ICS 35.240.40 A 11 JR 中 华 人 民 共 和 国 金 融 行 业 标 准 JR/T 0167—2018 云计算技术金融应用规范 安全技术要求 Financial application specification of cloud computing technology—— Security technical requirements 2018 - 08 - 15 发布 2018 - 08 - 15 实施 中国人民银行 发 布 JR/T 0167—2018 目 次 前言....................................................................................................................................................................... II 1 范围................................................................................................................................................................... 1 2 规范性引用文件............................................................................................................................................... 1 3 术语和定义....................................................................................................................................................... 1 4 缩略语............................................................................................................................................................... 1 5 概述................................................................................................................................................................... 1 6 基础硬件安全................................................................................................................................................... 2 7 资源抽象与控制安全....................................................................................................................................... 3 8 应用安全........................................................................................................................................................... 8 9 数据安全........................................................................................................................................................... 8 10 安全管理功能............................................................................................................................................... 10 11 安全技术管理要求....................................................................................................................................... 12 附录 A (规范性附录) 云计算平台可选组件的安全要求....................................................................... 18 附录 B (资料性附录) 云计算的安全风险................................................................................................20 I JR/T 0167—2018 前 言 本标准是云计算技术金融应用系列标准之一,云计算技术金融应用系列标准包括: ——《云计算技术金融应用规范 技术架构》; ——《云计算技术金融应用规范 安全技术要求》; ——《云计算技术金融应用规范 容灾》。 本标准按照GB/T 1.1—2009给出的规则起草。 本标准由中国人民银行提出。 本标准由全国金融标准化技术委员会(SAC/TC 180)归口。 本标准负责起草单位:中国人民银行科技司、中国人民银行济南分行。 本标准参加起草单位:中国互联网金融协会、网联清算有限公司、中国金融电子化公司、中国人民 银行西安分行、北京中金国盛认证有限公司、北京移动金融产业联盟、中金金融认证中心有限公司、北 京银联金卡科技有限公司、北京软件产品质量检测检验中心、财付通支付科技有限公司、蚂蚁金融服务 集团、华为技术有限公司、阿里云计算有限公司、北京百度网讯科技有限公司、新华三技术有限公司、 兴业数字金融服务(上海)股份有限公司、亚马逊通技术服务(北京)有限公司、北京京东金融科技控 股有限公司、中国工商银行、中国农业银行、中国银行、中国建设银行、中国邮政储蓄银行、招商银行、 中国光大银行、中国民生银行、兴业银行、平安银行、国泰君安证券股份有限公司、华泰证券股份有限 公司、中国人寿保险(集团)公司、中国人民保险集团股份有限公司、中国银联股份有限公司、北京宏 基恒信科技有限责任公司、北京信安世纪科技股份有限公司、天津麒麟信息技术有限公司、深圳证券交 易所、上海众人网络安全技术有限公司。 本标准主要起草人:李伟、李兴锋、邬向阳、张宏基、班廷伦、强群力、杨倩、马征、聂丽琴、郭 林、胡达川、朱勇、周国林、辛路、杨彬、陈则栋、刘运、秦宇锋、缪凯、杨文斌、任兆麟、吴永强、 吴金海、孔令斌、张文涛、莫云飞、陈当阳、李明凯、赵华、符海芳、高志民、高强裔、白阳、于柳婍、 居未伟、王晓燕、樊华、王伟、沈锡镛、杨俊、郝轶、罗子强、张国泽、周亚国、张翰林、蒋增增、卞 海军、张振猛、胥少龙、来宾、王宇翔、陈晨、陈雪秀、曹伟、穆冬生、宋杰、瞿红来、许涛、王绍斌、 张荣典、潘斌、汪宗斌、白雷、侯大鹏、张峻华、张嵩、赵春华、高天游、金怡、钟琪、闫莅、黄敏、 葛小宇、王仕、王研娟、林春、郑子洲、周伟然、黄超、高坤、林林、李荣振、李志伟。 II JR/T 0167—2018 云计算技术金融应用规范 1 安全技术要求 范围 本标准规定了金融领域云计算技术应用的安全技术要求,涵盖基础硬件安全、资源抽象与控制安全、 应用安全、数据安全、安全管理功能、安全技术管理要求、可选组件安全等内容。 本标准适用于金融领域的云服务提供者、云服务使用者、云服务合作者等。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 JR/T 0131—2015 金融业信息系统机房动力系统规范 JR/T 0166—2018 云计算技术金融应用规范 技术架构 3 术语和定义 JR/T 0166—2018界定的术语和定义适用于本文件。 4 缩略语 下列缩略语适用于本文件。 API 应用程序编程接口(Application Programming Interface) CPU 中央处理单元(Central Processing Unit) DDoS 分布式拒绝服务攻击(Distributed Denial of Service) DoS 拒绝服务(Denial of Service) HTTPS 安全超文本传输协议(Hypertext Transfer Protocol Secure) IaaS 基础设施即服务(Infrastructure as a Service) IP 互联网协议(Internet Protocol) MAC 媒体访问控制(Media Access Control) PaaS 平台即服务(Platform as a Service) SaaS 软件即服务(Software as a Service) SQL 结构化查询语言(Structured Query Language) VPN 虚拟专用网络(Virtual Private Network) XSS 跨站脚本攻击(Cross-site Scripting) 5 概述 5.1 云计算安全技术要求分级 1 JR/T 0167—2018 云计算技术按需使用信息技术和数据资源,降低信息化成本,提高资源利用效率,但同时也带来了 服务外包、数据泄露、服务滥用等方面的新风险。云服务使用者应结合信息系统的业务重要性和数据敏 感性,充分评估应用云计算技术的科学性、安全性和可靠性,在确保系统业务连续性、数据和资金安全 的前提下,谨慎选用云计算技术部署业务系统,选择
JR-T 0167-2018 云计算技术金融应用规范安全技术要求
文档预览
中文文档
25 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共25页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-10-19 07:28:23上传分享