【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第26页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 测试业务终端与业务服务器之间的访问路径,验证业务终端与业务服务器之间的访问路径是否安全。 g)应检查边界和主要网络设备,查看是否配置对带宽进行控制的策略,这些策略是否能够保证在网络发生拥堵的时候优先保护重要业务。 检查带宽分配原则及相应的带宽控制策略是否是根据所有业务重要性、优先级制定的。 7.1.2.1.3 结果判定 如果7.1.2.1.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.2.2 访问控制 7.1.2.2.1 测评指标 见jr/t 0060-2010 7.1.2.2。 7.1.2.2.2 测评实施 本项要求包括: a)应检查边界网络设备的访问控制策略,查看其是否根据会话状态信息对数据流进行控制,控制粒度是否为端口级; b)应检查边界网络设备的访问控制策略,查看其是否对进出网络的信息内容进行过滤,实现对应用层http、ftp、telnet、smtp、pop3等协议命令级的控制; 应检查是否对通过互联网传输的信息内容进行过滤,实现对应用层http、ftp、telnet、smtp、pop3等通用性协议命令级控制。 c)应检查边界网络设备,查看是否有会话处于非活跃的时间或会话结束后自动终止网络连接的配置,查看是否设置网络最大流量数及网络连接数; d)应检查边界和主要网络设备地址绑定配置,查看重要网段是否采取了地址绑定的措施; e)应测试边界网络设备,可通过试图访问未授权的资源,验证访问控制措施对未授权的访问行为的控制是否有效,控制粒度是否为单个用户; f)应检查边界网络设备的拨号用户列表,查看其是否对具有拨号访问权限的用户数量进行限制; 1)检查是否禁止了通过互联网对重要信息系统进行远程维护和管理; 2)测试是否存在拨号接入网络的方式;如果存在拨号接入,检查边界网络设备(如路由器,防火墙,认证网关),查看是否正确的配置了拨号访问控制列表(对系统资源实现允许或拒绝访问)。 g)应对网络访问控制措施进行渗透测试,可通过采用多种渗透测试技术,验证网络访问控制措施不存在明显弱点。 应当从互联网和电话系统向被测对象进行渗透测试。 7.1.2.2.3 结果判定 如果7.1.2.2.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.2.3 安全审计 7.1.2.3.1 测评指标 见jr/t 0060-2010 7.1.2.3。 7.1.2.3.2 测评实施 本项要求包括: a) 应检查边界和主要网络设备的安全审计策略,查看是否包含网络系统中的网络设备运行状况、网络流量、用户行为等; b) 应检查边界和主要网络设备的安全审计记录,查看是否包括:事件的日期和时间、用户、事件类型、事件成功情况,及其他与审计相关的信息; c) 应检查边界和主要网络设备,查看是否为授权用户浏览和分析审计数据提供专门的审计工具,并能根据需要生成审计报表; d) 应测试边界和主要网络设备,可通过以某个非审计用户登录系统,试图删除、修改或覆盖审计记录,验证安全审计的保护情况与要求是否一致。 7.1.2.3.3 结果判定 如果7.1.2.3.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.2.4 边界完整性检查 7.1.2.4.1 测评指标 见jr/t 0060-2010 7.1.2.4。 7.1.2.4.2 测评实施 本项要求包括: a) 应检查边界完整性检查设备的非法外联和非授权接入策略,查看是否设置了对非法连接到内网和非法连接到外网的行为进行监控并有效的阻断的配置; b) 应测试边界完整性检查设备,测试是否能够确定出非法外联设备的位置,并对其进行有效阻断; c) 应测试边界完整性检查设备,测试是否能够对非授权设备私自接入内部网络的行为进行检查,并准确定出位置,对其进行有效阻断。 7.1.2.4.3 结果判定 如果7.1.2.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.2.5 入侵防范 7.1.2.5.1 测评指标 见jr/t 0060-2010 7.1.2.5。 7.1.2.5.2 测评实施 本项要求包括: a)应检查网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、ip碎片攻击、网络蠕虫攻击等; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!