作者丨山志
出品丨北京一等一技术咨询有限公司
独家授权,未经许可不得转载
2019年5月网络安全等级保护三大核心标准(基本要求、测评要求、设计要求)正式发布,等级保护工作正式迈入等保2.0时代。网络安全等级保护制度是我国网络安全的基本制度,为推动、规范行业等级保护工作的开展,各行业也陆续推动行业等级保护相关标准的制定工作。金融行业重要网络和信息系统关系到国际民生,是国家重点保护对象,为规范和指导金融行业等级保护工作的开展、提升金融行业网络和信息系统安全防护水平,《JR/T 0071 金融行业网络安全等级保护实施指引》(下称“实施指引”)和《JR/T 0072 金融行业网络安全等级保护测评指南》于近日发布、实施,本篇将针对实施指引第二部分:基本要求进行介绍、导读。
《金融行业网络安全等级保护实施指引:基本要求》(下称“金融行业等保基本要求”)与国家《网络安全等级保护基本要求》在结构上保持了一致性,更具有实用性;用于补充、细化落实国家等级保护标准,并提出建立网络安全保障框架、体系化保护两方面的要求。
《实施指引:基本要求》规范了金融行业网络安全保障框架和不同安全等级对应的安全要求,适用于指导金融机构、测评机构和金融行业网络安全等级保护的主管部门实施网络安全等级保护工作。金融机构(包含其分支机构)的系统规划建设部门(业务与技术):软件开发中心(应用开发部门)、数据中心、系统使用部门、系统运行部门、内部监察部门、安全管理部门、审计部门等;金融行业主管部门开展等级保护工作,进行监督、检查和指导的依据。实施指引结合金融行业应用系统安全需求和业务特点落实等级保护相关要求,通过补充、细化国家网络安全等级保护标准,形成具有实际指导意义、可操作性的规范性文档。 金融行业等保基本要求以国家等级保护要求为原则,以金融行业特点为基础,形成了兼顾技术与管理、遵循技管交互和综合保障原则的金融行业网络安全保障总体框架【包含两项要求(技术要求、管理要求)和两个体系(技术体系、管理体系)】,如下图所示。金融行业网络安全等级保护基本要求包括通用要求、扩展要求和金融行业增强性要求。《实施指引:基本要求》附录A部分对金融行业安全通用要求、安全扩展要求和增强性安全要求的选择和使用进行了详细的说明。选择和使用金融行业网络安全等级保护基本要求的基本流程如下:◇ 明确定级系统应该具有的安全保护能力,根据等级保护对象的安全保护等级选择安全要求。方法是根据本部分,第二级系统选择第二级安全要求,第三级系统选择第三级安全要求,第四级系统选择第四级安全要求,以此作为出发点。◇ 根据等级保护对象的定级结果,基于附录A表 A.1 和表 A.2 对安全要求进行调整。例如,某金融云平台系统根据 S2、A3 定为三级系统,那么可按照 S2 类安全要求、A3类安全要求、G3安全通用要求和 G3云计算安全扩展项要求进行系统建设。◇ 根据等级保护对象采用新技术和新应用的情况,选用相应级别的安全扩展要求作为补充。采用云计算技术的选用云计算安全扩展要求,采用移动互联技术的选用移动互联安全扩展要求,采用物联网技术的选用物联网安全扩展要求,采用大数据平台系统的选用大数据安全扩展要求。◇ 针对金融行业等级保护对象的特点,分析可能在某些方面的特殊安全保护能力要求,选择较高级别的安全要求或其他标准的增强性安全要求(如金融行业增强性安全要求:F类),F类要求作为金融行业的增强性安全要求分布在S、A、G类的要求中。金融行业等保基本要求在国家网络安全等级保护基本要求的基础上进行细化和补充,本文以第三级系统为例对金融行业等保基本要求各安全类细化和补充的安全要求项进行简要介绍。5.1.1.安全物理环境
安全物理环境方面,基于金融行业的特点,对各安全控制点进行了补充,在防火和电力供应两个控制点提出详细地补充充要求,如定期检查消防设施,每年至少组织各运维相关部门联合开展一次针对机房的消防培训和演练;机房重要区域、重要设备应提供UPS单独供电等。5.1.2. 安全通信网络、安全区域边界、安全管理中心
安全通信网络、安全区域边界、安全管理中心方面,对部分控制点进行了补充和细化。安全通信网络方面,主要对安全要求项进行了细化,如双线路设计时,宜由不同的电信运营商提供;密码技术、密码算法、密码产品的使用按照国家密码管理部门与行业有关要求使用。安全区域边界方面,在访问控制、入侵防范和安全审计进行了细化和补充,如要求关闭网络设备不必要的端口;要求对高级持续威胁进行监测、发现;要求无线网络接入生成相应的日志,网络层面安全审计记录保存时间不少于6个个月且具备统一的时间戳。安全管理中心方面,在集中管控细化了对安全事件的处理方式,要求在识别、报警、分析的基础上进行响应和处置;在系统管理、审计管理和集中管控进行了补充,如使用自动化技术手段对设备运行状况进行实时监测、每月对设备配置文件进行备份、每季度检验网络设备软件版本信息;要求管理用户和审计用户的权限分离。5.1.3. 安全计算环境
安全计算环境方面,对各类控制点进行了细化和补充,如对身份鉴别进行了细化,对口令复杂程度进行了明确的限制:静态口令应在 8 位以上,由字母、数字、符号等混合组成并每半年更换口令,不允许新设定的口令与前次旧口令相同。应用系统用户口令应在满足口令复杂度要求的基础上定期更换;安全审计方面,明确审计记录保存时间应不少于 6个月,且由系统范围内唯一确定的时钟产生;入侵防范方面,通过使用漏洞扫描工具、人工漏洞排查分析等漏洞检查手段,及时发现可能存在的已知漏洞;恶意代码防范方面,要求建立病毒监控中心,对网络内计算机感染病毒的情况进行监控;剩余信息保护方面,细化对操作系统、数据库系统和应用系统用户侧的剩余信息。在数据安全方面,主要对数据备份和个人信息保护进行了补充,如在数据备份恢复要求于同城应用级灾难备份中心与生产中心直线距离至少达到30km ,可以接管所有核心业务的运行,异地应用级灾难备份中心与生产中心直线距离至少达到100km ;数据至少两副本,且至少一份副本异地存放,完全数据备份至少保证以一个星期为周期的数据冗余。针对金融行业个人信息的特点及中要求,金融行业基本要求对金融个人信息的收集、使用、管理等方面提出了相应的要求,并在附录H明确敏感数据和个人金融信息类别。5.1.4.安全管理
安全管理包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理,在部分控制点进行了细化和补充。在安全管理机构方面,要求设立专门的网络安全审计岗位;除网络安全管理部门外,其他部门均应指定至少一名网络安全员;建立系统用户及权限清单,定期对员工权限进行检查核对等。在安全管理人员方面,新增人员考核控制点,要求定期对各个岗位的人员进行安全技能及安全认知的考核;对关键岗位的人员进行全面、严格的安全审查和技能考核;对考核结果进行记录并保存。此外,在安全教育培训方面,要求每年应至少对网络安全管理人员进行一次网络安全培训。安全建设管理方面,在安全产品采购和使用、软件开发、工程实施、测试验收等方面进行了补充。如各机构购置扫描、检测类网络安全产品应报本机构科技主管部门批准、备案;及时升级维护网络安全产品,凡超过使用期限的或不能继续使用的网络安全产品,要按照固定资产报废审批程序处理;开发人员不能兼任系统管理员或业务操作人员,确保测试数据和测试结果受到控制;禁止外包服务商转包并严格控制分包;新建应用系统投入生产运行前,原则上应进行不少于1个月的模拟运行和不少于3个月的试运行。安全运维管理方面,在环境管理、介质管理、设备维护管理、网络和系统安全管理、密钥管理、变更管理、恶意代码防范管理、备份和恢复管理、应急预案管理等方面进行了补充和细化。如要求在客户端统一安装病毒防治软件,设置用户口令和屏幕保护口令等安全防护措施,确保及时更新病毒特征码并安装必要的补丁程序;密钥注入、密钥管理功能调试和密钥档案的保管由专人负责,密钥资料须保存在保险柜内,保险柜钥匙由专人负责,使用密钥和销毁密钥要在监督下进行并应有使用、销毁记录;每年至少进行一次重要信息系统专项应急切换演练,每三年至少进行一次重要信息系统全面灾备切换演练;每季度对备份数据的有效性进行检查,备份数据要实行异地保存;每年对系统相关的人员进行应急预案培训。在附录D云计算应用场景明确不同的云服务模式安全管理责任主体,明确云计算环境中各安全组件的安全责任主体,便于指导网络运营者进行建设整改和安全要求选择和使用。云计算安全扩展要求对部分控制点进行细化,如要求同一云服务客户不同虚拟网络之间的隔离;保证云上存储的副本数据删除后不能通过软件工具恢复;细化监控内容,包括监测内容包括CPU利用率、带宽使用情况、内存利用率、 存储使用情况等。扩展要求主要是对部分控制点进了补充,如支持云服务客户自主选择鉴别认证方式;虚拟机镜像和快照文件备份在不同物理服务器;周期性测试云计算平台的备份系统和备份数据,支持故障识别和备份重建。新增恶意代码防范控制点,要求支持对后门、木马、蠕虫、webshell等恶意代码的静态检测和行为检测,并对检测出的恶 意代码进行控制和隔离;支持云服务客户自行安装防恶意代码软件,并支持更新防恶意代码软件版本和恶意代码库。移动互联安全扩展要求对无线接入点的物理位置进行补充,要求为营业网点的无线接入设备的安装选择合理位置,避免被非法破坏、替换。新增通信传输、访问控制、入侵防范、安全审计控制点。
物联网安全扩展要求对部分控制点进行细化,要求对感知节点设备连接的网关节点的身份鉴别能力和网关节点对感知借点设备的鉴别能力至少支撑基于网络标识、MAC 地址、通信协议、通信端口、口令其一的身份鉴别机制;要求指定人员或使用自动化巡检手段,定期检查感知节点设备、网关节点设备的部署环境,针对可编程的智能设备,定期扫描处理逻辑、进行固件更新维护操作。物联网安全扩展要求对部分控制点进行补充,要求感知节点设备的部署遵循封闭性原则,降低设备被非法拆除、非法篡改地风险;每个感知节点和感知网关节点具备传感网络中唯一标识,且该标识不应被非授权访问所篡改;可编程的感知节点、网关节点禁止运行未授权的代码,并对可编程的感知节点设备及网关节点设备进行代码安全审计;对感知节点状态进行监测,发现异常时应定位处理等。此外,新增感知网关节点设备物理安全要求和访问控制两个控制点,要求感知网关节点设备应具有持久稳定的电力供应措施、良好的信号收发能力及定位装置;未经过鉴别和授权的感知节点、感知网关节点、处理应用层不应相互访问。上诉内容仅对《金融行业网络安全等级保护实施指引:基本要求》第三级要求项进行简要分析、介绍,更多内容可查阅:
点击文末左下角“阅读原文”,输入exbp下载以上两个文件PDF全文。