【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第32页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 见jr/t 0060-2010 7.1.4.8。 7.1.4.8.2 测评实施 本项要求包括: a)应检查设计或验收文档,查看是否有对人机接口输入或通信接口输入的数据进行有效性检验,在故障发生时自动保护当前所有状态保证系统能够进行恢复的描述; b)应测试主要应用系统,查看应用系统是否能明确拒绝不符合格式要求数据; c)应测试主要应用系统,验证是否提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。 7.1.4.8.3 结果判定 如果7.1.4.8.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.4.9 资源控制 7.1.4.9.1 测评指标 见jr/t 0060-2010 7.1.4.9。 7.1.4.9.2 测评实施 本项要求包括: a)应检查主要应用系统的配置参数,查看是否提供对最大并发会话连接数进行限制; b)应检查主要应用系统,查看是否对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额; c)应检查主要应用系统,查看是否有服务水平最小值的设定,当系统的服务水平降低到预先设定的最小值时,系统报警; d)应检查主要应用系统,查看是否能根据安全策略设定主体的服务优先级,根据优先级分配系统资源; e)应测试主要应用系统,当应用系统的通信双方中的一方在一段时间内未作任何响应,查看另一方是否能够自动结束会话; f)应测试主要应用系统,可通过对系统进行超过规定的单个帐户的多重并发会话数进行连接,验证系统是否能够正确地限制单个帐户的多重并发会话数; g)应测试主要应用系统,可试图使服务水平降低到预先规定的最小值,验证系统是否能够正确检测并报警。 7.1.4.9.3 结果判定 如果7.1.4.9.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.5 数据安全及备份恢复 7.1.5.1 数据完整性 7.1.5.1.1 测评指标 见jr/t 0060-2010 7.1.5.1。 7.1.5.1.2 测评实施 本项要求包括: a)如果主要网络设备、主要主机操作系统和主要数据库管理系统能够进行远程管理,则应查看其能否检测系统管理数据(如配置文件)、鉴别信息在传输过程中完整性受到了破坏,并在检测到完整性错误时采取必要的恢复措施; b)应检查应用系统的设计、验收文档或源代码,查看是否有关于能检测系统管理数据、鉴别信息和重要业务数据传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施的描述; c)应检查主要网络设备、主要操作系统和主要数据库管理系统,查看是否配备检测系统管理数据(如配置文件)和鉴别信息在存储过程中完整性受到破坏的功能,并在检测到完整性错误时是否能采取必要的恢复措施; d)应检查主要应用系统,查看是否配备检测系统管理数据、鉴别信息和业务数据在存储过程中完整性受到破坏的功能,并在检测到完整性错误时是否能采取必要的恢复措施。 7.1.5.1.3 结果判定 如果7.1.5.1.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.5.2 数据保密性 7.1.5.2.1 测评指标 见jr/t 0060-2010 7.1.5.2。 7.1.5.2.2 测评实施 本项要求包括: a) 应检查主要网络设备、主要操作系统和主要数据库管理系统,查看其管理数据和鉴别信息是否采用加密或其他有效措施实现了传输和存储保密性; b) 应检查主要应用系统,查看其管理数据、鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输和存储保密性; c) 应测试主要网络设备、主要操作系统、主要数据库管理系统和主要应用系统,可通过用嗅探工具获取通信数据包,查看是否为密文。 对通过互联网、卫星网传递的系统管理数据、鉴别信息和重要业务数据,应当采用抓包分析工具进行抓包分析,验证其是否采取加密方式进行传输。 7.1.5.2.3 结果判定 如果7.1.5.2.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 7.1.5.3 备份和恢复 7.1.5.3.1 测评指标 见jr/t 0060-2010 7.1.5.3。 7.1.5.3.2 测评实施 本项要求包括: a) 应检查是否对主要网络设备、主要主机操作系统、主要数据库管理系统和主要应用系统的重要信息进行了备份,备份方式(如是否为完全数据备份)、频率和介质存放方式是否达到相关标准的要求,是否定期对备份数据进行恢复测试; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!