标准规范下载简介

JR／T 0060-2021 证券期货业网络安全等级保护基本要求.pdf简介：

JR/T 0060-2021《证券期货业网络安全等级保护基本要求》是由中国金融认证中心（JR）制定的一份行业标准，它针对证券期货业的网络安全防护提出了具体的要求。这份标准的发布，旨在保障证券期货市场的信息安全，防止因网络安全事件导致的数据泄露、业务中断或其他损失。

该标准主要分为五个等级，从一级到五级，分别对应不同的安全保护强度，要求金融机构根据自身的业务性质、规模和重要性，实施相应的网络安全保护措施。一级至三级主要关注基本的防护措施，如访问控制、数据加密、安全审计等；四级和五级则要求更高的安全保障，包括灾难恢复、持续监控、应急响应能力等。

具体来说，它涵盖了网络安全策略、风险评估、安全设计、安全实施、安全运维、安全审计与管理等多个方面，对于信息系统的安全防护、数据保护、访问控制、系统安全、应用安全、物理安全等都有明确的规定。

总的来说，JR/T 0060-2021标准的实施，有助于提升证券期货行业的网络安全水平，保障金融市场平稳运行，保护投资者的合法权益。

JR／T 0060-2021 证券期货业网络安全等级保护基本要求.pdf部分内容预览：

6. 3. 2 安全区域边界

6.3.2.1边界防护

公路1级路基宽度10m山岭重丘区公路6. 3. 2. 2 访问控制

无线接入设备应开启接入认证功能，并且不应使用WEP方式进行认证，如使用口令，长度 位字符。

6.3.3安全计算环境

应具有选择应用软件安装、运行的功能。

6.3.4安全建设管理

整端安装、运行的应用软件应来自可靠分发渠道

6.4物联网安全扩展要求

6.4.1安全物理环境

本条款要求包： a）感知节点设备所处的物理环境不应对感知节点设备造成物理破坏，如挤压、强振动； b）感知节点设备在工作状态所处物理环境应能正确反映环境状态（如温湿度传感器不能安装在阳 光直射区域）。

6. 4. 2 安全区域边界

接入的感知节点设备应有授权。

6.4.3安全运维管理

JR/T 00602021

应指定人员定期巡视感知节点设备、网关节点设备的部署环境，对可能影响感知节点设备、网关节 点设备正常工作的环境异常进行记录和维护

6. 5工业控制安全扩展要求

6.5.1安全物理环境

本条款要求包括： a）室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固；箱体或装置应具 有透风、散热、防盗、防雨和防火能力等； b 室外控制设备放置应远离强电磁干扰、强热源等环境，如无法避免应及时做好应急处置及检修， 保证设备正常运行。

6.5.2安全通信网络

本条款要求包括： a）工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用技术隔离手段； b）工业控制系统内部应根据业务特点划分为不同的安全域，安全域之间应采用技术隔离手段。

6.5.3安全区域边界

6.5.3.1访问控制

.5. 3. 2 无线使用控制

本条款要求包括： a）应对所有参与无线通信的用户（人员、软件进程或者设备）提供唯一性标识和鉴别 b）应对无线连接的授权、监视以及执行使用进行限制。

6.5.4安全计算环境

本条款要求包括： a）控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要 求，如受条件限制控制设备无法实现上述要求，应由其上位控制或管理设备实现同等功能或通 过管理手段控制； 6 应在经过充分测试评估后，在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固 件更新等工作

7.1.1安全物理环境

JR/T 00602021

a）机房场地应选择在具有防震、防风和防雨等能力的建筑内： 1）应具有机房或机房所在建筑物符合当地抗震要求的相关证明； 2）机房外墙壁不应有对外的窗户。否则，应采用双层固定窗，并作密封、防水处理 b）机房场地不应设在建筑物的顶层或地下室，否则应加强防水和防潮措施。

7.1.1.2物理访问控制

机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的人员： 1）人员进出记录应至少保存6个月；机房出入口应有视频监控，监控记录应至少保存6个月； 2）有门禁系统的应当采用监控设备将机房人员进出情况传输到值班点，对外来人员出入机房进行 控制、鉴别和记录； 3）没有门禁系统的机房，应当安排专人控制、鉴别和记录人员的进出。

7. 1.1. 3防盗窃和防破坏

本条款要求包括： a）应将设备或主要部件进行固定，并设置明显的不易除去的标识： 1）主要设备应当安装、固定在机柜内或机架上； 2）主要设备、机柜、机架应有明显且不易除去的标识，如粘贴标签或铭牌、电子标签： b）应将通信线继铺设在隐蔽安全处：通信线缆可铺设在管道或线槽、线架中。

7. 1. 1. 4 防雷击

将各类机柜、设施和设备等通过接地系统安全揭

机柜、设施和设备等通过接地系统安全接地。

7. 1. 1. 5防火

本条款要求包括： a）机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自动灭火；机房的火灾自动 消防系统应向当地公安消防部门备案； b）机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料

7.1.1.6防水和防潮

本条款要求包括： a）应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； b）应采取措施防止机房内水蒸气结露和地下积水的转移与渗透，

7. 1. 1. 7防静电

7.1. 1. 8温湿度控制

7.1.1.9电力供应

JR/T00602021

应在机房供电线路上配置稳压器和过电压防护设备； 应提供短期的备用电力供应，至少满足设备在断电情况下的正常运行要求： 1） 应配备UPS，在配有发电机等后备电源的情况下，UPS供电能力能支持到后备电源开始供 电； 2） 备用电力供应的实际供电能力应满足主要设备和环境控制设备在断电情况下正常运行至 少2个小时。

7.1. 1. 10 电磁防护

电源线和通信线缆应隔离铺设，避免互相干扰；电源线和通信线缆应铺设在不同的桥架或管道 互相干扰。

7.1.2 安全通信网络

7.1.2.1网络架构

本条款要求包括： a）应划分不同的网络区域，并按照方便管理和控制的原则为各网络区域分配地址； b 重要网络区域不应部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术隔离手 段。

7.1.2.2通信传输

应采用校验技术保证通信过程中数据的完整性

7. 1. 2. 3可信验证

应用程序等进行 并在检测到其可信性受到破坏 送至安全管理中心

7.1.3安全区域边界

7.1.3. 1边界防护

跨越边界的访问和数据流应通过边界设备提供的受控接口进行通信

7. 1. 3. 2访问控制

本条款要求包括： ） 应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控 接口拒绝所有通信；访问控制策略控制粒度应为端口级； 应删除多余或无效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化； c）应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包进出； 应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；仅允许在采取安全可 控措施下通过互联网对信息系统进行远程维护和管理，包括但不限于远程终端硬件信息绑定、 双因素认证、终端运行环境安全检查等，

7.1.3. 3入侵防范

应在关键网络节点处监视网络攻击行为。

JR/T 00602021

JR/T 00602021

7.1.3.4恶意代码防范

7. 1. 3. 5安全审计

7. 1. 3. 6 可信验证

可基于可信限对达界设备的系统 数和达界防护应用程序等进行口 信验证，并在检测到其可信性受到破坏后进行报警， 果形成审计记录送至安全管理中心

7.1.4安全计算环境

7. 1. 4. 1 身份鉴别

本条款要求包： a）应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并 定期更换： 1 所有用户口令应符合以下条件：数字、大小写字母、符号混排，无规律的方式； 2） 管理员口令的长度应至少为12位，普通用户口令的长度应至少为8位； 3 管理员口令每季度至少更换1次，更新的口令至少5次内不能重复；平台业务操作账户口 令应每6个月至少更换1次，更新的口令应至少5次内不能重复； 4 如果设备管理员口令长度不支持12位或其他复杂度要求，口令应使用所支持的最长长度 并适当缩短更换周期；或使用动态口令卡等一次性口令认证方式； 5 应为网络设备、安全设备、操作系统、数据库的不同用户分配不同的用户名； 6 系统自动生成的口令，系统应强制用户首次登录时修改初始口令； 7 系统自动生成的口令，应具有随机性； D 应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动 退出等相关措施； C 当进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听

7. 1. 4. 2 访问控制

a）应对登录的用户分配账户和权限； 应重命名或删除默认账户，修改默认账户的默认口令；无法重命名的特殊默认账户，应增加限 制默认账户访问地址、访问时间等补偿性控制措施； 应及时删除或停用多余的、过期的账户，避免共享账户的存在； d）应授予管理用户所需的最小权限，实现管理用户的权限分离，

应对登录的用户分配账户和权限； 应重命名或删除默认账户，修改默认账户的默认口令；无法重命名的特殊默认账户， 制默认账户访问地址、访问时间等补偿性控制措施； 应及时删除或停用多余的、过期的账户，避免共享账户的存在； d）应授予管理用户所需的最小权限，实现管理用户的权限分离，

7.1.4.3安全审计

JR/T0060202

7. 1. 4. 4入侵防范

本条款要求包括： a）应遵循最小安装，仅安装需要的组件和应用程序； b 应关闭不需要的系统服务、默认共享和高危端口； 应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制； 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的内容符合系统设定 要求； e）应能发现可能存在的已知漏洞【最新】建筑防腐蚀工程施工质量验收标准GBT50224-2018.pdf，并在经过充分测试评估后，及时修补漏洞

7.1.4.5恶意代码防范

安装防恶意代码软件或配置具有相应功能的软件，并定期进行开级和更新防恶意代码库。 所有主机应安装防恶意代码软件，不支持的主机操作系统应采取有效措施进行防护，如设置进 单、安装HIDS等措施。

7. 1. 4. 6 可信验证

可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信 在检测到其可信性受到破坏后进行报警GBT 50484-2019标准下载，并将验证结果形成审计记录送至安全管理中心。

7.1.4.7数据完整性

7.1.4.8数据备份恢复