【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第29页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] e)应测试主要服务器操作系统、重要终端操作系统和主要数据库管理系统,可通过非审计员的其他帐户试图中断审计进程,验证审计进程是否受到保护。 7.1.3.3.3 结果判定 如果7.1.3.3.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.3.4 剩余信息保护 7.1.3.4.1 测评指标 见jr/t 0060-2010 7.1.3.4。 7.1.3.4.2 测评实施 应检查主要操作系统和主要数据库管理系统技术开发手册或产品检测报告,查看是否明确用户的鉴别信息存储空间被释放或再分配给其他用户前的处理方法和过程;是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程。 7.1.3.4.3 结果判定 如果7.1.3.4.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.3.5 入侵防范 7.1.3.5.1 测评指标 见jr/t 0060-2010 7.1.3.5。 7.1.3.5.2 测评实施 本项要求包括: a) 应检查入侵防范系统的入侵防范策略,查看是否能够记录对主要服务器攻击的源ip、攻击类型、攻击目标、攻击时间等,在发生严重入侵事件时是否提供报警(如声音、短信和email等); 应当同时检查入侵防范系统的特征库是否保持最新状态。 b) 应检查主要服务器是否提供对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施的功能; c) 应检查主要服务器操作系统中所安装的系统组件和应用程序是否都是必须的; d) 应检查是否设置了专门的升级服务器实现对主要服务器操作系统补丁的升级,主要服务器操作系统是否具有操作系统补丁更新策略; e) 应检查主要服务器操作系统和主要数据库管理系统的补丁是否得到了及时更新; 检查是否持续跟踪厂商提供的系统升级更新情况,对关键性补丁是否进行充分的评估测试,并记录了相关评估情况和升级过程。 f) 应渗透测试主要服务器操作系统和主要数据库管理系统,查看入侵防范系统是否及时正确记录了本次攻击行为,并自动报警。 7.1.3.5.3 结果判定 如果7.1.3.5.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.3.6 恶意代码防范 7.1.3.6.1 测评指标 见jr/t 0060-2010 7.1.3.6。 7.1.3.6.2 测评实施 本项要求包括: a)应检查主要服务器的恶意代码防范策略,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库; 应检查关键服务器的恶意代码防范策略,对支持安装防恶意代码软件的主机操作系统,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库。 b)应检查主机防恶意代码软件或硬件,查看其厂家名称、产品版本号和恶意代码库名称等,查看其是否与网络防恶意代码软件有不同的恶意代码库; 1)可对不同安全域区别对待,检查恶意代码库是否根据实际情况保持最新状态; 2)对不支持恶意代码检测系统的主机操作系统,应当检查是否采取了等效的恶意代码防范措施。 c)应检查主机防恶意代码软件是否实现了统一管理。 7.1.3.6.3 结果判定 如果7.1.3.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.3.7 资源控制 7.1.3.7.1 测评指标 见jr/t 0060-2010 7.1.3.7。 7.1.3.7.2 测评实施 本项要求包括: a) 应检查主要服务器操作系统和主要数据库管理系统的资源控制策略,查看是否设定了终端接入方式、网络地址范围等条件限制终端登录; b) 应检查访问主要服务器的终端是否都设置了操作超时锁定的配置; c) 应检查主要服务器操作系统的资源控制策略,查看是否对cpu、硬盘、内存和网络等资源的使用情况进行监控; d) 应检查主要服务器操作系统和主要数据库管理系统的资源控制策略,查看是否设置了单个用户或应用对系统资源的最大或最小使用限度; e) 应检查主要服务器操作系统和主要数据库管理系统的资源控制策略,查看是否在服务水平降低到预先规定的阈值时,能检测和报警。 7.1.3.7.3 结果判定 如果7.1.3.7.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!