1、ICS 03.060A 11 JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 0072 2020代 替 JR/T 0072 2012金 融 行 业 网 络 安 全 等 级 保 护 测 评 指 南 Testing and evaluation guidelines for classified protection of cybersecurity offinancial industry 2020- 11- 11发 布 2020 -11-11实 施中 国 人 民 银 行 发 布 JR/T 0072 2020 I 目 次前 言 .II引 言 .III1 范 围 .12 规 范 性
2、 引 用 文 件 .13 术 语 和 定 义 .14 缩 略 语 .55 等 级 测 评 概 述 .55.1 等 级 测 评 方 法 .55.2 单 项 测 评 和 整 体 测 评 .5 6 第 二 级 测 评 要 求 .66.1 安 全 测 评 通 用 要 求 .66.2 云 计 算 安 全 测 评 扩 展 要 求 .546.3 移 动 互 联 安 全 测 评 扩 展 要 求 .616.4 物 联 网 安 全 测 评 扩 展 要 求 .647 第 三 级 测 评 要 求 .707.1 安 全 测 评 通 用 要 求 .707.2 云 计 算 安 全 测 评 扩 展 要 求 .1497.3 移
3、 动 互 联 安 全 测 评 扩 展 要 求 .1657.4 物 联 网 安 全 测 评 扩 展 要 求 .1718 第 四 级 测 评 要 求 .1818.1 安 全 测 评 通 用 要 求 .1818.2 云 计 算 安 全 测 评 扩 展 要 求 .267 8.3 移 动 互 联 安 全 测 评 扩 展 要 求 .2888.4 物 联 网 安 全 测 评 扩 展 要 求 .2959 整 体 测 评 .3059.1 概 述 .3059.2 安 全 控 制 点 测 评 .3059.3 安 全 控 制 点 间 测 评 .3059.4 区 域 间 测 评 .30510 测 评 结 论 .3051
4、0.1 风 险 分 析 和 评 价 .30510.2 等 级 测 评 结 论 .306附 录 A( 资 料 性 附 录 ) 测 评 力 度 .307附 录 B( 资 料 性 附 录 ) 大 数 据 可 参 考 安 全 评 估 方 法 .309 附 录 C( 规 范 性 附 录 ) 测 评 单 元 编 号 说 明 .330参 考 文 献 .331 JR/T 0072 2020 II 前 言本 标 准 按 照 GB/T 1.1 2009给 出 的 规 则 起 草 。本 标 准 代 替 JR/T0072 2012 金 融 行 业 信 息 系 统 信 息 安 全 等 级 保 护 测 评 指 南 , 与
5、 JR/T0072 2012相 比 , 主 要 技 术 变 化 如 下 : 修 改 了 “ 等 级 测 评 概 述 ” ( 见 第 5 章 , 2012年 版 第 3章 ) ; 删 除 了 “ 等 级 测 评 过 程 ” ( 见 2012年 版 第 4 章 ) ; 删 除 了 “ 测 评 准 备 ” ( 见 2012年 版 第 5 章 ) ; 删 除 了 “ 测 评 方 案 ” ( 见 2012年 版 第 6 章 ) ; 修 改 了 “ 第 二 级 测 评 要 求 ” 的 “ 安 全 测 评 通 用 要 求 ” 中 “ 安 全 物 理 环 境 ” “ 安 全 通 信 网 络 ” “ 安全 区
6、域 边 界 ” “ 安 全 计 算 环 境 ” “ 安 全 管 理 中 心 ” “ 安 全 管 理 制 度 ” “ 安 全 管 理 机 构 ” “ 安 全 管 理 人 员 ” “ 安 全 建 设 管 理 ” “ 安 全 运 维 管 理 ” 相 关 要 求 项 ( 见 6.1, 2012 年 版 7.1.1) ; 增 加 了 “ 第 二 级 测 评 要 求 ” 中 “ 云 计 算 安 全 测 评 扩 展 要 求 ” “ 移 动 互 联 安 全 测 评 扩 展 要 求 ” “ 物联 网 安 全 测 评 扩 展 要 求 ” ( 见 第 6 章 ) ; 修 改 了 “ 第 三 级 测 评 要 求 ”
7、的 “ 安 全 测 评 通 用 要 求 ” 中 “ 安 全 物 理 环 境 ” “ 安 全 通 信 网 络 ” “ 安全 区 域 边 界 ” “ 安 全 计 算 环 境 ” “ 安 全 管 理 中 心 ” “ 安 全 管 理 制 度 ” “ 安 全 管 理 机 构 ” “ 安 全 管 理 人 员 ”“ 安 全 建 设 管 理 ” “ 安 全 运 维 管 理 ” 相 关 要 求 项 ( 见 7.1, 2012 年 版 7.1.2) ; 增 加 了 “ 第 三 级 测 评 要 求 ” 中 “ 云 计 算 安 全 测 评 扩 展 要 求 ” “ 移 动 互 联 安 全 测 评 扩 展 要 求 ” “
8、 物联 网 安 全 测 评 扩 展 要 求 ” ( 见 第 7 章 ) ; 修 改 了 “ 第 四 级 测 评 要 求 ” 的 “ 安 全 测 评 通 用 要 求 ” 中 “ 安 全 物 理 环 境 ” “ 安 全 通 信 网 络 ” “ 安全 区 域 边 界 ” “ 安 全 计 算 环 境 ” “ 安 全 管 理 中 心 ” “ 安 全 管 理 制 度 ” “ 安 全 管 理 机 构 ” “ 安 全 管 理 人 员 ”“ 安 全 建 设 管 理 ” “ 安 全 运 维 管 理 ” 相 关 要 求 项 ( 见 8.1, 2012 年 版 7.1.3) ; 增 加 了 “ 第 四 级 测 评 要
9、 求 ” 中 “ 云 计 算 安 全 测 评 扩 展 要 求 ” “ 移 动 互 联 安 全 测 评 扩 展 要 求 ” “ 物联 网 安 全 测 评 扩 展 要 求 ” ( 见 第 8 章 ) ; 删 除 了 “ 分 析 与 报 告 编 制 ” ( 见 2012 年 版 第 8 章 ) ; 删 除 了 “ 现 场 单 元 测 评 检 查 表 ” ( 见 2012 年 版 附 录 A) ; 增 加 了 “ 测 评 力 度 ” ( 见 附 录 A) ; 增 加 了 “ 大 数 据 可 参 考 安 全 评 估 方 法 ” , 对 金 融 行 业 大 数 据 平 台 提 出 分 级 要 求 ( 见
10、附 录 B) ; 增 加 了 “ 测 评 单 元 编 号 说 明 ” ( 见 附 录 C) 。本 标 准 由 中 国 人 民 银 行 提 出 。本 标 准 由 全 国 金 融 标 准 化 技 术 委 员 会 ( SAC/TC 180) 归 口 。本 标 准 起 草 单 位 : 中 国 人 民 银 行 科 技 司 、 中 国 银 行 保 险 监 督 管 理 委 员 会 统 计 信 息 与 风 险 监 测 部 、 中国 金 融 电 子 化 公 司 、 北 京 中 金 国 盛 认 证 有 限 公 司 、 银 行 卡 检 测 中 心 、 中 国 平 安 保 险 ( 集 团 ) 股 份 有 限 公司 、
11、 北 京 天 融 信 网 络 安 全 技 术 有 限 公 司 、 华 为 技 术 有 限 公 司 。本 标 准 主 要 起 草 人 : 李 伟 、 陈 立 吾 、 沈 筱 彦 、 车 珍 、 昝 新 、 夏 磊 、 方 怡 、 张 海 燕 、 唐 辉 、 李 凡 、 王海 涛 、 张 璐 、 潘 丽 扬 、 邓 昊 、 侯 漫 丽 、 孙 国 栋 、 刘 文 娟 、 赵 方 萌 、 马 成 龙 、 杜 巍 、 崔 莹 、 陈 雪 峰 、 渠 韶光 、 高 强 裔 、 李 博 文 、 李 金 华 、 金 朝 、 任 勇 强 、 岳 源 、 朱 京 城 、 赵 江 、 于 惊 涛 、 胡 珊 、
12、谢 虹 、 杨 剑 、 李 建 彬 、 于 国 强 、 肖 松 、 白 阳 、 张 宇 、 赵 华 。本 标 准 所 代 替 标 准 的 历 次 版 本 发 布 情 况 为 : JR/T 0072 2012。 JR/T 0072 2020 III 引 言网 络 安 全 等 级 保 护 是 国 家 网 络 安 全 保 障 工 作 的 一 项 基 本 制 度 , 金 融 行 业 重 要 系 统 关 系 到 国 计 民 生 ,是 国 家 网 络 安 全 重 点 保 护 对 象 , 因 此 需 要 一 系 列 适 合 金 融 行 业 的 等 级 保 护 标 准 体 系 作 为 支 撑 , 以 规 范
13、和指 导 金 融 行 业 等 级 保 护 工 作 的 实 施 。 随 着 云 计 算 、 移 动 互 联 、 物 联 网 、 大 数 据 等 新 技 术 的 广 泛 应 用 , 金融 机 构 正 根 据 自 身 发 展 的 需 要 , 持 续 推 进 IT架 构 的 转 型 。 为 适 应 新 技 术 、 新 应 用 和 新 架 构 情 况 下 金 融 行业 网 络 安 全 等 级 保 护 工 作 的 开 展 , 对 JR/T 0071进 行 了 修 订 , 同 时 , 作 为 测 评 指 标 进 行 引 用 的 JR/T 0072也 启 动 了 修 订 工 作 。 修 订 后 的 JR/T
14、0072依 据 JR/T 0071基 本 要 求 调 整 的 内 容 , 针 对 共 性 安 全 保 护 需 求 提出 安 全 测 评 通 用 要 求 , 针 对 云 计 算 、 移 动 互 联 、 物 联 网 等 新 技 术 、 新 应 用 领 域 的 个 性 安 全 保 护 需 求 提 出安 全 测 评 扩 展 要 求 。 JR/T 0072 2020 1 金 融 行 业 网 络 安 全 等 级 保 护 测 评 指 南1 范 围本 标 准 规 定 了 金 融 行 业 对 第 二 级 、 第 三 级 和 第 四 级 的 等 级 保 护 对 象 的 安 全 测 评 通 用 要 求 和 安 全
15、测 评 扩展 要 求 。本 标 准 适 用 于 指 导 金 融 机 构 、 测 评 机 构 和 金 融 行 业 网 络 安 全 等 级 保 护 主 管 部 门 对 等 级 保 护 对 象 的 安 全状 况 进 行 安 全 测 评 。2 规 范 性 引 用 文 件下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 , 仅 注 日 期 的 版 本 适 用 于 本 文 件 。凡 是 不 注 日 期 的 文 件 , 其 最 新 版 本 ( 包 括 所 有 的 修 改 版 ) 适 用 于 本 文 件 。GB/T 22239 2019 信 息
16、 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求 GB/T 28448 2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 测 评 要 求GB/T 28449 2018 信 息 安 全 技 术 网 络 安 全 等 级 保 护 测 评 过 程 指 南GB/T 31167 2014 信 息 安 全 技 术 云 计 算 服 务 安 全 指 南GB/T 31168 2014 信 息 安 全 技 术 云 计 算 服 务 安 全 能 力 要 求GB/T 32400 2015 云 计 算 概 览 与 词 汇GM/T 0054 2018 信 息 系 统 密 码 应 用 基 本 要
17、 求JR/T 0071.2 2020 金 融 行 业 网 络 安 全 等 级 保 护 实 施 指 引 第 2部 分 : 基 本 要 求JR/T 0171 2020 个 人 金 融 信 息 保 护 技 术 规 范3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 文 件 。3.1 访 谈 interview 测 评 人 员 通 过 引 导 等 级 保 护 对 象 相 关 人 员 进 行 有 目 的 的 ( 有 针 对 性 的 ) 交 流 以 帮 助 测 评 人 员 理 解 、 澄清 或 取 得 证 据 的 过 程 。GB/T 28448 2019, 定 义 3.13.2 核 查 e
18、xamine测 评 人 员 通 过 对 测 评 对 象 ( 如 制 度 文 档 、 各 类 设 备 及 相 关 安 全 配 置 等 ) 进 行 观 察 、 查 验 和 分 析 , 以 帮助 测 评 人 员 理 解 、 澄 清 或 取 得 证 据 的 过 程 。GB/T 28448 2019, 定 义 3.23.3 测 试 test测 评 人 员 使 用 预 定 的 方 法 /工 具 使 测 评 对 象 ( 各 类 设 备 或 安 全 配 置 ) 产 生 特 定 的 结 果 , 将 运 行 结 果 与 预期 的 结 果 进 行 比 对 的 过 程 。GB/T 28448 2019, 定 义 3.
19、3 3.4 JR/T 0072 2020 2 评 估 evaluate对 测 评 对 象 可 能 存 在 的 威 胁 及 其 可 能 产 生 的 后 果 进 行 综 合 评 价 和 预 测 的 过 程 。GB/T 28448 2019, 定 义 3.43.5 测 评 对 象 target of testing and evaluation等 级 测 评 过 程 中 不 同 测 评 方 法 作 用 的 对 象 , 主 要 涉 及 相 关 配 套 制 度 文 档 、 设 备 设 施 及 人 员 等 。GB/T 28448 2019, 定 义 3.53.6 等 级 测 评 testing and e
20、valuation for classified cybersecurity protection测 评 机 构 依 据 国 家 网 络 安 全 等 级 保 护 制 度 规 定 , 按 照 有 关 管 理 规 范 和 技 术 标 准 , 对 非 涉 及 国 家 秘 密 的网 络 安 全 等 级 保 护 状 况 进 行 检 测 评 估 的 活 动 。GB/T 28448 2019, 定 义 3.6 3.7 云 计 算 cloud computing通 过 网 络 访 问 可 扩 展 的 、 灵 活 的 物 理 或 虚 拟 共 享 资 源 池 , 并 按 需 自 助 获 取 和 管 理 资 源 的
21、 模 式 。注 : 资 源 实 例 包 括 服 务 器 、 操 作 系 统 、 网 络 、 软 件 、 应 用 和 存 储 设 备 等 。GB/T 31167 2014, 定 义 3.13.8 云 服 务 cloud service通 过 云 计 算 已 定 义 的 接 口 提 供 的 一 种 或 多 种 能 力 。GB/T 32400 2015, 定 义 3.2.83.9 云 服 务 商 cloud service provider云 计 算 服 务 的 供 应 方 。 注 : 云 服 务 商 管 理 、 运 营 、 支 撑 云 计 算 的 计 算 基 础 设 施 及 软 件 , 通 过 网
22、 络 交 付 云 计 算 的 资 源 。GB/T 311672014, 定 义 3.33.10云 服 务 客 户 cloud service customer为 使 用 云 计 算 服 务 同 云 服 务 商 建 立 业 务 关 系 的 参 与 方 。GB/T 311682014, 定 义 3.43.11云 计 算 平 台 /系 统 cloud computing platform/system云 服 务 商 提 供 的 云 计 算 基 础 设 施 及 其 上 的 服 务 软 件 的 集 合 。GB/T 22239 2019, 定 义 3.63.12团 体 云 community cloud
23、由 一 组 特 定 的 云 服 务 客 户 使 用 和 共 享 , 且 资 源 被 云 服 务 商 或 使 用 者 控 制 的 一 种 云 部 署 和 云 服 务 模 式 。3.13虚 拟 机 virtual machine通 过 各 种 虚 拟 化 技 术 , 为 用 户 提 供 的 与 原 有 物 理 服 务 器 相 同 的 操 作 系 统 和 应 用 程 序 运 行 环 境 的 统 称 。注 : 虚 拟 机 通 常 使 用 物 理 服 务 器 的 资 源 , 在 用 户 看 来 它 与 物 理 服 务 器 的 使 用 方 式 完 全 相 同 。 JR/T 0072 2020 3 3.14
24、虚 拟 机 监 视 器 hypervisor运 行 在 基 础 物 理 服 务 器 和 操 作 系 统 之 间 的 中 间 软 件 层 , 可 允 许 多 个 操 作 系 统 和 应 用 共 享 硬 件 。GB/T 22239 2019, 定 义 3.73.15资 源 池 resource pool按 照 一 定 规 则 可 从 中 获 取 、 释 放 、 或 回 收 资 源 的 物 理 资 源 或 虚 拟 资 源 的 集 合 。注 : 资 源 包 括 物 理 机 、 虚 拟 机 、 物 理 存 储 资 源 、 虚 拟 存 储 资 源 、 物 理 网 络 资 源 和 虚 拟 网 络 资 源 等
25、 。3.16宿 主 机 host machine运 行 虚 拟 机 监 视 器 的 物 理 服 务 器 。GB/T 22239 2019, 定 义 3.8 3.17敏 感 数 据 sensitive data一 旦 泄 露 可 能 会 对 用 户 或 金 融 机 构 造 成 损 失 的 数 据 。JR/T 0071.2 2020, 定 义 3.243.18个 人 金 融 信 息 personal financial information金 融 业 机 构 通 过 提 供 金 融 产 品 和 服 务 或 者 其 他 渠 道 获 取 、 加 工 和 保 存 的 个 人 信 息 。注 : 本 标
26、准 中 的 个 人 金 融 信 息 包 括 账 户 信 息 、 鉴 别 信 息 、 金 融 交 易 信 息 、 个 人 身 份 信 息 、 财 产 信 息 、 借 贷 信 息 及其 他 反 映 特 定 个 人 某 些 情 况 的 信 息 。JR/T 0171 2020, 定 义 3.23.19个 人 金 融 信 息 主 体 personal financial data subject 个 人 金 融 信 息 所 标 识 的 自 然 人 。JR/T 0171 2020, 定 义 3.43.20移 动 互 联 mobile communication采 用 无 线 通 信 技 术 将 移 动 终
27、 端 接 入 有 线 网 络 的 过 程 。GB/T 22239 2019, 定 义 3.93.21移 动 终 端 mobile device在 移 动 业 务 中 使 用 的 终 端 设 备 , 包 括 智 能 手 机 、 平 板 电 脑 、 个 人 电 脑 等 通 用 终 端 和 专 用 终 端 设 备 。GB/T 22239 2019, 定 义 3.103.22无 线 接 入 设 备 wireless access device 采 用 无 线 通 信 技 术 将 移 动 终 端 接 入 有 线 网 络 的 通 信 设 备 。GB/T 22239 2019, 定 义 3.113.23无
28、线 接 入 网 关 wireless access gateway部 署 在 无 线 网 络 与 有 线 网 络 之 间 , 对 有 线 网 络 进 行 安 全 防 护 的 设 备 。 JR/T 0072 2020 4 GB/T 22239 2019, 定 义 3.123.24移 动 应 用 软 件 mobile application针 对 移 动 终 端 开 发 的 应 用 软 件 。GB/T 22239 2019, 定 义 3.133.25移 动 终 端 管 理 系 统 mobile device management system用 于 进 行 移 动 终 端 设 备 管 理 、 应
29、用 管 理 和 内 容 管 理 的 专 用 软 件 , 包 括 客 户 端 软 件 和 服 务 端 软 件 。GB/T 22239 2019, 定 义 3.143.26物 联 网 internet of things; IOT将 感 知 节 点 设 备 ( 含 RFID) 通 过 互 联 网 等 网 络 连 接 起 来 构 成 的 一 个 应 用 系 统 , 其 融 合 信 息 系 统 和 物 理 世 界 实 体 , 是 虚 拟 世 界 与 现 实 世 界 的 结 合 。注 : 改 写 GB/T 22239 2019, 定 义 3.15。3.27网 关 节 点 设 备 The sensor l
30、ayer gateway将 感 知 节 点 设 备 所 采 集 的 数 据 传 输 到 数 据 处 理 中 心 的 关 键 出 口 , 连 接 传 统 信 息 网 络 ( 有 线 网 、 移动 网 等 ) 和 传 感 网 的 设 备 。注 : 简 单 的 感 知 层 网 关 只 是 对 感 知 数 据 的 转 发 ( 因 电 力 充 足 ) , 而 智 能 的 感 知 层 网 关 可 以 包 括 对 数 据 进 行 适 当 处理 、 数 据 融 合 等 业 务 。3.28感 知 节 点 设 备 sensor node物 联 网 系 统 的 最 终 端 设 备 或 器 件 , 能 够 通 过 有
31、 线 、 无 线 方 式 发 起 或 终 结 通 信 , 采 集 物 理 信 息 和 /或 接 受 控 制 的 实 体 设 备 。 注 : 感 知 节 点 设 备 也 叫 感 知 终 端 设 备 ( end sensor) 、 终 端 感 知 节 点 设 备 ( end sensor node) 。3.29感 知 网 关 节 点 设 备 sensor layer gateway将 感 知 节 点 所 采 集 的 数 据 进 行 汇 总 、 适 当 处 理 或 数 据 融 合 , 并 进 行 转 发 的 装 置 。GB/T 22239 2019, 定 义 3.173.30动 态 口 令 one-
32、time-password( OTP) , dynamic password基 于 时 间 、 事 件 等 方 式 动 态 生 成 的 一 次 性 口 令 。GM/T 0054 2018, 定 义 3.13.31安 全 单 元 security element; SE负 责 关 键 数 据 的 安 全 存 储 的 部 件 。 3.32大 数 据 big data具 有 数 量 巨 大 、 种 类 多 样 、 流 动 速 度 快 、 特 征 多 变 等 特 性 , 并 且 难 以 用 传 统 数 据 体 系 结 构 和 数 据处 理 技 术 进 行 有 效 组 织 、 存 储 、 计 算 、 分
33、 析 和 管 理 的 数 据 集 。3.33大 数 据 平 台 big data platform JR/T 0072 2020 5 采 用 分 布 式 存 储 和 计 算 技 术 , 提 供 大 数 据 的 访 问 和 处 理 , 支 持 大 数 据 应 用 安 全 高 效 运 行 的 软 硬 件集 合 。注 : 大 数 据 平 台 通 常 包 括 监 视 大 数 据 的 存 储 、 输 入 /输 出 、 操 作 控 制 等 大 数 据 服 务 软 硬 件 基 础 设 施 。4 缩 略 语下 列 缩 略 语 适 用 于 本 文 件 。AP: 无 线 访 问 接 入 点 ( Wireless Access Point)CPU: 中 央 处 理 单 元 ( Central Processing Unit)DDoS: 分 布 式 拒 绝 服 务 攻 击 ( Distributed Denial of Service)DoS: 拒 绝 服 务 ( Denial of Service)HTTPS: 安 全 超 文 本 传 输 协 议 ( HyperText Transfer Protocol Secure)IP: 互 联 网 协 议 ( Internet Protocol)IT: 信 息 技 术 ( Information Technology)RFI