2024银行网络安全等级保护建设规范

范 附 附 GB/T22239–2019 信息安全技术网络安全等级保护基本要求GB/T28448–2019 信息安全技术网络安全等级保护测评要求GB/T28449–2018 信息安全技术网络安全等级保护测评过程指南GB/T25058–2019 信息安全技术网络安全等级保护实施指南GB/T35273–2020 信息安全技术个人信息安全规范JR/T 金融行业网络安全等级保护实施指引第2JR/T JR/T JR/T0255–2022 金融行业信息系统商用密码应用基本要求JR/T0257–2022 金融行业信息系统商用密码应用测评过程指南 等级保护 个人金融信息personalfinan×ial 图 图 图 图 项目招投标涉及项目承建商采购、项目设备采购以及项目建设第三方监理机构以及第三方测试验 图 项目经理负责项目建设实施过程中的监督控制和配合承建商开展建设工作等内容。项目经理须全（ A。IP地址。所有主干链路、关键网络设备均采用双冗余部署。AC控制网关、网闸、IPS、IDSAPTAP、DAP内网、A数据库：SQLserver、Mysql、Oracle、达梦等。 图 图 不宜采用存在缺陷或有安全问题警示的密码技术，如SSH1.0、SSL2.0、SSL3.0、TLS1.0等。 Web 图 应用系统投入生产运行前需进行不少于1个月的模拟运行和不少于3个月的试运行。 图 表表 《机房安全管理制度《机房设施维护记录硬件资产：网络设备（路由器、交换机，安全设备（防火墙、入侵防御、上网行为管理、防病毒网关、隔离网AT服务器，终端，存储设备银河麒麟等）、数据库管理系统（Oracle、Mysql、SQLserver等、《介质管理记录》《介质归档查询登记记《介质销毁记录表表 《设备维护管理制度购设备使用记录护操作记录警数据分析统计报告系统审批记录《商密产品检测报告难恢复计划 存储要求，对IT基础设施中断服务的应急保障要求等。 B/T2849–20评机构对银行三级系统开展一次等级测评工作，每两年邀请第三方测评机构对银行二级系统开展一次附录表A.1金融信息系统各生命周期输出文件及风险判定对应表（单（可证表表 《系统安全性设计指系统安全管理办法》、研发版本管理实施细《阶段性软件安全测试（自行开发（开发（自行开发（外包开发（外包开发（外包开发行业的业务核心系统由外包公司开未提供第三方监理报告，可判为理办法实施细则（修未对发现的安全漏洞和隐患及时修组件或调整配置参数对系统造成影国家密码管理规定的密码技术和产未明确数据备份策略和数据恢复策现重要数据的定期备份与恢复性测未制定安全事件报告和响应处理程附录b100100米范围内不能有加油站、a)应将设备或主要部件进行固b表表 7*24小时人员值守和巡查的33个月。a)a)机房应设置火灾自动消防系感等多种方式进行自动检测火c)量的对电子设备影响小的手持式灭火一次针对机房的消防培训和演a)d)机房内安装并启用防水检测和报警装acabc备用电力供应设备及应急供电N+1、N+2、2N、2(N+1)等方15机房٧PS供电系统的冗余方式可以采N+1、N+2、2N、2(N+1)等方式。无备用发电机应急供电系统的单位，٧PS后备时间至少满足一小时。已建立备用发电机应急供电系统的单f)机房内要求采用机房专用插g٧PS（F3）a)电源线和通信线缆应隔离铺务处理能力能满足业务高峰期需要的50（F3）因设备性能问题导致的宕机，CP٧使用70控制列表(ACL码管理部门与行业有关要求使内部网络的行为进行检查或限采用技术措施（终端准入、IP/MAC地址c外部网络的行为进行检查或限采用技术措施（终端准入、IP/MAC地址绑定）访问控制策略设置访问控制规数据流提供明确的允许/拒绝访为进出数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级（tcp等端口表表 ge采取技术手段（APT攻击系统）fa计记录信息是否包括事件的日期和时6个月。6c66个月。基于可信根对边界设备的系统引导程8位以上，杂度要求的基础上定期更换。（8表表 录连接超时自动退出等相关措（3–5次连接超时（5分钟以上）（应用（httpsSSH等a重命名默认账户（rootadmin、d（应用ib66d户上一次非常用设备成功登录以确保审计分析的一致性与正戏等娱乐软件端口（TCP135、139、445、593、1025c（应用各安全计算环境设备的业务用途专用通过给系统人为制造一些故障(如系统安装防恶意代码软件或相应功能的软基于可信根对计算设备的系统引导程httpshttp应用系统采用技术措施(如数据安全保MD5httpshttp（RPO，RTObd)对于同城应用级灾难备份中100km对关键技术应用的可行性进行验证测f)数据备份应至少保存两个副d)金融机构应依据JR/T2020对个人金融信息收集、传ATM（或截词）ATM设备、自助数据接收方的身份和数据安全经去标识化处理的个人金融信 a)应对系统管理员进行身份鉴员应每天定期查看并记录系统表表 a)应对审计管理员进行身份鉴a)应对安全管理员进行身份鉴6统防护策略、WAF安全防护策略等)进行APT攻击预警系统能够对各类安全事件件明确机构安全工作的总体目标、范表表 b支机构制定了适用辖内的安全管理制b用性进行审定并对审定或论证进行记表表 周期和重大事件等进行审计。本部门的网络安全管理工作。其他部门指定至少一名部门网络安全a)应配备一定数量的系统管理人员配备文档明确各岗位人员配备情bA、BA、Bab和系统接入等事项建立审批程c络安全管理部门之间的合作与沟通机业界专家及安全组织的合作与沟通机外联单位联系列表记录有外联单位名ea)c)应与被录用人员签署保密协表表 诺调离后的保密义务后方可离安全技能及安全认知的考核。b应对关键岗位的人员进行全c)应对考核结果进行记录并保c)表表 cdad)应预先对产品进行选型测取应急措施并按规定程序报测试数据和测试结果受到控可能存在的恶意代码进行检具有软件安全测试报告和代码审计报gh)应保证开发人员为专职人完成相关文档手册的编写工a容和保存期限应满足事件分e人员负责工程实施过程的管工程实施方面的管理制度进行各类控cb（部门或公正的第三方制订安全测试方并出具安全测试报告，安全测试报告应包含密码应用安全性测试相关内容，并将测试报告1313个月的试abc能够提供建设过程文档和运行维护文具有以往等级测评报告和安全整改方ab选择的安全服务商要符合国家有关规d)机房管理员应经过相关培g表表 h)机房所在区域应安装24小时3个月（F3）机房所在区域安装24小时视频监控录像口。3个档和查询等进行登记记录。应对介质在物理传输过程中的人员选c电子化审批流转登记管理。1份备份介质应1份备份定期对主要备份业务数据进行恢复验部门或人员定期进行维护管设备的科研单位拆除与密码有关的硬验收合格后方能投入使用。具备新购置设备的验收报告和使用记将在金融机构内部使用的情6个月。h)网络安全管理人员经本部门主管领导批准后，有权对本机构或辖内网络进行安全检测、未经科技主管部门授权，任何外部机构与人员不得检测或扫Q/JGHBANK0007—表 k)系统管理员不应兼任业务操作人员，系统管理员不应对业数据库系统进行业务数据维护并详细记录维护内容、人员、（F3）监测和报警数据等进行分析统计的报o)应严格控制运维工具的使p)应严格控制远程运维的开表表 a)应记录和保存基本配置信a门认证核准的密码技术和产c)应建立对所有密钥的产生、销毁等方面进行管理的制度，密钥管理人员应是本机构在编d)系统管理员、数据库管理应将口令密码纸质密封交相关部门保柜内，保险柜钥匙由专人负hb)应规定备份信息的备份方周、月、介质（光盘、٧盘、硬盘、保要