证券、期货、基金公司信息系统安全检查表.doc

《证券、期货、基金公司信息系统安全检查表.doc》由会员分享，可在线阅读，更多相关《证券、期货、基金公司信息系统安全检查表.doc（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流证券、期货、基金公司信息系统安全检查表.精品文档.证券、期货、基金公司信息系统安全检查表受检单位名称检查日期检查小组成员名单检查小组组长签字受检单位技术负责人签字受检单位负责人签字检查情况备注检查项目检查内容适用范围检查结果备注证总证营期总期营基金1.门户网站及网上交易系统1.漏洞、木马、病毒检测1.是否安装了实时升级，在线扫描的木马、病毒防护软件是 否2.是否建立了定期扫描并修补漏洞的工作制度是 否3.是否对网站进行了全面检查，消除了sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网页未使用HTTPS加密机制等安全隐患是 否2

2、.门户网站和网上交易系统隔离1.门户网站和网上交易系统是否进行了严格隔离是 否2.网上交易下单网页和网上交易后台数据库之间是否进行了严格有效隔离是 否3.交易软件客户端下载是否对通过网站下载的网上交易客户端软件采取了严格的防护措施，能够防止被捆绑木马程序是 否4.端口限制和远程管理1.是否在防火墙和服务器上关闭了与业务无关的端口是 否2. 是否禁止了通过互联网对防火墙、网络设备、服务器进行远程管理和维护是 否5访问控制与审计是否采用了可靠的身份认证、访问控制和安全审计措施，防止来自互联网的非法接入和非法访问是 否6.网页安全1.是否对网页采取了防篡改等措施是 否2.是否对网页内容采取了监控、过

3、滤机制是 否2.交易业务系统1.网络隔离1.是否对交易业务网和内部办公网实施了物理隔离是 否2.处理交易业务的计算机终端和移动存储介质是否专网专用，不允许访问互联网是 否3.是否采用了可靠的身份认证、访问控制和安全审计措施，防止来自内部或现场交易的非法接入和非法访问是 否4.是否在核心交易业务网和非核心交易业务网之间采取了有效的隔离措施，确保在外围系统被攻击的情况下，核心交易业务网能够安全运行是 否2.交易业务系统维护是否制订了交易业务系统主机、存储设备、网络设备的监控和维护计划，并有监控维护记录是 否3.系统评估公司内部是否对交易业务系统的可靠性和安全性有定期评估制度，并有评估报告是 否4.

4、系统升级在对交易业务系统进行的重大升级和更新前是否制订了详细的升级方案是 否3.备份措施1.灾难备份和故障备份1.是否对交易业务系统进行了故障备份是 否2.是否对交易业务系统进行了同城灾难备份是 否3.是否对交易业务系统进行了异地灾害备份是 否2.主机备份1.对重要主机、处理机和存储设备等关键设备是否建立了备份机制，并有备机备件是 否2.在主机和处理机出现故障时能否实现主备机及时切换，不影响交易是 否3.数据备份1.是否有完整的数据备份策略是 否2.是否对交易业务等关键数据进行每日备份是 否3.备份数据是否异地存放，安全保管是 否4.是否对备份数据的有效性进行了验证，以保证备份数据在应急恢复时

5、有效是 否4.网络备份1.是否对交易业务系统的主干网络设备建立了备份机制，并有备机备件是 否2.发生故障时，主干网络设备是否可以实时切换，不影响交易是 否5.通讯备份1.是否对通讯设备建立了备份机制，有备机备件是 否2.是否对重要的通讯线路有冗余备份线路是 否3.发生故障时，通信备份线路是否可以及时切换，不影响交易是 否6.电力备份1.是否采用了双路供电是 否2.是否采用了UPS后备电源是 否3.是否配备或租赁了发电机设备作为备份，并掌握操作要领是 否4.发生故障时，电力设备能否实时切换，不影响交易是 否7.空调备份1.是否建立了空调备份机制，有备用空调机是 否2.在主用空调发生故障时，备用空

6、调机是否能够及时启用是 否4.安全监控与管理1.实时监控1.是否配备了监控设备和人员，对交易业务网内的服务器、主干网络设备的性能进行24小时实时监控，并形成监控记录是 否2. 是否对交易、结算、银证业务等交易业务运行情况进行24小时不间断监控，并形成监控记录是 否3. 是否对网络流量、网站内容等采取了24小时监控措施，并形成监控记录是 否2.日志检查和分析1.是否定期对关键网络、安全设备和服务器日志进行备份是 否2.是否定期对关键网络、安全设备和服务器日志进行检查和分析，形成记录是 否3.权限和口令管理1.是否对交易业务服务器、主干交换设备等关键设备按最小安全访问原则设置访问控制权限，并及时清

7、理冗余系统用户，正确分配用户权限是 否2.是否建立了有效的口令管理制度，有修改操作系统、数据库及应用系统管理员口令的记录是 否3.登录口令修改频率是否不低于每月一次是 否4.登录口令长度是否不低于12位，并采用数字、字母、符号混排的方式是 否5.是否对交易业务服务器、主干网络设备、安全设备等的管理和维护采取了限制IP登录的管理措施是 否4.病毒、木马监控是否对业务网和办公网安装了杀毒和防木马软件，并进行定期升级和在线扫描是 否5.机房安全1.是否对机房进出人员进行了登记管理是 否2.是否对外来人员操作系统有陪同、审批和监控制度是 否3.机房环境是否防静电、防水、防火、防盗、防虫害、防潮、防震是

8、 否5.应急保障1.应急小组是否成立了突发事件应急处理小组，明确了事件报告人,并报当地证监局备案是 否2.应急值班制度是否建立了应急值班制度，并且应急值守人员保持了24小时电话通畅是 否3.应急预案是否制定了应急处置预案是 否4.应急经费与物资是否落实了应急经费与物资是 否5.系统文档是否制定了详细的系统管理配置文档是 否6.应急联系人是否建立了详细的应急联系人文档，并及时更新，保持联络畅通是 否7.服务协议是否和银行、电力、通信、设备供应商、软件开发商、安全服务提供商签订了应急处理及服务协议，并报当地证监局备案是 否8.应急演练1.是否有详细的应急演练计划是 否2.每次应急演练后是否有应急演

9、练文档是 否检查表说明：一、适用范围：共分为5类，分别针对证券机构总部（简称“证总”）、 证券机构营业部（简称“证营”）、期货机构总部（简称“期总”）、期货机构营业部（简称“期营”）、基金公司（简称“基金”）。阴影覆盖表示适用，留白表示不适用。二、检查结果为“否”的项目，请在注释栏中注明原因。三、特殊项目说明：2.交易业务网：包括核心交易业务网和非核心交易业务网。 核心交易业务网包括核心集中交易系统、网上交易系统、三方存管系统、清算系统等系统。非核心交易业务网包括风控系统、财务系统、callcenter系统等业务系统。对于基金公司，交易业务网包括投资交易、注册登记、清算估值、基金销售等业务系统

10、。 内部办公网： 与业务无关，支持公司内部办公，可以联入internet网络的其它网络。3.1 故障备份：指交易业务系统的重要设备采取热备、温备、冷备等方式，保证系统设备故障时能及时切换，不影响交易。灾难备份：指建立了同城灾备中心，在主交易中心瘫痪的情况下能及时切换到灾备中心维持交易。灾害备份：指建立了异地灾备中心，在主交易中心所在地发生重大自然灾害情况下，能启用异地灾害备份中心维持交易。3.6此项前提为营业场所具有独立机房。3.6.3 如租赁了发电机设备，应出示租赁合同。3.7.1备份降温措施应包括：备用空调或电风扇、购买冰块等措施。4.1.1 24小时实时监控可以是人员监控或监控设备监控。

11、4.3 登录口令：交易业务网关键服务器设备、主干网络设备、数据库、安全设备超级用户的登录口令。5.4 应急物质至少包括应急灯、手电筒、对讲机、灭火器、医药箱、五金工具箱等物质。5.5系统管理配置文档应至少包括交易业务系统配置文档、网络设备配置文档、存管系统配置文档等文档。5.6联系人文档应至少包括与电源维护单位、交易所、各应用系统供应商、设备供应商的联系文档、相关业务联系单位的联系文档，以及与当地政府、公安网监等部门的联系文档。5.8.1应急演练计划：包括核心交易业务系统瘫痪应急演练计划、非核心交易业务系统软硬件故障应急演练计划、通信系统故障应急演练计划、电力中断应急演练计划、网络攻击应急演练计划等。