常明确的。一个完整的定级工作流程,包括了确定定级对象、初步确定等级、专家评审、主管部门核准、备案审核这5个环节。
这里面我为了帮助大家理解这三个变化,有这样一个图,这是对象的扩充,等级保护对象由前两个传统的对象,扩充为后面这些比较特殊的数据资源,后面我会再展开。
前面我也提到了,一个完整的等级保护工作有5个步骤,对于这5个步骤,提出4个要求帮助大家理解怎么落实这5个步骤。
1、完成定级备案工作的时候,要注意定级的时机,千万不要等到系统要上线了,再去考虑定级,这是错误的。在项目立项之初,开展建设之前,你就要完成定级工作,否则你对象不全,级别确定不准,很明显可以知道,你的需求就错了,需求错了,后面的开发、集成,包括你的管理体系的建设,全都是错的。《网络安全法》里面明确要求的“三同步”就成为了空中楼阁,所以大家一定要注意,定级备案工作的第一点,时机非常重要。
2、对象要全,划分要合理。因为我们有这么多新的形态对象,所以大家一定要注意这一点,对象一定要全,面向一个单位整体的梳理,既有老的业态,也有新的业态,这里面等级保护对象一定要全。
3、级别要准确。确定对象的基础上,我们要全面分析它们的功能,服务的对象、服务的地域以及关键数据的情况,综合来确定级别。
4、定级的流程。前面也提到了,从第1步到第5步,只有完成了公安机关的备案审核,出具了备案证明之后,你的这个定级工作才完成,这个时候,你确定的级别才是所有后续工作的依据。大家一定要注意,第2步,初步确定的等级不是你最终的级别,如果在专家评审或者是备案审核中,出现不一致的情况,我们作为网络的运营者,一定要慎重对待。
以上这4个要求里,主要还是定级对象的划分这一点,大家会存在一些疑惑,尤其是新对象,这里面我举几个例子,比如说对云计算,对于云计算的划分,我们有两大原则,第一原则是什么?两个视角的切分,平台和租户不要混在一起,所以我们的第一原则,就是云服务客户侧的等级保护对象和云服务商侧的云计算平台要单独定级,各管一套。二是对于进一步细分,如果公有云,大型的云平台,你可以继续将基础设施、辅助平台切分,对于更复杂的云平台来讲,因为它要提供不同的服务模式,比如说IaaS、SaaS、PaaS要分别定级,否则对于云客户来讲,他不知道怎样选择一个合理的平台。这里我用一个图像的形式,因为云的场景里面特别复杂,所以我这里仅仅是举了一个公有云提供IaaS服务的图形,我们的定级是这样的。云平台、云租户,如果在公有云的场景下,可能有不同的云租户,可以根据不同的安全责任主体进一步切分,这是要注意的。
第二个,尤其是在新金融里会遇到的移动互联,对于移动互联来讲,大家要注意的就是“三要素”,移动终端、移动应用、无线网络,这“三要素”是要统一,不能切分。当然这个要根据实际情况,统一起来是要和传统的IT部分统一定级,还是可以独立,这要根据实际情况分析,但是无论在哪种场景下,这三个要素都是不能够单独定级的,千万不能说我一个App的终端去定一个级别,那是不对的。
另外要提一点的就是数据资源,尤其是在大数据应用越来越广泛的情况下,一般场景下,我们可以把大数据、大数据平台,像这个例子,大数据的应用、大数据的资源,统一定级。但是随着现在新技术,或者是新的商务模式的推广,数据资源和系统单位,甚至于处理它的工具是日趋剥离的,所以在极特殊的情况下,比如说这三者的安全责任主体不一致的情况下,我们是要求数据资源独立定级,对于定级对象的确定,这里有三个形态,我单独说一下。
当我们完成定级工作之后,接下来很重要的一项工作就是安全建设,对于安全建设,首先看一下这个标准,你一定要依据标准来走,这个标准就是基本要求,全称就是《网络安全等级保护基本要求》,编号是2239。这个标准与以前08版的标准相比,有三个升级,一是对象扩充,接下来两个非常重要的点,架构的统一和能力的提升。第一个要点,是因为跟着整个《网络安全法》的规定,对象扩充了,所以我的要求也扩充,但是在增强上面,我们是有两个,大家可以看这张PPT,给了大家一个演示,我们如何从当初的层次模型转回现在的架构统一,这个架构也是为了更好地体现新的标准所要求的“一中心、三重防护”,并不是说2008年这个模型不好,而在于我们现在等级保护2.0里面,已经完成了08版的时候,怎样把一个标准和对象做一个简单对应的工作,我们现在更加强调的是怎样更加完整、更加强地构建一个弹性的网络安全体系,这个时候我们“一中心、三重防护”这种模型可以更好地体现我们的需求。
因为时间的关系,标准我就不再展开,这里面为了帮助大家理解,我提出了六个要点,具体落实基本要求,可以从这六个点来走。
1、优化网络结构。对应的标准是这两个条款(安全通信网络、安全区域边界),一是要有一个纵深,优化网络结构最终目标就是要实现纵深的防御,这里面可以细分为两个要求,一是整体结构上是划区域的,区域之间采用可靠的技术隔离,从而能够实现纵深。二是收缩边界,边界应该有一个可靠的,受控的接口,而且我们这个收缩后的边界,你要有措施来保证它是完整的,不被绕过的,这一点特别重要。近两年,一再出现这种情况,而且我觉得这一点对于我们金融机构来说尤其重要,因为我们金融机构有一个特点,纵向来看有总部和分支,横向来讲,我们要和不同的部委,不同的商业机构横向互联互通。所以,边界的问题对于我们来讲尤其关键。如果我们做不好这些,后面所有的工作都是白废。第一点,优化网络结构是所有安全建设工作的起点和基础。
2、在这个基础上关注的第二点,要有关键设备的加固,如果没有边界的突破,就没有后续的一系列的实践,但是这个边界的加固不是那么简单,我们要做到几件事情。一是身份的鉴别,二是安全的配置,三是实现精准的情报结合,我们发现漏洞的时候,就要修补,只有做到这个之后,我们才可以说,我们的边界守住了,从攻防的角度,最外面的这一道防线守住了。
3、到了应用和数据,这里我们要做好数据的分类分级,基于数据的分类分级做好防控。这里面我要额外多说一句,因为我们现在有一些新的技术路线出来,但是大家一定要注意,千万不要把所谓新的理念、路线、体系,与旧有的体系,以前已经行之有效的体系对立起来,比如说零信任,当然还有一些其他的思路,我们一定要做好新旧的衔接,千万不要再说新的体系还没有正常运行,比如说零信任里面,你的动态决策,动态的授权还没有实现的时候,我就把边界已经解除掉了,这些做法都是错误的,我们一定要注意循序渐进。同样的,我们控制应用和数据还要注意到另外一个,软件的开发,综合考虑开发之初,就要利用编码的部分、编码的规范、安全的审计、包括商业渗透测试等等,综合保证代码之初应用是安全的,再保证数据的安全,这是第三点。
4、弹性的安全体系非常重要的是什么?是响应,前面我们也提到安全理念里面,第一点,安全不是静态,它是动的,如果我要针对一个动态的场景做好安全,及时发现安全威胁就是必不可少的,这里面我们要做好监测态势,尤其是对于新型的网络攻击,不要简单地布一个IDS或者是IPS,我们要注意边界防好之后,横向移动很重要的是什么?就是情报、态势和行为分析,综合这些手段来实现及时对安全威胁的应对。
5、所有的这些工作都离不开集中管理,大家回想一下,我做一个强制防控,或者说我要构建一个态势感知平台,甚至于我要做一个零信任的体系,绕不过的是什么?绕不过的是一个统一的策略,我们的安全管理中心,所以大家一定要注意,所有的前面的工作,我都是要建立在安全管理中心的集中管控基础之上的,这里面我们需要重点地关注统一的策略,统一的监测,统一的分析,只有这样,我才能够构建前面提到的整体安全。
到这儿为止,大家可以看到,前面的5点都是什么?都是在往外看,一个不太健康的体系,需要借助外力来包装它,当做完这些之后,打一个不恰当的比方,就如同我在沙地上建了一栋楼,前面5项工作都是在不断加固楼的门、加固楼的窗,但是我的地基不行,第6点,也是新版的等保体系里面特别强调的一点,我们要采用可信计算技术,从边界设备到应用等等,一层一层的,从硬件到软件,到数据,来构建整个的可信的防御体系。只有这样,这个体系才是真正可以满足需求的。
当然了,一个真正有效的安全体系,在现在的场景下,仅仅靠一个单位的力量是不够的,所以我最后的建议是,希望每一个独立的网络安全运营者,把我们自己的安全防护体系与整个国家的、行业的网络安全防护体系融合在一起,通过构建一些情报共享,通报联动,联合指挥等等这些体系,把我们自己的小体系融到整个国家的综合防控的大体系当中,大家一起来构建,这样才能够真正实现在一个复杂、严峻的网络空间里面,保证我们自己的安全。所以,《网络安全法》以及等级保护制度的升级,为我们提供了一个很好的契机,无论是从法律要求,还是我们自身需求,我们都应该去落实它,强化金融业自身的安全,只有安全的金融科技,才能够有效地推动整个金融产业的蓬勃发展。
以上是我今天分享的全部内容,谢谢大家。