2024網(wǎng)絡護安全等級保二級系統(tǒng)基要求規(guī)范本

參考文 依據(jù)《金融行業(yè)網(wǎng)絡安全等級護實施指引第2部分：基本要求》（JR/T0071.2—2020），結(jié)合本行實際，制定本標準。本標準規(guī)范了網(wǎng)絡安全保障框架和網(wǎng)絡安全等級保護二級系統(tǒng)的安全要求，適用于指導本行實施網(wǎng)絡安全等級保護工作。GB/T31168—2014信息安全技術(shù)云計算服務安全能力要求JR/T0071.2—2020金融行業(yè)網(wǎng)絡安全等級護實施指引第2定級系統(tǒng)classified注1注2：改寫GB/T25070—2019，定義3.2安全保護能力securityprotection[GB/T22239—2019，3.2]由安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡和（或）安全管理中心構(gòu)成的對定級系統(tǒng)進行安全保護的環(huán)境。[GB/T25070—2019，安全計算環(huán)境securitycomputing[GB/T25070—2019，3.4]安全區(qū)域邊界securityarea[GB/T25070—2019，安全通信網(wǎng)絡securitycommunication[GB/T25070—2019，3.6]安全管理中心securitymanagement[GB/T25070—2019，對相同或不同等級的定級系統(tǒng)之間互聯(lián)的安全策略及安全互聯(lián)部件上的安全機制實施統(tǒng)一管理的平臺或區(qū)域。[GB/T25070—2019，定級系統(tǒng)互聯(lián)classifiedsystem通過網(wǎng)絡訪問可擴展的、靈活的物理或虛擬共享資源池，并按需自助獲取和管理資源的模式。注：資源實例包括服務器、操作系統(tǒng)、網(wǎng)絡、軟件、應用和存儲設備等。[GB/T31167—2014，定義3.1]cloud[GB/T32400—2015，3.2.8][GB/T31167—2014，3.3][GB/T31168—2014，3.4]cloudcomputing[GB/T22239—2019，3.6]community式服務模式。virtual通過各種虛擬化技術(shù)，為用戶提供的與原有物理服務器相同的操作系統(tǒng)和應用程序運行環(huán)境的統(tǒng)注：resource[GB/T22239—2019sensitive個人金融信息personalfinancial注：個人金融信息包括賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產(chǎn)信息、借貸信息及其他反映特定個人某些情況的信息。personalfinancialinformationmobilemobile無線接入設備wirelessaccess無線接入網(wǎng)關wirelessaccess移動應用軟件mobilemobiledevicemanagement將感知節(jié)點設備（含RFID）網(wǎng)關節(jié)點設備gateway將感知節(jié)點設備所采集的數(shù)據(jù)傳輸?shù)綌?shù)據(jù)處理中心的關鍵出口，連接傳統(tǒng)信息網(wǎng)絡（有線網(wǎng)、移動網(wǎng)等）和傳感網(wǎng)的設備。注：簡單的感知層網(wǎng)關只是對感知數(shù)據(jù)的轉(zhuǎn)發(fā)（因電力充足），而智能的感知層網(wǎng)關可以包括對數(shù)據(jù)感知節(jié)點設備sensor物聯(lián)網(wǎng)系統(tǒng)的最終端設備或器件，能夠通過有線、無線方式發(fā)起或終結(jié)通信，采集物理信息和/注：感知節(jié)點設備也叫感知終端設備（endsensor）、終端感知節(jié)點設備（endsensornode）sensorlayer動態(tài)口令one-time-password（OTP）；dynamic合interfaceAP：無線訪問接入點（WirelessAccessAPI：應用程序編程接口（ApplicationProgrammingInterface）DDoS：分布式拒絕服務攻擊（DistributedDenialofDoS：拒絕服務（DenialofService）IP：互聯(lián)網(wǎng)協(xié)議（InternetProtocol）RFID：射頻識別（RadioFrequencyIdentification）SQL：結(jié)構(gòu)化查詢語言（StructuredQueryLanguage）WPS：WiFi保護設置（WiFiProtectedSetup）XSS：跨站腳本攻擊（Cross-Site等級保護對象是指網(wǎng)絡安全等級保護工作中的對象，通常是指由計算機或者其他信息終端及相關設備絡、云計算平臺/系統(tǒng)、大數(shù)據(jù)應用/平臺/資源、物聯(lián)網(wǎng)和采用移動互聯(lián)技術(shù)的系統(tǒng)等。等級保護對象根據(jù)民、法人和其他組織的合法權(quán)益的危害程度等，由低到高被劃分為五個安全保護等級。等級保護對象的安全保護等級確定方法見GB/T22240—2020能。第二級安全保護能力：應能夠防護免受來自外部小型組織的、擁有少量資源的威脅源發(fā)起的惡意攻第四級安全保護能力：應能夠在統(tǒng)一安全策略下防護免受來自國家級別的、敵對組織的、擁有豐富資時發(fā)現(xiàn)、監(jiān)測發(fā)現(xiàn)攻擊行為和安全事件，在自身遭到損害后，能夠迅速恢復所有功能。由于業(yè)務目標的不同、使用技術(shù)的不同、應用場景的不同等因素，不同的等級保護對象會以不同的形態(tài)出現(xiàn)，表現(xiàn)形式可能稱之為基礎信息網(wǎng)絡、信息系統(tǒng)（包含采用移動互聯(lián)等技術(shù)的系統(tǒng)）、云計算平臺/系統(tǒng)、大數(shù)據(jù)平臺/系統(tǒng)、物聯(lián)網(wǎng)系統(tǒng)等。形態(tài)不同的等級保護對象面臨的威脅有所不同，安全保護需求也求分為安全通用要求和安全擴展要求。安全通用要求針對共性化保護需求提出，等級保護對象無論以何種形式出現(xiàn)，應根據(jù)安全保護等級實現(xiàn)相應級別的安全通用要求；安全擴展要求針對個性化保護需求提出，需要根據(jù)安全保護等級和使用的特定技術(shù)或特定的應用場景選擇性實現(xiàn)安全擴展要求。安全通用要求和安全擴展要求共同構(gòu)成了對等級保護對象的安全要求。定的基礎上對等級保護要求進行補充和完善，F(xiàn)2表示二級增強性安全要求，F(xiàn)3表示三級增強性安全要求，F(xiàn)4表示四級增強性安全要求。障總體框架，如圖1所示。金融行業(yè)網(wǎng)絡安全保障總體框架包含兩項要求和兩個體系，遵循技管交互、綜合保障的原則。兩項要求指由技術(shù)要求和管理要求綜合形成的保障要求，技術(shù)要求涉及安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五方面要求；管理要求涉及安全管理制度、安全管理機兩個體系指由技術(shù)體系和管理體系綜合形成的保障體系。技術(shù)體系以“一個中心，三重防護”為核心進四個過程進行科學化的管理，通過循環(huán)改進的思路形成“生命環(huán)”的管理方法。技管交互指技術(shù)要求與管理要求的交融以及技術(shù)體系與管理體系的互補，從安全保障要求和安全保障綜合保障指該框架通過對保障要求和保障方法的綜合考慮，通過技術(shù)與管理的有效結(jié)合，在遵循國家金融行業(yè)網(wǎng)絡安全等級保護基本要求結(jié)合GB/T25070—2019中的安全域模型，將“安全域縱深防護”“多層次立體防御”和“網(wǎng)絡安全等級保護”等安全防護思想相結(jié)合，建立金融行業(yè)網(wǎng)絡安全保障技術(shù)體系模型。依據(jù)金融行業(yè)的組織結(jié)構(gòu)、網(wǎng)絡架構(gòu)將每個機構(gòu)作為一個整體保護對象，設計金融機構(gòu)網(wǎng)絡安全保障框架，如圖2所示，總部和各個分支機構(gòu)都是獨立的安全域，每個安全域又細分安全計算環(huán)境域、安通過劃分安全域的方法，將金融行業(yè)等級保護對象按照業(yè)務流程及特點、重要程度和不同層面劃分為的關鍵資產(chǎn)，分析所存在的安全隱患和面臨的安全風險，然后給出相應的保護措施，從而建立縱深防御體系，實現(xiàn)深度防護的目標。安全計算環(huán)境包含保障終端安全、服務器操作系統(tǒng)安全、網(wǎng)絡設備安全、數(shù)據(jù)庫安全、上層應用系統(tǒng)安全以及應用業(yè)務處理全過程的安全等。通過在操作系統(tǒng)核心層設置以訪問控制為主體的系統(tǒng)安全機制，免遭惡意破壞提供支撐和保障。安全區(qū)域邊界指通過對進入和流出應用環(huán)境的信息流進行安全檢查和訪問控制，確保不會有違背系統(tǒng)安全策略的信息流經(jīng)過邊界。不同定級對象之間存在業(yè)務互聯(lián)和數(shù)據(jù)互聯(lián)，但是不同定級對象間存在安全級別、安全風險不同的情況，安全區(qū)域邊界必須確保不同等級對象之間的可信互聯(lián)，必須基于較高級別對象或安全域的安全防護要求設置可信互聯(lián)安全策略，通過對不同等級對象之間的可信互聯(lián)進行嚴格約束，會被竊聽、篡改和破壞。安全支撐設施對計算環(huán)境、區(qū)域邊界和通信網(wǎng)絡實施統(tǒng)一的安全策略管理，確保系統(tǒng)配置完整可信，用戶操作權(quán)限嚴格劃分和審計全程追蹤，從功能上可細分為系統(tǒng)管理、安全管理、審計管理以及物理支撐設施管理等，各管理員職責和權(quán)利明確，相互制約?？椉軜?gòu)和各項安全管理制度，配備相應的安全管理人員。其次通過對制度的執(zhí)行，提高網(wǎng)絡安全保障能3所示?？蓪C房劃分區(qū)域進行管理，并根據(jù)各區(qū)域特點提出相應的訪問控制要求。施實行全面監(jiān)控，視頻監(jiān)控記錄和門禁系統(tǒng)出入記錄至少保存3個月。防機房內(nèi)部通道設置、裝修裝飾材料、設備線纜等應滿足消防要求，并對機房進行消防驗收。機房重要區(qū)域、重要設備應提供UPS供電。段可基于可信根對通信設備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應用程序等進行可信驗應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/應能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/應在關鍵網(wǎng)絡節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新?？苫诳尚鸥鶎吔缭O備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應用程序等進行可信應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，靜態(tài)口令應在8字、符號等混合組成并定期更換。應重命名或刪除默認賬戶，修改默認賬戶或預設賬戶的默認口令。用權(quán)限等。6個月。求應能夠檢測到對重要節(jié)點進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警。所有安全計算環(huán)境設備應全部專用化，不得進行與業(yè)務不相關的操作?？苫诳尚鸥鶎τ嬎阍O備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心。應采用校驗技術(shù)保證重要數(shù)據(jù)在傳輸和存儲過程中的完整性。應采用加密或其他保護措施保證鑒別信息在傳輸和存儲過程中的保密性。應保證操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)和應用系統(tǒng)用戶鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除，無論這些信息是存放在硬盤上還是內(nèi)存中。（F2）體的同意。（F2）應僅采集和保存業(yè)務必需的用戶個人金融信息。關操作權(quán)限，應禁止未授權(quán)訪問和非法使用用戶個人金融信息。金融機構(gòu)應依據(jù)JR/T0171—2020整個過程進行管理與控制，并對個人金融信息生命周期過程進行安全檢查與評估。ATM設備、自助終端設備、紙面（如受理終端打印出的支付交易憑條等交易憑證）等界面展示的個人金融信息，應采取字段屏蔽（或截詞）等處理措施，降低個人金融信息在展示環(huán)節(jié)的泄露風險。（F2）能力，并事先征得個人金融信息主體明示同意，共享、轉(zhuǎn)讓經(jīng)去標識化處理的個人金融信息，且確保數(shù)據(jù)（F2）融信息，賬號、卡號、協(xié)議號、支付指令等測試確需除外。應每月對設備的配置文件進行備份，發(fā)生變動時應及時備份。應定期對設備運行狀況進行監(jiān)測。應定期檢驗設備的軟件版本信息，并留存記錄。應提供數(shù)據(jù)備份與恢復功能，增量數(shù)據(jù)備份至少每天一次。等理制度。應定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂。責本單位和轄內(nèi)的網(wǎng)絡安全管理。門的網(wǎng)絡安全管理工作。安全管理員不能兼任網(wǎng)絡管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等。應根據(jù)各個部門和崗位的職責明確授權(quán)審批事項、審批部門和批準人等，對系統(tǒng)投入運行、系統(tǒng)變（如敏感數(shù)據(jù)等資源）的訪問等關鍵活動應執(zhí)行審批過程。（F2）技部門備案，金融機構(gòu)總部網(wǎng)絡安全管理人員在總部科技部門備案。工作。備應制定安全教育和培訓計劃。每年應至少對網(wǎng)絡安全管理人員進行一次網(wǎng)絡安全培訓。操作，不得復制和泄露金融機構(gòu)的任何信息。各機構(gòu)購置掃描、檢測類網(wǎng)絡安全產(chǎn)品應報本機構(gòu)科技主管部門批準、備案。掃描、檢測類網(wǎng)絡安全產(chǎn)品應僅限于本機構(gòu)網(wǎng)絡安全管理人員或經(jīng)主管領導授權(quán)的技術(shù)人員使用。（F2）應急措施并按規(guī)定程序報告。應定期對各類網(wǎng)絡安全產(chǎn)品產(chǎn)生的日志和報表進行備份存檔。固定資產(chǎn)報廢審批程序處理。中使用。應確保開發(fā)人員和測試人員分離，開發(fā)人員不能兼任系統(tǒng)管理員或業(yè)務操作人員，確保測試數(shù)據(jù)和測試結(jié)果受到控制。（F2）在的惡意代碼進行檢測。應在軟件交付前檢測其中可能存在的惡意代碼。b)南應要求外包服務商保留操作痕跡、記錄完整的日志，相關內(nèi)容和保存期限應滿足事件分析、安全取證、獨立審計和監(jiān)督檢查需要。（F2）應禁止外包服務商轉(zhuǎn)包并嚴格控制分包，保證外包服務水平。應定期對外包服務活動和外包服務商的服務能力進行審核和評估。試驗收結(jié)果，形成測試驗收報告。對于在生產(chǎn)系統(tǒng)上進行的測試工作，應先進行風險分析和告知，同時制定詳細的系統(tǒng)測試方案、數(shù)據(jù)備份與系統(tǒng)恢復措施、應急處置措施后，經(jīng)主管領導審批后開展測試工作，以確保生產(chǎn)系統(tǒng)的安全。（F2）安全技術(shù)措施和核心安全功能設計對外公開。應評估服務供應商的資質(zhì)、經(jīng)營行為、業(yè)績、服務體系和服務品質(zhì)等要素。務機房布線應做到跳線整齊，跳線與配線架統(tǒng)一編號，標記清晰。進出機房人員應經(jīng)主管部門審批同意后，由機房管理員陪同進入。機房管理員應經(jīng)過相關培訓，掌握機房各類設備的操作要領。應定期對機房設施進行維修保養(yǎng)，加強對易損、易失效設備或部件的維護保養(yǎng)。機房出入口和內(nèi)部應安裝7*24小時錄像監(jiān)控設施，錄像至少保存3個月。機房應設置弱電井或橋架，并留有可擴展空間。所有數(shù)據(jù)備份介質(zhì)應防磁、防潮、防塵、防高溫、防擠壓存放。將文檔轉(zhuǎn)借、復制或?qū)ν夤_，如是電子文檔則應進行電子化審批流轉(zhuǎn)登記管理。對載有敏感信息存儲介質(zhì)的銷毀，應報有關部門備案，由科技部門進行信息消除、消磁或物理粉碎等銷毀處理，并做好相應的銷毀記錄；信息消除處理僅限于存儲介質(zhì)仍將在金融機構(gòu)內(nèi)部使用的情況，否則應進行信息的不可恢復性銷毀。（F2）應制定移動存儲介質(zhì)使用規(guī)范，并定期核查移動存儲介質(zhì)的使用情況。應定期對主要備份業(yè)務數(shù)據(jù)進行恢復驗證，根據(jù)介質(zhì)使用期限及時轉(zhuǎn)儲數(shù)據(jù)。應對各種設備（包括備份和冗余設備）新購置的設備應經(jīng)過驗收，驗收合格后方能投入使用。應制定設備管理規(guī)范，落實設備使用者的安全保護責任。性銷毀處理；信息消除處理僅限于廢止設備仍將在金融機構(gòu)內(nèi)部使用的情況，否則應進行信息的不可恢復性銷毀。（F2）議，與密碼設備配套使用的設備送修前應請生產(chǎn)設備的科研單位拆除與密碼有關的硬件，并徹底清除與密碼有關的軟件和信息。（F2）應制定規(guī)范化的故障處理流程，建立詳細的故障日志（處理結(jié)果和處理人員等內(nèi)容）。響后進行修補。應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數(shù)的設置和修改等內(nèi)容。應對網(wǎng)絡環(huán)境運行狀態(tài)進行巡檢，保留記錄，并由操作人員和復核人員確認。構(gòu)科技主管部門核準，任何機構(gòu)不得自行與外部機構(gòu)實施網(wǎng)間互聯(lián)。進行遠程訪問的，應由訪問發(fā)起機構(gòu)科技部門核準，提請被訪問機構(gòu)科技部門（崗）開啟遠程訪問服務，并采取單列賬戶、最小權(quán)限分配、及時關閉遠程訪問服務等安全防護措施。（F2）描，檢測、掃描結(jié)果屬敏感信息，未經(jīng)授權(quán)不得對外公開，未經(jīng)科技主管部門授權(quán)，任何外部機構(gòu)與人員不得檢測或掃描機構(gòu)內(nèi)部網(wǎng)絡。（F2）統(tǒng)數(shù)據(jù)庫進行技術(shù)維護性操作的，應征得業(yè)務部門審批，并詳細記錄維護信息過程。每年應至少進行一次漏洞掃描，對發(fā)現(xiàn)的系統(tǒng)安全漏洞及時進行修補。等應對惡意代碼防范要求作出規(guī)定，包括防惡意代碼軟件的授權(quán)使用、惡意代碼庫升級、惡意代碼的定期查殺等?？蛻舳藨y(tǒng)一安裝病毒防治軟件，設置用戶口令和屏幕保護口令等安全防護措施，確保及時更新病毒特征碼并安裝必要的補丁程序。（F2）補丁信息、各個設備或軟件組件的配置參數(shù)等。密鑰管理人員應是本機構(gòu)在編的正式員工。系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡管理員、業(yè)務操作人員均應設置口令密碼，并定期更換，口令密碼的強度應滿足不同安全性要求。（F2）應支持各類環(huán)境中密碼設備使用、管理權(quán)限分離。施蹤。質(zhì)。應建立災難恢復計劃，定期開展災難恢復培訓，并根據(jù)實際情況進行災難恢復演練。其他部門或者個人不得隨意接受新聞媒體采訪或?qū)ν獍l(fā)表個人看法。應急資源，明確具體應急處置聯(lián)絡人，并將具體聯(lián)系方式上報本行業(yè)網(wǎng)絡安全監(jiān)管部門。應定期對原有的應急預案重新評估，修訂完善。析、安全取證、獨立審計和監(jiān)督檢查需要。應制定數(shù)據(jù)中心外包服務應急計劃，應對外包服務商破產(chǎn)、不可抗力或其他潛在問題導致服務中斷或服務水平下降的情形，支持數(shù)據(jù)中心連續(xù)、可靠運行。（F2）7.2.4.3

應確保云服務客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應遵循國家相關規(guī)定。應確保只有在云服務客戶授權(quán)