正在播放欧美-真实的国产乱xxxx在线91-真实的国产乱xxxx在线-真人一级毛片免费-免费av播放-免费99精品国产自在在线

?
公司新聞
當前位置: 首頁 > 新聞中心 > 公司新聞 > 明朝萬達:證監會兩項標準催生金融行業數據安全新需求 返回
明朝萬達:證監會兩項標準催生金融行業數據安全新需求
發布時間:2021-09-23 打印 字號:

      2021年8月30日,證監會網站發布了《證券期貨業網絡安全等級保護基本要求》(JR/T 0060—2021)、《證券期貨業網絡安全等級保護測評要求》(JR/T 0067—2021)兩項行業標準,并于公布之日起施行。

      兩項標準對于證券期貨業進一步落實好網絡安全等級保護工作相關要求,特別是對數據安全管理方面,具有十分重要的意義。


 

發布背景

      2019年5月,國家開展網絡安全等級保護工作的指導性文件--《網絡安全等級保護基本要求》(GB/T 22239—2019)和《網絡安全等級保護測評要求》(GB/T 28448—2019)正式發布。

      證券期貨業作為國家網絡安全重點保護對象,需要適合的證券期貨業網絡安全等級保護標準體系作為支撐,以規范和指導證券期貨業等級保護工作的實施。針對證券期貨業具有信息化程度高、業務持續性要求高、對系統的容量和處理能力要求高的特點,行業發布了《證券期貨業信息系統安全等級保護基本要求(試行)》(JR/T 0060—2010)、《證券期貨業信息系統安全等級保護測評要求(試行)》(JR/T 0067—2011)。

      但隨著云計算、大數據等新技術的廣泛應用,原標準內容已不能更好的滿足證券期貨業網絡安全等級保護需求。因此,為有效指導和規范證券期貨業網絡安全等級保護工作,證監會依據國家網絡安全等級保護相關標準,對證券期貨業相關標準進行了修訂,形成了《證券期貨業網絡安全等級保護基本要求》(JR/T 0060—2021)、《證券期貨業網絡安全等級保護測評要求》(JR/T 0067—2021)。

 

標準解讀

      《證券期貨業網絡安全等級保護基本要求》(JR/T 0060—2021)、《證券期貨業網絡安全等級保護測評要求》(JR/T 0067—2021)2項標準規定了證券期貨業網絡安全等級保護的總體要求和等級測評方法,是等保2.0在證券期貨行業的具體落地,體現出了證券行業的特殊要求。

      其中,以等保2.0三級安全要求為例,新標準針對安全審計及數據保密性等方面進行了細化(新標準中細化和調整的內容在下文中“標紅”示意)。


一、安全審計

a) 應啟用安全審計功能, 審計覆蓋到每個用戶, 對重要的用戶行為和重要安全事件進行審計:

1、 如審計功能開啟影響系統運行安全和效率, 應采用第三方安全審計產品實現審計要求;

2、 用戶行為應至少包括用戶登錄、 用戶退出、 超時鎖定、 用戶凍結和解凍、 增刪用戶、 權限變更、 口令修改或重置等操作;

b) 審計記錄應包括事件的日期和時間、 事件類型、 主體標識、 客體標識和結果等;

c) 應對審計記錄進行保護, 定期備份, 避免受到未預期的刪除、 修改或覆蓋等:

1、 應采取必要的措施, 對審計記錄存儲空間進行管理, 當存儲空間發生異常時應進行報警;

2、審計記錄的時間應由系統范圍內唯一確定的時鐘產生;

d) 應對審計進程進行保護, 防止未經授權的中斷。“安全審計”這一小節,要求安全審計功能的范圍覆蓋到每個用戶,細化了安全審計功能中用戶行為的操作權限,安全審計功能必須具備審計記錄存儲和存儲空間預警的功能,確定了審計記錄時間生成的唯一性。 


二、數據保密性

本條款要求包括:

a) 應采用密碼技術保證重要數據在傳輸過程中的保密性, 包括但不限于鑒別數據、 重要業務數據和重要個人信息等; 應用系統若通過互聯網、 衛星網傳輸鑒別數據、 重要業務數據和重要個人信息等應采取加密方式;

b) 應采用密碼技術保證重要數據在存儲過程中的保密性, 包括但不限于鑒別數據、 重要業務數據和重要個人信息等。“數據保密性”這一小節,強調重要業務數據和個人信息在傳輸過程中的保密性,要求通過互聯網、衛星網傳輸的鑒別數據、 重要業務數據和重要個人信息必須加密方式傳輸。


三、集中管控

本條款要求包括:

a) 應劃分出特定的管理區域, 對分布在網絡中的安全設備或安全組件進行管控;

b) 應能夠建立一條安全的信息傳輸路徑, 對網絡中的安全設備或安全組件進行管理;

c) 應對網絡鏈路、 安全設備、 網絡設備和服務器等的運行狀況進行集中監測;

d) 應對分散在各個設備上的審計數據進行收集匯總和集中分析, 審計記錄的留存時間應符合法律法規要求:

1、應采取必要的措施, 對審計記錄存儲空間進行管理, 當存儲空間發生異常時應進行報警;

2、應對審計記錄進行保護, 定期備份, 避免受到未預期的刪除、 修改或覆蓋等;

3、3、審計記錄的留存時間應至少為 6 個月;

4、應能夠根據記錄數據進行分析, 并生成審計報表;

5、5、審計記錄的時間應由系統范圍內唯一確定的時鐘產生, 以保證在時間上的一致性;

e) 應對安全策略、 惡意代碼、 補丁升級等安全相關事項進行集中管理;

f) 應能對網絡中發生的各類安全事件進行識別、 報警和分析;

g) 系統范圍內的時間應由唯一確定的時鐘產生, 以保證各種數據的管理和分析在時間上的一致性。“集中管控”這一小節中,細化了審計數據的收集匯總和集中分析功能,要求對審計記錄存儲空間進行管理,對審計記錄應定期備份,并且明確審計記錄的保留時間為6個月,在各個設備上的審計數據收集匯總后能夠集中分析,生成審計報表,以及確定了審計記錄時間生成的唯一性。

 

解決方案

       針對此次證監會發布的2項金融行業標準中關于安全審計、數據保密性及集中管控等相關要求和建設標準,如何結合既有的網絡安全防護機制保證關鍵基礎信息系統的數據安全,防止重要數據泄漏成為重中之重。

      明朝萬達以數據安全為核心、自主可控的國密算法應用技術為基礎,研發的Chinasec(安元)數據安全系列產品及解決方案,覆蓋數據產生、存儲、交換、使用等全生命周期重要環節,實現對服務器、數據庫、PC終端、移動終端以及網絡通信的全IT架構下數據安全的協同聯動管理,打造企業級的數據安全防護體系。


一、集中監控與審計

      Chinasec(安元)安全集中監控與審計系統是一款以用戶行為數據為驅動的安全分析類產品,該產品通過多設備、多環節、多角度的關聯分析手段,解決企業的內部威脅問題。

      產品以用戶視角采集終端、主機、業務應用等多種類型數據,進行企業內部人員異常行為的探索發現和風險人員的精準定位:

· 對用戶行為進行持續審計、跟蹤并進行風險預警;

· 依據相應的數據審計、跟蹤結果,可與對應的業務系統進行策略聯動,進一步的控制用戶行為;

· 提供相應的數據分析能力,以及相應的報告能力;

· 包含多種規則和策略模型,檢測各種用戶異常行為,通過深鉆和關聯促進分析結果更加準確,及時應對各類用戶諸如越權訪問、數據泄漏、主動數據竊取等安全威脅。

      產品支持多級部署、級聯監控,能夠收集各級接入系統上報的安全事件和業務運行信息,對信息進行存儲、分析、展示和響應控制,達到企業信息網安全運行集中監測和管理的目的,對企業信息網內部的數據和應用服務進行保護。

      產品從技術層面為用戶提供異常行為安全分析支撐,從制度方面促進信息系統的規范化管理,幫助客戶提高數據安全管理效率、防范信息泄漏導致的風險,是新一代的動態分析和防御利器。


二、數據安全管理

      Chinasec(安元)數據安全管理系統,以“防內為主、內外兼防”為理念,通過認證、加密、監控、追蹤等手段,對傳統 PC 終端和移動終端提供文檔加密、身份認證、安全接入、應用保護、訪問控制等全方位的安全防護。采用 C/S 架構和 B/S 架構相結合,內外網互通的架構思路,對網絡安全和數據安全提供全 IT 架構的多套解決方案,針對敏感數據提供全生命周期的安全管理和審計。將安全防護貫穿于數據產生、訪問、傳輸、使用和銷毀的過程中,真正實現事前安全管理、事后行為審計。

400-650-8968

主站蜘蛛池模板: 幼儿歌曲颠倒歌| 吻胸吃胸激情舌吻| 福音电影| 中国汉字大全20000个| 芝加哥警署第九季| 张子恩| 浣肠アナル地狱| 韦伦| 演员李崇霄的个人资料| 新三国第95集完整版| 降魔的| r1se成员| 太医派的开胃汤配方| 践行者| 怀孕吃什么| 电车男| 桥梁工程施工方案| 猫小帅三十六计| 李轻扬| 珠帘玉幕剧情介绍| 乱世危情电视剧演员表| 财富天下| 彭丹三级裸奶视频| 浙江卫视周一至周五节目表| 台湾1895| 莫恭明| 李坤忆| 思想理论问题| 杜丽莎| 阿尔法电影| 小熊购物教学反思| 菊花开| 乔治克鲁尼身高| 我记得你| 美女写真视频网站| 男骑女| 抖音官网| 赤月| 流浪地球2演员表| 澳门风云2演员表| 三年片在线观看电影在线观看大全|