【2019年整理】證券期貨基金公司信息系統(tǒng)安全檢查表

1、證券、期貨、基金公司信息系統(tǒng)安全檢查表 受檢單位 名稱 檢查日期 檢杳小組 成員名單 檢杳小組組長 簽字 受檢單位 技術(shù)負(fù)責(zé) 人簽字 受檢單位負(fù)責(zé) 人簽字 檢查情況 備注 檢杳項(xiàng)目 檢杳內(nèi)容 適用范圍 檢查結(jié)果 備注 證 總 證 營 期 總 期 營 基 金 1 門 戶 網(wǎng) 1. 漏 洞、木 馬、病 毒檢測(cè) 1是否安裝了實(shí)時(shí)升級(jí)，在線掃描的木馬、 病毒防護(hù)軟件 是否 2是否建立了定期掃描并修補(bǔ)漏洞的工作制 度 是否 3是否對(duì)網(wǎng)站進(jìn)行了全面檢查，消除了sql 注入漏洞、弱口令帳戶、繞過驗(yàn)證、目錄遍 歷、文件上傳、下單網(wǎng)頁未使用 HTTPS加密 機(jī)制等安全隱患 是否 站 及 網(wǎng) 上 交 易 系 統(tǒng)

2、2門戶 網(wǎng)站和 網(wǎng)上交 易系統(tǒng) 隔離 1門戶網(wǎng)站和網(wǎng)上交易系統(tǒng)是否進(jìn)行了嚴(yán)格 隔離 是否 2.網(wǎng)上交易下單網(wǎng)頁和網(wǎng)上交易后臺(tái)數(shù)據(jù)庫 之間是否進(jìn)行了嚴(yán)格有效隔離 是否 3.交易 軟件客 戶端下 載 是否對(duì)通過網(wǎng)站下載的網(wǎng)上交易客戶端軟件 采取了嚴(yán)格的防護(hù)措施，能夠防止被捆綁木 馬程序 是否 4.端口 限制和 遠(yuǎn)程管 理 1是否在防火墻和服務(wù)器上關(guān)閉了與業(yè)務(wù)無 關(guān)的端口 是否 2.是否禁止了通過互聯(lián)網(wǎng)對(duì)防火墻、網(wǎng)絡(luò)設(shè) 備、服務(wù)器進(jìn)行遠(yuǎn)程管理和維護(hù) 是否 5.訪問 控制與 審計(jì) 是否采用了可靠的身份認(rèn)證、訪問控制和安 全審計(jì)措施，防止來自互聯(lián)網(wǎng)的非法接入和 非法訪問 是否 6.網(wǎng)頁 安全 1.是否對(duì)

3、網(wǎng)頁采取了防篡改等措施 是否 2.是否對(duì)網(wǎng)頁內(nèi)容采取了監(jiān)控、過濾機(jī)制 是否 2 1.網(wǎng)絡(luò) 隔離 1是否對(duì)交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)實(shí)施了物 理隔離 是否 交 易 業(yè) 務(wù) 系 統(tǒng) 2.處理交易業(yè)務(wù)的計(jì)算機(jī)終端和移動(dòng)存儲(chǔ)介 質(zhì)是否專網(wǎng)專用，不允許訪問互聯(lián)網(wǎng) 是否 3是否米用了可靠的身份認(rèn)證、訪問控制和 安全審計(jì)措施，防止來自內(nèi)部或現(xiàn)場(chǎng)交易的 非法接入和非法訪問 是否 4是否在核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù) 網(wǎng)之間米取了有效的隔離措施，確保在外圍 系統(tǒng)被攻擊的情況下，核心交易業(yè)務(wù)網(wǎng)能夠 安全運(yùn)行 是否 2.交易 業(yè)務(wù)系 統(tǒng)維護(hù) 是否制訂了交易業(yè)務(wù)系統(tǒng)主機(jī)、存儲(chǔ)設(shè)備、 網(wǎng)絡(luò)設(shè)備的監(jiān)控和維護(hù)計(jì)劃，并有監(jiān)控維

4、護(hù) 記錄 是否 3.系統(tǒng) 評(píng)估 公司內(nèi)部是否對(duì)交易業(yè)務(wù)系統(tǒng)的可靠性和安 全性有定期評(píng)估制度，并有評(píng)估報(bào)告 是否 4.系統(tǒng) 升級(jí) 在對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行的重大升級(jí)和更新前 是否制訂了詳細(xì)的升級(jí)方案 是否 1.災(zāi)難 備份和 故障備 份 1.是否對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行了故障備份 是否 2.是否對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行了冋城災(zāi)難備份 是否 3.是否對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行了異地災(zāi)害備份 是否 3 備 份 措 施 2.主機(jī) 備份 1.對(duì)重要主機(jī)、處理機(jī)和存儲(chǔ)設(shè)備等關(guān)鍵設(shè) 備是否建立了備份機(jī)制，并有備機(jī)備件 是否 2.在主機(jī)和處理機(jī)出現(xiàn)故障時(shí)能否實(shí)現(xiàn)主備 機(jī)及時(shí)切換，不影響交易 是否 3.數(shù)據(jù) 備份 1.是否有完整的數(shù)據(jù)備

5、份策略 是否 2.是否對(duì)交易業(yè)務(wù)等關(guān)鍵數(shù)據(jù)進(jìn)行每日備份 是否 3.備份數(shù)據(jù)是否異地存放，安全保管 是否 4.是否對(duì)備份數(shù)據(jù)的有效性進(jìn)行了驗(yàn)證，以 保證備份數(shù)據(jù)在應(yīng)急恢復(fù)時(shí)有效 是否 4.網(wǎng)絡(luò) 備份 1.是否對(duì)交易業(yè)務(wù)系統(tǒng)的主干網(wǎng)絡(luò)設(shè)備建立 了備份機(jī)制，并有備機(jī)備件 是否 2.發(fā)生故障時(shí)，主干網(wǎng)絡(luò)設(shè)備是否可以實(shí)時(shí) 切換，不影響交易 是否 5.通訊 備份 1.是否對(duì)通訊設(shè)備建立了備份機(jī)制，有備機(jī) 備件 是否 2.是否對(duì)重要的通訊線路有冗余備份線路 是否 3.發(fā)生故障時(shí)，通信備份線路是否可以及時(shí) 切換，不影響交易 是否 6.電力 備份 1.是否采用了雙路供電 是否 2.是否采用了 UPS后備電源 是

6、否 3是否配備或租賃了發(fā)電機(jī)設(shè)備作為備份， 并掌握操作要領(lǐng) 是否 4.發(fā)生故障時(shí)，電力設(shè)備能否實(shí)時(shí)切換，不 影響交易 是否 7.空調(diào) 備份 1.是否建立了空調(diào)備份機(jī)制，有備用空調(diào)機(jī) 是否 2.在主用空調(diào)發(fā)生故障時(shí)，備用空調(diào)機(jī)是否 能夠及時(shí)啟用 是否 4 安 全 監(jiān) 控 與 管 理 1.實(shí)時(shí) 監(jiān)控 1是否配備了監(jiān)控設(shè)備和人員，對(duì)交易業(yè)務(wù) 網(wǎng)內(nèi)的服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的性能進(jìn)行24 小時(shí)實(shí)時(shí)監(jiān)控，并形成監(jiān)控記錄 是否 2.是否對(duì)交易、結(jié)算、銀證業(yè)務(wù)等交易業(yè)務(wù) 運(yùn)行情況進(jìn)行24小時(shí)不間斷監(jiān)控，并形成監(jiān) 控記錄 是否 3.是否對(duì)網(wǎng)絡(luò)流量、網(wǎng)站內(nèi)容等米取了24 小時(shí)監(jiān)控措施，并形成監(jiān)控記錄 是否 2.日志

7、 檢查和 分析 1.是否定期對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器 日志進(jìn)行備份 是否 2是否定期對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器 日志進(jìn)行檢查和分析，形成記錄 是否 3.權(quán)限 和口令 管理 1是否對(duì)交易業(yè)務(wù)服務(wù)器、主干交換設(shè)備等 關(guān)鍵設(shè)備按最小安全訪問原則設(shè)置訪問控制 權(quán)限，并及時(shí)清理冗余系統(tǒng)用戶，正確分配 用戶權(quán)限 是否 2是否建立了有效的口令管理制度，有修改 操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)管理員口令的 記錄 是否 3登錄口令修改頻率是否不低于每月一次 是否 4登錄口令長度是否不低于 12位，并米用數(shù) 字、字母、符號(hào)混排的方式 是否 5是否對(duì)交易業(yè)務(wù)服務(wù)器、主干網(wǎng)絡(luò)設(shè)備、 安全設(shè)備等的管理和維護(hù)采取了限制I

8、P登錄 的管理措施 是否 4.病 毒、木 馬監(jiān)控 是否對(duì)業(yè)務(wù)網(wǎng)和辦公網(wǎng)安裝了殺毒和防木馬 軟件，并進(jìn)行定期升級(jí)和在線掃描 是否 5.機(jī)房 安全 1.是否對(duì)機(jī)房進(jìn)出人員進(jìn)行了登記管理 是否 2是否對(duì)外來人員操作系統(tǒng)有陪同、審批和 監(jiān)控制度 是否 3.機(jī)房環(huán)境是否防靜電、防水、防火、防盜、 防蟲害、防潮、防震 是否 5 應(yīng) 急 保 障 1.應(yīng)急 小組 是否成立了突發(fā)事件應(yīng)急處理小組，明確了 事件報(bào)告人，并報(bào)當(dāng)?shù)刈C監(jiān)局備案 是否 2.應(yīng)急 值班制 度 是否建立了應(yīng)急值班制度，并且應(yīng)急值守人 員保持了 24小時(shí)電話通暢 是否 3.應(yīng)急 預(yù)案 是否制定了應(yīng)急處置預(yù)案 是否 4.應(yīng)急 經(jīng)費(fèi)與 物資 是否落

9、實(shí)了應(yīng)急經(jīng)費(fèi)與物資 是否 5.系統(tǒng) 文檔 是否制定了詳細(xì)的系統(tǒng)管理配置文檔 是否 6.應(yīng)急 聯(lián)系人 是否建立了詳細(xì)的應(yīng)急聯(lián)系人文檔，并及時(shí) 更新，保持聯(lián)絡(luò)暢通 是否 7.服務(wù) 協(xié)議 是否和銀行、電力、通信、設(shè)備供應(yīng)商、軟 件開發(fā)商、安全服務(wù)提供商簽訂了應(yīng)急處理 及服務(wù)協(xié)議，并報(bào)當(dāng)?shù)刈C監(jiān)局備案 是否 8.應(yīng)急 演練 1.是否有詳細(xì)的應(yīng)急演練計(jì)劃 是否 2每次應(yīng)急演練后是否有應(yīng)急演練文檔 是否 檢查表說明： 一、適用范圍：共分為 5 類，分別針對(duì)證券機(jī)構(gòu)總部（簡稱“ 證總”）、 證券機(jī)構(gòu)營業(yè)部（簡稱“ 證營”）、期貨機(jī)構(gòu)總部（簡稱“ 期 總”）、期貨機(jī)構(gòu)營業(yè)部（簡稱“ 期營”）、基金公司（簡稱“

10、基金”）。陰影覆蓋表示適用，留白表示不適用。 二、檢查結(jié)果為“ 否” 的項(xiàng)目，請(qǐng)?jiān)谧⑨寵谥凶⒚髟颉?三、特殊項(xiàng)目說明： 2.交易業(yè)務(wù)網(wǎng)：包括核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)。 核心交易業(yè)務(wù)網(wǎng)包括核心集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、三方存管系統(tǒng)、清算系統(tǒng)等系統(tǒng)。 非核心交易業(yè)務(wù)網(wǎng)包括風(fēng)控系統(tǒng)、財(cái)務(wù)系統(tǒng)、 callcenter 系統(tǒng)等業(yè)務(wù)系統(tǒng)。 對(duì)于基金公司，交易業(yè)務(wù)網(wǎng)包括投資交易、注冊(cè)登記、清算估值、基金銷售等業(yè)務(wù)系統(tǒng)。 內(nèi)部辦公網(wǎng)： 與業(yè)務(wù)無關(guān)，支持公司內(nèi)部辦公，可以聯(lián)入 internet 網(wǎng)絡(luò)的其它網(wǎng)絡(luò)。 3.1 故障備份：指交易業(yè)務(wù)系統(tǒng)的重要設(shè)備采取熱備、溫備、冷備等方式，保證系統(tǒng)設(shè)備故障時(shí)

11、能及時(shí)切換，不影響交易。 災(zāi)難備份：指建立了同城災(zāi)備中心，在主交易中心癱瘓的情況下能及時(shí)切換到災(zāi)備中心維持交易。 災(zāi)害備份：指建立了異地災(zāi)備中心，在主交易中心所在地發(fā)生重大自然災(zāi)害情況下，能啟用異地災(zāi)害備份中心維持交易。 3.6 此項(xiàng)前提為營業(yè)場(chǎng)所具有獨(dú)立機(jī)房。 3.6.3 如租賃了發(fā)電機(jī)設(shè)備，應(yīng)出示租賃合同。 3.7.1 備份降溫措施應(yīng)包括：備用空調(diào)或電風(fēng)扇、購買冰塊等措施。 4.1.1 24 小時(shí)實(shí)時(shí)監(jiān)控可以是人員監(jiān)控或監(jiān)控設(shè)備監(jiān)控。 4.3 登錄口令：交易業(yè)務(wù)網(wǎng)關(guān)鍵服務(wù)器設(shè)備、主干網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、安全設(shè)備超級(jí)用戶的登錄口令。 5.4 應(yīng)急物質(zhì)至少包括應(yīng)急燈、手電筒、對(duì)講機(jī)、滅火器、醫(yī)藥箱、五金工具箱等物質(zhì)。 5.5 系統(tǒng)管理配置文檔應(yīng)至少包括交易業(yè)務(wù)系統(tǒng)配置文檔、網(wǎng)絡(luò)設(shè)備配置文檔、存管系統(tǒng)配置文檔等文