



版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、中國票據(jù)交易系統(tǒng)系統(tǒng)參與者接入端信息系統(tǒng)檢查標準(適用于使用交易系統(tǒng)直連參與者)(V2.0)上海票據(jù)交易所2019年01月一、必備標準必備標準是指被驗收參與機構接入端信息系統(tǒng)檢查必須完全達到的標準。必備標準中任何一項指標不達標, 視為接入端信息系統(tǒng)檢查驗收不通過。1、網(wǎng)絡環(huán)境被檢查機構: 說明:檢查范圍為中國票據(jù)交易系統(tǒng)(直連通信平臺(JAR包)部署服務器)運行的網(wǎng)絡系統(tǒng)環(huán)境,包括局域網(wǎng),與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡安全設備。編號檢查項檢查標準檢查方法自查結果檢查結果備注1網(wǎng)絡綜合布線1、檢查直連通信平臺 (JAR包)部署服務器所在的網(wǎng) 絡布線情況,能夠直接判斷哪些線路屬于被檢
2、查機器現(xiàn)場查看走線是否合 理,布線是否規(guī)整, 布線是否采用統(tǒng)一標 識。完成就緒符合符合要求未達要求2網(wǎng)絡冗余和備份1、應保證主要網(wǎng)絡設備的業(yè)務處理能力和網(wǎng)絡各個現(xiàn)場檢查與文檔審查 結合?,F(xiàn)場檢查:1. 與交易系統(tǒng)業(yè)務 相關的網(wǎng)絡區(qū)域 設備配置至少為 1:1冗余備份,租 用兩家不同運營商的線路連接到 票交所。2. 參與機構提出高 峰時業(yè)務帶寬與 租用電路帶寬比 對。完成就緒符合符合要求未達要求部分的帶寬滿足業(yè)務高峰期需要。 設備和通信線路具有冗余備份。應保證關鍵的網(wǎng)絡現(xiàn)場檢查與文檔審查 結合。完成就緒符合3網(wǎng)管系統(tǒng)1、應配有網(wǎng)絡管理系統(tǒng)對中國票據(jù)交易系統(tǒng)接入環(huán) 境進行有效監(jiān)控現(xiàn)場檢查:登陸網(wǎng)管檢
3、查,對被 管理設備一個網(wǎng)絡接 口進行關閉和打開操 作,網(wǎng)管能有效監(jiān)控。符合要求未達要求4網(wǎng)絡入侵防范設 備1、應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為:端口掃描、 強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢 岀攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等。2、 當檢測到攻擊行為時,記錄攻擊源IP、攻擊類型、 攻擊目的、攻擊時間,在發(fā)生嚴重入侵事件時應提供 報警?,F(xiàn)場檢查與文檔審查 結合?,F(xiàn)場檢查:交易系統(tǒng)業(yè)務服務器 所在網(wǎng)絡區(qū)域配置了 網(wǎng)絡入侵檢測系統(tǒng)。完成就緒符合符合要求未達要求5網(wǎng)絡防火墻1、應在網(wǎng)絡邊界部署防火墻設備,啟用訪問控制功 能。檢查交易系統(tǒng)業(yè)務服務器是否部署了防火墻進行防護。完成就緒符合符合要
4、求未達要求6IP子網(wǎng)劃分1、應根據(jù)重要性和所涉及信息的重要程度等因素, 劃分不同的子網(wǎng)或網(wǎng)段,并按照方便管理和控制的原 則為各子網(wǎng)、網(wǎng)段分配地址段?,F(xiàn)場檢查與文檔審查 結合。現(xiàn)場檢查:1. 在交易系統(tǒng)業(yè)務相關網(wǎng)絡設備使用showvia n brief查看交易系統(tǒng)業(yè)務網(wǎng)段是否與 其他網(wǎng)段屬于不同 vla n.2. 使用 show vlan access-map查看交易 系統(tǒng)業(yè)務所在vlan與 其他非相關vlan是否完成就緒符合符合要求未達要求配置訪問控制。檢 查 人:被查單位協(xié)查人員: 2、主機與數(shù)據(jù)安全檢查被檢查機構:編號檢查項檢查標準檢查方法自查結果檢查結果備注1系統(tǒng)保護1、應具備系統(tǒng)備份。
5、2、應具有故障恢復策略。3、應具有安全配置標準,并進行安全配置。4、應具有主機加固標準,并對主機進行加固?,F(xiàn)場檢查與文檔審查結合完成就緒符合符合要求未達要求2數(shù)據(jù)備份1、須定期進行數(shù)據(jù)備份。2、應米用高可用性的備份介質(zhì)。3、應采用合理的備份方式。4、應定期進行異地數(shù)據(jù)備份。5、應進行備份數(shù)據(jù)有效性檢驗?,F(xiàn)場檢查與文檔審查結合完成就緒符合符合要求未達要求檢 查 人:被查單位協(xié)查人員: _ 3、中國票據(jù)交易系統(tǒng)(直連通信平臺(JAR包)部署服務器)被檢查機構:編號檢查項檢查標準檢查方法自查結果檢查結果備注(一)直連通信平臺(JAR包)部署服務器環(huán)境檢查1直連通信平臺配置檢查檢查
6、perties、MQSperties、 MQRperties中各配置項是否正確查看perties、 MQSe perties、MQReceive .properties 文件完成就緒符合符合要求未達要求2檢查主Jar包及依 賴檢查主 api: SHCPEClient.jar 依賴 jar 包:dmqs-client-1.0.2.jar activemq-clie nt-5.14.3.jar activemq-jms-pool-5.14.3.jar activemq-pool-5.14.3.jar cglib-no dep-2.2.
7、2.jar com mon s-pool2-2.4.2.jar ger onim o-j2ee-ma nageme nt_1.1_spec-1.O.1.jar gero nimo-jms_1.1_spec-1.1.1.jar gero nimo-jta_1.0.1B_spec-1.0.1.jar hamcrest-core-1.3.jar檢查jar包及版本完成就緒符合符合要求未達要求hawtbuf-1.11.jar hawtbuf-proto-1.11.jar hawtbuf-protoc-1.11.jarIog4j-api-2.8.jarIog4j-core-2.8.jar slf4j-ap
8、i-1.7.13.jar slf4j- nop-1.7.25.jar objen esis-1.3.jar3Jar包日志檢查1、檢查應用日志文件輸岀文件相對位置,配置是否 正確logs/m on itor.log logs/shcpe_clie nt.log2、檢查輸岀應用日志的目錄是否有寫入權限。查看日志文件logs/m on itor.log logs/shcpe_clie nt .log完成就緒符合符合要求未達要求4檢查JDK版本SUN JDK =1.7IBM JDK =1.7二選一java -versi on完成就緒符合符合要求未達要求5FTP服務器配置檢查FTP服務器配置,ip、端口
9、、用戶名FTP配置文件完成就緒符合符合要求未達要求(二)行內(nèi)接入軟件版本檢查1行內(nèi)接入軟件版 本標識檢查應在系統(tǒng)中有明確位置顯示行內(nèi)系統(tǒng)接入軟件版本 號現(xiàn)場檢查完成就緒符合符合要求未達要求2行內(nèi)接入軟件版 本一致性檢查被驗收環(huán)境行內(nèi)接入軟件版本應與接入端軟件驗收 檢測時部署的版本一致行內(nèi)自行報告完成就緒符合符合要求未達要求檢 查 人:被查單位協(xié)查人員: 般標準般標準是指被驗收參與機構接入端信息系統(tǒng)的量化檢查指標。一般標準實行“打分制”,滿分為100分,參與機構得分應達到或者超過70分1、網(wǎng)絡系統(tǒng)環(huán)境檢查(32分)被檢查機構:說明:檢查范圍為中國票據(jù)交易系統(tǒng)(直連通信平臺(JAR包)部署服務器)
10、運行的網(wǎng)絡系統(tǒng)環(huán)境,包括局域網(wǎng),與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡安全設備。編號檢查項檢查標準檢查方法分值(最小單位為0.1)自查結果檢查結果備注(一)網(wǎng)絡布線1綜合布線1、走線方式現(xiàn)場查看走線是否 合理。121、布線規(guī)整現(xiàn)場查看布線是否 規(guī)整。131、統(tǒng)一標識現(xiàn)場查看布線是否 采用統(tǒng)標識。1(二)網(wǎng)絡系統(tǒng)1網(wǎng)絡拓撲結構1、中國票據(jù)交易系統(tǒng)接入環(huán)境網(wǎng)絡結構設計清晰 合理,并繪制與當前運行情況相符的網(wǎng)絡拓撲結 構圖?,F(xiàn)場檢查與文檔審 查結合。現(xiàn)場檢查:登陸網(wǎng)管查看是否 能展示交易系統(tǒng)業(yè) 務所在網(wǎng)絡區(qū)域的 拓撲結構。并驗證設 備型號,設備間互聯(lián) 等與實際情況是否 相符。12QoS保證1、
11、應按照中國票據(jù)交易系統(tǒng)交易類數(shù)據(jù)、信息類數(shù)據(jù)來指定帶寬分配優(yōu)先級別,保證在網(wǎng)絡發(fā)生 擁堵的時候優(yōu)先保護交易類業(yè)務的傳輸?,F(xiàn)場檢查與文檔審查結合。現(xiàn)場檢查:1. 在相關路由器和交換機上使 用showclass-map查看交易系統(tǒng)業(yè)務相關流量進 行標記。2. 在相關路由器 上使用命令 show1policy-map 查 看交易系統(tǒng)業(yè) 務相關流量進 行優(yōu)先級保障。保障的帶寬應 不小于業(yè)務業(yè) 務高峰期需要。(三)網(wǎng)絡安全1路由安全控制1、應在業(yè)務終端與業(yè)務服務器之間進行路由控 制,建立安全的訪問路徑。現(xiàn)場檢查與文檔審查結合?,F(xiàn)場檢查:1.交易系統(tǒng)業(yè)務終 端和交易系統(tǒng)業(yè)務 服務器是否配置了 防火墻進行安
12、全控 制;或交換機上使用命 令showvia naccess-map查看交易系統(tǒng)終端和交 易系統(tǒng)業(yè)務服務器 之間的訪問控制列 表.12防火墻安全控制1、須避免將重要網(wǎng)段部署在網(wǎng)絡邊界處且直接連 接外部信息系統(tǒng),重要網(wǎng)段與其他網(wǎng)段之間須采 取可靠的技術隔離手段。2、 應在網(wǎng)絡邊界部署防火墻設備,啟用訪問控制 功能。3、應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允 許/拒絕訪問的能力,控制粒度為端口級。4、地址轉換。5、 宜限制網(wǎng)絡最大流量數(shù)及網(wǎng)絡連接數(shù)(可選)。6、宜在會話處于非活躍一定時間或會話結束后終 止網(wǎng)絡連接(可選)。現(xiàn)場檢查與文檔審 查結合?,F(xiàn)場檢查:1. 交易系統(tǒng)業(yè)務服 務器是否部署了防
13、 火墻進行防護。2. 檢查防火墻配置 的交易系統(tǒng)相關策 略,采用了 NAT地址 轉換,控制粒度為端 口級。3. 檢查會話保持時間為非長連接。(可 選)63網(wǎng)絡ARP欺騙攻擊1、宜具備有效防范網(wǎng)絡 ARP欺騙攻擊的措施(可 選)。現(xiàn)場檢查與文檔審 查結合?,F(xiàn)場檢查:使用命令 show run in terface(具體接口)命令檢查交易系統(tǒng)業(yè)務交換機和 交易系統(tǒng)業(yè)務服務 器之間的互聯(lián)口有 無端口安全配置命 令:switchportport-security14DOS/DDO攻擊1、應具有防DOS/DDOS攻擊設備或技術手段?,F(xiàn)場檢查與文檔審 查結合。現(xiàn)場檢查:例如配置了入侵檢 測技術能夠及時檢
14、測 DOS/DDOS擊。15網(wǎng)絡設備安全配置1、 應按照安全標準進行設備配置,應實現(xiàn)設備最 小化服務配置。2、應對登錄網(wǎng)絡設備的用戶進行身份鑒別。3、網(wǎng)絡設備用戶的標識應唯一。4、 身份鑒別信息應具有不易被冒用的特點,口令 應有復雜度要求并定期更換。5、應對網(wǎng)絡設備的管理員登錄地址進行限制。6、 對網(wǎng)絡設備進行遠程管理時,宜采取必要措施 防止鑒別信息在網(wǎng)絡傳輸過程中被竊取。7、應具有登錄失敗處理功能,可采取結束會話、 限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退 出等措施?,F(xiàn)場檢查與文檔審查結合?,F(xiàn)場檢查交易系統(tǒng) 網(wǎng)絡設備:1.參考備注中安全 配置模板進行檢查。2 .使用命令:show run
15、| in elude aaa查看是否有身份認 證配置。3. 登陸設備查看設 備 host name 是否唯。4. 交易系統(tǒng)業(yè)務相 關網(wǎng)絡設備上使用 show run |i nclude vty 查看vty下是否 做了訪問控制,允許 指定地址登陸、采用SSH限制了非法登7參考安全配 置模板和相 應的指引陸次數(shù)和連接超時。如:line vty 0 4access-class VTY-IN in exec-timeout 5 0 logging synchronous transport input ssh transport output all4.密碼有一定復雜 度并定期更換。(四)網(wǎng)絡管理1日
16、志信息1、應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡及防火墻設備運行狀 況、用戶行為等進行日志記錄,內(nèi)容應包括:事 件的日期和時間、用戶、事件類型、事件是否成 功及其他相關的信息。2、 應對日志記錄進行保護,避免受到未預期的刪 除、修改或覆蓋等。3、日志存儲時間應不少于半年。4、應根據(jù)需要,可按時間段或設備類型等維度提 出所需日志?,F(xiàn)場檢查與文檔審 查結合?,F(xiàn)場檢查:檢查日志服務器是 否有相關設備的日 志記錄,能提供一個 保存半年左右的日 志。42配置文件離線備份1、應對設備配置文件定期進行離線備份?,F(xiàn)場檢查與文檔審 查結合?,F(xiàn)場檢查:提供一個一個月前1的離線備份配置文 件。(五)網(wǎng)絡設備運維制度1網(wǎng)絡設備運維制度
17、1、應具有網(wǎng)絡配置變更管理流程和制度。2、應建立網(wǎng)絡安全管理制度,對網(wǎng)絡安全配置、 日志保存時間、安全策略、升級與打補丁、口令 更新周期等方面做岀規(guī)定。3、宜具有設備參數(shù)配置標準手冊。4、應具有網(wǎng)絡事故管理制度。5、應保證所有與外部系統(tǒng)的連接均得到授權和批 準。6、應定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡 安全策略的行為?,F(xiàn)場檢查與文檔審 查結合。6注:網(wǎng)絡設備安全配置模板:service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service passwor
18、d-e ncrypti onip sub net-zerono ip doma in-lookupno ip source-routeno service padno ip bootp serverno ip http serverno service dhcpno service fin ger service n agleno ip gratuitous-arps service tcp-keepalives-i n service tcp-keepalives-out no boot n etworkno ip ide ntdno service configno service tcp
19、-small-servers no service udp-small-servers no cdp run檢 查 人:被查單位協(xié)查人員:2、主機與數(shù)據(jù)安全檢查(53分)被檢查機構:編號檢查項檢查標準檢查方法分值(最小單位為0.1 )自查結果檢查結果備注(一)主機安全1身份鑒別1、應分別設置專用的系統(tǒng)和應用管理員用戶。2、系統(tǒng)與應用管理員口令應具有一定的復雜度, 并定期更換。3、宜對冋一用戶采用兩種或兩種以上組合的鑒別 技術實現(xiàn)用戶身份鑒別。4、應具有登錄失敗處理功能,可采取結束會話、 限制非法登錄次數(shù)和自動退出等措施。現(xiàn)場檢查與文檔審查結合 結口。42自主訪問控制1、宜控制主機信任關系。2、
20、應清除默認過期用戶。3、應按照最小授權原則分配用戶權限?,F(xiàn)場檢查與文檔審查結合 結口。33強制訪問控制1、應控制重要系統(tǒng)文件權限。2、應保證共享目錄安全。3、應控制遠程登錄?,F(xiàn)場檢查與文檔審查結合 結口。34安全審計1、 日志記錄的內(nèi)容至少應包括事件的日期、時間、 發(fā)起者信息、類型、描述和結果等。2、應對日志記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。3、宜提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析 及生成審計報表的功能。4、宜提供覆蓋到每個用戶的安全審計功能,對應 用系統(tǒng)重要安全事件進行審計。5、應對無用的過期信息、文檔進行完整刪除,并 建立數(shù)據(jù)刪除制度、保留刪除記錄?,F(xiàn)場檢查與文檔審查結
21、合 結口。55系統(tǒng)保護1、應具有系統(tǒng)備份。2、應具有故障恢復策略。3、應具有安全配置標準,并進行安全配置。4、宜具有磁盤空間分配策略。5、應具有主機加固標準,并對主機進行加固?,F(xiàn)場檢查與文檔審查結合 結口。56剩余信息保護1、應保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息 所在的存儲空間,被釋放或再分配給其他用戶前得 到完全清除,無論這些信息是存放在硬盤上還是在 內(nèi)存中;2、應確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資 源所在的存儲空間,被釋放或重新分配給其他用戶 前得到完全清除?,F(xiàn)場檢查與文檔審查結合 結口。27入侵防范1、應能夠檢測到對重要服務器進行入侵的行為, 能夠記錄入侵的源IP、攻擊的類型、攻
22、擊的目的、 攻擊的時間,并在發(fā)生嚴重入侵事件時提供報警。2、應關閉系統(tǒng)不必要的服務和端口?,F(xiàn)場檢查與文檔審查結合 結口。33、操作系統(tǒng)應遵循最小安裝的原則,僅安裝需要 的組件和應用程序。8惡意代碼防范1、應及時更新防惡意代碼軟件版本和惡意代碼庫。2、防惡意代碼軟件宜具有統(tǒng)一的控制措施。3、宜及時安裝系統(tǒng)必要的補丁。4、宜定期進行漏洞掃描?,F(xiàn)場檢查與文檔審查結合 結口。49資源控制1、應通過設定終端接入方式、網(wǎng)絡地址范圍等條 件限制終端登錄。2、應根據(jù)安全策略設置登錄終端的操作超時鎖定 或退出。3、應對重要服務器進行監(jiān)視,包括監(jiān)視服務器的 CPU硬盤、內(nèi)存、網(wǎng)絡等資源的使用情況。4、應能夠?qū)ο到y(tǒng)
23、的服務水平降低到預先規(guī)定的最 小值進行監(jiān)測和報警?,F(xiàn)場檢查與文檔審查結合 結口。4(二)數(shù)據(jù)安全1數(shù)據(jù)存儲1、須采用有效措施保障存儲數(shù)據(jù)的安全。2、 存儲內(nèi)容應至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、 重要業(yè)務數(shù)據(jù)等內(nèi)容?,F(xiàn)場檢查與文檔審查結合 結口。22數(shù)據(jù)存儲設備1、應米用安全、高可用性的數(shù)據(jù)存儲設備。2、設備型號應滿足備份策略要求。3、應選擇正規(guī)可靠的設備供應商。4、應采取相應制度、措施保障設備安全性?,F(xiàn)場檢查與文檔審查結合 結口。43數(shù)據(jù)備份1、須定期進行數(shù)據(jù)備份。2、應米用高可用性的備份介質(zhì)。3、應采用合理的備份方式。4、 備份內(nèi)容應至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、 重要業(yè)務數(shù)據(jù)等內(nèi)容。5、應定期進行異地數(shù)據(jù)備份。6、應進行備份數(shù)據(jù)有效性檢驗?,F(xiàn)場檢查與文檔審查結合 結口。64數(shù)據(jù)備份介質(zhì)管理1、應在高可用性的物理環(huán)境中保存介質(zhì)。2、應確保介質(zhì)存放在安全的環(huán)境中,對各類介質(zhì) 進行控制和保護,并實行存儲環(huán)境專人管理。3、應制定備份介質(zhì)銷毀制度,保留銷毀記錄?,F(xiàn)場檢查與文檔審查結合 結口。35數(shù)據(jù)備份恢復管理制度1、應具有恢復制度。2、應具有恢復演練計劃和演練記錄。3、應具有恢復記錄?,F(xiàn)場檢查與文檔審查結合 結口。36數(shù)字證書管理1、應有專人管理。2、放置合理
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 飯店承租安全協(xié)議書
- 運營車輛回收協(xié)議書
- 解除培訓合同協(xié)議書
- 企業(yè)總經(jīng)理聘用協(xié)議書
- 項目招商入股協(xié)議書
- 車輛抵消債務協(xié)議書
- 酒店保潔承包協(xié)議書
- 餐飲加工合同協(xié)議書
- 企業(yè)復印機租賃協(xié)議書
- 餐飲器材轉讓協(xié)議書
- 防機械傷害培訓課件
- IT行業(yè)專業(yè)試題集范本1
- 預防性駕駛與防御性駕駛
- 砌體結構檢測試題及答案
- 2025年上半年江蘇徐州沛縣總工會招聘工會社會化工作者13人易考易錯模擬試題(共500題)試卷后附參考答案
- 2024北京海淀區(qū)初一(下)期末歷史試題和答案
- 化工裝置靜設備基礎知識
- 商品混凝土供應合同范本
- 2021年浙江省溫州市鹿城區(qū)人教版小升初畢業(yè)考試數(shù)學試卷(原卷版+解析)
- 【高考真題】重慶市2024年高考物理試卷(含答案)
- 2025老年人內(nèi)在能力評估與維護指南解讀課件
評論
0/150
提交評論