【法规名称】
【颁布部门】 中国证券监督管理委员会
【发文字号】 中国证券监督管理委员会公告[2011]39号
【颁布时间】 2011-12-22
【实施时间】 2011-12-22
【效力属性】 有效
【法规编号】 576393 什么是编号?
【正 文】
第52页 中国证券监督管理委员会公告(2011)39号――证券期货业信息系统安全等级保护测评要求(试行)
|
[接上页] 1)检查应用系统的操作与管理记录,查看是否包括操作时间、操作人员及操作类型、操作内容等信息; 2)检查交易系统日志记录,查看是否包括业务流水号、账户名、ip地址、交易指令等用户交易行为数据。 8.1.4.9.3 结果判定 如果8.1.4.9.2 a)和b)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4.10 软件容错 8.1.4.10.1 测评指标 见jr/t 0060-2010 8.1.4.10。 8.1.4.10.2 测评实施 本项要求包括: a)应检查设计或验收文档,查看应用系统有对人机接口输入或通信接口输入的数据进行有效性检验功能的说明; b)应测试应用系统,查看应用系统是否能明确拒绝不符合格式要求数据; c)应测试应用系统,验证是否提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复; d)应测试应用系统,验证是否具有自动恢复能力,当故障发生时,是否能立即启动新的进程,恢复原来的工作状态。 8.1.4.10.3 结果判定 如果8.1.4.10.2 a)-d)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.4.11 资源控制 8.1.4.11.1 测评指标 见jr/t 0060-2010 8.1.4.11。 8.1.4.11.2 测评实施 本项要求包括: a)应检查应用系统的配置参数,查看是否提供对最大并发会话连接数进行限制; b)应检查应用系统,查看是否对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额; c)应检查应用系统,查看是否有服务水平最小值的设定,当系统的服务水平降低到预先设定的最小值时,系统报警,并合理自动调整资源分配; d)应检查应用系统,查看是否能根据安全策略设定主体的服务优先级,根据优先级分配系统资源; e)应测试应用系统,当应用系统的通信双方中的一方在一段时间内未作任何响应,查看另一方是否能够自动结束会话; f)应测试应用系统,可通过对系统进行超过规定的单个帐户的多重并发会话数进行连接,验证系统是否能够正确地限制单个帐户的多重并发会话数; g)应测试应用系统,可试图使服务水平降低到预先规定的最小值,验证系统是否能够正确检测并报警。 8.1.4.11.3 结果判定 如果8.1.4.11.2 a)-g)肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.5 数据安全及备份恢复 8.1.5.1 数据完整性 8.1.5.1.1 测评指标 见jr/t 0060-2010 8.1.5.1。 8.1.5.1.2 测评实施 本项要求包括: a)如果网络设备、主机操作系统和数据库管理系统能够进行远程管理,则应查看其能否检测系统管理数据(如配置文件)、鉴别信息在传输过程中完整性受到了破坏,并在检测到完整性错误时采取必要的恢复措施; b)应检查应用系统的设计、验收文档或源代码,查看是否有关于能检测系统管理数据、鉴别信息和重要业务数据传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施的描述; c)应检查网络设备、操作系统和数据库管理系统,查看是否配备检测系统管理数据(如配置文件)和鉴别信息在存储过程中完整性受到破坏的功能,并在检测到完整性错误时是否能采取必要的恢复措施; d)应检查应用系统,查看是否配备检测系统管理数据、鉴别信息和业务数据在存储过程中完整性受到破坏的功能,并在检测到完整性错误时是否能采取必要的恢复措施; e)应检查网络设备、操作系统、数据库管理系统和应用系统中是否为重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据完整性。 8.1.5.1.3 结果判定 如果8.1.5.1.2 a)-e)均为肯定,则信息系统符合本单元测评指标要求,否则,信息系统不符合或部分符合本单元测评指标要求。 8.1.5.2 数据保密性 8.1.5.2.1 测评指标 见jr/t 0060-2010 8.1.5.2。 8.1.5.2.2 测评实施 本项要求包括: a) 应检查网络设备、操作系统和数据库管理系统,查看其管理数据和鉴别信息是否采用加密或其他有效措施实现了传输和存储保密性; b) 应检查应用系统,查看其管理数据、鉴别信息和重要业务数据是否采用加密或其他有效措施实现传输和存储保密性; c) 应检查网络设备、操作系统、数据库管理系统和应用系统中是否为重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据保密性; |
- 此法规有错误,我来纠正。请点击在此 提交错误内容或者您纠正的内容!