【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第24页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] f)网络设备用户的身份鉴别信息至少应有一种是不可伪造的; g)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; h)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听; i)应实现设备特权用户的权限分离。 8.1.3.主机安全 8.1.3.1. 身份鉴别(s4) 本项要求包括: a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 口令的长度至少为12位; 3) 口令至少每季度更换1次,更新的口令至少5次内不能重复; 4) 如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。 c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d)应设置鉴别警示信息,描述未授权访问可能导致的后果; e)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; f)应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性; 1) 应为操作系统的不同用户分配不同的用户名; 2) 应为数据库系统的不同用户分配不同的用户名。 g)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的。 1) 通过本地控制台管理主机设备时,应采用一种或一种以上身份鉴别技术; 2) 以远程方式登录主机设备,应采用两种或两种以上组合的鉴别技术进行身份鉴别。 8.1.3.2. 安全标记(s4) 应对所有主体和客体设置敏感标记。 8.1.3.3. 访问控制(s4) 本项要求包括: a)应依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问; b)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级; c)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; d)应实现操作系统和数据库系统特权用户的权限分离; hp tandem、ibm os400系列、运行db2数据库的ibm aix等专用系统的特权用户除外。 e)应严格限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1) 系统无法修改访问权限的特殊默认账户,可不修改访问权限; 2) 系统无法重命名的特殊默认账户,可不重命名。 f)应及时删除多余的、过期的账户,避免共享账户的存在。 8.1.3.4. 可信路径(s4) 本项要求包括: a)在系统对用户进行身份鉴别时,系统与用户之间应能够建立一条安全的信息传输路径; b)在用户对系统进行访问时,系统与用户之间应能够建立一条安全的信息传输路径。 8.1.3.5. 安全审计(g4) 本项要求包括: a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; 应在保证系统运行安全和效率的前提,启用系统审计或采用第三方安全审计产品实现审计要求。 b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)、重要用户(如系统管理员、系统安全员、系统审计员)的各项操作。 c)审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等; d)应能够根据记录数据进行分析,并生成审计报表; e)应保护审计进程,避免受到未预期的中断; f)应保护审计记录,避免受到未预期的删除、修改或覆盖等; 审计记录应至少保存6个月。 g)应能够根据信息系统的统一安全策略,实现集中审计。 8.1.3.6. 剩余信息保护(s4) 本项要求包括: a)应保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中; b)应确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!