今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,并将于今年12月1日正式实施。实行等保是《网络安全法》明文规定的企业义务,如果拒不履行将会受到相应的行政处罚,甚至有可能因“拒不履行信息网络安全管理义务罪”遭受刑事处罚。
在即将到来的等保2.0时代,如何解读相关标准文件?又有哪些重点内容需要注意?11月5日,在2019第四届中国移动金融安全大会上,能信安信息技术总监马小龙以《等保2.0时代金融行业移动互联安全合规解决方案》为题分享了能信安对等保2.0的合规探索。
等保2.0安全要求全面升级
马小龙指出,等保2.0不是单一标准,而是一系列标准,每份标准的作用并不相同。在等保2.0系列标准中,《网络安全等级保护基本要求》、《网络安全等级保护设计技术要求》和《网络安全等级保护测评要求》三个标准是核心标准,分别解释了等保2.0要做什么、怎么做和做的怎么样三个问题。对于企业而言,《网络安全等级保护基本要求》和《网络安全等级保护设计技术要求》两个标准需要仔细研读。
在等保2.0中,原有的安全要求全面升级,云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。马小龙解释说,在全新的安全要求下,等保2.0合规,需要首先满足安全通用要求,再根据保护对象的形态、功能满足安全扩展要求。两者相加构成完整的安全要求,从而满足等保2.0的合规要求。
移动互联安全风险来自三个方面
马小龙认为,通过对等保2.0标准的分析,移动互联安全的保护对象包括移动应用、无线网络和移动终端。在当前的网络安全环境下,这三个保护对象都面临着非常大的安全风险。
在应用安全方面,应用程序漏洞大量催生、违法违规App数量不断增加、恶意代码规模稳定增长。尤其是针对个人信息保护的违法违规行为已经成为一种普遍现象,成为网信、公安等监管部门重点整治的对象。
在终端安全方面,由于安卓系统自身的开源性和碎片化,造成安全漏洞较多的情况。因此相比较iOS系统,安卓系统成为了目前黑灰产的主要攻击目标。系统漏洞、恶意代码和高风险应用是终端面临的主要安全风险。
马小龙表示,企业无线网络带来的安全风险最高,也最容易被攻击。由于无线网络不通过有形介质传播很容易受到钓鱼和中间人等攻击,另外非授权热点外联和非授权设备接入非常难以防范,很容易在有意或无意中发生数据泄露事件。
针对上述风险,马小龙给出了以等保2.0移动互联安全合规要求为依据,安全检测为驱动、安全加固为保障、安全防护为核心的移动互联安全合规解决方案设计思路。检测发现问题,加固解决问题,防护长期保障。
移动支付安全合规该怎么做?
目前App安全是社会的热点、监管的重点、企业的痛点,在App当中移动支付类App的安全则是直接关系用户个人金融信息安全和账户财产安全。马小龙认为,在移动支付场景下终端安全和无线网络安全都处于不可控状态下,安全需求只能通过App安全防护解决。
支付应用安全包括客户端安全、用户身份安全、通信安全、数据安全等多方面内容。检测方案包括漏洞检测、行为检测和内容检测。马小龙特意强调了SDK检测,他表示,从实际的APP检测工作情况分析,引入第三方SDK给APP带来的风险非常大。
在安全加固方面,马小龙认为应该分为两个层面,第一个层面为针对漏洞逆向工程的攻击对抗,防止恶意篡改、调试,保证App安全;另一层面为加强用户身份认证的技术控制,通过人工智能与生物识别技术的配合,提高用户身份识别的风险控制能力。
在分享最后,马小龙对移动办公场景下的安全解决方案和合规重点做出了介绍。相比较移动支付,移动办公的应用安全、终端安全、无线网络安全都处于可控状态,因此解决方案需要同时覆盖这三个方面,针对不同情形进行特别防护。
来源:freebuf.com 2020-01-15 11:49:49 by: 能信安科技nesun
请登录后发表评论
注册