数字经济发展下的金融网络安全等级保护方案的实施与评价

周道许 田新远 吴盈盈

近年来，政企数字化转型，推动了数字安全概念升级、落地。数字时代的安全，不仅要防范网络中断和系统瘫痪等风险，保障“线上”网络系统安全，更要进一步保障“线下”经济社会运行秩序稳定。本文将从《网络安全法》中要求的安全合规角度探讨金融行业网络安全的发展趋势，就金融行业网络安全合规下如何开展安全工作进行了深入的讨论和研究。

金融保险网络安全与合规现状

随着网络攻击方式的不断演进，网络安全形势不容乐观。具体表现为：一方面，网络攻击事件频发，对社会稳定、生产运行、人民生活造成深远影响；另一方面，新技术、新场景的网络威胁日益增多，利用安全漏洞实施链式攻击更加频繁。即便是安全防御提升，加大了网络攻击难度，但网络攻击者可通过多种手段设法“规避”“绕过”网络安全防线，达到网络攻击入侵目的。尤其是在利益驱动下，网络攻击目标更加精准，攻击者趋于瞄准“高价值”目标。

《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等多部重磅法律条例的颁布，标志着我国在网络安全、数据安全、个人信息保护、关键信息基础设施保护等重点领域迎来了有法可依、有章可循的新时代。与此同时，行业监管部门积极落实国家网络安全监管要求，先后制定出台联合规章和管理规定，并且持续加大网络安全执法力度。

《网络安全法》配套文件逐渐出台后，金融保险行业监管部门开始出台实施细则以指导具体实践，适应新的业务使用场景。2019年4月16日，中国人民银行发布的2019年规章制定工作计划，已经制定12项规章，其中个人金融信息保护、客户身份识别、消费者权益保护等相关法律法规备受关注，包括《个人金融信息（数据）保护试行办法》和《中国人民银行金融消费者权益保护实施办法》。2019年3月7日，国务院国有资产监督管理委员会发布了新版《中央企业负责人经营业绩考核办法》，其中增加了对网络安全事件的考核要求，极大地增强了相关企业负责人的网络安全意识并增加网络安全相关的投入。

后疫情时代，金融保险行业均在寻求业务转型和创新式发展，许多组织正在筹划新一轮基础性建设。如果网络安全被排除在预算之外，那么未来几年网络威胁将不可避免地持续增长。故此，金融保险行业应切实考虑将网络安全产品采购纳入计划，使网络安全成为数字化转型的推动力量，以确保为组织转型升级保驾护航。本文仅在网络安全法和网络安全等级保护制度框架下，讨论金融保险企业面临的网络安全合规问题和实施实践。

网络安全等级保护及保险行业政策标准概述

“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统，包括网络设施、信息系统、数据资源等。网络安全等级保护是指对网络（含信息系统、数据）实施分等级保护、分等级监管，对网络中使用的网络安全产品实行按等级管理，对网络中发生的安全事件分等级响应、处置。

对网络安全和保险行业的了解是研究金融保险网络安全的前置条件，只有熟悉了我国网络安全等级及保险行业相关政策和标准，才能更好地理解与制定金融保险网络等级保护实施方案。图1为网络安全等级保护体系框架。

网络安全已经上升到国家安全战略高度，没有网络安全就没有国家安全，就没有经济社会的稳定运行。在此背景下，网络运营者、行业主管部门和网络安全职能部门有责任和义务开展网络安全顶层设计，落实有关网络安全保护措施，提高网络安全综合保护能力。

网络安全等级保护是对网络进行分等级保护、分等级监管，是将信息网络、信息系统、网络上的数据和信息，按照重要性和遭受损坏后的危害性分成五个安全保护等级（从第一级到第五级，逐级增高）；等级确定后，第二级（含）以上网络到公安机关备案，公安机关对备案材料和定级准确性进行审核，审核合格后颁发备案证明；备案单位根据网络的安全等级，按照国家标准开展安全建设整改，建设安全设施、落实安全措施、落实安全责任、建立和落实安全管理制度；选择符合国家要求的测评机构开展等级测评；公安机关对第二级网络进行指导，对第三、第四级网络定期开展监督、检查。

网络安全等级保护工作主要包括五个环节，分别是定级、备案、建设整改、等级测评和监督检查（如图2所示）。定级是指网络运营者自行开展网络的安全等级保护工作，并组织召开专家评审会，专家对初步定级结果的合理性进行评审，出具专家评审意见，并将初步定级结果上报行业主管部门进行审核。备案是指网络运营者将网络定级材料递交公安机关进行备案，公安機关对定级材料进行审核，并给符合要求（定级准确、符合要求、材料齐全）的网络发放备案证明。建设整改是指网络运营者根据网络的安全保护等级，按照对应等级的国家标准开展差距分析和安全建设整改工作。等级测评是指网络运营者选择符合国家规定条件的测评机构，对第二级以上的网络开展等级测评，测评机构在测评完成后对符合要求的网络运营者出具测评报告。监督检查是指，公安机关对网络运营者的网络安全等级保护工作的情况和网络的安全状况开展执法检查。网络运营者需要每年开展网络安全等级保护自查工作。

网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策。网络安全等级保护制度是国家网络安全工作的基本制度，是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施，是维护国家关键信息基础设施的重要手段。金融行业是网络安全等级保护制度和关键信息基础设施安全保护条例施行的重点行业之一，而保险行业作为金融行业的重要分支，网络安全等级保护工作的开展势在必行。

近几年，我国加快了网络安全相关法律法规和标准规范的制定和更新，一系列法律、法规和标准、文件密集发布、实施，构筑起较为完善的网络安全监管体系。由公安部对网络安全等级保护相关具体的工作出台了一系列指导意见和规范。

其中，《计算机信息系统安全保护等级划分准则》（GB 17859—1999）是强制性国家标准，同时也是等级保护的基础性标准。在此基础上制定了技术类标准、管理类标准和产品类标准，是相关标准制定的基石。

等级保护工作开展类标准要求主要用于指导网络运营者开展网络安全等级保护工作，一系列的标准可以对定级、备案、建设整改、等级保护测评和监督检查工作进行指导和参考。

除上述国家级的法律法规和标准体系外，银保监会针对保险行业也发布了一系列网络安全相关监管文件，共同构成了我国金融保险行业完善的网络安全监管体系。

等级保护实施方案的流程解析

构建“等级化的安全体系”是等级保护工作的基本理念，旨在根据不同用户在等级保护不同等级、不同阶段的业务特性、安全需求及安全应用重点，在等级保护的框架下构建一个安全、可靠、灵活、可持续改进的网络安全体系。接下来分别对定级、备案、建设、测评、运行检查和其他运维工作这几个阶段的具体实施和工作重点进行介绍。

网络定级是实施网络安全等级保护的基础和前提。等级确定的正确与否，直接关系到网络系统的定位、后续的安全规划、安全建设、安全实施和等级保护工作相关各方的资源投入。网络定级包括定级方法论、定级流程、定级环节工作内容、定级环节主要工作成果四部分构成。

网络的定级工作须按照“网络运营者拟定网络安全保护等级、专家评审、主管部门核准、公安机关审核”的原则进行。网络运营者是网络安全等级保护的责任主体，根据所属网络的重要程度和遭到破坏后的危害程度，科学合理确定网络的安全保护等级。

定级方法论包括定级要素和定级方法两部分。首先是定级要素，网络的安全保护等级由两个定级要素决定，分别是等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度。等级保护对象受到破坏时所侵害的客体包括以下3个方面：一是公民、法人及其他组织的合法权益；二是社会秩序、公共利益；三是国家安全。对客体的侵害程度由客观方面的不同外在表现综合决定。由于对客体的侵害是通过对等级保护对象的破坏实现的，因此，对客体的侵害外在表现为对等级保护对象的破坏，通过危害方式、危害后果和危害程度加以描述。等级保护对象受到破坏后对客体造成侵害的程度有3种：一是造成一般损害；二是造成严重损害；三是造成特别严重损害。

其次是定级方法，网络安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，网络定级也应由业务信息安全和系统服务安全两方面确定。从业务信息安全角度反映的网络安全保护等级称为业务信息安全等级。从系统服务安全角度反映的网络安全保護等级称为系统服务安全等级。图3为网络安全定级保护流程。

等级保护定级工作具体内容可分为等级保护导入培训、网络系统业务调研、网络系统辅助定级和定级结果专家评审四部分。等级保护导入培训是指普及等级保护的基础知识，详解等保项目开展流程、方法、注意事项等内容。

网络系统业务调研是指通过对网络系统所承载业务及业务流程的解读，分析网络系统内信息资产和网络系统所提供服务的重要性，协助用户判断网络系统中业务信息和所提供的服务机密性、完整性或可用性等安全属性遭到破坏后，对国家安全利益、经济建设、公共利益或单位利益所造成的影响程度，为网络系统定级打下扎实基础。

网络系统辅助定级是指依据《信息安全技术网络安全等级保护定级指南》（GB/T 22240—2020）所提出的4个定级要素，灵活运用指南中所提出的确定网络系统安全保护等级的步骤和方法，在网络系统业务安全性分析的基础上编写《定级报告》。

定级结果专家评审是指针对定级结果需要邀请公安部、保密局、工信部的等保专家，对《定级报告》进行审定，提供指导意见。以此确保定级结果的准确性，规避定级报告在备案过程被网安部门驳回的风险。定级环节完成后会形成如下工作成果：《等级保护培训课程资料》《网络系统基本调研表》和《定级报告》。

第一，成功完成网络系统备案工作是开展后续测评工作的必要前提。网络安全等级保护备案工作包括网络备案、受理、审核和备案信息管理等。第二级（含）以上网络，在安全保护等级确定后30日内，由其网络运营者或者其主管部门到所在地设区的地市级以上公安机关办理备案手续。等级保护备案由备案流程、备案工作内容、备案工作成果三部分组成。

备案工作内容方面，具体内容如下：备案材料准备（根据网安部门或第三方咨询机构提供的备案材料模板和备案要求指导性文件填写备案资料）、备案材料提交网安（备案材料和定级材料一起提交网安）和备案号下发（备案材料提交网安后，等待备案证明颁发通知，该周期一般二至四周）。

备案工作成果方面，等级保护备案主要工作成果如下：《备案表》、备案证明和其他备案所需的所有材料。

第二，网络安全等级保护安全建设整改工作是网络安全等级保护制度的核心和落脚点。网络系统定级、等级测评和监督检查等工作最终都要服从和服务于安全建设整改工作。该工作分为规划设计阶段和实施实现阶段。

规划设计阶段：安全规划设计是等级保护实施过程中的另一个重要阶段，安全规划设计阶段的目标是通过等级化风险评估，判断网络系统的安全保护现状与国家等级保护基本要求之间的差距，确定安全需求，根据网络系统当前情况和安全需求等，设计合理的、满足等级保护要求的总体安全方案，并制定出安全实施计划等，以指导后续的网络系统安全建设工程实施。

实施实现阶段：在深入分析系统业务安全需求的基础上，为用户提供并建立一套符合相应等级保护要求的全方位的整体系统安全解决实施方案，方案中不仅包括安全技术体系的实施，而且包括安全组织体系的设计和安全管理体系的建立。

等级保护建设整改工作可分为详细调研准备阶段、现场调研实施阶段、分析/报告编制阶段、整改方案确定阶段、产品/策略/制度实施阶段和整改成果检查阶段六部分，具体内容如下：

详细调研准备阶段可分为调研计划书编制、调研表单准备和调研工具准备三部分。调研计划书编制包括调研对象、调研目标、工作开展依据、调研方法、调研工作内容和调研计划安排等。调研表单准备指根据客户网络系统的实际情况，准备调研过程中所需要的表单，主要包括《网络系统详细调研表》《等级保护调研现场记录表》等。调研工具准备指根据客户网络系统的实际情况，准备调研过程中所需要的工具，主要包括漏洞扫描工具、渗透测试工具、安全策略验证测试工具等。

现场调研实施阶段是指严格依据测评中心对网络系统的测评方法，开展现场调研工作。调研内容包括技术层面和管理层面，技术层面调研内容包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心；管理层面调研内容包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。最终形成《网络系统详细调研表》和《等级保护调研现场记录表》。另外，依据测评机构对漏洞扫描、渗透测试的要求，在第三方专业安全公司的协助下采用专业工具和人工验证的方式开展漏洞扫描工作，采用人工的方式开展渗透测试工作。

分析/报告编制阶段分为三部分：等保专家分析结果，形成《网络系统调研差距分析报告》；渗透测试专家形成《漏洞扫描报告》和《渗透测试报告》；等保专家最终形成《网络系统等级保护安全建设方案（初稿）》。整改方案确定阶段，通过对《网络系统等级保护安全建设方案（初稿）》进行评审与沟通，最终由第三方安全机构的等保专家形成《网络系统等级保护安全建设方案（终稿）》。

产品/策略/制度实施阶段包括安全产品采购、安全产品策略配置、安全策略调整优化、安全管理制度编写和漏洞整改五部分。

整改成果检查阶段是等级保护建设整改工作的最后阶段，此阶段根据整改情况，形成《等级保护调研现场记录表（更新版）》，以便于后续测评中心进场开展测评工作。

最终，等级保护建设整改工作输出的成果如下：《网络系统详细调研表》《等级保护调研现场记录表》《网络系统调研差距分析报告》《漏洞扫描报告》《渗透测试报告》《网络系统等级保护安全建设方案（终稿）》《网络系统等级保护安全建设方案（终稿）》《等级保护调研现场记录表（更新版）》。

第三，在建设整改工作完成及备案号下发后即可以开展等级保护测评工作。根据等级保护制度规定，等级保护测评工作需由《网络安全等级测评与检测评估机构服务认证证书》持证测评机构进行，测评过程分为预测评和正式测评。

安全测评分为预测评和正式测评。预测评主要针对客户已定级备案系统执行国家标准的安全测评，预测评交付预测评问题清单；差距整改完毕后协助完成系统配置方面的整改。最后进行正式测评，正式测评将按照国家标准和国家公安承认的测评要求、测评过程、测评报告，协助对客户已定级备案的系统执行系统安全正式测评，正式测评交付具有国家承认的正式测评报告。

网络系统安全等级保护测评包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在网络系统中的实施配置情况；二是系统整体测评，主要测评分析网络系统的整体安全性。其中，安全控制测评是网络系统整体安全测评的基础。

安全控制测评使用测评单元方式组织，分为安全技术测评和安全管理测评两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面上的安全控制测评；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面的安全控制测评。

测评对象包括整体网络拓扑结构；机房环境、配套设施；网络设备：包括路由器、核心交换机、汇聚层交换机等；安全设备：包括防火墙、IDS/IPS、防病毒网关等；主机系统（包括操作系统和数据库系统）；业务应用系统；重要管理终端（针对三级以上系统）；安全管理员、网络管理员、系统管理员、业务管理员；涉及系统安全的所有管理制度和记录。

如圖4所示，等级保护测评实施过程包括测评准备阶段、方案编制阶段、现场测评阶段和分析与报告编制阶段共四个阶段：

首先是测评准备阶段，该阶段包括测评项目组组建、项目计划书编制、网络系统调研、工具和表单准备四部分。测评项目组组建包括明确项目经理、测评人员及职责分工。项目计划书编制包含项目概述、工作依据、技术思路、工作内容和项目组织等工作。网络系统调研指了解被测系统的详细构成，包括网络拓扑、业务应用、业务流程、设备信息（服务器、数据库、网络设备、安全设备、数据库等）、管理制度等工作。工具和表单准备是指根据被测系统的实际情况，准备测评工具和各类测评表单。

其次是方案编制阶段，该阶段包括测评对象确定、测评指标确定、测评工具接入点确定、测评内容确定和测评实施手册开发五部分。测评对象确定指根据已经了解到的被测系统信息，分析整个被测系统及其涉及的业务应用系统，确定出本次测评的测评对象。测评指标确定是指根据已经了解到的被测系统定级结果，确定出本次测评的测评指标。测评工具接入点确定是指确定需要进行工具测试的测评对象，选择测试路径，并根据测试路径确定测试工具的接入点。测评内容确定是指确定现场测评的具体实施内容，即单元测评内容。测评实施手册开发是指编制测评实施手册，详细描述现场测评的工具、方法和操作步骤等，具体指导测评人员如何进行测评活动。

随后是现场测评阶段，现场测评实际上就是单项测评，分别从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面进行。

最后是分析与报告编制阶段，该阶段包括单项测评结果分析、单元测评结果判定、整体测评、风险分析、等级测评结论形成和测评报告编制六部分。单项测评结果分析是指针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据。单元测评结果判定是指将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果，并以表格的形式逐一列出。整体测评是指针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。风险分析是指根据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。等级测评结论形成是指在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。测评报告编制是指根据等级测评结论，编制测评报告，包括概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、整改建议等。

在等级保护测评过程目中，可采用工具测试、配置检查、人员访谈、文档审查和实地查看等方法。

工具测试是指利用技术工具（漏洞扫描工具、渗透测试工具、压力测试工具等）对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透测试等。

配置检查是指利用上机验证的方式检查主机、服务器、数据库、网络设备、安全设备、应用系统的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），测评其实施的正确性和有效性，检查配置的完整性，测试网络连接规则的一致性，从而测试系统是否达到可用性和可靠性的要求。

人员访谈是指与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级网络系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。

文档审查是指检查制度、策略、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档）的完整性，以及这些文件之间的内部一致性。

实地查看是指通过实地观察人员行为、技术设施和物理环境状况，判断人员的安全意识、业务操作、管理程序等方面的安全情况，测评其是否达到了相应等级的安全要求。

等级保护测评完成后，需要形成《等级保护测评实施方案（资产收集、测评表）》《等级保护问题清单》《预测评问题及整改建议》《测评报告》和《备案证明》这些成果。

网络系统顺利通过测评，最终顺利获取《备案证明》和《测评报告》后，在后续运行过程中还会面临网络安全、行业主管部门、上级单位的检查。除此之外，网络运营者须按照《中华人民共和国网络安全法》和网络安全等级保护制度的相关要求，对网络安全工作情况、等级保护工作落实情况进自查，掌握网络安全状况、安全管理制度及技术保护措施的落实情况等，及时发现安全隐患和存在的突出问题，有针对性地采取技术和管理措施。

在等级保护系统运行过程中，需要根据等级保护制度要求进行安全自查，公安部门、行业主管部门和上级主管机构也会对其所管辖范围内的企业进行等级保护工作抽查。该部分主要工作内容包括：出具《网络系统等级保护自查报告》；准备抽查工作所需的材料；回答网络安全检查过程中提问的相关问题；技术部分安全策略检查和调整；管理制度部分检查和调整；等等。

运行检查阶段主要工作成果如下：《网络系统等级保护自查报告》、技术核查和调整、管理核查和调整和其他检查过程中临时所需的材料。

网络系统顺利通过测评，最终顺利获取《备案证明》和《测评报告》，不代表安全工作的结束。为保障客户网络系统与业务的正常、安全、稳定运行，需要开展常态化的定期漏洞扫描、定期渗透测试、应急响应、安全加固及安全培训等工作。

这是因为，网络安全等级保护对于金融企业来说，是非常重要的一步，但也只是安全建设的第一步，在安全合规的基础上定期进行漏洞扫描、风险评估等相关安全服务才能真正保障企業未来的网络安全。金融企业遭受网络攻击造成巨大损失的案例在国内外时有发生，在业务云化，企业数字化前进的关键阶段，网络安全是重要基石，金融企业最好在第三方安全机构的协助下，每半年开展一次安全加固工作。

网络安全形势越来越严峻，金融企业除了需要完成安全合规工作，还需要开展相关的安全意识培训课程，这样从信息安全技术类人员到普通内部员工，均可以获得专业的安全服务以及安全意识培训服务，从而使企业全员的安全意识得到提升，让企业的网络安全得到更有效的保障。

（周道许为清华大学五道口金融学院金融安全研究中心主任，田新远为北京华清信安科技有限公司CEO，吴盈盈为清华大学五道口金融学院金融安全研究中心研究专员。本文编辑/秦婷）