移动互联和记娱乐

和记娱乐主页 > 移动互联 >

能信安马小龙:等保20时代 移动支付等保合规怎

发布时间:2020-03-31 08:32 发布人:和记娱乐 来源:和记h88

  今年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,网络安全等级制度2.0标准(以下简称“等保2.0”)正式发布,并将于今年12月1日正式实施。施行等保是《网络安全法》的企业义务,如果拒不履行将会受到相应的行政处罚,甚至有可能因“拒不履行信息网络安全管理义务罪”遭事处罚。

  在即将到来的等保2.0时代,如何解读相关标准文件?又有哪些重点内容需要注意?11月5日,在2019第四届中国移动金融安全大会上,能信安信息技术总监马小龙以《等保2.0时代金融行业移动互联安全合规解决方案》为题分享了能信安对等保2.0的合规探索。

  马小龙指出,等保2.0不是单一标准,而是一系列标准,每份标准的作用并不相同。在等保2.0系列标准中,《网络安全等级基本要求》、《网络安全等级设计技术要求》和《网络安全等级测评要求》三个标准是核心标准,分别解释了等保2.0要做什么、怎么做和做的怎么样三个问题。对于企业而言,《网络安全等级基本要求》和《网络安全等级设计技术要求》两个标准需要仔细研读。

  在等保2.0中,原有的安全要求全面升级,云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“安全通用要求+新型应用安全扩展要求”的要求内容。马小龙解释说,在全新的安全要求下,等保2.0合规,需要首先满足安全通用要求,再根据对象的形态、功能满足安全扩展要求。两者相加构成完整的安全要求,从而满足等保2.0的合规要求。

  马小龙认为,通过对等保2.0标准的分析,移动互联安全的对象包括移动应用、无线网络和移动终端。在当前的网络安全下,这三个对象都面临着非常大的安全风险。

  在应用安全方面,应用程序漏洞大量催生、违法违规App数量不断增加、恶意代码规模稳定增长。尤其是针对个人信息的违法违规行为已经成为一种普遍现象,成为网信、等监管部门重点整治的对象。

  在终端安全方面,由于系统自身的开源性和碎片化,造成安全漏洞较多的情况。因此相比较iOS系统,系统成为了目前黑灰产的主要目标。系统漏洞、恶意代码和高风险应用是终端面临的主要安全风险。

  马小龙表示,企业无线网络带来的安全风险最高,也最容易被。由于无线网络不通过有形介质很容易受到钓鱼和中间人等,另外非授权热点外联和非授权设备接入非常难以防范,很容易在有意或无意中发生数据泄露事件。

  针对上述风险,马小龙给出了以等保2.0移动互联安全合规要求为依据,安全检测为驱动、安全加固为保障、安全防护为核心的移动互联安全合规解决方案设计思。检测发现问题,加固解决问题,防护长期保障。

  目前App安全是社会的热点、监管的重点、企业的痛点,在App当中移动支付类App的安全则是直接关系用户个人金融信息安全和账户财产安全。马小龙认为,在移动支付场景下终端安全和无线网络安全都处于不可控状态下,安全需求只能通过App安全防护解决。

  支付应用安全包括客户端安全、用户身份安全、通信安全、数据安全等多方面内容。检测方案包括漏洞检测、行为检测和内容检测。马小龙特意强调了SDK检测,他表示,从实际的APP检测工作情况分析,引入第三方SDK给APP带来的风险非常大。

  在安全加固方面,马小龙认为应该分为两个层面,第一个层面为针对漏洞逆向工程的对抗,防止恶意、调试,App安全;另一层面为加强用户身份认证的技术控制,通过人工智能与生物识别技术的配合,提高用户身份识别的风险控制能力。

  在分享最后,马小龙对移动办公场景下的安全解决方案和合规重点做出了介绍。相比较移动支付,移动办公的应用安全、终端安全、无线网络安全都处于可控状态,因此解决方案需要同时覆盖这三个方面,针对不同情形进行特别防护。

      和记娱乐,和记h88,h88平台官网