人民银行信息系统信息安全等级保护实施指引(试行)

上传人:l**** 文档编号:60871338 上传时间:2018-11-19 格式:PDF 页数:168 大小:2.24MB
返回 下载 相关 举报
人民银行信息系统信息安全等级保护实施指引(试行)_第1页
第1页 / 共168页
人民银行信息系统信息安全等级保护实施指引(试行)_第2页
第2页 / 共168页
人民银行信息系统信息安全等级保护实施指引(试行)_第3页
第3页 / 共168页
人民银行信息系统信息安全等级保护实施指引(试行)_第4页
第4页 / 共168页
人民银行信息系统信息安全等级保护实施指引(试行)_第5页
第5页 / 共168页
点击查看更多>>
资源描述

《人民银行信息系统信息安全等级保护实施指引(试行)》由会员分享,可在线阅读,更多相关《人民银行信息系统信息安全等级保护实施指引(试行)(168页珍藏版)》请在金锄头文库上搜索。

1、附件 1 人民银行信息系统人民银行信息系统 信息安全等级保护实施指引信息安全等级保护实施指引 (试行试行) 2011 年年 6 月月 中国人民银行人民银行信息系统信息安全等级保护实施指引 第页1 目录 编制说明.1 1 概述.1 1.1 目的.2 1.2 范围.2 1.3 术语.3 1.4 引用文件.4 2 指引编制策略.4 2.1 国家等级保护要求.4 2.1.1 基本要求.5 2.1.2 设计要求.6 2.2 人民银行架构特点.7 2.2.1 网络结构与联网机构关系. 7 2.2.2 业务接入及系统特点. 12 2.3 指导思想.14 2.3.1 纵深防御设计的必要性. 15 2.3.2

2、基本要求与纵深防御设计结合的意义. 15 2.3.3 安全域设计.16 3 信息安全保障框架.18 3.1 总体框架.18 3.2 技术体系.20 3.2.1 计算环境.22 3.2.2 区域边界.23 3.2.3 通信网络.23 3.2.4 支撑设施.24 3.3 管理体系.24 4 保护要求.25 4.1 二级要求.25 4.1.1 技术要求.25 4.1.2 管理要求.32 4.2 三级要求.42 4.2.1 技术要求.42 4.2.2 管理要求.53 4.3 四级要求.68 4.3.1 技术要求.68 4.3.2 管理要求.80 附录.97 1 等级保护实施措施.97 1.1 网络安全

3、.97 1.1.1 二级要求及措施.97 1.1.2 三级要求及措施.102 1.1.3 四级要求及措施. 112 中国人民银行人民银行信息系统信息安全等级保护实施指引 第页2 1.2 主机安全.122 1.2.1 二级要求及措施.122 1.2.2 三级要求及措施.125 1.2.3 四级要求及措施.131 1.3 应用安全.137 1.3.1 二级要求及措施.137 1.3.2 三级要求及措施.141 1.3.3 四级要求及措施.146 1.4 数据安全.152 1.4.1 二级要求及措施.152 1.4.2 三级要求及措施.153 1.4.3 四级要求及措施.155 2 国库信息处理系统

4、等级保护案例分析. 157 2.1 现状.157 2.2 分区分域设计分析.157 2.3 基本要求分析.159 2.3.1 技术要求.159 2.3.2 管理要求.161 3 金融行业安全要求的选择和使用说明. 162 中国人民银行人民银行信息系统信息安全等级保护实施指引 第页1 编制说明编制说明 人民银行信息系统信息安全等级保护实施指引 (以下简称“实施指引” )编写的目的 是在满足人民银行信息安全发展需要,同时符合国家等级保护基本要求和设计技术要求, 为 人民银行的信息安全建设提供方法论、 具体的建设措施及技术指导。 本实施指引依据国家 信 息系统安全等级保护基本要求和信息系统等级保护安

5、全设计技术要求标准,结合人民 银行特点, 对人民银行的信息安全体系架构采用分区分域设计、 对不同等级的应用系统进行 具体要求,以保障将国家等级保护要求行业化,具体化,提高我行重要网络和信息系统信息 安全防护水平。 根据人民银行及金融行业特点本实施指引补充细化国家 信息系统安全等级保护基本要 求 (GB/T 22239-2008)二级、三级、四级要求项(第四章保护要求中加粗要求项加粗要求项) ,并新 增追加金融行业增强安全保护类(金融行业增强安全保护类(F类) ,类) ,F类要求作为金融行业的增强性安全要求分布在S、 A、G类的要求中。根据定级系统服务保证性等级选择相应等级的系统服务保证类(A类

6、)基 本安全要求;根据业务信息安全性等级选择相应等级的业务信息安全类(S类)基本安全要 求。例如,TIPS系统定级为S3、A2,最终定级为三级系统,那么可按照S3类基本安全要求和 A2类基本安全要求进行系统建设。 人民银行重要的非涉密信息系统是由二级系统、三级系统、四级系统组成。人民银行网 络由办公网、 业务网和互联网组成, 办公网为涉密网, 人民银行的三网均为单独的网络系统, 彼此物理隔离。本实施指引为人民银行业务网及网内信息系统提出安全要求和建议措施。 人 民银行总行的业务网定为三级, 因此人民银行总行的网络要求和整体架构安全强度按照等级 保护第三级来设计, 涉及二级系统和四级系统的区域则

7、采取降低或加强的方式, 公共链路和 支撑基础设施部分按照就高原则来建设, 以保证信息系统安全要求符合等级保护基本要求的 二级和四级要求。此外,本实施指引只涉及二级、三级、四级信息系统的安全要求和实施措 施。 附录中的等级保护实施措施为根据第4章节保护要求, 依据目前行业内通用建设实施措 施给出的参考措施。 1概述概述 随着信息技术的高速发展和网络应用的迅速普及, 信息系统的基础性、 全局性作用日益 增强, 信息资源更成为国家经济建设和社会发展的重要战略资源之一。 金融信息系统是结构 复杂、技术密集、数据重要、用户众多的巨型人机系统。正因如此,系统本身存在较多的脆 中国人民银行人民银行信息系统信

8、息安全等级保护实施指引 第页2 弱性(如软件漏洞、硬件故障、人员安全意识不足等) ,同时也面临来自内部和外部的众多 威胁(如内部人员恶意破坏、外部网络黑客、病毒等恶意程序、各种自然灾害等) ,使得信 息安全面临严峻的挑战。 在信息化的进程中, 信息安全保障程度直接关系信息系统和基础设施的正常运转, 关系 金融安全、 社会稳定和国家安全, 因此保障人民银行信息安全已经成为保障中央银行履行职 能、防范金融风险的重要任务,其地位和作用将越来越重要。 根据国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知 (国办发200883号) ,人民银行负责“指导、协调金融业信息安全工作” 。信

9、息安全等级保 护工作作为我国信息安全保障的一项基本制度, 落实信息安全等级保护, 是信息安全保障工 作的一项重要内容。人民银行是实施金融行业信息安全等级保护工作的指导管理和协调机 构。 为了使等级保护制度落到实处, 结合金融业对数据安全与业务连续性和系统服务安全要 求,人民银行计划制定落地的等级保护系列标准,为满足金融业的特殊需求,该系列标准将 在国家等级保护相关标准要求的基础上, 创新增加信息安全体系架构、 业务类型的分类保护、 安全域的模型分析与建设措施等方面的内容。 在分析和识别行业特点和要求的基础上,建设一个金融信息安全等级保护标准体系, 为 金融行业实施信息安全等级保护提供依据和指南

10、。 1.1 目的目的 通过编写符合国家等级保护要求, 同时满足人民银行信息安全发展需要的等级保护实施 指引, 为人民银行及金融业的信息安全建设提供方法论和具体的建设措施及技术指导。 结合 国家等级保护基本要求和等级保护设计技术要求, 从技术框架层面, 提出体系化的信息安全 策略和防护措施。实施等级保护、纵深防御战略,为保障重要数据安全和系统运行安全提供 方法指导。 为网络和信息系统的安全规划建设提供安全规范性指导。 指导金融行业落实国家 等级保护相关工作,做好信息安全保障工作。 1.2 范围范围 本实施指引适用于人民银行总行及直属企事业单位、 分支机构、 与金融城市网联网的外 联机构的系统规划

11、建设部门(业务与技术) 、应用开发部门、系统运行部门、安全管理部门、 系统使用部门、内部监察、审计等部门。也可作为信息安全职能部门进行监督、检查和指导 的依据。随着内容的补充和丰富,为等级保护工作的开展提供指导。 中国人民银行人民银行信息系统信息安全等级保护实施指引 第页3 1.3 术语术语 1.敏感数据敏感数据 敏感数据是指一旦泄露可能会对用户或人民银行造成损失的数据,包括但不限于: 1)用户敏感数据,如用户口令、密钥; 2)系统敏感数据,如系统的密钥、关键的系统管理数据; 3)其他需要保密的敏感业务数据; 4)关键性的操作指令; 5)系统主要配置文件; 6)其他需要保密的数据。 2.风险风

12、险 某种威胁存在利用一种资产或若干资产的脆弱性使这些资产损失或破坏的可能性。 3.安全策略安全策略 主要指为信息系统安全管理制定的行动方针、路线、工作方式、指导原则或程序。 4.安全需求安全需求 为使设备、信息、应用及设施符合安全策略的要求而需要采取的保护类型及保护等级。 5.完整性完整性 包括数据完整性和系统完整性。 数据完整性表征数据所具有的特征, 即无论数据形式作 何变化, 数据的准确性和一致性均保持不变的程度; 系统完整性表征系统在防止非授权用户 修改或使用资源和防止授权用户不正确地修改或使用资源的情况下, 系统能履行其操作目的 的品质。 6.可用性可用性 表征数据或系统根据授权实体的

13、请求可被访问与使用程度的安全属性。 7.弱口令弱口令 指在计算机使用过程中,设置的过于简单或非常容易被破解的口令或密码。 8.缩略语缩略语 以下缩略语和符号表示适用于本指引: TIPS国库信息处理系统(Treasury Information Process System) 中国人民银行人民银行信息系统信息安全等级保护实施指引 第页4 TCBS国库会计数据集中系统(Treasury Centralized Book System) FIMS财务综合管理信息系统(Financial Integrated Information Management System) PKI公钥基础设施(Publi

14、c Key Infrastructure) CA数字证书签发和管理机构(Certification Authority) 1.4 引用文件引用文件 1)信息系统安全等级保护基本要求 (GB/T 222392008) 2)信息系统等级保护安全设计技术要求 (GB/T 250702010) 3)信息保障技术框架 (IATF) 4)中国人民银行计算机机房规范化工作指引 (银办发20069号印发) 5)中国人民银行信息系统安全配置指引(银科技200673号印发) 6)中国人民银行计算机系统信息安全管理规定 (银发2010276号印发) 7)中国人民银行信息系统建设安全指引(试行) (银科技201022

15、1号印发) 8)中国人民银行信息安全检查管理办法(试行) (银科技201033号印发) 9)中国人民银行IT应急预案指引 (银办发2006154号) 10)银行业信息系统灾难恢复管理规范(JR/T 00442008) 2指引编制策略指引编制策略 2.1 国家等级保护要求国家等级保护要求 国家针对等级保护制定了一系列的法规和标准, 这些法规和标准是建设等级保护系统的 依据。目前,我国共制定了和发布了约 50 余个国标、行标以及已报批标准,初步形成了信 息安全等级保护标准体系。这些标准分别从基础、设计、实施、管理、制度等各个方面对信 息安全等级保护提出了要求和建议,为信息系统的使用者、设计者、建设

16、者提供了管理规范 和技术标准,如图 1 所示。 中国人民银行人民银行信息系统信息安全等级保护实施指引 第页5 图图 1 信息安全等级保护整体要求信息安全等级保护整体要求 2.1.1基本要求基本要求 信息系统应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护 能力,不同安全保护等级的信息系统应具有不同的安全保护能力。 信息安全技术 信息系统安全等级保护基本要求信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)(以下简称基 本要求 )是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求。 根据实现方式的不同, 基本安全要求分为基本技术要求和基本管理要求两大类, 用于指导不 同安全保护等级信息系统的安全建设和监督管理, 如图 2 所示。 技术类安全要求与信息系统 提供的技术安全机制有关, 主要通过在信息系统中部署软硬件并正确的配置其安全功能来实 现; 管理类安全要求与信息系统中各种角色参与的活动有关, 主要通过控制各种角色

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号