证券期货业网络关于等级保护对象整体安全保护能力的要求、等级保护安全框架和关键技术使用要求
证券期货业信息系统等级保护基本要求(草案)
证券期货业信息系统安全等级保护基本要求(征求意见稿)1目次1 范围 (9)2规范性引用文件 (9)3术语和定义 (9)3.1 (9)4信息系统安全等级保护概述 (9)4.1 信息系统安全保护等级 (9)4.2 不同等级的安全保护能力 (9)4.3 基本技术要求和基本管理要求 (10)4.4 基本技术要求的三种类型 (10)5第一级基本要求 (10)5.1 技术要求 (10)5.1.1物理安全 (10)5.1.1.1 物理访问控制(G1) (10)5.1.1.2 防盗窃和防破坏(G1) (10)5.1.1.3 防雷击(G1) (10)5.1.1.4 防火(G1) (10)5.1.1.5 防水和防潮(G1) (11)5.1.1.6 温湿度控制(G1) (11)5.1.1.7 电力供应(A1) (11)5.1.2网络安全 (11)5.1.2.1 结构安全(G1) (11)5.1.2.2 访问控制(G1) (11)5.1.2.3 网络设备防护(G1) (11)5.1.3主机安全 (11)5.1.3.1 身份鉴别(S1) (11)5.1.3.2 访问控制(S1) (11)5.1.3.3 入侵防范(G1) (11)5.1.3.4 恶意代码防范(G1) (11)5.1.4应用安全 (12)5.1.4.1 身份鉴别(S1) (12)5.1.4.2 访问控制(S1) (12)5.1.4.3 通信完整性(S1) (12)5.1.4.4 软件容错(A1) (12)5.1.5数据安全及备份恢复 (12)5.1.5.1 数据完整性(S1) (12)5.1.5.2 备份和恢复(A1) (12)5.2 管理要求 (12)5.2.1安全管理制度 (12)5.2.1.1 管理制度(G1) (12)5.2.1.2 制定和发布(G1) (12)5.2.2安全管理机构 (12)5.2.2.1 岗位设置(G1) (12)5.2.2.2 人员配备(G1) (12)5.2.2.3 授权和审批(G1) (12)5.2.2.4 沟通和合作(G1) (12)5.2.3人员安全管理 (12)5.2.3.1 人员录用(G1) (13)5.2.3.2 人员离岗(G1) (13)5.2.3.4 外部人员访问管理(G1) (13)5.2.4系统建设管理 (13)5.2.4.1 系统定级(G1) (13)5.2.4.2 安全方案设计(G1) (13)5.2.4.3 产品采购和使用(G1) (13)5.2.4.4 自行软件开发(G1) (13)5.2.4.5 外包软件开发(G1) (13)5.2.4.6 工程实施(G1) (13)5.2.4.7 测试验收(G1) (14)5.2.4.8 系统交付(G1) (14)5.2.4.9 安全服务商选择(G1) (14)5.2.5系统运维管理 (14)5.2.5.1 环境管理(G1) (14)5.2.5.2 资产管理(G1) (14)5.2.5.3 介质管理(G1) (14)5.2.5.4 设备管理(G1) (14)5.2.5.5 网络安全管理(G1) (14)5.2.5.6 系统安全管理(G1) (14)5.2.5.7 恶意代码防范管理(G1) (15)5.2.5.8 备份与恢复管理(G1) (15)5.2.5.9 安全事件处置(G1) (15)6第二级基本要求 (15)6.1 技术要求 (15)6.1.1物理安全 (15)6.1.1.1 物理位置的选择(G2) (15)6.1.1.2 物理访问控制(G2) (15)6.1.1.3 防盗窃和防破坏(G2) (15)6.1.1.4 防雷击(G2) (15)6.1.1.5 防火(G2) (15)6.1.1.6 防水和防潮(G2) (16)6.1.1.7 防静电(G2) (16)6.1.1.8 温湿度控制(G2) (16)6.1.1.9 电力供应(A2) (16)6.1.1.10 电磁防护(S2) (16)6.1.2网络安全 (16)6.1.2.1 结构安全(G2) (16)6.1.2.2 访问控制(G2) (16)6.1.2.3 安全审计(G2) (16)6.1.2.4 边界完整性检查(S2) (16)6.1.2.5 入侵防范(G2) (16)6.1.2.6 网络设备防护(G2) (17)6.1.3主机安全 (17)6.1.3.1 身份鉴别(S2) (17)6.1.3.2 访问控制(S2) (17)6.1.3.3 安全审计(G2) (17)6.1.3.4 入侵防范(G2) (17)6.1.3.5 恶意代码防范(G2) (17)6.1.3.6 资源控制(A2) (17)6.1.4应用安全 (18)6.1.4.1 身份鉴别(S2) (18)6.1.4.2 访问控制(S2) (18)36.1.4.4 通信完整性(S2) (18)6.1.4.5 通信保密性(S2) (18)6.1.4.6 软件容错(A2) (18)6.1.4.7 资源控制(A2) (18)6.1.5数据安全及备份恢复 (19)6.1.5.1 数据完整性(S2) (19)6.1.5.2 数据保密性(S2) (19)6.1.5.3 备份和恢复(A2) (19)6.2 管理要求 (19)6.2.1安全管理制度 (19)6.2.1.1 管理制度(G2) (19)6.2.1.2 制定和发布(G2) (19)6.2.1.3 评审和修订(G2) (19)6.2.2安全管理机构 (19)6.2.2.1 岗位设置(G2) (19)6.2.2.2 人员配备(G2) (19)6.2.2.3 授权和审批(G2) (19)6.2.2.4 沟通和合作(G2) (20)6.2.2.5 审核和检查(G2) (20)6.2.3人员安全管理 (20)6.2.3.1 人员录用(G2) (20)6.2.3.2 人员离岗(G2) (20)6.2.3.3 人员考核(G2) (20)6.2.3.4 安全意识教育和培训(G2) (20)6.2.3.5 外部人员访问管理(G2) (20)6.2.4系统建设管理 (20)6.2.4.1 系统定级(G2) (20)6.2.4.2 安全方案设计(G2) (20)6.2.4.3 产品采购和使用(G2) (21)6.2.4.4 自行软件开发(G2) (21)6.2.4.5 外包软件开发(G2) (21)6.2.4.6 工程实施(G2) (21)6.2.4.7 测试验收(G2) (21)6.2.4.8 系统交付(G2) (21)6.2.4.9 安全服务商选择(G2) (21)6.2.5系统运维管理 (22)6.2.5.1 环境管理(G2) (22)6.2.5.2 资产管理(G2) (22)6.2.5.3 介质管理(G2) (22)6.2.5.4 设备管理(G2) (22)6.2.5.5 网络安全管理(G2) (22)6.2.5.6 系统安全管理(G2) (23)6.2.5.7 恶意代码防范管理(G2) (23)6.2.5.8 密码管理(G2) (23)6.2.5.9 变更管理(G2) (23)6.2.5.10 备份与恢复管理(G2) (23)6.2.5.11 安全事件处置(G2) (23)6.2.5.12 应急预案管理(G2) (24)7第三级基本要求 (24)7.1 技术要求 (24)7.1.1物理安全 (24)7.1.1.2 物理访问控制(G3) (24)7.1.1.3 防盗窃和防破坏(G3) (24)7.1.1.4 防雷击(G3) (24)7.1.1.5 防火(G3) (25)7.1.1.6 防水和防潮(G3) (25)7.1.1.7 防静电(G3) (25)7.1.1.8 温湿度控制(G3) (25)7.1.1.9 电力供应(A3) (25)7.1.1.10 电磁防护(S3) (25)7.1.2网络安全 (25)7.1.2.1 结构安全(G3) (25)7.1.2.2 访问控制(G3) (26)7.1.2.3 安全审计(G3) (26)7.1.2.4 边界完整性检查(S3) (26)7.1.2.5 入侵防范(G3) (26)7.1.2.6 恶意代码防范(G3) (26)7.1.2.7 网络设备防护(G3) (26)7.1.3主机安全 (27)7.1.3.1 身份鉴别(S3) (27)7.1.3.2 访问控制(S3) (27)7.1.3.3 安全审计(G3) (27)7.1.3.4 剩余信息保护(S3) (27)7.1.3.5 入侵防范(G3) (28)7.1.3.6 恶意代码防范(G3) (28)7.1.3.7 资源控制(A3) (28)7.1.4应用安全 (28)7.1.4.1 身份鉴别(S3) (28)7.1.4.2 访问控制(S3) (28)7.1.4.3 安全审计(G3) (29)7.1.4.4 剩余信息保护(S3) (29)7.1.4.5 通信完整性(S3) (29)7.1.4.6 通信保密性(S3) (29)7.1.4.7 抗抵赖(G3) (29)7.1.4.8 软件容错(A3) (29)7.1.4.9 资源控制(A3) (29)7.1.5数据安全及备份恢复 (30)7.1.5.1 数据完整性(S3) (30)7.1.5.2 数据保密性(S3) (30)7.1.5.3 备份和恢复(A3) (30)7.2 管理要求 (30)7.2.1安全管理制度 (30)7.2.1.1 管理制度(G3) (30)7.2.1.2 制定和发布(G3) (30)7.2.1.3 评审和修订(G3) (30)7.2.2安全管理机构 (31)7.2.2.1 岗位设置(G3) (31)7.2.2.2 人员配备(G3) (31)7.2.2.3 授权和审批(G3) (31)7.2.2.4 沟通和合作(G3) (31)7.2.2.5 审核和检查(G3) (31)7.2.3人员安全管理 (32)57.2.3.2 人员离岗(G3) (32)7.2.3.3 人员考核(G3) (32)7.2.3.4 安全意识教育和培训(G3) (32)7.2.3.5 外部人员访问管理(G3) (32)7.2.4系统建设管理 (32)7.2.4.1 系统定级(G3) (32)7.2.4.2 安全方案设计(G3) (33)7.2.4.3 产品采购和使用(G3) (33)7.2.4.4 自行软件开发(G3) (33)7.2.4.5 外包软件开发(G3) (33)7.2.4.6 工程实施(G3) (33)7.2.4.7 测试验收(G3) (34)7.2.4.8 系统交付(G3) (34)7.2.4.9 系统备案(G3) (34)7.2.4.10 等级测评(G3) (34)7.2.4.11 安全服务商选择(G3) (34)7.2.5系统运维管理 (35)7.2.5.1 环境管理(G3) (35)7.2.5.2 资产管理(G3) (35)7.2.5.3 介质管理(G3) (35)7.2.5.4 设备管理(G3) (35)7.2.5.5 监控管理和安全管理中心(G3) (36)7.2.5.6 网络安全管理(G3) (36)7.2.5.7 系统安全管理(G3) (36)7.2.5.8 恶意代码防范管理(G3) (37)7.2.5.9 密码管理(G3) (37)7.2.5.10 变更管理(G3) (37)7.2.5.11 备份与恢复管理(G3) (37)7.2.5.12 安全事件处置(G3) (37)7.2.5.13 应急预案管理(G3) (38)8第四级基本要求 (38)8.1 技术要求 (38)8.1.1物理安全 (38)8.1.1.1 物理位置的选择(G4) (38)8.1.1.2 物理访问控制(G4) (38)8.1.1.3 防盗窃和防破坏(G4) (38)8.1.1.4 防雷击(G4) (38)8.1.1.5 防火(G4) (39)8.1.1.6 防水和防潮(G4) (39)8.1.1.7 防静电(G4) (39)8.1.1.8 温湿度控制(G4) (39)8.1.1.9 电力供应(A4) (39)8.1.1.10 电磁防护(S4) (39)8.1.2网络安全 (39)8.1.2.1 结构安全(G4) (39)8.1.2.2 访问控制(G4) (40)8.1.2.3 安全审计(G4) (40)8.1.2.4 边界完整性检查(S4) (40)8.1.2.5 入侵防范(G4) (40)8.1.2.6 恶意代码防范(G4) (40)8.1.2.7 网络设备防护(G4) (40)8.1.3.1 身份鉴别(S4) (41)8.1.3.2 安全标记(S4) (41)8.1.3.3 访问控制(S4) (41)8.1.3.4 可信路径(S4) (41)8.1.3.5 安全审计(G4) (41)8.1.3.6 剩余信息保护(S4) (42)8.1.3.7 入侵防范(G4) (42)8.1.3.8 恶意代码防范(G4) (42)8.1.3.9 资源控制(A4) (42)8.1.4应用安全 (42)8.1.4.1 身份鉴别(S4) (42)8.1.4.2 安全标记(S4) (43)8.1.4.3 访问控制(S4) (43)8.1.4.4 可信路径(S4) (43)8.1.4.5 安全审计(G4) (43)8.1.4.6 剩余信息保护(S4) (43)8.1.4.7 通信完整性(S4) (43)8.1.4.8 通信保密性(S4) (43)8.1.4.9 抗抵赖(G4) (44)8.1.4.10 软件容错(A4) (44)8.1.4.11 资源控制(A4) (44)8.1.5数据安全及备份恢复 (44)8.1.5.1 数据完整性(S4) (44)8.1.5.2 数据保密性(S4) (44)8.1.5.3 备份和恢复(A4) (44)8.2 管理要求 (45)8.2.1安全管理制度 (45)8.2.1.1 管理制度(G4) (45)8.2.1.2 制定和发布(G4) (45)8.2.1.3 评审和修订(G4) (45)8.2.2安全管理机构 (45)8.2.2.1 岗位设置(G4) (45)8.2.2.2 人员配备(G4) (46)8.2.2.3 授权和审批(G4) (46)8.2.2.4 沟通和合作(G4) (46)8.2.2.5 审核和检查(G4) (46)8.2.3人员安全管理 (46)8.2.3.1 人员录用(G4) (46)8.2.3.2 人员离岗(G4) (47)8.2.3.3 人员考核(G4) (47)8.2.3.4 安全意识教育和培训(G4) (47)8.2.3.5 外部人员访问管理(G4) (47)8.2.4系统建设管理 (47)8.2.4.1 系统定级(G4) (47)8.2.4.2 安全方案设计(G4) (47)8.2.4.3 产品采购和使用(G4) (48)8.2.4.4 自行软件开发(G4) (48)8.2.4.5 外包软件开发(G4) (48)8.2.4.6 工程实施(G4) (48)8.2.4.7 测试验收(G4) (48)8.2.4.8 系统交付(G4) (49)78.2.4.10 等级测评(G4) (49)8.2.4.11 安全服务商选择(G4) (49)8.2.5系统运维管理 (49)8.2.5.1 环境管理(G4) (49)8.2.5.2 资产管理(G4) (50)8.2.5.3 介质管理(G4) (50)8.2.5.4 设备管理(G4) (50)8.2.5.5 监控管理和安全管理中心(G4) (51)8.2.5.6 网络安全管理(G4) (51)8.2.5.7 系统安全管理(G4) (51)8.2.5.8 恶意代码防范管理(G4) (52)8.2.5.9 密码管理(G4) (52)8.2.5.10 变更管理(G4) (52)8.2.5.11 备份与恢复管理(G4) (52)8.2.5.12 安全事件处置(G4) (52)8.2.5.13 应急预案管理(G4) (53)9第五级基本要求 (53)附录A (54)关于信息系统整体安全保护能力的要求 (54)附录B (56)基本安全要求的选择和使用 (56)参考文献 (58)证券期货业信息系统安全等级保护基本要求1 范围本要求规定了不同安全保护等级信息系统的基本保护要求,包括基本技术要求和基本管理要求,适用于指导分等级的信息系统的安全建设和监督管理。
商用密码应用安全性评估及其相关标准
商用密码应用安全性评估及其相关标准作者:谢宗晓董坤祥甄杰来源:《中国质量与标准导报》2022年第02期1 概述商用密码应用安全性评估(以下简称:密评),是指在采用商用密码技术、产品和服务集成建设的网络和信息系统中,对其密码应用的合规性、正确性和有效性进行评估。
这是继网络安全等级保护(以下简称:等级保护)之后,信息安全领域又一体系化的制度,至于称为“评估”还是“测评”,并不重要,其框架大致都遵循了传统的检测认证工作,这一点也可以从相关公文1)中得到验证。
和等级保护一样,密评也有法律依据。
《中华人民共和国网络安全法》第二十一条明确指出:国家实行网络安全等级保护制度。
《中华人民共和国密码法》的第二十七条规定如下:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。
2 密评相关标准检测认证的标准体系与ISO/IEC 27000标准族的设计基本都是一致的,其来源为ISO 9000标准族的框架,大致包括:要求类标准、指南类标准,如实施指南、测评(或检测、评估)等指南、机构要求(可能包括人员要求)类的认可标准。
例如,国家标准中的网络安全等级保护系列标准架构主要包括:GB/T 22240、GB/T 22239、GB/T 25058、GB/T 25070、GB/T 28448和GB/T 28449等。
其关系大致如图1所示。
密评标准体系的设计大致也遵循了这样的架构。
一般而言,要求类标准是其中最基础的。
GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》是密评体系中的要求类标准,其前身为GM/T 0054—2018,该标准沿用了GB/T 22239—2019《信息安全技术网络安全等级保护基本要求》的框架,将信息系统密码应用自低向高划分为五个等级。
GM/T 0115—2021《信息系统密码应用测评要求》和GM/T 0116—2021《信息系统密码应用测评过程指南》则是针对测评的相关标准。
国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知
国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知文章属性•【制定机关】国务院办公厅•【公布日期】2016.04.12•【文号】国办发〔2016〕21号•【施行日期】2016.04.12•【效力等级】国务院规范性文件•【时效性】现行有效•【主题分类】金融综合规定正文国务院办公厅关于印发互联网金融风险专项整治工作实施方案的通知国办发〔2016〕21号各省、自治区、直辖市人民政府,国务院各部委、各直属机构:《互联网金融风险专项整治工作实施方案》已经国务院同意,现印发给你们,请认真贯彻执行。
国务院办公厅2016年4月12日互联网金融风险专项整治工作实施方案规范发展互联网金融是国家加快实施创新驱动发展战略、促进经济结构转型升级的重要举措,对于提高我国金融服务的普惠性,促进大众创业、万众创新具有重要意义。
经党中央、国务院同意,2015年7月人民银行等十部门联合印发了《关于促进互联网金融健康发展的指导意见》(以下简称《指导意见》);有关部门及时出手,打击处置一批违法经营金额大、涉及面广、社会危害大的互联网金融风险案件,社会反映良好。
为贯彻落实党中央、国务院决策部署,鼓励和保护真正有价值的互联网金融创新,整治违法违规行为,切实防范风险,建立监管长效机制,促进互联网金融规范有序发展,制定本方案。
一、工作目标和原则(一)工作目标。
落实《指导意见》要求,规范各类互联网金融业态,优化市场竞争环境,扭转互联网金融某些业态偏离正确创新方向的局面,遏制互联网金融风险案件高发频发势头,提高投资者风险防范意识,建立和完善适应互联网金融发展特点的监管长效机制,实现规范与发展并举、创新与防范风险并重,促进互联网金融健康可持续发展,切实发挥互联网金融支持大众创业、万众创新的积极作用。
(二)工作原则。
打击非法,保护合法。
明确各项业务合法与非法、合规与违规的边界,守好法律和风险底线。
对合法合规行为予以保护支持,对违法违规行为予以坚决打击。
等级保护2.0时代网络安全防护体系(等保2.0)
新型安全攻击层出不穷
震网 棱镜门事件 索尼影业被黑
乌克兰电网
tw itter3 2 0 0 万 账号密码泄漏
心脏滴血漏洞
美国西海岸
Continue
Stru ts2 漏洞
永恒之蓝
新型安全攻击层出不穷
□ A P T 攻击日益剧增
□ 具备国家和组织背景的A P T 攻击日益增多,APT结合了社会工 程学(内部威胁)、挂马、0 d a y 漏洞、深层渗透、长期潜伏、 隐蔽等特点,非常具有破坏性,是未来网络战的主要手段,也 是对网络空间安全危害最大的一种攻击方式。
针对网络安全新形势、新特点,提出了整体、动态、开放、相对、共同的 辩证网络安全观
针对全球互联网领域发展不平衡、规则不健全、秩序不合理等问题,提出 了在相互尊重、相互信任基础上合作共赢的网络安全观
□ Stuxnet蠕虫病毒(性病毒,能够利用对windows系统和 西门子SIMATIC W i n C C 系统的7个漏洞进行攻击。
□ BlackEnergy(黑暗力量)利用西门子W i n C C 系统已修复的 漏洞发动攻击。
日益增强的攻击手段
水利
广播电视
关键信息基础设施的安全保护等 水利枢纽运行及管控 长距离输水管控
电视播出管控 广播播出管控
城市水源地管控
医疗卫生
级
政府部门
医院等卫生机构运行 疾病控制
急救中心运行
信息公开 向公众服务 办公业务系统
工业制造
企业运营管理 智能制造系统
存储管控 高风险工业设施运行管控
不低于第三级。
能源
电力 石油石化 煤炭
网络安全领域基本法
国家安全五个领域 (海、陆、空、天、网) 目标:网际空间自主可控安全可靠
《证券公司全面风险管理规范》
证券公司全面风险管理规范(修订稿)第一章总则第一条为加强和规范证券公司全面风险管理,增强核心竞争力,保障证券行业持续稳健运行,根据《中华人民共和国证券法》、《证券公司监督管理条例》、《证券公司风险控制指标管理办法》等法律法规及相关自律规则,制定本规范。
第二条本规范所称全面风险管理,是指证券公司董事会、经理层以及全体员工共同参与,对公司经营中的流动性风险、市场风险、信用风险、操作风险、声誉风险等各类风险,进行准确识别、审慎评估、动态监控、及时应对及全程管理。
第三条证券公司应当建立健全与公司自身发展战略相适应的全面风险管理体系。
全面风险管理体系应当包括可操作的管理制度、健全的组织架构、可靠的信息技术系统、量化的风险指标体系、专业的人才队伍、有效的风险应对机制。
证券公司应当定期评估全面风险管理体系,并根据评估结果及时改进风险管理工作。
第四条证券公司应将所有子公司以及比照子公司管理的各类孙公司(以下简称“子公司”)纳入全面风险管理体系,强化分支机构风险管理,实现风险管理全覆盖。
第五条 [风险文化]证券公司应当在全公司推行稳健的风险文化,形成与本公司相适应的风险管理理念、价值准则、职业操守,建立培训、传达和监督机制。
第二章风险管理组织架构第六条证券公司应当明确董事会、监事会、经理层、各部门、分支机构及子公司履行全面风险管理的职责分工,建立多层次、相互衔接、有效制衡的运行机制。
第七条证券公司董事会承担全面风险管理的最终责任,履行以下职责:(一)推进风险文化建设;(二)审议批准公司全面风险管理的基本制度;(三)审议批准公司的风险偏好、风险容忍度以及重大风险限额;(四)审议公司定期风险评估报告;(五)任免、考核首席风险官,确定其薪酬待遇;(六)建立与首席风险官的直接沟通机制;(七)公司章程规定的其他风险管理职责。
董事会可授权其下设的风险管理相关专业委员会履行其全面风险管理的部分职责。
第八条证券公司监事会承担全面风险管理的监督责任,负责监督检查董事会和经理层在风险管理方面的履职尽责情况并督促整改。
一图看懂证券期货业网络和信息安全管理办法学习解读PPT实用课件
本作品由远近团队制作,欢迎下载使 用,不 得转卖 。
要性和安全性提出评估要求。
本作品由远近团队制作,欢迎下载使 用,不 得转卖 。
学习解读中国证监会制定的《证券期货业网络和信息安全管理办法》
《办法》的主要内容
(四)网络和信息安全应急处置。一是建立风险监测预警体制,加强日常漏洞扫描、安全评估,及 时消除风险隐患。二是完善应急预案的应急场景和处置流程,要求定期开展应急演练。三是强化网络安 全事件报告和调查处理工作,明确故障排查、相关方告知等工作要求。
——学习解读中国证监会制定的《证券期货业网络和信息安全管理办法》——
二
《办法》的起草思路
本作品由远近团队制作,欢迎下载使 用,不 得转卖 。 本作品由远近团队制作,欢迎下载使 用,不 得转卖 。
7
7
学习解读中国证监会制定的《证券期货业网络和信息安全管理办法》
《办法》的起草思路
(一)落实上位要求,汲取实践经验。《办法》聚焦网络和信息安全管理,强化个人信息保护, 结合证券期货业特点,为相关法律法规在证券期货业的有效落地,明确实施路径,提供制度保障。同 时,总结行业近年来监管工作成效,将实践经验转化为制度成果,固化工作机制。
本作品由远近团队制作,欢迎下载使 用,不 得转卖 。 本作品由远近团队制作,欢迎下载使 用,不 得转卖 。
——学习解读中国证监会制定的《证券期货业网络和信息安全管理办法》——
证券期货业信息技术发展与细节问题解读
证券期货业信息技术发展与细节问题解读作者:王蓓来源:《科学与财富》2016年第34期(渤海证券股份有限公司天津市 300381)摘要:现阶段,随着信息技术的进步和发展,其逐渐融入到证券期货行业发展过程中,并且逐渐受到证券期货行业的高度依赖。
而事物均具有双面性,信息技术在促进证券期货行业快速发展的同时,也为其带来了一定的威胁和安全问题。
然而,因为市场的发展节奏与信息技术的发展节奏存在一定的差距,使得证券期货业务与信息技术之间的循环存在一定问题。
对此,相关工作人员应当从信息技术制度设计、信息技术治理环节、信息技术文化实践等多方面入手,营造证券期货业务与信息技术之间良性循环的技术生态环境。
本文围绕证券期货行业信息技术发展问题展开分析,进而探讨其问题解决路径。
关键词:证券期货行业;信息技术;发展;细节问题在信息经济时代背景下,证券期货行业的发展离不开信息技术的支持。
只有保证证券期货行业各机构发展的前沿性和信息性,才能促使其借助信息技术在市场中占有一席之地。
随着信息技术的快速发展和不断进步,其对证券期货行业的生存和发展具有至关重要的作用。
并且历经多年的制度建设以及实践应用,证券期货行业信息化建设工作在信息技术治理、信息安全等级保护等方面都得到了一定的优化和改进,使其整体水平得到显著提升,为我国证券期货市场发展提供了强有力的支持。
一、深化信息技术治理与建设信息技术文化问题深化信息技术治理与建设信息技术文化问题主要包括两个方面,即治理制度建设与治理实践相结合的问题、提升信息技术总监专业技能的问题[1]。
下面针对这两个问题进行分析,为深化信息技术治理与建设信息技术文化工作的开展提供参考依据。
(一)信息技术治理制度与治理实践相结合的问题针对信息技术治理工作来说,从其理念树立至制度建设过渡的环节并不存在难度,最难的部分在于制度建设到实践运用过渡部分。
这一部分需要长时间的实践和不断的尝试才能够得到完善。
大多数金融机构领导在信息技术治理工作中对信息技术原则、证券期货业务整合、资源配置方面给予了高度重视,而在结构设计、基础设施配备、决策输入与输出方面缺乏合理性和协调性。
金融行业网络安全要求、等级保护对象整体安全保护能力、安全框架和关键技术使用要求
附录A(规范性附录)关于金融行业安全通用要求、安全扩展要求和增强性安全要求的选择和使用由于等级保护对象承载的业务不同,对其安全关注点会有所不同,有的更关注信息的安全性,即更关注搭线窃听、假冒用户等可能导致的信息泄密、非法篡改;有的更关注业务的连续性,即更关注保证系统连续正常的运行,免受对系统未授权的修改、破坏而导致系统不可用引起业务中断。
不同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求是有差异的,即使相同级别的等级保护对象,其对业务信息的安全性要求和系统服务的连续性要求也有差异。
等级保护对象的安全保护等级由业务信息安全性等级和系统服务保证性等级较高者决定(见GB/T22240—2020),因此,对某一个定级后的等级保护对象的安全保护的侧重点可以有多种组合。
等级保护对象定级后,可能形成的定级结果组合见表A.1。
表A.1各等级保护对象定级结果组合安全保护等级等级保护对象定级结果组合第二级S1A2,S2A2,S2A1第三级S1A3,S2A3,S3A3,S3A2,S3A1第四级S1A4,S2A4,S3A4,S4A4,S4A3,S4A2,S4A1安全保护措施的选择应依据上述定级结果,本部分中的技术安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改的信息安全类要求(简记为S);保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);其它安全保护类要求(简记为G)。
本部分中所有安全管理要求和安全扩展要求均标注为G,安全要求及属性标识见表A.2。
表A.2安全要求及属性标识技术/管理分类安全控制点属性标识安全技术要求安全物理环境物理位置选择G物理访问控制G防盗窃和防破坏G防雷击G防火G防水和防潮G防静电G温湿度控制G电力供应A电磁防护S 安全通信网络网络架构G通信传输G可信验证S 安全区域边界边界防护G访问控制G入侵防范G可信验证S恶意代码防范G安全审计G 安全计算环境身份鉴别S访问控制S安全审计G可信验证S入侵防范G恶意代码防范G数据完整性S数据保密性S数据备份恢复A表A.2(续)技术/管理分类安全控制点属性标识安全技术要求安全计算环境剩余信息保护S个人信息保护S 安全管理中心系统管理G审计管理G安全管理G集中管控G安全管理要求安全管理制度安全策略G管理制度G制定和发布G评审和修订G 安全管理机构岗位设置G人员配备G授权和审批G沟通和合作G审核和检查G 安全管理人员人员录用G人员离岗G安全意识教育和培训G外部人员访问管理G 安全建设管理定级和备案G安全方案设计G产品采购和使用G自行软件开发G外包软件开发G工程实施G测试验收G系统交付G等级测评G表A.2(续)对于确定了安全保护等级的定级系统,选择和使用基本安全要求时,可以按照以下过程进行:a)明确定级系统应该具有的安全保护能力,根据等级保护对象的安全保护等级选择安全要求。
证券期货业网络安全等级保护基本要求
证券期货业网络安全等级保护基本要求
随着互联网的发展,证券期货服务的信息技术需求不断增加,网络安全等级保护工作亦十分重要。
中国证券监督管理委员会出台的证券期货业网络安全等级保护(以下简称“等级保护”),将网络安全等级保护分为五个等级,分别为高级、中级、低级、低于低级和未转换等级,以更细化地监管服务主体的网络安全管理和风险控制工作,保护服务主体及社会投资者利益。
等级保护要求,各级别网络安全管理和技术控制要求应体现在证券期货服务主体安全信息系统的制度设计、合法合规操作活动、系统安全实施与管理、备份防范措施、审计监督机制等方面。
要原则性完善应用系统安全控制、业务安全控制和网络安全控制;客户数据、业务流程、数据准入、系统访问、访问记录、数据安全、网络安全等,应按照等级要求进行防范控制,安全隐患要及时发现处理;要加强技术控制的合法合规性,避免违反法规的行为;对风险治理体系必须做到完善,监督实施有效;要按照国家法律法规规定全面建立审计机制,确保审计准确、及时性。
此外,为了迎接国际信息安全标准,中国证券监督管理委员会应当把国际信息安全标准适应中国实际,对等级保护框架和原则作出进一步提高,同时对服务主体实施等级保护安全的检查和评估,以评定他们的安全等级。
以确保证券期货服务主体及社会投资者利益的维护和安全社会的建设成为可能。
中国证券业协会关于发布《证券公司网上证券信息系统技术指引》的通知
中国证券业协会关于发布《证券公司网上证券信息系统技术指引》的通知文章属性•【制定机关】中国证券业协会•【公布日期】2015.03.13•【文号】•【施行日期】2015.03.13•【效力等级】行业规定•【时效性】现行有效•【主题分类】证券正文关于发布《证券公司网上证券信息系统技术指引》的通知各会员单位:为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司网上开展证券业务的健康有序发展,我会修订了《证券公司网上证券信息系统技术指引》,现予以发布。
本办法自发布之日起施行。
附件:《证券公司网上证券信息系统技术指引》中国证券业协会2015年3月13日附件证券公司网上证券信息系统技术指引第一章总则第一条为保障网上证券信息系统的安全、可靠、高效运行,促进证券公司网上开展证券业务的健康有序发展,保护客户的合法权益,依据《中华人民共和国证券法》、《中华人民共和国电子签名法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等国家相关法律法规,以及《证券期货业信息安全保障管理办法》等行业相关制度规范,制定本指引。
第二条本指引所提出的各项要求,是证券公司网上证券信息系统应达到的基本要求。
证券公司在开展网上证券信息系统建设和运行过程中,应符合本指引规定的相关要求。
第三条证券公司网上证券信息系统是证券公司通过互联网、移动通信网络、其它开放性公众网络或开放性专用网络基础设施等开放性网络,向其客户提供金融业务和服务的信息系统,包括证券公司的网络设备、计算机设备、软件、数据、专用通讯线路,以及客户端软件等。
第四条证券公司利用网上证券信息系统开展证券业务应当遵循如下基本原则:(一)安全性原则:网上证券信息系统的建设应当建立风险防范意识,保证在网上开展证券业务的安全性。
通过技术措施和管理手段,实现信息的保密性、完整性和服务可用性。
(二)系统性原则:网上证券信息系统的建设应当覆盖安全保障体系的各个方面,包括但不限于:安全体系规划和建设、证券业务安全运行、运维和安全保障、灾难恢复和应急措施等。
浅谈期货行业信息安全
浅谈期货行业信息安全——NSFOCUS上海分公司冯宏刚摘要:随着证券期货市场的不断发展和完善,信息安全问题成为市场监管者和市场参与者共同关注的一个重要问题。
加强证券期货市场信息化建设,确保信息系统安全运行,关系到证券期货市场的稳定和健康发展,关系到国家金融安全和社会稳定,对于保护投资者的合法权益具有十分重要的意义。
为此,本文汇总和分析期货行业信息安全现状及安全方面的主要法律法规,根据多年来绿盟科技在安全方面及期货行业中所积累的经验,就期货行业的信息安全提出一些观点。
同时也期望通过本文达到与从事期货行业管理和技术人员进行广泛交流的目的。
关键词:期货技术指引等级保护信息安全一. 引言2008年奥运会前,中国证监会针对奥运会安全保障和维稳工作,对期货公司进行了安全检查,从此开始,期货行业信息安全方面的建设进入快速发展阶段;经过近几年安全建设,期货公司的信息系统基本适应了目前市场稳定运行的安全需求,但是与日新月异的信息技术和快速发展的市场规模相比,期货行业信息系统和安全保障还存在较多的薄弱环节,还面临着许多问题和挑战。
这就需要期货公司在信息安全方面还需要持续不断的改进和完善,满足行业发展的需求。
二. 期货行业信息安全事故分析2.1 事故概况2011年初,中国期货业协会对2010年期货行业发生的信息系统安全事故情况进行了收集整理和深入分析。
2010年,期货行业在交易期间发生符合《证券期货业网络与信息安全事件应急预案2009版》报送要求的信息安全事故共22起,涉及21家单位。
其中,上半年12起,下半年10起。
事件分类统计表2.2 事故影响分析从统计数据来看,在全年发生的22起安全事故中,2起外部因素造成的事故均未对客户交易造成影响。
其中1起为银期转账系统银行端故障,导致2家公司银期转账业务中断1小时以上;另外1起通信链路中断事故造成了某公司门户网站154分钟无法正常访问。
20起事故共造成1224笔客户委托受到影响。
证券行业日志审计需求分析,产品选型和实施建议
当今的证券行业在IT信息安全领域面临比以往更为复杂的局面,日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求,对证券行业的日志审计提出了明确的要求:1) 《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能”。
2) 证监会要求各证券单位“应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。
各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析,通过定期对日志进行分析和总结,及时了解网络状况、设备运行状况,发现薄弱环节,及时整改,形成记录”。
3) 《证券期货业信息系统安全检查贯彻落实指引》第四章第二节对日志审计提出了具体要求,“各单位应对分散的各种日志进行统一管理,避免遗漏出现死角,管理内容应包括定期备份,形成日志分析报告等”,“各单位应对与交易业务、网站和网上交易系统有关的关键服务器、存储设备、路由器、防火墙、交换机等设备的系统日志、程序运行日志、安全事件日志等进行定期备份”,“定期对关键网络、安全设备和服务器日志进行检查和分析,形成记录”。
4) 即将颁布的金融行业标准《证券期货业信息系统安全等级保护基本要求》中,对网络、主机和应用的安全审计有明确的要求。
其中,第二级中针对主机安全审计要求“审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。
系统不支持该要求的,应以系统运行安全和效率为前提,采用第三方安全审计产品实现审计要求。
审计记录应至少保存6个月。
”第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计,审计记录至少保存6个月”。
第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析,以便及时发现异常行为”。
而目前,证券行业的网络与信息系统建设已经十分复杂,各类相关的日志信息分散在网络的各个位置,如何有效的对这些日志进行统一的监控审计成为了一大难题。
证券期货业网络和信息安全管理办法
证券期货业网络和信息安全管理办法(2023年1月17日中国证券监督管理委员会第1次委务会议审议通过)第一章总则第一条为了保障证券期货业网络和信息安全,保护投资者合法权益,促进证券期货业稳定健康发展,根据《中华人民共和国证券法》(以下简称《证券法》)、《中华人民共和国期货和衍生品法》(以下简称《期货和衍生品法》)、《中华人民共和国证券投资基金法》(以下简称《证券投资基金法》)、《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)、《关键信息基础设施安全保护条例》等法律法规,制定本办法。
第二条核心机构和经营机构在中华人民共和国境内建设、运营、维护、使用网络及信息系统,信息技术系统服务机构为证券期货业务活动提供产品或者服务的网络和信息安全保障,以及证券期货业网络和信息安全的监督管理,适用本办法。
—1—第三条核心机构和经营机构应当遵循保障安全、促进发展的原则,建立健全网络和信息安全防护体系,提升安全保障水平,确保与信息化工作同步推进,促进本机构相关工作稳妥健康发展。
信息技术系统服务机构应当遵循技术安全、服务合规的原则,为证券期货业务活动提供产品或者服务,与核心机构、经营机构共同保障行业网络和信息安全,促进行业信息化发展。
第四条核心机构和经营机构应当依法履行网络和信息安全保护义务,对本机构网络和信息安全负责,相关责任不因其他机构提供产品或者服务进行转移或者减轻。
信息技术系统服务机构应当勤勉尽责,对提供产品或者服务的安全性、合规性承担责任。
第五条中国证监会依法履行以下监督管理职责:(一)组织制定并推动落实证券期货业网络和信息安全发展规划、监管规则和行业标准;(二)负责证券期货业网络和信息安全的监督管理,按规定做好证券期货业涉及的关键信息基础设施安全保护工作;(三)负责证券期货业网络和信息安全重大技术路线、重大科技项目管理;(四)组织开展证券期货业投资者个人信息保护工作;(五)负责证券期货业网络安全应急演练、应急处置、事件报告与调查处理;(六)指导证券期货业网络和信息安全促进与发展;—2—(七)支持、协助国家有关部门组织实施网络和信息安全相关法律、行政法规;(八)法律法规规定的其他网络和信息安全监管职责。
中国证监会关于《证券期货业网络安全等级保护基本要求》等2项金融行业标准的公告
中国证监会关于《证券期货业网络安全等级保护基本要求》等2项金融行业标准的公告
文章属性
•【制定机关】中国证券监督管理委员会
•【公布日期】2021.08.30
•【文号】中国证券监督管理委员会公告〔2021〕19号
•【施行日期】2021.08.30
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】证券
正文
中国证券监督管理委员会公告
〔2021〕19号
现公布金融行业推荐性标准《证券期货业网络安全等级保护基本要求》(JR/T 0060—2021)、《证券期货业网络安全等级保护测评要求》(JR/T 0067—2021),自公布之日起施行。
《证券期货业信息系统安全等级保护基本要求(试行)》(JR/T 0060—2010)、《证券期货业信息系统安全等级保护测评要求(试行)》(JR/T 0067—2011)同时废止。
中国证监会
2021年8月30日附件1:证券期货业网络安全等级保护基本要求
附件2:证券期货业网络安全等级保护测评要求。
全面提升证券期货业信息化水平确保系统安全稳定运行
“十二五”即将到来,站在新五年的起点,中国证券期货业信息化与信息安全工作的发展战略是:一是显著提升信息系统性能,不断丰富信息系统功能,增强资本市场的信息技术核心竞争力;二是为投资者提供更便捷、更安全的交易方式,提高对投资者的信息技术服务水平;三是大幅提高信息系统抗风险能力和信息安全事件应急处置能力,保障行业信息系统的安全稳定运行;四是建立健全行业信息技术公共基础设施,促进信息技术资源的有效利用;五是形成完善的多层次信息技术规章和标准体系,提高行业规范化和标准化水平;六是整合利用信息资源,支持资本市场业务监管和行业自律;七是形成科研合作机制,提高先进技术应用能力;八是壮大信息技术人才队伍,为资本市场信息化与信息安全工作提供坚实的保障。
此外,中国证券业协会组织证券公司技术人员进行了营业部技术指引、网上交易技术指引等专题培训,期货业协会组织期货公司高管人员和信息技术人员参加了技术轮训班,促进了市场对信息安全政策、法规和技术指引的理解和贯彻落实。
2.加强行业标准化的组织保障和制度建设
证标委于2009年11月6日召开换届大会,完成了换届工作;进一步规范了证标委内部的日常管理,重新修订了《全国金融标准化技术委员会证券分技术委员会章程》、《全国金融标准化技术委员会证券分技术委员会秘书处工作细则》,制定了《全国金融标准化技术委员会证券分技术委员会标准化工作管理制度》。
证监会启动了《证券期货业标准体系框架》的研究和制定工作,同时配合金标委开展了《金融行业标准化体系框架》制定工作;完成《证券期货业标准体系框架的项目建议书》在金标委的立项申请工作;发布《证券期货业与银行间业务数据交换消息体结构和设计规则》行业标准,规范定义了商业银行和证券期货机构业务往来中的数据格式和接口规范,提高了数据处理和数据交换效率。
证券市场网络信息安全考核试卷
17. C
18. D
19. C
20. D
二、多选题
1. ABC
2. ABCD
3. ABC
4. ABCD
5. ABCD
6. ABC
7. ABC
8. ABC
9. ABCD
10. ABC
11. ABCD
12. ABCD
13. ABCD
14. ABCD
15. ABC
16. ABCD
17. ABC
18. ABCD
四、判断题(本题共10小题,每题1分,共10分,正确的请在答题括号中画√,错误的画×)
1.证券公司网络信息安全只需关注外部攻击,内部威胁可以忽略不计。()
2.证券市场网络信息安全的风险评估只需要定期进行一次即可。()
3.在证券公司网络信息安全防护中,物理安全措施与网络安全措施同样重要。()
4.使用强密码是保障证券市场网络信息安全的唯一有效手段。()
7.为了提高证券公司网络信息安全的水平,应定期进行______、安全培训和内部审计。
8.证券市场网络信息安全的管理原则包括分级保护、安全可控、事前防范和______。
9.证券公司网络信息安全中,______是衡量信息安全风险的重要指标。
10.在证券市场网络信息安全中,遵守法律法规、加强内部管理和提升员工______是预防信息安全风险的关键。
A.系统性风险
B.非系统性风险
C.信息泄露风险
D.信用风险
2.证券公司网络信息安全的首要环节是?()
A.防火墙
B.入侵检测系统
C.安全管理策略
D.加密技术
3.关于我国证券市场网络信息安全法律法规,以下哪个说法是错误的?()
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
JR/T0060—XXXX
74
附录B
(规范性附录)
关于等级保护对象整体安全保护能力的要求
网络安全等级保护的核心是保证不同安全保护等级的对象具有相适应的安全保护能力。
本标准第5
章提出了不同级别的等级保护对象的安全保护能力要求,第6章到第10章分别针对不同安全保护等级的对象应该具有的安全保护能力提出了相应的安全通用要求和安全扩展要求。
依据本标准分层面采取各种安全措施时,还应考虑以下总体性要求,保证等级保护对象的整体安全保护能力。
a)构建纵深的防御体系
本标准从技术和管理两个方面提出安全要求,在采取由点到面的各种安全措施时,在整体上还应保证各种安全措施的组合从外到内构成一个纵深的安全防御体系,保证等级保护对象整体的安全保护能力。
应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实本标准中提到的各种安全措施,形成纵深防御体系。
b)采取互补的安全措施
本标准以安全控制的形式提出安全要求,在将各种安全控制落实到特定等级保护对象中时,应考虑各个安全控制之间的互补性,关注各个安全控制在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制共同综合作用于等级保护对象上,使得等级保护对象的整体安全保护能力得以保证。
c)保证一致的安全强度
本标准将安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范等内容,分解到等级保
护对象的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。
应防止某个层面安全功能的减弱导致整体安全保护能力在这个安全功能上消弱。
例如,要实现双因子身份鉴别,则应在各个层面的身份鉴别上均实现双因子身份鉴别;要实现基于标记的访问控制,则应保证在各个层面均实现基于标记的访问控制,并保证标记数据在整个等级保护对象内部流动时标记的唯一性等。
d)建立统一的支撑平台
本标准针对较高级别的等级保护对象,提到了使用密码技术、可信技术等,多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性等)为了获得更高的强度,均要基于密码技术
或可信技术,为了保证等级保护对象的整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性等安全功能的实现。
e)进行集中的安全管理
本标准针对较高级别的等级保护对象,提到了实现集中的安全管理、安全监控和安全审计等要求,为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制在可控情况下发挥各自的作用,应建立集中的管理中心,集中管理等级保护对象中的各个安全控制组件,支持统一安全管理。
JR/T 0060—XXXX
75附录C
(规范性附录)
等级保护安全框架和关键技术使用要求
在开展网络安全等级保护工作中应首先明确等级保护对象,等级保护对象包括通信网络设施、信息系统(包含采用移动互联等技术的系统)、云计算平台/系统、大数据平台/系统、物联网、工业控制系统等;确定了等级保护对象的安全保护等级后,应根据不同对象的安全保护等级完成安全建设或安全整
改工作;应针对等级保护对象特点建立安全技术体系和安全管理体系,构建具备相应等级安全保护能力的网络安全综合防御体系。
应依据国家网络安全等级保护政策和标准,开展组织管理、机制建设、安全规划、安全监测、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、安全可控、队伍建设、教育培训和经费保障等工作。
等级保护安全框架见图C.1。
图C.1等级保护安全框架
应在较高级别等级保护对象的安全建设和安全整改中注重使用一些关键技术:
a)可信计算技术
应针对计算资源构建保护环境,以可信计算基(TCB)为基础,实现软硬件计算资源可信;针对信息资源构建业务流程控制链,基于可信计算技术实现访问控制和安全认证,密码操作调用和资源的管理等,构建以可信计算技术为基础的等级保护核心技术体系。
b)强制访问控制
应在高等级保护对象中使用强制访问控制机制,强制访问控制机制需要总体设计、全局考虑,在通信网络、操作系统、应用系统各个方面实现访问控制标记和策略,进行统一的主客体安全标记,安全标记随数据全程流动,并在不同访问控制点之间实现访问控制策略的关联,构建各个层面强度一致的访问控制体系。
c)审计追查技术
JR/T0060—XXXX
76
应立足于现有的大量事件采集、数据挖掘、智能事件关联和基于业务的运维监控技术,解决海量数据处理瓶颈,通过对审计数据快速提取,满足信息处理中对于检索速度和准确性的需求;
同时,还应建立事件分析模型,发现高级安全威胁,并追查威胁路径和定位威胁源头,实现对攻击行为的有效防范和追查。
d)结构化保护技术
应通过良好的模块结构与层次设计等方法来保证具有相当的抗渗透能力,为安全功能的正常执行提供保障。
高等级保护对象的安全功能可以形式表述、不可被篡改、不可被绕转,隐蔽信道不可被利用,通过保障安全功能的正常执行,使系统具备源于自身结构的、主动性的防御能力,利用可信技术实现结构化保护。
e)多级互联技术
应在保证各等级保护对象自治和安全的前提下,有效控制异构等级保护对象间的安全互操作,从而实现分布式资源的共享和交互。
随着对结构网络化和业务应用分布化动态性要求越来越高,多级互联技术应在不破坏原有等级保护对象正常运行和安全的前提下,实现不同级别之间的多级安全互联、互通和数据交换。