2021年8月30日，证监会网站发布了《证券期货业网络安全等级保护基本要求》（JR/T 0060—2021）、《证券期货业网络安全等级保护测评要求》（JR/T 0067—2021）两项行业标准，并于公布之日起施行。

两项标准对于证券期货业进一步落实好网络安全等级保护工作相关要求，特别是对数据安全管理方面，具有十分重要的意义。

发布背景

2019年5月，国家开展网络安全等级保护工作的指导性文件--《网络安全等级保护基本要求》（GB/T 22239—2019）和《网络安全等级保护测评要求》（GB/T 28448—2019）正式发布。

证券期货业作为国家网络安全重点保护对象，需要适合的证券期货业网络安全等级保护标准体系作为支撑，以规范和指导证券期货业等级保护工作的实施。针对证券期货业具有信息化程度高、业务持续性要求高、对系统的容量和处理能力要求高的特点，行业发布了《证券期货业信息系统安全等级保护基本要求（试行）》（JR/T 0060—2010）、《证券期货业信息系统安全等级保护测评要求（试行）》（JR/T 0067—2011）。

但随着云计算、大数据等新技术的广泛应用，原标准内容已不能更好的满足证券期货业网络安全等级保护需求。因此，为有效指导和规范证券期货业网络安全等级保护工作，证监会依据国家网络安全等级保护相关标准，对证券期货业相关标准进行了修订，形成了《证券期货业网络安全等级保护基本要求》（JR/T 0060—2021）、《证券期货业网络安全等级保护测评要求》（JR/T 0067—2021）。

标准解读

《证券期货业网络安全等级保护基本要求》（JR/T 0060—2021）、《证券期货业网络安全等级保护测评要求》（JR/T 0067—2021）2项标准规定了证券期货业网络安全等级保护的总体要求和等级测评方法，是等保2.0在证券期货行业的具体落地，体现出了证券行业的特殊要求。

其中，以等保2.0三级安全要求为例，新标准针对安全审计及数据保密性等方面进行了细化（新标准中细化和调整的内容在下文中“标红”示意）。

一、安全审计

a) 应启用安全审计功能， 审计覆盖到每个用户， 对重要的用户行为和重要安全事件进行审计：

1、 如审计功能开启影响系统运行安全和效率， 应采用第三方安全审计产品实现审计要求；

2、 用户行为应至少包括用户登录、 用户退出、 超时锁定、 用户冻结和解冻、 增删用户、 权限变更、 口令修改或重置等操作；

b) 审计记录应包括事件的日期和时间、 事件类型、 主体标识、 客体标识和结果等；

c) 应对审计记录进行保护， 定期备份， 避免受到未预期的删除、 修改或覆盖等：

1、 应采取必要的措施， 对审计记录存储空间进行管理， 当存储空间发生异常时应进行报警；

2、审计记录的时间应由系统范围内唯一确定的时钟产生；

d) 应对审计进程进行保护， 防止未经授权的中断。

“安全审计”这一小节，要求安全审计功能的范围覆盖到每个用户，细化了安全审计功能中用户行为的操作权限，安全审计功能必须具备审计记录存储和存储空间预警的功能，确定了审计记录时间生成的唯一性。

二、数据保密性

本条款要求包括：

a) 应采用密码技术保证重要数据在传输过程中的保密性， 包括但不限于鉴别数据、 重要业务数据和重要个人信息等； 应用系统若通过互联网、 卫星网传输鉴别数据、 重要业务数据和重要个人信息等应采取加密方式；

b) 应采用密码技术保证重要数据在存储过程中的保密性， 包括但不限于鉴别数据、 重要业务数据和重要个人信息等。

“数据保密性”这一小节，强调重要业务数据和个人信息在传输过程中的保密性，要求通过互联网、卫星网传输的鉴别数据、 重要业务数据和重要个人信息必须加密方式传输。

三、集中管控

本条款要求包括：

a) 应划分出特定的管理区域， 对分布在网络中的安全设备或安全组件进行管控；

b) 应能够建立一条安全的信息传输路径， 对网络中的安全设备或安全组件进行管理；

c) 应对网络链路、 安全设备、 网络设备和服务器等的运行状况进行集中监测；

d) 应对分散在各个设备上的审计数据进行收集汇总和集中分析， 审计记录的留存时间应符合法律法规要求：

1、应采取必要的措施， 对审计记录存储空间进行管理， 当存储空间发生异常时应进行报警；

2、应对审计记录进行保护， 定期备份， 避免受到未预期的删除、 修改或覆盖等；

3、审计记录的留存时间应至少为 6 个月；

4、应能够根据记录数据进行分析， 并生成审计报表；

5、审计记录的时间应由系统范围内唯一确定的时钟产生， 以保证在时间上的一致性；

e) 应对安全策略、 恶意代码、 补丁升级等安全相关事项进行集中管理；

f) 应能对网络中发生的各类安全事件进行识别、 报警和分析；

g) 系统范围内的时间应由唯一确定的时钟产生， 以保证各种数据的管理和分析在时间上的一致性。

“集中管控”这一小节中，细化了审计数据的收集汇总和集中分析功能，要求对审计记录存储空间进行管理，对审计记录应定期备份，并且明确审计记录的保留时间为6个月，在各个设备上的审计数据收集汇总后能够集中分析，生成审计报表，以及确定了审计记录时间生成的唯一性。

解决方案

针对此次证监会发布的2项金融行业标准中关于安全审计、数据保密性及集中管控等相关要求和建设标准，如何结合既有的网络安全防护机制保证关键基础信息系统的数据安全，防止重要数据泄漏成为重中之重。

明朝万达以数据安全为核心、自主可控的国密算法应用技术为基础，研发的Chinasec（安元）数据安全系列产品及解决方案，覆盖数据产生、存储、交换、使用等全生命周期重要环节，实现对服务器、数据库、PC终端、移动终端以及网络通信的全IT架构下数据安全的协同联动管理，打造企业级的数据安全防护体系。

一、集中监控与审计

Chinasec（安元）安全集中监控与审计系统是一款以用户行为数据为驱动的安全分析类产品，该产品通过多设备、多环节、多角度的关联分析手段，解决企业的内部威胁问题。产品以用户视角采集终端、主机、业务应用等多种类型数据，进行企业内部人员异常行为的探索发现和风险人员的精准定位：

· 对用户行为进行持续审计、跟踪并进行风险预警；

· 依据相应的数据审计、跟踪结果，可与对应的业务系统进行策略联动，进一步的控制用户行为；

· 提供相应的数据分析能力，以及相应的报告能力；

· 包含多种规则和策略模型，检测各种用户异常行为，通过深钻和关联促进分析结果更加准确，及时应对各类用户诸如越权访问、数据泄漏、主动数据窃取等安全威胁。

产品支持多级部署、级联监控，能够收集各级接入系统上报的安全事件和业务运行信息，对信息进行存储、分析、展示和响应控制，达到企业信息网安全运行集中监测和管理的目的，对企业信息网内部的数据和应用服务进行保护。

产品从技术层面为用户提供异常行为安全分析支撑，从制度方面促进信息系统的规范化管理，帮助客户提高数据安全管理效率、防范信息泄漏导致的风险，是新一代的动态分析和防御利器。

二、数据安全管理

Chinasec（安元）数据安全管理系统，以“防内为主、内外兼防”为理念，通过认证、加密、监控、追踪等手段，对传统 PC 终端和移动终端提供文档加密、身份认证、安全接入、应用保护、访问控制等全方位的安全防护。

采用 C/S 架构和 B/S 架构相结合，内外网互通的架构思路，对网络安全和数据安全提供全 IT 架构的多套解决方案，针对敏感数据提供全生命周期的安全管理和审计。将安全防护贯穿于数据产生、访问、传输、使用和销毁的过程中，真正实现事前安全管理、事后行为审计。

明朝万达成立于2005年，是中国新一代信息安全技术企业的代表厂商，公司专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务。历经十余年的积累和沉淀，客户覆盖金融、政府、公安、电信运营商等诸多行业，签约客户超过3000家。

公司自2011年进入金融领域以来，经过多年努力，目前在金融领域的数据安全市场份额遥遥领先，并与包含中国银联、中国银行、交通银行、浦发银行、光大银行、中信银行、浙商银行、太平保险、国泰君安在内的近百家国有银行、股份制银行、城市商业银行等金融机构达成合作。

推荐阅读

招商银行usbkey怎么用(招商银行usbkey有什么用)

证券期货业信息系统安全等级保护基本要求(证券期货业信息系统备份能力等级要求)

招商银行审核周末(招商银行晚上10点半审核)

国家对虚拟货币资讯

鸡蛋期货交割怎么提货(鸡蛋期货交易入门知识)

肇庆迪森生物能源技术有限公司(广东迪森智能制造有限公司)

联软科技股票行情(联软科技股票行情)

证券期货业信息系统安全等级保护测评要求(证券期货业信息系统安全等级保护测评要求包括)

邹平村镇银行(邹平农村商业银行客服电话是多少)

智能合约安全分析工具商业化的机会来了么？