JR_T 0071-2012金融行业信息系统信息安全等级保护实施指引.pdf

ICS 03.060A 11JR中华人民共和国金融行业标准JR/T0071—2012金融行业信息系统信息安全等级保护实施指引Implementation guide for classified protection of information system of financialindustry2012-07-06 发布2012-07-06实施中国人民银行发布 JR/T 0071—2012目次前吉III1 范围.2规范性引用文件3术语和定义，4指引编制策略，，，，5信息安全保障框架，6保护要求..57附录B（资料性附录）金融行业安全要求的选择和使用说明113梦考文就....115 JR/T 0071—2012管理要求生命用期易技术体系管理体系图5信息安全保障总体架围两项要求指由技术要求和管理要求综合形成的保障要求，技术要求涉及物理安全、网络安全、主机安全、应用安全、数据安全五方面要求：管理要求涉及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五方面要求。两个体系指由技术体系和管理体系综合形成的保障体系。技术体系以“一个中心，三重防护”为核心理念，划分计算环境、区域边界、通信网络与管理中心，并且结合金融行业的系统与业务现状，进行分区分域保护；管理体系遵从生命周期法则，从建立、实施和执行、监控和审计、保持和改进四个过程技管交互指技术要求与管理要求的交融以及技术体系与管理体系的互补，从安全保障要求和安全保障方法两方面体现技术与管理并重的基本思想。综合保障指该框架通过对保障要求和保障方法的综合考虑，通过技术与管理的有效结合，在遵循国家等级保护要求的前提下，满足金融行业的业务特殊性要求。5.2技术体系参考《设计要求》的安全域模型，将“安全域织深防护”、“多层次立体防御”和“信息安全等级保护等安全防护思想相结合，建立金融行业信息安全保降技术体系模型。依据金融行业的组织结构、网络架构将每个机构作为一个整体保护对象，设计金题机构信息安全保障框架，如图6所示，总部和各个分支机构都是独立的安全域，每个安全域又细分计算环境域、区城边界、通信网络和支撑设施域，各金融机构根据本机构结构情况参务执行。 JR/T自动结束会话。应能够对应用系统的连接数控制可以遇过以下方式保证对应用系统的最大并发会话连接数进行录大外发会话连接数进行限制。a)款硬件防火墙：可以限制网络的最大并发会话连按数；通过针对特定IP的连接限制，第够限制特定应用系统录大并发会话连按数。b)UTH安全网关；可以限制网络的最大并发会话连接数；通过针对特定IP的连接展制。能够限制特定应用系统最大并发会话违接数。应根需信息系统不风的情况选择防火墙和UTH安全网关产品：在雷临成励较为的情况下，如期毒、入侵，违择UmI安全同关进行网络隔高。对手有会语的应用系会话限制可以通建以下方式保证对单个账户的多重并发会话进行限制：统，应能够对单个账户账号多需并发会话限制：在应用系统开发时，就设置账户多重并的多重并发会话进行发会话限制动境，实现对单个账户的多重并发会话进行限限制。制.A. 3. 22三级要求及措施序号要求的内容对应技术措施实现方式应提供专用的登录控身份认证与访间可以通过以下方式保证身份认证措施的实现：制模块对查录用户进控制身份认证与访间控制系统：具有身份认证功能，如账号与口令认证、行身份标识和鉴别。致字证书认证、双固案身份认证（如令牌卡）等，可以实现登录用户的身份标识和鉴别。2应对同一用户的关键身份认证与访间可以道过以下方式保证身份认证指施的实现：操作果用两种或两种控制身份认证与访问控制系统：具有身份认证功能，如账号与口令认证、以上组合的鉴别技术数字证书认证、双固素身份认证（如令肿卡，指效识别）等，实现用户身份整别；如可以实现登录用户的身份标识和整别。使用磁卡、IC卡、动志密码卡、动态口令设备、手机短信动态密码、指纹识别等方式加强院别。应提供用户身份标识身份认证与访问可以遇过以下方式保证用户身份标识难一和整别信息复杂度检查的唯一和整别信息复杂控制实观：度检查功能，保证应用身份认证与访同控制系统：具有身份认证功能，如账号与口令认证、系统中不存在重复用数字证书认证、双因索身份认证（如令牌卡）等，可以提供用户身份标识，身份整别户身份标识障一和鉴监别信息复杂度检查功能，保证查用系统中信息不易被智用，不存在重复用户身份标识，身份签别信息不易被置用：应提供受录失败处理身份认证与访网可以通过以下方式保证登录失致处理功能的实现动能，可采取结京会控制身份认证与访问控款系统：具有登录失败处理功能，当登录失败时话、限制非法登录次数可以采取结束会话、限射非法登录次数和自动退出等措施：97 JR/T自动退出等拮违。应启用身份整别、用户身份认证与访间可