金融行业等级保护解决方案

背景介绍

进入金融科技时代之后，以大数据、云计算、人工智能、5G等为代表的新技术在与金融行业进行深度融合的同时，也为金融机构的信息安全带来了新挑战。漏洞数量不断攀升，新技术引入新型风险与隐患，网络安全形势日益严峻。金融行业在国民经济发展中占据重要地位，一旦发生安全事件将可能造成重大社会影响，甚至危及国家安全，建立一套完善有效的安全保障体系已经成为金融科技工作的重中之重。2020年11月11日，中国人民银行发布《金融行业网络安全等级保护实施指引》和《金融行业网络安全等级保护测评指南》系列标准，为金融行业数字化转型提供了网络安全建设的方法论、具体的建设措施及技术指导，完善了金融行业网络安全等级保护体系，帮助金融机构更好地适应新技术的应用，全面提升金融行业网络安全整体防护水平。

方案概述

寸草心网盾自2006年成功实施第一个金融行业等级保护试点项目以来，持续投入，至今已经在金融行业积累了丰富的等级保护建设经验与成功案例。本方案在遵循国标《网络安全等级保护基本要求》第三级要求的基础上，依据《金融行业网络安全等级保护实施指引》等标准要求，合理评估金融机构网络安全风险，结合金融行业实际业务场景，进行科学设计。

通过建设“一个中心”管理下的“安全通信网络、安全区域边界、安全计算环境”，并结合金融行业的系统与业务现状，进行分区分域保护，为金融机构建立纵深防御的技术体系。结合金融机构实际安全需求，从安全管理制度、安全管理组织、安全建设管理和安全运维管理等方面进行设计，规范、约束相关系统运行维护的安全操作行为，明确执行安全策略的各项要求，帮助金融机构建立规范的网络安全管理体系。充分利用寸草心网盾安全服务优势，对金融机构核心信息资产、各类威胁与风险进行持续监测分析、预警及应急处置，不断提升网络整体安全防护能力，持续满足监管合规要求。

设计要点

l技术体系设计

依据金融行业的组织结构和网络架构，将金融机构总部和各个分支机构分别划分为独立的安全域，每个安全域又细分为安全计算环境、安全区域边界、安全通信网络和安全支撑设施域。安全管理中心作为统一的管理中心关联总部和一级分支、二级分支的安全保护环境。针对每个安全域，依据其重要程度、业务特点和实际安全需求，给出相应的保护措施，从而建立纵深防御体系，实现安全防护目标。

安全通信网络层面的设计通过合理规划网络区域、分配网络资源以及设计安全的网络架构，保证网络的可用性，实现不同网络区域之间的安全隔离。通过对通信双方进行可信鉴别验证，建立安全通道，并实施数据传输保护，确保数据在传输过程中不会被窃听、篡改和破坏。

安全区域边界层面的设计通过部署抗拒绝服务攻击系统、防火墙、入侵防御系统、WAF、网络数据防泄漏系统、入侵检测系统、APT安全监测系统、蜜罐等设备，对进入和流出应用环境的信息流进行安全检查和访问控制，保证应用系统中的敏感信息不会泄漏出去，同时也防止应用系统遭受外界的恶意攻击和破坏。

安全计算环境层面的设计通过部署堡垒主机、数据库审计、主机监控与审计、日志审计、终端威胁防御、漏洞扫描、数据防泄漏系统、容灾备份系统等产品，在操作系统核心层设置以访问控制为主体的系统安全机制，形成严密的安全保护环境，有效防止非授权用户访问和授权用户越权访问，为系统的正常运行、免遭恶意破坏提供支撑和保障。

安全管理中心通过堡垒机、日志审计、网管软件安全策略管理系统、网络安全态势感知系统、主机监控与审计系统等设备，实现对金融机构总部和一级分支、二级分支机构的技术体系的统一管理，包括系统管理、审计管理、安全管理、集中管控。同时支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。

l管理体系设计

根据金融机构信息化建设进程的实际需求，遵从PDCA模型，首先帮助金融机构设立安全管理机构，制定安全策略、管理制度、操作规程、记录表单等安全管理制度，并配备相应的安全管理人员。其次通过执行安全管理制度，提高网络安全保障能力。同时持续监控制度执行的效果，根据执行结果检查各项制度存在的问题。Zui后结合金融机构的风险现状对制度进行改进优化，从而形成规划和建立、实施和执行、监控和审计、保持和改进的循环过程，形成完善的管理体系。

l安全运维保障

为确保金融机构信息系统长期稳定、可靠、安全地运行，需要建立专有的对信息系统进行安全运维的组织团队。通过周期性风险评估、周期性安全加固、定期安全巡检、定期安全通告、系统上线检测、应急响应及安全培训教育等安全服务，动态维护金融机构信息系统的安全，与安全技术体系、安全管理体系相互支撑、相互协同、相互补充，共同保障金融机构信息系统的整体安全，使信息系统安全保障能力始终保持在较高水平。