信息安全培訓20111230

信息安全培訓信息技術部信息安全員錢昭敏進行安全培訓的原因

《信息安全管理使用規(guī)則》(GB/T19716-2005)第6.2.1點： 組織的所有雇員和（若相關的）第三方用戶要接受組織的策略和規(guī)程方面的適當培訓和定期更新內容。這包括安全要求、合法職責和業(yè)務控制以及在給予訪問信息和服務之前正確使用信息處理設施的培訓，例如登錄過程、使用軟件包等。《證券公司信息技術管理規(guī)范》（JR/T0023—2004）第4.4.2點： 信息系統(tǒng)安全管理組織應組織信息系統(tǒng)安全教育及技術培訓?！蹲C券期貨經營機構信息技術治理工作指引》第八章第四十九條： 公司應對全體員工開展必要的信息安全培訓、教育和考核?！蹲C券期貨業(yè)信息安全保障管理暫行辦法》（證監(jiān)信息字[2005]5號）第三章第十條： 信息安全保障工作的目標：提高證券期貨業(yè)人員的信息安全意識、安全專業(yè)素質以及安全管理與服務水平；課程導航我司信息安全保障體系介紹員工信息安全指引投資者教育-交易系統(tǒng)使用安全指引我司信息安全保障體系信息安全行政管理工作集中交易安全管理工作網上信息系統(tǒng)安全管理工作營業(yè)部信息系統(tǒng)安全保障工作信息安全行政管理工作-法律法規(guī)《證券公司分類監(jiān)管規(guī)定》（2010年修訂）第二章第五條： 證券公司風險管理能力主要根據(jù)資本充足、公司治理與合規(guī)管理、動態(tài)風險監(jiān)控、信息系統(tǒng)安全、客戶權益保護、信息披露等6類評價指標，按照《證券公司風險管理能力評價指標與標準》進行評價，體現(xiàn)證券公司對流動性風險、合規(guī)風險、市場風險、信用風險、技術風險及操作風險等管理能力。 信息系統(tǒng)安全評價指標與標準：IT治理完善，信息系統(tǒng)管理機制獨立有效信息系統(tǒng)功能齊備，有效滿足客戶委托、交易、清算、開戶、查詢等需求，客戶電子資料等信息安全信息系統(tǒng)安全穩(wěn)定運行，能夠避免頻繁信息安全事故或重大事故信息系統(tǒng)應急預案有效，能夠及時應對信息安全事故安全管理應做到“誰主管，誰負責”、“誰運營，誰負責”，注重以法律手段明確與他方的責任關系，通過契約、協(xié)調等方式與他方進行責任劃分，明確進行風險轉移，通過責任主體制約他方。（《證券期貨業(yè)信息安全保障管理暫行辦法》)信息安全行政管理工作-法律法規(guī)《東莞證券有限責任公司信息技術管理制度》第十五章第二條：

公司信息安全目標：保障投資者信息安全；杜絕大范圍影響投資者正常業(yè)務或引起大范圍投資者不滿的重大事故發(fā)生；保障公司業(yè)務活動連續(xù)性；保障公司信息資產安全：公司信息安全最低要求保證交易系統(tǒng)99.9％可用率。信息安全行政管理工作-我司落實情況信息技術治理委員會為信息安全管理最高機構；建立一把手負責制，公司總裁為公司信息技術安全第一責任人，總部各部室、各營業(yè)網點均由本單位負責人作為信息安全第一責任人，信息技術部為公司計算機安全日常管理的職能部門，負責全公司信息技術的安全管理。（《信息技術管理制度》）2010年8月4日，我司各營業(yè)部負責人向分管信息的公司領導簽訂了責任狀，營業(yè)部技術人員向營業(yè)部總經理簽訂了責任狀；信息技術部負責人向分管信息的公司領導簽訂了責任狀，信息技術部員工向信息技術部負責人簽訂了責任狀。集中交易安全管理工作-法律法規(guī)《證券公司集中交易安全管理技術指引》從管理組織體系、機房和運行環(huán)境、系統(tǒng)建設、運行管理、災難備份、技術委托與外包、應急恢復與事故處理、技術監(jiān)管等方面，對證券公司集中交易系統(tǒng)的安全管理工作做出了明確的指引要求。《證券公司信息技術管理規(guī)范》第3點指出： 證券公司在信息技術管理工作中應遵循：安全性原則，應樹立技術風險的防范意識，把安全措施落實到信息技術管理的每個環(huán)節(jié)、每個方面，應在信息系統(tǒng)的設計、開發(fā)、運行、維護各環(huán)節(jié)和硬件、軟件、網絡通訊、數(shù)據(jù)、管理制度各方面，貫徹安全性原則。實用性原則，應加強信息技術管理，注重采用成熟的先進技術，在確保信息系統(tǒng)性能和安全的前提下，遵循高效益、低成本、易操作的原則。系統(tǒng)化原則，將證券公司信息技術管理有關的資源和活動以系統(tǒng)的觀點來進行管理，理解和識別管理過程中的相互關系和作用，明確每個管理過程的職責和權限。集中交易安全管理工作目前我司集中交易系統(tǒng)采取雙中心運營模式，外圍交易系統(tǒng)采用多站點冗余接入運行機制，可實現(xiàn)絕大多數(shù)系統(tǒng)熱冗余運行，縮短信息系統(tǒng)故障應急處理時間，大大提高了系統(tǒng)運行的安全性，信息安全保障提升至一個新的層次。集中交易安全管理采用專人專崗管理制度，每個工作崗位均具備明確的工作職責及責任人，重要權限采用多崗多人制衡管理，日常工作嚴格按照規(guī)范的工作流程執(zhí)行，具備比較完善的風險評估、應急預案、操作復核、領導審核的流程，具備重要技術、資料保密管理制度。網上信息系統(tǒng)安全管理工作-法律法規(guī)《證券公司網上證券信息系統(tǒng)技術指引》是目前針對網上信息系統(tǒng)的最為重要的一份指引文件，在網站、網上交易客戶端、移動證券等方面均做出了明確的安全要求。其中第四條做出了原則性要求： 證券公司利用網上證券信息系統(tǒng)開展證券業(yè)務應遵循如下基本原則： （一）安全性原則：網上證券信息系統(tǒng)的建設應提高風險防范意識，保證在網上開展證券業(yè)務的安全性。通過技術措施和管理手段，實現(xiàn)信息的保密性、完整性和服務可用性。 （二）系統(tǒng)性原則：網上證券信息系統(tǒng)的安全建設應覆蓋安全保障體系的各個方面，包括：安全體系建設、證券業(yè)務在網上的開展、網絡和系統(tǒng)安全、應用系統(tǒng)安全、運維和安全保障、災難恢復和應急措施等。 （三）可用性原則：網上證券信息系統(tǒng)的建設應在保障安全的原則下，確保在網上開展的證券業(yè)務的連續(xù)性和可靠性。網上信息系統(tǒng)安全管理工作-建設情況 證券公司應在兩個以上的物理地點建立網上證券信息系統(tǒng)，互為備份，并應具備2個或2個以上不同運營商的互聯(lián)網接入，避免在同一運營商的線路接入上出現(xiàn)單點故障和瓶頸，同時應充分考慮不同互聯(lián)網運營商的互聯(lián)瓶頸問題，確保局部故障或災難發(fā)生時，系統(tǒng)能繼續(xù)對用戶提供服務。

——《證券公司網上證券信息系統(tǒng)技術指引》第十八條我司目前建立了四個運營商互聯(lián)網接入服務點（IDC），其中包括兩個中國電信IDC，一個中國聯(lián)通IDC以及一個中國移動IDC。所有機柜通過獨享100M（中國移動獨享50M）互聯(lián)網線路接入提供服務。網上信息系統(tǒng)安全管理工作-建設情況 證券公司應在門戶網站部署防篡改系統(tǒng)，當網站上的頁面內容、提供給投資者下載的客戶端軟件及其它文件被異常修改時，能自動告警或自動恢復，防止被捆綁木馬程序。

——《證券公司網上證券信息系統(tǒng)技術指引》第二十三條我司網站已按照國家主管部門的有關規(guī)定辦理網站備案，已部署防篡改系統(tǒng)，具有防注入和跨站攻擊，以及特殊字符過濾功能。除了防篡改主動防御系統(tǒng)，我們也在軟件下載頁面提供了MD5校驗器以及各個軟件的MD5校驗碼，客戶下載了交易軟件后，可通過檢查軟件MD5是否一致，從而避免下載了被捆綁木馬程序的軟件。網上信息系統(tǒng)安全管理工作-建設情況 網上證券客戶端應提供技術手段協(xié)助用戶檢查、清除木馬等惡意程序，并提供驗證碼、強制口令圖形鍵盤、安全的口令輸入安全控件、客戶端電腦或手機特征碼綁定、軟硬件證書、動態(tài)口令等多種用戶認證方式，防范不法分子利用木馬等黑客程序竊取客戶賬號和口令信息，進行證券盜買盜賣非法活動?！蹲C券公司網上證券信息系統(tǒng)技術指引》第二十八條網上信息系統(tǒng)安全管理工作-建設情況提供可靠的用戶身份認證機制，支持網上證券客戶端采用多種認證方式與服務端進行身份認證。除輸入證券帳號、口令、驗證碼的身份認證方式之外，還提供了硬件證書（U-key）的身份認證方式。客戶身份信息和交易數(shù)據(jù)等重要數(shù)據(jù)傳輸均采用國家信息安全機構認可的加密技術和加密強度，并達到SSL協(xié)議128位的加密強度。能在指定的閑置時間間隔到期后（默認5分鐘），自動鎖定客戶端的使用。能向客戶提示最近一次登錄的日期、時間、地址等信息。提供預留驗證信息服務，在客戶登錄時向客戶顯示預留的驗證信息，幫助客戶識別仿冒的網上證券信息系統(tǒng)。具備防止用戶使用簡單口令，對客戶使用簡單密碼或設置為簡單密碼均有風險提示，并能夠抵御連續(xù)猜測等對客戶賬戶惡意攻擊行為。后臺即時能記錄、存儲必要的日志信息，其中包含能識別服務請求方身份的內容、登錄終端的IP地址、MAC地址等。營業(yè)部信息系統(tǒng)安全保障工作-法律法規(guī)《證券營業(yè)部信息技術指引》對營業(yè)網點建設和日常運營的系統(tǒng)工作提出了總體性的框架規(guī)范，對基礎建設、運維制度、安全保障的方面均作出了明確的要求。第二條 證券公司應按照信息系統(tǒng)安全性、實用性、可操作性原則，統(tǒng)一規(guī)劃和建設證券營業(yè)部信息系統(tǒng)，全面負責證券營業(yè)部信息技術的安全管理。第三條 證券營業(yè)部應在所屬證券公司的集中統(tǒng)一管理下，制定相應的信息技術工作流程和操作規(guī)范，確保信息系統(tǒng)對業(yè)務的有效支撐。營業(yè)部信息系統(tǒng)安全保障工作-基礎環(huán)境 證券營業(yè)部機房建設應符合GB9361-88《計算站場地安全要求》和GB2887-89《計算站場地技術條件》的有關規(guī)定?！蹲C券營業(yè)部信息技術指引》第六條物理安全保護的目的主要是使存放計算機、網絡設備的機房以及信息系統(tǒng)的設備和存儲數(shù)據(jù)的介質等免受物理環(huán)境、自然災難以及人為操作失誤和惡意操作等各種威脅所產生的攻擊。物理安全是防護信息系統(tǒng)安全的最底層，缺乏物理安全，其他任何安全措施都是毫無意義的。物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護營業(yè)部信息系統(tǒng)安全保障工作-運維管理

證券營業(yè)部應用系統(tǒng)應具備足夠的健壯性，系統(tǒng)處理能力具有一定的冗余度，行情、交易、資訊系統(tǒng)等關鍵硬件設備應通過熱備、冷備等手段，避免單點故障，提高系統(tǒng)可用性?！蹲C券營業(yè)部信息技術指引》第二十八條任何服務器的設置變動，必須采用雙人復核制。除故障應急外，開市交易期間不得進行任何與交易業(yè)務相關的信息系統(tǒng)變更操作。信息系統(tǒng)應急步驟必須具有可操作性，備用服務器需確保在交易期間隨時可切換。所有服務器必須定期更新殺毒軟件病毒庫。建立內網WSUS更新服務器，所有信息系統(tǒng)服務器、柜臺用機及時進行補丁更新。營業(yè)部信息系統(tǒng)安全保障工作-管理制度

證券營業(yè)部應執(zhí)行所屬證券公司的人員管理、機房管理、網絡管理、設備管理、數(shù)據(jù)管理、技術文檔管理、系統(tǒng)運維管理、應急處理等制度。每年將信息系統(tǒng)運行及制度執(zhí)行情況報告所屬證券公司并同時按監(jiān)管部門的要求抄報有關單位?！蹲C券營業(yè)部信息技術指引》第三十三條安全管理制度包括信息安全工作的總體方針、策略、規(guī)范各種安全管理活動的管理制度以及管理人員或操作人員日常操作的操作規(guī)程。每天的操作日志必須完整、真實填寫，妥善保管，隨時備查。主備崗制度必須貫徹落實，備崗人員能夠獨立完成所有信息系統(tǒng)日常操作，熟悉應急步驟。了解公司信息技術管理制度，熟悉信息系統(tǒng)應急預案和應急流程。營業(yè)部信息系統(tǒng)安全保障案例一： 某營業(yè)部的大智慧行情系統(tǒng)即將到期，在開市后從大智慧網站下載了續(xù)期的授權文件，更新了授權。結果在更新授權后，無盤行情工作站不能刷新行情，嚴重影響了客戶看行情。案例二： 某營業(yè)部的NOVELL服務器時間不準，在收市后對服務器的時間進行了調校。但在調整了服務器時鐘后，操作人自己沒有細心觀察、檢查測試，亦沒有第二人復核檢查。操作的技術員在輸入調整時間命令時，沒有區(qū)分24小時制，將下午的4點多設成了早上的4點多，時間相差了12小時。第二天早上9點多，大智慧的轉碼機還不能自動初始化，直到9:30開市客戶才發(fā)現(xiàn)行情還不會變化。營業(yè)部信息系統(tǒng)安全保障案例三： 青海某地停電一天，停電期間，營業(yè)部的備用發(fā)電機無法正常工作，UPS備用電源僅能保證機房、柜臺等重要崗位以及不足15臺客戶交易終端的應急使用，無法保證部分現(xiàn)場交易客戶觀看行情和交易的需要，導致部分現(xiàn)場交易客戶長時間無法正常交易，造成了較為惡劣的影響。員工信息安全指引網絡使用文件管理數(shù)據(jù)管理業(yè)務系統(tǒng)員工信息安全指引-網絡安全 員工在日常工作中，應嚴格遵守公司關于內外網隔離的有關規(guī)定?；ヂ?lián)網實際上充滿了攻擊與病毒危險，將內外網直接連通，就意味著將公司的內部網絡暴露于互聯(lián)網之中，對公司的網絡環(huán)境造成很大的風險。 在任何情況下，都不得擅自將內外網直接連通。如涉及系統(tǒng)應急工作，應預先做好符合規(guī)定的應急方案，申請并建立安全的VPN連接，使網絡的安全可控。 在日常訪問互聯(lián)網時，應該時刻保持風險意識，不貿然打開一些不受信任的網站，不隨意接收他人通過QQ等方式傳輸過來的文件，防止木馬入侵。員工信息安全指引-文件管理病毒的特征它必須能自行執(zhí)行。它通常將自己的代碼置于另一個程序的執(zhí)行路徑中。它必須能自我復制。例如，它可能用受病毒感染的文件副本替換其他可執(zhí)行文件。病毒既可以感染桌面計算機也可以感染網絡服務器。

——引自《中華人民共和國計算機信息系統(tǒng)安全保護條例》蠕蟲病毒蠕蟲是一種通過網絡傳播的惡性病毒，它具有病毒的一些共性，如傳播性、隱蔽性、破壞性等等，同時具有自己的一些特征，如不利用文件寄生(有的只存在于內存中)，對網絡造成拒絕服務，以及和黑客技術相結合，等等。員工信息安全指引-文件管理木馬的特征表面上是有用的軟件、實際目的卻是危害計算機安全并導致嚴重破壞的計算機程序。竊取信息是木馬最大的目的。 它是具有欺騙性的文件(宣稱是良性的，但事實上是惡意的)，是一種基于遠程控制的黑客工具，具有隱蔽性和非授