今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级保护制度2.0标准(以下简称“等保2.0”)正式发布,并将于今年12月1日正式实施。施行等保是《网络安全法》明文规定的企业义务,如果拒不履行将会受到相应的行政处罚,甚至有可能因“拒不履行信息网络安全管理义务罪”遭受刑事处罚。
在即将到来的等保2.0时代,如何解读相关标准文件?又有哪些重点内容需要注意?11月5日,在2019第四届中国移动金融安全大会上,能信安信息技术总监马小龙以《等保2.0时代金融行业移动互联安全合规解决方案》为题分享了能信安对等保2.0的合规探索。
等保2.0安全要求全面升级
马小龙指出,等保2.0不是单一标准,而是一系列标准,每份标准的作用并不相同。在等保2.0系列标准中,《网络安全等级保护基本要求》、《网络安全等级保护设计技术要求》和《网络安全等级保护测评要求》三个标准是核心标准,分别解释了等保2.0要做什么、怎么做和做的怎么样三个问题。对于企业而言,《网络安全等级保护基本要求》和《网络安全等级保护设计技术要求》两个标准需要仔细研读。
在等保2.0中,原有的安全要求全面升级,云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。马小龙解释说,在全新的安全要求下,等保2.0合规,需要首先满足安全通用要求,再根据保护对象的形态、功能满足安全扩展要求。两者相加构成完整的安全要求,从而满足等保2.0的合规要求。
移动互联安全风险来自三个方面
马小龙认为,通过对等保2.0标准的分析,移动互联安全的保护对象包括移动应用、无线网络和移动终端。在当前的网络安全环境下,这三个保护对象都面临着非常大的安全风险。
在应用安全方面,应用程序漏洞大量催生、违法违规App数量不断增加、恶意代码规模稳定增长。尤其是针对个人信息保护的违法违规行为已经成为一种普遍现象,成为网信、公安等监管部门重点整治的对象。
在终端安全方面,由于安卓系统自身的开源性和碎片化,造成安全漏洞较多的情况。因此相比较iOS系统,安卓系统成为了目前黑灰产的主要攻击目标。系统漏洞、恶意代码和高风险应用是终端面临的主要安全风险。
马小龙表示,企业无线网络带来的安全风险最高,也最容易被攻击。由于无线网络不通过有形介质传播很容易受到钓鱼和中间人等攻击,另外非授权热点外联和非授权设备接入非常难以防范,很容易在有意或无意中发生数据泄露事件。
针对上述风险,马小龙给出了以等保2.0移动互联安全合规要求为依据,安全检测为驱动、安全加固为保障、安全防护为核心的移动互联安全合规解决方案设计思路。检测发现问题,加固解决问题,防护长期保障。
移动杉德畅刷官网安全合规该怎么做?
目前App安全是社会的热点、监管的重点、企业的痛点,在App当中移动杉德畅刷官网类App的安全则是直接关系用户个人金融信息安全和账户财产安全。马小龙认为,在移动杉德畅刷官网场景下终端安全和无线网络安全都处于不可控状态下,安全需求只能通过App安全防护解决。
杉德畅刷官网应用安全包括客户端安全、用户身份安全、通信安全、数据安全等多方面内容。检测方案包括漏洞检测、行为检测和内容检测。马小龙特意强调了SDK检测,他表示,从实际的APP检测工作情况分析,引入第三方SDK给APP带来的风险非常大。
在安全加固方面,马小龙认为应该分为两个层面,第一个层面为针对漏洞逆向工程的攻击对抗,防止恶意篡改、调试,保证App安全;另一层面为加强用户身份认证的技术控制,通过人工智能与生物识别技术的配合,提高用户身份识别的风险控制能力。
在分享最后,马小龙对移动办公场景下的安全解决方案和合规重点做出了介绍。相比较移动杉德畅刷官网,移动办公的应用安全、终端安全、无线网络安全都处于可控状态,因此解决方案需要同时覆盖这三个方面,针对不同情形进行特别防护。
杉德畅刷是杉德支付网络服务发展有限公司总部直属推出的手机POS机品牌,目前市场上的杉德畅刷Mpos的2.0模式系统-杉德畅刷管家已经逐步占领市场!杉德畅刷官网提供杉德畅刷的全国加盟代理服务,详情请联系官网客服!