【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第47页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 8.1.2.7.3 结果判定 a)如果使用数字证书、动态口令卡等机制实现身份认证,8.1.2.7.2e)为肯定。 b)如果8.1.2.7.2 a)-i)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3 主机安全 8.1.3.1 身份鉴别 8.1.3.1.1 测评指标 见jr/t 0060-2010 8.1.3.1。 8.1.3.1.2 测评实施 本项要求包括: a)应检查服务器操作系统和数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施; b)应检查服务器操作系统和数据库管理系统的身份鉴别策略,查看是否提供了身份鉴别措施,身份鉴别信息是否具有不易被冒用的特点,如对用户登录口令的最小长度、复杂度和更换周期进行了要求和限制; c)应检查服务器操作系统和数据库管理系统的身份鉴别策略,查看是否配置了鉴别失败处理功能,并设置了非法登录次数的限制值;查看是否设置网络登录连接超时,并自动退出; d)应测试服务器操作系统和数据库管理系统,通过正常登录,查看是否有登录警示信息,并且在警示信息中是否有未授权访问可能导致的后果的描述; e)如果操作系统或数据库采用远程管理方式,查看是否具有防止鉴别信息在网络传输过程中被窃听的措施; f)应检查服务器操作系统和数据库管理系统帐户列表,查看管理员用户名分配是否唯一; 1)检查是否为操作系统的不同用户分配不同的用户名; 2)检查是否为数据库系统的不同用户分配不同的用户名。 g)应检查服务器操作系统和数据库管理系统的身份鉴别策略,查看身份鉴别是否采用两个以上身份鉴别技术的组合来进行身份鉴别,并且有一种是不可伪造的; 1)检查远程方式登录主机设备是否采用两种或两种以上组合的鉴别技术进行身份鉴别; 2)检查本地控制台管理主机设备是否采用一种或一种以上身份鉴别技术。 h)应渗透测试服务器操作系统和数据库管理系统,可通过使用口令破解工具等,对服务器操作系统进行用户口令强度检测,查看是否能够破解用户口令,破解口令后是否能够登录进入系统; 应当从互联网向被测对象进行渗透测试。 i)应渗透测试服务器操作系统和数据库管理系统,测试是否存在绕过认证方式进行系统登录的方法。 8.1.3.1.3 结果判定 a)如果使用数字证书、动态口令卡等机制实现身份认证,8.1.3.1.2b)判定为肯定,否则,需要检查用户登录口令的最小长度、复杂度和更换周期等策略和要求; b)如果8.1.3.1.2 a)-i)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.2 安全标记 8.1.3.2.1 测评指标 见jr/t 0060-2010 8.1.3.2。 8.1.3.2.2 测评实施 本项要求包括: a)应检查服务器操作系统和数据库管理系统,查看是否能对所有主体和客体设置敏感标记,这些敏感标记是否构成多级安全模型的属性库,主体和客体的敏感标记是否以默认方式生成或由安全员建立、维护和管理; b)应测试服务器操作系统和数据库管理系统,对主体和客体设置敏感标记,以授权用户和非授权用户身份访问客体,验证是否只有授权用户可以访问客体,而非授权用户不能访问客体。 8.1.3.2.3 结果判定 如果8.1.3.2.2 a)和-b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.3 访问控制 8.1.3.3.1 测评指标 见jr/t 0060-2010 8.1.3.3。 8.1.3.3.2 测评实施 本项要求包括: a)应检查服务器操作系统的访问控制策略,查看是否对重要文件的访问权限进行了限制,对系统不需要的服务、共享路径等进行了禁用或删除; b)应检查服务器操作系统和数据库管理系统的访问控制策略,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则; 如果系统支持操作系统和数据库系统特权用户的权限分离,应检查主要服务器操作系统和主要数据库管理系统的访问控制策略,查看特权用户的权限是否进行分离,如可分为系统管理员、安全管理员、安全审计员等;查看是否采用最小授权原则。 c)应检查数据库管理系统的特权用户和服务器的操作系统的特权用户,查看不同管理员的系统帐户权限是否不同,且不应由同一人担任; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!