【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第13页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 6.1.2.4 边界完整性检查 6.1.2.4.1 测评指标 见jr/t 0060-2010 6.1.2.4。 6.1.2.4.2 测评实施 应检查边界完整性检查设备的非法外联监控策略,查看是否正确设置了对网络内部用户私自连接到外部网络的行为进行有效监控的配置。 6.1.2.4.3 结果判定 如果6.1.2.4.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合本单元测评指标要求。 6.1.2.5 入侵防范 6.1.2.5.1 测评指标 见jr/t 0060-2010 6.1.2.5。 6.1.2.5.2 测评实施 本项要求包括: a)应检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip碎片攻击、网络蠕虫攻击等; 检查入侵防范设备是否根据系统应用要求进行了规则配置。 b)应检查网络入侵防范设备的规则库版本,查看其规则库是否及时更新。 6.1.2.5.3 结果判定 如果6.1.2.5.2 a)和 b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.2.6 网络设备防护 6.1.2.6.1 测评指标 见jr/t 0060-2010 6.1.2.6。 6.1.2.6.2 测评实施 本项要求包括: a)应检查边界和关键网络设备的设备防护策略,查看是否配置了对登录用户进行身份鉴别的功能; b)应检查边界和关键网络设备的设备防护策略,查看是否对网络设备的登录地址进行了限制; c)应检查边界和关键网络设备的帐户列表,查看用户标识是否唯一; 检查是否已经删除默认用户或修改默认用户的口令,根据管理需要开设用户,不得使用缺省口令、空口令、弱口令。 d)应检查边界和关键网络设备的设备防护策略,查看是否对口令的复杂度和定期修改进行了设置; e)应检查边界和关键网络设备的设备防护策略,查看是否配置了登录失败处理功能,包括结束会话、限制非法登录次数、登录连接超时自动退出等; f)应检查边界和关键网络设备的设备防护策略,查看是否配置了对设备远程管理所产生的鉴别信息进行保护的功能。 6.1.2.6.3 结果判定 如果6.1.2.6.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.3 主机安全 6.1.3.1 身份鉴别 6.1.3.1.1 测评指标 见jr/t 0060-2010 6.1.3.1。 6.1.3.1.2 测评实施 本项要求包括: a)应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施; b)应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看其身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行要求和限制; c)应检查重要服务器操作系统和重要数据库管理系统的身份鉴别策略,查看是否配置了登录失败处理功能、设置了非法登录次数的限制值;查看是否设置网络登录连接超时,并自动退出; d)应访谈系统管理员和数据库管理员,询问是否对操作系统和数据库管理系统采用了远程管理方式,如果采用远程管理方式,查看是否具有防止鉴别信息在网络传输过程中被窃听的措施; e)应检查重要服务器操作系统和重要数据库管理系统帐户列表,查看管理员用户名或uid分配是否唯一。 1)检查是否为操作系统的不同用户分配不同的用户名; 2)检查是否为数据库系统的不同用户分配不同的用户名。 6.1.3.1.3 结果判定 a)如果使用数字证书、动态口令卡等机制实现身份认证,6.1.3.1.2 b)判定为肯定,否则,需要检查用户登录口令的最小长度、复杂度和更换周期等策略和要求; b)如果6.1.3.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.3.2 访问控制 6.1.3.2.1 测评指标 见jr/t 0060-2010 6.1.3.2。 6.1.3.2.2 测评实施 本项要求包括: a)应检查重要服务器操作系统的访问控制策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除; b)应检查重要数据库管理系统的特权用户和重要操作系统的特权用户,查看不同管理员的系统账户权限是否不同,且不应由同一人担任; 如果系统支持操作系统和数据库系统特权用户的权限分离,应检查重要数据库管理系统的特权用户和重要操作系统的特权用户,查看不同管理员的系统账户权限是否不同,且不应由同一人担任。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!