《JR∕T 0071.2—2020 金融行业网络安全等级保护实施指引 第2部分:基本要求(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0071.2—2020 金融行业网络安全等级保护实施指引 第2部分:基本要求(金融).pdf(109页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 03.060A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 0071.22020代替 JR/T 00712012金融行业网络安全等级保护实施指引第 2 部分:基本要求Implementation guidelines for classified protection of cybersecurity of financialindustryPart 2:Basic requirements2020-11-11 发布2020-11-11 实施中国人民银行发 布JR/T 0071.22020I目次前言.III引言.V1 范围.12 规范性引用文件.13 术语和定义
2、.14 缩略语.65 网络安全等级保护概述.65.1 等级保护对象.65.2 不同级别的安全保护能力.75.3 安全通用要求和安全扩展要求.75.4 金融行业增强性安全要求.76 网络安全保障框架.86.1 概述.86.2 技术体系.96.3 管理体系.107 第二级安全要求.117.1 安全通用要求.117.2 云计算安全扩展要求.227.3 移动互联安全扩展要求.247.4 物联网安全扩展要求.258 第三级安全要求.278.1 安全通用要求.278.2 云计算安全扩展要求.458.3 移动互联安全扩展要求.488.4 物联网安全扩展要求.509 第四级安全要求.539.1 安全通用要求.
3、539.2 云计算安全扩展要求.729.3 移动互联安全扩展要求.769.4 物联网安全扩展要求.78附录 A(规范性附录)关于金融行业安全通用要求、安全扩展要求和增强性安全要求的选择和使用81附录 B(规范性附录)关于等级保护对象整体安全保护能力的要求.86附录 C(规范性附录)等级保护安全框架和关键技术使用要求.87JR/T 0071.22020II附录 D(资料性附录)云计算应用场景说明.89附录 E(资料性附录)移动互联应用场景说明.91附录 F(资料性附录)物联网应用场景说明.93附录 G(资料性附录)大数据应用场景说明.94附录 H(资料性附录)敏感数据和个人金融信息类别.99参考
4、文献.101JR/T 0071.22020III前言JR/T 0071金融行业网络安全等级保护实施指引分为六部分构成:第 1 部分:基础和术语;第 2 部分:基本要求;第 3 部分:岗位能力要求和评价指引;第 4 部分:培训指引;第 5 部分:审计要求;第 6 部分:审计指引。本部分为 JR/T 0071 的第 2 部分。本部分按照 GB/T 1.12009 给出的规则起草。本部分代替JR/T 00712012 金融行业信息系统信息安全等级保护实施指引,与JR/T 00712012相比,主要技术变化如下:增加了“网络安全等级保护概述”(见第 5 章);修改了“网络安全保障框架”(见第 6 章,
5、2012 年版第 5 章);修改了“第二级安全要求”的“安全通用要求”中“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”相关要求项(见 7.1,2012 年版 6.1);增加了“第二级安全要求”中“云计算安全扩展要求”“移动互联安全扩展要求”“物联网安全扩展要求”(见第 7 章);修改了“第三级安全要求”的“安全通用要求”中“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”相
6、关要求项(见 8.1,2012 年版 6.2);增加了“第三级安全要求”中“云计算安全扩展要求”“移动互联安全扩展要求”“物联网安全扩展要求”(见第 8 章);修改了“第四级安全要求”的“安全通用要求”中“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”“安全管理中心”“安全管理制度”“安全管理机构”“安全管理人员”“安全建设管理”“安全运维管理”相关要求项(见 9.1,2012 年版 6.3);增加了“第四级安全要求”中“云计算安全扩展要求”“移动互联安全扩展要求”“物联网安全扩展要求”(见第 9 章);删除了“等级保护实施措施”(2012 年版附录 A);修改了“金融行业安全
7、要求的选择和使用说明”(见附录 A,2012 年版附录 B);增加了“关于等级保护对象整体安全保护能力的要求”(见附录 B);增加了“等级保护安全框架和关键技术使用要求”(见附录 C);增加了“云计算应用场景说明、不同云服务模式下安全管理责任主体”(见附录 D);增加了“移动互联应用场景说明”(见附录 E);增加了“物联网应用场景说明”(见附录 F);增加了“大数据应用场景说明”(见附录 G);增加了“敏感数据和个人金融信息类别”(见附录 H)。JR/T 0071.22020IV本部分由中国人民银行提出。本部分由全国金融标准化技术委员会(SAC/TC 180)归口。本部分起草单位:中国人民银行
8、科技司、中国银行保险监督管理委员会统计信息与风险监测部、中国金融电子化公司、北京中金国盛认证有限公司、银行卡检测中心、中国平安保险(集团)股份有限公司、北京天融信网络安全技术有限公司、华为技术有限公司、中国人民银行营业管理部、中国人民银行广州分行、中国人民银行数字货币研究所、中国人民银行金融信息中心、国泰君安证券有限公司、中国人寿保险股份有限公司、中国人民财产保险股份有限公司、中国工商银行股份有限公司、中国农业银行股份有限公司、中国银行股份有限公司、中国建设银行股份有限公司、交通银行股份有限公司、蚂蚁科技集团股份有限公司、中国金融认证中心、亚信安全科技有限公司。本部分主要起草人:李伟、陈立吾、
9、沈筱彦、车珍、曲维民、昝新、夏磊、方怡、张海燕、唐辉、李凡、王海涛、张璐、邓昊、潘丽扬、侯漫丽、孙国栋、刘文娟、赵方萌、乔媛、崔莹、陈雪峰、马成龙、杜巍、李瑞锋、刘书元、渠韶光、高强裔、李博文、李金华、金朝、任勇强、赵江、于惊涛、胡珊、谢虹、杨剑、李建彬、于国强、肖松、白阳、张宇、赵华、薛金川、陈喜鹏、穆长春、狄刚、吕毅、何军、袁慧萍、陈凯辉、郭松青、李锐、肖鹏哲、赵旭、张耀峰、黄春芳、杨晨、王衍锋、高红英、陈雪秀、韩涛、叶宁、俞国栋、姜志辉、李松涛、隆峰、许定航、陆霖、郭涛。本部分所代替标准的历次版本发布情况为:JR/T 00712012。JR/T 0071.22020V引言网络安全等级保护
10、是国家网络安全保障工作的一项基本制度,金融行业重要系统关系到国计民生,是国家网络安全重点保护对象,因此需要一系列适合金融行业的等级保护标准体系作为支撑,以规范和指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用,金融机构正根据自身发展的需要,持续推进 IT 架构的转型。为适应新技术、新应用和新架构情况下金融行业网络安全等级保护工作的开展,现对 JR/T 0071 进行修订。修订后的 JR/T 0071 依据国家网络安全等级保护相关要求,为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导,完善金融行业网络安全等级保护体系,更好适应新技术在金融行业的应
11、用。JR/T 0071.220201金融行业网络安全等级保护实施指引第 2 部分:基本要求1范围本部分规范了金融行业网络安全保障框架和不同安全等级对应的安全要求。本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 222392019信息安全技术 网络安全等级保护基本要求GB/T 222402020信息安全技术 网络安全等级保护定级指南GB/T 250702019信息安全技
12、术 网络安全等级保护安全设计技术要求GB/T 311672014信息安全技术 云计算服务安全指南GB/T 311682014信息安全技术 云计算服务安全能力要求GB/T 324002015信息技术 云计算 概览与词汇GM/T 00542018信息系统密码应用基本要求JR/T 01712020个人金融信息保护技术规范3术语和定义下列术语和定义适用于本文件。3.1网络安全cybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。GB/T 222392019,定义3.13.2定级
13、系统classified system已确定安全保护等级的系统。注 1:定级系统分为第一级、第二级、第三级、第四级和第五级系统。注 2:改写 GB/T 250702019,定义 3.2。3.3JR/T 0071.220202安全保护能力security protection ability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。GB/T 222392019,定义3.23.4定级系统安全保护环境security environment of classified system由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环
14、境。GB/T 250702019,定义3.33.5安全计算环境security computing environment对定级系统的信息进行存储、处理及实施安全策略的相关部件。GB/T 250702019,定义3.43.6安全区域边界security area boundary对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。GB/T 250702019,定义3.53.7安全通信网络security communication network对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。GB/T 250702019,定义3.6
15、3.8安全管理中心security management center对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。GB/T 250702019,定义3.73.9跨定级系统安全管理中心security management center for cross classified system对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台或区域。GB/T 250702019,定义3.83.10定级系统互联classified system interconnection通过安全互联部件和跨定级系统安全
16、管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。GB/T 250702019,定义3.9JR/T 0071.2202033.11云计算cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 311672014,定义3.13.12云服务 cloud service通过云计算已定义的接口提供的一种或多种能力。GB/T 324002015,定义 3.2.83.13云服务商 cloud service provider云计算服务的供应方。注:云服务商管理、
17、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。GB/T 311672014,定义 3.33.14云服务客户 cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。GB/T 311682014,定义 3.43.15云计算平台/系统cloud computing platform/system云服务商提供的云计算基础设施及其上的服务软件的集合。GB/T 222392019,定义 3.63.16团体云community cloud由一组特定的云服务客户使用和共享,且资源被云服务商或使用者控制的一种云部署和云服务模式。3.17基础设施即服务 in
18、frastructure as a service;IaaS云服务商向云服务客户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式。3.18平台即服务platform as a service;PaaS云服务商向云服务客户提供应用软件所需的支撑平台,供云服务客户在此基础上开发和提供相关应用的服务模式。3.19软件即服务 software as a service;SaaSJR/T 0071.220204云服务商向云服务客户提供运行在云基础设施之上的应用软件的服务模式。3.20虚拟机 virtual machine通过各种虚拟化技术,为用户提供的与原有物理服务器相同的操作系统
19、和应用程序运行环境的统称。注:虚拟机通常使用物理服务器的资源,在用户看来其与物理服务器的使用方式完全相同。3.21资源池 resource pool按照一定规则可从中获取、释放、或回收资源的物理资源或虚拟资源的集合。注:资源包括物理机、虚拟机、物理存储资源、虚拟存储资源、物理网络资源和虚拟网络资源等。3.22宿主机host machine运行虚拟机监视器的物理服务器。GB/T 222392019,定义 3.83.23敏感数据sensitive data一旦泄露可能会对用户或金融机构造成损失的数据。3.24个人金融信息 personal financial information金融业机构通过提
20、供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注:个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。JR/T 01712020,定义 3.23.25个人金融信息主体 personal financial information subject个人金融信息所标识的自然人。JR/T 01712020,定义 3.43.26移动互联 mobile communication采用无线通信技术将移动终端接入有线网络的过程。GB/T 222392019,定义 3.93.27移动终端 mobile device在移动业务中使用的终端设
21、备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。GB/T 222392019,定义 3.10JR/T 0071.2202053.28无线接入设备 wireless access device采用无线通信技术将移动终端接入有线网络的通信设备。GB/T 222392019,定义 3.113.29无线接入网关 wireless access gateway部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。GB/T 222392019,定义 3.123.30移动应用软件 mobile application针对移动终端开发的应用软件。GB/T 222392019,定义 3.13
22、3.31移动终端管理系统 mobile device management system用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。GB/T 222392019,定义 3.143.32物联网 internet of things;IOT将感知节点设备(含 RFID)通过互联网等网络连接起来构成的一个应用系统,其融合信息系统和物理世界实体,是虚拟世界与现实世界的结合。注:改写 GB/T 222392019,定义 3.15。3.33网关节点设备 gateway node将感知节点设备所采集的数据传输到数据处理中心的关键出口,连接传统信息网络(有线网、移动网等
23、)和传感网的设备。注:简单的感知层网关只是对感知数据的转发(因电力充足),而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。3.34感知节点设备 sensor node物联网系统的最终端设备或器件,能够通过有线、无线方式发起或终结通信,采集物理信息和/或接受控制的实体设备。注:感知节点设备也叫感知终端设备(end sensor)、终端感知节点设备(end sensor node)。3.35感知网关节点设备 sensor layer gateway将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。GB/T 222392019,定义 3.17JR/T 0071.22
24、02063.36动态口令 one-time-password(OTP);dynamic password基于时间、事件等方式动态生成的一次性口令。GM/T 00542018,定义 3.13.37大数据 big data具有数量巨大、种类多样、流动速度快、特征多变等特性,并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。3.38大数据平台 big data platform采用分布式存储和计算技术,提供大数据的访问和处理,支持大数据应用安全高效运行的软硬件集合。注:大数据平台通常包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。3.39接口
25、服务 interface service依托应用程序编程接口技术实现内部与外部互联的服务模式。4缩略语下列缩略语适用于本文件。AP:无线访问接入点(Wireless Access Point)API:应用程序编程接口(Application Programming Interface)CPU:中央处理单元(Central Processing Unit)DDoS:分布式拒绝服务攻击(Distributed Denial ofService)DoS:拒绝服务(Denial of Service)IP:互联网协议(Internet Protocol)IT:信息技术(Information Tech
26、nology)RFID:射频识别(Radio Frequency Identification)SSID:服务集标识(Service Set Identifier)SQL:结构化查询语言(Structured Query Language)TCB:可信计算基(Trusted Computing Base)VPN:虚拟专用网络(Virtual Private Network)WEP:有线等效加密(Wired Equivalent Privacy)WPS:WiFi保护设置(WiFi Protected Setup)XSS:跨站脚本攻击(Cross-Site Scripting)5网络安全等级保护概
27、述5.1等级保护对象等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相JR/T 0071.220207关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。等级保护对象的安全保护等级确定方法见 GB/T 222402020。5.2不同级别的安全保护能力不同级别的
28、等级保护对象应具备的基本安全保护能力如下:第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及
29、其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。第五级安全保护能力:在此不做说明。5.3安全通用要求和安全扩展要求由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移
30、动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择见附录 A,整体安全保护能力的要求见附录 B
31、 和附录C。本部分针对云计算、移动互联、物联网、大数据系统提出了安全扩展要求。云计算应用场景参见附录 D,移动互联应用场景参见附录 E,物联网应用场景参见附录 F,大数据应用场景参见附录G。对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。5.4金融行业增强性安全要求本部分新增“金融行业增强性安全要求(F 类)”,金融行业增强性安全要求在结合金融行业相关规定的基础上对等级保护要求进行补充和完善,F2 表示二级增强性安全要求,F3 表示三级增强性JR/T 0071.220208安全要求,F4 表示四级增强性安全要求。6网络安全
32、保障框架6.1概述以国家等级保护要求为原则,以金融行业特点为基础,形成了兼顾技术与管理的金融行业网络安全保障总体框架,如图 1 所示。金融行业网络安全保障总体框架包含两项要求和两个体系,遵循技管交互、综合保障的原则。图 1网络安全保障总体框架图两项要求指由技术要求和管理要求综合形成的保障要求,技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。两个体系指由技术体系和管理体系综合形成的保障体系。技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边
33、界、安全通信网络与安全管理中心,并且结合金融行业的系统与业务现状,进行分区分域保护;管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法。技管交互指技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。JR/T 0071.220209综合保障指该框架通过对保障要求和保障方法的综合考虑,通过技术与管理的有效结合,在遵循国家等级保护要求的前提下,满足金融行业的业务特殊性要求。6.2技术体系金融行业网络安全等级保护基本要求结合GB/T 250702019
34、中的安全域模型,将“安全域纵深防护”“多层次立体防御”和“网络安全等级保护”等安全防护思想相结合,建立金融行业网络安全保障技术体系模型。依据金融行业的组织结构、网络架构将每个机构作为一个整体保护对象,设计金融机构网络安全保障框架,如图2所示,总部和各个分支机构都是独立的安全域,每个安全域又细分安全计算环境域、安全区域边界、安全通信网络和安全支撑设施域,各金融机构根据本机构结构情况参考执行。图 2金融机构网络安全保障总体技术架构图通过划分安全域的方法,将金融行业等级保护对象按照业务流程及特点、重要程度和不同层面划分为不同的安全域,各个安全域内部又可以划分为不同的安全子域,并针对每个安全域或安全子
35、域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施,从而建立纵深防御体系,实现深度防护的目标。安全计算环境包含保障终端安全、服务器操作系统安全、网络设备安全、数据库安全、上层应用系统安全以及应用业务处理全过程的安全等。通过在操作系统核心层设置以访问控制为主体的系统安全机制,形成严密的安全保护环境,从而有效防止非授权用户访问和授权用户越权访问,为定级对象的正常运行、免遭恶意破坏提供支撑和保障。安全区域边界指通过对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界。不同定级对象之间存在业务互联和数据互联,但是不同定级对象间
36、存在安全级别、安全风险不同的情况,安全区域边界必须确保不同等级对象之间的可信互联,必须基于较高级别对象或安全域的安全防护要求设置可信互联安全策略,通过对不同等级对象之间的可信互联进行严JR/T 0071.2202010格约束,保证不会出现因高级别对象与低级别对象之间的防护差异而导致的安全漏洞。安全通信网络通过合理规划网络区域、分配网络资源以及设计安全的网络架构,保证网络的可用性,实现不同网络区域之间的安全隔离。通过对通信双方进行可信鉴别验证,建立安全通道,并实施数据传输保护,确保数据在传输过程中不会被窃听、篡改和破坏。安全支撑设施对计算环境、区域边界和通信网络实施统一的安全策略管理,确保系统配
37、置完整可信,用户操作权限严格划分和审计全程追踪,从功能上可细分为系统管理、安全管理、审计管理以及物理支撑设施管理等,各管理员职责和权利明确,相互制约。6.3管理体系要建成完善的安全管理体系,首先根据金融机构信息化建设进程的实际需求,逐步建立起安全管理组织架构和各项安全管理制度,配备相应的安全管理人员。其次通过对制度的执行,提高网络安全保障能力,后续根据执行结果检查各项制度存在的问题并对制度进行改进。从而形成建立、实施和执行、监控和审计、保持和改进的循环过程,形成完善的管理体系。如图3所示。图 3网络安全管理体系框架图JR/T 0071.2202011安全管理内容涵盖组织、人员、支撑设施三大类。
38、其中,组织涉及机构与制度管理;人员涉及人员管理;支撑设施涉及系统建设和系统运维管理。7第二级安全要求7.1安全通用要求7.1.1安全物理环境7.1.1.1物理位置选择本项要求包括:a)机房场地应选择在具有防震、防风和防雨等能力的建筑内。b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。7.1.1.2物理访问控制本项要求包括:a)机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。b)可对机房划分区域进行管理,并根据各区域特点提出相应的访问控制要求。(可对机房划分区域进行管理,并根据各区域特点提出相应的访问控制要求。(F2F2)7.1.1.3防盗窃和防破坏
39、本项要求包括:a)应将设备或主要部件进行固定,并设置明显的不易除去的标识。b)应将通信线缆铺设在隐蔽安全处。c)应建立机房应建立机房视频监控系统视频监控系统和和动环监控系统,对机房风冷水电设备、消防设施、门禁系统等重动环监控系统,对机房风冷水电设备、消防设施、门禁系统等重要设施实行全面监控,视频监控记录和门禁系统出入记录至少保存要设施实行全面监控,视频监控记录和门禁系统出入记录至少保存3 3个月。(个月。(F2F2)7.1.1.4防雷击应将各类机柜、设施和设备等通过接地系统安全接地。7.1.1.5防火本项要求包括:a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火。b)机房
40、及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。c)机房内部通道设置、装修装饰材料、设备线缆等应满足消防要求,并对机房进行消防验收。机房内部通道设置、装修装饰材料、设备线缆等应满足消防要求,并对机房进行消防验收。(F2F2)7.1.1.6防水和防潮本项要求包括:a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。7.1.1.7防静电应采用防静电地板或地面并采用必要的接地防静电措施。JR/T 0071.22020127.1.1.8温湿度控制应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。7.1.1.9电力供应
41、本项要求包括:a)应在机房供电线路上配置稳压器和过电压防护设备。b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求。c)机房重要区域、重要设备应提供机房重要区域、重要设备应提供UPSUPS供电。(供电。(F2F2)7.1.1.10电磁防护电源线和通信线缆应隔离铺设,避免互相干扰。7.1.2安全通信网络7.1.2.1网络架构本项要求包括:a)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址。b)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段。7.1.2.2通信传输应采用校验技术保证通信过程中数据的完整性。7.1.2.
42、3可信验证可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。7.1.3安全区域边界7.1.3.1边界防护应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信。7.1.3.2访问控制本项要求包括:a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信。b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化。c)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出。d)
43、应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。控制粒度为网段级。(F2F2)7.1.3.3入侵防范应在关键网络节点处监视网络攻击行为。7.1.3.4恶意代码和垃圾邮件防范JR/T 0071.2202013本项要求包括:a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新。b)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。(F2F2)7.1.3.5安全审计本项要求包括:a)应在网络边界、重要网络节点进行安全审计,审计覆
44、盖到每个用户,对重要的用户行为和重要安全事件进行审计。b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。7.1.3.6可信验证可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。7.1.4安全计算环境7.1.4.1身份鉴别本项要求包括:a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,静态口令应在静态口令应在8 8位以上位以上,由字母由字母、数字、符号等混合
45、组成数字、符号等混合组成并定期更换。(F2F2)b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。7.1.4.2访问控制本项要求包括:a)应对登录的用户分配账户和权限。b)应重命名或删除默认账户,修改默认账户或预设账户预设账户的默认口令。(F2F2)c)应及时删除或停用多余的、过期的账户,避免共享账户的存在。d)应授予管理用户所需的最小权限,实现管理用户的权限分离。e)应严格限制默认账户或预设账户的权限,如默认账户和预设账户的权限应为空权限或某单一应严格限制默认账户或预设
46、账户的权限,如默认账户和预设账户的权限应为空权限或某单一功能专用权限等。(功能专用权限等。(F2F2)7.1.4.3安全审计本项要求包括:a)应提供安全审计功能,审计应覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计记录保存审计记录保存时间应不少于时间应不少于 6 6 个月个月。(F2F2)d)审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的一致性与正审计记录产生时的时间应由系统范围内唯一确定的时钟产生
47、,以确保审计分析的一致性与正确性。(确性。(F2F2)7.1.4.4入侵防范本项要求包括:JR/T 0071.2202014a)应遵循最小安装的原则,仅安装需要的组件和应用程序。b)应关闭不需要的系统服务、默认共享和高危端口。c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求。e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。f)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时
48、提供报警。(F2F2)g)所有安全计算环境设备应全部专用化,不得进行与业务不相关的操作。(所有安全计算环境设备应全部专用化,不得进行与业务不相关的操作。(F2F2)h)应能够有效屏蔽系统技术错误信息应能够有效屏蔽系统技术错误信息,不得将系统产生的错误信息直接或间接反馈到前台界面不得将系统产生的错误信息直接或间接反馈到前台界面。(F2F2)7.1.4.5恶意代码防范应安装防恶意代码软件或配置具有相应功能的软件,并定期统一统一进行升级和更新防恶意代码库。(F2F2)7.1.4.6可信验证可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在检测到其可信性受到破坏
49、后进行报警,并将验证结果形成审计记录送至安全管理中心。7.1.4.7数据完整性应采用校验技术保证重要数据在传输和存储存储过程中的完整性。(F2F2)7.1.4.8数据保密性应采用加密或其他保护措施保证鉴别信息在应采用加密或其他保护措施保证鉴别信息在传输和存储传输和存储过程中的保密性过程中的保密性。(F2F2)7.1.4.9数据备份恢复本项要求包括:a)应提供重要数据的本地数据备份与恢复功能。b)应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。7.1.4.10剩余信息保护应保证操作系统、数据库系统和应用系统用户操作系统、数据库系统和应用系统用户鉴别信息所在的存储空间被释放或
50、重新分配前得到完全清除,无论这些信息是存放在硬盘上还是内存中。(无论这些信息是存放在硬盘上还是内存中。(F2F2)7.1.4.11个人信息保护本项要求包括:a)金融机构在收集、使用个人金融信息金融机构在收集、使用个人金融信息时时,应遵循合法、正当、必要的原则,应以隐私政策等,应遵循合法、正当、必要的原则,应以隐私政策等方式公开收集、使用规则,向个人金融信息主体明示收集、使用信息的目的、方式和范围,方式公开收集、使用规则,向个人金融信息主体明示收集、使用信息的目的、方式和范围,并获得个人信息主体的同意。(并获得个人信息主体的同意。(F2F2)b)应仅采集和保存业务必需的用户个人金融金融信息。(F