金融行业 网络安全法合规就绪 江玮 普华永道管理咨询 ( 上海 ) 有限公司 信息安全咨询主管高级经理
议题 网络安全法 网络安全等级保护.0 个人信息和重要数据保护 认证的网络设备和服务
网络安全法
迅速着陆的长途旅行 10 年前工业和信息化部 专用网络规则制定工作启动 第一稿 颁布 信息安全条例 013 014 二月 015 六月 016 七月 016 十一月 017 六月 国家互联网办公室 第二稿 生效 国际工商业界的关注 全国人民代表大会高票通过
监管机构 中央政府 中共中央网络安全和信息化领导小组办公室 工信部 公安部 北京大学 国家发展 研究院 中国国家 保密局 国家密码 管理局 行业监管 跨部门 跨中央及 地方政府 共同治理 模式
网络安全法重点及关键信息基础设施 网络运营者 关键基础设施 跨境数据流 等级保护 公共通讯 信息服务 能源 网络实名要求 网络安全 国家安全审查 交通水利金融 认证的服务和设备 合作与监管 公共服务 电子政务 个人数据保护 信息基础设施在损害 功能丧失或者数据泄露的情况下, 可能危及国家安全 民生和公共利益
网络安全法对金融机构的关键要求 网络安全等级保护.0 个人信息和重要数据保护 认证的网络设备和服务
网络安全等级保护.0
安全保护等级 受侵害的客体 公民 法人和其他组织的合法权益 一般损害 对客体的侵害程度 严重损害 特别严重损害 第一级第二级第三级 社会秩序 公共利益第二级第三级第四级 国家安全第三级第四级第五级
不同等级的安全保护能力 等级第一级第二级第三级第四级第五级 安全保护能力 应能够防护免受来自个人的 拥有很少资源的威胁源发起的恶意攻击 一般的自然灾难 以及其他相当危害程度的威胁所造成的关键资源损害, 在自身遭到损害后, 能够恢复部分功能 应能够防护免受来自外部小型组织的 拥有少量资源的威胁源发起的恶意攻击 一般的自然灾难 以及其他相当危害程度的威胁所造成的重要资源损害, 能够发现重要的安全漏洞和安全事件, 在自身遭到损害后, 能够在一段时间内恢复部分功能 应能够在统一安全策略下防护免受来自外部有组织的团体 拥有较为丰富资源的威胁源发起的恶意攻击 较为严重的自然灾难 以及其他相当危害程度的威胁所造成的主要资源损害, 能够发现安全漏洞和安全事件, 在自身遭到损害后, 能够较快恢复绝大部分功能 应能够在统一安全策略下防护免受来自国家级别的 敌对组织的 拥有丰富资源的威胁源发起的恶意攻击 严重的自然灾难 以及其他相当危害程度的威胁所造成的资源损害, 能够发现安全漏洞和安全事件, 在自身遭到损害后, 能够迅速恢复所有功能 略
技术要求与管理要求 根据实现方式的不同, 安全要求分为技术要求和管理要求两大类 技术类安全要求与提供的技术安全机制有关, 主要通过部署软硬件并正确的配置其安全功能来实现 ; 管理类安全要求与各种角色参与的活动有关, 主要通过控制各种角色的活动, 从政策 制度 规范 流程以及记录等方面做出规定来实现
等保.0 的变化 技术要求 物理安全 网络安全 主机安全 应用安全 数据安全及备份恢复 等保 1.0 基本要求 管理要求 安全管理制度 安全管理机构 人员安全管理 系统建设管理 系统运维管理 技术要求 物理及环境安全 网络及通信安全 设备及计算安全 应用及数据安全 等保.0 通用要求 管理要求 安全策略和管理制度 安全管理机构和人员 安全建设管理 安全运维管理 等保.0 扩展要求 云计算安全扩展要求 移动互联安全扩展要求 物联网安全扩展要求 工业控制安全扩展要求 大数据安全扩展要求
等保.0 技术要求 A S 物理与环境安全网络与通信安全设备与计算安全应用与数据安全物理位置选择 1 网络架构 1 S 身份鉴别 1 身份鉴别 物理访问控制防盗窃和防破坏防雷击防火防水和防潮 通讯传输边界防护访问控制入侵防范恶意代码防范 1 1 S A 访问控制安全审计入侵防范恶意代码防范资源控制 1 1 1 1 访问控制安全审计软件容错资源控制数据完整性 防静电 温湿度控制 电力供应 电磁防护 安全审计 集中管控 远程访问 网络设备防护 镜像和快照保护 移动终端管控 应用管控 S S A A S S A S S 数据保密性 数据备份恢复 剩余信息保护 个人信息保护 接口安全 软件审核与检测 1 1 1 1 与 1.0 要求基本相同 1.0 其他组别中要求 本组别要求有新增内容 1.0 其他组别要求有新增内容.0 新增内容 云计算安全扩展要求 移动互联安全扩展要求 1 云计算安全扩展要求 移动互联安全扩展要求 S 信息安全类要求 A 服务保证类要求 其他通用安全保护类要求
等保.0 管理要求 安全策略和管理制度安全策略 管理制度 制定和发布 评审和修订 与 1.0 要求基本相同 1.0 其他组别中要求本组别要求有新增内容 1.0 其他组别要求有新增内容.0 新增内容 云计算安全扩展要求 1 云计算安全扩展要求 移动互联安全扩展要求 安全管理机构和人员安全建设管理安全运维管理岗位设置 1 定级和备案环境管理 人员配备 授权和审批 沟通和合作 审核和检查 人员录用 人员离岗 安全意识教育和培训 外部人员访问管理 网络设备防护 安全方案设计 产品采购和使用 自行软件开发 外包软件开发 工程实施 测试验收 系统交付 等级评测 服务供应商选择 供应链管理 移动应用软件开发 移动互联安全扩展要求 1 1 1 资产管理 介质管理 设备维护管理 漏洞和风险管理 网络和系统安全管理恶意代码防范管理 配置管理 密码管理 变更管理 备份与恢复管理 安全事件处置 应急预案管理 外包运维管理监控和审计管理 S 信息安全类要求 A 服务保证类要求 其他通用安全保护类要求
从体系, 架构, 场景, 威胁, 控制到解决方案 基于 ISO7001 打造安全管理体系, 参考 CSA 进行架构设计, 利用 OSA 场景分析方法及 ISF IRAM 工具对各安全场景进行威胁分析并对应到结合 NIST SP800-53, 网安法, 等级保护以及其他金融法律法规的安全控制目标库, 以形成可切实落地并有效考核 (NIST SP800-55) 的解决方案 网安法 / 等级保护 其他行业法律法规 体系 架构场景威胁 / 漏洞控制方案 安全体系 安全职责 安全流程 管理文档 数据安全架构 应用安全架构 技术安全架构 移动安全架构 云安全架构 物联网安全架构 大数据安全架构 运营安全架构 应用安全场景 数据安全场景 技术安全场景 移动安全场景 云安全场景 物联网安全场景 大数据安全场景 运营安全场景 故意威胁 过失威胁 物理环境威胁 技术漏洞 运营漏洞 控制目标 控制措施 控制级别 绩效指标 实施路径 平台选择 绩效考评 维护更新
个人信息和重要数据保护
定义 个人信息的定义 : 个人信息, 是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或者反映特定自然人活动情况的各种信息的各种信息, 包括但不限于自然人的姓名 出生日期 身份证号码 通信通讯联系方式 个人生物识别信息 住址 账号密码 财产状况 位置和行为信息等 网络安全法 76 条第 5 款 ; 个人信息和重要数据出境安全评估办法 17 条 ; 数据出境安全评估指南 3.3 个人敏感信息的定义 : 一旦泄露 非法提供或滥用可能危害人身和财产安全 损害个人名誉和身心健康 导致歧视性待遇等的个人信息. 数据出境安全评估指南 3.4 重要数据的定义 : 指与国家安全 经济发展, 以及社会公共利益密切相关的数据 ( 数据出境安全评估指南 中列出 7 个个行业领域的重要数据范围 ) 个人信息和重要数据出境安全评估办法 17 条 ; 数据出境安全评估指南 3.5
金融行业重要数据范围 金融机构安全信息 a) 新产品研发方案以及研发过程中产生的相关记录和数据 ; b) 技术方案 电路设计 计算机软件 源代码和目标码 数据库 研究开发记录 技术报告 检测 报告 实验数据 实验结果 图纸等技术文档 ; c) 产品销售信息 市场调研信息 市场营销计划 财务资料 业务分析研究成果等经营资料 ; d) 客户名单 客户身份资料 客户交易记录等客户资料 ; e) 内部安全保卫制度 操作细节 银行业务使用的密押 编制方案及专用暗记 代号 指令密码 ; f) 其他一经泄露会对各金融机构安全和利益造成损害的信息 中央银行 金融监管部门 外汇管理部门工作中产生的不涉及国家秘密的工作秘密
金融行业重要数据范围 ( 续 ) 自然人 法人和其他组织金融信息息 a) 个人财产信息 包括个人收入状况 拥有的不动产状况 拥有的车辆状况 纳税额 公积金缴存金额等 ; b) 账户信息 包括银行结算账户和支付账户的信息 主要要素为 : 账号名称 账号 账户类型 账户开立时间 开户机构 绑定账户信息 账户验证信息 ( 含客户身份外部渠道验证信息 ) 账户映射的敏感介质信息 ( 如银行卡有效期 验证码 磁道信息等 ) 账户余额 账户交易情况等 ; c) 个人信用信息 包括信用卡还款情况 贷款偿还情况以及个人在经济活动中形成的, 能够反映其信用状况的其他信息 ; d) 自然人 法人和其他组织金融交易信息 包括银行业金融机构 证券业金融机构 保险业金融机构 交易及结算类金融机构 非银行支付机构等各类金融机构办理业务时获取的自然人 法人和其他组织交易信息 ; e) 身份信息 包括个人身份信息和单位身份信息 其中个人身份信息包括个人姓名 性别 国籍 民族 身份证种类号码及有效期限 职业 联系方式 婚姻状况 家庭状况 住所或工作单位地址及照片等 单位身份信息包括单位名称 统一社会信用代码 类型 法定代表人 ( 负责人 ) 姓名及身份证件号码 经营场所 联系方式等 ; f) 衍生信息 包括个人消费习惯 投资意愿等对原始信息进行处理 分析所形成的反映特定个人某些情况的信息 ; g) 在与自然人 法人和其他组织建立业务关系过程中获取 保存的其他自然人 法人和组织信息
网络安全法中针对个人信息保护的条款与国际隐私框架的对比 APP APEC NIST 中国网络安全法 1 管理 Management 责任原则 Accountability 责任, 审计和风险管理 Accountability, Audit & Risk Management ( 第四十条 ) 网络运营者对其搜集的用户信息严格保密, 建立健全用户信息保护制度 ; 告知 Notice 告知 Notice 透明度 Transparency ( 第四十一条 ) 网络运营者收集 使用个人信息, 应公开搜集 使用规则, 明示搜集 使用信息目的 方式和范围并经被搜集者同意 ; 3 选择和同意 Choice and Consent 4 采集 Collection 5 使用 保留和处置 Use, Retention & Disposal 选择 Choice 搜集限制原则 Collection Limitations 个人信息使用 Use of Personal Information 6 访问 Access 访问和更改 Access and Correction 7 向第三方披露 Disclosure to Third Parties 8 隐私安全 Security for Privacy 责任原则 Accountability 安全管理原则 Security Safeguards 9 质量 Quality 完整性原则 Integrity of Personal Information 10 监控执法 Monitoring & Enforcement 预防损害 Preventing Harm 授权与目的 Authority & Purpose 数据最少化和保留 Data Minimization & Retention 使用限制 Use Limitation 个人参与和补偿 Individual Participation & Redress 使用限制 Use Limitation 安全 Security 数据质量与完整性 Data Quality & Integrity 责任, 审计和风险管理 Accountability, Audit & Risk Management ( 第四十一条 ) 不得违反法律 行政法规的规范和双方约定收集 使用个人信息, 并按法律 行政法规规定和用户约定, 处理其保存的个人信息 ; 网络运营者收集 使用个人信息, 应经被搜集者同意 ; ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, ( 第四十一条 ) 网络运营者收集 使用个人信息, 应遵循合法 正当 必要原则 ; 不得搜集与其服务提供无关的个人信息 ; ( 第四十一条 ) 不得违反法律 行政法规的规范和双方约定收集 使用个人信息, 应当依照法律 行政法规的规定和与用户的约定, 处理其保存的个人信息 ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, 但是经过处理无法识别特定个人且不能复原的除外 ; ( 第四十四条 ) 不得非法出售或非法向他人提供个人信息 ; 第四十三条 ) 个人发现网络运营者违法法律 行政法规的规定或双方约定收集 使用个人信息的, 有权要求删除其个人信息, 发现有错误的有权要求网络运营者更正 网络运营者应采取措施删除或更正 ( 第四十二条 ) 未经被搜集者同意, 不得向他人提供个人信息, 但是经过处理无法识别特定个人且不能复原的除外 ; ( 第四十四条 ) 不得非法出售或非法向他人提供个人信息 ; ( 第四十二条 ) 应当采取技术措施和其他必要措施, 确保信息安全 防止在业务活动中收集的公民个人电子信息泄露 毁损 丢失 在发生或者可能发生信息泄露 毁损 丢失的情况时, 应当立即采取补救措施 ; ( 第四十二条 ) 网络运营者不得泄露 篡改 毁损其搜集的个人信息 ; ( 第四十九条 ) 网络运营者应当建立网络信息安全投诉 举报制度, 公布投诉 举报方式等信息, 及时受理并处理有关网络信息安全的投诉与举报 ;
敏感数据发现 1 st nd 3 rd 自上而下访谈专题讨论文档审查 自上而下的方法聚焦于评估已知环境 通过定制化的访谈和一系列专题讨论并对相关文档的审查来更好地理解已知环境并收集数据生命周期活动的信息和所支持的控制 nd 结构化数据 非结构化数据 数据验证 内容分析 nd 1 st 字段名扫描 文件元数据扫描 1 st 自下而上 针对结构化和非结构化数据自下而上的方法 通过部署各种自动化工具和扫描程序来识别以前未知的风险区域, 扫描类型可包括正则表达式, 关键字匹配和精确数据匹配等, 存储或传输中的数据都可被扫描以便进行 内容感知 检测
皇冠明珠数据保护 数据生命周期 A 定义关键信息资产 使用 评估 B 主要敌对威胁 创建 传输 存储 销毁 C 确定需要的保护途径 网络攻击链 执行侦测获取访问维持控制损害信息 利用信息 抵御主要敌对威胁 D E 保护信息生命周期
自适应安全架构下的防信息泄漏 预测 (Predict) 用户 员工监控, 身份访问管理, 入侵指标分析等 信息 敏感数据发现, 数据地图, 皇冠明珠保护等 防止 (Prevent) UEBA ( 机器学习能力 - 画像 / 异常 ) DLP ( 机器学习能力 - 内容感知 ) 数据关联 ( 结构化数据, 非结构化数据, 网络数据, 终端数据, 应用安全数据等 ) 响应 (Respond) 发现 (Detect)
认证的网络设备和服务
网络产品和服务安全审查办法 设备产品 重点审查内容 : 认证 CII 是 义务责任 否 销售提供 否 国家安全 是 审查 CII 保护工作部门确定 1) 产品和服务被非法控制 干扰和中断运行的风险 ; ) 产品及关键部件研发 交付 技术支持过程中的风险 ; 网络安全审查办公室组织第三方机构 专家对网络产品和服务进行网络安全审查 金融 电信 能源等重点行业主管部门组织开展本行业 本领域网络产品和服务安全审查工作 3) 产品和服务提供者利用提供产品和服务的便利条件非法收集 存储 处理 利用用户相关信息的风险 ; 4) 产品和服务提供者利用用户对产品和服务的依赖, 实施不正当竞争或损害用户利益的风险 ; 5) 其他可能危害国家安全和公共利益的风险
Thank You