一级中文字幕乱码免费_最近最新中文字幕高清_综合图区少妇熟女_成人黄色片免费观看_91免费福利精品国产_加勒比av在线播放_2020国内自拍视频_国产黄色毛片一级_日韩欧美性爱网址大全_aⅤ电影中文一区

      2021年8月30日，證監(jiān)會網(wǎng)站發(fā)布了《證券期貨業(yè)網(wǎng)絡安全等級保護基本要求》（JR/T 0060—2021）、《證券期貨業(yè)網(wǎng)絡安全等級保護測評要求》（JR/T 0067—2021）兩項行業(yè)標準，并于公布之日起施行。

      兩項標準對于證券期貨業(yè)進一步落實好網(wǎng)絡安全等級保護工作相關要求，特別是對數(shù)據(jù)安全管理方面，具有十分重要的意義。

發(fā)布背景

      2019年5月，國家開展網(wǎng)絡安全等級保護工作的指導性文件--《網(wǎng)絡安全等級保護基本要求》（GB/T 22239—2019）和《網(wǎng)絡安全等級保護測評要求》（GB/T 28448—2019）正式發(fā)布。

      證券期貨業(yè)作為國家網(wǎng)絡安全重點保護對象，需要適合的證券期貨業(yè)網(wǎng)絡安全等級保護標準體系作為支撐，以規(guī)范和指導證券期貨業(yè)等級保護工作的實施。針對證券期貨業(yè)具有信息化程度高、業(yè)務持續(xù)性要求高、對系統(tǒng)的容量和處理能力要求高的特點，行業(yè)發(fā)布了《證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求（試行）》（JR/T 0060—2010）、《證券期貨業(yè)信息系統(tǒng)安全等級保護測評要求（試行）》（JR/T 0067—2011）。

      但隨著云計算、大數(shù)據(jù)等新技術的廣泛應用，原標準內容已不能更好的滿足證券期貨業(yè)網(wǎng)絡安全等級保護需求。因此，為有效指導和規(guī)范證券期貨業(yè)網(wǎng)絡安全等級保護工作，證監(jiān)會依據(jù)國家網(wǎng)絡安全等級保護相關標準，對證券期貨業(yè)相關標準進行了修訂，形成了《證券期貨業(yè)網(wǎng)絡安全等級保護基本要求》（JR/T 0060—2021）、《證券期貨業(yè)網(wǎng)絡安全等級保護測評要求》（JR/T 0067—2021）。

標準解讀

      《證券期貨業(yè)網(wǎng)絡安全等級保護基本要求》（JR/T 0060—2021）、《證券期貨業(yè)網(wǎng)絡安全等級保護測評要求》（JR/T 0067—2021）2項標準規(guī)定了證券期貨業(yè)網(wǎng)絡安全等級保護的總體要求和等級測評方法，是等保2.0在證券期貨行業(yè)的具體落地，體現(xiàn)出了證券行業(yè)的特殊要求。

      其中，以等保2.0三級安全要求為例，新標準針對安全審計及數(shù)據(jù)保密性等方面進行了細化（新標準中細化和調整的內容在下文中“標紅”示意）。

一、安全審計

a) 應啟用安全審計功能， 審計覆蓋到每個用戶， 對重要的用戶行為和重要安全事件進行審計：

1、 如審計功能開啟影響系統(tǒng)運行安全和效率， 應采用第三方安全審計產(chǎn)品實現(xiàn)審計要求；

2、 用戶行為應至少包括用戶登錄、 用戶退出、 超時鎖定、 用戶凍結和解凍、 增刪用戶、 權限變更、 口令修改或重置等操作；

b) 審計記錄應包括事件的日期和時間、 事件類型、 主體標識、 客體標識和結果等；

c) 應對審計記錄進行保護， 定期備份， 避免受到未預期的刪除、 修改或覆蓋等：

1、 應采取必要的措施， 對審計記錄存儲空間進行管理， 當存儲空間發(fā)生異常時應進行報警；

2、審計記錄的時間應由系統(tǒng)范圍內唯一確定的時鐘產(chǎn)生；

d) 應對審計進程進行保護， 防止未經(jīng)授權的中斷?！鞍踩珜徲嫛边@一小節(jié)，要求安全審計功能的范圍覆蓋到每個用戶，細化了安全審計功能中用戶行為的操作權限，安全審計功能必須具備審計記錄存儲和存儲空間預警的功能，確定了審計記錄時間生成的唯一性。 

二、數(shù)據(jù)保密性

本條款要求包括：

a) 應采用密碼技術保證重要數(shù)據(jù)在傳輸過程中的保密性， 包括但不限于鑒別數(shù)據(jù)、 重要業(yè)務數(shù)據(jù)和重要個人信息等； 應用系統(tǒng)若通過互聯(lián)網(wǎng)、 衛(wèi)星網(wǎng)傳輸鑒別數(shù)據(jù)、 重要業(yè)務數(shù)據(jù)和重要個人信息等應采取加密方式；

b) 應采用密碼技術保證重要數(shù)據(jù)在存儲過程中的保密性， 包括但不限于鑒別數(shù)據(jù)、 重要業(yè)務數(shù)據(jù)和重要個人信息等?！皵?shù)據(jù)保密性”這一小節(jié)，強調重要業(yè)務數(shù)據(jù)和個人信息在傳輸過程中的保密性，要求通過互聯(lián)網(wǎng)、衛(wèi)星網(wǎng)傳輸?shù)蔫b別數(shù)據(jù)、 重要業(yè)務數(shù)據(jù)和重要個人信息必須加密方式傳輸。

三、集中管控

本條款要求包括：

a) 應劃分出特定的管理區(qū)域， 對分布在網(wǎng)絡中的安全設備或安全組件進行管控；

b) 應能夠建立一條安全的信息傳輸路徑， 對網(wǎng)絡中的安全設備或安全組件進行管理；

c) 應對網(wǎng)絡鏈路、 安全設備、 網(wǎng)絡設備和服務器等的運行狀況進行集中監(jiān)測；

d) 應對分散在各個設備上的審計數(shù)據(jù)進行收集匯總和集中分析， 審計記錄的留存時間應符合法律法規(guī)要求：

1、應采取必要的措施， 對審計記錄存儲空間進行管理， 當存儲空間發(fā)生異常時應進行報警；

2、應對審計記錄進行保護， 定期備份， 避免受到未預期的刪除、 修改或覆蓋等；

3、3、審計記錄的留存時間應至少為 6 個月；

4、應能夠根據(jù)記錄數(shù)據(jù)進行分析， 并生成審計報表；

5、5、審計記錄的時間應由系統(tǒng)范圍內唯一確定的時鐘產(chǎn)生， 以保證在時間上的一致性；

e) 應對安全策略、 惡意代碼、 補丁升級等安全相關事項進行集中管理；

f) 應能對網(wǎng)絡中發(fā)生的各類安全事件進行識別、 報警和分析；

g) 系統(tǒng)范圍內的時間應由唯一確定的時鐘產(chǎn)生， 以保證各種數(shù)據(jù)的管理和分析在時間上的一致性?！凹泄芸亍边@一小節(jié)中，細化了審計數(shù)據(jù)的收集匯總和集中分析功能，要求對審計記錄存儲空間進行管理，對審計記錄應定期備份，并且明確審計記錄的保留時間為6個月，在各個設備上的審計數(shù)據(jù)收集匯總后能夠集中分析，生成審計報表，以及確定了審計記錄時間生成的唯一性。

解決方案

       針對此次證監(jiān)會發(fā)布的2項金融行業(yè)標準中關于安全審計、數(shù)據(jù)保密性及集中管控等相關要求和建設標準，如何結合既有的網(wǎng)絡安全防護機制保證關鍵基礎信息系統(tǒng)的數(shù)據(jù)安全，防止重要數(shù)據(jù)泄漏成為重中之重。

      明朝萬達以數(shù)據(jù)安全為核心、自主可控的國密算法應用技術為基礎，研發(fā)的Chinasec（安元）數(shù)據(jù)安全系列產(chǎn)品及解決方案，覆蓋數(shù)據(jù)產(chǎn)生、存儲、交換、使用等全生命周期重要環(huán)節(jié)，實現(xiàn)對服務器、數(shù)據(jù)庫、PC終端、移動終端以及網(wǎng)絡通信的全IT架構下數(shù)據(jù)安全的協(xié)同聯(lián)動管理，打造企業(yè)級的數(shù)據(jù)安全防護體系。

一、集中監(jiān)控與審計

      Chinasec（安元）安全集中監(jiān)控與審計系統(tǒng)是一款以用戶行為數(shù)據(jù)為驅動的安全分析類產(chǎn)品，該產(chǎn)品通過多設備、多環(huán)節(jié)、多角度的關聯(lián)分析手段，解決企業(yè)的內部威脅問題。

      產(chǎn)品以用戶視角采集終端、主機、業(yè)務應用等多種類型數(shù)據(jù)，進行企業(yè)內部人員異常行為的探索發(fā)現(xiàn)和風險人員的精準定位：

· 對用戶行為進行持續(xù)審計、跟蹤并進行風險預警；

· 依據(jù)相應的數(shù)據(jù)審計、跟蹤結果，可與對應的業(yè)務系統(tǒng)進行策略聯(lián)動，進一步的控制用戶行為；

· 提供相應的數(shù)據(jù)分析能力，以及相應的報告能力；

· 包含多種規(guī)則和策略模型，檢測各種用戶異常行為，通過深鉆和關聯(lián)促進分析結果更加準確，及時應對各類用戶諸如越權訪問、數(shù)據(jù)泄漏、主動數(shù)據(jù)竊取等安全威脅。

      產(chǎn)品支持多級部署、級聯(lián)監(jiān)控，能夠收集各級接入系統(tǒng)上報的安全事件和業(yè)務運行信息，對信息進行存儲、分析、展示和響應控制，達到企業(yè)信息網(wǎng)安全運行集中監(jiān)測和管理的目的，對企業(yè)信息網(wǎng)內部的數(shù)據(jù)和應用服務進行保護。

      產(chǎn)品從技術層面為用戶提供異常行為安全分析支撐，從制度方面促進信息系統(tǒng)的規(guī)范化管理，幫助客戶提高數(shù)據(jù)安全管理效率、防范信息泄漏導致的風險，是新一代的動態(tài)分析和防御利器。

二、數(shù)據(jù)安全管理

      Chinasec（安元）數(shù)據(jù)安全管理系統(tǒng)，以“防內為主、內外兼防”為理念，通過認證、加密、監(jiān)控、追蹤等手段，對傳統(tǒng) PC 終端和移動終端提供文檔加密、身份認證、安全接入、應用保護、訪問控制等全方位的安全防護。采用 C/S 架構和 B/S 架構相結合，內外網(wǎng)互通的架構思路，對網(wǎng)絡安全和數(shù)據(jù)安全提供全 IT 架構的多套解決方案，針對敏感數(shù)據(jù)提供全生命周期的安全管理和審計。將安全防護貫穿于數(shù)據(jù)產(chǎn)生、訪問、傳輸、使用和銷毀的過程中，真正實現(xiàn)事前安全管理、事后行為審計。