JR 0013-2004金融业星型网间互联安全规范.pdf

ICS 35.240.40A11JR备案号：中华人民共和国金融行业标准JR/T融业星型网间互联安全规范The security specification for star topology inter-networking of financial industry2004-12-01发布2004-12-01实施中国人民银行发布 JR/T 0013—2004目次范围2规范性引用文件术语、定义和缩略语3.1术语和定义3.2缩略语金融业星型网间互联安全保障体系4.1安全保障体系4.25.1互联应用系统的安全功能要应用外联网高部计受环地安拿6.1操作系统的安生6.3主机安全防护与检测6.4互联业务数据库的安全6.5Web服务器的安全6.6DNS服务器的安全外联网络与边界安全7.1概述7.2网络设施的安全要求7.3防火墙系统7.4远程访间控制与接入认证7.5通信加密7.6入侵检测系统7.7漏润扫描系统7.8防病毒系统7.9外联网络的安全审计8网间互联安全支撑设施8.1概述8.2证书服务系统8.3授权服务系统8.4密钥管理系统8.5密码服务系统8.6可信时间服务系统网间互联安全管理 JR/T 0013—2004机构A环境机构B环境总a微节点总部级安全域外联网购DON/ATY计环摄/SDH/FR内享网路/K25者战节点PSTN/ISDN/sDSL能节点计外计能环省级安全域内享网路/Bthernet地市领节点纯就节点内邮网路地市级安全城内邮网路星做节点互联网络安全域计整环摄能节点机构A金融业互联网络机构B图3安全域划分示意图互联业务区内外DDN/ATI/SDH内部网络贝/PR/X25/xDSL保接入设备护互联管理区网管营安全管理互联服务区WobE务品DNS,Mal外PSTN / ISDN中立区联边界保护区外联网络环境图4某级外联网络区示意图 JR/T 0013—20044.2.3信息、应用系统分类及安全等级要求信息/数据的敏感程度金融业星型网间互联涉及的信息/数据分为三类：金融业内部分公开；金融业内公开；间全社会公开。应用系统分类依据互联应用系统的特点和安全性等属性的要求，金融业星型网间互联涉及的应用系统分为三类：特别重要：重要；普通，应用系统的分类主要依据应用系统的属性。本标准按表1对金融业星型网间互联涉及的应用系统进行分类。表1金融业星型网间互联应用系统分类属性分类涉及信息敏惑业务关健性对可用/可对容灾备份涉及的互联网安全保护等级要求程度程度靠性的要求设施的要求络(GB17859)特别重要业内部分公开特高特高特高总部级和省级2 至4节点重要业内部分公开/高/中高/中高/中总部级，省级2 至3业内公开和地市级节点普遇向全社会公开低低/中低总部级，省级1 至 2和地市级节点4. 2. 3. 3应用系统安全等级要求金融业星型网间互联涉及的应用系统分为特别重要、重要和普通三类。这三类的安全保障等级要求与GB17859-1999有如下对应关系：：（）二（）一重要类基本对应第二级（系统审计保护级）到第三级（安全标记保护级）：特别重要类基本对应第二级（系统审计保护级）到第四级（结构化保护级）。4.2.4互联网络分类金融业星型网间互联涉及的互联网络分为三类：总部级节点互联网络：省级节点互联网络：一地市级节点互联网络。互联应用系统安全5.1概述网间互联应用系统主要涉及外联网络区的前置系统、服务器端接收部件和客户端发送部件。本章规范了网间互联应用系统的安全功能要求，对三类（特别重要类、重要类和普通类）互联应用系统分别提出了应采取的安全保护措施。7 JR/T 0013—20045.2互联应用系统的安全功能要求5.2.1授权在设计具体互联应用系统的授权功能时，必须考虑以下功能要求：提供细粒度的授权管理功能；禁止绕过应用界面直接查看或操作数据库：一必须将业务权限与系统管理权限分离，防止系统管理员权力无限扩大。5.2.2访问控制在设计具体互联应用系统的访间控制功能时，必须考虑以下功能要求：角色定义：系统必须使用角色进行访间控制的判断，而不是直接使用用户进行；业务权限的管理：在应用系统中，应该更多地考虑与网间互联业务相关的业务权限，包括界面操作的控制以及对数据的访间权限等；应用系统应提供可配置的超时键盘锁定功能：防止异常中断后非法进入系统。5.2.3鉴别/认证鉴别/认证机制包括身份认证和数据源认证两大类。根据应用系统安全需求的不同，应用系统的身份认证可以选择口令机制、一次性口令机制或密码机制（数字证书）等方式：数据源认证可以选择加密、数字签名等方式。对网间互联应用系统口令的要求如下：对口令的长度具有检查的功能，口令长度至少八位，口令长度可配置；对口令进行加密存储；应用系统在初次使用时，！应提示用户修改口令：口令机制应能定期强制用户修改其