證監(jiān)會(huì)檢查內(nèi)容

附件1證券、期貨、基金公司信息系統(tǒng)安全檢查表受檢單位名稱檢查日期2008.05.28檢查小組成員名單檢查小組組長(zhǎng)簽字受檢單位技術(shù)負(fù)責(zé)人簽字受檢單位負(fù)責(zé)人簽字檢查情況備注

檢查項(xiàng)目檢查內(nèi)容適用范圍檢查結(jié)果備注證總證營(yíng)期總期營(yíng)基金1?門戶網(wǎng)站及網(wǎng)上交易系統(tǒng)1.漏洞、木馬、病毒檢測(cè)1.是否安裝了實(shí)時(shí)升級(jí)，在線掃描的木馬、病毒防護(hù)軟件□是□否佟麟閣營(yíng)業(yè)部沒有單獨(dú)此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理2.是否建立了定期掃描并修補(bǔ)漏洞的工作制度□是□否佟麟閣營(yíng)業(yè)部沒有單獨(dú)此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理3.是否對(duì)網(wǎng)站進(jìn)行了全面檢查，消除了sql注入漏洞、弱口令帳戶、繞過驗(yàn)證、目錄遍歷、文件上傳、下單網(wǎng)頁未使用HTTPS加密機(jī)制等安全隱患□是□否2.門戶網(wǎng)站和網(wǎng)上交易系統(tǒng)隔離1.門戶網(wǎng)站和網(wǎng)上交易系統(tǒng)是否進(jìn)行了嚴(yán)格隔離□是□否2.網(wǎng)上交易下單網(wǎng)頁和網(wǎng)上交易后臺(tái)數(shù)據(jù)庫之間是否進(jìn)行了嚴(yán)格有效隔離□是□否3.交易軟件客戶端下載是否對(duì)通過網(wǎng)站下載的網(wǎng)上交易客戶端軟件采取了嚴(yán)格的防護(hù)措施，能夠防止被捆綁木馬程序□是□否4.端口限制和1.是否在防火墻和服務(wù)器上關(guān)閉了與業(yè)務(wù)無關(guān)的端口□是□否佟麟閣營(yíng)業(yè)部沒有單獨(dú)此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理

遠(yuǎn)程管理2.是否禁止了通過互聯(lián)網(wǎng)對(duì)防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行遠(yuǎn)程管理和維護(hù)□是□否佟麟閣營(yíng)業(yè)部沒有單獨(dú)此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理5.訪問控制與審計(jì)是否采用了可靠的身份認(rèn)證、訪問控制和安全審計(jì)措施，防止來自互聯(lián)網(wǎng)的非法接入和非法訪問□是□否佟麟閣營(yíng)業(yè)部沒有單獨(dú)此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理6.網(wǎng)頁安全1.是否對(duì)網(wǎng)頁采取了防篡改等措施□是□否2.是否對(duì)網(wǎng)頁內(nèi)容采取了監(jiān)控、過濾機(jī)制□是□否2?交易業(yè)務(wù)系統(tǒng)1.網(wǎng)絡(luò)隔離1.是否對(duì)交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)實(shí)施了物理隔離□是□否2.處理交易業(yè)務(wù)的計(jì)算機(jī)終端和移動(dòng)存儲(chǔ)介質(zhì)是否專網(wǎng)專用，不允許訪問互聯(lián)網(wǎng)□是□否3.是否采用了可靠的身份認(rèn)證、訪問控制和安全審計(jì)措施，防止來自內(nèi)部或現(xiàn)場(chǎng)交易的非法接入和非法訪問□是"否佟麟閣營(yíng)業(yè)部對(duì)服務(wù)器超級(jí)用戶、轉(zhuǎn)碼機(jī)用戶綁定專用電腦，對(duì)一般用戶沒有訪問控制4.是否在核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)之間采取了有效的隔離措施，確保在外圍系統(tǒng)被攻擊的情況下，核心交易業(yè)務(wù)網(wǎng)能夠安全運(yùn)行"是□否核心交易網(wǎng)與非核心交易網(wǎng)實(shí)行物理隔離，確保核心交易業(yè)務(wù)網(wǎng)安全運(yùn)行2.交易業(yè)務(wù)系統(tǒng)維護(hù)是否制訂了交易業(yè)務(wù)系統(tǒng)主機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備的監(jiān)控和維護(hù)計(jì)劃，并有監(jiān)控維護(hù)記錄"是□否每日檢查服務(wù)器日志、重啟AR通訊組件程序，每周一校對(duì)服務(wù)器時(shí)間、重啟AR通訊機(jī)，在運(yùn)行日志記錄；同時(shí)24小時(shí)監(jiān)控網(wǎng)絡(luò)設(shè)備

3.系統(tǒng)評(píng)估公司內(nèi)部是否對(duì)交易業(yè)務(wù)系統(tǒng)的可靠性和安全性有定期評(píng)估制度，并有評(píng)估報(bào)告□是□否4.系統(tǒng)升級(jí)在對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行的重大升級(jí)和更新前是否制訂了詳細(xì)的升級(jí)方案□是□否3?備份措施1.災(zāi)難備份和故障備份1.是否對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行了故障備份"是□否有主備兩套系統(tǒng)，交易系統(tǒng)重要設(shè)備采取熱備方式，系統(tǒng)故障時(shí)可以實(shí)時(shí)切換備用系統(tǒng)，不影響交易2.是否對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行了同城災(zāi)難備份□是□否3.是否對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行了異地災(zāi)害備份□是□否2.主機(jī)備份1.對(duì)重要主機(jī)、處理機(jī)和存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備是否建立了備份機(jī)制，并有備機(jī)備件"是□否服務(wù)器、AR通訊機(jī)采用雙機(jī)冗余備份2.在主機(jī)和處理機(jī)出現(xiàn)故障時(shí)能否實(shí)現(xiàn)主備機(jī)及時(shí)切換，不影響交易"是□否故障時(shí)可實(shí)時(shí)切換，不影響交易3.數(shù)據(jù)備份1.是否有完整的數(shù)據(jù)備份策略□是□否營(yíng)業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理2.是否對(duì)交易業(yè)務(wù)等關(guān)鍵數(shù)據(jù)進(jìn)行每日備份□是□否營(yíng)業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理3.備份數(shù)據(jù)是否異地存放，安全保管□是□否營(yíng)業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理4.是否對(duì)備份數(shù)據(jù)的有效性進(jìn)行了驗(yàn)證，以保證備份數(shù)據(jù)在應(yīng)急恢復(fù)時(shí)有效□是□否營(yíng)業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理4.網(wǎng)絡(luò)備份1.是否對(duì)交易業(yè)務(wù)系統(tǒng)的主干網(wǎng)絡(luò)設(shè)備建立了備份機(jī)制，并有備機(jī)備件"是□否主干交換機(jī)采用FEC冗余備份，可實(shí)時(shí)切換2.發(fā)生故障時(shí)，主干網(wǎng)絡(luò)設(shè)備是否可以實(shí)時(shí)切換，不影響交易"是□否主干網(wǎng)絡(luò)設(shè)備可以自動(dòng)切換，不影響交易

5.通訊備份1.是否對(duì)通訊設(shè)備建立了備份機(jī)制，有備機(jī)備件"是□否營(yíng)業(yè)部有兩臺(tái)通訊路由器，兩套專線連接設(shè)備，互為冗余備份，并配備ISDN備份模塊，故障時(shí)可實(shí)時(shí)切換，不影響交易2.是否對(duì)重要的通訊線路有冗余備份線路"是□否聯(lián)通、網(wǎng)通雙專線互備，同時(shí)配備ISDN備份線路；3.發(fā)生故障時(shí)，通信備份線路是否可以及時(shí)切換，不影響交易"是□否可以自動(dòng)切換，不影響交易6.電力備份1.是否采用了雙路供電"是□否佟麟閣營(yíng)業(yè)部所在大廈雙路供電2.是否采用了UPS后備電源"是□否佟麟閣營(yíng)業(yè)部采用雙UPS主機(jī)備份；3.是否配備或租賃了發(fā)電機(jī)設(shè)備作為備份，并掌握操作要領(lǐng)□是"否營(yíng)業(yè)部所在地雙路供電，且供電環(huán)境穩(wěn)定，沒有配備或租賃發(fā)電機(jī)，必要時(shí)臨時(shí)聯(lián)系發(fā)電車供電4.發(fā)生故障時(shí)，電力設(shè)備能否實(shí)時(shí)切換，不影響交易□是"否雙UPS未做冗余，須人工手動(dòng)切換，服務(wù)器雙電源不受影響，主備交易系統(tǒng)分別連接兩臺(tái)UPS，—臺(tái)UPS故障時(shí)，另一套交易系統(tǒng)不受影響。7.空調(diào)備份1.是否建立了空調(diào)備份機(jī)制，有備用空調(diào)機(jī)"是□否機(jī)房?jī)?nèi)配備雙空調(diào)2.在主用空調(diào)發(fā)生故障時(shí)，備用空調(diào)機(jī)是否能夠及時(shí)啟用"是□否機(jī)房?jī)?nèi)采用雙空調(diào)并行制冷方式，隨時(shí)保持互備狀態(tài)4?安全監(jiān)控與1.實(shí)時(shí)監(jiān)控1.是否配備了監(jiān)控設(shè)備和人員，對(duì)交易業(yè)務(wù)網(wǎng)內(nèi)的服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的性能進(jìn)行24小時(shí)實(shí)時(shí)監(jiān)控，并形成監(jiān)控記錄□是"否北京佟麟閣機(jī)房配備Hostmonitor監(jiān)控軟件，對(duì)交易業(yè)務(wù)網(wǎng)內(nèi)的主干網(wǎng)絡(luò)設(shè)備的性能進(jìn)行24小時(shí)實(shí)時(shí)監(jiān)控，并形成監(jiān)控記錄；服務(wù)器在工作時(shí)間人工監(jiān)控，不具備24小時(shí)監(jiān)控2.是否對(duì)交易、結(jié)算、銀證業(yè)務(wù)等交易業(yè)務(wù)運(yùn)行情況進(jìn)行24小時(shí)不間斷監(jiān)控，并形成監(jiān)控記錄□是□否

管理3.是否對(duì)網(wǎng)絡(luò)流量、網(wǎng)站內(nèi)容等采取了24小時(shí)監(jiān)控措施，并形成監(jiān)控記錄□是□否2.日志檢查和分析1.是否定期對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進(jìn)行備份□是"否服務(wù)器日志系統(tǒng)有備份，但沒有備份網(wǎng)絡(luò)設(shè)備日志2.是否定期對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進(jìn)行檢查和分析，形成記錄□是□否3.權(quán)限和口令管理1.是否對(duì)交易業(yè)務(wù)服務(wù)器、主干交換設(shè)備等關(guān)鍵設(shè)備按最小安全訪問原則設(shè)置訪問控制權(quán)限，并及時(shí)清理冗余系統(tǒng)用戶，正確分配用戶權(quán)限□是"否服務(wù)器、主干交換設(shè)備沒有按最小安全訪問原則設(shè)置訪問控制，每半年清理一次系統(tǒng)冗余用戶，正確分配用戶權(quán)限2.是否建立了有效的口令管理制度，有修改操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)管理員口令的記錄"是□否具備有效的口令管理制度，管理員口令每年修改一次，留存修改記錄3.登錄口令修改頻率是否不低于每月一次□是"否按現(xiàn)行制度每年修改一次4.登錄口令長(zhǎng)度是否不低于12位，并采用數(shù)字、字母、符號(hào)混排的方式□是"否登陸口令為純字母，沒有混排數(shù)字、字符，口令長(zhǎng)度小于12位5.是否對(duì)交易業(yè)務(wù)服務(wù)器、主干網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理和維護(hù)采取了限制IP登錄的管理措施□是□否4.病毒、木馬監(jiān)控是否對(duì)業(yè)務(wù)網(wǎng)和辦公網(wǎng)安裝了殺毒和防木馬軟件，并進(jìn)行定期升級(jí)和在線掃描"是□否交易網(wǎng)統(tǒng)一部署總公司諾頓殺毒軟件；辦公網(wǎng)部署卡巴斯基、瑞星等殺毒軟件，可自動(dòng)定期升級(jí)和在線掃描5.機(jī)房1.是否對(duì)機(jī)房進(jìn)出人員進(jìn)行了登記管理□是"否機(jī)房進(jìn)出人員無書面登記；

安全2.是否對(duì)外來人員操作系統(tǒng)有陪同、審批和監(jiān)控制度□是"否有機(jī)房安全管理制度，外來人員進(jìn)入機(jī)房需由電腦部經(jīng)理批準(zhǔn)（口頭批準(zhǔn)），沒有審批記錄3.機(jī)房環(huán)境是否防靜電、防水、防火、防盜、防蟲害、防潮、防震□是"否有防靜電地板，防水頂棚，采用空調(diào)除濕防潮，防盜有保安24小時(shí)值班；無防蟲措施、無單獨(dú)防震設(shè)施；5應(yīng)急保障1.應(yīng)急小組是否成立了突發(fā)事件應(yīng)急處理小組，明確了事件報(bào)告人,并報(bào)當(dāng)?shù)刈C監(jiān)局備案"是□否有應(yīng)急處理小組，明確事件報(bào)告人，已報(bào)證監(jiān)局備案2.應(yīng)急值班制度是否建立了應(yīng)急值班制度，并且應(yīng)急值守人員保持了24小時(shí)電話通暢"是□否遇到特殊情況由中心電腦部安排電腦部人員24小時(shí)值守，填寫值班交接記錄表，應(yīng)急值守人保持24小時(shí)電話通暢3.應(yīng)急預(yù)案是否制定了應(yīng)急處置預(yù)案"是□否營(yíng)業(yè)部制定了應(yīng)急處置預(yù)案和應(yīng)急電話聯(lián)系表，張貼于機(jī)房4.應(yīng)急經(jīng)費(fèi)與物資是否落實(shí)了應(yīng)急經(jīng)費(fèi)與物資□是"否具備滅火器、對(duì)講機(jī)、五金工具袋，不具備應(yīng)急燈5.系統(tǒng)文檔是否制定了詳細(xì)的系統(tǒng)管理配置文檔□是"否現(xiàn)有殺毒服務(wù)器配置文檔、ar配置文檔，沒有網(wǎng)絡(luò)設(shè)備配置文檔6.應(yīng)急聯(lián)系人是否建立了詳細(xì)的應(yīng)急聯(lián)系人文檔，并及時(shí)更新，保持聯(lián)絡(luò)暢通"是□否建立了詳細(xì)應(yīng)急聯(lián)系人文檔，更新于08年4月，張貼于機(jī)房7.服務(wù)協(xié)議是否和銀行、電力、通信、