金融行业等保标准“应用安全”要求解读

百家 作者:绿盟科技 2017-07-13 14:12:50

市场竞争加剧,行业寻求创新,随着互联网+深入人心,要依托互联网和移动互联网,不再拘泥于线下网点,各类新型应用、移动APP不断推陈出新,如直销银行、移动证券APP、微信互动平台等。同时,新应用开发周期缩短、业务发展要求功能新颖,存在业务流程缺陷、应用层漏洞、数据泄露的风险提升。本文将梳理金融等保标准中对于应用安全方面的要求,帮助金融行业客户定义应用系统的安全需求,并符合国家等保标准要求。

人民银行发布《金融行业信息系统信息安全等级保护实施指引》【JR/T 0071—2012】是“金融行业信息系统等级保护”系列标准中的第一项标准。其中,金融行业增强安全保护类(F类)作为金融行业的增强性安全要求分布在S、A、G 类的要求中,该类要求是在结合等级保护及金融行业相关规定的基础上进行补充和完善。

本文如下列举金融等保标准中“应用安全”部分条款(三级要求)原文,并对重点条款进行解读,解读文字描述直接在原文下面。

A.“身份鉴别”部分条款:

应提供专用的登录控制模块对登录用户进行身份标识和鉴别;

•【解读】

•为了提高应用系统的安全可用性,应用系统应提供身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并提供上述功能模块的参数配置,在实际应用中要求应用系统提供诸如密码复杂度设置功能、用户名唯一性检查功能、登录失败次数设置功能、登录失败处理方式设置功能等。


应对同一用户的关键操作采用两种或两种以上组合的鉴别技术实现用户身份鉴别;如使用磁卡、IC卡、动态密码卡、动态口令设备、手机短信动态密码、指纹识别等方式加强鉴别。

•【解读】

•同一用户的关键操作,是指使用重要功能或访问敏感信息,如查询交易详单、支付、转账等操作,或对有敏感标记重要信息资源访问;

•【解读】

•两个身份鉴别技术的组合,是指采用用户名/口令、挑战应答、动态口令、物理设备、生物识别技术中的任意两个组合。对有抗抵赖要求的系统,提供数字证书方式的身份鉴别技术;


应用软件应能在指定的闲置时间间隔到期后,自动锁定客户端的使用。(F3)

应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用;

对于系统自动分配或者预设的强度较弱的初始密码,系统应强制用户首次登录时修改初始密码。(F3)

修改密码时,不允许新设定的密码与旧密码相同。(F3)

•【解读】

•应用安全要求通过应用系统、应用平台系统等实现的安全功能来满足。身份鉴别在应用安全层面的功能建议由应用系统自身设计实现。

•【解读】

•建议规范安全基线具体参数,绿盟建议新设定的密码与最近5次设定的旧密码不允许相同。

B.“访问控制”部分条款:

应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问;

应授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;

•【解读】

•应用系统在赋予用户权限时,应根据承担的角色不同授予用户所需的最小权限,能有效避免用户拥有不必要的操作权限,应用系统的使用人员、维护人员和审计人员应具有不同的账户权限,审计角色不能兼任,如系统维护账户不能操作应用系统业务功能和查询、修改审计数据。


应有生产系统关键账户与权限的关系表。(F3)

•【解读】

•建立账户权限关系表,应明确说明账户类别以及其具有的权限范围。


宜具有对重要信息资源设置敏感标记的功能。

宜依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

•【解读】

•敏感标记表示主体/客体安全级别和安全范畴的一组信息,通过比较标记来控制是否允许主体对客体的访问,敏感标记是实现强制访问控制的基础。目前敏感标记的表现形式可以是二进制数字也可以是字母,其主要目的是表示主、客体的安全级别,以便信息系统依据这个级别来决定主体以何种权限对客体进行访问操作。

【解读】

•金融行业等保标准中此处涉及敏感标记的要求条款是建议项

C.“通信保密性”部分条款:

对于通过互联网对外提供服务的系统,在通信过程中的整个报文或会话过程,应通过专用的通信协议或加密的方式保证通信过程的机密性进行加密。

•【解读】

•为保障通信保密性,应用系统应支持TLS协议。同时,建议用户访问时启用TLS协议,对于IE6浏览器用户建议升级浏览器版本或操作系统版本,如WIN7系统默认配置IE9浏览器,其支持TLS协议。

D.“安全审计”部分条款:

应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。

应保证无法单独中断审计进程,不提供删除、修改或覆盖审计记录的功能。

对于从互联网客户端登陆的应用系统,应在每次用户登录时提供用户上一次成功登录的日期、时间、方法、位置等信息,以便用户及时发现可能的问题。(F3)

•【解读】

•互联网应用系统,如个人网上银行、个人证券交易APP等,应提供WEB登陆或客户端登录时,在醒目位置显示上一次成功登录的日期、时间、方法、位置、错误登录等信息。

综上,本文对于金融等保标准中有关“应用安全”条款做了分类梳理,考虑到一线运维人员对于标准在实施层面的理解难点做了解读,注重实用性,希望能给读者带来启发。




请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接