2021年8月30日,證監(jiān)會(huì)網(wǎng)站發(fā)布了《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(JR/T 0060—2021)、《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(JR/T 0067—2021)兩項(xiàng)行業(yè)標(biāo)準(zhǔn),并于公布之日起施行。
兩項(xiàng)標(biāo)準(zhǔn)對于證券期貨業(yè)進(jìn)一步落實(shí)好網(wǎng)絡(luò)安全等級保護(hù)工作相關(guān)要求,特別是對數(shù)據(jù)安全管理方面,具有十分重要的意義。
發(fā)布背景
2019年5月,國家開展網(wǎng)絡(luò)安全等級保護(hù)工作的指導(dǎo)性文件--《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239—2019)和《網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T 28448—2019)正式發(fā)布。
證券期貨業(yè)作為國家網(wǎng)絡(luò)安全重點(diǎn)保護(hù)對象,需要適合的證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)體系作為支撐,以規(guī)范和指導(dǎo)證券期貨業(yè)等級保護(hù)工作的實(shí)施。針對證券期貨業(yè)具有信息化程度高、業(yè)務(wù)持續(xù)性要求高、對系統(tǒng)的容量和處理能力要求高的特點(diǎn),行業(yè)發(fā)布了《證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)基本要求(試行)》(JR/T 0060—2010)、《證券期貨業(yè)信息系統(tǒng)安全等級保護(hù)測評要求(試行)》(JR/T 0067—2011)。
但隨著云計(jì)算、大數(shù)據(jù)等新技術(shù)的廣泛應(yīng)用,原標(biāo)準(zhǔn)內(nèi)容已不能更好的滿足證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)需求。因此,為有效指導(dǎo)和規(guī)范證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)工作,證監(jiān)會(huì)依據(jù)國家網(wǎng)絡(luò)安全等級保護(hù)相關(guān)標(biāo)準(zhǔn),對證券期貨業(yè)相關(guān)標(biāo)準(zhǔn)進(jìn)行了修訂,形成了《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(JR/T 0060—2021)、《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(JR/T 0067—2021)。
標(biāo)準(zhǔn)解讀
《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)基本要求》(JR/T 0060—2021)、《證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)測評要求》(JR/T 0067—2021)2項(xiàng)標(biāo)準(zhǔn)規(guī)定了證券期貨業(yè)網(wǎng)絡(luò)安全等級保護(hù)的總體要求和等級測評方法,是等保2.0在證券期貨行業(yè)的具體落地,體現(xiàn)出了證券行業(yè)的特殊要求。
其中,以等保2.0三級安全要求為例,新標(biāo)準(zhǔn)針對安全審計(jì)及數(shù)據(jù)保密性等方面進(jìn)行了細(xì)化(新標(biāo)準(zhǔn)中細(xì)化和調(diào)整的內(nèi)容在下文中“標(biāo)紅”示意)。
一、安全審計(jì)
a) 應(yīng)啟用安全審計(jì)功能, 審計(jì)覆蓋到每個(gè)用戶, 對重要的用戶行為和重要安全事件進(jìn)行審計(jì):
1、 如審計(jì)功能開啟影響系統(tǒng)運(yùn)行安全和效率, 應(yīng)采用第三方安全審計(jì)產(chǎn)品實(shí)現(xiàn)審計(jì)要求;
2、 用戶行為應(yīng)至少包括用戶登錄、 用戶退出、 超時(shí)鎖定、 用戶凍結(jié)和解凍、 增刪用戶、 權(quán)限變更、 口令修改或重置等操作;
b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、 事件類型、 主體標(biāo)識、 客體標(biāo)識和結(jié)果等;
c) 應(yīng)對審計(jì)記錄進(jìn)行保護(hù), 定期備份, 避免受到未預(yù)期的刪除、 修改或覆蓋等:
1、 應(yīng)采取必要的措施, 對審計(jì)記錄存儲(chǔ)空間進(jìn)行管理, 當(dāng)存儲(chǔ)空間發(fā)生異常時(shí)應(yīng)進(jìn)行報(bào)警;
2、審計(jì)記錄的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生;
d) 應(yīng)對審計(jì)進(jìn)程進(jìn)行保護(hù), 防止未經(jīng)授權(quán)的中斷。“安全審計(jì)”這一小節(jié),要求安全審計(jì)功能的范圍覆蓋到每個(gè)用戶,細(xì)化了安全審計(jì)功能中用戶行為的操作權(quán)限,安全審計(jì)功能必須具備審計(jì)記錄存儲(chǔ)和存儲(chǔ)空間預(yù)警的功能,確定了審計(jì)記錄時(shí)間生成的唯一性。
二、數(shù)據(jù)保密性
本條款要求包括:
a) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性, 包括但不限于鑒別數(shù)據(jù)、 重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等; 應(yīng)用系統(tǒng)若通過互聯(lián)網(wǎng)、 衛(wèi)星網(wǎng)傳輸鑒別數(shù)據(jù)、 重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等應(yīng)采取加密方式;
b) 應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲(chǔ)過程中的保密性, 包括但不限于鑒別數(shù)據(jù)、 重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息等。“數(shù)據(jù)保密性”這一小節(jié),強(qiáng)調(diào)重要業(yè)務(wù)數(shù)據(jù)和個(gè)人信息在傳輸過程中的保密性,要求通過互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)傳輸?shù)蔫b別數(shù)據(jù)、 重要業(yè)務(wù)數(shù)據(jù)和重要個(gè)人信息必須加密方式傳輸。
三、集中管控
本條款要求包括:
a) 應(yīng)劃分出特定的管理區(qū)域, 對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控;
b) 應(yīng)能夠建立一條安全的信息傳輸路徑, 對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理;
c) 應(yīng)對網(wǎng)絡(luò)鏈路、 安全設(shè)備、 網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測;
d) 應(yīng)對分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析, 審計(jì)記錄的留存時(shí)間應(yīng)符合法律法規(guī)要求:
1、應(yīng)采取必要的措施, 對審計(jì)記錄存儲(chǔ)空間進(jìn)行管理, 當(dāng)存儲(chǔ)空間發(fā)生異常時(shí)應(yīng)進(jìn)行報(bào)警;
2、應(yīng)對審計(jì)記錄進(jìn)行保護(hù), 定期備份, 避免受到未預(yù)期的刪除、 修改或覆蓋等;
3、3、審計(jì)記錄的留存時(shí)間應(yīng)至少為 6 個(gè)月;
4、應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析, 并生成審計(jì)報(bào)表;
5、5、審計(jì)記錄的時(shí)間應(yīng)由系統(tǒng)范圍內(nèi)唯一確定的時(shí)鐘產(chǎn)生, 以保證在時(shí)間上的一致性;
e) 應(yīng)對安全策略、 惡意代碼、 補(bǔ)丁升級等安全相關(guān)事項(xiàng)進(jìn)行集中管理;
f) 應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、 報(bào)警和分析;
g) 系統(tǒng)范圍內(nèi)的時(shí)間應(yīng)由唯一確定的時(shí)鐘產(chǎn)生, 以保證各種數(shù)據(jù)的管理和分析在時(shí)間上的一致性。“集中管控”這一小節(jié)中,細(xì)化了審計(jì)數(shù)據(jù)的收集匯總和集中分析功能,要求對審計(jì)記錄存儲(chǔ)空間進(jìn)行管理,對審計(jì)記錄應(yīng)定期備份,并且明確審計(jì)記錄的保留時(shí)間為6個(gè)月,在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)收集匯總后能夠集中分析,生成審計(jì)報(bào)表,以及確定了審計(jì)記錄時(shí)間生成的唯一性。
解決方案
針對此次證監(jiān)會(huì)發(fā)布的2項(xiàng)金融行業(yè)標(biāo)準(zhǔn)中關(guān)于安全審計(jì)、數(shù)據(jù)保密性及集中管控等相關(guān)要求和建設(shè)標(biāo)準(zhǔn),如何結(jié)合既有的網(wǎng)絡(luò)安全防護(hù)機(jī)制保證關(guān)鍵基礎(chǔ)信息系統(tǒng)的數(shù)據(jù)安全,防止重要數(shù)據(jù)泄漏成為重中之重。
明朝萬達(dá)以數(shù)據(jù)安全為核心、自主可控的國密算法應(yīng)用技術(shù)為基礎(chǔ),研發(fā)的Chinasec(安元)數(shù)據(jù)安全系列產(chǎn)品及解決方案,覆蓋數(shù)據(jù)產(chǎn)生、存儲(chǔ)、交換、使用等全生命周期重要環(huán)節(jié),實(shí)現(xiàn)對服務(wù)器、數(shù)據(jù)庫、PC終端、移動(dòng)終端以及網(wǎng)絡(luò)通信的全I(xiàn)T架構(gòu)下數(shù)據(jù)安全的協(xié)同聯(lián)動(dòng)管理,打造企業(yè)級的數(shù)據(jù)安全防護(hù)體系。
一、集中監(jiān)控與審計(jì)
Chinasec(安元)安全集中監(jiān)控與審計(jì)系統(tǒng)是一款以用戶行為數(shù)據(jù)為驅(qū)動(dòng)的安全分析類產(chǎn)品,該產(chǎn)品通過多設(shè)備、多環(huán)節(jié)、多角度的關(guān)聯(lián)分析手段,解決企業(yè)的內(nèi)部威脅問題。
產(chǎn)品以用戶視角采集終端、主機(jī)、業(yè)務(wù)應(yīng)用等多種類型數(shù)據(jù),進(jìn)行企業(yè)內(nèi)部人員異常行為的探索發(fā)現(xiàn)和風(fēng)險(xiǎn)人員的精準(zhǔn)定位:
· 對用戶行為進(jìn)行持續(xù)審計(jì)、跟蹤并進(jìn)行風(fēng)險(xiǎn)預(yù)警;
· 依據(jù)相應(yīng)的數(shù)據(jù)審計(jì)、跟蹤結(jié)果,可與對應(yīng)的業(yè)務(wù)系統(tǒng)進(jìn)行策略聯(lián)動(dòng),進(jìn)一步的控制用戶行為;
· 提供相應(yīng)的數(shù)據(jù)分析能力,以及相應(yīng)的報(bào)告能力;
· 包含多種規(guī)則和策略模型,檢測各種用戶異常行為,通過深鉆和關(guān)聯(lián)促進(jìn)分析結(jié)果更加準(zhǔn)確,及時(shí)應(yīng)對各類用戶諸如越權(quán)訪問、數(shù)據(jù)泄漏、主動(dòng)數(shù)據(jù)竊取等安全威脅。
產(chǎn)品支持多級部署、級聯(lián)監(jiān)控,能夠收集各級接入系統(tǒng)上報(bào)的安全事件和業(yè)務(wù)運(yùn)行信息,對信息進(jìn)行存儲(chǔ)、分析、展示和響應(yīng)控制,達(dá)到企業(yè)信息網(wǎng)安全運(yùn)行集中監(jiān)測和管理的目的,對企業(yè)信息網(wǎng)內(nèi)部的數(shù)據(jù)和應(yīng)用服務(wù)進(jìn)行保護(hù)。
產(chǎn)品從技術(shù)層面為用戶提供異常行為安全分析支撐,從制度方面促進(jìn)信息系統(tǒng)的規(guī)范化管理,幫助客戶提高數(shù)據(jù)安全管理效率、防范信息泄漏導(dǎo)致的風(fēng)險(xiǎn),是新一代的動(dòng)態(tài)分析和防御利器。
二、數(shù)據(jù)安全管理
Chinasec(安元)數(shù)據(jù)安全管理系統(tǒng),以“防內(nèi)為主、內(nèi)外兼防”為理念,通過認(rèn)證、加密、監(jiān)控、追蹤等手段,對傳統(tǒng) PC 終端和移動(dòng)終端提供文檔加密、身份認(rèn)證、安全接入、應(yīng)用保護(hù)、訪問控制等全方位的安全防護(hù)。采用 C/S 架構(gòu)和 B/S 架構(gòu)相結(jié)合,內(nèi)外網(wǎng)互通的架構(gòu)思路,對網(wǎng)絡(luò)安全和數(shù)據(jù)安全提供全 IT 架構(gòu)的多套解決方案,針對敏感數(shù)據(jù)提供全生命周期的安全管理和審計(jì)。將安全防護(hù)貫穿于數(shù)據(jù)產(chǎn)生、訪問、傳輸、使用和銷毀的過程中,真正實(shí)現(xiàn)事前安全管理、事后行為審計(jì)。
