2018-01-17 15:50

　　大家好，大家知道近些年来，以移动互联网、云计算、大数据等为代表的新兴互联网技术，跟传统金融结合，产生出了一些新的互联网金融业务模式。像P2P、众筹、金融网销、第三方支付、供应链金融等等。互联网金融这些新的模式，一方面提升了金融服务与实体经济的效率，另一方面也是节约了一些服务成本，此外，融合新兴技术传统金融业务也进一步走向了普惠金融。

　　互联网金融业务蓬勃发展，信息安全风险的影响也更加突出。这有一份数据，是对互联网金融行业的一些信息系统面临的安全漏洞进行了总结统计。数据显示，除了常见的比如恶意上传等外部漏洞之外，部分金融平台在业务功能设计也存在严重的风险，比如用户的密码重置等，这些业务的逻辑漏洞会直接影响用户的帐号安全，如果被黑客利用，将会严重影响业务数据安全。

　　从国家层面来讲，网络信息安全被高度重视，去年网络安全法正式发布和实施。网络安全法对网络的运行安全和网络的数据安全都提出了相应的要求规定。其中有一些条款也明确要求要落实网络安全等级保护制度，要求网络运营者要按照网络安全等级保护制度的要求履行一系列的保护义务，包括保护网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露和窃取篡改。

　　网络安全法也提出要建立关键信息基础设施安全保护制度，这里面提出要对包括金融等重要的行业在内的重要领域，以及关系到严重危害国家安全，国计民生或者公共利益的关键信息基础设施。针对这些领域，除了要关注网络安全等级保护制度，还要实行重点的保护。

　　此外，行业的监管部门也提出了相关的信息安全要求，银监会、工信部、公安部、国家网信办联合制定了网络借代中介机构业务活动管理暂行办法，也对P2P的一些企业提出的落实信息安全等级保护的要求，要求P2P的企业按照国家网络相关的规定和制度保护的要求开展信息系统定级备案和等级测试。

　　信息安全等级保护是对一些重要的信息系统要分等级的实行安全保护，对信息安全产品进行等级管理，对系统发生的信息安全事件分等级进行响应处置。

　　信息安全保护工作主要是有五项规定动作，首先是系统定级，要根据系统的重要性去定级。一般是一到五级。之后对定级系统在上级主管单位进行备案。然后根据国家的安全等级保护基本要求对系统进行加固和改进，之后会邀请具有信息安全等级保护测评资质的测评机构进行安全等级测评。监管机构也会通过安全检查的方式持续改进系统安全。

　　具体到系统定级备案，有几个步骤。首先，网络运营者要根据国家标准确定信息系统的定级对象，根据定级对象受到破坏时产生的一些影响，确定信息系统的安全等级保护级别。之后组织专家进行评审，保证等级的科学严谨。确定了信息系统的安全等级保护以后，经过主管部门审批以后，就向所在地区的公安机关办理备案手续，公安机关对备案材料进行审核，对符合要求的信息系统会发放备案证明。

　　定级备案以后，就会请符合规定条件的测评机构对信息系统开展等级测评，三级以上的系统需要每年开展一次测评。测评机构对系统进行测评的时候，通常有一个完整的过程，包括四个阶段。首先，项目启动阶段，会有一些测评的准备工作，之后是根据信息系统测评内容和要求制定详细的测评方案，之后测评机构会派相关的测评人员按照测评方案到现场进行测评实施和测评结果的记录，最后测评机构会根据测评结果进行整理分析，得出一个测评报告。

　　测评机构在测评过程中，主要是采用三种测评方法，访谈、检查、测试，测评人员会引导新系统相关人员进行有目的的沟通交流，取得相关的结果和证据。检查，测评人员会对测评机构的制度文档和设备的相关安全配置等进行查验和分析，得到测试结果。测试，测评机构也会使用专用的安全测试工具，对系统进行测试验证。

　　测评实施方面，测评人员主要是根据等级保护的测评要求还有测评过程指南极国家及行业标准的要求对信息系统进行逐项合规性检查。实施内容包括两方面，一个是技术要求方面的测评，一方面是管理要求的测评。技术方面，包括物理安全、网络安全、主机安全、应用安全、数据安全等等。管理方面，包括安全管理制度、安全管理机构、人员安全管理、系统建设管理要求、系统运维管理要求。

　　具体到技术要求和管理要求列的每个层面，又有具体的测评实施细节，我们把它称之为测试控制项目。具体到一个典型的三级系统，一个完整的测评过程下来，大概需要290个控制项的测试，测试内容还是非常全面的。

　　所有的测试进行完以后，会形成一个测评结论，测评结论主要是分为三种，符合、基本符合、不符合。目前符合的没有，因为符合主要是对新系统测评过程中没有发现安全问题，大多数测评系统一般都是会存在一些安全问题，但是这些安全问题不会面临一些高级风险。所以大多数的新系统测评结论基本符合，还有一些系统如果达不到安全要求，比如存在一些高危漏洞风险，这样的系统不符合要求。

　　随着移动互联网、云计算、大数据等在互联网金融中的应用，互联网金融对等级保护测评也提出新的要求，所以目前等级测评也进入了2.0时代，2.0时代等级测评主要解决云计算、移动互联、物联网大数据等方面的安全问题。

　　目前国家也针对等级保护测评制定新的标准规范，如果我们把之前的旧版标准规范理解为内容测评通用要求，对比新版标准的变化。在安全测评通用要求基础上增加了安全测评的扩展要求，这些扩展要求主要是针对云计算、移动互联、物联网核工业控制系统提出了特殊安全测评要求。

　　这里总结了一下测评内容的变化。首先，不管被测的新系统形态怎么样，必须要使用安全测评通用要求进行全面的测评。如果新系统还使用了云计算、大数据、移动互联等新的技术，还需要再使用相对应的安全测评扩展要求进行测评。以一个云计算平台测评来举例，云计算平台既要使用安全测评要求进行测评，此外又要同时使用云计算安全测评要求进行测评，这个就是新的测评规范的思路。

　　新形势下，测评对象也发生了变化，传统的测评对象主要是针对计算机信息系统和基础信息网络，新的测评对象又扩展了，像云计算平台使用移动互联的信息系统也纳入进来。

　　这里面以一个云计算平台的测评为例，总结了测评对象的变化。比如说网络和通信安全的测评方面，传统测评对象主要包括传统的网络设备，传统的安全设备，传统的网络结构等等。针对云计算平台，除了传统的网络结构网络安全设备等等，还增加了虚拟化的网络结构，虚拟化的安全设备等等。在设备和计算安全方面，云计算平台增加了虚拟的网络设备和虚拟的安全设备，物理机、虚拟机、云管理平台等等方面的内容。在具体的测评数量方面，也大幅度增加了。测评报告里，新的要求除了展示安全通用要求的测评结果，也会把安全扩展要求测评结果进行统计分析。