李明：有效落實《網路安全法》才能推動金融業蓬勃發展

　　中國網財經11月30日訊 日前，“2020北京國際金融安全論壇”在北京召開，公安部資訊安全等級保護評估中心主任助理李明在會上表示，《網路安全法》以及等級保護制度的升級，為我們提供了一個很好的契機，無論是從法律要求，還是我們自身需求，我們都應該去落實它，強化金融業自身的安全，只有安全的金融科技，才能夠有效地推動整個金融産業的蓬勃發展。

　　以下為演講內容：

　　李明：很高興有這個時間和機會，和各位交流一下，如何來落實等級保護制度。應該説這幾年大家應該也清楚地認識到，無論是從國際上，還是國內來看，我們的網路安全形勢還是比較嚴峻的，從金融業內部自己來看，儘管相對來説金融行業的網路安全工作比較好，但是因為有金融科技的創新，也有現在所提倡的數字化轉型，這些新的業務、新的形態，其實也是在不斷對我們産生一些新的挑戰。所以，無論是綜合從外還是從內來看，金融科技面臨的局面還是非常嚴峻的。

　　在這種情況下，尤其是現在國家又在提新基建、新金融，像今天提的內容一樣，在這種情況下，如何來應對這種挑戰呢？等級保護工作是很好的內容。從年初到現在，整個等級保護工作，從制度和標準體系上，已經完成了升級工作，也為我們的金融科技安全，網路安全工作提供了很好的切入點和把手。

　　大家可以看到，無論是從《網路安全法》，還是前段時間公安部頒布的196號文件，為金融行業來落實等級保護工作，或者是以等級保護工作為抓手，提升整個網路安全保障工作提供了很好的指導意義，明確指出了六項工作，後面我會進一步展開。

　　這六項工作裏面，深化定級備案和同步安全建設是我們整個工作當中的重中之重，如何來開展呢？我就結合整個標準體系裏面的兩個核心標準，定級指南和基本要求給大家解讀一下，如何落實等級保護工作。

　　首先，定級指南這個標準，要深化定級備案工作，沒有規矩不成方圓，這個規矩就是定級指南，定級指南與之前的標準相比，主要有三個變化，希望大家注意。

　　1、對象擴充。《網路安全法》把網路安全工作的範疇界定為網路空間，而且資訊技術也推升了新的業務形態，等級保護的工作對象不僅僅有資訊系統和網路，延伸到現在新技術、新應用出來的雲計算、物聯網、大數據等等這些新的業態，所以大家要注意這一點。

　　2、因為對象擴充了，所以對它的方法，怎樣來確定對象，如何確定它的級別，方法也進行了升級。

　　3、流程日趨完善，這也是回答大家實際工作當中，定級工作是不是按照我自己的理解定一個級別就行？回答是非常明確的。一個完整的定級工作流程，包括了確定定級對象、初步確定等級、專家評審、主管部門核準、備案審核這5個環節。

　　這裡面我為了幫助大家理解這三個變化，有這樣一個圖，這是對象的擴充，等級保護對象由前兩個傳統的對象，擴充為後面這些比較特殊的數據資源，後面我會再展開。

　　前面我也提到了，一個完整的等級保護工作有5個步驟，對於這5個步驟，提出4個要求幫助大家理解怎麼落實這5個步驟。

　　1、完成定級備案工作的時候，要注意定級的時機，千萬不要等到系統要上線了，再去考慮定級，這是錯誤的。在項目立項之初，開展建設之前，你就要完成定級工作，否則你對象不全，級別確定不準，很明顯可以知道，你的需求就錯了，需求錯了，後面的開發、整合，包括你的管理體系的建設，全都是錯的。《網路安全法》裏面明確要求的“三同步”就成為了空中樓閣，所以大家一定要注意，定級備案工作的第一點，時機非常重要。

　　2、對象要全，劃分要合理。因為我們有這麼多新的形態對象，所以大家一定要注意這一點，對象一定要全，面向一個單位整體的梳理，既有老的業態，也有新的業態，這裡面等級保護對象一定要全。

　　3、級別要準確。確定對象的基礎上，我們要全面分析它們的功能，服務的對象、服務的地域以及關鍵數據的情況，綜合來確定級別。

　　4、定級的流程。前面也提到了，從第1步到第5步，只有完成了公安機關的備案審核，出具了備案證明之後，你的這個定級工作才完成，這個時候，你確定的級別才是所有後續工作的依據。大家一定要注意，第2步，初步確定的等級不是你最終的級別，如果在專家評審或者是備案審核中，出現不一致的情況，我們作為網路的運營者，一定要慎重對待。

　　以上這4個要求裏，主要還是定級對象的劃分這一點，大家會存在一些疑惑，尤其是新對象，這裡面我舉幾個例子，比如説對雲計算，對於雲計算的劃分，我們有兩大原則，第一原則是什麼？兩個視角的切分，平臺和租戶不要混在一起，所以我們的第一原則，就是雲服務客戶側的等級保護對象和雲服務商側的雲計算平臺要單獨定級，各管一套。二是對於進一步細分，如果公有雲，大型的雲平臺，你可以繼續將基礎設施、輔助平臺切分，對於更複雜的雲平臺來講，因為它要提供不同的服務模式，比如説IaaS、SaaS、PaaS要分別定級，否則對於雲客戶來講，他不知道怎樣選擇一個合理的平臺。這裡我用一個圖像的形式，因為雲的場景裏面特別複雜，所以我這裡僅僅是舉了一個公有雲提供IaaS服務的圖形，我們的定級是這樣的。雲平臺、雲租戶，如果在公有雲的場景下，可能有不同的雲租戶，可以根據不同的安全責任主體進一步切分，這是要注意的。

　　第二個，尤其是在新金融裏會遇到的移動互聯，對於移動互聯來講，大家要注意的就是“三要素”，移動終端、移動應用、無線網路，這“三要素”是要統一，不能切分。當然這個要根據實際情況，統一起來是要和傳統的IT部分統一定級，還是可以獨立，這要根據實際情況分析，但是無論在哪種場景下，這三個要素都是不能夠單獨定級的，千萬不能説我一個App的終端去定一個級別，那是不對的。

　　另外要提一點的就是數據資源，尤其是在大數據應用越來越廣泛的情況下，一般場景下，我們可以把大數據、大數據平臺，像這個例子，大數據的應用、大數據的資源，統一定級。但是隨著現在新技術，或者是新的商務模式的推廣，數據資源和系統單位，甚至於處理它的工具是日趨剝離的，所以在極特殊的情況下，比如説這三者的安全責任主體不一致的情況下，我們是要求數據資源獨立定級，對於定級對象的確定，這裡有三個形態，我單獨説一下。

　　當我們完成定級工作之後，接下來很重要的一項工作就是安全建設，對於安全建設，首先看一下這個標準，你一定要依據標準來走，這個標準就是基本要求，全稱就是《網路安全等級保護基本要求》，編號是2239。這個標準與以前08版的標準相比，有三個升級，一是對象擴充，接下來兩個非常重要的點，架構的統一和能力的提升。第一個要點，是因為跟著整個《網路安全法》的規定，對象擴充了，所以我的要求也擴充，但是在增強上面，我們是有兩個，大家可以看這張PPT，給了大家一個演示，我們如何從當初的層次模型轉回現在的架構統一，這個架構也是為了更好地體現新的標準所要求的“一中心、三重防護”，並不是説2008年這個模型不好，而在於我們現在等級保護2.0里面，已經完成了08版的時候，怎樣把一個標準和對象做一個簡單對應的工作，我們現在更加強調的是怎樣更加完整、更加強地構建一個彈性的網路安全體系，這個時候我們“一中心、三重防護”這種模型可以更好地體現我們的需求。

　　因為時間的關係，標準我就不再展開，這裡面為了幫助大家理解，我提出了六個要點，具體落實基本要求，可以從這六個點來走。

　　1、優化網路結構。對應的標準是這兩個條款(安全通信網路、安全區域邊界)，一是要有一個縱深，優化網路結構最終目標就是要實現縱深的防禦，這裡面可以細分為兩個要求，一是整體結構上是劃區域的，區域之間採用可靠的技術隔離，從而能夠實現縱深。二是收縮邊界，邊界應該有一個可靠的，受控的介面，而且我們這個收縮後的邊界，你要有措施來保證它是完整的，不被繞過的，這一點特別重要。近兩年，一再出現這種情況，而且我覺得這一點對於我們金融機構來説尤其重要，因為我們金融機構有一個特點，縱向來看有總部和分支，橫向來講，我們要和不同的部委，不同的商業機構橫向互聯互通。所以，邊界的問題對於我們來講尤其關鍵。如果我們做不好這些，後面所有的工作都是白廢。第一點，優化網路結構是所有安全建設工作的起點和基礎。

　　2、在這個基礎上關注的第二點，要有關鍵設備的加固，如果沒有邊界的突破，就沒有後續的一系列的實踐，但是這個邊界的加固不是那麼簡單，我們要做到幾件事情。一是身份的鑒別，二是安全的配置，三是實現精準的情報結合，我們發現漏洞的時候，就要修補，只有做到這個之後，我們才可以説，我們的邊界守住了，從攻防的角度，最外面的這一道防線守住了。

　　3、到了應用和數據，這裡我們要做好數據的分類分級，基於數據的分類分級做好防控。這裡面我要額外多説一句，因為我們現在有一些新的技術路線出來，但是大家一定要注意，千萬不要把所謂新的理念、路線、體系，與舊有的體系，以前已經行之有效的體系對立起來，比如説零信任，當然還有一些其他的思路，我們一定要做好新舊的銜接，千萬不要再説新的體系還沒有正常運作，比如説零信任裏面，你的動態決策，動態的授權還沒有實現的時候，我就把邊界已經解除掉了，這些做法都是錯誤的，我們一定要注意循序漸進。同樣的，我們控制應用和數據還要注意到另外一個，軟體的開發，綜合考慮開發之初，就要利用編碼的部分、編碼的規範、安全的審計、包括商業滲透測試等等，綜合保證代碼之初應用是安全的，再保證數據的安全，這是第三點。

　　4、彈性的安全體系非常重要的是什麼？是響應，前面我們也提到安全理念裏面，第一點，安全不是靜態，它是動的，如果我要針對一個動態的場景做好安全，及時發現安全威脅就是必不可少的，這裡面我們要做好監測態勢，尤其是對於新型的網路攻擊，不要簡單地布一個IDS或者是IPS，我們要注意邊界防好之後，橫向移動很重要的是什麼？就是情報、態勢和行為分析，綜合這些手段來實現及時對安全威脅的應對。

　　5、所有的這些工作都離不開集中管理，大家回想一下，我做一個強制防控，或者説我要構建一個態勢感知平臺，甚至於我要做一個零信任的體系，繞不過的是什麼？繞不過的是一個統一的策略，我們的安全管理中心，所以大家一定要注意，所有的前面的工作，我都是要建立在安全管理中心的集中管控基礎之上的，這裡面我們需要重點地關注統一的策略，統一的監測，統一的分析，只有這樣，我才能夠構建前面提到的整體安全。

　　到這兒為止，大家可以看到，前面的5點都是什麼？都是在往外看，一個不太健康的體系，需要借助外力來包裝它，當做完這些之後，打一個不恰當的比方，就如同我在沙地上建了一棟樓，前面5項工作都是在不斷加固樓的門、加固樓的窗，但是我的地基不行，第6點，也是新版的等保體系裏面特別強調的一點，我們要採用可信計算技術，從邊界設備到應用等等，一層一層的，從硬體到軟體，到數據，來構建整個的可信的防禦體系。只有這樣，這個體系才是真正可以滿足需求的。

　　當然了，一個真正有效的安全體系，在現在的場景下，僅僅靠一個單位的力量是不夠的，所以我最後的建議是，希望每一個獨立的網路安全運營者，把我們自己的安全防護體系與整個國家的、行業的網路安全防護體系融合在一起，通過構建一些情報共用，通報聯動，聯合指揮等等這些體系，把我們自己的小體系融到整個國家的綜合防控的大體系當中，大家一起來構建，這樣才能夠真正實現在一個複雜、嚴峻的網路空間裏面，保證我們自己的安全。所以，《網路安全法》以及等級保護制度的升級，為我們提供了一個很好的契機，無論是從法律要求，還是我們自身需求，我們都應該去落實它，強化金融業自身的安全，只有安全的金融科技，才能夠有效地推動整個金融産業的蓬勃發展。

　　以上是我今天分享的全部內容，謝謝大家。