【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第48页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] d)应检查服务器操作系统和数据库管理系统的访问控制策略,查看是否已禁用或者限制匿名/默认帐户的访问权限,是否重命名系统默认帐户、修改这些帐户的默认口令; e)应检查服务器操作系统和数据库管理系统的访问控制策略,是否删除了系统中多余的、过期的以及共享的帐户; 1)检查是否至少每季度一次对系统中的帐户进行了审核,以确保所有授予的权限均为用户工作必须的; 2)检查是否及时删除多余的、过期的帐户。 f)应检查服务器操作系统和数据库管理系统的权限设置情况,查看是否依据安全策略对用户权限进行了限制; g)应检查服务器操作系统和数据库管理系统的访问控制策略,查看是否依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问;操作系统的访问控制粒度是否达到主体为用户级或进程级,客体为文件级,数据库管理系统访问控制粒度是否达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。 8.1.3.3.3 结果判定 a)如果系统不支持修改、重命名特权用户,8.1.3.3.2 d)、f)为不适用; b)如果8.1.3.3.2 a)-g)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.4 可信路径 8.1.3.4.1 测评指标 见jr/t 0060-2010 8.1.3.4。 8.1.3.4.2 测评实施 本项要求包括: a)应检查服务器操作系统文档,查看系统提供了哪些可信路径功能; b)应检查服务器操作系统,查看文档声称的可信路径功能是否有效; c)应检查数据库管理系统文档,查看系统提供了哪些可信路径功能; d)应检查数据库管理系统,查看文档声称的可信路径功能是否有效。 8.1.3.4.3 结果判定 如果8.1.3.4.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.5 安全审计 8.1.3.5.1 测评指标 见jr/t 0060-2010 8.1.3.5。 8.1.3.5.2 测评实施 本项要求包括: a)应检查服务器操作系统、重要终端操作系统和数据库管理系统的安全审计策略,查看安全审计配置是否包括系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件; 1)检查是否在确保系统运行安全和效率的前提下,启用系统审计或采用第三方安全审计产品实现审计要求; 2)检查审计内容是否至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限的变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等。 b)应检查服务器操作系统、重要终端操作系统和数据库管理系统的安全审计策略,查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容; c)应检查服务器操作系统、重要终端操作系统和数据库管理系统的安全审计策略,查看是否通过日志覆盖周期、存储方式、日志文件/空间大小、日志文件操作权限等设置,实现了对审计记录的保护,使其避免受到未预期的删除、修改或覆盖等; 检查审计记录是否至少保存6个月。 d)应检查服务器操作系统、重要终端操作系统和数据库管理系统的安全审计策略,查看是否为授权用户提供浏览和分析审计记录的功能,是否可以根据需要自动生成不同格式的审计报表; e)应检查服务器操作系统、重要终端操作系统和数据库管理系统的安全审计策略,查看是否实现了集中审计功能,通过集中审计平台将服务器操作系统、重要终端操作系统和数据库管理系统的审计记录进行集中存储、管理、查看和统计分析; f)应测试服务器操作系统、重要终端操作系统和数据库管理系统,可通过非审计员的其他帐户试图中断审计进程,验证审计进程是否受到保护。 8.1.3.5.3 结果判定 如果8.1.3.5.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.6 剩余信息保护 8.1.3.6.1 测评指标 见jr/t 0060-2010 8.1.3.6。 8.1.3.6.2 测评实施 应检查操作系统和数据库管理系统技术开发手册或产品检测报告,查看是否明确用户的鉴别信息存储空间被释放或再分配给其他用户前的处理方法和过程;是否明确文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前的处理方法和过程。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!