【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第14页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] c)应检查重要服务器操作系统和重要数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认帐户的访问权限,是否重命名系统默认帐户、修改这些帐户的默认口令; d)应检查重要服务器操作系统和重要数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的帐户; 1)检查系统中的账号是否为用户工作必须的; 2)检查是否及时删除了多余的、过期的账户。 e)应检查重要服务器操作系统和重要数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制。 6.1.3.2.3 结果判定 a)如果系统不支持修改、重命名特权用户,6.1.3.2.2 c)、e)为不适用; b)如果6.1.3.2.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.3.3 安全审计 6.1.3.3.1 测评指标 见jr/t 0060-2010 6.1.3.3。 6.1.3.3.2 测评实施 本项要求包括: a)应检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件; 1)检查是否在确保系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求; 2)检查审计内容是否至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限的变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 b)应检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容; c)应检查重要服务器操作系统和重要数据库管理系统的安全审计策略,查看是否通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置,实现了对审计记录的保护,使其避免受到未预期的删除、修改或覆盖等。 检查审计记录是否至少保存6个月。 6.1.3.3.3 结果判定 如果6.1.3.3.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.3.4 入侵防范 6.1.3.4.1 测评指标 见jr/t 0060-2010 6.1.3.4。 6.1.3.4.2 测评实施 本项要求包括: a)应访谈系统管理员,询问重要服务器操作系统和重要数据库管理系统中所安装的系统组件和应用程序是否都是必须的; b)应检查是否设置了专门的升级服务器实现对重要服务器操作系统补丁的升级; c)应检查重要服务器操作系统和重要数据库管理系统的补丁是否得到了及时更新。 检查是否持续跟踪厂商提供的系统升级更新情况,对关键性补丁是否进行充分的评估测试,并记录了相关评估情况和升级过程。 6.1.3.4.3 结果判定 如果6.1.3.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.3.5 恶意代码防范 6.1.3.5.1 测评指标 见jr/t 0060-2010 6.1.3.5。 6.1.3.5.2 测评实施 本项要求包括: a)应检查重要服务器的恶意代码防范策略,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库; 应检查关键服务器的恶意代码防范策略,对支持安装防恶意代码软件的主机操作系统,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库。 b)应检查防恶意代码软件是否实现了统一管理。 6.1.3.5.3 结果判定 如果6.1.3.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 6.1.3.6 资源控制 6.1.3.6.1 测评指标 见jr/t 0060-2010 6.1.3.6。 6.1.3.6.2 测评实施 本项要求包括: a)应检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设定终端接入方式、网络地址范围等条件限制终端登录; b)应检查访问重要服务器的终端是否都设置了操作超时锁定的配置; c)应检查重要服务器操作系统和重要数据库管理系统的资源控制策略,查看是否设置了单个用户或应用对系统资源的最大或最小使用限度。 6.1.3.6.3 结果判定 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!