2019（第二屆）中國金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業網絡信息安全”分論壇上，鄭州商品交易所網絡安全高級經理王孝偉做了《網絡安全等級保護工作實踐與展望》分享。

非常榮幸在這里分享我們在網絡安全等級保護中的實踐與展望！

易盛信息技術有限公司是我們鄭商所的全資子公司，面向期貨市場提供信息基礎服務，主要業務包括國內外行情及報盤軟件和行業托管。匯報內容主要有四部分：

一、網絡安全等級保護制度介紹

回顧網絡安全等級保護制度的發展歷程。剛才畢馬寧主任是等保方面的權威，我們也多次邀請畢主任去鄭商所做講課，受益匪淺，在這對他表示感謝。

1994年，國務院頒布中華人民共和國計算機信息系統安全等級保護條例，提出計算機信息系統需要實行等級保護。

1999年，計算機信息系統安全等級保護劃分準則正式發布。

2003年，中央辦公廳、國務院辦公廳頒布《關于加強信息安全保障工作的意見》，明確做等級保護，重點是基礎信息網絡和關系國家安全、社會穩定等方面的重要信息系統。

2004年，四部委先后發布《信息安全等級保護管理辦法》。

2008年，發布了信息系統安全等級保護定級指南基本要求、測評要求以及設計技術要求。

2016年，國家正式發布了《網絡安全法》，將明確國家實行網絡安全等級保護制度，將等保上升到法律制度。

2019年，我們看到等保2.0正式出臺。

自2008年等保1.0發布之后，證券期貨業陸續在落實這方面的工作。2009年由證監會牽頭，行業相關專家對等?；疽蟾鶕袠I信息系統的特點做了細化，也是對等保工作更好的落實。在此基礎上，于2011年發布行業標準《證券期貨業信息系統安全等級保護基本要求》。我們近幾年等保工作主要依據來源于行業標準，這個標準是在不降低國家基本要求標準的基礎上對行業標準的一個細化。

這是基于證券期貨業信息系統的“三高”特點：

第一，  信息化程度高。現在信息化越來越普及了，是最早在國內使用電子化交易的系統。

第二，  業務持續性要求高，不管做期貨交易還是證券交易，不能說分秒必爭，現在精確到微秒。

第三，  對信息系統的能量和處理能力要求高。如果大家聽華銳講分布式系統，也能感覺到現在的競爭都已經到納秒了。

正是基于這樣的特點，有行業標準的產生。

我們這幾年的工作是依據行業標準、國家標準進行等保的定級、備案、測評、整改的循環往復的過程。

二、鄭商所等保工作開展情況

因為證監會一向非常重視網絡安全工作，2007年證監會組織專家對行業重要信息系統進行定級評審。鄭商所有兩個系統，一個是交易業務系統，就是實時交易撮合系統，這是定級為等保三級；第二個是互聯網服務同時，這主要是面向互聯網的，包括網站對會員提供服務以及咨詢的系統，這是等保二級。

2009年，我們根據會里的定級審核意見完成了定級備案，并在當地公安機構進行了備案。后續我們按照相關要求開展測評，從2010年開始測評，按照等保的要求，對于三級系統每年有第三方測評機構進行現場測評。二級系統是以內部測評為主、外部機構測評為輔。每年測評的結論都是基本符合達到相應的安全等級保護的要求。當然，每年也在不斷進步，符合項會越來越多，不符合項會越來越少。

三、鄭商所等保工作實踐經驗

這是我們目前信息系統的總體情況，也正在向虛擬化、云計算方向去發展。

基礎部分包括：機房環境、主機、數據庫、網絡通信以及網絡安全設施。

九大運營系統包括：交易撮合、結算交割、市場監察、會員服務、統一開戶、銀企通、數據保送、倉戶管理、門戶網站等。

另外是綜合運用、監控系統以及運維管理系統，對基礎環境、應用系統進行綜合監控和管理。

這是信息系統區域架構，是根據信息系統重要程度以及系統間耦合關系，對運營系統做區域劃分。區域間是綜合運用，包括防火墻、網閘這些手段安全設備進行區域的訪問控制，網閘主要是在互聯網和內部交易的一個區域的安全隔離。之前向互聯網上提供服務應用比較簡單、單一、少，現在隨著相關技術的發展，互聯網上提供的服務越來越多，所以我們在互聯網方面面對的安全威脅也是越來越多，也是我們共同面對的一個需要下一步去處理的事情。