1 范围
本部分规范了金融行业网络安全保障框架刷个问安全等级对应的安全要求。
本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于木文件。
GB/T22239-2019信息安全技术网络安全等级保护基本要求
GB/T22240-2020信息安全技术网络安全等级保护定级指南
GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求
GB/T31167-2014信息安全技术云计算服务安全指南
GB/T 31168-2014信息安全技术云计算服务安全能力要求
GB/T324002015 信息技术云计算概览与词汇
G·/T0054-2018信息系统密码应用基本要求
JR/T0171-2020个人金融信息保护技术规范
3 术语和定义
下列术语和定义适用于本文件。
3.1 网络安全cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰簸坏和非法使用以及意外事故使网络处于稳定可靠尴行的收态。以及保障网络数据的完整性、保密性、可靠性性的能力.
[GB/T 22239-2019,定义3.1]
3.2 定级系统classified syste·
已确定安全保护等级的系统。
注1:定级系统分为第一级、第二级、第三级、第四级和第五级系统。
注2:改写GB/T25070-2019,定义3.2。
3.3 安全保护能力 security prc)tectic)n ability
能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。[GB/T22239-2019,定义3.2]
3.4 定级系统安全保护环境 security envirc)n·ent c)f classified syste·
由安全计算环境、安全区域边界、安全通信网络和(或)安全管理中心构成的对定级系统进行安全保护的环境。
[GB/T25070-2019,定义3.3]
3.5 安全计算环境 security cc)·puting envirc)n·ent
对定级系统的信息进行存储、处理及实施安全策略的相关部件。
[GB/T25070-2019,定义3.4]
3.6 安全区域边界 security area bc)undary
对定级系统的安全计算环境边界,以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件。
[GB/T 25070-2019,定义3.5]
3.7 安全通信网络security cc)··unicatic)n netwc)rk
对定级系统安全计算环境之间进行信息传输及实施安全策略的相关部件。[GB/T25070-2019,定义3.6]
3.8
安全管理中心 security ·anage·ent center
对定级系统的安全策略及安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理的平台或区域。
[GB/T 25070-2019,定义3.7]
3.9
跨定级系统安全管理中心security ·anage·ent center fc)r crc)ss classified
syste·
对相同或不同等级的定级系统之间互联的安全策略及安全互联部件上的安全机制实施统一管理的平台或区域。
[GB/T 25070-2019,定义3.8]
3.10
定级系统互联 classified syste· intercc)nnectic)n
通过安全互联部件和跨定级系统安全管理中心实现的相同或不同等级的定级系统安全保护环境之间的安全连接。
[GB/T 25070-2019,定义3.9]
3.11
云计算 clc)ud cc)·puting
通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。[GB/T31167-2014,定义3.1]
3.12
云服务 clc)ud service
通过云计算已定义的接口提供的一种或多种能力。[GB/T
32400-2015,定义3.2.8]
3.13
云服务商 clc)ud service prc)vider
云计算服务的供应方。
注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。
[GB/T31167-2014,定义3.3]
3.14
云服务客户clc)ud service custc)·er
为使用云计算服务同云服务商建立业务关系的参与方。
[GB/T31168-2014,定义3.4]
3.15
云计算平台/系统clc)ud cc)·puting platfc)r·/syste·
云服务商提供的云计算基础设施及其上的服务软件的集合。
[GB/T22239-2019,定义3.6]
3.16
团体云cc)··unity clc)ud
由一组特定的云服务客户使用和共享,.资源被云服务商或使用者控制的一种云部署和云服务模式。
3.17
基础设施即服务infrastructure as a serviceT laaS
云服务商向云服务客户提供可动态申请或释放的计算资源、存储资源、网络资源等基础设施的服务模式。
3.18
平台即服务platfc)r· as a service; PaaS
云服务商向云服务客户提供应用软件所需的支撑平台,供云服务客户在此基础上开发和提供相关应用的服务模式。
3.19
软件即服务 sc)ftware as a service; SaaS
云服务商向云服务客户提供运行在云基础设施之上的应用软件的服务模式。
3.20
虚拟机 virtual ·achine
通过各种虚拟化技术,为用户提供的与原有物理服务器相同的操作系统和应用程序运行环境的统称。
注:虚拟机通常使用物理服务器的资源,在用户看来其与物理服务器的使用方式完全相同。
3.21
资源池 resc)urce pc)c)l
按照一定规则可从中获取、释放、或回收资源的物理资源或虚拟资源的集合。
注:资源包括物理机、虚拟机、物理存储资源、虚拟存储资源、物理网络资源和虚拟网络资源等。
3.22
宿主机 hc)st ·achine
运行虚拟机监视器的物理服务器。[GB/T 22239-2019,定义3.8]
3.23
敏感数据 sensitive data
一旦泄露可能会对用户或金融机构造成损失的数据。
3.24
个人金融信息persc)nal financial infc)r·atic)n
金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。
注:个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。
[JR/T 0171-2020,定义3.2]
3.25
个人金融信息主体 persc)nal`financial
infc)r·atic)n subject
个人金融信息所标识的自然人。[JR/T 0171-2020,定义3.4]
3.26
移动互联 ·c)bile cc)··unicatic)n
采用无线通信技术将移动终端接入有线网络的过程。[GB/T 22239-2019,定义3.9]
3.27
移动终端 ·c)bile device
在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。
[GB/T22239-2019
定义3.IC)J
3.28
无线接入设备wireless access device
采用无线通信技术将移动终端接入有线网络的通信设备。
[GB/T
22239-2019,定义311]
3.29
无线接入网关 wireless access gateway
部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。
[GB/T
22239-2019,定义3.12]
3.30
移动应用软件 ·c)bile applicatic)n针对移动终端开发的应用软件。
[GB/T22239-2019,定义3.13]
3.31
移动终端管理系统·c)bile device ·anage·ent syste·
用于进行移动终端设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。
[GB/T 22239-2019,定义314]
3.32
物联网 internet c)f things; lc)T
将感知节点设备(含RFID)通过互联网等网络连接起来构成的一个应用系统,其融合信息系统和物理世界实体,是虚拟世界与现实世界的结合。
注:改写GB/T22239-2019,定义3.15。
3.33
网关节点设备 gateway nc)de
将感知节点设备所采集的数据传输到数据处理中心的关键出口,连接传统信息网络(有线网、移动网等)和传感网的设备。
注:简单的感知层网关只是对感知数据的转发(因电力充足),而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。
3.34
感知节点设备 sensc)r nc)de
物联网系统的最终端设备或器件,能够通过有线、无线方式发起或终结通信,采集物理信息和/或接受控制的实体设备。
注:感知节点设备也叫感知终端设备(end sensc)r)、终端感知节点设备(end sensc)r nc)de)。
3.35
感知网关节点设备 sensc)r layer gateway
将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。[GB/T22239-2019,定义317]
3.36
动态口令 c)ne-ti·e-passwc)rd(C)TP);dyna·ic
passwc)rd
基于时间、事件等方式动态生成的一次性口令。
[G·/T 0054-2018,定义3.1]
3.37
大数据big data
具有数量巨大、种类多样、流动速度快、特征多变等特性,并.难以用传统数据体系结构和委主据处理技水遭仔{î级组织、平手储、计算、分析和管理的数据集。
3.28
大数据平台big data platfc)r·
采用分布式存储和计算技术,提供大数据的访问和处理,支持大数据应用安全高效运行的软 提取图硬件集合。 提取图
注:大数据平台通常包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。 编辑
3.39
接口服务interface service
依托应用程序编程接口技术实现内部与外部互联的服务模式
4 缩语
下列缩略语适用于本文件。
AP:无线访问接入点(Wireless Access Pc)int)
API:应用程序编程接口(Applicatic)n Prc)gra··ing Interface)
CPU:中央处理单元(Central Prc)cessing Unit)
DDc)S:分布式拒绝服务攻击(Distributed Denial c)f Service)
Dc)S:拒绝服务(Denial c)f Service)
IP:互联网协议(Internet Prc)tc)cc)l)
IT:信息技术(Infc)r·atic)n Technc)lc)gy)
RFID:射频识别(Radic) Frequency Identificatic)n)
SSID:服务集标识(Service Set Identifier)
SQL:结构化查询语言(Structured Query Language)
TCB:可信计算基(Trusted Cc)·puting Base)
VPN:虚拟专用网络(Virtual Private Netwc)rk)
WEP:有线等效加密(Wired Equivalent Privacy)
WPS:WiFi保护设置(WiFiPrc)tected Setup)
XSS:跨站脚本攻击(Crc)ss-Site Scripting)
5网络全等级保护概述
5.1等级保护对象
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、物联网和采用移动互联技术的系统等。等级保护对象根据其在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等,由低到高被划分为五个安全保护等级。
等级保护对象的安全保护等级确定方法见GB/T22240-2020
5.2不同级别的安全保护能力
不同级别的等级保护对象应具备的基本安全保护能力如下:
第一级安全保护能力:应能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。
第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。
第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。
第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源
损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。
第五级安全保护能力:在此不做说明。
5.3安全通用要求和安全扩展要求
由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为了便于实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。
安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求:安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择见附录A,整体安全保护能力的要求见附录B和附录 C。
本部分针对云计算、移动互联、物联网、大数据系统提出了安全扩展要求。云计算应用场景参见附录D,移动互联应用场景参见附录E,物联网应用场景参见附录F,大数据应用场景参见附录G。对于采用其他特殊技术或处于特殊应用场景的等级保护对象,应在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。
5.4金融行业增强性安全要求
本部分新增“金融行业增强性安全要求(F类)”,金融行业增强性安全要求在结合金融行业相关规定的基础上对等级保护要求进行补充和完善,F2表示二级增强性安全要求,F3表示三级增强性
6网络安全保障框架
6.1 概述
以国家等级保护要求为原则,以金融行业特点为基础,形成了兼顾技术与管理的金融行业网络安全保障总体框架,如图1所示。金融行业网络安全保障总体框架包含两项要求和两个体系,遵循技管交互、综合保障的原则。
两项要求指由技术要求和管理要求综合形成的保障要求,技术要求涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五方面要求:管理要求涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五方面要求。
两个体系指由技术体系和管理体系综合形成的保障体系。技术体系以“一个中心,三重防护”为核心理念,划分安全计算环境、安全区域边界、安全通信网络与安全管理中心,并.结合金融行业的系统与业务现状,进行分区分域保护:管理体系遵从生命周期法则,从建立、实施和执行、监控和审计、保持和改进四个过程进行科学化的管理,通过循环改进的思路形成“生命环”的管理方法。
技管交互指技术要求与管理要求的交融以及技术体系与管理体系的互补,从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。
综合保障指该框架通过对保障要求和保障方法的综合考虑,通过技术与管理的有效结合,在遵循国家等级保护要求的前提下,满足金融行业的业务特殊性要求。
6.2技术体系
金融行业网络安全等级保护基本要求结合GB/T25T70-2019中的安全域模型,将“安全域纵深防护”“多层次立体防御”和“网络安全等级保护”等安全防护思想相结合,建立金融行业网络安全保障技术体系模型。依据金融行业的组织结构、网络架构将每个机构作为一个整体保护对象,设计金融机构网络安全保障框架,如图2所示,总部和各个分支机构都是独立的安全域,每个安全域又细分安全计算环境域、安全区域边界、安全通信网络和安全支撑设施域,各金融机构根据本机构结构情况参考执行。
通过划分安全域的方法,将金融行业等级保护对象按照业务流程及特点、重要程度和不同层面划分为不同的安全域,各个安全域内部又可以划分为不同的安全子域,并针对每个安全域或安全子域来标识其中的关键资产,分析所存在的安全隐患和面临的安全风险,然后给出相应的保护措施,从而建立纵深防御体系,实现深度防护的目标。
安全计算环境包含保障终端安全、服务器操作系统安全、网络设备安全、数据库安全、上层应用系统安全以及应用业务处理全过程的安全等。通过在操作系统核心层设置以访问控制为主体的系统安全机制,形成严密的安全保护环境,从而有效防止非授权用户访问和授权用户越权访问,为定级对象的正常运行、免遭恶意破坏提供支撑和保障。
安全区域边界指通过对进入和流出应用环境的信息流进行安全检查和访问控制,确保不会有违背系统安全策略的信息流经过边界。不同定级对象之间存在业务互联和数据互联,但是不同定级对象间存在安全级别、安全风险不同的情况,安全区域边界必须确保不同等级对象之间的可信互联,必须基于较高级别对象或安全域的安全防护要求设置可信互联安全策略,通过对不同等级对象之间的可信互联进行严格约束,保证不会出现因高级别对象与低级别对象之间的防护差异而导致的安全漏洞。
安全通信网络通过合理规划网络区域、分配网络资源以及设计安全的网络架构,保证网络的可用性,实现不同网络区域之间的安全隔离。通过对通信双方进行可信鉴别验证,建立安全通道,并实施数据传输保护,确保数据在传输过程中不会被窃听、篡改和破坏。
安全支撑设施对计算环境、区域边界和通信网络实施统一的安全策略管理,确保系统配置完整可信用户操作权限严格划分和审计全程追踪,从功能上可细分为系统管理、安全管理、审计管理以及物理支撑设施管理等,各管理员职责和权利明确,相互制约。
6.3 管理体系
要建成完善的安全管理体系,首先根据金融机构信息化建设进程的实际需求,逐步建立起安全管理组织架构和各项安全管理制度,配备相应的安全管理人员。其次通过对制度的执行,提高网络安全保障能力,后续根据执行结果检查各项制度存在的问题并对制度进行改进。从而形成建立、实施和执行、监控和审计、保持和改进的循环过程,形成完善的管理体系。如图3所示。
安全管理内容涵盖组织、人员、支撑设施三大类。其中,组织涉及机构与制度管理:人员涉及人员管理;支撑设施涉及系统建设和系统运维管理。 智能 属性
7第二级安全要求
参考文献
[1] GB/T 22240-2020 网络安全等级保护定级指南
[2] GB/T 25070-2019 网络安全等级保护安企设计技术要求
[3] GB/T 28448-2019 信息资金技术 网络安全等级保护测评要求
[4] GB/T 35274 -2017 信息安全技术 大数据服务安全能力要求
[5] GB/T 37093-2018 信息安全技术 物联网感知层接入通信网的安全要求
[6] GB/T 37721-2019 伯息技术大数据分析系统功能要求
[7] JR/T 0011 银行集中式数据中心规范
[8] JR/T 0013 金融业星型网间互联安全规范
[9] JR/T 0023 证券公司信息技术管理现范
[10] JR/T 0026 银行业计算机信息系统雷电防护技术规范
[11] JR/T 0044 银行业信息系统灾难恢复管理规范
[12] JR/T 0055.4 银行卡联网联合技术规范第1部分、数据安全传输控制
[13] JR/T 0060 证券期货业信息系统安全等级保护基本要求
[ 14]JR/T 0067 证券期货业信息系统安全等级保护测评要求
[ 15]JR/T 0068一2·9网上银行系统信息安全通用规范
[16] JR/T 0166一2·8云计算技术金融应用规范技术架构
[ 17] JR/T 0167一2·8云计算技术金融应用规范安全技术要求
[18] 中匯证券业协会.证券公司集中交易安全管理技术指引(中证协发〔2佣6〕81号),2006一08一01
[19]中匯证券业协会.证券营业部信息技术指引(中证协发〔2·9〕154号),2佣9一09一07
[20]中国保监会.保险业重大突发事件应急处理规定(保监会令〔2003〕3号),2003一12一8
发表评论