等保标准在于指导开展网络安全等级保护安全技术方案的设计和实施,指导测评机构更加规范化和标准化地开展等级测评工作,进而全面提升网络运营者的网络安全防护能力,保障网络的稳定运行。随着等保2.0相关的《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《信息安全技术 网络安全等级保护安全设计技术要求》等国家标准的正式发布,我国网络安全等级保护工作正式进入“2.0时代”。
作者:中意人寿高级副总裁、信息技术部总经理田畀
来源:2019金融科技创新实战沙龙
中意人寿高级副总裁、信息技术部总经理田畀
田畀指出,相对于1.0版本,2.0的主要变化体现在:一是名称的变化,引用《中华人民共和国网络安全法》(第二十一条),由“信息系统安全等级保护”变为“网络安全等级保护”。二是标准体系的变化,等保2.0标准在1.0标准的基础上,实现了对传统信息系统、基础信息网络、云计算、物联网、移动互联和工业控制信息系统等保护对象的全覆盖;对于使用新技术的信息系统需要同时满足“通用要求+安全扩展”的要求。三是控制措施分类的变化,等保2.0标准的核心是“优化”,删除了过时的测评项,对测评项进行合理性改写,新增对新型网络攻击行为防护和个人信息保护等新要求。
“对企业来说,特别是金融企业,网络安全不仅仅是通过等保认证,更重要的是如何保护客户数据安全和确保信息系统安全。中意人寿的安全建设在满足监管要求的基础上,更加注重细节,注重日常持续运维和整体安全措施的落实。” 田畀详细介绍了中意人寿在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面对标等保标准的具体实践。
一、安全物理环境
中意人寿重要的网络设备和所有服务器均存放在数据中心机房内。机房设施除了满足所有安全规范外,还有严格的管理规定,只有授权人员才能访问,并实行24小时中央监控。为实现对系统运行的有效监控,及时发现和处理问题,信息科技部部署了自动化监控软件,对所有系统异常进行实时监控,数据中心实施24小时有人值守,对系统和机房设备进行不间断巡检,做到防患未然。
二、安全通信网络
中意人寿目前使用MPLS VPN技术建立了两套广域网络,所有互联网接入都基于https,并部署VPN实现对内部网络的安全访问。同时,所有网络节点均按照银保监会要求配置多条不同供应商的线路,保障了业务的连续性。
三、安全区域边界
内部网络、DMZ(隔离区)和互联网通过路由器和防火墙严格划分、隔离。利用防火墙的策略限制各区域间的访问。防火墙还具有升级的能力、定时更新防火墙的保护功能。另外,对防火墙的策略进行了详细的检查,优化防火墙的策略,提高了对DMZ和内部网络的保护能力和效率。整个公司全国内部网络只有唯一的互联网接入点,可有效的提高互联网安全管控。通过上网行为管理软件屏蔽了存在病毒、黑客工具等高风险和与非工作无关的网站,并对用户访问互联网的行为进行记录和监控,确保了网络访问的安全性。另外,在DMZ区域和服务器区域分别部署了不同品牌的入侵防御系统,对异常的网络行为进行防御。同时对公司网站的应用和系统进行了进一步的修改和优化,有效提高了公司网站的安全防御能力。公司有专门网络安全岗位负责安全设备的运行及检查记录,发现漏洞会通过公司的设备变更流程及时进行处理。此外,公司内部网没有部署无线网络,极大程度避免网络接入风险和简化了管理。
四、安全计算环境
用户在应用系统中的账号并没有直接读取或修改数据的权限。应用系统对后台数据的访问或修改是通过使用中间件获取被加密的、具有相应读取或更新数据权限的账号进行操作,用户的账号只能使用应用提供的菜单和功能进行日常业务操作,无法直接访问后台数据。另外,对后台操作的账号,由安全管理员定期进行修改和封存。安全管理员通过专门的功能对用户的权限进行管理,用户的密码被加密保存,确保生产运营小组人员无法获取用户的密码。
中意人寿在权限管理方面一直坚持最小授权原则。在业务系统权限授予方面有严格的审批程序。这样可以保证系统不被非法访问,减少安全隐患。主机服务器和终端安全方面,在所有服务器和终端电脑安装防毒墙产品以及及时进行安全补丁分发,以防止内外部病毒的入侵。
另外,针对目前全球范围内频发的信息安全事件及黑客事件,中意人寿积极使用各种技术手段和管理措施,确保用户信息安全。公司每年都会聘请国内知名网络安全公司对公司进行渗透测试和漏洞扫描,模拟黑客对公司系统进行攻击和信息窃取,通过测试及时发现安全隐患,并组织开发人员进行安全加固,封堵和修复相关漏洞缺陷。
数据安全方面,随着国家及监管机构对客户个人信息保护的重视。为保护客户个人信息,通过加强内部管理等方式,进一步完善了客户个人信息保护机制,中意人寿很早就制定了《客户信息保护管理制度》,制度中包括客户信息保护方针;客户信息风险管理规定;客户信息保护组织机构与责任规定;客户信息取得、使用、提供管理规定;客户信息保护技术物理安全管理、培训教育规定等一系列管理措施,从而确保客户信息的安全及不被泄露。根据公司客户信息保护制度要求,公司所有客户敏感信息、财务信息都通过加密技术在公司数据库中加密保存,禁止用户直接访问数据库和批量提取用户数据。用户提取含有用户敏感信息的数据需要经过逐层审批,确保数据合理使用。除此之外公司还积极探索和使用新的技术手段和技术设备保护用户信息安全,在内网部署数据防泄漏软件,自动监控和阻拦含有客户信息的内容从内部向外泄露。
灾备方面,根据公司灾难恢复策略的规定,每年进行一次全国范围的灾难恢复演习工作,并保证恢复目标高于监管对同类保险公司的要求。
五、建立安全管理中心
部署日志集中管理系统,实现安全日志集中管理及自动分析。
六、安全管理制度
基于监管安全规范要求形成3级制度体系。覆盖了系统开发建设、网络安全、信息保护、日常运行操作、事件处理与上报、外包及人员管理等各方面。依托公司实施的数字化中意流程梳理项目,IT重新梳理和优化了项目实施验收、系统运维和信息化建设3大流程体系,细化核心流程。
七、安全管理机构
成立了包括全部管理层成员及主要部门负责人在内的IT管理委员会和网络及信息安全领导小组,并根据自身的实际情况,利用现有的资源,建立了总公司、分公司两级分布的信息系统安全管理体系。
八、安全管理人员
战略规划层,“网络与信息安全领导小组” 指导整体安全方针的制定,信息科技部经理负责制定安全策略,资源分配。策略规划层,信息安全主管负责整体安全架构设计,执行安全方针与策略。操作执行层,安全管理员负责整体安全策略执行;主机管理员负责服务器及终端安全策略执行;网络管理员负责网络安全策略执行;数据库管理员负责数据库的安全策略执行;应用管理员负责应用安全策略配置;安全审计员负责整体网络、系统、设备安全审计;病毒防护员负责制定和实施病毒防范操作规程;资产管理员负责资产的登记、分发、回收、废弃管理。
九、安全建设管理
对于自行开发,确保开发环境与实际运行环境物理隔离,测试数据和测试结果有效控制;制定开发管理制度,明确开发过程控制方法和人员行为准则;确保开发人员专职,接受监督审查。对于外包开发,禁止外包人员接触到核心系统及敏感数据;软件投产前审查可能存在的后门程序。
十、安全运维管理
十是安全运维管理。进一步加强日常运维管理,已形成一套完整的日常运维体系,涵盖了设备变更、系统上线、用户需求处理、权限申请、巡检与监控、备份与恢复等。为保证系统安全和稳定,公司目前所有的上线变更必须经过完整的测试,测试通过后再经过严格的审批流程方可上线。审批通过协同工作平台实现,系统内嵌审批流程,保证审批的有效性和实时性。
以上内容由李庆莉编辑整理。
推荐文章:「金科征集」截至7月25日金融业新一代数据中心解决方案征集
【更多金融科技精彩内容,扫描下方二维码】
| 留言与评论(共有 0 条评论) |
