中科信安带你九分钟走进网络信息安全等保测评——金融企业篇

中科信安带你九分钟走进网络信息安全等保测评——金融企业篇 – 作者:中科信安信息技术

“九分钟走进信息安全”是中科信安开设的新专栏，旨在为广大用户提供更高效、全面、系统的信息安全与数据领域的知识。

今天我们走进等保2.0，来看看关键信息基础设施的等保测评之路，先从金融行业来看！

2019年12月1日，《网络安全等级保护基本要求》的正式实施标志着等级保护制度整体进入 2.0 时代。

保护对象从传统的网络和信息系统，向“云移物工大”上扩展，基础网络、重要信息系统、互联网、大数据中心、云计算平台、物联网系统、移动互联网、工业控制系统、公众服务平台等都纳入了等级保护的范围。

GB/T22239由单独的基本要求演变为通用安全要求+新技术安全扩展要求，且技术要求和管理要求都做了调整。而关键信息基础设施也在定级要求上明确指出“定级原则上不低于三级”的要求。

那么，哪些行业需要进行等保测评呢？

政府机关：各大部委、各省级政府机关、各地市级政府机关、各事业单位等
金融行业：金融监管机构、各大银行、证券、保险公司等　　

电信行业：各大电信运营商、各省电信公司、各地市电信公司、各类电信服务商等
能源行业：电力公司、石油公司、烟草公司
企业单位：大中型企业、央企、上市公司等
其它有信息系统定级需求的行业与单位。

那么单位内部哪些是二级及以上信息系统呢？

二级系统主要是以下系统：区县级重要的信息系统，地市级和省级的普通信息系统，这里的普通信息系统指的是不触及敏感信息、重要信息的信息系统，这些系统都能够定为二级系统。

三级系统主要有以下系统：省级单位门户网站、地级市影响力比较大的单位门户网站、地级市及以上重要的业务网站需求定为三级；地市级及以上内部触及到工作机密、敏感信息、重要信息的办公系统，管理系统需求定到三级，跨省的用于消费、调度、管理、指挥等在省、市的分支系统需求定为三级，跨省联合的网络系统要定为三级（这个系统都是全国运营的专网系统）。

中科信安漫谈金融行业的网络安全现状

首先是，各主要行业信息安全等级保护工作开展程度不一。

电力、电信、铁路、税务等一些重要行业等级保护工作进展较快，在进行信息安全等级保护工作中结合各行业特点和行业的特殊安全需求制定了行业的等级保护规范或细则。

相对而言，银行、交通、文化等行业目前等级保护工作进展缓慢。

直到2012年7月，中国人民银行正式发布了《金融行业信息系统信息安全等级保护实施指引》、《金融行业信息系统信息安全等级保护测评指南》、《金融行业信息安全等级保护测评服务安全指引》三个文件，对金融行业信息系统信息安全等级保护建设提出了具体要求，为等级保护实施、测评、整改工作提供了强大的政策支持，并明确了区域性金融机构信息系统安全等级保护工作的具体要求。

金融行业等级保护准依据国家要求和行业特点，细化、补充了大量内容，保留国家等级保护基本要求二级要求、三级要求、四级要求项590项，补充细化要求项193项，新增金融行业特色要求项269项。

其次是，金融机构对信息安全等级保护也认识不足。

由于对信息安全的理解不够，在对于信息安全的资金投入，往往用于购买硬件安全设备，认为有了这些看得见摸得着的安全产品就可以确保安全了。

但是根据人民银行颁布的《金融行业信息系统信息安全等级保护实施指引》中以国家等级保护要求为原则，以金融行业特点为基础，提出了构建“两项要求”和“两个体系”的金融行业信息安全保障总体框架。

该框架通过技术要求与管理要求的交融以及技术体系与管理体系的互补，从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。

也就是说必须是管理制度体系和技术防护体系互相融合，仅仅靠技术防护体系是无法构建完善的安全保障体系。

同时，管理体系是遵照“建立、实施、执行、监控、审计、保持、改进”的过程进行类似生命周期的思路形成生命环的管理方法，而公司在这方面的认知还有待提高。

与此同时金融行业从业人员以为财务及管理人员为主，而具有计算机、信息安全等级保护知识的人非常少，加强信息化人才与金融人才相结合的复合型人才培养，是推进金融行业信息化建设和信息安全等级保护工作的重点。