金融行业增强安全保护类(F类)要求是在结合等级保护及金融行业相关规定的基础上进行补充和完善。使得本实施指引更贴近金融行业的特点及需求,更容易理解和落实。

新增F类要求及其新增安全控制点理解如下:

物理物理安:

物理安全部分新增F类要求18项,主要对银行业金融机构信息机房的物理安全防护提出了相关要求,考虑到金融行业信息机房的特点,如:各类系统及各类设备数量较多,能耗较大,第三方维护人员出入较频繁等。F类要求主要是对原有要求的补充、提高及细化,如电力供应中对UPS冗余方式的要求、对配电系统及电力供应线缆材质的要求等

网络安全:

网络安全部分新增F类要求7项,主要对网络访问控制及网络设备防护提出了相关要求,F类强化了原有要求的力度的同时细化了要求策略,如对最小化访问原则的要求、配置的备份、服务端口的进一步细化、时钟同步等

主机安全:

主机安全部分新增F类要求3项,分别对主机身份鉴别、恶意代码防范、资源控制提出了相关要求,包括对服务器身份鉴别及远程管理时信息防窃听,服务器专机专用及病毒监控中心的细化要求

应用安全:

应用安全部分新增F类要求6项,主要对金融行业重要业务系统的安全防护提出了相关要求,这部分的F类要求体现了金融业务系统对防探测、防***方面的考虑,比如:软件容错中细化要求了“应能够有效屏蔽系统技术错误信息,不将系统产生的错误信息直接反馈给客户。”此项尤其体现了下一步对于业务系统防外部侵害的行业监管要求。

数据安全及备份恢复:

数据安全及备份恢复部分新增F类要求3项,主要对数据的备份与恢复相关要求进行了细化,包括对同城、异地数据备份中心的距离要求,对备份数据的可靠性测试,尤其对异地备份中心恢复环境定义了“就绪状态”及“运行状态”进行了明确的定义。

安全管理部分

安全管理部分五大层面共新增F类要求 86 项,从F类要求占得比重就可以看出行业监管对于下一步落实“金融风险防控体系”的决心及力度。由于金融行业对于信息化系统的依赖程度较高,目前基本建立了以“安全产品、安全策略、安全中心”为一体的安全技术防控手段,下一步的监管重心将侧重于提高各金融机构的安全管理水平,将行业安全管理水平提高到一个新的高度。

金融行业增强安全保护类要求的出台,对于国家信息安全等级保护制度在金融行业的落地起到了很好的促进作用,体现了下一步行业合规性监管的力度和侧重点,所以我们考虑在本次项目实施过程中验证等级保护符合性的同时重点落实行业的合规性监管要求。