數(shù)字經(jīng)濟發(fā)展下的金融網(wǎng)絡(luò)安全等級保護方案的實施與評價

周道許 田新遠 吳盈盈

近年來，政企數(shù)字化轉(zhuǎn)型，推動了數(shù)字安全概念升級、落地。數(shù)字時代的安全，不僅要防范網(wǎng)絡(luò)中斷和系統(tǒng)癱瘓等風險，保障“線上”網(wǎng)絡(luò)系統(tǒng)安全，更要進一步保障“線下”經(jīng)濟社會運行秩序穩(wěn)定。本文將從《網(wǎng)絡(luò)安全法》中要求的安全合規(guī)角度探討金融行業(yè)網(wǎng)絡(luò)安全的發(fā)展趨勢，就金融行業(yè)網(wǎng)絡(luò)安全合規(guī)下如何開展安全工作進行了深入的討論和研究。

金融保險網(wǎng)絡(luò)安全與合規(guī)現(xiàn)狀

隨著網(wǎng)絡(luò)攻擊方式的不斷演進，網(wǎng)絡(luò)安全形勢不容樂觀。具體表現(xiàn)為：一方面，網(wǎng)絡(luò)攻擊事件頻發(fā)，對社會穩(wěn)定、生產(chǎn)運行、人民生活造成深遠影響；另一方面，新技術(shù)、新場景的網(wǎng)絡(luò)威脅日益增多，利用安全漏洞實施鏈式攻擊更加頻繁。即便是安全防御提升，加大了網(wǎng)絡(luò)攻擊難度，但網(wǎng)絡(luò)攻擊者可通過多種手段設(shè)法“規(guī)避”“繞過”網(wǎng)絡(luò)安全防線，達到網(wǎng)絡(luò)攻擊入侵目的。尤其是在利益驅(qū)動下，網(wǎng)絡(luò)攻擊目標更加精準，攻擊者趨于瞄準“高價值”目標。

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等多部重磅法律條例的頒布，標志著我國在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護等重點領(lǐng)域迎來了有法可依、有章可循的新時代。與此同時，行業(yè)監(jiān)管部門積極落實國家網(wǎng)絡(luò)安全監(jiān)管要求，先后制定出臺聯(lián)合規(guī)章和管理規(guī)定，并且持續(xù)加大網(wǎng)絡(luò)安全執(zhí)法力度。

《網(wǎng)絡(luò)安全法》配套文件逐漸出臺后，金融保險行業(yè)監(jiān)管部門開始出臺實施細則以指導具體實踐，適應(yīng)新的業(yè)務(wù)使用場景。2019年4月16日，中國人民銀行發(fā)布的2019年規(guī)章制定工作計劃，已經(jīng)制定12項規(guī)章，其中個人金融信息保護、客戶身份識別、消費者權(quán)益保護等相關(guān)法律法規(guī)備受關(guān)注，包括《個人金融信息（數(shù)據(jù)）保護試行辦法》和《中國人民銀行金融消費者權(quán)益保護實施辦法》。2019年3月7日，國務(wù)院國有資產(chǎn)監(jiān)督管理委員會發(fā)布了新版《中央企業(yè)負責人經(jīng)營業(yè)績考核辦法》，其中增加了對網(wǎng)絡(luò)安全事件的考核要求，極大地增強了相關(guān)企業(yè)負責人的網(wǎng)絡(luò)安全意識并增加網(wǎng)絡(luò)安全相關(guān)的投入。

后疫情時代，金融保險行業(yè)均在尋求業(yè)務(wù)轉(zhuǎn)型和創(chuàng)新式發(fā)展，許多組織正在籌劃新一輪基礎(chǔ)性建設(shè)。如果網(wǎng)絡(luò)安全被排除在預(yù)算之外，那么未來幾年網(wǎng)絡(luò)威脅將不可避免地持續(xù)增長。故此，金融保險行業(yè)應(yīng)切實考慮將網(wǎng)絡(luò)安全產(chǎn)品采購納入計劃，使網(wǎng)絡(luò)安全成為數(shù)字化轉(zhuǎn)型的推動力量，以確保為組織轉(zhuǎn)型升級保駕護航。本文僅在網(wǎng)絡(luò)安全法和網(wǎng)絡(luò)安全等級保護制度框架下，討論金融保險企業(yè)面臨的網(wǎng)絡(luò)安全合規(guī)問題和實施實踐。

網(wǎng)絡(luò)安全等級保護及保險行業(yè)政策標準概述

“網(wǎng)絡(luò)”是指由計算機或者其他信息終端及相關(guān)設(shè)備組成的按照一定的規(guī)則和程序?qū)π畔⑦M行收集、存儲、傳輸、交換、處理的系統(tǒng)，包括網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)、數(shù)據(jù)資源等。網(wǎng)絡(luò)安全等級保護是指對網(wǎng)絡(luò)（含信息系統(tǒng)、數(shù)據(jù)）實施分等級保護、分等級監(jiān)管，對網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)安全產(chǎn)品實行按等級管理，對網(wǎng)絡(luò)中發(fā)生的安全事件分等級響應(yīng)、處置。

對網(wǎng)絡(luò)安全和保險行業(yè)的了解是研究金融保險網(wǎng)絡(luò)安全的前置條件，只有熟悉了我國網(wǎng)絡(luò)安全等級及保險行業(yè)相關(guān)政策和標準，才能更好地理解與制定金融保險網(wǎng)絡(luò)等級保護實施方案。圖1為網(wǎng)絡(luò)安全等級保護體系框架。

網(wǎng)絡(luò)安全已經(jīng)上升到國家安全戰(zhàn)略高度，沒有網(wǎng)絡(luò)安全就沒有國家安全，就沒有經(jīng)濟社會的穩(wěn)定運行。在此背景下，網(wǎng)絡(luò)運營者、行業(yè)主管部門和網(wǎng)絡(luò)安全職能部門有責任和義務(wù)開展網(wǎng)絡(luò)安全頂層設(shè)計，落實有關(guān)網(wǎng)絡(luò)安全保護措施，提高網(wǎng)絡(luò)安全綜合保護能力。

網(wǎng)絡(luò)安全等級保護是對網(wǎng)絡(luò)進行分等級保護、分等級監(jiān)管，是將信息網(wǎng)絡(luò)、信息系統(tǒng)、網(wǎng)絡(luò)上的數(shù)據(jù)和信息，按照重要性和遭受損壞后的危害性分成五個安全保護等級（從第一級到第五級，逐級增高）；等級確定后，第二級（含）以上網(wǎng)絡(luò)到公安機關(guān)備案，公安機關(guān)對備案材料和定級準確性進行審核，審核合格后頒發(fā)備案證明；備案單位根據(jù)網(wǎng)絡(luò)的安全等級，按照國家標準開展安全建設(shè)整改，建設(shè)安全設(shè)施、落實安全措施、落實安全責任、建立和落實安全管理制度；選擇符合國家要求的測評機構(gòu)開展等級測評；公安機關(guān)對第二級網(wǎng)絡(luò)進行指導，對第三、第四級網(wǎng)絡(luò)定期開展監(jiān)督、檢查。

網(wǎng)絡(luò)安全等級保護工作主要包括五個環(huán)節(jié)，分別是定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查（如圖2所示）。定級是指網(wǎng)絡(luò)運營者自行開展網(wǎng)絡(luò)的安全等級保護工作，并組織召開專家評審會，專家對初步定級結(jié)果的合理性進行評審，出具專家評審意見，并將初步定級結(jié)果上報行業(yè)主管部門進行審核。備案是指網(wǎng)絡(luò)運營者將網(wǎng)絡(luò)定級材料遞交公安機關(guān)進行備案，公安機關(guān)對定級材料進行審核，并給符合要求（定級準確、符合要求、材料齊全）的網(wǎng)絡(luò)發(fā)放備案證明。建設(shè)整改是指網(wǎng)絡(luò)運營者根據(jù)網(wǎng)絡(luò)的安全保護等級，按照對應(yīng)等級的國家標準開展差距分析和安全建設(shè)整改工作。等級測評是指網(wǎng)絡(luò)運營者選擇符合國家規(guī)定條件的測評機構(gòu)，對第二級以上的網(wǎng)絡(luò)開展等級測評，測評機構(gòu)在測評完成后對符合要求的網(wǎng)絡(luò)運營者出具測評報告。監(jiān)督檢查是指，公安機關(guān)對網(wǎng)絡(luò)運營者的網(wǎng)絡(luò)安全等級保護工作的情況和網(wǎng)絡(luò)的安全狀況開展執(zhí)法檢查。網(wǎng)絡(luò)運營者需要每年開展網(wǎng)絡(luò)安全等級保護自查工作。

網(wǎng)絡(luò)安全等級保護是黨中央、國務(wù)院決定在網(wǎng)絡(luò)安全領(lǐng)域?qū)嵤┑幕緡摺＞W(wǎng)絡(luò)安全等級保護制度是國家網(wǎng)絡(luò)安全工作的基本制度，是實現(xiàn)國家對重要網(wǎng)絡(luò)、信息系統(tǒng)、數(shù)據(jù)資源實施重點保護的重大措施，是維護國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要手段。金融行業(yè)是網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例施行的重點行業(yè)之一，而保險行業(yè)作為金融行業(yè)的重要分支，網(wǎng)絡(luò)安全等級保護工作的開展勢在必行。

近幾年，我國加快了網(wǎng)絡(luò)安全相關(guān)法律法規(guī)和標準規(guī)范的制定和更新，一系列法律、法規(guī)和標準、文件密集發(fā)布、實施，構(gòu)筑起較為完善的網(wǎng)絡(luò)安全監(jiān)管體系。由公安部對網(wǎng)絡(luò)安全等級保護相關(guān)具體的工作出臺了一系列指導意見和規(guī)范。

其中，《計算機信息系統(tǒng)安全保護等級劃分準則》（GB 17859—1999）是強制性國家標準，同時也是等級保護的基礎(chǔ)性標準。在此基礎(chǔ)上制定了技術(shù)類標準、管理類標準和產(chǎn)品類標準，是相關(guān)標準制定的基石。

等級保護工作開展類標準要求主要用于指導網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)安全等級保護工作，一系列的標準可以對定級、備案、建設(shè)整改、等級保護測評和監(jiān)督檢查工作進行指導和參考。

除上述國家級的法律法規(guī)和標準體系外，銀保監(jiān)會針對保險行業(yè)也發(fā)布了一系列網(wǎng)絡(luò)安全相關(guān)監(jiān)管文件，共同構(gòu)成了我國金融保險行業(yè)完善的網(wǎng)絡(luò)安全監(jiān)管體系。

等級保護實施方案的流程解析

構(gòu)建“等級化的安全體系”是等級保護工作的基本理念，旨在根據(jù)不同用戶在等級保護不同等級、不同階段的業(yè)務(wù)特性、安全需求及安全應(yīng)用重點，在等級保護的框架下構(gòu)建一個安全、可靠、靈活、可持續(xù)改進的網(wǎng)絡(luò)安全體系。接下來分別對定級、備案、建設(shè)、測評、運行檢查和其他運維工作這幾個階段的具體實施和工作重點進行介紹。

網(wǎng)絡(luò)定級是實施網(wǎng)絡(luò)安全等級保護的基礎(chǔ)和前提。等級確定的正確與否，直接關(guān)系到網(wǎng)絡(luò)系統(tǒng)的定位、后續(xù)的安全規(guī)劃、安全建設(shè)、安全實施和等級保護工作相關(guān)各方的資源投入。網(wǎng)絡(luò)定級包括定級方法論、定級流程、定級環(huán)節(jié)工作內(nèi)容、定級環(huán)節(jié)主要工作成果四部分構(gòu)成。

網(wǎng)絡(luò)的定級工作須按照“網(wǎng)絡(luò)運營者擬定網(wǎng)絡(luò)安全保護等級、專家評審、主管部門核準、公安機關(guān)審核”的原則進行。網(wǎng)絡(luò)運營者是網(wǎng)絡(luò)安全等級保護的責任主體，根據(jù)所屬網(wǎng)絡(luò)的重要程度和遭到破壞后的危害程度，科學合理確定網(wǎng)絡(luò)的安全保護等級。

定級方法論包括定級要素和定級方法兩部分。首先是定級要素，網(wǎng)絡(luò)的安全保護等級由兩個定級要素決定，分別是等級保護對象受到破壞時所侵害的客體和對客體造成侵害的程度。等級保護對象受到破壞時所侵害的客體包括以下3個方面：一是公民、法人及其他組織的合法權(quán)益；二是社會秩序、公共利益；三是國家安全。對客體的侵害程度由客觀方面的不同外在表現(xiàn)綜合決定。由于對客體的侵害是通過對等級保護對象的破壞實現(xiàn)的，因此，對客體的侵害外在表現(xiàn)為對等級保護對象的破壞，通過危害方式、危害后果和危害程度加以描述。等級保護對象受到破壞后對客體造成侵害的程度有3種：一是造成一般損害；二是造成嚴重損害；三是造成特別嚴重損害。

其次是定級方法，網(wǎng)絡(luò)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全，與之相關(guān)的受侵害客體和對客體的侵害程度可能不同，因此，網(wǎng)絡(luò)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定。從業(yè)務(wù)信息安全角度反映的網(wǎng)絡(luò)安全保護等級稱為業(yè)務(wù)信息安全等級。從系統(tǒng)服務(wù)安全角度反映的網(wǎng)絡(luò)安全保護等級稱為系統(tǒng)服務(wù)安全等級。圖3為網(wǎng)絡(luò)安全定級保護流程。

等級保護定級工作具體內(nèi)容可分為等級保護導入培訓、網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)調(diào)研、網(wǎng)絡(luò)系統(tǒng)輔助定級和定級結(jié)果專家評審四部分。等級保護導入培訓是指普及等級保護的基礎(chǔ)知識，詳解等保項目開展流程、方法、注意事項等內(nèi)容。

網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)調(diào)研是指通過對網(wǎng)絡(luò)系統(tǒng)所承載業(yè)務(wù)及業(yè)務(wù)流程的解讀，分析網(wǎng)絡(luò)系統(tǒng)內(nèi)信息資產(chǎn)和網(wǎng)絡(luò)系統(tǒng)所提供服務(wù)的重要性，協(xié)助用戶判斷網(wǎng)絡(luò)系統(tǒng)中業(yè)務(wù)信息和所提供的服務(wù)機密性、完整性或可用性等安全屬性遭到破壞后，對國家安全利益、經(jīng)濟建設(shè)、公共利益或單位利益所造成的影響程度，為網(wǎng)絡(luò)系統(tǒng)定級打下扎實基礎(chǔ)。

網(wǎng)絡(luò)系統(tǒng)輔助定級是指依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》（GB/T 22240—2020）所提出的4個定級要素，靈活運用指南中所提出的確定網(wǎng)絡(luò)系統(tǒng)安全保護等級的步驟和方法，在網(wǎng)絡(luò)系統(tǒng)業(yè)務(wù)安全性分析的基礎(chǔ)上編寫《定級報告》。

定級結(jié)果專家評審是指針對定級結(jié)果需要邀請公安部、保密局、工信部的等保專家，對《定級報告》進行審定，提供指導意見。以此確保定級結(jié)果的準確性，規(guī)避定級報告在備案過程被網(wǎng)安部門駁回的風險。定級環(huán)節(jié)完成后會形成如下工作成果：《等級保護培訓課程資料》《網(wǎng)絡(luò)系統(tǒng)基本調(diào)研表》和《定級報告》。

第一，成功完成網(wǎng)絡(luò)系統(tǒng)備案工作是開展后續(xù)測評工作的必要前提。網(wǎng)絡(luò)安全等級保護備案工作包括網(wǎng)絡(luò)備案、受理、審核和備案信息管理等。第二級（含）以上網(wǎng)絡(luò)，在安全保護等級確定后30日內(nèi)，由其網(wǎng)絡(luò)運營者或者其主管部門到所在地設(shè)區(qū)的地市級以上公安機關(guān)辦理備案手續(xù)。等級保護備案由備案流程、備案工作內(nèi)容、備案工作成果三部分組成。

備案工作內(nèi)容方面，具體內(nèi)容如下：備案材料準備（根據(jù)網(wǎng)安部門或第三方咨詢機構(gòu)提供的備案材料模板和備案要求指導性文件填寫備案資料）、備案材料提交網(wǎng)安（備案材料和定級材料一起提交網(wǎng)安）和備案號下發(fā)（備案材料提交網(wǎng)安后，等待備案證明頒發(fā)通知，該周期一般二至四周）。

備案工作成果方面，等級保護備案主要工作成果如下：《備案表》、備案證明和其他備案所需的所有材料。

第二，網(wǎng)絡(luò)安全等級保護安全建設(shè)整改工作是網(wǎng)絡(luò)安全等級保護制度的核心和落腳點。網(wǎng)絡(luò)系統(tǒng)定級、等級測評和監(jiān)督檢查等工作最終都要服從和服務(wù)于安全建設(shè)整改工作。該工作分為規(guī)劃設(shè)計階段和實施實現(xiàn)階段。

規(guī)劃設(shè)計階段：安全規(guī)劃設(shè)計是等級保護實施過程中的另一個重要階段，安全規(guī)劃設(shè)計階段的目標是通過等級化風險評估，判斷網(wǎng)絡(luò)系統(tǒng)的安全保護現(xiàn)狀與國家等級保護基本要求之間的差距，確定安全需求，根據(jù)網(wǎng)絡(luò)系統(tǒng)當前情況和安全需求等，設(shè)計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施計劃等，以指導后續(xù)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)工程實施。

實施實現(xiàn)階段：在深入分析系統(tǒng)業(yè)務(wù)安全需求的基礎(chǔ)上，為用戶提供并建立一套符合相應(yīng)等級保護要求的全方位的整體系統(tǒng)安全解決實施方案，方案中不僅包括安全技術(shù)體系的實施，而且包括安全組織體系的設(shè)計和安全管理體系的建立。

等級保護建設(shè)整改工作可分為詳細調(diào)研準備階段、現(xiàn)場調(diào)研實施階段、分析/報告編制階段、整改方案確定階段、產(chǎn)品/策略/制度實施階段和整改成果檢查階段六部分，具體內(nèi)容如下：

詳細調(diào)研準備階段可分為調(diào)研計劃書編制、調(diào)研表單準備和調(diào)研工具準備三部分。調(diào)研計劃書編制包括調(diào)研對象、調(diào)研目標、工作開展依據(jù)、調(diào)研方法、調(diào)研工作內(nèi)容和調(diào)研計劃安排等。調(diào)研表單準備指根據(jù)客戶網(wǎng)絡(luò)系統(tǒng)的實際情況，準備調(diào)研過程中所需要的表單，主要包括《網(wǎng)絡(luò)系統(tǒng)詳細調(diào)研表》《等級保護調(diào)研現(xiàn)場記錄表》等。調(diào)研工具準備指根據(jù)客戶網(wǎng)絡(luò)系統(tǒng)的實際情況，準備調(diào)研過程中所需要的工具，主要包括漏洞掃描工具、滲透測試工具、安全策略驗證測試工具等。

現(xiàn)場調(diào)研實施階段是指嚴格依據(jù)測評中心對網(wǎng)絡(luò)系統(tǒng)的測評方法，開展現(xiàn)場調(diào)研工作。調(diào)研內(nèi)容包括技術(shù)層面和管理層面，技術(shù)層面調(diào)研內(nèi)容包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心；管理層面調(diào)研內(nèi)容包括：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理。最終形成《網(wǎng)絡(luò)系統(tǒng)詳細調(diào)研表》和《等級保護調(diào)研現(xiàn)場記錄表》。另外，依據(jù)測評機構(gòu)對漏洞掃描、滲透測試的要求，在第三方專業(yè)安全公司的協(xié)助下采用專業(yè)工具和人工驗證的方式開展漏洞掃描工作，采用人工的方式開展?jié)B透測試工作。

分析/報告編制階段分為三部分：等保專家分析結(jié)果，形成《網(wǎng)絡(luò)系統(tǒng)調(diào)研差距分析報告》；滲透測試專家形成《漏洞掃描報告》和《滲透測試報告》；等保專家最終形成《網(wǎng)絡(luò)系統(tǒng)等級保護安全建設(shè)方案（初稿）》。整改方案確定階段，通過對《網(wǎng)絡(luò)系統(tǒng)等級保護安全建設(shè)方案（初稿）》進行評審與溝通，最終由第三方安全機構(gòu)的等保專家形成《網(wǎng)絡(luò)系統(tǒng)等級保護安全建設(shè)方案（終稿）》。

產(chǎn)品/策略/制度實施階段包括安全產(chǎn)品采購、安全產(chǎn)品策略配置、安全策略調(diào)整優(yōu)化、安全管理制度編寫和漏洞整改五部分。

整改成果檢查階段是等級保護建設(shè)整改工作的最后階段，此階段根據(jù)整改情況，形成《等級保護調(diào)研現(xiàn)場記錄表（更新版）》，以便于后續(xù)測評中心進場開展測評工作。

最終，等級保護建設(shè)整改工作輸出的成果如下：《網(wǎng)絡(luò)系統(tǒng)詳細調(diào)研表》《等級保護調(diào)研現(xiàn)場記錄表》《網(wǎng)絡(luò)系統(tǒng)調(diào)研差距分析報告》《漏洞掃描報告》《滲透測試報告》《網(wǎng)絡(luò)系統(tǒng)等級保護安全建設(shè)方案（終稿）》《網(wǎng)絡(luò)系統(tǒng)等級保護安全建設(shè)方案（終稿）》《等級保護調(diào)研現(xiàn)場記錄表（更新版）》。

第三，在建設(shè)整改工作完成及備案號下發(fā)后即可以開展等級保護測評工作。根據(jù)等級保護制度規(guī)定，等級保護測評工作需由《網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認證證書》持證測評機構(gòu)進行，測評過程分為預(yù)測評和正式測評。

安全測評分為預(yù)測評和正式測評。預(yù)測評主要針對客戶已定級備案系統(tǒng)執(zhí)行國家標準的安全測評，預(yù)測評交付預(yù)測評問題清單；差距整改完畢后協(xié)助完成系統(tǒng)配置方面的整改。最后進行正式測評，正式測評將按照國家標準和國家公安承認的測評要求、測評過程、測評報告，協(xié)助對客戶已定級備案的系統(tǒng)執(zhí)行系統(tǒng)安全正式測評，正式測評交付具有國家承認的正式測評報告。

網(wǎng)絡(luò)系統(tǒng)安全等級保護測評包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護要求的基本安全控制在網(wǎng)絡(luò)系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析網(wǎng)絡(luò)系統(tǒng)的整體安全性。其中，安全控制測評是網(wǎng)絡(luò)系統(tǒng)整體安全測評的基礎(chǔ)。

安全控制測評使用測評單元方式組織，分為安全技術(shù)測評和安全管理測評兩大類。安全技術(shù)測評包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心五個層面上的安全控制測評；安全管理測評包括：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理五個方面的安全控制測評。

測評對象包括整體網(wǎng)絡(luò)拓撲結(jié)構(gòu)；機房環(huán)境、配套設(shè)施；網(wǎng)絡(luò)設(shè)備：包括路由器、核心交換機、匯聚層交換機等；安全設(shè)備：包括防火墻、IDS/IPS、防病毒網(wǎng)關(guān)等；主機系統(tǒng)（包括操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)）；業(yè)務(wù)應(yīng)用系統(tǒng)；重要管理終端（針對三級以上系統(tǒng)）；安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員、業(yè)務(wù)管理員；涉及系統(tǒng)安全的所有管理制度和記錄。

如圖4所示，等級保護測評實施過程包括測評準備階段、方案編制階段、現(xiàn)場測評階段和分析與報告編制階段共四個階段：

首先是測評準備階段，該階段包括測評項目組組建、項目計劃書編制、網(wǎng)絡(luò)系統(tǒng)調(diào)研、工具和表單準備四部分。測評項目組組建包括明確項目經(jīng)理、測評人員及職責分工。項目計劃書編制包含項目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項目組織等工作。網(wǎng)絡(luò)系統(tǒng)調(diào)研指了解被測系統(tǒng)的詳細構(gòu)成，包括網(wǎng)絡(luò)拓撲、業(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息（服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等）、管理制度等工作。工具和表單準備是指根據(jù)被測系統(tǒng)的實際情況，準備測評工具和各類測評表單。

其次是方案編制階段，該階段包括測評對象確定、測評指標確定、測評工具接入點確定、測評內(nèi)容確定和測評實施手冊開發(fā)五部分。測評對象確定指根據(jù)已經(jīng)了解到的被測系統(tǒng)信息，分析整個被測系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，確定出本次測評的測評對象。測評指標確定是指根據(jù)已經(jīng)了解到的被測系統(tǒng)定級結(jié)果，確定出本次測評的測評指標。測評工具接入點確定是指確定需要進行工具測試的測評對象，選擇測試路徑，并根據(jù)測試路徑確定測試工具的接入點。測評內(nèi)容確定是指確定現(xiàn)場測評的具體實施內(nèi)容，即單元測評內(nèi)容。測評實施手冊開發(fā)是指編制測評實施手冊，詳細描述現(xiàn)場測評的工具、方法和操作步驟等，具體指導測評人員如何進行測評活動。

隨后是現(xiàn)場測評階段，現(xiàn)場測評實際上就是單項測評，分別從技術(shù)上的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心五個層面和管理上的安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理五個方面進行。

最后是分析與報告編制階段，該階段包括單項測評結(jié)果分析、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成和測評報告編制六部分。單項測評結(jié)果分析是指針對測評指標中的單個測評項，結(jié)合具體測評對象，客觀、準確地分析測評證據(jù)。單元測評結(jié)果判定是指將單項測評結(jié)果進行匯總，分別統(tǒng)計不同測評對象的單項測評結(jié)果，從而判定單元測評結(jié)果，并以表格的形式逐一列出。整體測評是指針對單項測評結(jié)果的不符合項，采取逐條判定的方法，從安全控制間、層面間和區(qū)域間出發(fā)考慮，給出整體測評的具體結(jié)果，并對系統(tǒng)結(jié)構(gòu)進行整體安全測評。風險分析是指根據(jù)等級保護的相關(guān)規(guī)范和標準，采用風險分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造成的影響。等級測評結(jié)論形成是指在測評結(jié)果匯總的基礎(chǔ)上，找出系統(tǒng)保護現(xiàn)狀與等級保護基本要求之間的差距，并形成等級測評結(jié)論。測評報告編制是指根據(jù)等級測評結(jié)論，編制測評報告，包括概述、被測系統(tǒng)描述、測評對象說明、測評指標說明、測評內(nèi)容和方法說明、單元測評、整體測評、測評結(jié)果匯總、風險分析和評價、等級測評結(jié)論、整改建議等。

在等級保護測評過程目中，可采用工具測試、配置檢查、人員訪談、文檔審查和實地查看等方法。

工具測試是指利用技術(shù)工具（漏洞掃描工具、滲透測試工具、壓力測試工具等）對系統(tǒng)進行測試，包括基于網(wǎng)絡(luò)探測和基于主機審計的漏洞掃描、滲透測試等。

配置檢查是指利用上機驗證的方式檢查主機、服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)的配置是否正確，是否與文檔、相關(guān)設(shè)備和部件保持一致，對文檔審核的內(nèi)容進行核實（包括日志審計等），測評其實施的正確性和有效性，檢查配置的完整性，測試網(wǎng)絡(luò)連接規(guī)則的一致性，從而測試系統(tǒng)是否達到可用性和可靠性的要求。

人員訪談是指與被測系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取相關(guān)證據(jù)，了解有關(guān)信息。在訪談范圍上，不同等級網(wǎng)絡(luò)系統(tǒng)在測評時有不同的要求，一般應(yīng)基本覆蓋所有的安全相關(guān)人員類型，在數(shù)量上可以抽樣。

文檔審查是指檢查制度、策略、操作規(guī)程、制度執(zhí)行情況記錄等文檔（包括安全方針文件、安全管理制度、安全管理的執(zhí)行過程文檔、系統(tǒng)設(shè)計方案、網(wǎng)絡(luò)設(shè)備的技術(shù)資料、系統(tǒng)和產(chǎn)品的實際配置說明、系統(tǒng)的各種運行記錄文檔）的完整性，以及這些文件之間的內(nèi)部一致性。

實地查看是指通過實地觀察人員行為、技術(shù)設(shè)施和物理環(huán)境狀況，判斷人員的安全意識、業(yè)務(wù)操作、管理程序等方面的安全情況，測評其是否達到了相應(yīng)等級的安全要求。

等級保護測評完成后，需要形成《等級保護測評實施方案（資產(chǎn)收集、測評表）》《等級保護問題清單》《預(yù)測評問題及整改建議》《測評報告》和《備案證明》這些成果。

網(wǎng)絡(luò)系統(tǒng)順利通過測評，最終順利獲取《備案證明》和《測評報告》后，在后續(xù)運行過程中還會面臨網(wǎng)絡(luò)安全、行業(yè)主管部門、上級單位的檢查。除此之外，網(wǎng)絡(luò)運營者須按照《中華人民共和國網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護制度的相關(guān)要求，對網(wǎng)絡(luò)安全工作情況、等級保護工作落實情況進自查，掌握網(wǎng)絡(luò)安全狀況、安全管理制度及技術(shù)保護措施的落實情況等，及時發(fā)現(xiàn)安全隱患和存在的突出問題，有針對性地采取技術(shù)和管理措施。

在等級保護系統(tǒng)運行過程中，需要根據(jù)等級保護制度要求進行安全自查，公安部門、行業(yè)主管部門和上級主管機構(gòu)也會對其所管轄范圍內(nèi)的企業(yè)進行等級保護工作抽查。該部分主要工作內(nèi)容包括：出具《網(wǎng)絡(luò)系統(tǒng)等級保護自查報告》；準備抽查工作所需的材料；回答網(wǎng)絡(luò)安全檢查過程中提問的相關(guān)問題；技術(shù)部分安全策略檢查和調(diào)整；管理制度部分檢查和調(diào)整；等等。

運行檢查階段主要工作成果如下：《網(wǎng)絡(luò)系統(tǒng)等級保護自查報告》、技術(shù)核查和調(diào)整、管理核查和調(diào)整和其他檢查過程中臨時所需的材料。

網(wǎng)絡(luò)系統(tǒng)順利通過測評，最終順利獲取《備案證明》和《測評報告》，不代表安全工作的結(jié)束。為保障客戶網(wǎng)絡(luò)系統(tǒng)與業(yè)務(wù)的正常、安全、穩(wěn)定運行，需要開展常態(tài)化的定期漏洞掃描、定期滲透測試、應(yīng)急響應(yīng)、安全加固及安全培訓等工作。

這是因為，網(wǎng)絡(luò)安全等級保護對于金融企業(yè)來說，是非常重要的一步，但也只是安全建設(shè)的第一步，在安全合規(guī)的基礎(chǔ)上定期進行漏洞掃描、風險評估等相關(guān)安全服務(wù)才能真正保障企業(yè)未來的網(wǎng)絡(luò)安全。金融企業(yè)遭受網(wǎng)絡(luò)攻擊造成巨大損失的案例在國內(nèi)外時有發(fā)生，在業(yè)務(wù)云化，企業(yè)數(shù)字化前進的關(guān)鍵階段，網(wǎng)絡(luò)安全是重要基石，金融企業(yè)最好在第三方安全機構(gòu)的協(xié)助下，每半年開展一次安全加固工作。

網(wǎng)絡(luò)安全形勢越來越嚴峻，金融企業(yè)除了需要完成安全合規(guī)工作，還需要開展相關(guān)的安全意識培訓課程，這樣從信息安全技術(shù)類人員到普通內(nèi)部員工，均可以獲得專業(yè)的安全服務(wù)以及安全意識培訓服務(wù)，從而使企業(yè)全員的安全意識得到提升，讓企業(yè)的網(wǎng)絡(luò)安全得到更有效的保障。

（周道許為清華大學五道口金融學院金融安全研究中心主任，田新遠為北京華清信安科技有限公司CEO，吳盈盈為清華大學五道口金融學院金融安全研究中心研究專員。本文編輯/秦婷）