【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第3页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] 针对不同机构、不同系统的特点,本标准对证券期货业已定级重要信息系统的安全要求和使用原则,参见附录b。 5.第一级基本要求 5.1. 技术要求 5.1.1.物理安全 5.1.1.1.物理访问控制(g1) 机房出入应安排专人负责,控制、鉴别和记录进入的人员。 机房出入应当安排专人负责管理,人员进出记录应至少保存3个月。 5.1.1.2.防盗窃和防破坏(g1) 本项要求包括: a)应将主要设备放置在机房内; b)应将设备或主要部件进行固定,并设置明显的不易除去的标记。 1) 主要设备应当安装、固定在机柜内或机架上; 2) 主要设备、机柜、机架应有明显且不易除去的标识,如粘贴标签或铭牌。 5.1.1.3.防雷击(g1) 机房建筑应设置避雷装置。 机房或机房所在大楼,应设计并安装防雷击措施,防雷措施应至少包括避雷针或避雷器等。 5.1.1.4.防火(g1) 机房应设置灭火设备。 5.1.1.5. 防水和防潮(g1) 本项要求包括: a)应对穿过机房墙壁和楼板的水管增加必要的保护措施; b)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透。 5.1.1.6. 温湿度控制(g1) 机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内。 1) 开机时机房温度应控制在18℃-28℃; 2) 开机时机房相对湿度应控制在35%-75%。 5.1.1.7.电力供应(a1) 应在机房供电线路上配置稳压器和过电压防护设备。 5.1.2.网络安全 5.1.2.1.结构安全(g1) 本项要求包括: a)应保证关键网络设备的业务处理能力满足基本业务需要; b)应保证接入网络和核心网络的带宽满足基本业务需要; c)应绘制与当前运行情况相符的网络拓扑结构图。 应绘制完整的网络拓扑结构图,有相应的网络配置表,包含设备ip地址等主要信息,与当前运行情况相符,并及时更新。 5.1.2.2.访问控制(g1) 本项要求包括: a)应在网络边界部署访问控制设备,启用访问控制功能; b)应根据访问控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包出入; c)应通过访问控制列表对系统资源实现允许或拒绝用户访问,控制粒度至少为用户组。 5.1.2.3.网络设备防护(g1) 本项要求包括: a)应对登录网络设备的用户进行身份鉴别; 应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令。 b)应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; c)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 5.1.3.主机安全 5.1.3.1.身份鉴别(s1) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别。 5.1.3.2.访问控制(s1) 本项要求包括: a)应启用访问控制功能,依据安全策略控制用户对资源的访问; b)应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1)系统无法修改访问权限的特殊默认账户,可不修改访问权限; 2)系统无法重命名的特殊默认账户,可不重命名。 c) 应及时删除多余的、过期的账户,避免共享账户的存在。 5.1.3.3.入侵防范(g1) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并保持系统补丁及时得到更新。 持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的系统补丁进行及时更新。 5.1.3.4.恶意代码防范(g1) 应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。 1) 原则上所有主机应安装防恶意代码软件,不支持的主机操作系统除外; 2) 未安装防恶意代码软件的主机,应采取有效措施进行恶意代码防范。 5.1.4.应用安全 5.1.4.1. 身份鉴别(s1) 本项要求包括: a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别; b)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; c)应启用身份鉴别和登录失败处理功能,并根据安全策略配置相关参数。 5.1.4.2.访问控制(s1) 本项要求包括: a)应提供访问控制功能控制用户组/用户对系统功能和用户数据的访问; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!