《证券期货行业信息安全重点技术》由会员分享,可在线阅读,更多相关《证券期货行业信息安全重点技术(66页珍藏版)》请在金锄头文库上搜索。
1、JR/T XXXXXXXX中华人民共和国金融行业标准 JR证券期货业信息系统安全等级保护基本要求Securities and futures industryBaseline for classified protection of information system(报批稿)2010-xx-xx 发布2010-xx-xx实施中国证券监督管理委员会 发布目 次前 言1引 言21.范围32.规范性引用文件33.术语和定义34.证券期货业信息系统安全等级保护概述34.1.证券期货业信息系统安全保护等级34.2.不同等级的安全保护能力34.3.基本技术要求和基本管理要求44.4.基本技术要求的三种
2、类型45.第一级基本要求55.1.技术要求55.1.1.物理安全55.1.2.网络安全65.1.3.主机安全65.1.4.应用安全75.1.5.数据安全及备份恢复75.2.管理要求85.2.1.安全管理制度85.2.2.安全管理机构85.2.3.人员安全管理85.2.4.系统建设管理95.2.5.系统运维管理106.第二级基本要求126.1.技术要求126.1.1.物理安全126.1.2.网络安全136.1.3.主机安全156.1.4.应用安全166.1.5.数据安全及备份恢复186.2.管理要求186.2.1.安全管理制度186.2.2.安全管理机构186.2.3.人员安全管理196.2.4
3、.系统建设管理206.2.5.系统运维管理217.第三级基本要求247.1.技术要求247.1.1.物理安全247.1.2.网络安全277.1.3.主机安全297.1.4.应用安全317.1.5.数据安全及备份恢复337.2.管理要求347.2.1.安全管理制度347.2.2.安全管理机构357.2.3.人员安全管理367.2.4.系统建设管理377.2.5.系统运维管理398.第四级基本要求438.1.技术要求438.1.1.物理安全438.1.2.网络安全468.1.3.主机安全488.1.4.应用安全508.1.5.数据安全及备份恢复538.2.管理要求538.2.1.安全管理制度538
4、.2.2.安全管理机构548.2.3.人员安全管理558.2.4.系统建设管理568.2.5.系统运维管理599.第五级基本要求63附录A(规范性附录)关于证券期货业信息系统整体安全保护能力的要求64附录B(规范性附录)证券期货业重要信息系统安全要求的选择和使用65前 言本标准附录A和附录B是规范性附录。本标准由全国金融标准化技术委员会证券分技术委员会提出。本标准由全国金融标准化技术委员会归口管理。本标准已经征得公安部同意,本标准起草单位:中国证券监督管理委员会信息中心、深圳证券交易所、郑州商品交易所、深圳证券通信公司、上海期货信息技术有限公司、国泰君安证券股份有限公司、兴业证券股份有限公司、
5、南方基金管理有限公司、公安部信息安全等级保护评估中心、中国信息安全测评中心、上海市信息安全测评认证中心。本标准主要起草人:张野、戴文华、杨淑琴、罗凯、邹胜、邓晖、陈恺、王伟喜、马晨、王孝伟、万璟、陈友清、俞枫、刘斌、王肇东、吴越、葛峰、王伟强、陈凯晖、黎峰、马力、曲洁、班晓芳、应力、徐御。本标准为首次发布。引 言本标准依据国家信息安全等级保护管理规定制定。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。本标准从证券期货业实际情况出发,对信息系统安全等级保护基本要求(GB/T 22239-2008)的有关要求进行了明确、细化和调整,提出和规定了证券期货业不同
6、等级信息系统的安全要求,适用于指导证券期货业按照等级保护要求进行安全建设、测评和监督管理。本标准文字中,明确、细化和调整的内容以楷体字表示。证券期货业信息系统安全等级保护基本要求1. 范围本标准规定了证券期货业不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。凡是不注明日期的引用文件,其
7、最新版本适用于本标准。GB/T 5271.8 信息技术 词汇 第8部分:安全(GB/T5271.8-2001,idt ISO/IEC 2382-8:1998)GB17859 计算机信息系统安全保护等级划分准则GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求3. 术语和定义GB/T 5271.8和GB 17859-1999确定的以及下列术语和定义适用于本标准。3.1.安全保护能力 security protection ability系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状
8、态等的程度。4. 证券期货业信息系统安全等级保护概述4.1. 证券期货业信息系统安全保护等级证券期货业信息系统根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、资本市场稳定、公共利益以及投资者、法人和其他组织的合法权益的危害程度,由低到高划分为五级,五级定义见GB/T 22240-2008。4.2. 不同等级的安全保护能力不同等级的信息系统应具备的基本安全保护能力如下:第一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。第二级安全
9、保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。第三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻
10、击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。第五级安全保护能力,(略)。4.3. 基本技术要求和基本管理要求证券期货业信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力,不同安全保护等级的证券期货业信息系统要求具有不同的安全保护能力。基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求,根据实现方式的不同,基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确
11、的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保
12、证信息系统的整体安全保护能力。关于证券期货业信息系统整体安全保护能力的说明见附录A。对于涉及国家秘密的信息系统,应按照国家保密工作部门的相关规定和标准进行保护。对于涉及密码的使用和管理,应按照国家密码管理的相关规定和标准实施。4.4. 基本技术要求的三种类型根据保护侧重点的不同,技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);通用安全保护类要求(简记为G)。本标准中对基本安全要求使用了标记,其中的字母表示安全要求的类型,数字
13、表示适用的安全保护等级。针对不同机构、不同系统的特点,本标准对证券期货业已定级重要信息系统的安全要求和使用原则,参见附录B。5. 第一级基本要求5.1. 技术要求5.1.1. 物理安全5.1.1.1. 物理访问控制(G1)机房出入应安排专人负责,控制、鉴别和记录进入的人员。1) 机房出入应当安排专人负责管理,人员进出记录应至少保存3个月;2) 没有门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进出;3) 有门禁系统的机房,应当保存门禁系统的日志记录,采用监控设备将机房人员进入情况传输到值班点,并记录外来人员进出机房的情况。5.1.1.2. 防盗窃和防破坏(G1)本项要求包括:a)
14、应将主要设备放置在机房内;b)应将设备或主要部件进行固定,并设置明显的不易除去的标记。1) 主要设备应当安装、固定在机柜内或机架上;2) 主要设备、机柜、机架应有明显且不易除去的标识,如粘贴标签或铭牌。5.1.1.3. 防雷击(G1)机房建筑应设置避雷装置。机房或机房所在大楼,应设计并安装防雷击措施,防雷措施应至少包括避雷针或避雷器等。5.1.1.4. 防火(G1)机房应设置灭火设备。5.1.1.5. 防水和防潮(G1)本项要求包括:a)应对穿过机房墙壁和楼板的水管增加必要的保护措施;b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。5.1.1.6. 温湿度控制(G1)机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。1) 开机时机房温度应控制在18-28;2) 开机时机房相对湿度应控制在35%-75%;3) 停机时机房温度应控制在5-35;4) 停机时机房相对湿度应控制在20%-80%。5.1.1.7. 电力供应(A1)应在机房供电线路上配置稳压器和过电压防护设备。5.1.2. 网络安全5.1.2.1. 结构安全(G1)本项要求包括:a) 应保证关键网络设备的业务处理能力满足基本业务需要;b) 应保证接入网络和核心网络的带宽满足基本业务需要;c) 应绘制与当前运行情况相符的网络拓扑结构图。应绘制完整的网络拓扑结
