JR-T 0072-2012 金融行业信息系统信息安全等级保护测评指南.pdf
- 文档编号:14661384
- 上传时间:2023-06-25
- 格式:PDF
- 页数:337
- 大小:1.39MB
JR-T 0072-2012 金融行业信息系统信息安全等级保护测评指南.pdf
《JR-T 0072-2012 金融行业信息系统信息安全等级保护测评指南.pdf》由会员分享,可在线阅读,更多相关《JR-T 0072-2012 金融行业信息系统信息安全等级保护测评指南.pdf(337页珍藏版)》请在冰点文库上搜索。
ICS03.060A11中华人民共和国金融行业标准JRJR/T00722012金融行业信息系统信息安全等级保护测评指南Testingandevaluationguideforclassifiedprotectionofinformationsystemoffinancialindustry2012-07-06发布2012-07-06实施中国人民银行中国人民银行发布发布JR/T00722012I目次前言.II引言.III1范围.12规范性引用文件.13概述.14等级测评过程.35测评准备.36测评方案.47现场测评.78分析与报告编制.168附录A(资料性附录)现场单元测评检查表.172参考文献.331JR/T00722012II前言本标准是“金融行业信息系统等级保护”系列标准中的第二项标准。
该系列标准的结构及名称如下:
金融行业信息系统信息安全等级保护实施指引金融行业信息系统信息安全等级保护测评指南金融行业信息安全等级保护测评服务安全指引本标准按照GB/T1.1-2009给出的规则起草。
本标准由中国人民银行提出。
本标准由全国金融标准化技术委员会归口。
本标准负责起草单位:
中国人民银行科技司。
本标准参加起草单位:
中国金融电子化公司。
本标准主要起草人:
王永红、王小青、张永福、王晓燕、王海涛、杨剑、白智勇、沈力克、徐明、许自强、仇宁宁、李凡、郑凯一、陈广辉、赵义斌、杨英、周庆斌。
本标准为首次发布。
JR/T00722012III引言金融行业重要的信息系统关系到国计民生,是国家信息安全重点保护对象,国家信息安全监管职能部门需要对其重要信息和信息系统的信息安全保护工作进行指导监督。
信息安全等级保护是国家在信息安全保障工作的一项基本制度,金融行业作为重要信息系统行业部门之一,应遵照实施该制度。
围绕金融信息安全等级保护工作的开展,需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和指导金融等级保护工作的实施。
为此,人民银行科技司组织安全等级保护领域专家和相关技术人员,根据国家关于信息安全等级保护工作的相关制度和标准,制定符合金融行业特点的、切实可行的信息安全等级保护行业标准和实施指南。
在本标准文本中,标记为F类的黑体字是根据金融行业业务特点新增的安全要求,没有标记为F类的黑体字是对信息系统安全等级保护基本要求(GB/T22239-2008)要求项进行增强的要求。
JR/T007220121金融行业信息系统信息安全等级保护测评指南1范围本标准规定了金融行业对信息系统安全等级保护测评评估的要求,包括对第二级信息系统、第三级信息系统和第四级信息系统进行安全测评评估的单元测评要求和信息系统整体测评要求等。
根据金融行业信息系统的定级情况,不存在五级系统,而一级系统不需去公安机关备案,不作为测评重点。
本标准略去对第一级信息系统和第五级信息系统进行单元测评的具体内容要求。
本标准适用于行业进行自测评(如第二级信息系统)、信息安全测评服务机构(如第三和第四级信息系统)对信息系统安全等级保护状况进行的安全测评评估。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T22239-2008信息系统安全等级保护基本要求JR/T0003-2001银行卡联网联合安全规范JR/T0013-2004金融业星型网间互联安全规范JR/T0011-2004银行集中式数据中心规范JR/T0023-2004证券公司信息技术管理规范JR/T0026-2006银行业计算机信息系统雷电防护技术规范JR/T0044-2008银行业信息系统灾难恢复管理规范JR/T0055.4-2009银行联网联合技术规范第4部分:
数据安全传输控制银发2002260号中国人民银行关于加强银行数据集中安全工作的指导意见银科技200673号中国人民银行信息系统安全配置指引银办发2006154号中国人民银行IT应急预案指引银办发20069号中国人民银行计算机机房规范化工作指引银发2010276号中国人民银行计算机系统信息安全管理规定银发2010276号中国人民银行计算机系统信息安全管理规定银监发200850号银行业金融机构重要信息系统投产及变更管理办法银监会200919号商业银行信息科技风险管理指引银监办发2009437号银行、证券跨行业信息系统突发事件应急处置工作指引银监办发2010112号商业银行数据中心监管指引中证协发2006证券公司集中交易安全管理技术指引中期协发2009期货公司网上期货信息系统技术指引中证协发2009154号证券营业部信息技术指引保监会令20033号保险业重大突发事件应急处理规定3概述3.1测评内容JR/T007220122信息系统安全等级保护状况测评评估,应包括两个方面的内容:
一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。
其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。
工作单元分为安全技术测评和安全管理测评两大类。
安全技术测评包括:
物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面上的安全控制测评;安全管理测评包括:
安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。
测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
3.2测评对象测评对象是测评实施过程中涉及到的信息系统的构成成分,是客观存在的人员、文档、机制或者设备等。
测评对象是根据该工作单元中的测评项要求提出的,与测评项的要求相适应。
一般来说,实施测评时,面临的具体测评对象可以是单个人员、文档、机制或者设备等,也可能是由多个人员、文档、机制或者设备等构成的集合,它们分别需要使用到某个特定安全控制的功能。
3.3测评指标GB/T22239-2008中对不同等级信息系统的安全功能和措施提出了具体要求,等级测评应根据信息系统的定级情况选取相应的通用指标类(G),业务信息安全性指标类(S)、业务服务保证类(A)安全测评指标,并依据信息安全技术信息系统安全等级保护测评要求和信息安全技术信息系统安全等级测评过程指南对信息系统实施安全测评。
3.4测评方法3.4.1现场测评方法安全测评现场工作一般采用访谈、检查和测评等三类方法。
1)访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法;访谈使用到的工具主要是访谈列表。
测评人员针对访谈列表上的问题,逐项与信息系统有关人员进行交流、讨论,根据被访谈人员的回答了解和确认信息系统的安全保护情况;2)检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法;检查使用到的工具主要是核查列表。
测评人员针对核查列表上的问题,通过观察、查验、分析等活动,逐项核实。
根据检查对象的不同,检查可以进一步分为文档审查、现场观测和配置核查等方式;3)测评是指测评人员对测评对象按照预定的方法/工具使其产生特定的响应等活动,然后通过查看、分析响应输出结果来获取证据的一种方法。
依据工具和实施过程的不同,测评可以进一步细分为信息获取、漏洞扫描、渗透测评、密码分析等方式。
1)信息获取是指获取存活主机/设备的名称、IP地址、操作系统、开放的服务端口以及特定的数据包等信息内容;2)漏洞扫描是指利用漏洞扫描设备对目标设备进行自动探测,发现这些主机/设备上各个对网络开放端口上存在的错误配置和已知安全漏洞;3)渗透测评是模拟黑客可能利用的攻击技术试图侵入信息系统获取信息资源的一种手段,通过渗透测试更加直观、有效地评估信息系统的安全状况。
从不同接入点对信息系统进行漏洞扫描和渗透测评,可以反映出信息系统在不同角度、不同视野下JR/T007220123的安全状况。
3.4.2风险分析方法风险分析过程包括:
1)判断信息系统安全保护能力缺失(测评结果中的部分符合项和不符合项)被威胁利用导致安全事件发生的可能性,可能性的取值范围为高、中和低;2)判断安全事件对信息系统业务信息安全和系统服务安全造成的影响程度,影响程度取值范围为高、中和低;3)综合前两项的结果对信息系统面临的风险进行汇总和分等级,风险等级的取值范围为高、中和低;4)结合信息系统的安全保护等级对风险分析结果进行评价,即对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益造成的风险。
3.5等级测评风险在等级测评实施过程中,被测系统可能面临以下风险。
3.5.1验证测评影响系统正常运行在现场测评时,需要对设备和系统进行一定的验证测评工作,部分测评内容需要上机查看一些信息,这就可能对系统的运行造成一定的影响,甚至存在误操作的可能。
3.5.2工具测评影响系统正常运行在现场测评时,会使用一些技术测评工具进行漏洞扫描测评、性能测评甚至抗渗透能力测评。
测评可能会对系统的负载造成一定的影响,漏洞扫描测评和渗透测评可能对服务器和网络通讯造成一定影响甚至可能出现服务器宕机、网络严重堵塞的情况。
3.5.3敏感信息泄漏泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、安全机制、安全隐患和有关文档信息。
4等级测评过程4.1测评准备活动本活动是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。
测评准备工作是否充分直接关系到后续工作能否顺利开展。
本活动的主要任务是掌握被测系统的详细情况,准备测评工具,为编制测评方案做好准备。
4.2方案编制活动本活动是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。
本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书测评指导书,形成测评方案。
4.3现场测评活动本活动是开展等级测评工作的核心活动。
本活动的主要任务是按照测评方案的总体要求,严格执行测评指导书,分步实施所有测评项目,包括单元测评和整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
4.4分析与报告编制活动本活动是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。
本活动的主要任务是根据现场测评结果等相关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告文本。
5测评准备5.1项目启动JR/T007220124在项目启动任务中,应先组建等级测评项目组,从基本资料、人员、计划安排等方面为整个等级测评项目的实施作基本准备。
输入:
输入:
委托测评协议书。
任务描述:
任务描述:
组建测评项目组,从人员方面做好准备,并编制项目计划书。
项目计划书应包含项目概述、工作依据、技术思路、工作内容和项目组织等。
应交流项目相关主要资料,包括:
被测系统总体描述文件,详细描述文件,安全保护等级定级报告,系统验收报告,安全总体方案,自查或上次等级测评报告(如果有),被测评单位的信息化建设状况与发展以及联络方式等。
输出/产品:
输出/产品:
项目计划书。
5.2信息收集和分析1)收集等级测评需要的各种资料,包括测评委托单位的各种方针文件、规章制度及相关过程管理记录、被测系统总体描述文件、详细描述文件、安全保护等级定级报告、安全总体方案、安全现状评价报告、安全详细设计方案、用户指南、运行步骤、网络图表、配置管理文档等;2)将调查表格(具体可以参考公安部等级保护测评报告模板)提交给测评委托单位,督促被测系统相关人员准确填写调查表格;3)收回填写完成的调查表格,并分析调查结果,了解和熟悉被测系统的实际情况。
分析的内容包括被测系统的基本信息、物理位置、行业特征、管理框架、管理策略、网络及设备部署、软硬件重要性及部署情况、范围及边界、业务种类及重要性、业务流程、业务数据及重要性、业务安全保护等级、用户范围、用户类型、被测系统所处的运行环境及面临的威胁等。
这些信息可以重用自查或上次等级测评报告中的可信结果;4)如果调查表格填写不准确或不完善或存在相互矛盾的地方较多,测评机构应安排现场调查,与被测系统相关人员进行面对面的沟通和了解。
5.3工具和表单准备1)测评人员调试本次测评过程中将用到的测评工具,包括漏洞扫描工具、渗透性测评工具、性能测评工具和协议分析工具等;2)测评人员模拟被测系统搭建测评环境(当要对一些重要的上线系统进行安全测试时,为了测试时不会影响系统的运行,可以搭建模拟环境进行测试);3)准备和打印表单,主要包括:
现场测评授权书、文档交接单、会议记录表单、会议签到表单等。
6测评方案6.1测评对象确定测评对象种类的选择需要在基本覆盖和数量上进行抽样,重点抽查主要的设备、设施、人员和文档等。
可以抽查的测评对象种类主要考虑以下几个方面:
a)主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;b)存储被测系统重要数据的介质的存放环境;c)办公场地;d)整个系统的网络拓扑结构;e)安全设备,包括防火墙、入侵检测设备和防病毒网关等;f)边界网络设备(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;JR/T007220125g)对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;h)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);i)管理终端和主要业务应用系统终端;j)能够完成被测系统不同业务使命的业务应用系统;k)业务备份系统;l)信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;m)涉及到信息系统安全的所有管理制度和记录。
信息系统中配置相同的安全设备、边界网络设备、网络互联设备、服务器、终端以及备份设备,每类应至少抽查两台作为测评对象。
6.2测评指标确定主要是针对金融行业第二、第三、第四级系统的安全测评。
其指标应包括信息系统安全等级保护基本要求中的通用指标类(G),业务信息安全性指标类(S)、业务服务保证类(A)和金融行业增强安全保护类(F)。
F类要求作为金融行业的增强性安全要求分布在S、A、G类的要求中。
根据信息系统定级确定的业务服务保证类(A)、业务信息安全性指标类(S)和通用指标类(G)的级别确定测评指标。
第二、第三、第四级信息系统安全控制指标类型分别具体如表1、表2、表3所示:
6.2.1第二级信息系统安全控制指标类型:
表1二级系统测评指标测评指标测评指标技术/管理安全分类安全分类安全子类数量安全子类数量SS(2级)(2级)AA(2级)(2级)GG(2级)(2级)小计小计安全技术物理安全11810网络安全156主机安全2136应用安全4217数据安全及备份恢复213安全管理安全管理制度55安全管理机构33人员安全管理55系统建设管理99系统运维管理1212合计666.2.2第三级信息系统安全控制指标类型:
表2三级系统测评指标测评指标测评指标技术/管理安全分类安全分类安全子类数量安全子类数量SS(3级)(3级)AA(3级)(3级)GG(3级)(3级)小计小计安全技术物理安全11810网络安全167主机安全3137JR/T007220126应用安全5229数据安全及备份恢复213安全管理安全管理制度55安全管理机构33人员安全管理55系统建设管理1111系统运维管理1313合计736.2.3第四级信息系统安全控制指标类型:
表3四级系统测评指标测评指标测评指标技术/管理安全分类安全分类安全子类数量安全子类数量SS(4级)(4级)AA(4级)(4级)GG(4级)(4级)小计小计安全技术物理安全11810网络安全167主机安全5139应用安全62311数据安全及备份恢复213安全管理安全管理制度55安全管理机构33人员安全管理55系统建设管理1111系统运维管理1313合计776.3测评工具接入点确认信息系统应进行工具测评,工具测评可能用到漏洞扫描器、渗透测评工具集、协议分析仪等测评工具。
1)确定需要进行工具测评的测评对象;2)选择测评路径。
一般来说,测评工具的接入采取从外到内,从其他网络到本地网段的逐步逐点接入,即:
测评工具从被测系统边界外接入、在被测系统内部与测评对象不同网段及同一网段内接入等几种方式;3)根据测评路径,确定测评工具的接入点;4)从被测系统边界外接入时,测评工具一般接在系统边界设备(通常为交换设备)上。
在该点接入漏洞扫描器,扫描探测被测系统的主机、网络设备对外暴露的安全漏洞情况;5)从系统内部与测评对象不同网段接入时,测评工具一般接在与被测对象不在同一网段的内部核心交换设备上;6)在系统内部与测评对象同一网段内接入时,测评工具一般接在与被测对象在同一网段的交换设备上;7)结合网络拓扑图,采用图示的方式描述测评工具的接入点、测评目的、测评途径和测评对象等相关内容。
6.4单元测评内容确定把测评指标和测评方式结合到信息系统的具体测评对象上,就构成了可以具体测评的工作单元。
具JR/T007220127体分为技术安全和管理安全,其中技术安全包括物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复;安全管理包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理共10个方面。
6.5测评方案编制1)根据委托测评协议书和填好的调研表格,提取项目来源、测评委托单位整体信息化建设情况及被测系统与单位其他系统之间的连接情况等;2)根据等级保护过程中的等级测评实施要求,将测评活动所依据的标准罗列出来;3)依据委托测评协议书和被测系统情况,估算现场测评工作量。
工作量可以根据配置检查的节点数量和工具测评的接入点及测评内容等情况进行估算;4)根据测评项目组成员安排,编制工作安排情况;5)根据以往测评经验以及被测系统规模,编制具体测评计划,包括现场工作人员的分工和时间安排。
在进行时间计划安排时,应尽量避开被测系统的业务高峰期,避免给被测系统带来影响。
同时,在测评计划中应将具体测评所需条件以及测评需要的配合人员也一并给出,便于测评实施之前双方沟通协调、合理安排;6)汇总上述内容及方案编制活动的其他任务获取的内容形成测评方案文稿;7)评审和提交测评方案。
测评方案初稿应通过测评项目组全体成员评审,修改完成后形成提交稿。
然后,测评机构将测评方案提交给测评委托单位签字认可。
7现场测评7.1单元测评7.1.1第二级信息系统单元测评7.1.1.1安全技术测评7.1.1.1.1物理安全1)物理位置的选择(物理位置的选择(G2)测评项)测评项a)机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内,应选择交通、通信便捷地区应选择交通、通信便捷地区。
测评方式测评方式访谈、检查。
测评对象测评对象物理安全负责人,机房,办公场地,机房场地设计/验收文档。
测评实施测评实施a)应访谈物理安全负责人,询问现有机房和办公场地(放置终端计算机设备)的环境条件是否能够满足信息系统业务需求和安全管理需求,是否具有基本的防震、防风和防雨等能力;b)应检查机房和办公场地的设计/验收文档,是否有机房和办公场地所在建筑能够具有防震、防风和防雨等能力的说明;c)应检查机房和办公场地是否在具有防震、防风和防雨等能力的建筑内。
结果判定结果判定a)针对测评实施中的a)c)均为肯定,则信息系统符合本单元测评项要求。
2)物理访问控制(物理访问控制(G2)测评项)测评项a)机房出入口应能控制、鉴别和记录进入的人员;b)需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围;JR/T007220128c)应对机房划分区域进行管理,如将机房划分为生产区、辅助区,其中生产区是指放置一般业务系统服务器、客户端(工作站)等设备的运行区域,辅助区是指放置供电、消防、空调等设备的区域。
(应对机房划分区域进行管理,如将机房划分为生产区、辅助区,其中生产区是指放置一般业务系统服务器、客户端(工作站)等设备的运行区域,辅助区是指放置供电、消防、空调等设备的区域。
(F2)测评方式)测评方式访谈,检查。
测评对象测评对象物理安全负责人,机房值守人员,机房,机房安全管理制度,值守记录,进入机房的登记记录,来访人员进入机房的审批记录。
测评实施测评实施a)应访谈物理安全负责人,了解具有哪些控制机房进出的能力;b)应访谈机房值守人员,询问是否认真执行有关机房出入的管理制度,是否对进入机房的人员记录在案;c)应检查机房安全管理制度,查看是否有关于机房出入方面的规定;d)应检查机房出入口是否有专人值守,是否有值守记录,以及进出机房的人员登记记录;检查机房是否不存在专人值守之外的出入口;e)应检查机房,是否有进入机房的人员身份鉴别措施,如戴有可见的身份辨识标识;f)应检查是否有来访人员进入机房的审批记录。
结果判定结果判定a)测评实施中a)至少应包括制订了机房出入的管理制度,指定了专人在机房出入口值守,对进入的人员登记在案并进行身份鉴别,对来访人员须经批准、限制和监控其活动范围,则该项为肯定;b)测评实施中c)至少应包括制订了机房出入的管理制度,指定了专人在机房出入口值守,对进入的人员登记在案并进行身份鉴别,对来访人员须经批准、限制和监控其活动范围,则该项为肯定;c)测评实施中a)f)均为肯定,则信息系统符合本单元测评项要求。
3)防盗窃和防破环(防盗窃和防破环(G2)测评项)测评项a)应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记;c)应将通信线缆铺设在隐蔽处,可铺设在地下或管道中;d)应对介质分类标识,存储在介质库或档案室中;e)主机房应安装必要的防盗报警设施;f)应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
(应建立机房设施与场地环境监控系统,对机房空调、消防、不间断电源(UPS)、供配电、门禁系统等重要设施实行全面监控。
(F2)测评方式测评方式访谈,检查。
测评对象测评对象物理安全负责人,机房维护人员,资产管理员,机房设施,设备管理制度文档,通信线路布线文档,报警设施的安装测评/验收报告。
测评实施测评实施a)应访谈物理安全负责人,采取了哪些防止设备、介质等丢失的保护措施;b)应访谈机房维护人员,询问主要设备放置位置是否做到安全可控,设备或主要部件是否进行了固定和标记,通信线缆是否铺设在隐蔽处;是否对机房安装的防盗报警设施进行定期维护检查
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JR-T 0072-2012 金融行业信息系统信息安全等级保护测评指南 JR 0072 2012 金融 行业 信息系统 信息 安全 等级 保护 测评 指南