【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第51页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 检查审计记录是否至少保存6个月。 c)应检查应用系统,查看是否为授权用户浏览和分析审计数据提供专门的审计分析功能,并能根据需要生成审计报表; d)应检查应用系统,查看是否有集中审计接口,并根据信息系统的统一安全策略实现集中审计; e)应测试主要应用系统,在应用系统上试图产生一些重要的安全相关事件(如用户登录、修改用户权限等),查看应用系统是否对其进行了审计,验证应用系统安全审计的覆盖情况是否覆盖到每个用户;如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等; f)应测试应用系统,试图非授权终止审计进程或审计功能,非授权删除、修改或覆盖审计记录,查看安全审计进程和记录的保护情况。 进行中断审计进程的操作,检查审计进程是否作为应用系统整体进程中的一部分且不能单独中断。 8.1.4.5.3 结果判定 如果8.1.4.5.2 a)-f)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4.6 剩余信息保护 8.1.4.6.1 测评指标 见jr/t 0060-2010 8.1.4.6。 8.1.4.6.2 测评实施 本项要求包括: a)应检查设计、验收文档或源代码,查看其是否有关于系统在释放或再分配鉴别信息所在存储空间给其他用户前如何将其进行完全清除(无论这些信息是存放在硬盘上还是在内存中)的描述; b)应检查设计、验收文档或源代码,查看其是否有关于释放或重新分配系统内文件、目录和数据库记录等资源所在存储空间给其他用户前进行完全清除的描述; c)应测试主要应用系统,用某用户登录系统并进行操作后,在该用户退出后用另一用户登录,试图操作(读取、修改或删除等)其他用户产生的文件、目录和数据库记录等资源,查看操作是否不成功,验证系统提供的剩余信息保护功能是否正确(确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除)。 8.1.4.6.3 结果判定 如果8.1.4.6.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4.7 通信完整性 8.1.4.7.1 测评指标 见jr/t 0060-2010 8.1.4.7。 8.1.4.7.2 测评实施 本项要求包括: a)应检查设计、验收文档或源代码,查看是否有关于保护通信完整性的说明,如果有则查看是否有根据校验码判断对方数据有效性,以及散列(hash)密码计算报文校验码的描述; b)应测试应用系统,可通过获取通信双方的数据包,查看通信报文是否含有的校验码。 当通过互联网、卫星网进行通信时,应通过截包分析,检查通信报文是否经过加密保护。 8.1.4.7.3 结果判定 如果8.1.4.7.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4.8 通信保密性 8.1.4.8.1 测评指标 见jr/t 0060-2010 8.1.4.8。 8.1.4.8.2 测评实施 本项要求包括: a)应检查应用系统,查看其是否基于硬件化的设备,产生密钥,进行加解密运算; b)应检查相关证明材料(证书),查看主要应用系统采用的密码算法是否符合国家有关部门的要求; c)应测试应用系统,通过获取通信双方数据包并查看数据包的内容,查看系统是否能在通信双方建立连接之前,利用密码技术进行会话初始化验证;在通信过程中,是否对整个报文或会话过程进行加密。 对通过互联网、卫星网进行通信的系统,检查是否对整个报文或会话过程进行加密。 8.1.4.8.3 结果判定 本项要求包括: a)如果8.1.4.8.2 b)缺少相关文档材料,则为否定; b)如果8.1.4.8.2 a)-c)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4.9 抗抵赖 8.1.4.9.1 测评指标 见jr/t 0060-2010 8.1.4.9。 8.1.4.9.2 测评实施 本项要求包括: a)如果业务应用有明确的抗抵赖需求,则应检查应用系统是否提供在请求的情况下为数据原发者和接收者提供数据原发证据的功能;是否提供在请求的情况下为数据原发者和接收者提供数据接收证据的功能; b)如果业务应用有明确的抗抵赖需求,则应测试应用系统,通过双方进行通信,查看系统是否提供在请求的情况下为数据原发者和接收者提供数据原发证据的功能;系统是否提供在请求的情况下为数据原发者和接收者提供数据接收证据的功能。 |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!