人民银行信息系统信息安全等级保护实施指引(试行)

附件1

人民银行信息系统

信息安全等级保护实施指引

(试行)

2011年6月

目录

编制说明 (1)

1概述 (1)

1.1目的 (2)

1.2范围 (2)

1.3术语 (3)

1.4引用文件 (4)

2指引编制策略 (4)

2.1国家等级保护要求 (4)

2.1.1基本要求 (5)

2.1.2设计要求 (6)

2.2人民银行架构特点 (7)

2.2.1网络结构与联网机构关系 (7)

2.2.2业务接入及系统特点 (12)

2.3指导思想 (14)

2.3.1纵深防御设计的必要性 (15)

2.3.2基本要求与纵深防御设计结合的意义 (15)

2.3.3安全域设计 (16)

3信息安全保障框架 (18)

3.1总体框架 (18)

3.2技术体系 (20)

3.2.1计算环境 (22)

3.2.2区域边界 (23)

3.2.3通信网络 (23)

3.2.4支撑设施 (24)

3.3管理体系 (24)

4保护要求 (25)

4.1二级要求 (25)

4.1.1技术要求 (25)

4.1.2管理要求 (32)

4.2三级要求 (42)

4.2.1技术要求 (42)

4.2.2管理要求 (53)

4.3四级要求 (68)

4.3.1技术要求 (68)

4.3.2管理要求 (80)

附录 (97)

1等级保护实施措施 (97)

1.1网络安全 (97)

1.1.1二级要求及措施 (97)

1.1.2三级要求及措施 (102)

1.1.3四级要求及措施 (112)

1.2主机安全 (122)

1.2.1二级要求及措施 (122)

1.2.2三级要求及措施 (125)

1.2.3四级要求及措施 (131)

1.3应用安全 (137)

1.3.1二级要求及措施 (137)

1.3.2三级要求及措施 (141)

1.3.3四级要求及措施 (146)

1.4数据安全 (152)

1.4.1二级要求及措施 (152)

1.4.2三级要求及措施 (153)

1.4.3四级要求及措施 (155)

2国库信息处理系统等级保护案例分析 (157)

2.1现状 (157)

2.2分区分域设计分析 (157)

2.3基本要求分析 (159)

2.3.1技术要求 (159)

2.3.2管理要求 (161)

3金融行业安全要求的选择和使用说明 (162)

编制说明

《人民银行信息系统信息安全等级保护实施指引》（以下简称“实施指引”）编写的目的是在满足人民银行信息安全发展需要，同时符合国家等级保护基本要求和设计技术要求，为人民银行的信息安全建设提供方法论、具体的建设措施及技术指导。本实施指引依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》标准，结合人民银行特点，对人民银行的信息安全体系架构采用分区分域设计、对不同等级的应用系统进行具体要求，以保障将国家等级保护要求行业化，具体化，提高我行重要网络和信息系统信息安全防护水平。

根据人民银行及金融行业特点本实施指引补充细化国家《信息系统安全等级保护基本要求》（GB/T22239-2008）二级、三级、四级要求项（第四章保护要求中加粗要求项），并新增追加金融行业增强安全保护类（F类），F类要求作为金融行业的增强性安全要求分布在S、A、G类的要求中。根据定级系统服务保证性等级选择相应等级的系统服务保证类（A类）基本安全要求；根据业务信息安全性等级选择相应等级的业务信息安全类（S类）基本安全要求。例如，TIPS系统定级为S3、A2，最终定级为三级系统，那么可按照S3类基本安全要求和A2类基本安全要求进行系统建设。

人民银行重要的非涉密信息系统是由二级系统、三级系统、四级系统组成。人民银行网络由办公网、业务网和互联网组成，办公网为涉密网，人民银行的三网均为单独的网络系统，彼此物理隔离。本实施指引为人民银行业务网及网内信息系统提出安全要求和建议措施。人民银行总行的业务网定为三级，因此人民银行总行的网络要求和整体架构安全强度按照等级保护第三级来设计，涉及二级系统和四级系统的区域则采取降低或加强的方式，公共链路和支撑基础设施部分按照就高原则来建设，以保证信息系统安全要求符合等级保护基本要求的二级和四级要求。此外，本实施指引只涉及二级、三级、四级信息系统的安全要求和实施措施。

附录中的等级保护实施措施为根据第4章节保护要求，依据目前行业内通用建设\实施措施给出的参考措施。

1概述

随着信息技术的高速发展和网络应用的迅速普及，信息系统的基础性、全局性作用日益增强，信息资源更成为国家经济建设和社会发展的重要战略资源之一。金融信息系统是结构复杂、技术密集、数据重要、用户众多的巨型人机系统。正因如此，系统本身存在较多的脆

弱性（如软件漏洞、硬件故障、人员安全意识不足等），同时也面临来自内部和外部的众多威胁（如内部人员恶意破坏、外部网络黑客、病毒等恶意程序、各种自然灾害等），使得信息安全面临严峻的挑战。

在信息化的进程中，信息安全保障程度直接关系信息系统和基础设施的正常运转，关系金融安全、社会稳定和国家安全，因此保障人民银行信息安全已经成为保障中央银行履行职能、防范金融风险的重要任务，其地位和作用将越来越重要。

根据《国务院办公厅关于印发中国人民银行主要职责内设机构和人员编制规定的通知》（国办发[2008]83号），人民银行负责“指导、协调金融业信息安全工作”。信息安全等级保护工作作为我国信息安全保障的一项基本制度，落实信息安全等级保护，是信息安全保障工作的一项重要内容。人民银行是实施金融行业信息安全等级保护工作的指导管理和协调机构。

为了使等级保护制度落到实处，结合金融业对数据安全与业务连续性和系统服务安全要求，人民银行计划制定落地的等级保护系列标准，为满足金融业的特殊需求，该系列标准将在国家等级保护相关标准要求的基础上，创新增加信息安全体系架构、业务类型的分类保护、安全域的模型分析与建设措施等方面的内容。

在分析和识别行业特点和要求的基础上，建设一个金融信息安全等级保护标准体系，为金融行业实施信息安全等级保护提供依据和指南。

1.1目的

通过编写符合国家等级保护要求，同时满足人民银行信息安全发展需要的等级保护实施指引，为人民银行及金融业的信息安全建设提供方法论和具体的建设措施及技术指导。结合国家等级保护基本要求和等级保护设计技术要求，从技术框架层面，提出体系化的信息安全策略和防护措施。实施等级保护、纵深防御战略，为保障重要数据安全和系统运行安全提供方法指导。为网络和信息系统的安全规划建设提供安全规范性指导。指导金融行业落实国家等级保护相关工作，做好信息安全保障工作。

1.2范围

本实施指引适用于人民银行总行及直属企事业单位、分支机构、与金融城市网联网的外联机构的系统规划建设部门（业务与技术）、应用开发部门、系统运行部门、安全管理部门、系统使用部门、内部监察、审计等部门。也可作为信息安全职能部门进行监督、检查和指导的依据。随着内容的补充和丰富，为等级保护工作的开展提供指导。