《证券、期货、基金公司信息系统安全检查表》由会员分享,可在线阅读,更多相关《证券、期货、基金公司信息系统安全检查表(8页珍藏版)》请在金锄头文库上搜索。
1、证券、期货、基金公司信息系统平安检查表受检单位名称检查日期检查小组成员名单检查小组组长签字受检单位技术负责人签字受检单位负责人签字检查状况备注检查项目检查内容适用范围检查结果备注证总证营期总期营基金1.门户网站及网上交易系统1.漏洞、木马、病毒检测1.是否安装了实时升级,在线扫描的木马、病毒防护软件是 否2.是否建立了定期扫描并修补漏洞的工作制度是 否3.是否对网站进行了全面检查,消退了sql注入漏洞、弱口令帐户、绕过验证、书目遍历、文件上传、下单网页未运用HTTPS加密机制等平安隐患是 否2.门户网站和网上交易系统隔离1.门户网站和网上交易系统是否进行了严格隔离是 否2.网上交易下单网页和网
2、上交易后台数据库之间是否进行了严格有效隔离是 否3.交易软件客户端下载是否对通过网站下载的网上交易客户端软件实行了严格的防护措施,能够防止被捆绑木马程序是 否4.端口限制和远程管理1.是否在防火墙和服务器上关闭了与业务无关的端口是 否2. 是否禁止了通过互联网对防火墙、网络设备、服务器进行远程管理和维护是 否5访问限制与审计是否采纳了牢靠的身份认证、访问限制和平安审计措施,防止来自互联网的非法接入和非法访问是 否6.网页平安1.是否对网页实行了防篡改等措施是 否2.是否对网页内容实行了监控、过滤机制是 否2.交易业务系统1.网络隔离1.是否对交易业务网和内部办公网实施了物理隔离是 否2.处理交
3、易业务的计算机终端和移动存储介质是否专网专用,不允许访问互联网是 否3.是否采纳了牢靠的身份认证、访问限制和平安审计措施,防止来自内部或现场交易的非法接入和非法访问是 否4.是否在核心交易业务网和非核心交易业务网之间实行了有效的隔离措施,确保在外围系统被攻击的状况下,核心交易业务网能够平安运行是 否2.交易业务系统维护是否制订了交易业务系统主机、存储设备、网络设备的监控和维护安排,并有监控维护记录是 否3.系统评估公司内部是否对交易业务系统的牢靠性和平安性有定期评估制度,并有评估报告是 否4.系统升级在对交易业务系统进行的重大升级和更新前是否制订了具体的升级方案是 否3.备份措施1.灾难备份和
4、故障备份1.是否对交易业务系统进行了故障备份是 否2.是否对交易业务系统进行了同城灾难备份是 否3.是否对交易业务系统进行了异地灾难备份是 否2.主机备份1.对重要主机、处理机和存储设备等关键设备是否建立了备份机制,并有备机备件是 否2.在主机和处理机出现故障时能否实现主备机刚好切换,不影响交易是 否3.数据备份1.是否有完整的数据备份策略是 否2.是否对交易业务等关键数据进行每日备份是 否3.备份数据是否异地存放,平安保管是 否4.是否对备份数据的有效性进行了验证,以保证备份数据在应急复原时有效是 否4.网络备份1.是否对交易业务系统的主干网络设备建立了备份机制,并有备机备件是 否2.发生故
5、障时,主干网络设备是否可以实时切换,不影响交易是 否5.通讯备份1.是否对通讯设备建立了备份机制,有备机备件是 否2.是否对重要的通讯线路有冗余备份线路是 否3.发生故障时,通信备份线路是否可以刚好切换,不影响交易是 否6.电力备份1.是否采纳了双路供电是 否2.是否采纳了UPS后备电源是 否3.是否配备或租赁了发电机设备作为备份,并驾驭操作要领是 否4.发生故障时,电力设备能否实时切换,不影响交易是 否7.空调备份1.是否建立了空调备份机制,有备用空调机是 否2.在主用空调发生故障时,备用空调机是否能够刚好启用是 否4.安全监控与管理1.实时监控1.是否配备了监控设备和人员,对交易业务网内的
6、服务器、主干网络设备的性能进行24小时实时监控,并形成监控记录是 否2. 是否对交易、结算、银证业务等交易业务运行状况进行24小时不间断监控,并形成监控记录是 否3. 是否对网络流量、网站内容等实行了24小时监控措施,并形成监控记录是 否2.日志检查和分析1.是否定期对关键网络、平安设备和服务器日志进行备份是 否2.是否定期对关键网络、平安设备和服务器日志进行检查和分析,形成记录是 否3.权限和口令管理1.是否对交易业务服务器、主干交换设备等关键设备按最小平安访问原则设置访问限制权限,并刚好清理冗余系统用户,正确安排用户权限是 否2.是否建立了有效的口令管理制度,有修改操作系统、数据库及应用系
7、统管理员口令的记录是 否3.登录口令修改频率是否不低于每月一次是 否4.登录口令长度是否不低于12位,并采纳数字、字母、符号混排的方式是 否5.是否对交易业务服务器、主干网络设备、平安设备等的管理和维护实行了限制IP登录的管理措施是 否4.病毒、木马监控是否对业务网和办公网安装了杀毒和防木马软件,并进行定期升级和在线扫描是 否5.机房平安1.是否对机房进出人员进行了登记管理是 否2.是否对外来人员操作系统有陪伴、审批和监限制度是 否3.机房环境是否防静电、防水、防火、防盗、防虫害、防潮、防震是 否5.应急保障1.应急小组是否成立了突发事务应急处理小组,明确了事务报告人,并报当地证监局备案是 否
8、2.应急值班制度是否建立了应急值班制度,并且应急值守人员保持了24小时电话通畅是 否3.应急预案是否制定了应急处置预案是 否4.应急经费与物资是否落实了应急经费与物资是 否5.系统文档是否制定了具体的系统管理配置文档是 否6.应急联系人是否建立了具体的应急联系人文档,并刚好更新,保持联络畅通是 否7.服务协议是否和银行、电力、通信、设备供应商、软件开发商、平安服务供应商签订了应急处理及服务协议,并报当地证监局备案是 否8.应急演练1.是否有具体的应急演练安排是 否2.每次应急演练后是否有应急演练文档是 否检查表说明:一、适用范围:共分为5类,分别针对证券机构总部(简称“证总”)、 证券机构营业
9、部(简称“证营”)、期货机构总部(简称“期总”)、期货机构营业部(简称“期营”)、基金公司(简称“基金”)。阴影覆盖表示适用,留白表示不适用。二、检查结果为“否”的项目,请在注释栏中注明缘由。三、特别项目说明:2.交易业务网:包括核心交易业务网和非核心交易业务网。 核心交易业务网包括核心集中交易系统、网上交易系统、三方存管系统、清算系统等系统。非核心交易业务网包括风控系统、财务系统、callcenter系统等业务系统。对于基金公司,交易业务网包括投资交易、注册登记、清算估值、基金销售等业务系统。 内部办公网: 与业务无关,支持公司内部办公,可以联入internet网络的其它网络。3.1 故障备
10、份:指交易业务系统的重要设备实行热备、温备、冷备等方式,保证系统设备故障时能刚好切换,不影响交易。灾难备份:指建立了同城灾备中心,在主交易中心瘫痪的状况下能刚好切换到灾备中心维持交易。灾难备份:指建立了异地灾备中心,在主交易中心所在地发生重大自然灾难状况下,能启用异地灾难备份中心维持交易。3.6此项前提为营业场所具有独立机房。3.6.3 如租赁了发电机设备,应出示租赁合同。3.7.1备份降温措施应包括:备用空调或电风扇、购买冰块等措施。4.1.1 24小时实时监控可以是人员监控或监控设备监控。4.3 登录口令:交易业务网关键服务器设备、主干网络设备、数据库、平安设备超级用户的登录口令。5.4 应急物质至少包括应急灯、手电筒、对讲机、灭火器、医药箱、五金工具箱等物质。5.5系统管理配置文档应至少包括交易业务系统配置文档、网络设备配置文档、存管系统配置文档等文档。5.6联系人文档应至少包括与电源维护单位、交易所、各应用系统供应商、设备供应商的联系文档、相关业务联系单位的联系文档,以及与当地政府、公安网监等部门的联系文档。5.8.1应急演练安排:包括核心交易业务系统瘫痪应急演练安排、非核心交易业务系统软硬件故障应急演练安排、通信系统故障应急演练安排、电力中断应急演练安排、网络攻击应急演练安排等。
