JR-T 0071-2012 金融行业信息系统信息安全等级保护实施指引.pdf
- 文档编号:14661365
- 上传时间:2023-06-25
- 格式:PDF
- 页数:121
- 大小:1.06MB
JR-T 0071-2012 金融行业信息系统信息安全等级保护实施指引.pdf
《JR-T 0071-2012 金融行业信息系统信息安全等级保护实施指引.pdf》由会员分享,可在线阅读,更多相关《JR-T 0071-2012 金融行业信息系统信息安全等级保护实施指引.pdf(121页珍藏版)》请在冰点文库上搜索。
ICS03.060A11中华人民共和国金融行业标准JRJR/T00712012金融行业信息系统信息安全等级保护实施指引Implementationguideforclassifiedprotectionofinformationsystemoffinancialindustry2012-07-06发布2012-07-06实施中国人民银行中国人民银行发布发布JR/T00712012I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14指引编制策略.25信息安全保障框架.66保护要求.11附录A(资料性附录)等级保护实施措施.57附录B(资料性附录)金融行业安全要求的选择和使用说明.113参考文献.115JR/T00712012II前言本标准是“金融行业信息系统等级保护”系列标准中的第一项标准。
该系列标准的结构及名称如下:
金融行业信息系统信息安全等级保护实施指引金融行业信息系统信息安全等级保护测评指南金融行业信息安全等级保护测评服务安全指引本标准按照GB/T1.1-2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会归口。
本标准负责起草单位:
中国人民银行科技司。
本标准参加起草单位:
中国金融电子化公司。
本标准主要起草人:
王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明、许自强、仇宁宁、李凡、郑凯一、陈广辉、赵义斌、杨英、周庆斌。
本标准为首次发布。
JR/T00712012III引言金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。
信息安全等级保护是国家在信息安全保障工作的一项基本制度,金融行业作为重要信息系统行业部门之一,应遵照实施该制度。
围绕金融信息安全等级保护工作的开展,需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和指导金融等级保护工作的实施。
为此,人民银行科技司组织安全等级保护领域专家和相关技术人员,根据国家关于信息安全等级保护工作的相关制度和标准,制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。
根据金融行业信息系统的定级情况,不存在五级系统,而一级系统不需去公安机关备案,不作为测评重点。
本标准略去对第一级信息系统和第五级信息系统进行单元测评的具体内容要求。
在本标准文本中,标记为F类的黑体字是根据金融行业业务特点新增的安全要求,没有标记为F类的黑体字是对信息系统安全等级保护基本要求(GB/T22239-2008)要求项进行增强的要求。
JR/T007120121金融行业信息系统信息安全等级保护实施指引1范围本标准依据国家信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求标准,结合金融行业特点以及信息系统安全建设需要,对金融行业的信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求,以保障将国家等级保护要求行业化,具体化,提高我行重要网络和信息系统信息安全防护水平。
本标准适用于金融机构(包括其分支机构)的系统规划建设部门(业务与技术)、应用开发部门、系统运行部门、安全管理部门、系统使用部门、内部监察、审计等部门。
也可作为信息安全职能部门进行监督、检查和指导的依据。
随着内容的补充和丰富,为等级保护工作的开展提供指导。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239-2008信息系统安全等级保护基本要求GB/T25069信息安全技术术语JR/T0003-2001银行卡联网联合安全规范JR/T0013-2004金融业星型网间互联安全规范JR/T0011-2004银行集中式数据中心规范JR/T0023-2004证券公司信息技术管理规范JR/T0026-2006银行业计算机信息系统雷电防护技术规范JR/T0044-2008银行业信息系统灾难恢复管理规范JR/T0055.4-2009银行联网联合技术规范第4部分:
数据安全传输控制银发2002260号中国人民银行关于加强银行数据集中安全工作的指导意见银科技200673号中国人民银行信息系统安全配置指引银办发2006154号中国人民银行IT应急预案指引银办发20069号中国人民银行计算机机房规范化工作指引银发2010276号中国人民银行计算机系统信息安全管理规定银发2010276号中国人民银行计算机系统信息安全管理规定银监发200850号银行业金融机构重要信息系统投产及变更管理办法银监会200919号商业银行信息科技风险管理指引银监办发2009437号银行、证券跨行业信息系统突发事件应急处置工作指引银监办发2010112号商业银行数据中心监管指引中证协发2006证券公司集中交易安全管理技术指引中期协发2009期货公司网上期货信息系统技术指引中证协发2009154号证券营业部信息技术指引保监会令20033号保险业重大突发事件应急处理规定3术语和定义JR/T007120122GB/T25069确立的以及下列术语和定义适用于本文件。
3.1敏感数据sensitivedata敏感数据是指一旦泄露可能会对用户或金融机构造成损失的数据,包括但不限于:
a)用户敏感数据,如用户口令、密钥等;b)系统敏感数据,如系统的密钥、关键的系统管理数据;c)其他需要保密的敏感业务数据;d)关键性的操作指令;e)系统主要配置文件;f)其他需要保密的数据。
3.2风险risk某种威胁存在利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。
3.3安全策略securitypolicy主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。
3.4安全需求securityrequirement为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。
3.5完整性integrity包括数据完整性和系统完整性。
数据完整性表征数据所具有的特征,即无论数据形式作何变化,数据的准确性和一致性均保持不变的程度;系统完整性表征系统在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,系统能履行其操作目的的品质。
3.6可用性availability表征数据或系统根据授权实体的请求可被访问与使用程度的安全属性。
3.7弱口令weakpassword指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。
4指引编制策略4.1国家等级保护要求国家针对等级保护制定了一系列的法规和标准,这些法规和标准是建设等级保护系统的依据。
目前,我国共制定了和发布了约50余个相关国标、行标以及已报批标准,初步形成了信息安全等级保护标准体系。
这些标准分别从基础、设计、实施、管理、制度等各个方面对信息安全等级保护提出了要求和建议,为信息系统的使用者、设计者、建设者提供了管理规范和技术标准,如图1所示。
JR/T007120123图1信息系统安全等级保护整体要求4.1.1基本要求信息系统应依据信息系统的安全保护等级情况,保证它们具有相应等级的基本安全保护能力,不同安全保护等级的信息系统应具有不同的安全保护能力。
信息安全技术信息安全技术信息系统安全等级保护基本要求信息系统安全等级保护基本要求(GB/T22239-2008)(以下简称基本要求)是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求。
根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类,用于指导不同安全保护等级信息系统的安全建设和监督管理,如图2所示。
技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
JR/T007120124图2信息系统安全等级保护基本要求框架其中,基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
基本要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。
除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力。
4.1.2设计要求信息安全技术信息安全技术信息系统等级保护安全设计技术要求信息系统等级保护安全设计技术要求(GB/T25070-2010)(以下简称设计要求)是进行等级保护建设的直接指导,在基本要求的基础之上,采用了系统化的设计方法,引入了深度防御的保护理念,提出了“一个中心,三重防护”的保障框架,形成了在安全管理中心统一管理下安全计算环境、安全区域边界、安全通信网络层层防护的综合保障技术体系,规范了信息系统等级保护安全设计技术要求,包括第一级至第五级系统安全保护环境以及定级系统互联的设计技术要求,为信息系统的等级保护建设提供了科学、合理、有效的方法和指导。
进行安全技术设计时,要根据信息系统定级情况,确定相应安全策略,采取相应级别的安全保护措施。
设计要求中明确指出信息系统等级保护安全技术设计包括各级系统安全保护环境的设计及其安全互联的设计,如图3所示。
各级系统安全保护环境由相应级别的安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心组成。
定级系统互联由安全互联部件和跨定级系统安全管理中心组成。
JR/T007120125图3信息系统等级保护安全技术设计框架4.2指导思想结合金融机构特点落实等级保护相关要求,指导思想可以通过图4进行说明:
图4实施指引示意图等级保护要求与金融机构系统特色相结合的指导思想,主要通过以下四个方面来体现:
a)符合国家等级保护基本要求;本标准依据国家等级保护基本要求中的技术要求和管理要求,分别对物理、网络、主机、人员、机构等10项内容进行规范,从而保障定级系统的安全。
b)借鉴等级保护安全设计技术要求;JR/T007120126结合金融机构的安全体系架构,借鉴等级保护安全设计技术要求的体系化设计思路,设计出一套适合于金融行业的安全体系架构,从而保障同级系统、跨级系统互联乃至整个体系的安全。
c)将等级保护基本要求给出具体的实施、配置措施;针对等级保护基本要求,本标准将给出具体的实施、配置措施建议见附录A,以保证将等级保护的基本要求在金融机构实施。
d)适用于金融机构特色的等级保护实施指引。
本标准新增“金融行业增强安全保护类(金融行业增强安全保护类(F类)类)”要求见附录B,该类要求是在结合等级保护及金融行业相关规定的基础上进行补充和完善。
使得本标准更贴近金融行业的特点及需求,更容易理解和落实。
4.2.1纵深防御设计的必要性采用纵深防御的安全体系架构能够提供进行多层保护的框架,以此防范计算机威胁。
该方法能够使攻破一层或一类的保护的攻击行为无法破坏整个信息系统基础设施。
通过对网络基础设施、区域边界、计算环境、支撑性基础设施4个区域实施保护来实现纵深防御的目标。
在纵深防御战略中,人、技术和操作是三个核心因素,要保障信息及信息系统的安全,三者缺一不可。
人即管理,管理在信息安全保障体系建设中同样起到了十分关键的作用,可以说技术是安全的基础,管理是安全的根本。
信息系统的安全稳定运行是与这三者密不可分的,因此,要保证信息系统的安全稳定运行,必须从技术、管理,单个系统、整个生产体系等多个维度进行设计和要求。
4.2.2基本要求与纵深防御设计结合的意义基本要求是等级保护建设的要求,设计要求是等级保护设计和实施的方法,设计要求提出的“一个中心,三重防护”的体系架构为等级保护的实施提供了科学、有效的方法,从系统化的角度、工程化的思想落实基本要求。
因此将基本要求和设计要求进行有机结合保障整个体系的安全才是将等级保护的要求由点到面的落实和执行。
通过以下三个阶段保证将等级保护的要求由点到面的落实和执行。
a)单个系统的安全:
针对等级保护要求逐项建设落实;b)多个系统的安全:
根据共同访问路径原则,划分子域;c)整个体系的安全:
构建安全体系架构、安全防护体系。
5信息安全保障框架5.1概述实施指引以国家等级保护要求为原则,以金融行业特点为基础,形成了兼顾技术与管理、以基本要求为根本、以设计要求为基本方法设计的金融行业信息安全保障总体框架,如图5所示。
JR/T007120127图5信息安全保障总体框架图两项要求两项要求指由技术要求和管理要求综合形成的保障要求,技术要求涉及物理安全、网络安全、主机安全、应用安全、数据安全五方面要求;管理要求涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五方面要求。
两个体系两个体系指由技术体系和管理体系综合形成的保障体系。
技术体系以“一个中心,三重防护”为核心理念,划分计算环境、区域边界、通信网络与管理中心,并且结合金融行业的系统与业务现状,进行分区分域保护;管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法。
技管交互技管交互指技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。
综合保障综合保障指该框架通过对保障要求和保障方法的综合考虑,通过技术与管理的有效结合,在遵循国家等级保护要求的前提下,满足金融行业的业务特殊性要求。
5.2技术体系参考设计要求的安全域模型,将“安全域纵深防护”、“多层次立体防御”和“信息安全等级保护”等安全防护思想相结合,建立金融行业信息安全保障技术体系模型。
依据金融行业的组织结构、网络架构将每个机构作为一个整体保护对象,设计金融机构信息安全保障框架,如图6所示,总部和各个分支机构都是独立的安全域,每个安全域又细分计算环境域、区域边界、通信网络和支撑设施域,各金融机构根据本机构结构情况参考执行。
JR/T007120128图6金融机构总体技术架构图通过划分安全域的方法,将金融行业信息系统按照业务流程及特点、重要程度和等级的不同层面划分为不同的安全域,各个安全域内部又可以根据信息系统的元素对象划分为不同的安全子域,并针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施,从而建立纵深防御体系,实现深度防护的目标。
5.2.1计算环境计算环境是对定级系统的信息进行存储、处理及实施安全策略的相关部件,计算环境安全是信息系统安全保护的核心与基础。
计算环境安全指保障终端、服务器操作系统、数据库、上层应用系统以及应用业务处理全过程的安全。
通过在操作系统核心层设置以访问控制为主体的系统安全机制,形成严密的安全保护环境,从而有效防止非授权用户访问和授权用户越权访问,确保信息和信息系统的保密性和完整性,为业务应用系统的正常运行、免遭恶意破坏提供支撑和保障。
计算环境防护主要针对信息系统的主机安全、应用安全及数据安全。
计算环境包含接入域,交换域和服务域。
5.2.1.1接入域根据金融行业的业务特点和接入关系而细分出的安全域,是应用系统防范的第一道屏障。
根据接入的不同可分为对内系统接入子域、对外系统接入子域和用户接入子域三个部分。
a)对内系统接入子域部署与金融行业内部机构互联的网络设施以及相关的应用服务设施且不对外部机构提供服务。
该子域物理上分布在总部、一级分支机构、二级分支机构。
b)对外系统接入子域部署与外部机构互联的网络设施以及相关应用服务设施。
该子域物理上分布在总部、一级分支机构、二级分支机构。
c)用户接入子域部署金融机构内部各类桌面终端,该子域物理上分布在总部、一级分支机构、二级分支机构。
5.2.1.2交换域是由通信设施构成,主要负责各个安全域数据的交换。
5.2.1.3服务域JR/T007120129服务域将应用系统的层次架构与服务设施类别相结合,服务域划分为以下两个子域:
a)对外服务子域部署为外部机构提供服务的信息系统业务服务设施,外部服务子域只与基础服务平台、对外资源产生逻辑访问关系。
其中基础服务平台包括操作系统平台、基础架构平台和业务基础平台;对外资源部署为外部机构提供服务的信息系统资源服务设施(主要包括数据库服务器、存储系统)。
对外资源设施为外部业务服务设施提供数据资源服务,是纵深防御体系重点防护的IT核心资产。
b)对内服务子域部署为金融机构内部提供服务的信息系统业务服务设施。
内部服务子域只与基础服务平台、对内资源产生逻辑访问关系。
其中对内资源部署为金融机构内部提供服务的信息系统资源服务设施(主要包括数据库服务器、存储系统)。
对内资源服务设施只为对内业务服务设施提供数据资源服务,是纵深防御体系重点防护的IT核心资产。
5.2.2区域边界区域边界是定级系统的安全计算环境边界,及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。
区域边界包括互联网区域边界、外部区域边界和内部区域边界,分别与互联网、外部机构和内部机构相连,并包含一系列针对互联网、内外机构不同威胁、风险而采用的安全策略。
区域边界安全指通过对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界。
区域边界是物理网络分区与边界整合的分析依据,同时还是用户或外联应用接入计算环境域前重要的应用接入点,区域边界暴露在安全体系框架的最外面,是风险点集中的环节,是安全防护的重点。
区域边界防护主要针对信息系统的网络安全。
由于不同系统之间存在业务互联和数据互联,因此不同系统间会存在安全级别、安全风险不同的情况。
区域边界作为定级系统的安全计算环境边界,必须确保具有不同级别系统之间的可信互连机制。
互连机制的建立必须基于较高级别系统或安全域的安全防护要求设置访问控制策略以及其他安全策略,可采用网络安全隔离技术或部署信息交换系统(比如前置系统等)实现,通过对不同级别的系统之间的可信互联进行严格约束来保证不会出现因高级别系统与低级别系统之间防护差异而导致的安全漏洞。
5.2.3通信网络通信网络是定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件,通信网络安全指通信网络设备通过对通信双方进行可信鉴别验证,建立安全通道,并实施数据传输保护,确保数据在传输过程中不会被窃听、篡改和破坏。
通信网络防护主要针对信息系统的网络安全。
5.2.4支撑设施支撑设施对计算环境、区域边界和通信网络实施统一的安全策略管理,确保系统配置完整可信,用户操作权限严格划分和审计全程追踪。
从功能上可细分为系统管理、安全管理、综合审计管理以及物理支撑实施管理,各管理员职责和权利明确,三权分立,相互制约。
5.3管理体系要建成完善的安全管理体系,首先根据金融机构信息化建设进程的实际需求,逐步建立起安全管理机构、各项安全管理制度及人员配置;其次通过专职安全机构、人员对制度的执行,提高信息安全保障能力;后续根据执行结果检查各项制度存在的问题和缺陷;最后依据检查结果对制度进行改进。
从而形成建立、实施和执行、监控和审计、保持和改进的循环过程,形成完善的管理体系。
如图7所示:
JR/T0071201210图7信息安全管理体系框架图安全管理内容涵盖组织、人员、支持设施三大类。
其中,组织涉及机构与制度管理;人员涉及人员管理;支撑设施涉及系统建设和系统运维管理。
如图8所示:
JR/T0071201211图8安全管理内容6保护要求6.1二级要求6.1.1技术要求6.1.1.1物理安全1)物理位置的选择(G2)a)机房和办公场地应选择在具有防震、承重、防风和防雨等能力的建筑内以及交通、通信便捷以及交通、通信便捷地区。
地区。
2)物理访问控制(G2)a)机房出入口应能控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;c)应对机房划分区域进行管理,如将机房划分为生产区、辅助区,其中生产区是指放置一般业应对机房划分区域进行管理,如将机房划分为生产区、辅助区,其中生产区是指放置一般业务系统服务器、客户端(工作站)等设备的运行区域,辅助区是指放置供电、消防、空调等务系统服务器、客户端(工作站)等设备的运行区域,辅助区是指放置供电、消防、空调等设备的区域。
(设备的区域。
(F2)3)防盗窃和防破坏(G2)a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施;f)应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、门禁系统等)、门禁系统等重要设施实行全面监控。
(重要设施实行全面监控。
(F2)4)防雷击(G2)a)机房建筑应设置避雷装置;b)机房应设置交流电源地线。
5)防火(G2)JR/T0071201212a)机房应设置对计算机设备影响小的机房应设置对计算机设备影响小的气体灭火设备和火灾自动报警系统;b)机房内部通道设置、装饰材料、设备线缆等应满足消防要求,并通过消防验收。
(机房内部通道设置、装饰材料、设备线缆等应满足消防要求,并通过消防验收。
(F2)6)防水和防潮(G2)a)水管不宜穿过机房屋顶,但若有穿过地板应当采取保护防范措施;水管不宜穿过机房屋顶,但若有穿过地板应当采取保护防范措施;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;c)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。
7)防静电(G2)a)关键设备应采用必要的接地防静电措施。
8)温湿度控制(G2)a)机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
9)电力供应(A2)a)应在机房供电线路上配置稳压器和过电压防护设备;b)应提供短期的备用电力供应,备用供电措施备用供电措施(如蓄电池、发电机等如蓄电池、发电机等)能提供超过能提供超过1小时的供电时小时的供电时间;间;c)机房重要区域、重要设备应提供机房重要区域、重要设备应提供UPS单独供电。
(单独供电。
(F2)10)电磁防护(S2)a)电源线和通信线缆应隔离铺设,避免互相干扰。
6.1.1.2网络安全1)结构安全(G2)a)应保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要;b)应保证接入网络和核心网络的带宽满足业务高峰期需要;c)应绘制与当前运行情况相符的网络拓扑结构图;d)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;生产网、互联网、办公网之间都生产网、互联网、办公网之间都应实现有效隔离。
应实现有效隔离。
2)访问控制(G2)a)应在网络边界部署访问控制设备,启用访问控制功能;b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级;c)应按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户;d)应限制具有拨号访问权限的用户数量。
3)安全审计(G2)a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JR-T 0071-2012 金融行业信息系统信息安全等级保护实施指引 JR 0071 2012 金融 行业 信息系统 信息 安全 等级 保护 实施 指引