JR∕T 0060-2021 (代替 JR∕T 0060-2010)证券期货业网络安全等级保护基本要求.pdf
《JR∕T 0060-2021 (代替 JR∕T 0060-2010)证券期货业网络安全等级保护基本要求.pdf》由会员分享,可在线阅读,更多相关《JR∕T 0060-2021 (代替 JR∕T 0060-2010)证券期货业网络安全等级保护基本要求.pdf(95页珍藏版)》请在咨信网上搜索。
1、ICS 03.060CCS A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 00602021代替 JR/T 00602010证券期货业网络安全等级保护基本要求Basic requirement for classified protection of cybersecurity of securities and futuresindustry2021-08-30 发布2021-08-30 实施中国证券监督管理委员会发 布JR/T 00602021I目次前言.III引言.IV1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.35 等级保护总体要求.45.1
2、 等级保护对象.45.2 安全保护能力.45.3 安全通用要求和安全扩展要求.45.4 其他.56 第一级安全要求.56.1 安全通用要求.56.2 云计算安全扩展要求.96.3 移动互联安全扩展要求.106.4 物联网安全扩展要求.106.5 工业控制安全扩展要求.117 第二级安全要求.117.1 安全通用要求.117.2 云计算安全扩展要求.217.3 移动互联安全扩展要求.237.4 物联网安全扩展要求.247.5 工业控制系统安全扩展要求.258 第三级安全要求.268.1 安全通用要求.268.2 云计算安全扩展要求.408.3 移动互联安全扩展要求.428.4 物联网安全扩展要求
3、.448.5 工业控制系统安全扩展要求.459 第四级安全要求.469.1 安全通用要求.469.2 云计算安全扩展要求.619.3 移动互联安全扩展要求.649.4 物联网安全扩展要求.65JR/T 00602021II9.5 工业控制安全扩展要求.66附录 A(规范性)安全通用要求和安全扩展要求的选择和使用.69附录 B(规范性)等级保护对象整体安全保护能力的要求.73附录 C(规范性)等级保护安全框架和关键技术使用要求.74附录 D(规范性)云计算应用场景.76附录 E(规范性)移动互联应用场景.77附录 F(规范性)物联网应用场景.78附录 G(规范性)工业控制系统应用场景.79G.1
4、 工业控制系统概述.79G.2 工业控制系统层次模型.79G.3 各个层次实现等级保护基本要求的差异.80G.4 实现等级保护要求的一些约束条件.81附录 H(规范性)大数据应用场景.82H.1 大数据安全扩展要求.82H.2 第一级安全控制措施.82H.3 第二级安全控制措施.83H.4 第三级安全控制措施.83H.5 第四级安全控制措施.85附录 I(规范性)安全保护等级为第三级的关键信息基础设施安全要求.87参考文献.90JR/T 00602021III前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件代替JR/T00602010
5、证券期货业信息系统安全等级保护基本要求(试行),与JR/T00602010相比,除结构调整和编辑性改动外,主要技术变化如下:更改了分类为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理;更改了各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求;删除了原来安全控制点的 S、A、G 标注,增加一个附录 A 描述等级保护对象的定级结果和安全要求之间的关系,说明如何根据定级结果选择安全要求;更改了原来附录 A 和附录 B 的顺序,增加了附录 C
6、 描述网络安全等级保护总体框架,并提出关键技术使用要求。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由全国金融标准化技术委员会证券分技术委员会(SAC/TC 180/SC4)提出。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。本文件起草单位:中国证券监督管理委员会科技监管局、中国证券监督管理委员会信息中心、中证信息技术服务有限责任公司、上海证券交易所、深圳证券交易所、上海期货交易所、中国金融期货交易所、国泰君安证券股份有限公司、中信建投证券股份有限公司、华泰证券股份有限公司、华福证券股份有限公司、兴业证券股份有限公司、嘉实基金管理有限公司
7、、中融基金管理有限公司、国泰君安期货有限公司、公安部信息安全等级保护评估中心、中国信息安全测评中心、上海市信息安全测评认证中心、深圳市网安计算机安全检测技术有限公司。本文件主要起草人:姚前、刘铁斌、蒋东兴、王东明、周云晖、陈炜、周桉、徐明、杨镇、路一、李向东、陈旭、黄清华、谢冉、吕德旭、俞枫、陈凯晖、王玥、朱成、张嵩、甘张生、黎峰、李杰、庄旭、马力、苏艳芳、邸丽清、李宏达、倪惠康、牛建红。本文件代替并废止JR/T00602010版本。本文件及其所代替文件的历次版本发布情况为:2010 年首次发布为 JR/T00602010 证券期货业信息系统安全等级保护基本要求(试行);本次为第一次修订。JR
8、/T 00602021IV引言网络安全等级保护是国家信息安全保障工作的重要举措,证券期货业作为国家网络安全重点保护对象,需要适合的证券期货业网络安全等级保护标准体系作为支撑,以规范和指导证券期货业等级保护工作的实施。针对证券期货业具有信息化程度高、业务持续性要求高、对系统的容量和处理能力要高的特点,在2010年发布了JR/T00602010证券期货业信息系安全等级保护基本要求(试行),但随着云计算、大数据等新技术的广泛应用,标准内容已不能更好的满足证券期货业网络安全等级保护需求。因此,依据GB/T222392019 信息安全技术网络安全等级保护基本要求 中相关要求,对JR/T00602010进
9、行修订,形成适用于证券期货业的网络安全等级保护基本要求标准。在本文件中,明确、细化和调整的内容以黑体字表示。JR/T 006020211证券期货业网络安全等级保护基本要求1范围本文件规定了证券期货业网络安全等级保护的总体要求,以及第一级到第四级等级保护对象的安全通用要求和安全扩展要求。本文件适用于证券期货业分等级的非涉密对象的安全建设和监督管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB178591999计算机信息系统安全保护等级划分
10、准则GB/T222392019信息安全技术网络安全等级保护基本要求GB/T222402020信息安全技术网络安全等级保护定级指南GB/T250692010信息安全技术术语GB/T250702019信息安全技术网络安全等级保护安全设计技术要求GB/T311672014信息安全技术云计算服务安全指南GB/T311682014信息安全技术云计算服务安全能力要求GB/T329192016信息安全技术工业控制系统安全控制应用指南3术语和定义GB178591999、GB/T222392019、GB/T222402020、GB/T250692010、GB/T250702019、GB/T311672014、G
11、B/T311682014和GB/T329192016界定的以及下列术语和定义适用于本文件。为了便于使用,以下重复列出了GB/T222392019、GB/T311672014、GB/T311682014和GB/T329192016中的一些术语和定义。3.1网络安全cybersecurity通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。来源:GB/T222392019,3.13.2安全保护能力securityprotectionability能够抵御威胁、发现安全事件以及在遭到损害后能够恢复
12、先前状态等的程度。来源:GB/T222392019,3.23.3云计算cloudcomputingJR/T 006020212通过网络访问可扩展的、灵活的物理或虚拟共享资源池,并按需自助获取和管理资源的模式。注:资源实例包括服务器、操作系统、网络、软件、应用和存储设备等。来源:GB/T31167,3.13.4云服务商cloudserviceprovider云计算服务的供应方。注:云服务商管理、运营、支撑云计算的计算基础设施及软件,通过网络交付云计算的资源。来源:GB/T31167,3.33.5云服务客户cloudservicecustomer为使用云计算服务同云服务商(3.4)建立业务关系的参
13、与方。来源:GB/T31168,3.43.6云计算平台/系统cloudcomputingplatform/system云服务商(3.4)提供的云计算基础设施及其上的服务软件的集合。来源:GB/T222392019,3.63.7虚拟机监视器hypervisor运行在基础物理服务器和操作系统之间的中间软件层,可允许多个操作系统和应用共享硬件。来源:GB/T222392019,3.73.8宿主机hostmachine运行虚拟机监视器(3.7)的物理服务器。来源:GB/T222392019,3.83.9移动互联mobilecommunication采用无线通信技术将移动终端(3.10)接入有线网络的过
14、程。来源:GB/T222392019,3.93.10移动终端mobiledevice在移动业务中使用的终端设备,包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。来源:GB/T222392019,3.103.11无线接入设备wirelessaccessdevice采用无线通信技术将移动终端(3.10)接入有线网络的通信设备。来源:GB/T222392019,3.113.12无线接入网关wirelessaccessgateway部署在无线网络与有线网络之间,对有线网络进行安全防护的设备。来源:GB/T222392019,3.123.13移动应用软件mobileapplication针对移
15、动终端(3.10)开发的应用软件。JR/T 006020213来源:GB/T222392019,3.133.14移动终端管理系统mobiledevicemanagementsystem用于进行移动终端(3.10)设备管理、应用管理和内容管理的专用软件,包括客户端软件和服务端软件。来源:GB/T222392019,3.143.15物联网internetofthings将感知节点设备通过互联网等网络连接起来构成的系统。来源:GB/T222392019,3.153.16感知节点设备sensornode对物或环境进行信息采集和/或执行操作,并能联网进行通信的装置。来源:GB/T222392019,3.
16、163.17感知网关节点设备sensorlayergateway将感知节点所采集的数据进行汇总、适当处理或数据融合,并进行转发的装置。来源:GB/T222392019,3.173.18工业控制系统industrialcontrolsystem;ICS工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。来源:GB/T329192016,3.14缩略语下列缩略语适用于本文件。AP:无线访问接入点(WirelessAccess
17、Point)DCS:集散控制系统(DistributedControlSystem)DDoS:分布式拒绝服务(DistributedDenialofService)ERP:企业资源计划(EnterpriseResourcePlanning)FTP:文件传输协议(FileTransferProtocol)HMI:人机界面(HumanMachineInterface)IaaS:基础设施即服务(Infrastructure-as-a-Service)ICS:工业控制系统(IndustrialControlSystem)IoT:物联网(InternetofThings)IP:互联网协议(Interne
18、tProtocol)IT:信息技术(InformationTechnology)MES:制造执行系统(ManufacturingExecutionSystem)PaaS:平台即服务(Platform-as-a-Service)PLC:可编程逻辑控制器(ProgrammableLogicController)RFID:射频识别(RadioFrequencyIdentification)JR/T 006020214SaaS:软件即服务(Software-as-a-Service)SCADA:数据采集与监视控制系统(SupervisoryControlandDataAcquisitionSystem
19、)SSID:服务集标识(ServiceSetIdentifier)TCB:可信计算基(TrustedComputingBase)USB:通用串行总线(UniversalSerialBus)WEP:有线等效加密(WiredEquivalentPrivacy)WPS:WiFi保护设置(WiFiProtectedSetup)5等级保护总体要求5.1等级保护对象证券期货业等级保护对象是指证券期货业网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、云计算平台/系统、大数据应用/平台/资源、
20、物联网(IoT)、工业控制系统和采用移动互联技术的系统等。证券期货业等级保护对象由低到高被划分为五个安全保护等级,安全保护等级确定方法按照GB/T222402020。5.2安全保护能力不同级别的证券期货业等级保护对象应具备的基本安全保护能力如下:第一级安全保护能力:能够防护免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能。第二级安全保护能力:能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难,以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞
21、和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能。第三级安全保护能力:能够在统一安全策略下防护免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能。第四级安全保护能力:能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能。5.3安全通用要求和安全
22、扩展要求由于业务目标的不同、使用技术的不同、应用场景的不同等因素,不同的证券期货业等级保护对象会以不同的形态出现,表现形式可能称之为基础信息网络、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等。形态不同的等级保护对象面临的威胁有所不同,安全保护需求也会有所差异。为实现对不同级别的和不同形态的等级保护对象的共性化和个性化保护,等级保护要求分为安全通用要求和安全扩展要求。安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现,应根据安全保护等级实现相应级别的安全通用要求;安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用
23、JR/T 006020215的特定技术或特定的应用场景选择性实现安全扩展要求。安全通用要求和安全扩展要求共同构成了对等级保护对象的安全要求。安全要求的选择应符合附录A,整体安全保护能力的要求应符合附录B和附录C。本文件针对云计算、移动互联、物联网、工业控制系统提出了安全扩展要求。云计算应用场景应符合附录D,移动互联应用场景应符合附录E,物联网应用场景应符合附录F,工业控制系统应用场景应符合附录G,大数据应用场景应符合附录H。对于采用其他特殊技术或处于特殊应用场景的等级保护对象,在安全风险评估的基础上,针对安全风险采取特殊的安全措施作为补充。5.4其他对于安全保护等级为第三级及以上且属于证券期货
24、业关键信息基础设施的等级保护对象,应按照附录I进行安全建设整改、自查和等级保护。6第一级安全要求6.1安全通用要求6.1.1安全物理环境6.1.1.1物理访问控制机房出入口应安排专人值守或配置电子门禁系统,控制、鉴别和记录进入的人员。6.1.1.2防盗窃和防破坏应将设备或主要部件进行固定,并设置明显的不易除去的标识。6.1.1.3防雷击应将各类机柜、设施和设备等通过接地系统安全接地。6.1.1.4防火机房应设置灭火设备。6.1.1.5防水和防潮应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。6.1.1.6温湿度控制应设置必要的温湿度调节设施,使机房温湿度的变化在设备运行所允许的范围之内。6.1
25、.1.7电力供应应在机房供电线路上配置稳压器和过电压防护设备。6.1.2安全通信网络6.1.2.1通信传输应采用校验技术保证通信过程中数据的完整性。6.1.2.2可信验证JR/T 006020216可基于可信根对通信设备的系统引导程序、系统程序等进行可信验证,并在检测到其可信性受到破坏后进行报警。6.1.3安全区域边界6.1.3.1边界防护跨越边界的访问和数据流应通过边界设备提供的受控接口进行通信。6.1.3.2访问控制本条款要求包括:a)应在网络边界根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 0060-2021 代替 0060-2010证券期货业网络安全等级保护基本要求 JR 0060 2021 代替 2010 证券期货 网络安全 等级 保护 基本要求
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【ylh50****.com】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【ylh50****.com】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/220924.html