金融保险网络安全合规技术白皮书(2022)
AI智能总结
金融保险网络安全合规技术白皮书 (2022年) 清华大学金融科技研究院金融安全研究中心北京华清信安科技有限公司 2022年10月 目录 1.保险行业网络安全概述1 1.1.网络安全形势分析2 1.2.安全合规形势分析3 2.网络安全等级保护概述5 2.1.基本概念5 2.1.1.等级保护基本概念5 2.1.2.等级保护体系框架5 2.1.3.等级保护工作内涵6 2.1.4.等级保护工作流程6 2.1.5.等级保护工作必要性8 2.2.政策和标准体系9 2.2.1.国家政策和标准9 2.2.1.1.网络安全等级保护政策体系10 2.2.1.2.网络安全等级保护标准体系11 2.2.2.保险行业政策和标准13 3.等级保护实施方案15 3.1.方案概述15 3.1.1.实施框架15 3.1.2.实施原则15 3.2.等级保护定级17 3.2.1.定级方法论18 3.2.2.定级流程21 3.2.3.定级环节工作内容21 3.2.4.定级环节主要工作成果22 3.3.等级保护备案22 3.3.1.备案流程23 3.3.2.备案工作内容23 3.3.3.备案工作成果24 3.4.建设整改24 3.4.1.建设整改流程26 3.4.2.建设整改工作内容27 3.4.3.建设整改环节交付成果32 3.5.等级保护测评33 3.5.1.测评方案34 3.5.2.测评辅助45 3.5.3.辅助测评工作内容46 3.5.4.辅助测评主要工作成果47 3.6.运行与检查47 3.6.1.自查与监管检查48 3.6.2.运行检查工作成果48 3.7.其它安全运维工作48 3.7.1.定期漏洞扫描49 3.7.2.定期渗透测试50 3.7.3.应急响应51 3.7.4.安全加固52 3.7.5.安全培训53 《金融保险网络安全合规技术白皮书(2022)》编写人员名单 总编辑 周道许 主编 田新远 执行主编 徐制宇 编辑 刘志勇李玲傅裕兴 1.金融保险网络安全合规 1.1.网络安全形势分析 随着网络攻击方式的不断演进,网络安全形势不容乐观。具体表现为:一方面,网络攻击事件频发,对社会稳定、生产运行、人民生活造成深远影响;另一方面,新技术、新场景的网络威胁日益增多,利用安全漏洞实施链式攻击更加频繁。 即便是安全防御提升,加大了网络攻击难度,但网络攻击者通过多种手段设法“规避”、“绕过”网络安全防线,达到网络攻击入侵目的。尤其是在利益驱动下,网络攻击目标更加精准,攻击者趋于瞄准“高价值”目标。 近年来,政企数字化转型,推动了数字安全概念升级、落地。数字时代的安全,不仅要防范网络中断和系统瘫痪等风险、保障“线上”网络系统安全,更要进一步保障“线下”经济社会运行秩序稳定。进入数字化时代,网络高级可持续威胁攻击更为频繁,网络攻击目标、手法、产生的破坏力都匪夷所思。在此背景下,网络安全逐渐成为常态性因素,向着范围更大、防护面更广的数字安全体系演进。 基于此,网络安全厂商必须为政企客户构建数字安全体系,并使其成为保障数字化发展的新引擎。厂商和客户均要通过探索差异化、多元化创新模式,夯实技术创新机制,推动服务创新发展,通过创新技术在网络安全领域的融合应用,全面增强网络安全风险感知、监测预警、实时阻断、追踪溯源、应急响应等核心能力。 1.2.安全合规形势分析 随着《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等多部重磅法律条例的颁布,标志着我国在网络安全、数据安全、个人信息保护、关键信息基础设施保护等重点领域迎来了有法可依、有章可循的新时代。与之同时,行业监管部门积极落实国家网络安全监管要求,先后制定出台联合规章和管理规定,并且持续加大网络安全执法力度。 《网络安全法》配套文件逐渐出台后,金融保险行业监管部门开始出台实施细则以指导具体实践,适应新的业务使用场景。2019年4月16日,中国人民银 行发布的2019年规章制定工作计划,已经修订/制定12项规章,其中个人金融信息保护、客户身份识别、消费者权益保护等相关法律法规备受关注,包括《个人金融信息(数据)保护试行办法》和《中国人民银行金融消费者权益保护实施办法》。2019年3月7日,国务院国有资产监督管理委员会发布了新版《中央企业负责人经营业绩考核办法》。新的考核办法中增加了对网络安全事件的考核要求,极大的增强了相关企业负责人的网络安全意识并增加网络安全相关的投入。 数字化转型衍生出网络安全的新挑战、新需求,驱动网络安全产品与解决方案不断迭代升级。数字安全的革新,带来的就是安全技术和产品创新。智能化、主动防御、安全运营将成为竞争力的核心。 智能化、主动防御、安全运营创新技术具有多种优势,不仅可实现安全威胁的态势感知、关联检测、主动捕获、即时对抗,还支持场景全局化、轻量化、定制化联动部署。可以预见,智能化、主动防御、安全运营类产品将迎来规模化应用,在数字化时代的攻防对抗与核心数字资产防护中彰显其重要价值。 后疫情时代,金融保险行业均在寻求业务转型和创新式发展,许多组织正在筹划新一轮基础性建设。如果网络安全被排除在预算之外,那么未来几年网络威胁将不可避免的持续增长。故此,金融保险行业应切实考虑将网络安全产品采购纳入计划,使网络安全成为数字化转型的推动力量,以确保为组织转型升级保驾护航。 本白皮书仅在网络安全法和网络安全等级保护制度框架下讨论金融保险企业面临的网络安全合规问题和实施实践。 2.网络安全等级保护概述 2.1.基本概念 2.1.1.等级保护基本概念 网络安全等级保护是指对网络(含信息系统、数据)实施分等级保护、分等级监管,对网络中使用的网络安全产品实行按等级管理,对网络中发生的安全事件分等级响应、处置。 “网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,包括网络设施、信息系统、数据资源等。 2.1.2.等级保护体系框架 网络安全已经上升到国家安全战略高度,没有网络安全就没有国家安全,就没有经济社会的稳定运行。在此背景下,网络运营者、行业主管部门和网络安全职能部门有责任和义务开展网络安全顶层设计,落实有关网络安全保护措施,提高网络安全综合保护能力。下图为网络安全等级保护体系框架。 2.1.3.等级保护工作内涵 网络安全等级保护是对网络进行分等级保护、分等级监管,是将信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级(从第一级到第五级,逐级增高);等级确定后,第二级(含)以上网络到公安机关备案,公安机关对备案材料和定级准确性进行审核,审核合格后颁发备案证明;备案单位根据网络的安全等级,按照国家标准开展安全建设整改,建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度;选择符合国家要求的测评机构开展等级测评;公安机关对第二级网络进行指导,对第三、第四级网络定期开展监督、检查。 2.1.4.等级保护工作流程 网络安全等级保护工作主要包括五个环节,分别是定级、备案、建设整改、等级测评和监督检查。 定级 网络运营者自行开展网络的安全等保拟定,并组织召开专家评审会,专家对初步定级结果的合理性进行评审,出具专家评审意见,并将初步定级结果上报行业主管部门进行审核。 备案 网络运营者将网络定级材料递交公安机关进行备案,公安机关对定级材料进行审核,并给符合要求(定级准确、符合要求、材料齐全)的网络发放备案证明。 建设整改 网络运营者根据网络的安全保护等级,按照对应等级的国家标准开展差距分析和安全建设整改工作。 等级测评 网络运营者选择符合国家规定条件的测评机构,对第二级以上的网络开展等级测评,测评机构在测评完成后对符合要求的网络运营者出具测评报告。 监督检查 公安机关对网络运营者开展网络安全等级保护工作的情况和网络的安全状况开展执法检查工作。网络运营者需要每年开展网络安全等级保护自查工作。 2.1.5.等级保护工作必要性 网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度,是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段。 2017年6月,《中华人民共和国网络安全法》规定国家实行网络安全等级保 护制度,标志着从1994年的《中华人民共和国计算机信息系统安全保护条例》 (国务院令第147号)上升到国家法律;标志着国家实施十余年的信息安全等级 保护制度从1.0时代迈入2.0时代;标注着以保护国家关键信息基础设施安全为重点的网络安全等级保护制度依法全面实施。 金融行业是网络安全等级保护制度和关键信息基础设施安全保护条例施行的重点行业之一,而保险行业作为金融行业的重要分支,网络安全等级保护工作的开展势在必行。 网络安全等级保护工作开展的意义如下: 降低网络安全风险,提升网络系统的安全防护能力 实施网络安全等级保护制度有利于在信息化建设过程中同步建设信息安全设施,保障信息安全与信息化建设相协调,为信息系统安全建设和管理提供系统性、针对性、可行性的指导和服务,有效控制信息安全建设成本。 满足国家、行业、主管单位法律政策的要求 网络安全等级保护是我国关于网络安全的基本政策,不按照要求开展等级保护工作等于违法。另外金融作为国家重要领域,陆续发布大量的安全合规与安全监管要求,因此金融保险行业的安全合规工作势在必行。 保障重要方面的网络系统安全 优化信息安全资源配置,对网络系统分级实施保护,重点保障基础信息网络和关系国家安全、经济命脉、社会稳定等方面重要信息系统的安全。 贯彻网络安全意识 明确国家、法人和其他组织、公民的信息安全责任,加强信息安全管理,推动信息安全产业的发展,逐步探索出一条适应我国社会主义市场经济发展的信息安全模式。 2.2.政策和标准体系 2.2.1.国家政策和标准 网络安全已经上升到国家安全战略高度,没有网络安全就没有国家安全,就没有经济社会的稳定运行。最近几年我国加快了网络安全相关法律法规和标准规范的制定和更新,一系列法律、法规和标准、文件密集发布、实施,构筑起较为完善的网络安全监管体系。 为组织开展网络安全等级保护工作,公安部根据《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)及国务院“三定”授权,会同国家 保密局、国家密码管理局、原国务院信息办和国家发改委、财政部、教育部、国资委等部门出台了一系列政策文件。公安部对网络安全等级保护相关具体的工作出台了一系列指导意见和规范。这些政策文件和标准文件共同构成了网络安全等级保护政策标准体系。 2.2.1.1.网络安全等级保护政策体系 网络安全等级保护政策体系如下图所示。 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)该文件第一次提出“计算机信息系统实行安全等级保护”的概念。 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号) 该文件要求实行网络安全等级保护:信息化发展的不同阶段和不同的信息系统有着不同的安全需求,必须从实际出发,综合平衡安全成本和风险,优化信息安全资源的配置,确保重点。要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立网络安全等级保护制度,制定网络安全等级保护的管理办法和技术指南。 《信息安全等级保护管理办法》(公通字[2007]43号) 该文件主要内容包括网络安全等级保护制度的基本内容、工作流程、工作要求、等级保护五个环节(定级、备案、建设整改、等级测评、监督检查)的要求等,为开展网络安全等级保护工作提供了规范保障。 五个环节政策文件 另外在网络安全等级保护的五个环节(定级、备案、建设整改、等级测评、监督检查)均有相应的政策文件,本书仅给出政策文件名称(如上图所示)。 2.2.1.2.网络安全等级保护标准体系 国家为了推行
