證監(jiān)會檢查內(nèi)容

附件1證券、期貨、基金公司信息系統(tǒng)安全檢查表受檢單位名稱檢查日期2008.05.28檢查小組成員名單檢查小組組長簽字受檢單位技術(shù)負責人簽字受檢單位負責人簽字檢查情況備注

檢查項目檢查內(nèi)容適用范圍檢查結(jié)果備注證總證營期總期營基金1?門戶網(wǎng)站及網(wǎng)上交易系統(tǒng)1.漏洞、木馬、病毒檢測1.是否安裝了實時升級，在線掃描的木馬、病毒防護軟件□是□否佟麟閣營業(yè)部沒有單獨此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理2.是否建立了定期掃描并修補漏洞的工作制度□是□否佟麟閣營業(yè)部沒有單獨此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理3.是否對網(wǎng)站進行了全面檢查，消除了sql注入漏洞、弱口令帳戶、繞過驗證、目錄遍歷、文件上傳、下單網(wǎng)頁未使用HTTPS加密機制等安全隱患□是□否2.門戶網(wǎng)站和網(wǎng)上交易系統(tǒng)隔離1.門戶網(wǎng)站和網(wǎng)上交易系統(tǒng)是否進行了嚴格隔離□是□否2.網(wǎng)上交易下單網(wǎng)頁和網(wǎng)上交易后臺數(shù)據(jù)庫之間是否進行了嚴格有效隔離□是□否3.交易軟件客戶端下載是否對通過網(wǎng)站下載的網(wǎng)上交易客戶端軟件采取了嚴格的防護措施，能夠防止被捆綁木馬程序□是□否4.端口限制和1.是否在防火墻和服務(wù)器上關(guān)閉了與業(yè)務(wù)無關(guān)的端口□是□否佟麟閣營業(yè)部沒有單獨此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理

遠程管理2.是否禁止了通過互聯(lián)網(wǎng)對防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進行遠程管理和維護□是□否佟麟閣營業(yè)部沒有單獨此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理5.訪問控制與審計是否采用了可靠的身份認證、訪問控制和安全審計措施，防止來自互聯(lián)網(wǎng)的非法接入和非法訪問□是□否佟麟閣營業(yè)部沒有單獨此類系統(tǒng)，門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)由總公司統(tǒng)一管理6.網(wǎng)頁安全1.是否對網(wǎng)頁采取了防篡改等措施□是□否2.是否對網(wǎng)頁內(nèi)容采取了監(jiān)控、過濾機制□是□否2?交易業(yè)務(wù)系統(tǒng)1.網(wǎng)絡(luò)隔離1.是否對交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)實施了物理隔離□是□否2.處理交易業(yè)務(wù)的計算機終端和移動存儲介質(zhì)是否專網(wǎng)專用，不允許訪問互聯(lián)網(wǎng)□是□否3.是否采用了可靠的身份認證、訪問控制和安全審計措施，防止來自內(nèi)部或現(xiàn)場交易的非法接入和非法訪問□是"否佟麟閣營業(yè)部對服務(wù)器超級用戶、轉(zhuǎn)碼機用戶綁定專用電腦，對一般用戶沒有訪問控制4.是否在核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)之間采取了有效的隔離措施，確保在外圍系統(tǒng)被攻擊的情況下，核心交易業(yè)務(wù)網(wǎng)能夠安全運行"是□否核心交易網(wǎng)與非核心交易網(wǎng)實行物理隔離，確保核心交易業(yè)務(wù)網(wǎng)安全運行2.交易業(yè)務(wù)系統(tǒng)維護是否制訂了交易業(yè)務(wù)系統(tǒng)主機、存儲設(shè)備、網(wǎng)絡(luò)設(shè)備的監(jiān)控和維護計劃，并有監(jiān)控維護記錄"是□否每日檢查服務(wù)器日志、重啟AR通訊組件程序，每周一校對服務(wù)器時間、重啟AR通訊機，在運行日志記錄；同時24小時監(jiān)控網(wǎng)絡(luò)設(shè)備

3.系統(tǒng)評估公司內(nèi)部是否對交易業(yè)務(wù)系統(tǒng)的可靠性和安全性有定期評估制度，并有評估報告□是□否4.系統(tǒng)升級在對交易業(yè)務(wù)系統(tǒng)進行的重大升級和更新前是否制訂了詳細的升級方案□是□否3?備份措施1.災(zāi)難備份和故障備份1.是否對交易業(yè)務(wù)系統(tǒng)進行了故障備份"是□否有主備兩套系統(tǒng)，交易系統(tǒng)重要設(shè)備采取熱備方式，系統(tǒng)故障時可以實時切換備用系統(tǒng)，不影響交易2.是否對交易業(yè)務(wù)系統(tǒng)進行了同城災(zāi)難備份□是□否3.是否對交易業(yè)務(wù)系統(tǒng)進行了異地災(zāi)害備份□是□否2.主機備份1.對重要主機、處理機和存儲設(shè)備等關(guān)鍵設(shè)備是否建立了備份機制，并有備機備件"是□否服務(wù)器、AR通訊機采用雙機冗余備份2.在主機和處理機出現(xiàn)故障時能否實現(xiàn)主備機及時切換，不影響交易"是□否故障時可實時切換，不影響交易3.數(shù)據(jù)備份1.是否有完整的數(shù)據(jù)備份策略□是□否營業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理2.是否對交易業(yè)務(wù)等關(guān)鍵數(shù)據(jù)進行每日備份□是□否營業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理3.備份數(shù)據(jù)是否異地存放，安全保管□是□否營業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理4.是否對備份數(shù)據(jù)的有效性進行了驗證，以保證備份數(shù)據(jù)在應(yīng)急恢復(fù)時有效□是□否營業(yè)部無交易業(yè)務(wù)數(shù)據(jù)備份，交易業(yè)務(wù)數(shù)據(jù)由總公司統(tǒng)一管理4.網(wǎng)絡(luò)備份1.是否對交易業(yè)務(wù)系統(tǒng)的主干網(wǎng)絡(luò)設(shè)備建立了備份機制，并有備機備件"是□否主干交換機采用FEC冗余備份，可實時切換2.發(fā)生故障時，主干網(wǎng)絡(luò)設(shè)備是否可以實時切換，不影響交易"是□否主干網(wǎng)絡(luò)設(shè)備可以自動切換，不影響交易

5.通訊備份1.是否對通訊設(shè)備建立了備份機制，有備機備件"是□否營業(yè)部有兩臺通訊路由器，兩套專線連接設(shè)備，互為冗余備份，并配備ISDN備份模塊，故障時可實時切換，不影響交易2.是否對重要的通訊線路有冗余備份線路"是□否聯(lián)通、網(wǎng)通雙專線互備，同時配備ISDN備份線路；3.發(fā)生故障時，通信備份線路是否可以及時切換，不影響交易"是□否可以自動切換，不影響交易6.電力備份1.是否采用了雙路供電"是□否佟麟閣營業(yè)部所在大廈雙路供電2.是否采用了UPS后備電源"是□否佟麟閣營業(yè)部采用雙UPS主機備份；3.是否配備或租賃了發(fā)電機設(shè)備作為備份，并掌握操作要領(lǐng)□是"否營業(yè)部所在地雙路供電，且供電環(huán)境穩(wěn)定，沒有配備或租賃發(fā)電機，必要時臨時聯(lián)系發(fā)電車供電4.發(fā)生故障時，電力設(shè)備能否實時切換，不影響交易□是"否雙UPS未做冗余，須人工手動切換，服務(wù)器雙電源不受影響，主備交易系統(tǒng)分別連接兩臺UPS，—臺UPS故障時，另一套交易系統(tǒng)不受影響。7.空調(diào)備份1.是否建立了空調(diào)備份機制，有備用空調(diào)機"是□否機房內(nèi)配備雙空調(diào)2.在主用空調(diào)發(fā)生故障時，備用空調(diào)機是否能夠及時啟用"是□否機房內(nèi)采用雙空調(diào)并行制冷方式，隨時保持互備狀態(tài)4?安全監(jiān)控與1.實時監(jiān)控1.是否配備了監(jiān)控設(shè)備和人員，對交易業(yè)務(wù)網(wǎng)內(nèi)的服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的性能進行24小時實時監(jiān)控，并形成監(jiān)控記錄□是"否北京佟麟閣機房配備Hostmonitor監(jiān)控軟件，對交易業(yè)務(wù)網(wǎng)內(nèi)的主干網(wǎng)絡(luò)設(shè)備的性能進行24小時實時監(jiān)控，并形成監(jiān)控記錄；服務(wù)器在工作時間人工監(jiān)控，不具備24小時監(jiān)控2.是否對交易、結(jié)算、銀證業(yè)務(wù)等交易業(yè)務(wù)運行情況進行24小時不間斷監(jiān)控，并形成監(jiān)控記錄□是□否

管理3.是否對網(wǎng)絡(luò)流量、網(wǎng)站內(nèi)容等采取了24小時監(jiān)控措施，并形成監(jiān)控記錄□是□否2.日志檢查和分析1.是否定期對關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進行備份□是"否服務(wù)器日志系統(tǒng)有備份，但沒有備份網(wǎng)絡(luò)設(shè)備日志2.是否定期對關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進行檢查和分析，形成記錄□是□否3.權(quán)限和口令管理1.是否對交易業(yè)務(wù)服務(wù)器、主干交換設(shè)備等關(guān)鍵設(shè)備按最小安全訪問原則設(shè)置訪問控制權(quán)限，并及時清理冗余系統(tǒng)用戶，正確分配用戶權(quán)限□是"否服務(wù)器、主干交換設(shè)備沒有按最小安全訪問原則設(shè)置訪問控制，每半年清理一次系統(tǒng)冗余用戶，正確分配用戶權(quán)限2.是否建立了有效的口令管理制度，有修改操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用系統(tǒng)管理員口令的記錄"是□否具備有效的口令管理制度，管理員口令每年修改一次，留存修改記錄3.登錄口令修改頻率是否不低于每月一次□是"否按現(xiàn)行制度每年修改一次4.登錄口令長度是否不低于12位，并采用數(shù)字、字母、符號混排的方式□是"否登陸口令為純字母，沒有混排數(shù)字、字符，口令長度小于12位5.是否對交易業(yè)務(wù)服務(wù)器、主干網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理和維護采取了限制IP登錄的管理措施□是□否4.病毒、木馬監(jiān)控是否對業(yè)務(wù)網(wǎng)和辦公網(wǎng)安裝了殺毒和防木馬軟件，并進行定期升級和在線掃描"是□否交易網(wǎng)統(tǒng)一部署總公司諾頓殺毒軟件；辦公網(wǎng)部署卡巴斯基、瑞星等殺毒軟件，可自動定期升級和在線掃描5.機房1.是否對機房進出人員進行了登記管理□是"否機房進出人員無書面登記；

安全2.是否對外來人員操作系統(tǒng)有陪同、審批和監(jiān)控制度□是"否有機房安全管理制度，外來人員進入機房需由電腦部經(jīng)理批準（口頭批準），沒有審批記錄3.機房環(huán)境是否防靜電、防水、防火、防盜、防蟲害、防潮、防震□是"否有防靜電地板，防水頂棚，采用空調(diào)除濕防潮，防盜有保安24小時值班；無防蟲措施、無單獨防震設(shè)施；5應(yīng)急保障1.應(yīng)急小組是否成立了突發(fā)事件應(yīng)急處理小組，明確了事件報告人,并報當?shù)刈C監(jiān)局備案"是□否有應(yīng)急處理小組，明確事件報告人，已報證監(jiān)局備案2.應(yīng)急值班制度是否建立了應(yīng)急值班制度，并且應(yīng)急值守人員保持了24小時電話通暢"是□否遇到特殊情況由中心電腦部安排電腦部人員24小時值守，填寫值班交接記錄表，應(yīng)急值守人保持24小時電話通暢3.應(yīng)急預(yù)案是否制定了應(yīng)急處置預(yù)案"是□否營業(yè)部制定了應(yīng)急處置預(yù)案和應(yīng)急電話聯(lián)系表，張貼于機房4.應(yīng)急經(jīng)費與物資是否落實了應(yīng)急經(jīng)費與物資□是"否具備滅火器、對講機、五金工具袋，不具備應(yīng)急燈5.系統(tǒng)文檔是否制定了詳細的系統(tǒng)管理配置文檔□是"否現(xiàn)有殺毒服務(wù)器配置文檔、ar配置文檔，沒有網(wǎng)絡(luò)設(shè)備配置文檔6.應(yīng)急聯(lián)系人是否建立了詳細的應(yīng)急聯(lián)系人文檔，并及時更新，保持聯(lián)絡(luò)暢通"是□否建立了詳細應(yīng)急聯(lián)系人文檔，更新于08年4月，張貼于機房7.服務(wù)協(xié)議是否和銀行、電力、通信、