【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第14页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] c)网络设备用户的标识应唯一; d)主要网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别; 1) 通过本地控制台管理主要网络设备时,应采用一种或一种以上身份鉴别技术; 2) 以远程方式登录主要网络设备,应采用两种或两种以上组合的鉴别技术进行身份鉴别。 e)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 管理员用户口令的长度至少为12位; 3) 管理员用户口令至少每季度更换一次,更新的口令至少5次内不能重复; 4) 如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。 f)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; g)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; h)应实现设备特权用户的权限分离。 7.1.3.主机安全 7.1.3.1. 身份鉴别(s3) 本项要求包括: a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 口令的长度至少为12位; 3) 口令至少每季度更换1次,更新的口令至少5次内不能重复; 4) 如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。 c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; e)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性; 1) 应为操作系统的不同用户分配不同的用户名; 2) 应为数据库系统的不同用户分配不同的用户名。 f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。 1) 通过本地控制台管理主机设备时,应采用一种或一种以上身份鉴别技术; 2) 以远程方式登录主机设备,应采用两种或两种以上组合的鉴别技术进行身份鉴别。 7.1.3.2. 访问控制(s3) 本项要求包括: a)应启用访问控制功能,依据安全策略控制用户对资源的访问; b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; c)应实现操作系统和数据库系统特权用户的权限分离; hp tandem、ibm os400系列、运行db2数据库的ibm aix等专用系统的特权用户除外。 d)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1) 系统无法修改访问权限的特殊默认账户,可不修改访问权限; 2) 系统无法重命名的特殊默认账户,可不重命名。 e)应及时删除多余的、过期的账户,避免共享账户的存在; f)应对重要信息资源设置敏感标记; g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 7.1.3.3. 安全审计(g3) 本项要求包括: a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 应在保证系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求。 b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; d)应能够根据记录数据进行分析,并生成审计报表; e)应保护审计进程,避免受到未预期的中断; f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。 审计记录应至少保存6个月。 7.1.3.4. 剩余信息保护(s3) 本项要求包括: a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!