苏州市干将路303号创意产业园

0512-3565 6563

Jackjones@kuaidata.com

联系客服

数据中心托管服务/管理式网络

服务:

400 651 8888

微软云服务:

400 089 2448

markjune@kuaidata.com

内容分布式网络服务:

400 811 0278

云集成与合作:

cloud@kuaidata.com

公司新闻

不忘初心|苏州胜网打造智能防御的安全等保2.0

2019-10-29

     今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布。与等保1.0相比,等保2.0的保护对象得到了扩展,内涵更加丰富,体系得到了升级。

    

     等保2.0的发布无疑给产业带来了巨大的影响。在等保2.0当中,关键信息基础设施保护是等级保护的核心,而金融行业的信息系统正好属于国家规定的关键信息基础设施。因此,对于金融行业来说,满足等保2.0的要求是必须要做到的事情。

    研读等保2.0成为了金融领域企业的刚需,但是正如前文所说,等保2.0的体系、内容、对象都得到了扩充,哪些应该注意?哪些应该小心呢?

移动金融时代,安全是重中之重

    在等保2.0中,云计算、移动互联、物联网、工业控制系统等都被列入标准范围,构成了“安全通用标准+新型应用安全扩展要求”的格局。在此格局下,一系列金融支付场景、移动互联场景都被列入了保护范围。

     其中,移动互联安全在金融领域应用是非常值得关注。目前金融企业的发展是科技的进步和监管的合规双向驱动,保证在开放有序的环境下,运用新技术来转型、发展。金融业的特性必然涉及到个人敏感信息,甚至账户、资金等隐私信息,被越来越多的黑客“关照”,各种违规App越界获取用户隐私权限、越权收集个人信息。据不完全统计,在金融行业App恶意行为当中,隐私窃取类恶意应用占比最高超过40%,用户个人信息受到极大威胁。

    监管部门针对个人隐私信息的保护也在稳步前行,对个人隐私信息安全的保护愈发重视。移动金融安全处在聚光灯下,稍有差错,不仅仅要面对监管的问责,还要面对社会的诘难。无疑给相关企业带来了极大的压力。

      在此背景下,能否满足等保2.0的合规要求,成为了移动金融业务能否顺利发展的决定性因素。等保2.0要求对个人隐私安全和金融信息安全做出全生命周期安全要求,至少要求做到防窃取、防滥用和防误用三个方面,并且对数据生命周期各环节都做出了主要可信验证要求。

业务必须和要求结合 金融领域如何合规?

     等保2.0的实施不是某个企业或者某个行业的事情,在《网络安全法》中明文规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。

     因此,等保2.0虽然其本身并不是国家强制执行的标准,但是它的实施是国家法律规定的企业义务,是国家意志的体现。所以,在实际合规过程中,企业的业务发展必须和国家要求相结合,才能做到合法合规。

等保2.0不仅仅新增了保护对象,还新增了威胁情报、态势感知、全程审计、主动防御等技术要求,传统安全厂商在等保1.0时代的防护理念和产品结构已经无法满足等保2.0的要求。对于金融支付领域的企业来说,如何满足新的技术要求成为了当务之急。

    等保2.0标准体系相比现行等保标准的安全体系更注重动态防御(变被动防护为主动防护,变静态防护为动态防护,变单点防护为整体防控,变粗放防护为精准防护),强调事前预防、事中响应、事后审计。以增强型等级保护三级为例,政企需要从满足基础合规要求,具备粗粒度的防御能力转变为细粒度的主动防御能力,并且整体网络联动,能识别未知威胁并做研判。其中的下一代防火墙(NGFW),IPS以及态势感知等都是必配产品。华为苦练内功,不断突破自我,投资AI芯片的研发,在下一代防火墙的基础上内置全新自研安全芯片,打造处理性能为业界2倍,威胁检出率大于99%的AI防火墙(AIFW),实现基于AI的高性能威胁检测,大幅提升算力,降低Capex80%。

    在业务数字化快速发展的今天,网络安全事件持续高发,新型威胁层出不穷,被动防御的安全手段已经无法满足需要,所以等保建设不能只为合规,更要注重实效。保护数据安全,要从购买安全盒子转变为建设整体网络安全纵深防御体系上。这样就好比开车系安全带,不止是为了满足交通规则,更重要的是为了驾驶者和乘客自身的人身安全。而且等保建设并非一蹴而就,整网的系统化安全建设和持续的产品安全能力提升才是源头活水,苏州胜网等级保护安全解决方案设计覆盖了“一个中心(安全管理中心)”管理下的“三重防护(通信网络安全防护、区域边界安全防护、计算环境安全防护)”体系,让业务不止合规,还强调事前预防、事中响应、事后审计,提供从产品到方案的智能防御体系。