2019中国金融科技产业峰会丨郑州商品交易所王孝伟：网络安全等级保护工作实践与展望

2019（第二届）中国金融科技产业峰会于10月31日——11月1日在北京国际会议中心隆重召开。在11月1日下午召开的“金融业网络信息安全”分论坛上，郑州商品交易所网络安全高级经理王孝伟做了《网络安全等级保护工作实践与展望》分享。

非常荣幸在这里分享我们在网络安全等级保护中的实践与展望！

易盛信息技术有限公司是我们郑商所的全资子公司，面向期货市场提供信息基础服务，主要业务包括国内外行情及报盘软件和行业托管。汇报内容主要有四部分：

一、网络安全等级保护制度介绍

回顾网络安全等级保护制度的发展历程。刚才毕马宁主任是等保方面的权威，我们也多次邀请毕主任去郑商所做讲课，受益匪浅，在这对他表示感谢。

1994年，国务院颁布中华人民共和国计算机信息系统安全等级保护条例，提出计算机信息系统需要实行等级保护。

1999年，计算机信息系统安全等级保护划分准则正式发布。

2003年，中央办公厅、国务院办公厅颁布《关于加强信息安全保障工作的意见》，明确做等级保护，重点是基础信息网络和关系国家安全、社会稳定等方面的重要信息系统。

2004年，四部委先后发布《信息安全等级保护管理办法》。

2008年，发布了信息系统安全等级保护定级指南基本要求、测评要求以及设计技术要求。

2016年，国家正式发布了《网络安全法》，将明确国家实行网络安全等级保护制度，将等保上升到法律制度。

2019年，我们看到等保2.0正式出台。

自2008年等保1.0发布之后，证券期货业陆续在落实这方面的工作。2009年由证监会牵头，行业相关专家对等保基本要求根据行业信息系统的特点做了细化，也是对等保工作更好的落实。在此基础上，于2011年发布行业标准《证券期货业信息系统安全等级保护基本要求》。我们近几年等保工作主要依据来源于行业标准，这个标准是在不降低国家基本要求标准的基础上对行业标准的一个细化。

这是基于证券期货业信息系统的“三高”特点：

第一，  信息化程度高。现在信息化越来越普及了，是最早在国内使用电子化交易的系统。

第二，  业务持续性要求高，不管做期货交易还是证券交易，不能说分秒必争，现在精确到微秒。

第三，  对信息系统的能量和处理能力要求高。如果大家听华锐讲分布式系统，也能感觉到现在的竞争都已经到纳秒了。

正是基于这样的特点，有行业标准的产生。

我们这几年的工作是依据行业标准、国家标准进行等保的定级、备案、测评、整改的循环往复的过程。

二、郑商所等保工作开展情况

因为证监会一向非常重视网络安全工作，2007年证监会组织专家对行业重要信息系统进行定级评审。郑商所有两个系统，一个是交易业务系统，就是实时交易撮合系统，这是定级为等保三级；第二个是互联网服务同时，这主要是面向互联网的，包括网站对会员提供服务以及咨询的系统，这是等保二级。

2009年，我们根据会里的定级审核意见完成了定级备案，并在当地公安机构进行了备案。后续我们按照相关要求开展测评，从2010年开始测评，按照等保的要求，对于三级系统每年有第三方测评机构进行现场测评。二级系统是以内部测评为主、外部机构测评为辅。每年测评的结论都是基本符合达到相应的安全等级保护的要求。当然，每年也在不断进步，符合项会越来越多，不符合项会越来越少。

三、郑商所等保工作实践经验

这是我们目前信息系统的总体情况，也正在向虚拟化、云计算方向去发展。

基础部分包括：机房环境、主机、数据库、网络通信以及网络安全设施。

九大运营系统包括：交易撮合、结算交割、市场监察、会员服务、统一开户、银企通、数据保送、仓户管理、门户网站等。

另外是综合运用、监控系统以及运维管理系统，对基础环境、应用系统进行综合监控和管理。

这是信息系统区域架构，是根据信息系统重要程度以及系统间耦合关系，对运营系统做区域划分。区域间是综合运用，包括防火墙、网闸这些手段安全设备进行区域的访问控制，网闸主要是在互联网和内部交易的一个区域的安全隔离。之前向互联网上提供服务应用比较简单、单一、少，现在随着相关技术的发展，互联网上提供的服务越来越多，所以我们在互联网方面面对的安全威胁也是越来越多，也是我们共同面对的一个需要下一步去处理的事情。

这是我们落实信息系统备份能力“两地三中心”运营架构，“两地”指的是郑州和上海。原来我们异地灾备是在深圳，今年刚迁移到上海张江。郑州是两个主备中心，目前主中心在技术中心，备中心是在技术大厦，两中心间通过多条运营商的多条裸纤进行互联，目前处理能力基本对等。上海异地灾备中心做到了运用级的备份。

这是我们信息安全管理，主要依据两大标准，“预防为主、分级保护、安全可控、持续改进”。策略也是根据基本要求，对主机、应用、网络、终端等各方面做一个管控。

等保2.0提出物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，从这方面也是符合要求。

技术措施从两个维度：从信息系统组成来看包括：终端、数据、应用、系统、网络物理；横向包括：防护、检测、备份、审计。

我们加强日常安全技术检测包括三方面：

一是常规安全检测，主要体现在日常的、每日的、每月的和每季度的安全工作中。

二是互联网这块，包括第三方安服、安全监测、风评、渗透测试要、请家教响应。

三是行业对我们工作的检查和考核，每年证监会会组织行业网络安全专家对行业核心机构进行网络安全的专项检查，每年这个检查基本上是两个方面，一个是合规，另外一个是技术测试。

应急管理也是我们网络安全管理中的重要组成部分，主要从六方面开展：

第一，  制度保障，制定应急预案。

第二，  组织架构。我们从上到下对这个工作都非常重视，由所领导任组长，下面有各个主要中层为成员，并且明确相关的职责。

第三，  明确相关的处置的流程以及处置方式。

第四，  编制具体的应急操作的手册。

第五，演练，我们的演练有多层次，每年内部演练至少2次，全市场演练每年不低于2次，目前又加强日常演练，演练场景来源于应急预案里场景每天随机去抽，在测试环境进行演练。第六，每年组织全市场演练，邀请网信办、公安部专家进行现场指导督导。

四、郑商所等保2.0新标准的特点理解以及下一步工作努力方向的展望

（一）等保2.0发布之后，相信大家都经过了多轮的学习和指导，我们觉得有三个方面的特点：

（编辑：上饶站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!