JR T 0072—2020 金融行业网络安全等级保护测评指南.pdf

资源描述

1、ICS 03.060A 11 JR中华人民共和国金融行业标准JR/T 0072 2020代替 JR/T 0072 2012金融行业网络安全等级保护测评指南 Testing and evaluation guidelines for classified protection of cybersecurity offinancial industry 2020- 11- 11发布 2020 -11-11实施中国人民银行发布 JR/T 0072 2020 I 目次前言 .II引言 .III1 范围 .12 规范性

2、引用文件 .13 术语和定义 .14 缩略语 .55 等级测评概述 .55.1 等级测评方法 .55.2 单项测评和整体测评 .5 6 第二级测评要求 .66.1 安全测评通用要求 .66.2 云计算安全测评扩展要求 .546.3 移动互联安全测评扩展要求 .616.4 物联网安全测评扩展要求 .647 第三级测评要求 .707.1 安全测评通用要求 .707.2 云计算安全测评扩展要求 .1497.3 移

3、动互联安全测评扩展要求 .1657.4 物联网安全测评扩展要求 .1718 第四级测评要求 .1818.1 安全测评通用要求 .1818.2 云计算安全测评扩展要求 .267 8.3 移动互联安全测评扩展要求 .2888.4 物联网安全测评扩展要求 .2959 整体测评 .3059.1 概述 .3059.2 安全控制点测评 .3059.3 安全控制点间测评 .3059.4 区域间测评 .30510 测评结论 .3051

4、0.1 风险分析和评价 .30510.2 等级测评结论 .306附录 A（资料性附录）测评力度 .307附录 B（资料性附录）大数据可参考安全评估方法 .309 附录 C（规范性附录）测评单元编号说明 .330参考文献 .331 JR/T 0072 2020 II 前言本标准按照 GB/T 1.1 2009给出的规则起草。本标准代替 JR/T0072 2012 金融行业信息系统信息安全等级保护测评指南，与

5、 JR/T0072 2012相比，主要技术变化如下：修改了 “ 等级测评概述 ” （见第 5 章， 2012年版第 3章）；删除了 “ 等级测评过程 ” （见 2012年版第 4 章）；删除了 “ 测评准备 ” （见 2012年版第 5 章）；删除了 “ 测评方案 ” （见 2012年版第 6 章）；修改了 “ 第二级测评要求 ” 的 “ 安全测评通用要求 ” 中 “ 安全物理环境 ” “ 安全通信网络 ” “ 安全区

6、域边界 ” “ 安全计算环境 ” “ 安全管理中心 ” “ 安全管理制度 ” “ 安全管理机构 ” “ 安全管理人员 ” “ 安全建设管理 ” “ 安全运维管理 ” 相关要求项（见 6.1， 2012 年版 7.1.1）；增加了 “ 第二级测评要求 ” 中 “ 云计算安全测评扩展要求 ” “ 移动互联安全测评扩展要求 ” “ 物联网安全测评扩展要求 ” （见第 6 章）；修改了 “ 第三级测评要求 ”

7、的 “ 安全测评通用要求 ” 中 “ 安全物理环境 ” “ 安全通信网络 ” “ 安全区域边界 ” “ 安全计算环境 ” “ 安全管理中心 ” “ 安全管理制度 ” “ 安全管理机构 ” “ 安全管理人员 ”“ 安全建设管理 ” “ 安全运维管理 ” 相关要求项（见 7.1， 2012 年版 7.1.2）；增加了 “ 第三级测评要求 ” 中 “ 云计算安全测评扩展要求 ” “ 移动互联安全测评扩展要求 ” “

8、物联网安全测评扩展要求 ” （见第 7 章）；修改了 “ 第四级测评要求 ” 的 “ 安全测评通用要求 ” 中 “ 安全物理环境 ” “ 安全通信网络 ” “ 安全区域边界 ” “ 安全计算环境 ” “ 安全管理中心 ” “ 安全管理制度 ” “ 安全管理机构 ” “ 安全管理人员 ”“ 安全建设管理 ” “ 安全运维管理 ” 相关要求项（见 8.1， 2012 年版 7.1.3）；增加了 “ 第四级测评要

9、求 ” 中 “ 云计算安全测评扩展要求 ” “ 移动互联安全测评扩展要求 ” “ 物联网安全测评扩展要求 ” （见第 8 章）；删除了 “ 分析与报告编制 ” （见 2012 年版第 8 章）；删除了 “ 现场单元测评检查表 ” （见 2012 年版附录 A）；增加了 “ 测评力度 ” （见附录 A）；增加了 “ 大数据可参考安全评估方法 ” ，对金融行业大数据平台提出分级要求（见

10、附录 B）；增加了 “ 测评单元编号说明 ” （见附录 C）。本标准由中国人民银行提出。本标准由全国金融标准化技术委员会（ SAC/TC 180）归口。本标准起草单位：中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中国金融电子化公司、北京中金国盛认证有限公司、银行卡检测中心、中国平安保险（集团）股份有限公司、

11、北京天融信网络安全技术有限公司、华为技术有限公司。本标准主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王海涛、张璐、潘丽扬、邓昊、侯漫丽、孙国栋、刘文娟、赵方萌、马成龙、杜巍、崔莹、陈雪峰、渠韶光、高强裔、李博文、李金华、金朝、任勇强、岳源、朱京城、赵江、于惊涛、胡珊、

12、谢虹、杨剑、李建彬、于国强、肖松、白阳、张宇、赵华。本标准所代替标准的历次版本发布情况为： JR/T 0072 2012。 JR/T 0072 2020 III 引言网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生，是国家网络安全重点保护对象，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范

13、和指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金融机构正根据自身发展的需要，持续推进 IT架构的转型。为适应新技术、新应用和新架构情况下金融行业网络安全等级保护工作的开展，对 JR/T 0071进行了修订，同时，作为测评指标进行引用的 JR/T 0072也启动了修订工作。修订后的 JR/T

14、0072依据 JR/T 0071基本要求调整的内容，针对共性安全保护需求提出安全测评通用要求，针对云计算、移动互联、物联网等新技术、新应用领域的个性安全保护需求提出安全测评扩展要求。 JR/T 0072 2020 1 金融行业网络安全等级保护测评指南1 范围本标准规定了金融行业对第二级、第三级和第四级的等级保护对象的安全测评通用要求和安全

15、测评扩展要求。本标准适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门对等级保护对象的安全状况进行安全测评。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的文件，其最新版本（包括所有的修改版）适用于本文件。GB/T 22239 2019 信息

16、安全技术网络安全等级保护基本要求 GB/T 28448 2019 信息安全技术网络安全等级保护测评要求GB/T 28449 2018 信息安全技术网络安全等级保护测评过程指南GB/T 31167 2014 信息安全技术云计算服务安全指南GB/T 31168 2014 信息安全技术云计算服务安全能力要求GB/T 32400 2015 云计算概览与词汇GM/T 0054 2018 信息系统密码应用基本要

17、求JR/T 0071.2 2020 金融行业网络安全等级保护实施指引第 2部分：基本要求JR/T 0171 2020 个人金融信息保护技术规范3 术语和定义下列术语和定义适用于本文件。3.1 访谈 interview 测评人员通过引导等级保护对象相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、澄清或取得证据的过程。GB/T 28448 2019，定义 3.13.2 核查 e

18、xamine测评人员通过对测评对象（如制度文档、各类设备及相关安全配置等）进行观察、查验和分析，以帮助测评人员理解、澄清或取得证据的过程。GB/T 28448 2019，定义 3.23.3 测试 test测评人员使用预定的方法 /工具使测评对象（各类设备或安全配置）产生特定的结果，将运行结果与预期的结果进行比对的过程。GB/T 28448 2019，定义 3.

19、3 3.4 JR/T 0072 2020 2 评估 evaluate对测评对象可能存在的威胁及其可能产生的后果进行综合评价和预测的过程。GB/T 28448 2019，定义 3.43.5 测评对象 target of testing and evaluation等级测评过程中不同测评方法作用的对象，主要涉及相关配套制度文档、设备设施及人员等。GB/T 28448 2019，定义 3.53.6 等级测评 testing and e

20、valuation for classified cybersecurity protection测评机构依据国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对非涉及国家秘密的网络安全等级保护状况进行检测评估的活动。GB/T 28448 2019，定义 3.6 3.7 云计算 cloud computing通过网络访问可扩展的、灵活的物理或虚拟共享资源池，并按需自助获取和管理资源的

21、模式。注：资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。GB/T 31167 2014，定义 3.13.8 云服务 cloud service通过云计算已定义的接口提供的一种或多种能力。GB/T 32400 2015，定义 3.2.83.9 云服务商 cloud service provider云计算服务的供应方。注：云服务商管理、运营、支撑云计算的计算基础设施及软件，通过网

22、络交付云计算的资源。GB/T 311672014，定义 3.33.10云服务客户 cloud service customer为使用云计算服务同云服务商建立业务关系的参与方。GB/T 311682014，定义 3.43.11云计算平台 /系统 cloud computing platform/system云服务商提供的云计算基础设施及其上的服务软件的集合。GB/T 22239 2019，定义 3.63.12团体云 community cloud

23、由一组特定的云服务客户使用和共享，且资源被云服务商或使用者控制的一种云部署和云服务模式。3.13虚拟机 virtual machine通过各种虚拟化技术，为用户提供的与原有物理服务器相同的操作系统和应用程序运行环境的统称。注：虚拟机通常使用物理服务器的资源，在用户看来它与物理服务器的使用方式完全相同。 JR/T 0072 2020 3 3.14

24、虚拟机监视器 hypervisor运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。GB/T 22239 2019，定义 3.73.15资源池 resource pool按照一定规则可从中获取、释放、或回收资源的物理资源或虚拟资源的集合。注：资源包括物理机、虚拟机、物理存储资源、虚拟存储资源、物理网络资源和虚拟网络资源等

25、。3.16宿主机 host machine运行虚拟机监视器的物理服务器。GB/T 22239 2019，定义 3.8 3.17敏感数据 sensitive data一旦泄露可能会对用户或金融机构造成损失的数据。JR/T 0071.2 2020，定义 3.243.18个人金融信息 personal financial information金融业机构通过提供金融产品和服务或者其他渠道获取、加工和保存的个人信息。注：本标

26、准中的个人金融信息包括账户信息、鉴别信息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某些情况的信息。JR/T 0171 2020，定义 3.23.19个人金融信息主体 personal financial data subject 个人金融信息所标识的自然人。JR/T 0171 2020，定义 3.43.20移动互联 mobile communication采用无线通信技术将移动终

27、端接入有线网络的过程。GB/T 22239 2019，定义 3.93.21移动终端 mobile device在移动业务中使用的终端设备，包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。GB/T 22239 2019，定义 3.103.22无线接入设备 wireless access device 采用无线通信技术将移动终端接入有线网络的通信设备。GB/T 22239 2019，定义 3.113.23无

28、线接入网关 wireless access gateway部署在无线网络与有线网络之间，对有线网络进行安全防护的设备。 JR/T 0072 2020 4 GB/T 22239 2019，定义 3.123.24移动应用软件 mobile application针对移动终端开发的应用软件。GB/T 22239 2019，定义 3.133.25移动终端管理系统 mobile device management system用于进行移动终端设备管理、应

29、用管理和内容管理的专用软件，包括客户端软件和服务端软件。GB/T 22239 2019，定义 3.143.26物联网 internet of things； IOT将感知节点设备（含 RFID）通过互联网等网络连接起来构成的一个应用系统，其融合信息系统和物理世界实体，是虚拟世界与现实世界的结合。注：改写 GB/T 22239 2019，定义 3.15。3.27网关节点设备 The sensor l

30、ayer gateway将感知节点设备所采集的数据传输到数据处理中心的关键出口，连接传统信息网络（有线网、移动网等）和传感网的设备。注：简单的感知层网关只是对感知数据的转发（因电力充足），而智能的感知层网关可以包括对数据进行适当处理、数据融合等业务。3.28感知节点设备 sensor node物联网系统的最终端设备或器件，能够通过有

31、线、无线方式发起或终结通信，采集物理信息和 /或接受控制的实体设备。注：感知节点设备也叫感知终端设备（ end sensor）、终端感知节点设备（ end sensor node）。3.29感知网关节点设备 sensor layer gateway将感知节点所采集的数据进行汇总、适当处理或数据融合，并进行转发的装置。GB/T 22239 2019，定义 3.173.30动态口令 one-

32、time-password（ OTP）， dynamic password基于时间、事件等方式动态生成的一次性口令。GM/T 0054 2018，定义 3.13.31安全单元 security element； SE负责关键数据的安全存储的部件。 3.32大数据 big data具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分

33、析和管理的数据集。3.33大数据平台 big data platform JR/T 0072 2020 5 采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合。注：大数据平台通常包括监视大数据的存储、输入 /输出、操作控制等大数据服务软硬件基础设施。4 缩略语下列缩略语适用于本文件。AP：无线访问接入点（ Wireless Access Point）CPU：中央处理单元（ Central Processing Unit）DDoS：分布式拒绝服务攻击（ Distributed Denial of Service）DoS：拒绝服务（ Denial of Service）HTTPS：安全超文本传输协议（ HyperText Transfer Protocol Secure）IP：互联网协议（ Internet Protocol）IT：信息技术（ Information Technology）RFI

展开阅读全文