【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第7页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] 6.1.2.5.入侵防范(g2) 应在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip碎片攻击和网络蠕虫攻击等。 6.1.2.6. 网络设备防护(g2) 本项要求包括: a)应对登录网络设备的用户进行身份鉴别; 应删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令。 b)应对网络设备的管理员登录地址进行限制; c)网络设备用户的标识应唯一; d)身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1)口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2)管理员用户口令的长度至少为12位; 3)管理员用户口令至少每季度更换1次,更新的口令至少5次内不能重复; 4)如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。 e) 应具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; f)当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 6.1.3.主机安全 6.1.3.1 身份鉴别(s2) 本项要求包括: a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; 1) 口令应符合以下条件:数字、字母、符号混排,无规律的方式; 2) 口令的长度至少为12位; 3) 口令至少每季度更换1次,更新的口令至少5次内不能重复; 4) 如果设备口令长度不支持12位或其他复杂度要求,口令应使用所支持的最长长度并适当缩小更换周期;也可以使用动态密码卡等一次性口令认证方式。 c)应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d)当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 1) 应为操作系统的不同用户分配不同的用户名; 2) 应为数据库系统的不同用户分配不同的用户名。 6.1.3.2. 访问控制(s2) 本项要求包括: a)应启用访问控制功能,依据安全策略控制用户对资源的访问; b)应实现操作系统和数据库系统特权用户的权限分离; hp tandem、ibm os400系列、运行db2数据库的ibm aix等专用系统的特权用户除外。 c)应限制默认账户的访问权限,重命名系统默认账户,修改这些账户的默认口令; 1) 系统无法修改访问权限的特殊默认账户,可不修改访问权限; 2) 系统无法重命名的特殊默认账户,可不重命名。 d)应及时删除多余的、过期的账户,避免共享账户的存在。 6.1.3.3.安全审计(g2) 本项要求包括: a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户; 应在保证系统运行安全和效率的前提,启用系统审计或采用第三方安全审计产品实现审计要求。 b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; 审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。 审计记录应至少保存6个月。 6.1.3.4.入侵防范(g2) 操作系统应遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。 持续跟踪厂商提供的系统升级更新情况,应在经过充分的测试评估后对必要的系统补丁进行及时更新。 6.1.3.5. 恶意代码防范(g2) 本项要求包括: a)应安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库; 1) 原则上所有主机应安装防恶意代码软件,系统不支持该要求的除外; 2) 未安装防恶意代码软件的主机,应采取有效措施进行恶意代码防范。 b)应支持防恶意代码软件的统一管理。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!