中國(guó)票據(jù)交易系統(tǒng).doc

1、中國(guó)票據(jù)交易系統(tǒng)系統(tǒng)參與者接入端信息系統(tǒng)檢查標(biāo)準(zhǔn)(適用于使用交易系統(tǒng)直連參與者)(V2.0)上海票據(jù)交易所2019年01月一、必備標(biāo)準(zhǔn)必備標(biāo)準(zhǔn)是指被驗(yàn)收參與機(jī)構(gòu)接入端信息系統(tǒng)檢查必須完全達(dá)到的標(biāo)準(zhǔn)。必備標(biāo)準(zhǔn)中任何一項(xiàng)指標(biāo)不達(dá)標(biāo), 視為接入端信息系統(tǒng)檢查驗(yàn)收不通過(guò)。1、網(wǎng)絡(luò)環(huán)境被檢查機(jī)構(gòu)： 說(shuō)明：檢查范圍為中國(guó)票據(jù)交易系統(tǒng)（直連通信平臺(tái)（JAR包）部署服務(wù)器）運(yùn)行的網(wǎng)絡(luò)系統(tǒng)環(huán)境，包括局域網(wǎng)，與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡(luò)安全設(shè)備。編號(hào)檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法自查結(jié)果檢查結(jié)果備注1網(wǎng)絡(luò)綜合布線1、檢查直連通信平臺(tái) （JAR包）部署服務(wù)器所在的網(wǎng) 絡(luò)布線情況，能夠直接判斷哪些線路屬于被檢

2、查機(jī)器現(xiàn)場(chǎng)查看走線是否合 理，布線是否規(guī)整， 布線是否采用統(tǒng)一標(biāo) 識(shí)。完成就緒符合符合要求未達(dá)要求2網(wǎng)絡(luò)冗余和備份1、應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)各個(gè)現(xiàn)場(chǎng)檢查與文檔審查 結(jié)合。現(xiàn)場(chǎng)檢查：1. 與交易系統(tǒng)業(yè)務(wù) 相關(guān)的網(wǎng)絡(luò)區(qū)域 設(shè)備配置至少為 1:1冗余備份，租 用兩家不同運(yùn)營(yíng)商的線路連接到 票交所。2. 參與機(jī)構(gòu)提出高 峰時(shí)業(yè)務(wù)帶寬與 租用電路帶寬比 對(duì)。完成就緒符合符合要求未達(dá)要求部分的帶寬滿足業(yè)務(wù)高峰期需要。 設(shè)備和通信線路具有冗余備份。應(yīng)保證關(guān)鍵的網(wǎng)絡(luò)現(xiàn)場(chǎng)檢查與文檔審查 結(jié)合。完成就緒符合3網(wǎng)管系統(tǒng)1、應(yīng)配有網(wǎng)絡(luò)管理系統(tǒng)對(duì)中國(guó)票據(jù)交易系統(tǒng)接入環(huán) 境進(jìn)行有效監(jiān)控現(xiàn)場(chǎng)檢查：登陸網(wǎng)管檢

3、查，對(duì)被 管理設(shè)備一個(gè)網(wǎng)絡(luò)接 口進(jìn)行關(guān)閉和打開(kāi)操 作，網(wǎng)管能有效監(jiān)控。符合要求未達(dá)要求4網(wǎng)絡(luò)入侵防范設(shè) 備1、應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、 強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢 岀攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等。2、 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、 攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供 報(bào)警?，F(xiàn)場(chǎng)檢查與文檔審查 結(jié)合?，F(xiàn)場(chǎng)檢查：交易系統(tǒng)業(yè)務(wù)服務(wù)器 所在網(wǎng)絡(luò)區(qū)域配置了 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。完成就緒符合符合要求未達(dá)要求5網(wǎng)絡(luò)防火墻1、應(yīng)在網(wǎng)絡(luò)邊界部署防火墻設(shè)備，啟用訪問(wèn)控制功 能。檢查交易系統(tǒng)業(yè)務(wù)服務(wù)器是否部署了防火墻進(jìn)行防護(hù)。完成就緒符合符合要

4、求未達(dá)要求6IP子網(wǎng)劃分1、應(yīng)根據(jù)重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原 則為各子網(wǎng)、網(wǎng)段分配地址段。現(xiàn)場(chǎng)檢查與文檔審查 結(jié)合?，F(xiàn)場(chǎng)檢查：1. 在交易系統(tǒng)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)設(shè)備使用showvia n brief查看交易系統(tǒng)業(yè)務(wù)網(wǎng)段是否與 其他網(wǎng)段屬于不同 vla n.2. 使用 show vlan access-map查看交易 系統(tǒng)業(yè)務(wù)所在vlan與 其他非相關(guān)vlan是否完成就緒符合符合要求未達(dá)要求配置訪問(wèn)控制。檢 查 人：被查單位協(xié)查人員： 2、主機(jī)與數(shù)據(jù)安全檢查被檢查機(jī)構(gòu)：編號(hào)檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法自查結(jié)果檢查結(jié)果備注1系統(tǒng)保護(hù)1、應(yīng)具備系統(tǒng)備份。

5、2、應(yīng)具有故障恢復(fù)策略。3、應(yīng)具有安全配置標(biāo)準(zhǔn)，并進(jìn)行安全配置。4、應(yīng)具有主機(jī)加固標(biāo)準(zhǔn)，并對(duì)主機(jī)進(jìn)行加固?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合完成就緒符合符合要求未達(dá)要求2數(shù)據(jù)備份1、須定期進(jìn)行數(shù)據(jù)備份。2、應(yīng)米用高可用性的備份介質(zhì)。3、應(yīng)采用合理的備份方式。4、應(yīng)定期進(jìn)行異地?cái)?shù)據(jù)備份。5、應(yīng)進(jìn)行備份數(shù)據(jù)有效性檢驗(yàn)。現(xiàn)場(chǎng)檢查與文檔審查結(jié)合完成就緒符合符合要求未達(dá)要求檢 查 人：被查單位協(xié)查人員： _ 3、中國(guó)票據(jù)交易系統(tǒng)（直連通信平臺(tái)（JAR包）部署服務(wù)器）被檢查機(jī)構(gòu)：編號(hào)檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法自查結(jié)果檢查結(jié)果備注（一）直連通信平臺(tái)（JAR包）部署服務(wù)器環(huán)境檢查1直連通信平臺(tái)配置檢查檢查

6、perties、MQSperties、 MQRperties中各配置項(xiàng)是否正確查看perties、 MQSe perties、MQReceive .properties 文件完成就緒符合符合要求未達(dá)要求2檢查主Jar包及依 賴檢查主 api： SHCPEClient.jar 依賴 jar 包：dmqs-client-1.0.2.jar activemq-clie nt-5.14.3.jar activemq-jms-pool-5.14.3.jar activemq-pool-5.14.3.jar cglib-no dep-2.2.

7、2.jar com mon s-pool2-2.4.2.jar ger onim o-j2ee-ma nageme nt_1.1_spec-1.O.1.jar gero nimo-jms_1.1_spec-1.1.1.jar gero nimo-jta_1.0.1B_spec-1.0.1.jar hamcrest-core-1.3.jar檢查jar包及版本完成就緒符合符合要求未達(dá)要求hawtbuf-1.11.jar hawtbuf-proto-1.11.jar hawtbuf-protoc-1.11.jarIog4j-api-2.8.jarIog4j-core-2.8.jar slf4j-ap

8、i-1.7.13.jar slf4j- nop-1.7.25.jar objen esis-1.3.jar3Jar包日志檢查1、檢查應(yīng)用日志文件輸岀文件相對(duì)位置，配置是否 正確logs/m on itor.log logs/shcpe_clie nt.log2、檢查輸岀應(yīng)用日志的目錄是否有寫入權(quán)限。查看日志文件logs/m on itor.log logs/shcpe_clie nt .log完成就緒符合符合要求未達(dá)要求4檢查JDK版本SUN JDK =1.7IBM JDK =1.7二選一java -versi on完成就緒符合符合要求未達(dá)要求5FTP服務(wù)器配置檢查FTP服務(wù)器配置，ip、端口

9、、用戶名FTP配置文件完成就緒符合符合要求未達(dá)要求（二）行內(nèi)接入軟件版本檢查1行內(nèi)接入軟件版 本標(biāo)識(shí)檢查應(yīng)在系統(tǒng)中有明確位置顯示行內(nèi)系統(tǒng)接入軟件版本 號(hào)現(xiàn)場(chǎng)檢查完成就緒符合符合要求未達(dá)要求2行內(nèi)接入軟件版 本一致性檢查被驗(yàn)收環(huán)境行內(nèi)接入軟件版本應(yīng)與接入端軟件驗(yàn)收 檢測(cè)時(shí)部署的版本一致行內(nèi)自行報(bào)告完成就緒符合符合要求未達(dá)要求檢 查 人：被查單位協(xié)查人員： 般標(biāo)準(zhǔn)般標(biāo)準(zhǔn)是指被驗(yàn)收參與機(jī)構(gòu)接入端信息系統(tǒng)的量化檢查指標(biāo)。一般標(biāo)準(zhǔn)實(shí)行“打分制”，滿分為100分,參與機(jī)構(gòu)得分應(yīng)達(dá)到或者超過(guò)70分1、網(wǎng)絡(luò)系統(tǒng)環(huán)境檢查（32分）被檢查機(jī)構(gòu)：說(shuō)明：檢查范圍為中國(guó)票據(jù)交易系統(tǒng)（直連通信平臺(tái)（JAR包）部署服務(wù)器）

10、運(yùn)行的網(wǎng)絡(luò)系統(tǒng)環(huán)境，包括局域網(wǎng)，與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡(luò)安全設(shè)備。編號(hào)檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法分值（最小單位為0.1）自查結(jié)果檢查結(jié)果備注（一）網(wǎng)絡(luò)布線1綜合布線1、走線方式現(xiàn)場(chǎng)查看走線是否 合理。121、布線規(guī)整現(xiàn)場(chǎng)查看布線是否 規(guī)整。131、統(tǒng)一標(biāo)識(shí)現(xiàn)場(chǎng)查看布線是否 采用統(tǒng)標(biāo)識(shí)。1（二）網(wǎng)絡(luò)系統(tǒng)1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1、中國(guó)票據(jù)交易系統(tǒng)接入環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)清晰 合理，并繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié) 構(gòu)圖。現(xiàn)場(chǎng)檢查與文檔審 查結(jié)合?，F(xiàn)場(chǎng)檢查：登陸網(wǎng)管查看是否 能展示交易系統(tǒng)業(yè) 務(wù)所在網(wǎng)絡(luò)區(qū)域的 拓?fù)浣Y(jié)構(gòu)。并驗(yàn)證設(shè) 備型號(hào)，設(shè)備間互聯(lián) 等與實(shí)際情況是否 相符。12QoS保證1、

11、應(yīng)按照中國(guó)票據(jù)交易系統(tǒng)交易類數(shù)據(jù)、信息類數(shù)據(jù)來(lái)指定帶寬分配優(yōu)先級(jí)別，保證在網(wǎng)絡(luò)發(fā)生 擁堵的時(shí)候優(yōu)先保護(hù)交易類業(yè)務(wù)的傳輸?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合?，F(xiàn)場(chǎng)檢查：1. 在相關(guān)路由器和交換機(jī)上使 用showclass-map查看交易系統(tǒng)業(yè)務(wù)相關(guān)流量進(jìn) 行標(biāo)記。2. 在相關(guān)路由器 上使用命令 show1policy-map 查 看交易系統(tǒng)業(yè) 務(wù)相關(guān)流量進(jìn) 行優(yōu)先級(jí)保障。保障的帶寬應(yīng) 不小于業(yè)務(wù)業(yè) 務(wù)高峰期需要。（三）網(wǎng)絡(luò)安全1路由安全控制1、應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控 制，建立安全的訪問(wèn)路徑。現(xiàn)場(chǎng)檢查與文檔審查結(jié)合?，F(xiàn)場(chǎng)檢查：1.交易系統(tǒng)業(yè)務(wù)終 端和交易系統(tǒng)業(yè)務(wù) 服務(wù)器是否配置了 防火墻進(jìn)行安

12、全控 制；或交換機(jī)上使用命 令showvia naccess-map查看交易系統(tǒng)終端和交 易系統(tǒng)業(yè)務(wù)服務(wù)器 之間的訪問(wèn)控制列 表.12防火墻安全控制1、須避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連 接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間須采 取可靠的技術(shù)隔離手段。2、 應(yīng)在網(wǎng)絡(luò)邊界部署防火墻設(shè)備，啟用訪問(wèn)控制 功能。3、應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允 許/拒絕訪問(wèn)的能力，控制粒度為端口級(jí)。4、地址轉(zhuǎn)換。5、 宜限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)（可選）。6、宜在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終 止網(wǎng)絡(luò)連接（可選）。現(xiàn)場(chǎng)檢查與文檔審 查結(jié)合?，F(xiàn)場(chǎng)檢查：1. 交易系統(tǒng)業(yè)務(wù)服 務(wù)器是否部署了防

13、 火墻進(jìn)行防護(hù)。2. 檢查防火墻配置 的交易系統(tǒng)相關(guān)策 略，采用了 NAT地址 轉(zhuǎn)換，控制粒度為端 口級(jí)。3. 檢查會(huì)話保持時(shí)間為非長(zhǎng)連接。（可 選）63網(wǎng)絡(luò)ARP欺騙攻擊1、宜具備有效防范網(wǎng)絡(luò) ARP欺騙攻擊的措施（可 選）。現(xiàn)場(chǎng)檢查與文檔審 查結(jié)合?，F(xiàn)場(chǎng)檢查：使用命令 show run in terface（具體接口）命令檢查交易系統(tǒng)業(yè)務(wù)交換機(jī)和 交易系統(tǒng)業(yè)務(wù)服務(wù) 器之間的互聯(lián)口有 無(wú)端口安全配置命 令:switchportport-security14DOS/DDO攻擊1、應(yīng)具有防DOS/DDOS攻擊設(shè)備或技術(shù)手段?，F(xiàn)場(chǎng)檢查與文檔審 查結(jié)合?，F(xiàn)場(chǎng)檢查：例如配置了入侵檢 測(cè)技術(shù)能夠及時(shí)檢

14、測(cè) DOS/DDOS擊。15網(wǎng)絡(luò)設(shè)備安全配置1、 應(yīng)按照安全標(biāo)準(zhǔn)進(jìn)行設(shè)備配置，應(yīng)實(shí)現(xiàn)設(shè)備最 小化服務(wù)配置。2、應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別。3、網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識(shí)應(yīng)唯一。4、 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令 應(yīng)有復(fù)雜度要求并定期更換。5、應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。6、 對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，宜采取必要措施 防止鑒別信息在網(wǎng)絡(luò)傳輸過(guò)程中被竊取。7、應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、 限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動(dòng)退 出等措施?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合。現(xiàn)場(chǎng)檢查交易系統(tǒng) 網(wǎng)絡(luò)設(shè)備：1.參考備注中安全 配置模板進(jìn)行檢查。2 .使用命令：show run

15、| in elude aaa查看是否有身份認(rèn) 證配置。3. 登陸設(shè)備查看設(shè) 備 host name 是否唯。4. 交易系統(tǒng)業(yè)務(wù)相 關(guān)網(wǎng)絡(luò)設(shè)備上使用 show run |i nclude vty 查看vty下是否 做了訪問(wèn)控制，允許 指定地址登陸、采用SSH限制了非法登7參考安全配 置模板和相 應(yīng)的指引陸次數(shù)和連接超時(shí)。如：line vty 0 4access-class VTY-IN in exec-timeout 5 0 logging synchronous transport input ssh transport output all4.密碼有一定復(fù)雜 度并定期更換。（四）網(wǎng)絡(luò)管理1日

16、志信息1、應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)及防火墻設(shè)備運(yùn)行狀 況、用戶行為等進(jìn)行日志記錄，內(nèi)容應(yīng)包括：事 件的日期和時(shí)間、用戶、事件類型、事件是否成 功及其他相關(guān)的信息。2、 應(yīng)對(duì)日志記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪 除、修改或覆蓋等。3、日志存儲(chǔ)時(shí)間應(yīng)不少于半年。4、應(yīng)根據(jù)需要，可按時(shí)間段或設(shè)備類型等維度提 出所需日志。現(xiàn)場(chǎng)檢查與文檔審 查結(jié)合?，F(xiàn)場(chǎng)檢查：檢查日志服務(wù)器是 否有相關(guān)設(shè)備的日 志記錄，能提供一個(gè) 保存半年左右的日 志。42配置文件離線備份1、應(yīng)對(duì)設(shè)備配置文件定期進(jìn)行離線備份?，F(xiàn)場(chǎng)檢查與文檔審 查結(jié)合。現(xiàn)場(chǎng)檢查：提供一個(gè)一個(gè)月前1的離線備份配置文 件。（五）網(wǎng)絡(luò)設(shè)備運(yùn)維制度1網(wǎng)絡(luò)設(shè)備運(yùn)維制度

17、1、應(yīng)具有網(wǎng)絡(luò)配置變更管理流程和制度。2、應(yīng)建立網(wǎng)絡(luò)安全管理制度，對(duì)網(wǎng)絡(luò)安全配置、 日志保存時(shí)間、安全策略、升級(jí)與打補(bǔ)丁、口令 更新周期等方面做岀規(guī)定。3、宜具有設(shè)備參數(shù)配置標(biāo)準(zhǔn)手冊(cè)。4、應(yīng)具有網(wǎng)絡(luò)事故管理制度。5、應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批 準(zhǔn)。6、應(yīng)定期檢查違反規(guī)定撥號(hào)上網(wǎng)或其他違反網(wǎng)絡(luò) 安全策略的行為?，F(xiàn)場(chǎng)檢查與文檔審 查結(jié)合。6注：網(wǎng)絡(luò)設(shè)備安全配置模板：service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service passwor

18、d-e ncrypti onip sub net-zerono ip doma in-lookupno ip source-routeno service padno ip bootp serverno ip http serverno service dhcpno service fin ger service n agleno ip gratuitous-arps service tcp-keepalives-i n service tcp-keepalives-out no boot n etworkno ip ide ntdno service configno service tcp

19、-small-servers no service udp-small-servers no cdp run檢 查 人：被查單位協(xié)查人員:2、主機(jī)與數(shù)據(jù)安全檢查（53分）被檢查機(jī)構(gòu)：編號(hào)檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法分值（最小單位為0.1 ）自查結(jié)果檢查結(jié)果備注（一）主機(jī)安全1身份鑒別1、應(yīng)分別設(shè)置專用的系統(tǒng)和應(yīng)用管理員用戶。2、系統(tǒng)與應(yīng)用管理員口令應(yīng)具有一定的復(fù)雜度， 并定期更換。3、宜對(duì)冋一用戶采用兩種或兩種以上組合的鑒別 技術(shù)實(shí)現(xiàn)用戶身份鑒別。4、應(yīng)具有登錄失敗處理功能，可采取結(jié)束會(huì)話、 限制非法登錄次數(shù)和自動(dòng)退出等措施?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。42自主訪問(wèn)控制1、宜控制主機(jī)信任關(guān)系。2、

20、應(yīng)清除默認(rèn)過(guò)期用戶。3、應(yīng)按照最小授權(quán)原則分配用戶權(quán)限?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。33強(qiáng)制訪問(wèn)控制1、應(yīng)控制重要系統(tǒng)文件權(quán)限。2、應(yīng)保證共享目錄安全。3、應(yīng)控制遠(yuǎn)程登錄。現(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。34安全審計(jì)1、 日志記錄的內(nèi)容至少應(yīng)包括事件的日期、時(shí)間、 發(fā)起者信息、類型、描述和結(jié)果等。2、應(yīng)對(duì)日志記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。3、宜提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析 及生成審計(jì)報(bào)表的功能。4、宜提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng) 用系統(tǒng)重要安全事件進(jìn)行審計(jì)。5、應(yīng)對(duì)無(wú)用的過(guò)期信息、文檔進(jìn)行完整刪除，并 建立數(shù)據(jù)刪除制度、保留刪除記錄?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)

21、合 結(jié)口。55系統(tǒng)保護(hù)1、應(yīng)具有系統(tǒng)備份。2、應(yīng)具有故障恢復(fù)策略。3、應(yīng)具有安全配置標(biāo)準(zhǔn)，并進(jìn)行安全配置。4、宜具有磁盤空間分配策略。5、應(yīng)具有主機(jī)加固標(biāo)準(zhǔn)，并對(duì)主機(jī)進(jìn)行加固。現(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。56剩余信息保護(hù)1、應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)用戶的鑒別信息 所在的存儲(chǔ)空間，被釋放或再分配給其他用戶前得 到完全清除，無(wú)論這些信息是存放在硬盤上還是在 內(nèi)存中；2、應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫(kù)記錄等資 源所在的存儲(chǔ)空間，被釋放或重新分配給其他用戶 前得到完全清除?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。27入侵防范1、應(yīng)能夠檢測(cè)到對(duì)重要服務(wù)器進(jìn)行入侵的行為， 能夠記錄入侵的源IP、攻擊的類型、攻

22、擊的目的、 攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。2、應(yīng)關(guān)閉系統(tǒng)不必要的服務(wù)和端口?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。33、操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要 的組件和應(yīng)用程序。8惡意代碼防范1、應(yīng)及時(shí)更新防惡意代碼軟件版本和惡意代碼庫(kù)。2、防惡意代碼軟件宜具有統(tǒng)一的控制措施。3、宜及時(shí)安裝系統(tǒng)必要的補(bǔ)丁。4、宜定期進(jìn)行漏洞掃描?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。49資源控制1、應(yīng)通過(guò)設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條 件限制終端登錄。2、應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時(shí)鎖定 或退出。3、應(yīng)對(duì)重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的 CPU硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。4、應(yīng)能夠?qū)ο到y(tǒng)

23、的服務(wù)水平降低到預(yù)先規(guī)定的最 小值進(jìn)行監(jiān)測(cè)和報(bào)警?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。4（二）數(shù)據(jù)安全1數(shù)據(jù)存儲(chǔ)1、須采用有效措施保障存儲(chǔ)數(shù)據(jù)的安全。2、 存儲(chǔ)內(nèi)容應(yīng)至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、 重要業(yè)務(wù)數(shù)據(jù)等內(nèi)容?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。22數(shù)據(jù)存儲(chǔ)設(shè)備1、應(yīng)米用安全、高可用性的數(shù)據(jù)存儲(chǔ)設(shè)備。2、設(shè)備型號(hào)應(yīng)滿足備份策略要求。3、應(yīng)選擇正規(guī)可靠的設(shè)備供應(yīng)商。4、應(yīng)采取相應(yīng)制度、措施保障設(shè)備安全性?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。43數(shù)據(jù)備份1、須定期進(jìn)行數(shù)據(jù)備份。2、應(yīng)米用高可用性的備份介質(zhì)。3、應(yīng)采用合理的備份方式。4、 備份內(nèi)容應(yīng)至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、 重要業(yè)務(wù)數(shù)據(jù)等內(nèi)容。5、應(yīng)定期進(jìn)行異地?cái)?shù)據(jù)備份。6、應(yīng)進(jìn)行備份數(shù)據(jù)有效性檢驗(yàn)。現(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。64數(shù)據(jù)備份介質(zhì)管理1、應(yīng)在高可用性的物理環(huán)境中保存介質(zhì)。2、應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對(duì)各類介質(zhì) 進(jìn)行控制和保護(hù)，并實(shí)行存儲(chǔ)環(huán)境專人管理。3、應(yīng)制定備份介質(zhì)銷毀制度，保留銷毀記錄?，F(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。35數(shù)據(jù)備份恢復(fù)管理制度1、應(yīng)具有恢復(fù)制度。2、應(yīng)具有恢復(fù)演練計(jì)劃和演練記錄。3、應(yīng)具有恢復(fù)記錄。現(xiàn)場(chǎng)檢查與文檔審查結(jié)合 結(jié)口。36數(shù)字證書管理1、應(yīng)有專人管理。2、放置合理