ICS 35.240.40 JR A11 备案号： 中华人民共和国金融行业标准 JR/T00132004 金融业星型网间互联安全规范 The security specification for star topology inter-networking of financial industry 2004-12-01发布 2004-12-01实施 中国人民银行 发布 JR/T0013--2004 目 次 前言 1 范围 2规范性引用文件 3术语、定义和缩略语 3.1术语和定义 3.2缩略语 ++ 4金融业星型网间互联安全保障体系 4.1安全保障体系 4.2金融业星型网间互联安全要求 5互联应用系统安全 5.1 概述… 5.2 互联应用系统的安全功能要求 5.3 互联应用系统安全配置 5.4应用系统建设中应遵循的安全原则· 6外联网络局部计算环境安全 11 6.1 概述 11 6.2 操作系统的安全 11 6.3 主机安全防护与检测 12 6.4 互联业务数据库的安全 12 6.5 Web服务器的安全 12 6.6DNS服务器的安全 . 12 7外联网络与边界安全 13 7.1 概述 13 7.2 网络设施的安全要求 13 7.3 防火墙系统 13 7.4 远程访问控制与接入认证 13 7.5 通信加密 7.6 入侵检测系统 14 7.7 漏洞扫描系统 14 7.8 防病毒系统 15 7.9 外联网络的安全审计 16 8 网间互联安全支撑设施. 8.1 概述 16 8.2 证书服务系统 16 8.3 授权服务系统 17 8.4 密钥管理系统 17 8.5 密码服务系统 8.6 可信时间服务系统 6 网间互联安全管理 17 JR/T 0013--2004 9.1 安全管理模式 9.2 互联安全要求 17 9.3 安全管理制度 18 9.4 安全技术管理 18 9.5 安全运营管理 18 10 网间互联人员与物理环境安全 18 11 网间互联运营安全 18 11.1 可用性和可靠性要求 18 11.2 安全状态维护 19 11.3 安全评估 19 11.4 事件处理 19 附录A（资料性附录）安全支撑性设施详细说明 20 A.1证书服务系统 20 A.1.1 概述 20 A.1.2 功能要求 22 A.1.3 安全策略 23 A.1.4 技术指标 A.1.5 接口要求 23 A.1.6 配置要求 23 A.1.7应遵循的标准 23 A.2授权服务系统 24 A.2.1 概述 24 A.2.2 功能要求 24 A.2.3 安全策略 24 A.2.4 技术指标 24 A.2.5 接口要求 24 A.2.6 配置要求 24 A.2.7 应遵循的标准 25 A.3密钥管理系统. 25 A.3.1 概述 25 A.3.2 功能要求 25 A.3.3 安全策略 25 A.3.4 技术指标 25 A.3.5 配置要求 25 A.3.6 应遵循的标准 25 A.4密码服务系统 26 A.4.1 概述 26 A.4.2 功能要求 26 A.4.3 安全策略 26 A.4.4 技术指标 26 A.4.5 接口要求 26 A.4.6 配置要求 26 A.4.7 应遵循的标准 26 A.5 可信时间服务系统 27 1I JR/T 0013—2004 A.5.1 概述 27 A.5.2 功能要求 27 A.5.3 安全策略· 27 A.5.4 技术指标 27 A.5.5 接口配置要求 A.5.6 部署配置 27 A.5.7 应遵循的标准 27 图 1 网间互联安全保障体系框架 图 2 金融业星型网间互联安全保障关注的主要领域 图3 安全域划分示意图 图4某级外联网络区示意图 6 图A1 金融业星型网间互联证书服务系统体系结构 21 表1金融业星型网间互联应用系统分类 III JR/T0013—2004 前 言 金融业星型网间互联系列标准预计由以下两项标准组成： 《金融业星型网间互联技术规范》 《金融业星型网间互联安全规范》 本标准是其中之一。 金融业网间互联涉及中华人民共和国境内的所有银行、保险、证券及其它金融机构之间的互联。金 融业网间互联业务分为两类：各金融机构以中国人民银行为中心进行的星型网间互联和各金融机构之间 的计算机网络互联。本标准主要涉及金融机构与中国人民银行为中心进行的星型网间互联。 本标准与本行业目前普遍采用的IS07498-2：1989《开放系统互连—基本参考模型第2部分：安 全体系结构》、IS0/IEC17799:2000《信息技术信息安全管理实用规则》、IS0/TR13569：1997《银 行与相关金融服务-信息安全指南》、NISTSP800-47《互联信息技术系统安全指南》等技术文件和 标准相协调。 本标准的附录A是资料性附录。 本标准由中国人民银行科技司提出。 本标准由全国金融标准化技术委员会归口。 本标准主要起草单位：中国人民银行科技司、中国金融电子化公司、中国人民银行成都分行、济南 分行、重庆营业管理部、长春中心支行。 本标准协作起草单位：华北计算技术研究所、国家信息安全基础设施研究中心、北京启明星辰信息 技术有限公司、湖南电子信息产业集团有限公司、中国电子技术标准化研究所、中国标准研究院。 本标准主要起草人：谭国安、张永福、郭全明、陈逢吉、李曙光、林中、廖飞鸣、赵呈东、刘志军、 陈立军、梁玉梅、陈在、朱玉林、张德栋、余恩至、周亦鹏、贾树辉、王莉。 JR/T 0013—2004 金融业星型网间互联安全规范 1范围 本标准规定了金融业网间互联安全保障体系，对星型金融业网间互联涉及的信息安全保障技术、 物理环境与人员安全、安全运行与管理提出了规范性要求和应遵循的标准。 本标准适用于在中华人民共和国境内开业的所有银行、保险、证券及其它金融机构。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 2887-2000 电子计算机场地通用规范 GB17859-1999 计算机信息系统安全保护等级划分准则（NEQDoD5200.28-STD NCSC-TG-005 ) GB4943-2001 信息技术设备的安全（IDTIEC60950:1999） GB 50057-1994 建筑物防雷设计规范 GB/T17903.2-1999 信息技术安全技术抗抵赖（IDTISO/IEC13888-2:1998） GB/T18018—1999 路由器安全技术要求 GB/T18019--1999 信息技术包过滤防火墙安全技术要求 GB/T18020-1999 信息技术应用级防火墙安全技术要求 GA243-2000 计算机病毒防治产品评级准则 JR/T0012-2004 金融业星型网间互联技术规范 ISO/IEC 17799:2000 信息技术信息安全管理实用规则 IETF/RFC3161 时间戳协议 IETF/RFC 1901 简单网络管理协议V2 IETF/RFC2865 用户远程拨号认证协议 3术语、定义和缩略语 3.1术语和定义 下列术语和定义适用于本标准。 3.1.1 外联网络 extranet 为实现金融机构间计算机网络互联，参与互联的金融机构在各自内部网络的基础上拓展出的网络 区域，用于与其它机构的相应外联网络互联。 3.1.2 局部计算环境 local computing environment 由局域网内的网络和计算设施构成的环境称为局部计算环境。 根据金融业星型网间互联的技术体系结构，对应三类外联网络，相应有三类外联网络局部计算环境： 一总部级外联网络局部计算环境简称总部级外联环境； 1 JR/T0013—2004 一省级外联网络局部计算环境简称省级外联环境： 地市级外联网络局部计算环境简称地市级外联环境。 3.2缩略语 下列缩略语适用于本标准。 API Application Program Interface 应用程序接口 CA Certificate Authority 数字证书认证中心 KMC Key Management Center 密钥管理中心 LDAP Lightweight Directory Access Protocol 轻量级目录访问协议 OCSP Online Certificate Status Protocol 证书在线状态查询协议 PIN Personal Identification Number 个人身份识别号 PKI Public Key Infrastructure 公钥基础设施 RA Registration Authority 证书审核注册中心 SNMP Simple Network Management Protocol 简单网络管理协议 4金融业星型网间互联安全保障体系 4.1安全保障体系 金融业星型网间互联安全保障体系将实现安全服务所有的安全保障措施和行动，按人、技术、运 作和管理四个要素划分为四个层面，如图1所示。 人、技术、实施运作和安全管理是金融业星型网间互联安全保障体系中的四个重要组成部分：具 有安全意识的人利用各种技术，在良好的管理下对金融业网间互联涉及的网络和互联业务系统进行运 作，从而达到确保网络和互联业务系统安全性的目的。 金融业星型网间互联安全保障体系框架由技术层面、运作层面、人的因素、管理层面、安全策略 5个部分构成。如图1所示。 4.1.1技术层面 技术层面