安全企业谈等保2.0(五)云端互联网金融业务的安全要求及解决方案
编者按
互联网金融业务系统上云后的安全是当下热点,本文梳理了等级保护云计算安全和非银行金融机构安全监管这两方面的合规性要求,将两者加以融合、针对其主要的安全问题和需求,提出云端互联网金融的安全防护、安全检测和安全监测三大类措施与安全服务解决方案。
正文
目前,公有云的建设发展成为互联网时代的风向标,如阿里云、亚马逊等建立的公有云规模增长迅速。在移动互联网发展推波助澜之下,依托移动互联网开展P2P网贷、线上理财、消费金融、三方支付业务的企业为了享受公有云提供的快捷、弹性架构,从而纷纷将应用系统部署到云上。
web应用防护系统首先,合规要求方面,《信息系统安全等级保护基本要求云计算扩展要求》(以下简称“《云等保》”)定义云计算服务带来了“云主机”等虚拟计算资源,将传统IT环境中信息系统运营、使用单位的单一安全责任转变为云租户和云服务商双方“各自分担”的安全责任。这点明确了企业
作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。2016年12月银监会发布了188号文,《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(以下简称“《指导意见》”),对信托公司和金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司等非银行金融机构信息科技建设、信息科技风险防范提出了要求。《指导意见》第五章节指出“加强网络区域划分和隔离;通过部署防病毒、防攻击、防篡改、防泄密、防抵赖等措施提升系统抵御内外部攻击破坏的能力;”。对于云上应用系统的安全防护明确提出了安全建设要求。
其次,参考安全咨询机构对于2002年至2017年3月之间公开报道的敏感信息泄露案例的数据分析发现:
■ 敏感信息泄露呈现上升趋势——泄露手段从以黑客入侵等技术手段为主向技术手段与收买内部员工、内部管理不善等非技术手段结合并用发展,特别是对非技术手段的运用,近几年呈现出较快速的增长,企业对可能的应用系统攻击行为没有安全检测防护措施。
■ 敏感信息泄露涉及行业广泛——重点集中在互联网、制造业、政府机构及金融行业,特别是互联网行业信息泄露事件呈现高速增长趋势,需要引起警惕。
■ 敏感信息泄露的追责难度大——基于IP的审计,难以准确定位责任人,难以将IP地址与具体人员身份准确关联,导致发生安全事故后,追查责任人成为新的难题。
由此,安全威胁与应用安全风险与企业业务经营如影随形。应用系统部署到云上的企业需要考虑在公有云上应用系统的安全防护解决思路。
绿盟科技建议从满足合规要求作为起点,业务在“云上”的企业都需要符合《云等保》安全要求,非银行金融机构接受国家主管单位合规监管,未持牌开展业务或违规经营将会后果严重。同时,为了达到业务正常开展需要的安全防护水平,安全服务也应纳入,解决应用系统安全检测和安全监测需要。
1.合规要求
依据《信息系统安全等级保护基本要求云计算扩展要求》,明确定义了云租户侧的等级保护对象也应作为单独的定级对象定级。云计算系统的定级对象在原有定级对象基础上进行了扩展,原有定级对象主要是信息系统和相关基础网络,而云计算将定级对象扩展为云服务商的云平台和云租户的应用系统。云计算系统定级时,云服务商的云平台和云租户的应用系统应
分别定级,云平台等级应不低于应用系统的安全保护等级。这点明确了企业作为云租户,其应用系统都需要定级且符合对应等级安全控制措施要求。
对照等保二级要求,应至少部署防火墙、堡垒机达到控制措施要求;对照等保三级要求,应至少部署入侵防护、防火墙、堡垒机、数据库审计达到控制措施要求。对于云端租户的安全需求,客户可以方便地从云服务提供商的云市场中进行选购和安装。对有线下服务需求的企业,如专家版服务,可以结合线上线下服务的组合。
《指导意见》第五章节中提出“……加强系统安全漏洞和补丁信息的监测、收集和评估,确保及时发现和处置重大安全隐患。……”漏洞管理工作应该是信息安全工作的重中之重,漏洞生命周期管理不仅仅涉及漏洞自身的发现、评估和修复,同时还牵涉漏洞情报信息的获取,组织漏洞管理基线的建立和应急处置工作。改变传统的以IP信息为视角的资产管理方法,从安全的角度重新审视资产信息,从资产的业务功能、服务对象、版本信息、安全防范措施等方面建立安全资产信息,从安全的角度管理资产脆弱性。当出现安全漏洞时,不仅需要考虑漏洞的风险等级,还需要结合资产安全信息,不同资产相同漏洞区别对待,体现业务对漏洞的差异性,真正实现差异化漏洞管理策略,从而实现漏洞管理能力的提高。
《指导意见》第五章节中提出“……开展应用系统安全检测,对等通过互联网提供服务的系统,在上线及重大投产变更前进行渗透测试,杜绝系统‘带病’上线。……”应用系统在上线后由于存在类似SQL注入、密码明文传输、安全功能缺失等漏洞而遭受攻击,会直接影响正常业务运行,甚至造成经济和名誉的损失。因此,需要在系统上线前对系统安全状况进行检验,从信息安全的角度对应用系统、集成环境等内容的安全状况进行评估,对发现的问题进行妥善处理,避免将影响系统安全的问题遗留到系统上线后,成为系统安全的隐患。
为了满足《云等保》和等保三级要求,部署在公有云上的企业应至少选择防火墙云服务(支持入侵防御)、网站安全防护服务(vWAF)、堡垒机云服务和数据库监控与审计服务。
非银行金融机构需要同时满足《指导意见》要求,其上云应用系统应选择安全检测服务和安全监测服务。
2.安全保障需求
先回顾近期某互联网公司发生的信息安全案例,公司内部员工对公司200余台服务器植入木马,该木马具备远程控制和对外DDoS攻击功能。这意味着外部人员可远程控制这些服务器
做流量攻击,进而导致被攻击的服务器瘫痪。目前,此事已在法院宣判。至案发时,内部员工获利2万余元,但对于企业的经济和名誉损失就相当巨大。不少互联网企业都发生过类似案件,但没有安全检测和安全监测手段,无法及时发现漏洞和安全问题。有的企业虽能锁定具体账户,但无法锁定到具体个人,加之留存的证据不多,事情就不了了之。
信息安全CIA三要素(机密、完整、可用)应当在定义安全保障需求时统一考虑,对开展理财、支付、保险等金融业务的企业更应关注金融资料的保护,如银行账户信息、扣款账号、保险数据,避免信息被篡改或外泄。
因而,为了达到业务正常开展需要的安全防护水平,需要定期开展安全检测和持续有效安全监测服务,云上应用系统更应被纳入,解决应用系统安全需要。
3.云上安全防护措施
防火墙云服务
以虚拟化形态部署防火墙,适用于多种虚拟化平台,使管理员可以快速高效地调配和扩展防火墙。企业所要选择的服务需要支持应用识别、入侵防御、内容过滤、URL过滤、VPN等,
且这些增值功能授权费用应该一并考虑,如IPSEC VPN 、SSL VPN的授权并发连接数量是否满足企业日常需求。包含必要增值功能的防火墙才是有效的安全服务。
发表评论