GB/T 20987-2007信息安全技術(shù)網(wǎng)上證券交易系統(tǒng)信息安全保障評(píng)估準(zhǔn)則

ICS35.040L80中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T20987—2007信息安全技術(shù)網(wǎng)上證券交易系統(tǒng)信息安全保障評(píng)估準(zhǔn)則Informationsecuritytechnology-EvaluationcriteriaforonlinesecuritiestradingSysteminformationsecurityassurance2007-06-14發(fā)布2007-11-01實(shí)施中華人民共和國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T20987一2007三次前言引言圍2規(guī)范性引用文件3術(shù)語和定義A系統(tǒng)描述·…………4.1網(wǎng)上證券交易系統(tǒng)概述4.2網(wǎng)網(wǎng)上證券交易系統(tǒng)技術(shù)參考模型4.3網(wǎng)上證券交易系統(tǒng)描述5安全環(huán)境5.1假設(shè)……5.2威脅…··.105.3組織安全策略·136安全保障目的…156.1安全保障技術(shù)目標(biāo)·安全保障管理目標(biāo)…6.26.3安全保障工程目標(biāo)·安全保障要求……77.1安全保障技術(shù)要求·7.27.3安全保障工程要求.附錄A（規(guī)范性附錄）網(wǎng)上證券系統(tǒng)信息安全保障符合性A.1安全保障目的符合性聲明A.2安全保障要求符合性聲明72參考文獻(xiàn)80圖1信息系統(tǒng)框架圖2信息系統(tǒng)技術(shù)參考模型……圖3網(wǎng)網(wǎng)上證券交易系統(tǒng)評(píng)估邊界界定示意圖圖4網(wǎng)上證券交易系統(tǒng)網(wǎng)絡(luò)體系結(jié)構(gòu)……圖5行情查看流程圖·…………·表1網(wǎng)上證券交易系統(tǒng)用戶和信息敏感程度描述表2網(wǎng)上證券交易系統(tǒng)威脅模型表3瑞到端安全保障技術(shù)要求中主體對(duì)客體采取的操作對(duì)照表舉例端到端安全保障技術(shù)要求中的網(wǎng)上信息流控制策略舉例表4端到端安全保障技術(shù)要求的可審計(jì)安全事件類型表5表6！端到端安全保障技術(shù)要求的可查閱審計(jì)記錄

GB/T20987—2007表7瑞到端安全保障技術(shù)要求中安全角色對(duì)系統(tǒng)安全功能行為的管理權(quán)限：．225表8端到端安全保障技術(shù)要求中授權(quán)人員對(duì)系統(tǒng)安全屬性的管理權(quán)限表舉例表9本地計(jì)算安全保障技術(shù)要求中主體對(duì)客體采取的操作對(duì)照表舉例本地計(jì)算安全保障技術(shù)要求中的網(wǎng)上信息流控制策略舉例表10表11本地計(jì)算安全保障技術(shù)要求的可審計(jì)安全事件類型………….…………..34表12本地計(jì)算安全保障技術(shù)要求的可查閱審計(jì)記錄·30表13本地計(jì)算安全保障技術(shù)要求中安全角色對(duì)系統(tǒng)安全功能行為的管理權(quán)限37表14本地計(jì)算安全保障技術(shù)要求中授權(quán)人員對(duì)系統(tǒng)安全屬性的管理權(quán)限表舉例表15本地計(jì)算安全保障技術(shù)要求中系統(tǒng)安全角色對(duì)系統(tǒng)安全數(shù)據(jù)的操作權(quán)限舉例38表16系統(tǒng)邊界安全保障技術(shù)要求中主體對(duì)客體采取的操作對(duì)照表舉例……40表17系統(tǒng)邊界安全保障技術(shù)要求的網(wǎng)上信息流控制策略舉例……………….表18系統(tǒng)邊界安全保障技術(shù)要求的可審計(jì)安全事件類型……表19系統(tǒng)邊界安全保障技術(shù)要求的可查閱審計(jì)記錄………表20）系統(tǒng)邊界安全保障技術(shù)要求中安全角色對(duì)系統(tǒng)安全功能行為的管理權(quán)限46表21支撐性基礎(chǔ)設(shè)施安全保障技術(shù)要求的可審計(jì)安全事件類型·…表22支撐性基硼設(shè)施安全保障技術(shù)要求的可查閱審計(jì)記錄51表A.1安全保障技術(shù)目標(biāo)與威脅、策略的對(duì)應(yīng)表表A.2安全保障管理目標(biāo)、安全保障工程目標(biāo)和威脅、策略的對(duì)應(yīng)表表A.3安全保障技術(shù)目標(biāo)和安全保障技術(shù)要求映射表A.4安全保障管理目標(biāo)和安全保障管理要求映射表A.5安全保障工程目標(biāo)和安全保障工程要求映射

GB/T20987-2007本標(biāo)準(zhǔn)的附錄A為規(guī)范性附錄，本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口本標(biāo)準(zhǔn)起草單位：中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心本標(biāo)準(zhǔn)主要起草人：吳世忠、王海生、陳曉樺、王貴驅(qū)、李守鵬、江常青、彭勇、張利、錢偉明、鄒琪、李姐、李靜、王慶、班曉芳、江典盛、陸麗、姚軼、孫成吳、門雪松、杜宇鴿、楊再山。

GB/T20987—20070.1網(wǎng)上證券交易系統(tǒng)信息安全保障的含義隨著互聯(lián)網(wǎng)技術(shù)在證券行業(yè)的應(yīng)用,網(wǎng)上證券交易系統(tǒng)日益成熟。以網(wǎng)絡(luò)為媒介進(jìn)行證券交易可滿足隨時(shí)、隨地進(jìn)行快捷交易的需求。信息技術(shù)的進(jìn)步促進(jìn)了證券市場(chǎng)的發(fā)展；證券市場(chǎng)不斷發(fā)展的需求，也促進(jìn)了信息技術(shù)應(yīng)用的發(fā)展。網(wǎng)絡(luò)通訊能力的增強(qiáng)、網(wǎng)絡(luò)安全技術(shù)的應(yīng)用，使得證券公司與其他金融機(jī)構(gòu)之間的業(yè)務(wù)合作越來越緊密。網(wǎng)上交易的飛速發(fā)展一方面突破了證券行業(yè)依靠傳統(tǒng)營(yíng)業(yè)部“劃地為營(yíng)”的地域性限制,擴(kuò)大了潛在的用戶市場(chǎng),降低了交易服務(wù)成本.提高了服務(wù)質(zhì)量：同時(shí)網(wǎng)上交易的出現(xiàn)使得證券公司的經(jīng)紀(jì)業(yè)務(wù)不再僅僅賃借營(yíng)業(yè)部數(shù)量的多少取勝,從規(guī)模，地理位置，裝修等硬件方面的競(jìng)爭(zhēng)向價(jià)格、服務(wù)、品牌等軟件方面轉(zhuǎn)化。與傳統(tǒng)交易方式相比，網(wǎng)上交易具有安全性高、速度快、財(cái)經(jīng)信息豐富、操作便捷等優(yōu)勢(shì)信息安全保障問題是網(wǎng)上證券交易系統(tǒng)建設(shè)和運(yùn)行中必須解決的基礎(chǔ)和根本性問題,它關(guān)系到客戶與證券公司的切身利益。網(wǎng)上證券交易系統(tǒng)是一種特定的信息系統(tǒng)(即用于采集、處理、存儲(chǔ)、傳輸、分發(fā)和部署信息的整個(gè)基礎(chǔ)設(shè)施、組織結(jié)構(gòu)、人員和組件的總和),它的信息安全保障工作必須結(jié)合證券行業(yè)的特點(diǎn)，以風(fēng)險(xiǎn)和策略為出發(fā)點(diǎn)和核心,即從網(wǎng)上證券交易系統(tǒng)所面臨的風(fēng)險(xiǎn)和所處的環(huán)境出發(fā)制定網(wǎng)上證券交易系統(tǒng)的安全保障策略,在網(wǎng)上證券交易系統(tǒng)的整個(gè)生命周期中從技術(shù)、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征，實(shí)現(xiàn)和貫徹組織機(jī)構(gòu)策略并將風(fēng)險(xiǎn)降低到可接受的程度.達(dá)到保護(hù)證券公司的信息和信息系統(tǒng)資產(chǎn),從而保障證券公司業(yè)務(wù)安全、可靠開展的最終目的網(wǎng)上證券交易系統(tǒng)信息安全保障涵蓋以下幾個(gè)方面：網(wǎng)上證券交易系統(tǒng)信息安全保障應(yīng)貫穿網(wǎng)上證券交易系統(tǒng)的整個(gè)生命周期,包括規(guī)劃組織、開發(fā)采購(gòu)、實(shí)施交付、運(yùn)行維護(hù)和廢棄五個(gè)階段,以獲得網(wǎng)上證券交易系統(tǒng)信息安全保障能力的持續(xù)性。網(wǎng)上證券交易系統(tǒng)信息安全保障不僅涉及安全技術(shù),還應(yīng)綜合考惠安全管理、安全工程和人員安全等,以全面保障網(wǎng)上證券交易系統(tǒng)安全。在安全技術(shù)上.不僅要考慮具體的產(chǎn)品和技術(shù)，更要考慮網(wǎng)上證券交易系統(tǒng)的安全技術(shù)體系架構(gòu)：在安全管理上,不僅要考慮基本安全管理實(shí)踐，更要結(jié)合組織的特點(diǎn)建立相應(yīng)的安全保障管理體系,形成長(zhǎng)效和持續(xù)改進(jìn)的安全管理機(jī)制：在安全工程上,不僅要考慮網(wǎng)上證券交易系統(tǒng)建設(shè)的最終結(jié)果，更要結(jié)合系統(tǒng)工程的方法.注重工程過程各個(gè)階段的規(guī)范化實(shí)施;在人員安全上，要考慮與網(wǎng)上證券交易系統(tǒng)相關(guān)的所有人員包括規(guī)劃者、設(shè)計(jì)者、管理者、運(yùn)營(yíng)維護(hù)者、評(píng)估者、使用者等的安全意識(shí)以及安全專業(yè)技能和能力等。網(wǎng)上證券交易系統(tǒng)信息安全保障是基于工程的保障。通過風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制等風(fēng)險(xiǎn)管理活動(dòng)，降低網(wǎng)上證券交易系統(tǒng)的風(fēng)險(xiǎn),從而實(shí)現(xiàn)網(wǎng)上證券交易系統(tǒng)信息安全保障網(wǎng)上證券交易系統(tǒng)信息安全保障的目的不僅是保護(hù)信息和資產(chǎn)的安全，更重要的是通過保障網(wǎng)上證券交易系統(tǒng)的安全,保障網(wǎng)上證券交易系統(tǒng)所支持的業(yè)務(wù),從而達(dá)到實(shí)現(xiàn)組織機(jī)構(gòu)使命的目的。網(wǎng)上證券交易系統(tǒng)信息安全保障是主觀和客觀的結(jié)合。通過在技術(shù)、管理、工程和人員方面客觀地評(píng)估安全保障措施，向網(wǎng)上證券交易系統(tǒng)的所有者提供其現(xiàn)有安全保障工作是否滿足其

GB/T20987-2007安全保障目的的信心。因此.它是一種通過客觀證據(jù)向網(wǎng)上證券交易系統(tǒng)所有者提供主觀信心的活動(dòng),是主觀和客觀綜合評(píng)估的結(jié)果。保障網(wǎng)上證券交易系統(tǒng)安全不僅是系統(tǒng)所有者自身的職責(zé)，而且需要社會(huì)各方參與,包括電信、電力、國(guó)家信息安全基礎(chǔ)設(shè)施等提供的支撐。保障網(wǎng)上證券交易系統(tǒng)安全不僅要滿足系統(tǒng)所有者白身的安全需求，而且要滿足國(guó)家相關(guān)法律、政策的要求，包括為其他機(jī)構(gòu)或個(gè)人提供保密、公共安全和國(guó)家安全等社會(huì)職責(zé)。0.2網(wǎng)上證券交易系統(tǒng)信息安全保障評(píng)估準(zhǔn)則的編制目的和意義GB/T20274《信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架》是建設(shè)、評(píng)估信息系統(tǒng)安全保障的基礎(chǔ)性和框架性標(biāo)準(zhǔn),給出了對(duì)信息系統(tǒng)安全保障體系的通用要求。本標(biāo)準(zhǔn)是在（B/T20274的基礎(chǔ)之上.結(jié)合網(wǎng)上證券交易系統(tǒng)的具體特點(diǎn)，給出了網(wǎng)上證券交易系統(tǒng)的信息系統(tǒng)安全保障要求。制定本標(biāo)準(zhǔn)的意義在于：“）為網(wǎng)上證券交易系統(tǒng)信息安全保障的設(shè)計(jì)、實(shí)施、建設(shè)、測(cè)評(píng)、審核提供規(guī)范的、通用的描述語育：有利于網(wǎng)上證券交易系統(tǒng)所有者編制其信息系統(tǒng)的安全保障要求；有利于網(wǎng)上證券交易系統(tǒng)安全集成商和安全服務(wù)提供商提供更為科學(xué)規(guī)范化的設(shè)計(jì)和服務(wù)促進(jìn)信息安全市場(chǎng)的發(fā)展；有利于有關(guān)行政管理部門、執(zhí)法機(jī)構(gòu)、測(cè)評(píng)認(rèn)證機(jī)構(gòu)對(duì)網(wǎng)上證券交易系統(tǒng)進(jìn)行安全檢查、檢測(cè)、審計(jì)、評(píng)估和認(rèn)證。

GB/T20987—2007信息安全技術(shù)網(wǎng)上證券交易系統(tǒng)信息安全保障評(píng)估準(zhǔn)則花圍本標(biāo)準(zhǔn)規(guī)定了網(wǎng)上證券交易系統(tǒng)的描述、安全環(huán)境、安全保障目的、安全保障要求及網(wǎng)上證券系統(tǒng)信息安全保障目的和安全保障要求的符合性聲明。本標(biāo)準(zhǔn)適用于規(guī)范網(wǎng)上證券系統(tǒng)在交易過程中涉及信息安全的評(píng)估工作范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而.鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T20274(所有部分）信息安全技術(shù)信息系統(tǒng)安全保障評(píng)估框架術(shù)語和定義GB/T20274確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)網(wǎng)上委托entrustthroughInternet證券公司通過互聯(lián)網(wǎng).向在本機(jī)構(gòu)開戶的投資者提供用于下達(dá)證券交易指令、獲取成交結(jié)果的一種服務(wù)方式系統(tǒng)描述4.1網(wǎng)上證券交易系統(tǒng)概述網(wǎng)上證券交易系統(tǒng)是一種具有特定使命、技術(shù)系統(tǒng)和組織結(jié)構(gòu)的信息系統(tǒng)。信息系統(tǒng)是用于采集處理、存儲(chǔ)、傳輸、分發(fā)