和钱打交道真好啊，财富零距离！真羡慕那些搞金融的！

运钞车的还和钱直接打交道呢，你咋不去运钞呢！你知道搞金融的最怕风险，一旦出现问题，特别是信息安全这块，那就不得了，各项指标要求很高的！所以金融行业的等级保护非常重要啊！

那么金融行业信息系统的信息安全等级保护，是该如何实施的呢？今天带大家看看细则！

参考中华人民共和国金融行业标准JR/T 0071-2012《金融行业信息系统信息安全等级保护实施指引》，由中国人民银行于2012年7月6日发布实施。标准依据国家《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合金融行业特点以及信息系统安全建设需要，适用于金融机构相关部门。

其中要着重给出的是信息安全等级保护的网络安全与数据安全实施措施，参考标准要求，结合多年实践经验（三级等保）给出，不当之处请指正。

等级保护技术要求包含以下五大方面：

物理安全、网络安全、主机安全、应用安全、数据安全

给大家介绍网络安全和数据安全。

1、结构安全

确保主要网络设备及通信线路的冗余，保证业务的连续性和可用性。由于网络设备和线路是通道和路由点，也是信息系统运行的基础，可用性保障是首要任务。

网络访问路径的安全，一是路由控制，二是安全防护，如防火墙、安全网关、负责均衡等设备应该启用。

网路隔离。这点非常重要。应根据不同的业务需要，划分网络结构形成子网，生产网、办公网、互联网之间应该实现有效隔离。重要网段与其他网段应该保持技术可靠的隔离，重要网段应该远离边界，避免直接连接外部信息系统。

流量、带宽保障。预估高峰值，避免业务不可用。

2、访问控制

网络边界应该部署访问控制设备，启用访问控制功能。

端口级的访问控制颗粒度，实现明确的允许/拒绝访问控制。

协议过滤，实现对应用层http、FTP等的协议命令级的控制。

用户和系统之间的控制，粒度要控制在单个用户级。

最小访问原则。网路设备应该按照最小访问原则配置部署。

3、安全审计

必须实现网路设备运行状况、网络流量、用户行为的日志记录。记录应包含事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。

审计记录应受到保护，避免删除、修改或覆盖，注意，保存时间不能少半年。

实现准入控制。非授权设备、非授权用户应该能被检测到，并实现有效阻断。

4、入侵防范

入侵检测系统部署。实现网路边界处的监控，尤其是对端口攻击、木马后门攻击、拒绝服务攻击、溢出攻击、IP碎片攻击、蠕虫攻击、DDoS攻击等实现有效检测和监控。

检测到攻击时，应该实现报警，并对攻击行为实现攻击源IP地址、时间、攻击类型等方面的日志记录。

5、恶意代码防范

实现恶意代码检测和清楚，部署入侵防护系统。

定期更新升级入侵防护、入侵检测系统，保持设备代码库的最新状态。

6、网路设备防护

网络设备的登录，必须实施身份认证和鉴别，必须采用双因素认证机制（处理用户名密码外，还应该有数字证书认证或其他第三方认证技术）。并严格记录登录日志。

网路设备的登录，应该控制在专用的网段内，限定管理员指定地址，且用户标识应该唯一。

管理权限应该分离。管理员、审计员、超级用户，权限应分离分隔。

远程管理，管理通讯应该加密，采用加密通道。

服务最小化，账号最小化。关闭不必要的网路设备服务及端口。删除不必要的网络设备用户或账号。

数据安全

1、数据完整性

应该具备数据完整性校验的模块。能检测到系统管理数据、鉴别信息完整性破坏，能检测到数据采集、传送、使用、存储过程中完整性破坏，并在检测到破坏是，能采取必要的恢复措施。

数据完整性破坏，应记录日志，并报警。

2、数据保密性

通讯保密。保障数据采集、传输、使用、存储过程中的通讯保密，可采用VPN通信。重点在于通道通讯安全。

3、备份与恢复

本地数据的备份与恢复。完整备份要求至少一周一次，备份介质应该场外存放，保存周期不低于6个月。

提供异地备份功能。关键数据能通过通信网络传送至备用场地恢复。

建立灾难备用机房。保证与生产的数据中心举例至少达到100公里，且位于不同城市。而且，灾备中心可以接管所有核心业务的运行。

所有的备份，包括灾难备份，都应该实施测试，形成测试报告，保留测试记录。

灾备中心的设备，应该处于运行状态。

以上是针对网路安全和数据安全的等级保护技术要求的实施要点。内容较多，但不为过，这些都是基本要求。信息安全都一些细化、深化的要求，是对企业和机构的负责，也是对社会的负责。

做好等保，才能美好！等保是大家都要过的；安徽灵狐科技，是让大家过等保的。选择灵狐，拥有等保中坚固的盾！