【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]38号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576389 什么是编号?
【正 文】
第8页 证券监督管理委员会公告(2011)38号――证券期货业信息系统安全等级保护基本要求(试行)
|
[接上页] 6.1.3.6. 资源控制(a2) 本项要求包括: a)应通过设定终端接入方式、网络地址范围等条件限制终端登录; b)应根据安全策略设置登录终端的操作超时锁定; c)应限制单个用户对系统资源的最大或最小使用限度。 6.1.4.应用安全 6.1.4.1. 身份鉴别(s2) 本项要求包括: a)应提供专用的登录控制模块对登录用户进行身份标识和鉴别; b)应提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用; c)应提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d)应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。 6.1.4.2. 访问控制(s2) 本项要求包括: a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问; b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作; c)应由授权主体配置访问控制策略,并严格限制默认账户的访问权限; d)应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。 6.1.4.3. 安全审计(g2) 本项要求包括: a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; 应用系统应能够对每个业务用户的关键操作进行记录,例如用户登录、用户退出、增加用户、修改用户权限等操作。 b)应保证无法删除、修改或覆盖审计记录; c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。 审计记录应至少保存6个月。 6.1.4.4. 通信完整性(s2) 应采用校验码技术保证通信过程中数据的完整性。 通过互联网、卫星网进行通信时,应采用校验码技术保证通信过程中数据的完整性。 6.1.4.5. 通信保密性(s2) 本项要求包括: a)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证; 通过互联网、卫星网进行通信时,建立通信连接之前,应用系统应利用密码技术或可靠的身份认证技术进行会话初始化验证。 b)应对通信过程中的敏感信息字段进行加密。 通过互联网、卫星网进行通信时,应对整个报文或会话过程进行加密。 6.1.4.6. 软件容错(a2) 本项要求包括: a)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求; b)在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措施。 6.1.4.7. 资源控制(a2) 本项要求包括: a)当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话; 用户登录应用系统后在规定的时间内未执行任何操作,应自动退出系统。 b)应能够对应用系统的最大并发会话连接数进行限制; c)应能够对单个账户的多重并发会话进行限制。 6.1.5.数据安全及备份恢复 6.1.5.1. 数据完整性(s2) 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。 6.1.5.2. 数据保密性(s2) 应采用加密或其他保护措施实现鉴别信息的存储保密性。 6.1.5.3. 备份和恢复(a2) 本项要求包括: a)应能够对重要信息进行备份和恢复; b)应提供关键网络设备、通信线路和数据处理系统的硬件冗余,保证系统的可用性。 6.2. 管理要求 6.2.1.安全管理制度 6.2.1.1. 管理制度(g2) 本项要求包括: a)应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; b)应对安全管理活动中重要的管理内容建立安全管理制度; c)应对安全管理人员或操作人员执行的重要管理操作建立操作规程。 6.2.1.2. 制定和发布(g2) 本项要求包括: a)应指定或授权专门的部门或人员负责安全管理制度的制定; b)应组织相关人员对制定的安全管理制度进行论证和审定; c)应将安全管理制度以某种方式发布到相关人员手中。 6.2.1.3. 评审和修订(g2) 应定期对安全管理制度进行评审,对存在不足或需要改进的安全管理制度进行修订。 每年或在发生重大变更时对安全管理制度进行检查,对存在不足或需要改进的安全管理制度进行修订。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!