【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第31页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] e)应测试主要应用系统,试图非授权终止审计进程或审计功能,删除、修改或覆盖审计记录,查看安全审计进程和记录的保护情况。 7.1.4.3.3 结果判定 如果7.1.4.3.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.4.4 剩余信息保护 7.1.4.4.1 测评指标 见jr/t 0060-2010 7.1.4.4。 7.1.4.4.2 测评实施 本项要求包括: a)应检查设计、验收文档或源代码,查看其是否有关于系统在释放或再分配鉴别信息所在存储空间给其他用户前如何将其进行完全清除(无论这些信息是存放在硬盘上还是在内存中)的描述; b)应检查设计、验收文档或源代码,查看其是否有关于释放或重新分配系统内文件、目录和数据库记录等资源所在存储空间给其他用户前进行完全清除的描述; c)应测试主要应用系统,用某用户登录系统并进行操作后,在该用户退出后用另一用户登录,试图操作(读取、修改或删除等)其他用户产生的文件、目录和数据库记录等资源,查看操作是否成功,验证系统提供的剩余信息保护功能是否正确(确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除)。 7.1.4.4.3 结果判定 如果7.1.4.4.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.4.5 通信完整性 7.1.4.5.1 测评指标 见jr/t 0060-2010 7.1.4.5。 7.1.4.5.2 测评实施 本项要求包括: a)应检查设计、验收文档或源代码,查看其是否有关于保护通信完整性的说明,如果有则查看是否有根据校验码判断对方数据有效性,以及散列(hash)密码计算报文校验码的描述; b)应测试主要应用系统,可通过获取通信双方的数据包,查看通信报文中是否含有校验码。 对于通过互联网、卫星网进行通信的系统,应通过截包分析,检查通信报文是否经过加密保护。 7.1.4.5.3 结果判定 如果7.1.4.5.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.4.6 通信保密性 7.1.4.6.1 测评指标 见jr/t 0060-2010 7.1.4.6。 7.1.4.6.2 测评实施 本项要求包括: a)应检查设计、验收文档或源代码,查看其是否有关于保护通信保密性的说明,如果有则查看是否有在通信双方建立连接之前利用密码技术进行会话初始化验证的描述,以及对整个报文或会话过程是否进行加密的描述; b)应测试主要应用系统,通过获取通信双方数据包并查看数据包的内容,查看系统是否能在通信双方建立连接之前,利用密码技术进行会话初始化验证(如ssl建立加密通道前是否利用密码技术进行了会话初始化验证);并查看系统在通信过程中,对整个报文或会话过程是否进行加密。 对通过互联网、卫星网进行通信的系统,检查是否对整个报文或会话过程进行加密。 7.1.4.6.3 结果判定 如果7.1.4.6.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.4.7 抗抵赖 7.1.4.7.1 测评指标 见jr/t 0060-2010 7.1.4.7。 7.1.4.7.2 测评实施 本项要求包括: a)如果业务应用有明确的抗抵赖需求,则应检查应用系统,查看系统是否提供在请求的情况下为数据原发者和接收者提供数据原发证据的功能;是否提供在请求的情况下为数据原发者和接收者提供数据接收证据的功能; b)如果业务应用有明确的抗抵赖需求,则应测试应用系统,通过模拟通信过程进行通信,查看系统是否提供在请求的情况下为数据原发者和接收者提供数据原发证据的功能;是否提供在请求的情况下为数据原发者和接收者提供数据接收证据的功能。 1)检查应用系统的操作与管理记录,查看是否包括操作时间、操作人员及操作类型、操作内容等信息; 2)检查交易系统日志记录,查看是否包括业务流水号、账户名、ip地址、交易指令等用户交易行为数据,并且不包括用户的口令。 7.1.4.7.3 结果判定 如果7.1.4.7.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.4.8 软件容错 7.1.4.8.1 测评指标 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!