網絡與信息安全自查情況的報告(精)

1、國都證券有限責任公司文件 國都信字20111010號 關于網絡與信息安全自查情況的報告 東城公安分局網安大隊 : 根據貴局關于網絡與信息安全自查的要求 , 國都證券有限責任公司組織有關部 門和人員對信息系統(tǒng)的安全管理制度、建設和全管理、安全運營、應急管理等進行 了自查, 現將有關自查情況報告提交貴局審閱。 特此報告。 附件: 國都證券有限責任公司關于網絡與信息安全自查情況的報告 二O一一年六月二十八日 主題詞: 信息技術自查情況報告 內部抄送: 公司領導 , 綜合管理部、人力資源部、 合規(guī)與風險管理部。 校對:李靜波印制 :3 份 2011 年 6月 28日發(fā) 附件: 國都證券有限責任公司 關

2、于網絡與信息安全自查情況的報告 東城公安分局網安大隊 : 根據貴局關于網絡與信息安全自查的要求 , 國都證券有限責任公司 ( 以下簡稱 “公司”或“我司”組織有關部門和人員對信息系統(tǒng)的安全管理制度、建設和全管 理、安全運營、應急管理等進行了自查 , 現將有關自查情況報告如下 : 一、信息安全總體情況 公司一直非常重視信息系統(tǒng)的安全管理工作。公司明確由信息技術中心負責信 息系統(tǒng)的安全管理工作 , 公司在信息系統(tǒng)的安全制度建設、安全管理機構、人員安 全管理、系統(tǒng)建設管理、系統(tǒng)運維管理等方面不斷細化和完善, 公司信息系統(tǒng)總體 運行穩(wěn)定 , 未發(fā)生重大網絡與信息系統(tǒng)安全事件。 ( 一建立安全管理制度

3、公司 2010 年全面修訂信息技術的相關管理制度 , 明確了信息技術管理組織框 架、信息安全管理的總體目標和原則。公司建立了信息技術安全管理辦法 , 明確了 信息系統(tǒng)安全管理工作的重點為身份識別 ( 賬戶權限及密碼、訪問控制、漏洞管 理、病毒防范、日志管理、系統(tǒng)安全策略配置、信息安全事件處置等方面 , 明確了 安全管理操作的原則和規(guī)范。 公司安全管理制度的制定、修訂和發(fā)布等均按公司有關制度的要規(guī)定進行 , 安 全管理制度由信息技術中心制定、修訂 , 由合規(guī)與風險管理部及相關部門參與審核 公司通過發(fā)文的形式完成安全制度的發(fā)布 , 公司規(guī)定每年對制度進行一次梳理并酌 情進行修訂。 ( 二明確安全管

4、理機構 公司明確了信息技術中心負責公司信息系統(tǒng)安全管理工作 , 信息技術中心設立 并配備了安全管理員、網絡管理員、系統(tǒng)運維管理員等 , 公司總部各部門、北京交 易中心、上海災備中心及各營業(yè)部均指定專人為安全管理聯絡員。系統(tǒng)的運行、網 絡接入和重要資源的訪問均通過公司 0A 辦公系統(tǒng)進行審批，依據審批內容不同將分 別由部門負責人、主管公司領導等審批。公司通過電話、即時通信工具等及時進行 公司內部信息的溝通以及與公安、電信及兄弟單位等部門的溝通。 ( 三人員安全管理 公司由人力資源部負責人員的招聘和錄用 , 公司明確禁止錄用有犯罪或嚴重違 規(guī)行為記錄的人員從事公司信息技術工作 , 公司與員工均簽有

5、保密協(xié)議 , 在人員離職 時均要求辦理交接手續(xù)并終止系統(tǒng)訪問權限等 , 公司不斷加強安全意識的教育與培 訓工作 , 對信息技術中心關鍵崗位人員上崗前均進行必要的培訓 , 公司制訂了信息技 術事故認定與處理制度 , 規(guī)范了相關獎懲的措施。 ( 四系統(tǒng)建設管理 公司完成了主要信息系統(tǒng)安全的保護等級工作 , 相關信息系統(tǒng)的定級結果經證 監(jiān)局核準后已報北京市公安局備案。 公司在系統(tǒng)建設時就網絡設計、訪問管理、應用安全等與廠商和有關部門進行 詳細溝通 ,并結合公司情況及監(jiān)管要求 , 審查廠商的方案是否符合公司安全管理要求 公司要求開發(fā)商提供的產品涉及密碼產品的應提供國家有關部門的資質證書。公司 制定了信

6、息技術項目管理、采購的制度 , 明確了負責采購的部門為信息技術中心及 采購程序,公司在軟件安裝前通過N0D3防病毒系統(tǒng)進行病毒檢測，但缺乏全面的惡 意代碼檢測機制。 公司規(guī)定了項目實施前應建立項目計劃書并實施項目周報制度 , 公司由信息技術中心負責項目建設的管理工作 , 系統(tǒng)的測試工作由信息技術中 心協(xié)調有關部門工作完成。公司規(guī)定了信息系統(tǒng)上線前廠商應提供的有關文檔資料 并安排廠商對公司有關部門和人員進行必要的運維和使用的培訓。 公司對信息系統(tǒng)涉及的網絡、設備、應用等根據系統(tǒng)運行情況進行必要的巡查 總體來看 , 公司信息系統(tǒng)安全狀況基本達到安全等級保護的要求 , 但是公司網站等需 要進一步完善

7、安全管理措施,即將建設硬件防病毒網關與更新高性能的 WEB應用防 火墻 , 均已完成立項工作。 公司明確了信息系統(tǒng)安全建設的主管領導、責任部門和相關責任人員 , 公司在 相關系統(tǒng)的建設時分析其對公司網絡資源、訪問控制、使用管理等可能出現的問題 并盡可能改進有關安全管理的措施 , 確保系統(tǒng)安全穩(wěn)定運行。 公司購置了多種類型的安全硬件設備 ,并于 2010年部署了終端安全管理系統(tǒng) , 與提供產品的多家安全廠商保持著常年合作的關系。在合作期間眾廠商皆對我公司 的信息系統(tǒng)提供各類安全檢查、威脅發(fā)現、整改建議等服務。 ( 五系統(tǒng)運維管理 公司制定了機房與運行環(huán)境管理辦法對有關機房物理訪問、人員及設備進出

8、機 房、基礎環(huán)境、開關機要求等僅進行了規(guī)范 , 信息技術中心明確具體人員負責有關 操作和監(jiān)控。 公司制定了信息技術設備管理辦法及固定資產管理辦法 , 對信息技術設備的登 記、使用、關鍵設備的管理及處置等進行了規(guī)范 , 公司綜合管理部對公司信息技術 設備進行盤點和登記。 公司制定了信息系統(tǒng)數據管理辦法 , 對數據的備份與恢復、數據的訪問及有關 操作進行了規(guī)范 , 根據信息系統(tǒng)及數據的重要程度分別 采用硬盤、光盤并通過手工、自動等方式進行全量、增量的數據備份 , 對光盤 等存儲介質進行異地保存。 公司制定了信息技術設備管理辦法、網絡管理辦法 , 明確了相關設備及網路的 管理部門為信息技術中心及機房

9、負責人、網絡管理員等 , 公司信息技術設備的選型 由信息技術中心負責 , 一般信息技術設備的采購由綜合管理部負責 ,符合信息技術項 目采購管理辦法的設備采購由信息技術中心負責 , 公司機房內關鍵設備的開啟和關 閉均由各機房值班人員按開關機操作流程進行操作 , 未規(guī)定流程的操作應經機房負 責人同意后進行操作。 公司制定了網絡管理辦法等制度 , 對網絡安全配置、日志保存時間、安全策 略、升級與打補丁、口令更新周期等方面進行了規(guī)定 , 公司設立網絡管理員負責網 絡運行日志、網絡監(jiān)控記錄的日常維護和報警信息分析和處理工作 , 網絡管理員每 季度對網絡系統(tǒng)進行漏洞掃描 , 對發(fā)現的網絡系統(tǒng)安全漏洞采取措

10、施進行修補 , 并備 份有關配置，公司與外部系統(tǒng)的連接均通過0A辦公系統(tǒng)有關流程進行審批得到授權 和批準; 公司制定了信息系統(tǒng)權限管理制度 , 公司相關系統(tǒng)的訪問控制策略根據最小化 原則通過審批后才賦予相關用戶 , 公司根據信息系統(tǒng)運行情況不定期進行漏洞掃描 , 對發(fā)現的系統(tǒng)安全漏洞在保證公司系統(tǒng)穩(wěn)定運行的情況下在與信息系統(tǒng)安全管理員 及相關廠商溝通后酌情進行修補 , 因系統(tǒng)實時性要求較高 , 公司未全面開啟有關設備 和系統(tǒng)的審計功能 ,公司每天對系統(tǒng)運行情況進行實時的監(jiān)控和巡檢 ,并根據情況對 有關日志進行不定期的分析。 公司安裝了 N0D3網絡版防病毒系統(tǒng)、億陽網管終端安全管理系統(tǒng)并由安全

11、管 理員管理 , 公司要求所有外來設備在接入網絡前進行檢查 , 公司嚴格控制外來設備接 入交易網 , 公司信息技術安全管理辦法 對防惡意代碼軟件的授權使用、 惡意代碼庫升級、 匯報等作出了規(guī)定。 公 司制定了信息系統(tǒng)密碼管理辦法及系統(tǒng)變更管理辦法， 公司在 信息技術項目采購 時對涉及密碼內容的， 均要求廠商出具由證明產品 符合國家主管部門要求的資質 證書等， 公司系統(tǒng)變更管理辦法對系統(tǒng) 變更的角色、程序、版本、操作等進行了 規(guī)范，重大升級均通過公司 0A 系統(tǒng)進行審批并在通過業(yè)務和技術為測試后進行。 公司根據系統(tǒng)的重要性等分別進行系統(tǒng)級的熱備、溫備、冷備、 災備措施，公司 制定了信息系統(tǒng)災備管

12、理辦法，明確了災備啟動和恢 復的條件、程序、操作流程 等，公司信息系統(tǒng)數據管理辦法，對數據 的備份與恢復的周期、介質、保存等進 行了規(guī)范。 公司制定了信息技術事故認定與處理制度和風險報告制度， 規(guī)定 了 信息技術安全事件的處理及報告程序， 公司信息技術安全事件的報 告以風險控制 單的形式通過 0A 辦公系統(tǒng)流轉。 公司制定了網絡與信息安全事件應急預案，預 案對決策體系、啟 動條件、信息的報告和發(fā)布、不同情況的應急處理程序、演練 及培訓 等進行了基本的規(guī)范， 公司集中交易及相關系統(tǒng)每年最少進行兩次包 括 上海災備中心、營業(yè)部的全網演練。 （六） 重要信息系統(tǒng)情況 公司本次自查了 呼叫中心系統(tǒng)、法

13、人清算系統(tǒng)、集中交易系統(tǒng)、 門戶網站、網上交易系統(tǒng)以及投 資與客戶資產管理系統(tǒng)， 6 個系統(tǒng)在 數據安全、網絡安全、物理安全、應用安 全、主機安全幾個方面基本 符合有關安全管理的要求，其中門戶網站、網上交易 系統(tǒng)部署在 IDC 托管機房，其他 4 個系統(tǒng)分別部署在北京交易中心機房、北京總 部中 心機房，各系統(tǒng)公司均安排專門的系統(tǒng)維護人員，運維人員在每個交 易日定 時進行系統(tǒng)巡檢，發(fā)現異常及時處理和報告，系統(tǒng)通過身份鑒 別、權限控制、網 絡控制、數據備份、線路和設備的冗余以及機房的 5 安全控制等基本保證信息系統(tǒng)安全穩(wěn)定運行。 二、 存在問題 通過對公司網 絡與信息安全自查，公司在以下方面存在不

14、足： （一） 信息安全培訓力度不夠 公司基本在員工入職時進行信息系統(tǒng)安全的培訓， 此后較少進行 有關安全使用的 培訓，為強化員工安全意識，公司應該每年至少進行 一定次數的信息系統(tǒng)安全使 用的培訓。 （二） 軟件漏洞檢測不全面 公司目前未進行全面的信息系統(tǒng)安全漏 洞檢測， 一般情況下只進 行病毒檢測，因行業(yè)內廠商基本不提供前端的源代碼， 所有也基本無 法審查是否存在后門的要求，僅要求廠商做出不存在后門的承諾。 （三） 系統(tǒng)自查不完善 公司沒有進行每半年組織一次信息系統(tǒng)安全自查工作， 雖然公司 對網絡、設備、系統(tǒng)均進行不定期的檢查、實時監(jiān)控和巡檢等工作， 但 未專門組織系統(tǒng)安全自查工作。 （四）

15、審計管理不完善 因相關系統(tǒng)運行的安全 穩(wěn)定問題，公司未開啟有關操作系統(tǒng)、數 據庫的全部審計功能，同時各應用系統(tǒng) 自身的審計功能也不是很完 善，有的僅僅記錄的用戶的登錄和退出等。 （五） 網站缺乏更有效地防入侵及檢測設備 公司 2009 年從綠盟科技購置了應用防火墻 WAF60，0 此設備功能 與性能基本上可滿足目前門戶網站的安全需要， 但隨著來自 互聯網的 各類新型安全威脅越來越突出， 有可能使公司的門戶網站造成嚴重的 破壞。 三、 整改計劃 （一） 加強信息安全培訓力度 6 公司開始每年進行至少一次的信息系統(tǒng)安全使用培訓， 公司將在 2012 年制 定培訓計劃時安排此項工作，培訓內容將根據公

16、司信息系 統(tǒng)運行和使用中的問題 選定，主要包括系統(tǒng)補丁安裝、系統(tǒng)漏洞檢測、防病毒軟件的使用、數據的備 份、安全上網等。 責任人：李靜波 （二）完善軟件漏洞檢測 公司將根據系統(tǒng)的 情況逐步實現信息的安全漏洞工作。公司將在2011年年底前安排有關廠商對門 戶網站進行漏洞檢測，并根據檢測 的結果，要求開發(fā)商進行系統(tǒng)安全加固工作， 此項工作每年將至少執(zhí)行一次。責任人：孫育紅、李靜波（三）增強系統(tǒng)安全 自查工作 公司將由信息技術中心牽頭，每年至少一次對全公司各類信息系 統(tǒng)進 行全面的安全檢查工作，包括但不僅限于網絡、設備、應用系統(tǒng)等。責任人：王 士軍、李靜波、楊炯 逐步完善審計管理工作（四）逐步完善審計管理工作 因公 司交易系統(tǒng)實時性要求極高，本著謹慎的原則，公司將進一步與廠商、其他證券 公司溝通就審計功能開啟問題進行溝通，在確保系統(tǒng)安全穩(wěn)定運行的前提下，逐 步開啟必要的審計功能，同時與各信 息系統(tǒng)開發(fā)商溝通，要求其完善自身應用的審 計功能等。 責任人：各系統(tǒng)負責人 （五）完善門戶網站安全機制的建設 公司門 戶網站是對外信息發(fā)布的窗口，是與外界進行網絡溝通的 橋梁，也是未來廣大用 戶辦理業(yè)務的便捷通道，它的正常與否將直接關系到運營商提供的服務質量及其 公眾形象。公司對于此系統(tǒng)的安全7 建設相當重視，已立項購置硬件防病毒