信息系统安全等级保护要求证券行业.docx

信息系统安全等级保护要求证券行业.docx

《信息系统安全等级保护要求证券行业.docx》由会员分享，可在线阅读，更多相关《信息系统安全等级保护要求证券行业.docx（83页珍藏版）》请在冰豆网上搜索。

信息系统安全等级保护要求证券行业

证券期货业信息系统安全

等级保护基本要求

Securitiesandfuturesindustry—

Baselineforclassifiedprotectionofinformationsystem

（报批稿）

目次

前言1

引言2

1.范围3

2.规范性引用文件3

3.术语和定义3

4.证券期货业信息系统安全等级保护概述3

4.1.证券期货业信息系统安全保护等级3

4.2.不同等级的安全保护能力3

4.3.基本技术要求和基本管理要求4

4.4.基本技术要求的三种类型4

5.第一级基本要求5

5.1.技术要求5

5.1.1.物理安全5

5.1.2.网络安全6

5.1.3.主机安全6

5.1.4.应用安全7

5.1.5.数据安全及备份恢复7

5.2.管理要求8

5.2.1.安全管理制度8

5.2.2.安全管理机构8

5.2.3.人员安全管理8

5.2.4.系统建设管理9

5.2.5.系统运维管理10

6.第二级基本要求12

6.1.技术要求12

6.1.1.物理安全12

6.1.2.网络安全13

6.1.3.主机安全15

6.1.4.应用安全16

6.1.5.数据安全及备份恢复18

6.2.管理要求18

6.2.1.安全管理制度18

6.2.2.安全管理机构18

6.2.3.人员安全管理19

6.2.4.系统建设管理20

6.2.5.系统运维管理21

7.第三级基本要求24

7.1.技术要求24

7.1.1.物理安全24

7.1.2.网络安全27

7.1.3.主机安全29

7.1.4.应用安全31

7.1.5.数据安全及备份恢复33

7.2.管理要求34

7.2.1.安全管理制度34

7.2.2.安全管理机构35

7.2.3.人员安全管理36

7.2.4.系统建设管理37

7.2.5.系统运维管理39

8.第四级基本要求43

8.1.技术要求43

8.1.1.物理安全43

8.1.2.网络安全46

8.1.3.主机安全48

8.1.4.应用安全50

8.1.5.数据安全及备份恢复53

8.2.管理要求53

8.2.1.安全管理制度53

8.2.2.安全管理机构54

8.2.3.人员安全管理55

8.2.4.系统建设管理56

8.2.5.系统运维管理59

9.第五级基本要求63

附录A（规范性附录）关于证券期货业信息系统整体安全保护能力的要求64

附录B（规范性附录）证券期货业重要信息系统安全要求的选择和使用65

前言

本标准附录A和附录B是规范性附录。

本标准由全国金融标准化技术委员会证券分技术委员会提出。

本标准由全国金融标准化技术委员会归口管理。

本标准已经征得公安部同意，

本标准起草单位：

中国证券监督管理委员会信息中心、深圳证券交易所、郑州商品交易所、深圳证券通信公司、上海期货信息技术有限公司、国泰君安证券股份有限公司、兴业证券股份有限公司、南方基金管理有限公司、公安部信息安全等级保护评估中心、中国信息安全测评中心、上海市信息安全测评认证中心。

本标准主要起草人：

张野、戴文华、杨淑琴、罗凯、邹胜、邓晖、陈恺、王伟喜、马晨、王孝伟、万璟、陈友清、俞枫、刘斌、王肇东、吴越、葛峰、王伟强、陈凯晖、黎峰、马力、曲洁、班晓芳、应力、徐御。

本标准为首次发布。

引言

本标准依据国家信息安全等级保护管理规定制定。

证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。

本标准从证券期货业实际情况出发，对《信息系统安全等级保护基本要求》（GB/T22239-2008）的有关要求进行了明确、细化和调整，提出和规定了证券期货业不同等级信息系统的安全要求，适用于指导证券期货业按照等级保护要求进行安全建设、测评和监督管理。

本标准文字中，明确、细化和调整的内容以楷体字表示。

证券期货业信息系统安全等级保护基本要求

范围

本标准规定了证券期货业不同安全保护等级信息系统的基本保护要求，包括基本技术要求和基本管理要求，适用于指导证券期货业分等级信息系统的安全建设整改、测评和监督管理。

规范性引用文件

下列文件中的条款通过本标准的引用而成为本标准的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。

凡是不注明日期的引用文件，其最新版本适用于本标准。

GB/T5271.8信息技术词汇第8部分：

安全（GB/T5271.8-2001，idtISO/IEC2382-8：

1998）

GB17859计算机信息系统安全保护等级划分准则

GB/T22240-2008信息安全技术信息系统安全等级保护定级指南

GB/T22239-2008信息安全技术信息系统安全等级保护基本要求

术语和定义

GB/T5271.8和GB17859-1999确定的以及下列术语和定义适用于本标准。

安全保护能力securityprotectionability

系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。

证券期货业信息系统安全等级保护概述

证券期货业信息系统安全保护等级

证券期货业信息系统根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、资本市场稳定、公共利益以及投资者、法人和其他组织的合法权益的危害程度，由低到高划分为五级，五级定义见GB/T22240-2008。

不同等级的安全保护能力

不同等级的信息系统应具备的基本安全保护能力如下：

第一级安全保护能力：

应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。

第二级安全保护能力：

应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。

第三级安全保护能力：

应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

第四级安全保护能力：

应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。

第五级安全保护能力，（略）。

基本技术要求和基本管理要求

证券期货业信息系统安全等级保护应依据信息系统的安全保护等级情况保证它们具有相应等级的基本安全保护能力，不同安全保护等级的证券期货业信息系统要求具有不同的安全保护能力。

基本安全要求是针对不同安全保护等级信息系统应该具有的基本安全保护能力提出的安全要求，根据实现方式的不同，基本安全要求分为基本技术要求和基本管理要求两大类。

技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。

基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。

基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求，信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证。

除了保证系统的每个组件满足基本安全要求外，还要考虑组件之间的相互关系，来保证信息系统的整体安全保护能力。

关于证券期货业信息系统整体安全保护能力的说明见附录A。

对于涉及国家秘密的信息系统，应按照国家保密工作部门的相关规定和标准进行保护。

对于涉及密码的使用和管理，应按照国家密码管理的相关规定和标准实施。

基本技术要求的三种类型

根据保护侧重点的不同，技术类安全要求进一步细分为：

保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求（简记为S）；保护系统连续正常的运行，免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求（简记为A）；通用安全保护类要求（简记为G）。

本标准中对基本安全要求使用了标记，其中的字母表示安全要求的类型，数字表示适用的安全保护等级。

针对不同机构、不同系统的特点，本标准对证券期货业已定级重要信息系统的安全要求和使用原则，参见附录B。

第一级基本要求

技术要求

物理安全

物理访问控制（G1）

机房出入应安排专人负责，控制、鉴别和记录进入的人员。

1）机房出入应当安排专人负责管理，人员进出记录应至少保存3个月；

2）没有门禁系统的机房应当安排专人在机房出入口控制、鉴别和记录人员的进出；

3）有门禁系统的机房，应当保存门禁系统的日志记录，采用监控设备将机房人员进入情况传输到值班点，并记录外来人员进出机房的情况。

防盗窃和防破坏（G1）

本项要求包括：

a）应将主要设备放置在机房内；

b）应将设备或主要部件进行固定，并设置明显的不易除去的标记。

1）主要设备应当安装、固定在机柜内或机架上；

2）主要设备、机柜、机架应有明显且不易除去的标识，如粘贴标签或铭牌。

防雷击（G1）

机房建筑应设置避雷装置。

机房或机房所在大楼，应设计并安装防雷击措施，防雷措施应至少包括避雷针或避雷器等。

防火（G1）

机房应设置灭火设备。

防水和防潮（G1）

本项要求包括：

a）应对穿过机房墙壁和楼板的水管增加必要的保护措施；

b）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。

温湿度控制（G1）

机房应设置必要的温、湿度控制设施，使机房温、湿度的变化在设备运行所允许的范围之内。

1）开机时机房温度应控制在18℃-28℃；

2）开机时机房相对湿度应控制在35%-75%；

3）停机时机房温度应控制在5℃-35℃；

4）停机时机房相对湿度应控制在20%-80%。

电力供应（A1）

应在机房供电线路上配置稳压器和过电压防护设备。

网络安全

结构安全（G1）

本项要求包括：

a）应保证关键网络设备的业务处理能力满足基本业务需要；

b）应保证接入网络和核心网络的带宽满足基本业务需要；

c）应绘制与当前运行情况相符的网络拓扑结构图。

应绘制完整的网络拓扑结构图，有相应的网络配置表，包含设备IP地址等主要信息，与当前运行情况相符，并及时更新。

访问控制（G1）

本项要求包括：

a）应在网络边界部署访问控制设备，启用访问控制功能；

b）应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入；

c）应通过访问控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。

网络设备防护（G1）

本项要求包括：

a）应对登录网络设备的用户进行身份鉴别；