您所在位置:法邦网 > 法律法规 > 法规浏览
法邦网首页
法律资讯
法律咨询
找律师
找律所
法律法规
法律常识
合同范本
法律文书
护身法宝
法律导航
专题

管理我的法规库

哇,我可以拥有自己的法规库!

网友们正在搜索

·建设项目
1年前
·
1年前
·关于印发
1年前

法规提交

如果您发现我们没有收录到的法规,您可以在此提交。提交后我们会即时把它收录上,感谢您参与维护我们共同的法规库。
多长时间收录?
【法规名称】 
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393  什么是编号?
【正  文】

第15页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)

[接上页]
如果6.1.3.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。

  6.1.4 应用安全

  6.1.4.1 身份鉴别

  6.1.4.1.1 测评指标

  见jr/t 0060-2010 6.1.4.1。

  6.1.4.1.2 测评实施

  本项要求包括:

  a)应检查关键应用系统,查看是否提供身份标识和鉴别功能;

  b)应检查关键应用系统,查看是否采用了措施保证身份标识具有唯一性,是否对登录用户的口令最小长度、复杂度和更换周期等进行了要求和限制,保证身份鉴别信息不易被冒用;

  c)应检查关键应用系统,查看其提供的登录失败处理功能,是否根据安全策略设置了登录失败次数等参数;

  d)应测试关键应用系统,可通过试图以合法和非法用户分别登录系统,查看是否成功,验证身份标识和鉴别功能是否有效;

  e)应测试关键应用系统,可通过多次输入错误的密码,查看系统的处理方式,验证登录失败处理功能是否有效。

  6.1.4.1.3 结果判定

  如果6.1.4.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。

  6.1.4.2 访问控制

  6.1.4.2.1 测评指标

  见jr/t 0060-2010 6.1.4.2。

  6.1.4.2.2 测评实施

  本项要求包括:

  a)应检查关键应用系统,查看系统是否提供访问控制功能控制用户对客体的访问;

  b)应检查关键应用系统,查看其访问控制的覆盖范围是否包括与信息安全直接相关的主体、客体及它们之间的操作;访问控制的粒度是否达到主体为用户级,客体为文件、数据库表级;

  c)应检查关键应用系统,查看是否有由授权用户设置其它用户访问系统功能和用户数据的权限的功能,是否限制默认用户的访问权限,是否修改了这些账户的默认口令;

  d)应检查关键应用系统,查看是否删除多余的、过期的账户;

  e)应检查关键应用系统用户角色或权限的分配情况,查看是否授予不同帐户为完成各自承担任务所需的最小权限,特权用户的权限是否分离,权限之间是否相互制约;

  f)应测试关键应用系统,可通过以不同权限的用户登录系统,查看其拥有的权限是否与系统赋予的权限一致,验证应用系统访问控制功能是否有效。

  6.1.4.2.3 结果判定

  如果6.1.4.2.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。

  6.1.4.3 安全审计

  6.1.4.3.1 测评指标

  见jr/t 0060-2010 6.1.4.3。

  6.1.4.3.2 测评实施

  本项要求包括:

  a)应检查关键应用系统,查看审计范围是否覆盖到每个用户,审计策略是否覆盖系统内重要的安全相关事件,例如,用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等;

  b)应检查关键应用系统的审计记录,查看是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容;

  检查审计记录是否至少保存6个月。

  c)应测试重要应用系统,在应用系统上试图产生一些重要的安全相关事件(如用户登录、修改用户权限等),查看应用系统是否对其进行了审计,验证应用系统安全审计的覆盖情况是否覆盖到每个用户;如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等;

  d)应测试重要应用系统,试图非授权删除、修改或覆盖审计记录,验证安全审计的保护情况是否无法非授权删除、修改或覆盖审计记录。

  6.1.4.3.3 结果判定

  如果6.1.4.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。

  6.1.4.4 通信完整性

  6.1.4.4.1 测评指标

  见jr/t 0060-2010 6.1.4.4。

  6.1.4.4.2 测评实施

  本项要求包括:

  a)应检查设计、验收文档或源代码,查看是否有关于保护通信完整性的描述,如果有则查看是否依据校验码判断对方数据包的有效性;

  b)应测试关键应用系统,可通过获取通信双方的数据包,查看通信报文中是否含有校验码。

  对于通过互联网、卫星网进行通信的系统,应通过截包分析,检查通信报文是否经过加密保护。

  6.1.4.4.3 结果判定

  如果6.1.4.4.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。
此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!
回到顶部

相关法规

查看更多
·中国证券监督管理委员会关于同意东方金账簿货币市场证券投资基金募集的批复
·中国证券监督管理委员会关于核准富兰克林国海成长动力股票型证券投资基金募集的批复
·中国证券监督管理委员会关于核准交银施罗德保本混合型证券投资基金募集的批复
·中国证券监督管理委员会关于核准诺安成长股票型证券投资基金募集的批复
·中国证券监督管理委员会关于核准首域投资管理(英国)有限公司合格境外机构投资者资格的批复
·中国证券监督管理委员会关于核准豁免国家开发投资公司要约收购国投中鲁果汁股份有限公司股份义务的批复
·中国证券监督管理委员会关于核准交银施罗德环球精选价值证券投资基金募集的批复
·中国证券监督管理委员会关于核准交银施罗德增利债券证券投资基金募集的批复
·中国证券监督管理委员会关于贝莱德投资管理(英国)有限公司设立北京代表处及首席代表任职的批复
·中国证券监督管理委员会关于核准交银施罗德基金管理有限公司作为合格境内机构投资者从事境外证券投资管理业务的批复
·中国证券监督管理委员会关于同意嘉实海外中国股票股票型证券投资基金募集的批复
·中国证券监督管理委员会关于核准海富通基金管理公司作为合格境内机构投资者从事境外证券投资管理业务的批复
·中国证券监督管理委员会关于核准中国国际金融有限公司作为合格境内机构投资者从事境外证券投资管理业务的批复
·中国证券监督管理委员会关于核准华宝兴业基金管理有限公司作为合格境内机构投资者从事境外证券投资管理业务的批复
·中国证券监督管理委员会关于批准加皇投资理财有限公司在北京设立代表处的批复
·中国证券监督管理委员会关于同意泰达荷银市值优选股票型证券投资基金募集的批复
·中国证券监督管理委员会关于同意交银施罗德蓝筹股票证券投资基金募集的批复
·中国证券监督管理委员会关于中意人寿保险有限公司设立投资连结险投资账户的批复
·中国证券监督管理委员会关于实施《合格境内机构投资者境外证券投资管理试行办法》有关问题的通知
·中国证券监督管理委员会关于美国雷曼兄弟亚洲投资有限公司上海代表处更换首席代表的批复
法规搜索:
关于法邦网
|
联系我们
|
法律声明
|
欢迎合作
|
RSS订阅
|
友情链接
|
反馈留言
|
法律百科
法律法规  Copyright ©2007-2019 Fabao365.com 版权所有
|
京ICP备10210683号
|
京公网安备11010802013176号
|
客服电话:15811286610