【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第49页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 8.1.3.6.3 结果判定 如果8.1.3.6.2为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.7 入侵防范 8.1.3.7.1 测评指标 见jr/t 0060-2010 8.1.3.7。 8.1.3.7.2 测评实施 本项要求包括: a) 应检查入侵防范系统的入侵防范策略,查看是否能够记录对服务器攻击的源ip、攻击类型、攻击目标、攻击时间等,在发生严重入侵事件时是否提供报警(如声音、短信和email等); 应当同时检查入侵防范系统的特征库是否保持最新状态。 b) 应检查服务器是否提供对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施的功能; c) 应检查服务器操作系统中所安装的系统组件和应用程序是否都是必须的; d) 应检查是否设置了专门的升级服务器实现对服务器操作系统补丁的升级,是否具有操作系统补丁更新策略; e) 应检查服务器操作系统和数据库管理系统的补丁是否得到了及时更新; 检查是否持续跟踪厂商提供的系统升级更新情况,对关键性补丁是否进行充分的评估测试,并记录了相关评估情况和升级过程。 f) 应渗透测试服务器操作系统和数据库管理系统,查看入侵防范系统是否及时正确记录了本次攻击行为,并自动报警。 8.1.3.7.3 结果判定 如果8.1.3.7.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.8 恶意代码防范 8.1.3.8.1 测评指标 见jr/t 0060-2010 8.1.3.8。 8.1.3.8.2 测评实施 本项要求包括: a)应检查服务器的恶意代码防范策略,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库; 应检查关键服务器的恶意代码防范策略,对支持安装防恶意代码软件的主机操作系统,查看是否安装了实时检测与查杀恶意代码的软件产品,并且及时更新了软件版本和恶意代码库。 b)应检查主机防恶意代码软件或硬件,查看其厂家名称、产品版本号和恶意代码库名称等,查看其是否与网络防恶意代码软件有不同的恶意代码库; 1)可对不同安全域区别对待,检查恶意代码库是否根据实际情况保持最新状态; 2)对不支持恶意代码检测系统的主机操作系统,应当检查是否采取了等效的恶意代码防范措施。 c)应检查主机防恶意代码软件是否实现了统一管理。 8.1.3.8.3 结果判定 如果8.1.3.8.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.3.9 资源控制 8.1.3.9.1 测评指标 见jr/t 0060-2010 8.1.3.9。 8.1.3.9.2 测评实施 本项要求包括: a) 应检查服务器操作系统和数据库管理系统的资源访问策略,查看是否设定了终端接入方式、网络地址范围等条件限制终端登录; b) 应检查访问服务器的终端是否都设置了操作超时锁定的配置; c) 应检查服务器操作系统的资源访问策略,查看是否对cpu、硬盘、内存和网络等资源的使用情况进行监控; d) 应检查服务器操作系统和数据库管理系统的资源访问策略,查看是否设置了单个用户或应用对系统资源的最大或最小使用限度; e) 应检查服务器操作系统和数据库管理系统的资源访问策略,查看是否在服务水平降低到预先规定的阈值时,能检测和报警。 8.1.3.9.3 结果判定 如果8.1.3.9.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4 应用安全 8.1.4.1 身份鉴别 8.1.4.1.1 测评指标 见jr/t 0060-2010 8.1.4.1。 8.1.4.1.2 测评实施 本项要求包括: a)应检查应用系统,查看是否提供身份标识和鉴别功能; b)应检查应用系统,查看是否采用了两种或两种以上组合的身份鉴别技术来进行身份鉴别,并且至少有一种是不可伪造的; 1)检查当管理用户通过受控本地控制台管理应用系统时,是否采用了一种或一种以上身份鉴别技术; 2)检查当管理用户以远程方式登录应用系统,是否采用了两种或两种以上组合的鉴别技术进行身份鉴别; 3)检查面向互联网服务的系统是否向用户提供两种或两种以上组合的鉴别技术供用户选择。 c)应检查应用系统,查看是否采用了措施保证身份标识具有唯一性,是否对登录用户的口令最小长度、复杂度和更换周期等进行了要求和限制,保证身份鉴别信息不易被冒用; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!