【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第28页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 1)检查远程方式登录主机设备是否采用两种或两种以上组合的鉴别技术进行身份鉴别; 2)检查本地控制台管理主机设备是否采用一种或一种以上身份鉴别技术。 g)应渗透测试主要服务器操作系统,可通过使用口令破解工具等,对服务器操作系统进行用户口令强度检测,查看是否能够破解用户口令,破解口令后是否能够登录进入系统; 应当从互联网向被测对象进行渗透测试。 h)应渗透测试主要服务器操作系统,测试是否存在绕过认证方式进行系统登录的方法。 7.1.3.1.3 结果判定 a)如果使用数字证书、动态口令卡等机制实现身份认证,7.1.3.1.2 b)判定为肯定,否则,需要检查用户登录口令的最小长度、复杂度和更换周期等策略和要求; b)如果7.1.3.1.2 a)-h)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.3.2 访问控制 7.1.3.2.1 测评指标 见jr/t 0060-2010 7.1.3.2。 7.1.3.2.2 测评实施 本项要求包括: a)应检查主要服务器操作系统的安全策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除; b)应检查主要服务器操作系统和主要数据库管理系统的访问控制策略,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则; 如果系统支持操作系统和数据库系统特权用户的权限分离,应检查主要服务器操作系统和主要数据库管理系统的访问控制策略,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则。 c)应检查操作系统的特权用户和数据库管理系统的特权用户,查看不同管理员的系统账户权限是否不同,且不应由同一人担任; d)应检查主要服务器操作系统和主要数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认帐户的访问权限,是否重命名系统默认帐户、修改这些帐户的默认口令; e)应检查主要服务器操作系统和主要数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的帐户; 1)检查系统中的账号是否为用户工作必须的; 2)检查是否及时删除了多余的、过期的账户。 f)应检查主要服务器操作系统和主要数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制; g)应检查主要服务器操作系统和主要数据库管理系统的访问控制策略,查看是否对重要信息资源设置敏感标记;是否依据安全策略严格控制用户对有敏感标记重要信息资源的操作。 7.1.3.2.3 结果判定 a)如果系统不支持修改、重命名特权用户,7.1.3.2.2 d)、f)为不适用; b)如果7.1.3.2.2 a) -g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.3.3 安全审计 7.1.3.3.1 测评指标 见jr/t 0060-2010 7.1.3.3。 7.1.3.3.2 测评实施 本项要求包括: a)应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的安全审计策略,查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件; 1)检查是否在确保系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求; 2)检查审计内容是否至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限的变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 b)应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的安全审计策略,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容; c)应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的安全审计策略,查看是否通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置,实现了对审计记录的保护,使其避免受到未预期的删除、修改或覆盖等; 检查审计记录是否至少保存6个月。 d)应检查主要服务器操作系统、重要终端操作系统和主要数据库管理系统的安全审计策略,查看是否为授权用户提供浏览和分析审计记录的功能,是否可以根据需要自动生成不同格式的审计报表; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!