創信華通|等保內容解析
2022-04-20 10:39:58
解決方案
安全企業談等保2.0(五)云端互聯網金融業務的安全要求及解決方案
2018-01-31 00:00:00
文章導讀:
互聯網金融業務系統上云后的安全是當下熱點,本文梳理了等級保護云計算安全和非銀行金融機構安全監管這兩方面的合規性要求,將兩者加以融合、針對其主要的安全問題和需求,提出云端互聯網金融的安全防護、安全檢測和安全監測三大類措施與安全服務解決方案。
目前,公有云的建設發展成為互聯網時代的風向標,如阿里云、亞馬遜等建立的公有云規模增長迅速。在移動互聯網發展推波助瀾之下,依托移動互聯網開展P2P網貸、線上理財、消費金融、三方支付業務的企業為了享受公有云提供的快捷、彈性架構,從而紛紛將應用系統部署到云上。
首先,合規要求方面,《信息系統安全等級保護基本要求云計算擴展要求》(以下簡稱“《云等保》”)定義云計算服務帶來了“云主機”等虛擬計算資源,將傳統IT環境中信息系統運營、使用單位的單一安全責任轉變為云租戶和云服務商雙方“各自分擔”的安全責任。這點明確了企業作為云租戶,其應用系統都需要定級且符合對應等級安全控制措施要求。2016年12月銀監會發布了188號文,《中國銀監會辦公廳關于加強非銀行金融機構信息科技建設和管理的指導意見》(以下簡稱“《指導意見》”),對信托公司和金融資產管理公司、企業集團財務公司、金融租賃公司、汽車金融公司、消費金融公司、貨幣經紀公司等非銀行金融機構信息科技建設、信息科技風險防范提出了要求。《指導意見》第五章節指出“加強網絡區域劃分和隔離;通過部署防病毒、防攻擊、防篡改、防泄密、防抵賴等措施提升系統抵御內外部攻擊破壞的能力;”。對于云上應用系統的安全防護明確提出了安全建設要求。
其次,參考安全咨詢機構對于2002年至2017年3月之間公開報道的敏感信息泄露案例的數據分析發現:
■ 敏感信息泄露呈現上升趨勢——泄露手段從以黑客入侵等技術手段為主向技術手段與收買內部員工、內部管理不善等非技術手段結合并用發展,特別是對非技術手段的運用,近幾年呈現出較快速的增長,企業對可能的應用系統攻擊行為沒有安全檢測防護措施。
■ 敏感信息泄露涉及行業廣泛——重點集中在互聯網、制造業、政府機構及金融行業,特別是互聯網行業信息泄露事件呈現高速增長趨勢,需要引起警惕。
■ 敏感信息泄露的追責難度大——基于IP的審計,難以準確定位責任人,難以將IP地址與具體人員身份準確關聯,導致發生安全事故后,追查責任人成為新的難題。
由此,安全威脅與應用安全風險與企業業務經營如影隨形。應用系統部署到云上的企業需要考慮在公有云上應用系統的安全防護解決思路。
綠盟科技建議從滿足合規要求作為起點,業務在“云上”的企業都需要符合《云等保》安全要求,非銀行金融機構接受國家主管單位合規監管,未持牌開展業務或違規經營將會后果嚴重。同時,為了達到業務正常開展需要的安全防護水平,安全服務也應納入,解決應用系統安全檢測和安全監測需要。
1.合規要求
依據《信息系統安全等級保護基本要求云計算擴展要求》,明確定義了云租戶側的等級保護對象也應作為單獨的定級對象定級。云計算系統的定級對象在原有定級對象基礎上進行了擴展,原有定級對象主要是信息系統和相關基礎網絡,而云計算將定級對象擴展為云服務商的云平臺和云租戶的應用系統。云計算系統定級時,云服務商的云平臺和云租戶的應用系統應分別定級,云平臺等級應不低于應用系統的安全保護等級。這點明確了企業作為云租戶,其應用系統都需要定級且符合對應等級安全控制措施要求。
對照等保二級要求,應至少部署防火墻、堡壘機達到控制措施要求;對照等保三級要求,應至少部署入侵防護、防火墻、堡壘機、數據庫審計達到控制措施要求。對于云端租戶的安全需求,客戶可以方便地從云服務提供商的云市場中進行選購和安裝。對有線下服務需求的企業,如專家版服務,可以結合線上線下服務的組合。
《指導意見》第五章節中提出“……加強系統安全漏洞和補丁信息的監測、收集和評估,確保及時發現和處置重大安全隱患。……”漏洞管理工作應該是信息安全工作的重中之重,漏洞生命周期管理不僅僅涉及漏洞自身的發現、評估和修復,同時還牽涉漏洞情報信息的獲取,組織漏洞管理基線的建立和應急處置工作。改變傳統的以IP信息為視角的資產管理方法,從安全的角度重新審視資產信息,從資產的業務功能、服務對象、版本信息、安全防范措施等方面建立安全資產信息,從安全的角度管理資產脆弱性。當出現安全漏洞時,不僅需要考慮漏洞的風險等級,還需要結合資產安全信息,不同資產相同漏洞區別對待,體現業務對漏洞的差異性,真正實現差異化漏洞管理策略,從而實現漏洞管理能力的提高。
《指導意見》第五章節中提出“……開展應用系統安全檢測,對官方網站等通過互聯網提供服務的系統,在上線及重大投產變更前進行滲透測試,杜絕系統‘帶病’上線。……”應用系統在上線后由于存在類似SQL注入、密碼明文傳輸、安全功能缺失等漏洞而遭受攻擊,會直接影響正常業務運行,甚至造成經濟和名譽的損失。因此,需要在系統上線前對系統安全狀況進行檢驗,從信息安全的角度對應用系統、集成環境等內容的安全狀況進行評估,對發現的問題進行妥善處理,避免將影響系統安全的問題遺留到系統上線后,成為系統安全的隱患。
為了滿足《云等保》和等保三級要求,部署在公有云上的企業應至少選擇防火墻云服務(支持入侵防御)、網站安全防護服務(vWAF)、堡壘機云服務和數據庫監控與審計服務。
非銀行金融機構需要同時滿足《指導意見》要求,其上云應用系統應選擇安全檢測服務和安全監測服務。
2.安全保障需求
先回顧近期某互聯網公司發生的信息安全案例,公司內部員工對公司200余臺服務器植入木馬,該木馬具備遠程控制和對外DDoS攻擊功能。這意味著外部人員可遠程控制這些服務器做流量攻擊,進而導致被攻擊的服務器癱瘓。目前,此事已在法院宣判。至案發時,內部員工獲利2萬余元,但對于企業的經濟和名譽損失就相當巨大。不少互聯網企業都發生過類似案件,但沒有安全檢測和安全監測手段,無法及時發現漏洞和安全問題。有的企業雖能鎖定具體賬戶,但無法鎖定到具體個人,加之留存的證據不多,事情就不了了之。
信息安全CIA三要素(機密、完整、可用)應當在定義安全保障需求時統一考慮,對開展理財、支付、保險等金融業務的企業更應關注金融資料的保護,如銀行賬戶信息、扣款賬號、保險數據,避免信息被篡改或外泄。
因而,為了達到業務正常開展需要的安全防護水平,需要定期開展安全檢測和持續有效安全監測服務,云上應用系統更應被納入,解決應用系統安全需要。
3.云上安全防護措施
防火墻云服務
以虛擬化形態部署防火墻,適用于多種虛擬化平臺,使管理員可以快速高效地調配和擴展防火墻。企業所要選擇的服務需要支持應用識別、入侵防御、內容過濾、URL過濾、VPN等,且這些增值功能授權費用應該一并考慮,如IPSEC VPN 、SSL VPN的授權并發連接數量是否滿足企業日常需求。包含必要增值功能的防火墻才是有效的安全服務。
網站安全防護服務(vWAF)
以虛擬化Web應用防火墻(Virtual Web Application Firewall, 簡稱 vWAF)為核心的安全服務,企業客戶可以在公有云等環境中快速部署上線,從而能全面抵御OWASP Top 10等各類Web安全威脅免遭當前和未來的安全威脅。企業所要選擇的服務必須同時支持HTTP協議和HTTPS協議,且可以支持vWAF托管服務的服務提供商更佳。
云清洗服務
基于DNS智能牽引技術,主要解決10G及以上大流量DDoS攻擊防護,同時可防御電信、聯通和BGP三條鏈路大流量攻擊,而運營商提供的云清洗服務僅能清洗本網內的攻擊流量。由于DDoS攻擊可能在相同行業內同時發生,存在帶寬和防護資源沖突情況,因而企業選擇服務時需留意服務提供商的清洗能力是否充足。同時,建議選擇提供云清洗配套線下本地防護混合的服務,以獲得更完善的防護保障。
堡壘機云服務
以虛擬化形態部署堡壘機,提供賬號管理和資產管理,實現運維審計。基于唯一身份標識,通過對用戶從登錄到退出的全程操作行為進行審計,監控用戶對目標設備的所有敏感操作,聚焦關鍵事件,實現對安全事件的實時發現與預警。企業所要選擇的服務需滿足等保標準對用戶身份鑒別、訪問控制、安全審計等條款的要求,且支持準確定位用戶身份,追溯安全事件責任,滿足合規要求且日常使用方便的服務才是正確選擇。
安全評估服務
對各種Web應用系統漏洞和操作系統漏洞的安全檢測,應按需定制檢測掃描頻率,用于網站安全評估的云服務。企業選擇服務時需了解服務包含的漏洞庫種類、是否維護更新,且對于識別的漏洞是否提供漏洞驗證服務,降低誤報概率。
安全監測服務
服務應符合網信辦、公安部等國家主管部門關于網站安全建設的合規要求,為客戶提供網站漏洞掃描及漏洞驗證、網頁掛馬監測、釣魚網站監測、網頁篡改監測、網頁敏感內容監測以及網站可用性監測服務。通常本服務包含安全檢測服務內容。企業應留意監測服務是否在重要時期支持發送平安短信以及安全日報,是否能夠協助關停發現的釣魚網站,這點值得關注。
數據庫監控與審計服務
通過對數據庫訪問行為的精確解析,完成性能監控、事中審計、事后追溯、風險告警等一系列動作,全面洞察數據庫安全狀況,并提供事后追溯依據。企業所要選擇的服務是否全面考慮數據庫存儲、使用管控,監控告警記錄本地是否加密防護,這一點很重要。
4.云上服務優勢
便捷快速
依托公有云提供的快速部署、實時開通的能力,客戶可以隨時在公有云上按需選購,同時也避免了硬件設備的生產、貨運和上架環節,最短時間內就能獲取到對應的安全能力。
惡意行為發現
基于實時的信譽機制,結合企業級和全球信譽庫,可有效檢測惡意URI、僵尸網絡,快速識別、定位出惡意的攻擊行為或惡意資源。
通過云安全服務提供應急響應
憑借云安全服務的支撐,可以實現與云安全中心對接和同步,由安全專家團隊協助用戶對網站安全隱患和遭受的攻擊威脅進行7*24小時全天候監控,并定期優化安全策略,提供安全日志分析報告。
深度對接公有云特性
通過與公有云的API進行對接,輔助堡壘機云服務實現托管資產信息自動錄入,減輕運維人員工作難度,提高效率。
SaaS安全管家
在獲得用戶授權后,云上服務自動把運營數據上傳給云中心,用戶在手機上實時查看運行狀態以及異常告警,并且一鍵尋求安全專家與技術支持團隊,第一時間解決安全問題。
電話:400-6446-808 028-85328724 19960399374
郵編:610000
地址:成都市武侯區天府二街蜀都中心一期 2號樓3003
![]()
關注微信公眾號
版權所有 ? 成都創信華通信息技術有限公司
技術支持:協伴云|商協會管理系統