[PDF] JR/T 0071.2-2020 - 英文版
| 标准号码 | 美元 | 购买PDF | 工期 | 标准名称(英文版) |
| JR/T 0071.2-2020 | 2389 | JR/T 0071.2-2020 | <=10 | 金融行业网络安全等级保护实施指引 第2部分:基本要求 |
| 基本信息 | |
|---|---|
| 标准编号 | JR/T 0071.2-2020 (JR/T0071.2-2020) |
| 中文名称 | 金融行业网络安全等级保护实施指引 第2部分:基本要求 |
| 英文名称 | Implementation guidelines for classified protection of cybersecurity of the financial industry - Part 2: Basic Requirements |
| 行业 | 金融行业标准 (推荐) |
| 中标分类 | A11 |
| 国际标准分类 | 03.060 |
| 字数估计 | 109,126 |
| 发布日期 | 2020 |
| 实施日期 | 2020-11-11 |
| 发布机构 | 中国人民银行 |
JR/T 0071.2-2020: 金融行业网络安全等级保护实施指引 第2部分:基本要求
JR/T 0071.2-2020 英文名称: Implementation guidelines for classified protection of cybersecurity of the financial industry - Part 2: Basic Requirements
中 华 人 民 共 和 国 金 融 行 业 标 准
代替 JR/T 0071-2012
金融行业网络安全等级保护实施指引
第 2部分:基本要求
中国人民银行 发 布
1 范围
本部分规范了金融行业网络安全保障框架和不同安全等级对应的安全要求。
本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级
保护工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
5.1 等级保护对象
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相
关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基
础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网和采用移动互联技术的系统等。等
级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩
序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护
等级。
等级保护对象的安全保护等级确定方法见 GB/T 22240-2020。
5.2 不同级别的安全保护能力
不同级别的等级保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、
一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够
恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶
意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的
安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰
富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主
要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝
大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有
丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源
损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:在此不做说明。
5.3 安全通用要求和安全扩展要求
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同
的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云
计算平台/系统、大数据平台/系统、物联网系统等。形态不同的等级保护对象面临的威胁有所不同,
安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性
化保护,等级保护要求分为安全通用要求和安全扩展要求。
安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等
级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和
使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成
了对等级保护对象的安全要求。安全要求的选择见附录 A,整体安全保护能力的要求见附录 B 和附录
C。
本部分针对云计算、移动互联、物联网、大数据系统提出了安全扩展要求。云计算应用场景参
见附录 D,移动互联应用场景参见附录 E,物联网应用场景参见附录 F,大数据应用场景参见附录 G。
对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全
风险采取特殊的安全措施作为补充。
5.4 金融行业增强性安全要求
本部分新增“金融行业增强性安全要求(F类)”,金融行业增强性安全要求在结合金融行业相
关规定的基础上对等级保护要求进行补充和完善,F2 表示二级增强性安全要求,F3 表示三级增强性
安全要求,F4 表示四级增强性安全要求。
6 网络安全保障框架
6.1 概述
以国家等级保护要求为原则,以金融行业特点为基础,形成了兼顾技术与管理的金融行业网络安全
保障总体框架,如图 1 所示。金融行业网络安全保障总体框架包含两项要求和两个体系,遵循技管交互、
综合保障的原则。
两项要求指由技术要求和管理要求综合形成的保障要求,技术要求涉及安全物理环境、安全通信网
络、安全区域边界、安全计算环境、安全管理中心五方面要求;管理要求涉及安全管理制度、安全管理
机构、安全管理人员、安全建设管理和安全运维管理五方面要求。
两个体系指由技术体系和管理体系综合形成的保障体系。技术体系以“一个中心,三重防护”为核
心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心,并且结合金融行业的系统
与业务现状,进行分区分域保护;管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保
持和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法。
技管交互指技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保
障方法两方面体现技术与管理并重的基本思想。
综合保障指该框架通过对保障要求和保障方法的综合考虑,通过技术与管理的有效结合,在遵循国
家等级保护要求的前提下,满足金融行业的业务特殊性要求。
6.2 技术体系
金融行业网络安全等级保护基本要求结合GB/T 25070-2019中的安全域模型,将“安全域纵深防护”
“多层次立体防御”和“网络安全等级保护”等安全防护思想相结合,建立金融行业网络安全保障技术
体系模型。依据金融行业的组织结构、网络架构将每个机构作为一个整体保护对象,设计金融机构网络
安全保障框架,如图2所示,总部和各个分支机构都是独立的安全域,每个安全域又细分安全计算环境
域、安全区域边界、安全通信网络和安全支撑设施域,各金融机构根据本机构结构情况参考执行。
图 2 金融机构网络安全保障总体技术架构图
通过划分安全域的方法,将金融行业等级保护对象按照业务流程及特点、重要程度和不同层面划分
为不同的安全域,各个安全域内部又可以划分为不同的安全子域,并针对每个安全域或安全子域来标识
其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施,从而建立纵深
防御体系,实现深度防护的目标。
安全计算环境包含保障终端安全、服务器操作系统安全、网络设备安全、数据库安全、上层应用系
统安全以及应用业务处理全过程的安全等。通过在操作系统核心层设置以访问控制为主体的系统安全机
制,形成严密的安全保护环境,从而有效防止非授权用户访问和授权用户越权访问,为定级对象的正常
运行、免遭恶意破坏提供支撑和保障。
安全区域边界指通过对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系
统安全策略的信息流经过边界。不同定级对象之间存在业务互联和数据互联,但是不同定级对象间存在
安全级别、安全风险不同的情况,安全区域边界必须确保不同等级对象之间的可信互联,必须基于较高
级别对象或安全域的安全防护要求设置可信互联安全策略,通过对不同等级对象之间的可信互联进行严
格约束,保证不会出现因高级别对象与低级别对象之间的防护差异而导致的安全漏洞。
安全通信网络通过合理规划网络区域、分配网络资源以及设计安全的网络架构,保证网络的可用性,
实现不同网络区域之间的安全隔离。通过对通信双方进行可信鉴别验证,建立安全通道,并实施数据传
输保护,确保数据在传输过程中不会被窃听、篡改和破坏。
安全支撑设施对计算环境、区域边界和通信网络实施统一的安全策略管理,确保系统配置完整可信,
用户操作权限严格划分和审计全程追踪,从功能上可细分为系统管理、安全管理、审计管理以及物理支
撑设施管理等,各管理员职责和权利明确,相互制约。
6.3 管理体系
要建成完善的安全管理体系,首先根据金融机构信息化建设进程的实际需求,逐步建立起安全管理
组织架构和各项安全管理制度,配备相应的安全管理人员。其次通过对制度的执行,提高网络安全保障
能力,后续根据执行结果检查各项制度存在的问题并对制度进行改进。从而形成建立、实施和执行、监
控和审计、保持和改进的循环过程,形成完善的管理体系。如图3所示。
7.1.3.5 安全审计
本项要求包括:
a) 应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要
安全事件进行审计。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。
7.1.3.6 可信验证
可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可
信验证,并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
7.1.4 安全计算环境
7.1.4.1 身份鉴别
本项要求包括:
a) 应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,静态口令应在8位以上,由字母、
数字、符号等混合组成并定期更换。(F2)
b) 应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动
退出等相关措施。
c) 当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。
7.1.4.2 访问控制
本项要求包括:
a) 应对登录的用户分配账户和权限。
b) 应重命名或删除默认账户,修改默认账户或预设账户的默认口令。(F2)
c) 应及时删除或停用多余的、过期的账户,避免共享账户的存在。
d) 应授予管理用户所需的最小权限,实现管理用户的权限分离。
e) 应严格限制默认账户或预设账户的权限,如默认账户和预设账户的权限应为空权限或某单一
功能专用权限等。(F2)
7.1.4.3 安全审计
本项要求包括:
a) 应提供安全审计功能,审计应覆盖到每个用户,对重要的用户行为和重要安全事件进行审计。
b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。
c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等,审计记录保存
时间应不少于 6 个月。(F2)
d) 审计记录产生时的时间应由系统范围内唯一确定的时钟产生,以确保审计分析的一致性与正
确性。(F2)
7.1.4.4 入侵防范
本项要求包括:
a) 应遵循最小安装的原则,仅安装需要的组件和应用程序。
b) 应关闭不需要的系统服务、默认共享和高危端口。
c) 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制。
d) 应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定
要求。
e) 应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞。
f) 应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。(F2)
g) 所有安全计算环境设备应全部专用化,不得进行与业务不相关的操作。(F2)
h) 应能够有效屏蔽系统技术错误信息,不得将系统产生的错误信息直接或间接反馈到前台界面。
(F2)
7.1.4.5 恶意代码防范
应安装防恶意代码软件或配置具有相应功能的软件,并定期统一进行升级和更新防恶意代码库。
(F2)
7.1.4.6 可信验证
可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,
并在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。
7.1.4.7 数据完整性
应采用校验技术保证重要数据在传输和存储过程中的完整性。(F2)
7.1.4.8 数据保密性
应采用加密或其他保护措施保证鉴别信息在传输和存储过程中的保密性。(F2)
7.1.4.9 数据备份恢复
本项要求包括:
a) 应提供重要数据的本地数据备份与恢复功能。
b) 应提供异地数据备份功能,利用通信网络将重要数据定时批量传送至备用场地。
7.1.4.10 剩余信息保护
应保证操作系统、数据库系统和应用系统用户鉴别信息所在的存储空间被释放或重新分配前得到
完全清除,无论这些信息是存放在硬盘上还是内存中。(F2)
7.1.4.11 个人信息保护
本项要求包括:
a) 金融机构在收集、使用个人金融信息时,应遵循合法、正当、必要的原则,应以隐私政策等
方式公开收集、使用规则,向个人金融信息主体明示收集、使用信息的目的、方式和范围,
并获得个人信息主体的同意。(F2)
b) 应仅采集和保存业务必需的用户个人金融信息。(F2)
c) 应根据“业务需要”和“最小权限”原则,进行个人金融信息相关权限管理,严格控制和分
配相关操作权限,应禁止未授权访问和非法使用用户个人金融信息。(F2)
d) 金融机构应依据 JR/T 0171-2020 对个人金融信息收集、传输、存储、使用、删除、销毁等
处理的整个过程进行管理与控制,并对个人金融信息生命周期过程进行安全检查与评估。(F2)
e) 金融机构应依据国家与行业主管部门要求,对通过计算机屏幕、客户端软件、银行卡受理设
备、ATM 设......