網(wǎng)絡(luò)與信息安全自查情況的報告

1、國都證券有限責(zé)任公司文件國都信字 2011?010號關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告東城公安分局網(wǎng)安大隊 :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求 ,國都證券有限責(zé)任公司組織有關(guān)部 門和人員對信息系統(tǒng)的安全管理制度、建設(shè)和全管理、安全運(yùn)營、應(yīng)急管理等進(jìn)行 了自查 ,現(xiàn)將有關(guān)自查情況報告提交貴局審閱。特此報告。附件:國都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告二一一年六月二十八日主題詞:信息技術(shù)自查情況報告內(nèi)部抄送:公司領(lǐng)導(dǎo) ,綜合管理部、人力資源部、合規(guī)與風(fēng)險管理部。校對:李靜波印制:3份 2011年 6月 28日發(fā)附件:國都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告東城公安分局網(wǎng)

2、安大隊 :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求 ,國都證券有限責(zé)任公司 （以下簡稱 “公司”或“我司”組織有關(guān)部門和人員對信息系統(tǒng)的安全管理制度、建設(shè)和全管理、 安全運(yùn)營、應(yīng)急管理等進(jìn)行了自查 ,現(xiàn)將有關(guān)自查情況報告如下 :一、信息安全總體情況公司一直非常重視信息系統(tǒng)的安全管理工作。公司明確由信息技術(shù)中心負(fù)責(zé)信 息系統(tǒng)的安全管理工作 ,公司在信息系統(tǒng)的安全制度建設(shè)、安全管理機(jī)構(gòu)、人員安 全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面不斷細(xì)化和完善,公司信息系統(tǒng)總體運(yùn)行穩(wěn)定 ,未發(fā)生重大網(wǎng)絡(luò)與信息系統(tǒng)安全事件。（一建立安全管理制度公司 2010 年全面修訂信息技術(shù)的相關(guān)管理制度 ,明確了信息技術(shù)管理組

3、織框 架、信息安全管理的總體目標(biāo)和原則。公司建立了信息技術(shù)安全管理辦法,明確了信息系統(tǒng)安全管理工作的重點(diǎn)為身份識別 （賬戶權(quán)限及密碼、訪問控制、漏洞管 理、病毒防范、日志管理、系統(tǒng)安全策略配置、信息安全事件處置等方面,明確了安全管理操作的原則和規(guī)范。公司安全管理制度的制定、修訂和發(fā)布等均按公司有關(guān)制度的要規(guī)定進(jìn)行,安全管理制度由信息技術(shù)中心制定、修訂 ,由合規(guī)與風(fēng)險管理部及相關(guān)部門參與審核 公司通過發(fā)文的形式完成安全制度的發(fā)布 ,公司規(guī)定每年對制度進(jìn)行一次梳理并酌 情進(jìn)行修訂。（二明確安全管理機(jī)構(gòu)公司明確了信息技術(shù)中心負(fù)責(zé)公司信息系統(tǒng)安全管理工作 ,信息技術(shù)中心設(shè)立 并配備了安全管理員、網(wǎng)絡(luò)管

4、理員、系統(tǒng)運(yùn)維管理員等 ,公司總部各部門、北京交 易中心、上海災(zāi)備中心及各營業(yè)部均指定專人為安全管理聯(lián)絡(luò)員。系統(tǒng)的運(yùn)行、網(wǎng) 絡(luò)接入和重要資源的訪問均通過公司 OA 辦公系統(tǒng)進(jìn)行審批 ,依據(jù)審批內(nèi)容不同將 分別由部門負(fù)責(zé)人、主管公司領(lǐng)導(dǎo)等審批。公司通過電話、即時通信工具等及時進(jìn) 行公司內(nèi)部信息的溝通以及與公安、電信及兄弟單位等部門的溝通。（三人員安全管理公司由人力資源部負(fù)責(zé)人員的招聘和錄用 ,公司明確禁止錄用有犯罪或嚴(yán)重違 規(guī)行為記錄的人員從事公司信息技術(shù)工作 ,公司與員工均簽有保密協(xié)議 ,在人員離職 時均要求辦理交接手續(xù)并終止系統(tǒng)訪問權(quán)限等 ,公司不斷加強(qiáng)安全意識的教育與培 訓(xùn)工作 ,對信息技

5、術(shù)中心關(guān)鍵崗位人員上崗前均進(jìn)行必要的培訓(xùn) ,公司制訂了信息技 術(shù)事故認(rèn)定與處理制度 ,規(guī)范了相關(guān)獎懲的措施。（四系統(tǒng)建設(shè)管理公司完成了主要信息系統(tǒng)安全的保護(hù)等級工作 ,相關(guān)信息系統(tǒng)的定級結(jié)果經(jīng)證 監(jiān)局核準(zhǔn)后已報北京市公安局備案。公司在系統(tǒng)建設(shè)時就網(wǎng)絡(luò)設(shè)計、訪問管理、應(yīng)用安全等與廠商和有關(guān)部門進(jìn)行 詳細(xì)溝通 ,并結(jié)合公司情況及監(jiān)管要求 ,審查廠商的方案是否符合公司安全管理要求 , 公司要求開發(fā)商提供的產(chǎn)品涉及密碼產(chǎn)品的應(yīng)提供國家有關(guān)部門的資質(zhì)證書。公司 制定了信息技術(shù)項目管理、采購的制度 ,明確了負(fù)責(zé)采購的部門為信息技術(shù)中心及 采購程序 ,公司在軟件安裝前通過 NOD32 防病毒系統(tǒng)進(jìn)行病毒檢測

6、 ,但缺乏全面的 惡意代碼檢測機(jī)制。公司規(guī)定了項目實(shí)施前應(yīng)建立項目計劃書并實(shí)施項目周報制度 , 公司由信息技術(shù)中心負(fù)責(zé)項目建設(shè)的管理工作 ,系統(tǒng)的測試工作由信息技術(shù)中 心協(xié)調(diào)有關(guān)部門工作完成。公司規(guī)定了信息系統(tǒng)上線前廠商應(yīng)提供的有關(guān)文檔資料 并安排廠商對公司有關(guān)部門和人員進(jìn)行必要的運(yùn)維和使用的培訓(xùn)。公司對信息系統(tǒng)涉及的網(wǎng)絡(luò)、設(shè)備、應(yīng)用等根據(jù)系統(tǒng)運(yùn)行情況進(jìn)行必要的巡查 總體來看 ,公司信息系統(tǒng)安全狀況基本達(dá)到安全等級保護(hù)的要求 ,但是公司網(wǎng)站等需 要進(jìn)一步完善安全管理措施 ,即將建設(shè)硬件防病毒網(wǎng)關(guān)與更新高性能的 WEB 應(yīng)用防 火墻,均已完成立項工作。公司明確了信息系統(tǒng)安全建設(shè)的主管領(lǐng)導(dǎo)、責(zé)任部

7、門和相關(guān)責(zé)任人員,公司在 相關(guān)系統(tǒng)的建設(shè)時分析其對公司網(wǎng)絡(luò)資源、訪問控制、使用管理等可能出現(xiàn)的問題 并盡可能改進(jìn)有關(guān)安全管理的措施 ,確保系統(tǒng)安全穩(wěn)定運(yùn)行。公司購置了多種類型的安全硬件設(shè)備 ,并于 2010 年部署了終端安全管理系統(tǒng) ,與 提供產(chǎn)品的多家安全廠商保持著常年合作的關(guān)系。在合作期間眾廠商皆對我公司的 信息系統(tǒng)提供各類安全檢查、威脅發(fā)現(xiàn)、整改建議等服務(wù)。（五系統(tǒng)運(yùn)維管理公司制定了機(jī)房與運(yùn)行環(huán)境管理辦法對有關(guān)機(jī)房物理訪問、人員及設(shè)備進(jìn)出機(jī) 房、基礎(chǔ)環(huán)境、開關(guān)機(jī)要求等僅進(jìn)行了規(guī)范 ,信息技術(shù)中心明確具體人員負(fù)責(zé)有關(guān) 操作和監(jiān)控。公司制定了信息技術(shù)設(shè)備管理辦法及固定資產(chǎn)管理辦法 ,對信息技

8、術(shù)設(shè)備的登 記、使用、關(guān)鍵設(shè)備的管理及處置等進(jìn)行了規(guī)范 ,公司綜合管理部對公司信息技術(shù) 設(shè)備進(jìn)行盤點(diǎn)和登記。公司制定了信息系統(tǒng)數(shù)據(jù)管理辦法 ,對數(shù)據(jù)的備份與恢復(fù)、數(shù)據(jù)的訪問及有關(guān) 操作進(jìn)行了規(guī)范 ,根據(jù)信息系統(tǒng)及數(shù)據(jù)的重要程度分別采用硬盤、光盤并通過手工、自動等方式進(jìn)行全量、增量的數(shù)據(jù)備份,對光盤等存儲介質(zhì)進(jìn)行異地保存。公司制定了信息技術(shù)設(shè)備管理辦法、網(wǎng)絡(luò)管理辦法 ,明確了相關(guān)設(shè)備及網(wǎng)路的 管理部門為信息技術(shù)中心及機(jī)房負(fù)責(zé)人、網(wǎng)絡(luò)管理員等 ,公司信息技術(shù)設(shè)備的選型 由信息技術(shù)中心負(fù)責(zé) ,一般信息技術(shù)設(shè)備的采購由綜合管理部負(fù)責(zé) ,符合信息技術(shù)項 目采購管理辦法的設(shè)備采購由信息技術(shù)中心負(fù)責(zé) ,公司

9、機(jī)房內(nèi)關(guān)鍵設(shè)備的開啟和關(guān) 閉均由各機(jī)房值班人員按開關(guān)機(jī)操作流程進(jìn)行操作 ,未規(guī)定流程的操作應(yīng)經(jīng)機(jī)房負(fù) 責(zé)人同意后進(jìn)行操作。公司制定了網(wǎng)絡(luò)管理辦法等制度 ,對網(wǎng)絡(luò)安全配置、日志保存時間、安全策 略、升級與打補(bǔ)丁、口令更新周期等方面進(jìn)行了規(guī)定 ,公司設(shè)立網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng) 絡(luò)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報警信息分析和處理工作 ,網(wǎng)絡(luò)管理員每 季度對網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描 ,對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞采取措施進(jìn)行修補(bǔ) ,并備 份有關(guān)配置 ,公司與外部系統(tǒng)的連接均通過 OA 辦公系統(tǒng)有關(guān)流程進(jìn)行審批得到授 權(quán)和批準(zhǔn) ;公司制定了信息系統(tǒng)權(quán)限管理制度 ,公司相關(guān)系統(tǒng)的訪問控制策略根據(jù)最小化 原則通過審批

10、后才賦予相關(guān)用戶 ,公司根據(jù)信息系統(tǒng)運(yùn)行情況不定期進(jìn)行漏洞掃描 , 對發(fā)現(xiàn)的系統(tǒng)安全漏洞在保證公司系統(tǒng)穩(wěn)定運(yùn)行的情況下在與信息系統(tǒng)安全管理員 及相關(guān)廠商溝通后酌情進(jìn)行修補(bǔ) ,因系統(tǒng)實(shí)時性要求較高 ,公司未全面開啟有關(guān)設(shè)備 和系統(tǒng)的審計功能 ,公司每天對系統(tǒng)運(yùn)行情況進(jìn)行實(shí)時的監(jiān)控和巡檢 ,并根據(jù)情況對 有關(guān)日志進(jìn)行不定期的分析。公司安裝了 NOD32 網(wǎng)絡(luò)版防病毒系統(tǒng)、億陽網(wǎng)管終端安全管理系統(tǒng)并由安全 管理員管理 ,公司要求所有外來設(shè)備在接入網(wǎng)絡(luò)前進(jìn)行檢查 ,公司嚴(yán)格控制外來設(shè)備 接入交易網(wǎng) ,公司信息技術(shù)安全管理辦法對防惡意代碼軟件的授權(quán)使用、 惡意代碼庫升級、 匯報等作出了規(guī)定。 公司 制定

11、了信息系統(tǒng)密碼管理辦法及系統(tǒng)變更管理辦法， 公司在 信息技術(shù)項目采購時 對涉及密碼內(nèi)容的， 均要求廠商出具由證明產(chǎn)品 符合國家主管部門要求的資質(zhì)證 書等， 公司系統(tǒng)變更管理辦法對系統(tǒng) 變更的角色、程序、版本、操作等進(jìn)行了規(guī) 范，重大升級均通過公司 OA 系統(tǒng)進(jìn)行審批并在通過業(yè)務(wù)和技術(shù)為測試后進(jìn)行。 公司根據(jù)系統(tǒng)的重要性等分別進(jìn)行系統(tǒng)級的熱備、溫備、冷備、 災(zāi)備措施，公司 制定了信息系統(tǒng)災(zāi)備管理辦法，明確了災(zāi)備啟動和恢 復(fù)的條件、程序、操作流程 等，公司信息系統(tǒng)數(shù)據(jù)管理辦法，對數(shù)據(jù) 的備份與恢復(fù)的周期、介質(zhì)、保存等進(jìn) 行了規(guī)范。 公司制定了信息技術(shù)事故認(rèn)定與處理制度和風(fēng)險報告制度， 規(guī)定 了信

12、息技術(shù)安全事件的處理及報告程序， 公司信息技術(shù)安全事件的報 告以風(fēng)險控制單 的形式通過 OA 辦公系統(tǒng)流轉(zhuǎn)。 公司制定了網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，預(yù)案 對決策體系、啟 動條件、信息的報告和發(fā)布、不同情況的應(yīng)急處理程序、演練及 培訓(xùn) 等進(jìn)行了基本的規(guī)范， 公司集中交易及相關(guān)系統(tǒng)每年最少進(jìn)行兩次包 括上海 災(zāi)備中心、營業(yè)部的全網(wǎng)演練。 （六） 重要信息系統(tǒng)情況 公司本次自查了呼叫中 心系統(tǒng)、法人清算系統(tǒng)、集中交易系統(tǒng)、 門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)以及投資與客 戶資產(chǎn)管理系統(tǒng)， 6 個系統(tǒng)在 數(shù)據(jù)安全、網(wǎng)絡(luò)安全、物理安全、應(yīng)用安全、主機(jī)安 全幾個方面基本 符合有關(guān)安全管理的要求，其中門戶網(wǎng)站、網(wǎng)上交易

13、系統(tǒng)部署在 IDC 托管機(jī)房，其他 4 個系統(tǒng)分別部署在北京交易中心機(jī)房、北京總部中 心機(jī) 房，各系統(tǒng)公司均安排專門的系統(tǒng)維護(hù)人員，運(yùn)維人員在每個交 易日定時進(jìn)行系 統(tǒng)巡檢，發(fā)現(xiàn)異常及時處理和報告，系統(tǒng)通過身份鑒 別、權(quán)限控制、網(wǎng)絡(luò)控制、 數(shù)據(jù)備份、線路和設(shè)備的冗余以及機(jī)房的 5安全控制等基本保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。 二、 存在問題 通過對公司網(wǎng)絡(luò) 與信息安全自查，公司在以下方面存在不足： （一） 信息安全培訓(xùn)力度不夠 公司 基本在員工入職時進(jìn)行信息系統(tǒng)安全的培訓(xùn)， 此后較少進(jìn)行 有關(guān)安全使用的培 訓(xùn)，為強(qiáng)化員工安全意識，公司應(yīng)該每年至少進(jìn)行 一定次數(shù)的信息系統(tǒng)安全使用 的培訓(xùn)。 （二） 軟

14、件漏洞檢測不全面 公司目前未進(jìn)行全面的信息系統(tǒng)安全漏洞檢 測， 一般情況下只進(jìn) 行病毒檢測，因行業(yè)內(nèi)廠商基本不提供前端的源代碼，所有 也基本無 法審查是否存在后門的要求，僅要求廠商做出不存在后門的承諾。（三） 系統(tǒng)自查不完善 公司沒有進(jìn)行每半年組織一次信息系統(tǒng)安全自查工作， 雖 然公司 對網(wǎng)絡(luò)、設(shè)備、系統(tǒng)均進(jìn)行不定期的檢查、實(shí)時監(jiān)控和巡檢等工作， 但未 專門組織系統(tǒng)安全自查工作。 （四） 審計管理不完善 因相關(guān)系統(tǒng)運(yùn)行的安全穩(wěn)定 問題，公司未開啟有關(guān)操作系統(tǒng)、數(shù) 據(jù)庫的全部審計功能，同時各應(yīng)用系統(tǒng)自身 的審計功能也不是很完 善，有的僅僅記錄的用戶的登錄和退出等。 （五） 網(wǎng)站缺 乏更有效地防入

15、侵及檢測設(shè)備 公司 2009 年從綠盟科技購置了應(yīng)用防火墻WAF600，此設(shè)備功能 與性能基本上可滿足目前門戶網(wǎng)站的安全需要，但隨著來自互聯(lián)網(wǎng)的 各類新型安全威脅越來越突出， 有可能使公司的門戶網(wǎng)站造成嚴(yán)重的 破壞。 三、 整改計劃 （一） 加強(qiáng)信息安全培訓(xùn)力度 6公司開始每年進(jìn)行至少一次的信息系統(tǒng)安全使用培訓(xùn)，公司將在 2012 年制定培訓(xùn)計劃時安排此項工作，培訓(xùn)內(nèi)容將根據(jù)公司信息系 統(tǒng)運(yùn)行和使用中的問題選定，主要包括系統(tǒng)補(bǔ)丁安裝、系統(tǒng)漏洞檢測、防病毒軟件的使用、數(shù)據(jù)的備份、 安全上網(wǎng)等。責(zé)任人：李靜波（二）完善軟件漏洞檢測公司將根據(jù)系統(tǒng)的情況逐 步實(shí)現(xiàn)信息的安全漏洞工作。 公司將在2011

16、年年底前安排有關(guān)廠商對門戶網(wǎng)站進(jìn) 行漏洞檢測，并根據(jù)檢測 的結(jié)果，要求開發(fā)商進(jìn)行系統(tǒng)安全加固工作，此項工作 每年將至少執(zhí) 行一次。責(zé)任人：孫育紅、李靜波 （三）增強(qiáng)系統(tǒng)安全自查工作 公司將由信息技術(shù)中心牽頭，每年至少一次對全公司各類信息系 統(tǒng)進(jìn)行全面的安全檢查工作，包括但不僅限于網(wǎng)絡(luò)、設(shè)備、應(yīng)用系統(tǒng)等。責(zé)任人：王士軍、李靜波、楊炯逐步完善審計管理工作（四）逐步完善審計管理工作因公司交易系統(tǒng)實(shí) 時性要求極高，本著謹(jǐn)慎的原則，公司將進(jìn)一 步與廠商、其他證券公司溝通就審 計功能開啟問題進(jìn)行溝通，在確保 系統(tǒng)安全穩(wěn)定運(yùn)行的前提下，逐步開啟必要的 審計功能，同時與各信 息系統(tǒng)開發(fā)商溝通，要求其完善自身應(yīng)用的審計功能等。責(zé)任人：各系統(tǒng)負(fù)責(zé)人 （五）完善門戶網(wǎng)站安全機(jī)制的建設(shè) 公司門戶網(wǎng)站是對外信 息發(fā)布的窗口，是與外界進(jìn)行網(wǎng)絡(luò)溝通的 橋梁，也是未來廣大用戶辦理業(yè)務(wù)的便 捷通道，它的正常與否將直接關(guān)系到運(yùn)營商提供的服務(wù)質(zhì)量及其公眾形象。公司對于此系統(tǒng)的安全7建設(shè)相當(dāng)重視，已立項購置硬件防病毒網(wǎng)關(guān)與高性能的 WEB安全防護(hù)系 統(tǒng)。2011年內(nèi)建設(shè)完成后，將從WE