1、 JR/T 00672011 证券期货业信息系统安全 等级保护测评要求 (试行) Securities and futures industry Testing and evaluation requirement for classified protection of information system (Trial basis) ICS 03.060 A11 备案号 中华人民共和国金融行业标准 JR2011-12-22 发布 2011-12-22实施 中国证券监督管理委员会 发布 JR/T 00672011 I目 次 前言. IV 引言. V 1 范围 . 1 2 规范性引用文件 .
2、1 3 术语和定义 . 1 4 概述 . 1 4.1测评框架 . 1 4.2等级测评内容 . 2 4.3测评力度 . 3 4.4使用方法 . 3 5 第一级信息系统单元测评 . 3 5.1安全技术测评 . 3 5.1.1物理安全 . 3 5.1.2网络安全 . 5 5.1.3主机安全 . 6 5.1.4应用安全 . 7 5.1.5数据安全及备份恢复 . 8 5.2安全管理测评 . 9 5.2.1安全管理制度 . 9 5.2.2安全管理机构 . 9 5.2.3人员安全管理 . 10 5.2.4系统建设管理 . 11 5.2.5系统运维管理 . 14 6 第二级信息系统单元测评 . 16 6.1安
3、全技术测评 . 16 6.1.1物理安全 . 16 6.1.2网络安全 . 20 6.1.3主机安全 . 22 6.1.4应用安全 . 24 6.1.5数据安全及备份恢复 . 27 6.2安全管理测评 . 27 6.2.1安全管理制度 . 27 6.2.2安全管理机构 . 28 6.2.3人员安全管理 . 30 6.2.4系统建设管理 . 32 JR/T 00672011 II 6.2.5系统运维管理 . 34 7 第三级信息系统单元测评 . 39 7.1安全技术测评 . 39 7.1.1物理安全 . 39 7.1.2网络安全 . 43 7.1.3主机安全 . 46 7.1.4应用安全 . 5
4、0 7.1.5数据安全及备份恢复 . 54 7.2安全管理测评 . 55 7.2.1安全管理制度 . 55 7.2.2安全管理机构 . 56 7.2.3人员安全管理 . 59 7.2.4系统建设管理 . 61 7.2.5系统运维管理 . 65 8 第四级信息系统单元测评 . 71 8.1安全技术测评 . 71 8.1.1物理安全 . 71 8.1.2网络安全 . 75 8.1.3主机安全 . 78 8.1.4应用安全 . 82 8.1.5数据安全及备份恢复 . 87 8.2安全管理测评 . 88 8.2.1安全管理制度 . 88 8.2.2安全管理机构 . 90 8.2.3人员安全管理 . 9
5、2 8.2.4系统建设管理 . 94 8.2.5系统运维管理 . 98 9 第五级信息系统单元测评 . 105 10 信息系统整体测评 . 105 10.1 概述 . 105 10.2 安全控制点间测评 . 105 10.3 层面间测评 . 105 10.4 区域间测评 . 105 11 等级测评结论 . 106 11.1 各层面的测评结论 . 106 11.2 风险分析和评价 . 106 11.3 测评结论 . 106 附录A(资料性附录)测评力度 . 107 A.1 测评方法的测评力度描述 . 107 A.2 信息系统测评力度 . 107 JR/T 00672011 III附录B(资料性附
6、录)关于整体测评的进一步说明 . 109 B.1 区域和层面 . 109 B.1.1 区域 . 109 B.1.2 层面 . 109 B.2 信息系统整体测评实例 . 111 B.2.1 安全控制点间安全测评实例 . 111 B.2.2 层面间安全测评实例 . 111 B.2.3 区域间安全测评实例 . 112 图4.1 概念性框架 . 2 图B.1文档结构图 . 112 表A.1 测评方法的测评力度 . 108 表A.2 不同安全保护等级信息系统的测评力度要求 . 109 JR/T 00672011 IV 前 言 本标准附录A、B是资料性附录。 本标准由全国金融标准化技术委员会证券分技术委员
7、会提出。 本标准由全国金融标准化技术委员会归口管理。 本标准已经征得公安部同意。 本标准起草单位:中国证券监督管理委员会信息中心、上海证券交易所、深圳证券交易所、郑州商品交易所、中国证券登记结算公司、海通证券股份有限公司、国泰君安证券股份有限公司、兴业证券股份有限公司、南方基金管理有限公司。 本标准主要起草人:张野、戴文华、杨淑琴、罗凯、邹胜、陈恺、马晨、王孝伟、王玥、周桉、应力、俞枫、刘斌、吴越、葛峰、王伟强、陈凯辉。 本标准为首次发布。 JR/T 00672011 V引 言 本标准依据证券期货业信息系统安全等级保护基本要求(试行)( JR/T 0060-2010),主要参考信息安全技术 信
8、息系统安全等级保护测评要求(报批稿)等有关标准制定,提出了证券期货业不同等级信息系统的测评要求,适用于指导证券期货业信息系统测评工作。 本标准是证券期货业信息安全等级保护相关系列标准之一。 与本标准相关的标准包括: JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行)。 一 般来说,信息系统需要靠多种安全措施进行综合防范以降低其面临的安全风险。本标准针对证券期货业信息系统中的单项安全措施和多个安全措施的综合防范,对应地提出单元测评和整体测评的技术要求,用以指导测评人员从信息安全等级保护的角度对信息系统进行测试评估。单元测评对安全技术和安全管理上各个层面的安全控制点提出不
9、同安全保护等级的测评要求。整体测评根据安全控制点间、层面间和区域间相互关联关系以及信息系统整体结构对信息系统整体安全保护能力的影响提出测评要求。 本标准给出了等级测评结论中应包括的主要内容,未规定给出测评结论的具体方法和量化指标。 如果没有特殊指定,本标准中的信息系统主要指计算机信息系统。 在本标准文本中,黑体字的测评要求表示该要求出现在当前等级而在低于当前等级信息系统的测评要求中没有出现过。 相对于信息安全技术 信息系统安全等级保护测评要求(报批稿),本标准文字中,明确、细化和调整的内容以楷体字表示。 JR/T 00672011 1证券期货业信息系统安全等级保护测评要求(试行) 1 范围 本
10、标准规定了对信息系统安全等级保护状况进行安全测试评估的要求,包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全测试评估的单元测评要求和信息系统整体测评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。 本标准适用于信息安全测评服务机构、运营使用单位对证券期货业信息系统安全等级保护状况进行的安全测试评估。国家信息安全监管职能部门及证券期货监管部门依法进行的信息安全等级保护监督检查可以参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注明日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用
11、于本文件。 GB/T 5271.8 信息技术 词汇 第8部分:安全 JR/T 0060-2010 证券期货业信息系统安全等级保护基本要求(试行) 3 术语和定义 GB/T 5271.8和JR/T 0060-2010所确立的以及下列术语和定义适用于本标准。 3.1 访谈 interview 访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、澄清或取得证据的过程。 3.2 检查 examination 检查是指测评人员通过对测评对象(如制度文档、各类设备、安全配置等)进行观察、查验、分析以帮助测评人员理解、澄清或取得证据的过程。 3.3 测试 testing
12、 测试是指测评人员使用预定的方法/工具使测评对象(各类设备或安全配置)产生特定的结果,将运行结果与预期的结果进行比对的过程。 4 概述 4.1 测评框架 信息系统安全等级保护测评(以下简称等级测评)的概念性框架由三部分构成:测评输入、测评过程和测评输出。测评输入包括JR/T 0060-2010第四级目录(即安全控制点的唯一标识符)和采用该安全控制的信息系统的安全保护等级(含业务信息安全保护等级和系统服务保护等级)。过程组件为一组与输入组件中所标识的安全控制相关的特定测评对象和测评方法,输出组件包括一组由测评人员使用的用于确定安全控制有效性的程序化陈述。图4.1给出了框架。 JR/T 00672
13、011 2图4.1 概念性框架 测评对象是指测评实施的对象,即测评过程中涉及到的制度文档、各类设备及其安全配置和相关人员等。 制度文档是指针对信息系统所制定的相关联的文件(如:政策、程序、计划、系统安全需求、功能规格及建筑设计)。各类设备是指安装在信息系统之内或边界,能起到特定保护作用的相关部件(如:硬件、软件、固件或物理设施)。安全配置是指信息系统所使用的设备为了贯彻安全策略而进行的设置。相关人员或部门,是指应用上述制度、设备及安全配置的人。 对于框架来说,每一个被测安全控制(不同级别)均有一组与之相关的预先定义的测评对象(如制度文档、各类设备及其安全配置和相关人员)。 测评方法:在框架的测
14、评过程组件中,测评方法包括:访谈、检查和测试,测评人员通过这些方法试图获取证据。上述三种测评方法(访谈、检查和测评)的测评结果都用以对安全控制的有效性进行评估。 上述的评估方法都由一组相关属性来规范测评方法的测评力度。这些属性是:广度(覆盖面)和深度。对于每一种测评方法都标识(定义)了唯一属性,深度特性适用于访谈和检查,而覆盖面特性则适用于全部三种测评方法。具体的描述参见附录A。 4.2 等级测评内容 等级测评的实施过程由单元测评和整体测评两部分构成。 针对基本要求各安全控制点的测评称为单元测评。单元测评是等级测评工作的基本活动,支持测评结果的可重复性和可再现性。每个单元测评包括测评指标、测评
15、实施和结果判定三部分。其中,测评指标来源于JR/T 0060-2010第四级目录下的各要求项,测评实施描述对测评活动输入、测评对象、测评步骤和方法的要求,结果判定描述测评人员执行测评实施并产生各种测评输出数据后,如何依据这些测评输出数据来判定被测系统是否满足测评指标要求的原则和方法。 单元测评满足概念性框架的三部分内容:测评输入、测评过程和测评输出。 整体测评是在单元测评的基础上,通过进一步分析信息系统安全保护功能的整体相关性,对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评。整体测评需要与信息系统的实际情况相结合,因此全面地给出整体测评要求的全部输
16、入,测评实施的具体对测评输入 测评输出 测评过程 测评方法 访谈 检查 测试 测评对象 制度文档 各类设备 安全配置 相关人员 JR/T 0060-2010第四级目录 信息系统 安全保护等级 测评规程(步骤) 访谈规程(步骤) 检查规程(步骤) 测试规程(步骤) 。 。 规程(步骤)说明N JR/T 00672011 3象、步骤和方法以及明确的结果判定方法是非常困难的,测评人员应根据被测系统的实际情况,结合本标准的要求,实施整体测评。 4.3 测评力度 测评力度是在测评过程中实施测评工作的力度,反映测评的广度和深度,体现为测评工作的实际投入程度。测评广度越大,测评实施的范围越大,测评实施包含的
17、测评对象就越多;测评深度越深,越需要在细节上展开,测评就越严格,因此就越需要更多的投入。投入越多,测评力度就越强,测评就越有保证。测评的广度和深度落实到访谈、检查和测试三种不同的测评方法上,能体现出测评实施过程中访谈、检查和测试的投入程度的不同。 信息安全等级保护要求不同安全保护等级的信息系统应具有不同的安全保护能力,满足相应等级的保护要求。为了检验不同安全保护等级的信息系统是否具有相应等级的安全保护能力,是否满足相应等级的保护要求,需要实施与其安全保护等级相适应的测评,付出相应的工作投入,达到应有的测评力度。第一级到第四级信息系统的测评力度反映在访谈、检查和测试等三种基本测评方法的测评广度和
18、深度上,落实在不同单元测评中具体的测评实施上。不同安全保护等级的信息系统在总体上所对应的测评力度在附录A中描述。 4.4 使用方法 本标准第5章到第8章分别描述了第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统所有单元测评的内容,在章节上分别对应JR/T 0060-2010的第5章到第8章。在JR/T 0060-2010第5章到第8章中,各章的二级目录都分为安全技术和安全管理两部分,三级目录从安全层面(如物理安全、网络安全、主机安全等)进行划分和描述,四级目录按照安全控制点进行划分和描述(如主机安全层面下分为身份鉴别、访问控制、安全审计等),第五级目录是每一个安全控制点下面包括的
19、具体安全要求项(以下简称“要求项”,这些要求项在本标准中被称为“测评指标”)。本标准中针对每一个安全控制点的测评就构成一个单元测评,单元测评中的每一个具体测评实施要求项(以下简称“测评要求项”)是与安全控制点下面所包括的要求项(测评指标)相对应的。在对每一要求项进行测评时,可能用到访谈、检查和测试三种测试方法,也可能用到其中一种或两种,为了描述简洁,在测评要求项中,没有针对每一个要求项分别进行描述,而是对具有相同测评方法的多个要求项进行了合并描述,但测评实施的内容完全覆盖了 JR/T 0060-2010 中所有要求项的测评要求,使用时,应当从单元测评的测评实施中抽取出对于JR/T 0060-2
20、010中每一个要求项的测评要求,并按照这些测评要求开发测评指导书,以规范和指导安全等级测评活动。 测评过程中,测评人员应注意对测评记录和证据的采集、处理、存储和销毁,保护其在测评期间免遭破坏、更改或遗失,并保守秘密。 测评的最终输出是测评报告,测评报告应结合第11章的要求给出等级测评结论。 5 第一级信息系统单元测评 5.1 安全技术测评 5.1.1 物理安全 5.1.1.1 物理访问控制 5.1.1.1.1 测评指标 见JR/T 0060-2010 5.1.1.1。 5.1.1.1.2 测评实施 本项要求包括: a) 应检查机房出入口是否有专人负责控制人员出入; 检查是否由专人负责管理机房出
21、入,人员进出监控记录是否保存3个月以上。 b) 应检查是否有来访人员进入机房的登记记录。 JR/T 00672011 45.1.1.1.3 结果判定 如果5.1.1.1.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.1.2 防盗窃和防破坏 5.1.1.2.1 测评指标 见JR/T 0060-2010 5.1.1.2。 5.1.1.2.2 测评实施 本项要求包括: a) 应检查关键设备是否放置在机房内; b) 应检查关键设备或主要部件是否固定; 检查关键设备是否安装、固定在机柜内或机架上。 c) 应检查关键设备或主要部件上是否
22、设置明显的不易除去的标记。 5.1.1.2.3 结果判定 如果5.1.1.2.2a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.1.3 防雷击 5.1.1.3.1 测评指标 见JR/T 0060-2010 5.1.1.3。 5.1.1.3.2 测评实施 本项要求包括: a) 应访谈物理安全负责人,询问机房所在建筑物是否设置了避雷装置,是否通过验收或国家有关部门的技术检测; b) 应检查机房所在建筑物的防雷验收文档是否有设置避雷装置的说明。 5.1.1.3.3 结果判定 如果5.1.1.3.2 a)和b)均为肯定,则信息系统符合本
23、单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.1.4 防火 5.1.1.4.1 测评指标 见JR/T 0060-2010 5.1.1.4。 5.1.1.4.2 测评实施 应检查机房是否设置了灭火设备,灭火设备是否是经消防检测部门检测合格的产品,其有效期是否合格。 5.1.1.4.3 结果判定 如果5.1.1.4.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.1.5 防水和防潮 5.1.1.5.1 测评指标 见JR/T 0060-2010 5.1.1.5。 5.1.1.5.2 测评实施 本项要求包括: a)
24、 应检查穿过机房墙壁或楼板的给水排水管道是否采取防渗漏和防结露等保护措施; 1) 检查与机房设备无关的水管是否穿过机房屋顶和活动地板下; 2) 检查机房屋顶和活动地板下铺有水管的,是否采取了有效的防水措施。 JR/T 00672011 5b) 应检查机房的窗户、屋顶和墙壁等是否未出现过漏水、渗透和返潮现象,机房的窗户、屋顶和墙壁是否进行过防水防渗处理。 5.1.1.5.3 结果判定 如果5.1.1.5.2a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.1.6 温湿度控制 5.1.1.6.1 测评指标 见JR/T 0060-201
25、0 5.1.1.6。 5.1.1.6.2 测评实施 应检查机房内是否有温湿度控制设施,温湿度控制设施是否正常运行,机房温度、相对湿度是否满足电子信息设备的使用要求。 检查机房开机时温度是否控制在JR/T 0060-2010的相关要求之内。 5.1.1.6.3 结果判定 如果5.1.1.6.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.1.7 电力供应 5.1.1.7.1 测评指标 见JR/T 0060-2010 5.1.1.7。 5.1.1.7.2 测评实施 应检查机房的计算机系统供电线路上是否设置了稳压器和过电压防护设备,这些设备是否
26、正常运行。 5.1.1.7.3 结果判定 如果5.1.1.7.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.2 网络安全 5.1.2.1 结构安全 5.1.2.1.1 测评指标 见JR/T 0060-2010 5.1.2.1。 5.1.2.1.2 测评实施 本项要求包括: a) 应访谈网络管理员,询问关键网络设备的业务处理能力是否满足基本业务需求; b) 应访谈网络管理员,询问接入网络及核心网络的带宽是否满足基本业务需要; c) 应检查网络拓扑结构图,查看其与当前运行的实际网络系统是否一致。 检查网络拓扑结构图是否完整,是否有相应的网络
27、配置表,包含设备IP地址等主要信息,与当前运行情况相符,并及时更新。 5.1.2.1.3 结果判定 本项要求包括: a) 如果5.1.2.1.2 c)中缺少网络拓扑结构图,则为否定; b) 如果5.1.2.1.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.2.2 访问控制 5.1.2.2.1 测评指标 见JR/T 0060-2010 5.1.2.2。 5.1.2.2.2 测评实施 JR/T 00672011 6本项要求包括: a) 应访谈网络管理员,询问网络访问控制的措施有哪些;询问网络访问控制设备具备哪些访问控制功能;
28、b) 应检查边界网络设备,查看是否有正确的访问控制列表,以通过源地址、目的地址、源端口、目的端口、协议等进行网络数据流控制,其控制粒度是否至少为用户组。 5.1.2.2.3 结果判定 如果5.1.2.2.2 b)为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.2.3 网络设备防护 5.1.2.3.1 测评指标 见JR/T 0060-2010 5.1.2.3。 5.1.2.3.2 测评实施 本项要求包括: a) 应检查边界和关键网络设备的设备防护策略,查看是否配置了对登录用户进行身份鉴别的功能; b) 应检查边界和关键网络设备的设备防护策略,
29、查看是否配置了登录失败处理功能,包括结束会话、限制非法登录次数、登录连接超时自动退出等; c) 应检查边界和关键网络设备的设备防护策略,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。 5.1.2.3.3 结果判定 如果5.1.2.3.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.3 主机安全 5.1.3.1 身份鉴别 5.1.3.1.1 测评指标 见JR/T 0060-2010 5.1.3.1。 5.1.3.1.2 测评实施 应检查关键服务器操作系统和关键数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措
30、施。 5.1.3.1.3 结果判定 如果5.1.3.1.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 5.1.3.2 访问控制 5.1.3.2.1 测评指标 见JR/T 0060-2010 5.1.3.2。 5.1.3.2.2 测评实施 本项要求包括: a) 应检查关键服务器操作系统的访问控制策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除; b) 应检查关键服务器操作系统和关键数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认帐户的访问权限,是否重命名系统默认帐户、修改这些帐户的默认口令; c) 应检查关键服务器操作系统和关键数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的帐户; JR/T 00672011 71) 检查系统中的账号是否为用户工作必须的; 2) 检查是否及时删除或禁用了不用或过期的账户。 d) 应检
