《网络与信息安全自查情况的分析方案》由会员分享,可在线阅读,更多相关《网络与信息安全自查情况的分析方案(10页珍藏版)》请在金锄头文库上搜索。
1、国都证券有限责任公司文件国都信字2018010号关于网络与信息安全自查情况的报告东城公安分局网安大队:根据贵局关于网络与信息安全自查的要求,国都证券 有限责任公司组织有关部门和人员对信息系统的安全管理 制度、建设和全管理、安全运营、应急管理等进行了自 查,现将有关自查情况报告提交贵局审阅。特此报告。附件:国都证券有限责任公司关于网络与信息安全 自查情况的报告二O一一年六月二十八日主题词:信息技术自查情况报告内部抄送:公司领导,综合管理部、人力资源部、 合规与风险管理部。校对:李静波印制:3份2018年6月28日发附件:国都证券有限责任公司关于网络与信息安全自查情况的报告东城公安分局网安大队:根
2、据贵局关于网络与信息安全自查的要求,国都证券有限责任 公司以下简称“公司”或“我司”)组织有关部门和人员对信息系 统的安全管理制度、建设和全管理、安全运营、应急管理等进行了 自查,现将有关自查情况报告如下:一、信息安全总体情况公司一直非常重视信息系统的安全管理工作。公司明确由信息 技术中心负责信息系统的安全管理工作,公司在信息系统的安全制 度建设、安全管理机构、人员安全管理、系统建设管理、系统运维 管理等方面不断细化和完善,公司信息系统总体运行稳定,未发生 重大网络与信息系统安全事件。(一)建立安全管理制度公司 2018 年全面修订信息技术的相关管理制度,明确了信息技 术管理组织框架、信息安全
3、管理的总体目标和原则。公司建立了信 息技术安全管理办法,明确了信息系统安全管理工作的重点为身份 识别账户权限及密码)、访问控制、漏洞管理、病毒防范、日志管 理、系统安全策略配置、信息安全事件处置等方面,明确了安全管 理操作的原则和规范。公司安全管理制度的制定、修订和发布等均按公司有关制度的 要规定进行,安全管理制度由信息技术中心制定、修订,由合规与 风险管理部及相关部门参与审核,公司通过发文的形式完成安全制 度的发布,公司规定每年对制度进行一次梳理并酌情进行修订。(二)明确安全管理机构公司明确了信息技术中心负责公司信息系统安全管理工作,信 息技术中心设立并配备了安全管理员、网络管理员、系统运维
4、管理 员等,公司总部各部门、北京交易中心、上海灾备中心及各营业部 均指定专人为安全管理联络员。系统的运行、网络接入和重要资源 的访问均通过公司 OA 办公系统进行审批,依据审批内容不同将分 别由部门负责人、主管公司领导等审批。公司通过电话、即时通信 工具等及时进行公司内部信息的沟通以及与公安、电信及兄弟单位 等部门的沟通。(三)人员安全管理公司由人力资源部负责人员的招聘和录用,公司明确禁止录用 有犯罪或严重违规行为记录的人员从事公司信息技术工作,公司与 员工均签有保密协议,在人员离职时均要求办理交接手续并终止系 统访问权限等,公司不断加强安全意识的教育与培训工作,对信息 技术中心关键岗位人员上
5、岗前均进行必要的培训,公司制订了信息 技术事故认定与处理制度,规范了相关奖惩的措施。(四)系统建设管理公司完成了主要信息系统安全的保护等级工作,相关信息系统 的定级结果经证监局核准后已报北京市公安局备案。公司在系统建设时就网络设计、访问管理、应用安全等与厂商 和有关部门进行详细沟通,并结合公司情况及监管要求,审查厂商 的方案是否符合公司安全管理要求,公司要求开发商提供的产品涉 及密码产品的应提供国家有关部门的资质证书。公司制定了信息技 术工程管理、采购的制度,明确了负责采购的部门为信息技术中心 及采购程序,公司在软件安装前通过NOD32防病毒系统进行病毒检 测,但缺乏全面的恶意代码检测机制。公
6、司规定了工程实施前应建立工程计划书并实施工程周报制 度,公司由信息技术中心负责工程建设的管理工作,系统的测试工 作由信息技术中心协调有关部门工作完成。公司规定了信息系统上 线前厂商应提供的有关文档资料,并安排厂商对公司有关部门和人 员进行必要的运维和使用的培训。公司对信息系统涉及的网络、设备、应用等根据系统运行情况 进行必要的巡查,总体来看,公司信息系统安全状况基本达到安全 等级保护的要求,但是公司网站等需要进一步完善安全管理措施, 即将建设硬件防病毒网关与更新高性能的WEB应用防火墙,均已完 成立项工作。公司明确了信息系统安全建设的主管领导、责任部门和相关责 任人员,公司在相关系统的建设时分
7、析其对公司网络资源、访问控 制、使用管理等可能出现的问题,并尽可能改进有关安全管理的措 施,确保系统安全稳定运行。公司购置了多种类型的安全硬件设备,并于 2018年部署了终端 安全管理系统,与提供产品的多家安全厂商保持着常年合作的关 系。在合作期间众厂商皆对我公司的信息系统提供各类安全检查、 威胁发现、整改建议等服务。(五)系统运维管理公司制定了机房与运行环境管理办法对有关机房物理访问、人 员及设备进出机房、基础环境、开关机要求等仅进行了规范,信息 技术中心明确具体人员负责有关操作和监控。公司制定了信息技术设备管理办法及固定资产管理办法,对信 息技术设备的登记、使用、关键设备的管理及处置等进行
8、了规范, 公司综合管理部对公司信息技术设备进行盘点和登记。公司制定了信息系统数据管理办法,对数据的备份与恢复、数据的访问及有关操作进行了规范,根据信息系统及数据的重要程度 分别采用硬盘、光盘并通过手工、自动等方式进行全量、增量的数 据备份,对光盘等存储介质进行异地保存。公司制定了信息技术设备管理办法、网络管理办法,明确了相 关设备及网路的管理部门为信息技术中心及机房负责人、网络管理 员等,公司信息技术设备的选型由信息技术中心负责,一般信息技 术设备的采购由综合管理部负责,符合信息技术工程采购管理办法 的设备采购由信息技术中心负责,公司机房内关键设备的开启和关 闭均由各机房值班人员按开关机操作流
9、程进行操作,未规定流程的 操作应经机房负责人同意后进行操作。公司制定了网络管理办法等制度,对网络安全配置、日志保存 时间、安全策略、升级与打补丁、口令更新周期等方面进行了规 定,公司设立网络管理员负责网络运行日志、网络监控记录的日常 维护和报警信息分析和处理工作,网络管理员每季度对网络系统进 行漏洞扫描,对发现的网络系统安全漏洞采取措施进行修补 ,并备份 有关配置,公司与外部系统的连接均通过 OA 办公系统有关流程进 行审批得到授权和批准;公司制定了信息系统权限管理制度,公司相关系统的访问控制 策略根据最小化原则通过审批后才赋予相关用户,公司根据信息系 统运行情况不定期进行漏洞扫描,对发现的系
10、统安全漏洞在保证公 司系统稳定运行的情况下在与信息系统安全管理员及相关厂商沟通 后酌情进行修补,因系统实时性要求较高,公司未全面开启有关设 备和系统的审计功能,公司每天对系统运行情况进行实时的监控和 巡检,并根据情况对有关日志进行不定期的分析。公司安装了 NOD32网络版防病毒系统、亿阳网管终端安全管理 系统并由安全管理员管理,公司要求所有外来设备在接入网络前进 行检查,公司严格控制外来设备接入交易网,公司信息技术安全管 理办法对防恶意代码软件的授权使用、恶意代码库升级、汇报等作 出了规定。公司制定了信息系统密码管理办法及系统变更管理办法,公司 在信息技术工程采购时对涉及密码内容的,均要求厂商
11、出具由证明 产品符合国家主管部门要求的资质证书等,公司系统变更管理办法 对系统变更的角色、程序、版本、操作等进行了规范,重大升级均 通过公司OA系统进行审批并在通过业务和技术为测试后进行。公司根据系统的重要性等分别进行系统级的热备、温备、冷 备、灾备措施,公司制定了信息系统灾备管理办法,明确了灾备启 动和恢复的条件、程序、操作流程等,公司信息系统数据管理办 法,对数据的备份与恢复的周期、介质、保存等进行了规范。公司制定了信息技术事故认定与处理制度和风险报告制度,规 定了信息技术安全事件的处理及报告程序,公司信息技术安全事件 的报告以风险控制单的形式通过OA办公系统流转。公司制定了网络与信息安全
12、事件应急预案,预案对决策体系、 启动条件、信息的报告和发布、不同情况的应急处理程序、演练及 培训等进行了基本的规范,公司集中交易及相关系统每年最少进行 两次包括上海灾备中心、营业部的全网演练。(六)重要信息系统情况 公司本次自查了呼叫中心系统、法人清算系统、集中交易系 统、门户网站、网上交易系统以及投资与客户资产管理系统, 6 个 系统在数据安全、网络安全、物理安全、应用安全、主机安全几个 方面基本符合有关安全管理的要求,其中门户网站、网上交易系统 部署在 IDC 托管机房,其他 4 个系统分别部署在北京交易中心机 房、北京总部中心机房,各系统公司均安排专门的系统维护人员, 运维人员在每个交易
13、日定时进行系统巡检,发现异常及时处理和报 告,系统通过身份鉴别、权限控制、网络控制、数据备份、线路和 设备的冗余以及机房的安全控制等基本保证信息系统安全稳定运 行。二、存在问题 通过对公司网络与信息安全自查,公司在以下方面存在不足:(一)信息安全培训力度不够 公司基本在员工入职时进行信息系统安全的培训,此后较少进 行有关安全使用的培训,为强化员工安全意识,公司应该每年至少 进行一定次数的信息系统安全使用的培训。(二)软件漏洞检测不全面 公司目前未进行全面的信息系统安全漏洞检测,一般情况下只 进行病毒检测,因行业内厂商基本不提供前端的源代码,所有也基 本无法审查是否存在后门的要求,仅要求厂商做出
14、不存在后门的承 诺。(三)系统自查不完善 公司没有进行每半年组织一次信息系统安全自查工作,虽然公 司对网络、设备、系统均进行不定期的检查、实时监控和巡检等工 作,但未专门组织系统安全自查工作。(四)审计管理不完善 因相关系统运行的安全稳定问题,公司未开启有关操作系统、 数据库的全部审计功能,同时各应用系统自身的审计功能也不是很 完善,有的仅仅记录的用户的登录和退出等。(五)网站缺乏更有效地防入侵及检测设备公司2009年从绿盟科技购置了应用防火墙WAF600,此设备功 能与性能基本上可满足目前门户网站的安全需要,但随着来自互联 网的各类新型安全威胁越来越突出,有可能使公司的门户网站造成 严重的破
15、坏。三、整改计划(一)加强信息安全培训力度公司开始每年进行至少一次的信息系统安全使用培训,公司将 在 2018 年制定培训计划时安排此项工作,培训内容将根据公司信息 系统运行和使用中的问题选定,主要包括系统补丁安装、系统漏洞 检测、防病毒软件的使用、数据的备份、安全上网等。责任人:李静波(二)完善软件漏洞检测公司将根据系统的情况逐步实现信息的安全漏洞工作。公司将 在 2018 年年底前安排有关厂商对门户网站进行漏洞检测,并根据检 测的结果,要求开发商进行系统安全加固工作,此项工作每年将至 少执行一次。责任人:孙育红、李静波(三)增强系统安全自查工作公司将由信息技术中心牵头,每年至少一次对全公司
16、各类信息 系统进行全面的安全检查工作,包括但不仅限于网络、设备、应用 系统等。责任人:王士军、李静波、杨炯(四)逐步完善审计管理工作因公司交易系统实时性要求极高,本着谨慎的原则,公司将进 一步与厂商、其他证券公司沟通就审计功能开启问题进行沟通,在 确保系统安全稳定运行的前提下,逐步开启必要的审计功能,同时 与各信息系统开发商沟通,要求其完善自身应用的审计功能等。责任人:各系统负责人(五)完善门户网站安全机制的建设公司门户网站是对外信息发布的窗口,是与外界进行网络沟通 的桥梁,也是未来广大用户办理业务的便捷通道,它的正常与否将 直接关系到运营商提供的服务质量及其公众形象。公司对于此系统 的安全建设相当重视,已立项购置硬件防病毒网关与高性能的 WEB 安全防护系统。2018 年内建设完成后,将从 WEB 应
