青藤云安全：证监会发布新标准，金融机构如何满足过检要求？

近日,证监会发布《证券期货业网络安全等级保护基本要求》(JR/T 0060—2021)、《证券期货业网络安全等级保护测评要求》(JR/T 0067—2021)2项金融行业标准。这2项标准自2021年8月30日施行,这对于证券期货业进一步落实好网络安全等级保护工作相关要求,具有非常重要的意义。

这2项金融行业标准是基于2019年5月发布的等保2.0进行调整和完善,下面小编以《证券期货业网络安全等级保护基本要求》中安全计算环境(三级)安全要求为例进行介绍,其中细化和调整的内容以加粗字表示。

一、身份鉴别

1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换:

(1)所有用户口令应符合以下条件:数字、大小写字母、符号混排,无规律的方式;

(2)管理员口令的长度应至少为 12 位,普通用户口令的长度应至少为 8 位;

(3)管理员口令应每季度至少更换 1 次,更新的口令应至少 5 次内不能重复;平台业务操作账户口令应每 6 个月至少更换 1 次,更新的口令应至少 5 次内不能重复;

(4)如果设备管理员口令长度不支持 12 位或其他复杂度要求,口令应使用所支持的最长长度并适当缩短更换周期,或使用动态口令卡等一次性口令认证方式;

(5)应为网络设备、安全设备、操作系统、数据库的不同用户分配不同的用户名;

(6)系统自动生成的口令,系统应强制用户首次登录时修改初始口令;

(7)系统自动生成的口令,应具有随机性;

2.应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;

3.当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;当通过非console 方式进行远程管理时,应采取密码技术防止鉴别信息在网络传输过程中被窃听;

4.应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现:

(1)管理用户以网络方式登录系统,应采用两种或两种以上组合的鉴别技术进行身份鉴别;

(2)面向客户服务的系统应提供两种或两种以上组合的鉴别技术供行业客户选择。

二、访问控制

本条款要求包括:

1.应对登录的用户分配账户和权限;

2.应重命名或删除默认账户,修改默认账户的默认口令;无法重命名的特殊默认账户,应增加限制默认账户访问地址、访问时间等补偿性控制措施;

3.应及时删除或停用多余的、过期的账户,避免共享账户的存在;

4.应授予管理用户所需的最小权限,实现管理用户的权限分离;

5.应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则;

6.访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级;

7.应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。

三、安全审计

本条款要求包括:

1.应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计:

(1)如审计功能开启影响系统运行安全和效率,应采用第三方安全审计产品实现审计要求;

(2)用户行为应至少包括用户登录、用户退出、超时锁定、用户冻结和解冻、增删用户、权限变更、口令修改或重置等操作;

2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

3.应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等;审计记录的时间应由系统范围内唯一确定的时钟产生;

4.应对审计进程进行保护,防止未经授权的中断。

四、入侵防范

本条款要求包括:

1.应遵循最小安装,仅安装需要的组件和应用程序;

2.应关闭不需要的系统服务、默认共享和高危端口;

3.应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制;

4.应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求;应能够有效屏蔽系统技术错误信息,不应将系统产生的错误信息直接或间接反馈到前台界面;

5.应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞;

6.应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。

五、恶意代码防范

应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断;

所有主机应安装防恶意代码软件,并定期进行升级和更新防恶意代码库,不支持的主机操作系统应采取有效措施进行防护,如设置进程白名单、安装HIDS等措施。

各行各业都应具有《网络安全等级保护基本要求》中的安全能力。为了帮助客户快速判断自身是否符合等保2.0的合规要求,青藤云安全深入研究了等保2.0的内容,重磅推出青藤云安全等保2.0主机安全产品。此外,结合客户实际需求,青藤云安全为客户提供了配套的等保安全服务,包括定级咨询、备案、差距评估、技术整改方案、管理整改方案、安全复查;高级安全服务,包括应急演练、应急响应、安全意识培训、渗透测试。