第一篇：證券期貨業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法

證券期貨業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)暫行辦法

2009年07月20日 16:00 來(lái)源： 金融界網(wǎng)站 【字體：大 中 小】 網(wǎng)友評(píng)論

（2005年2月1日 證監(jiān)信息字〔2005〕1號(hào)）

第一條為規(guī)范證券期貨行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作，切實(shí)保護(hù)投資者合法權(quán)益，依據(jù)國(guó)家有關(guān)規(guī)定，制定本辦法。

第二條證券期貨行業(yè)信息安全保障協(xié)調(diào)小組（以下簡(jiǎn)稱(chēng)協(xié)調(diào)小組）負(fù)責(zé)行業(yè)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的決策、組織、協(xié)調(diào)工作，協(xié)調(diào)小組成員單位包括中國(guó)證監(jiān)會(huì)、上海證券交易所、深圳證券交易所、上海期貨交易所、大連商品交易所、鄭州商品交易所、中國(guó)證券登記結(jié)算公司、中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)。信息通報(bào)單位包括證券、期貨交易所，中國(guó)證券登記結(jié)算公司，各證券公司、基金管理公司、期貨公司，證券、期貨投資咨詢(xún)公司以及其他由證監(jiān)會(huì)核準(zhǔn)注冊(cè)成立的機(jī)構(gòu)（以下簡(jiǎn)稱(chēng)通報(bào)單位）.第三條中國(guó)證監(jiān)會(huì)信息中心是協(xié)調(diào)小組的執(zhí)行部門(mén)，負(fù)責(zé)向國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心報(bào)告證券期貨行業(yè)的網(wǎng)絡(luò)信息安全信息;負(fù)責(zé)將國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布的信息報(bào)告、病毒與網(wǎng)絡(luò)攻擊預(yù)警等按要求向協(xié)調(diào)小組單位成員傳達(dá)，并通過(guò)中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)向各自歸口的通報(bào)單位傳達(dá)。

中國(guó)證監(jiān)會(huì)信息中心作為協(xié)調(diào)小組中各通報(bào)單位的歸口單位，負(fù)責(zé)這些單位網(wǎng)絡(luò)與信息安全信息的匯總、整理。

中國(guó)證券業(yè)協(xié)會(huì)負(fù)責(zé)證券公司、基金管理公司、證券投資咨詢(xún)公司等單位的網(wǎng)絡(luò)與信息安全信息匯總和反饋工作，并作為上述機(jī)構(gòu)的歸口單位向中國(guó)證監(jiān)會(huì)信息中心報(bào)告。

中國(guó)期貨業(yè)協(xié)會(huì)負(fù)責(zé)期貨公司、期貨投資咨詢(xún)公司等單位的網(wǎng)絡(luò)與信息安全信息匯總和反饋工作，并作為上述機(jī)構(gòu)的歸口單位向中國(guó)證監(jiān)會(huì)信息中心報(bào)告。

第四條各通報(bào)單位按照“誰(shuí)主管、誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)、誰(shuí)負(fù)責(zé)”的原則，做好各自單位的信息安全通報(bào)工作。各單位信息安全工作的責(zé)任人（主管領(lǐng)導(dǎo)）為本單位信息安全通報(bào)工作的責(zé)任人。

各通報(bào)單位應(yīng)落實(shí)承擔(dān)網(wǎng)絡(luò)與信息安全信息通報(bào)工作的職能部門(mén)、負(fù)責(zé)人和聯(lián)絡(luò)員，制定本單位內(nèi)部的信息報(bào)告流程和相應(yīng)的責(zé)任制，并填寫(xiě)信息安全報(bào)告基本情況備案表（見(jiàn)附件一）報(bào)歸口單位備案。

各通報(bào)單位要及時(shí)將本單位網(wǎng)絡(luò)與信息系統(tǒng)出現(xiàn)的安全事故上報(bào)歸口單位，并負(fù)責(zé)將來(lái)自歸口單位的信息安全通告以及其他通知、要求及時(shí)傳達(dá)到有關(guān)責(zé)任人。

第五條各通報(bào)單位實(shí)行7×24小時(shí)聯(lián)絡(luò)制度，指定一名聯(lián)絡(luò)員，一名后備聯(lián)絡(luò)員。聯(lián)絡(luò)員和后備聯(lián)絡(luò)員應(yīng)有及時(shí)準(zhǔn)確的通訊聯(lián)絡(luò)方式；聯(lián)絡(luò)方式如有變動(dòng)，應(yīng)填寫(xiě)基本情況變動(dòng)更新表（見(jiàn)附件一）及時(shí)報(bào)告歸口單位。歸口單位要及時(shí)維護(hù)和更新聯(lián)絡(luò)通信錄，并在通報(bào)體系中公告。

第六條事故報(bào)告。通報(bào)單位的重要網(wǎng)絡(luò)與信息系統(tǒng)在運(yùn)行中出現(xiàn)異常情況，造成不良影響或損失的，應(yīng)按照應(yīng)急預(yù)案及時(shí)處置，同時(shí)應(yīng)將事故發(fā)生的情況、危害程度、處置措施、分析研判等內(nèi)容編寫(xiě)成事故報(bào)告，及時(shí)上報(bào)歸口單位（事故分級(jí)、報(bào)告要素及要求見(jiàn)附件二及編制說(shuō)明）.第七條信息安全運(yùn)行月報(bào)。為及時(shí)反映行業(yè)信息安全狀況，保持行業(yè)信息安全通報(bào)系統(tǒng)的暢通，各通報(bào)單位每月應(yīng)以信息安全運(yùn)行月報(bào)（格式見(jiàn)附件三）的形式向歸口單位報(bào)告信息系統(tǒng)運(yùn)行情況。

信息安全運(yùn)行月報(bào)的內(nèi)容為各通報(bào)單位信息系統(tǒng)運(yùn)行中出現(xiàn)并得到及時(shí)處置的異常情況匯總和分析、研判，無(wú)異常情況的，要進(jìn)行平安運(yùn)行報(bào)告。對(duì)已按事故報(bào)告要求上報(bào)的情況，要在運(yùn)行月報(bào)中說(shuō)明。

各通報(bào)單位應(yīng)在每個(gè)月前5個(gè)工作日內(nèi)將上個(gè)月的系統(tǒng)運(yùn)行情況上報(bào)歸口單位。

第八條敏感時(shí)期報(bào)告。中國(guó)證監(jiān)會(huì)信息中心根據(jù)國(guó)家有關(guān)規(guī)定和需要啟動(dòng)敏感時(shí)期報(bào)告制度，并規(guī)定行業(yè)內(nèi)敏感時(shí)期報(bào)告的啟動(dòng)與截止日期、日?qǐng)?bào)告的截止時(shí)間等要素。

各通報(bào)單位在收到啟動(dòng)敏感時(shí)期報(bào)告的通知以后，根據(jù)要求每日以敏感時(shí)期信息安全報(bào)告（見(jiàn)附件四）的形式上報(bào)本單位信息系統(tǒng)運(yùn)行狀況。報(bào)告內(nèi)容包括信息安全運(yùn)行月報(bào)、事故報(bào)告應(yīng)報(bào)的范圍。無(wú)異常情況的，要進(jìn)行平安運(yùn)行報(bào)告。

各通報(bào)單位在敏感時(shí)期應(yīng)有專(zhuān)人值守。

第九條信息安全通告。中國(guó)證監(jiān)會(huì)信息中心、中國(guó)證券業(yè)協(xié)會(huì)、中國(guó)期貨業(yè)協(xié)會(huì)等信息通報(bào)歸口單位，通過(guò)信息通報(bào)體系，向各通報(bào)單位定期或不定期地發(fā)布下列信息安全通告：

國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心發(fā)布的報(bào)告和預(yù)警；

行業(yè)信息安全月報(bào)的匯總分析；

行業(yè)信息系統(tǒng)運(yùn)行中帶有普遍性的安全隱患或趨勢(shì)；

有關(guān)信息安全的通知、規(guī)定、技術(shù)標(biāo)準(zhǔn)、指引等；

其他需要及時(shí)向報(bào)告單位通報(bào)的信息。

各通報(bào)單位在收到歸口單位的信息安全通告后，應(yīng)及時(shí)傳達(dá)到相關(guān)責(zé)任人，采取相應(yīng)措施。

第十條各通報(bào)單位應(yīng)切實(shí)保證信息通報(bào)和聯(lián)絡(luò)渠道的暢通。敏感時(shí)期報(bào)告和信息安全運(yùn)行月報(bào)可使用電子文件的形式報(bào)送。對(duì)于事故報(bào)告，應(yīng)同時(shí)使用書(shū)面和電子文件的形式進(jìn)行報(bào)送。對(duì)于有保密要求的，應(yīng)使用符合要求的加密設(shè)備進(jìn)行報(bào)送。

第十一條各通報(bào)單位應(yīng)保證上報(bào)要素完備、及時(shí)、準(zhǔn)確，不得瞞報(bào)、緩報(bào)、謊報(bào)網(wǎng)絡(luò)與信息安全事件的情況。接報(bào)單位應(yīng)保證及時(shí)接收、準(zhǔn)確記錄上報(bào)信息。

第十二條各單位應(yīng)制定相應(yīng)的保密和檔案管理措施，妥善管理上報(bào)材料，包括各單位進(jìn)行信息安全通報(bào)過(guò)程中往來(lái)電話(huà)記錄（手機(jī)或固定電話(huà)）、紙質(zhì)或電子文件、傳真件等，存檔備查。

第十三條對(duì)于認(rèn)真履行本辦法，及時(shí)報(bào)告網(wǎng)絡(luò)與信息安全事故的單位及個(gè)人，予以通報(bào)表?yè)P(yáng)。對(duì)違反本辦法及相關(guān)制度的單位及個(gè)人，予以通報(bào)批評(píng)；情節(jié)嚴(yán)重的，予以行政處分。

第十四條本辦法自發(fā)布之日起實(shí)施。本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋。

附件一：信息安全報(bào)告基本情況備案、變動(dòng)更新表

附件二：證券期貨業(yè)網(wǎng)絡(luò)與信息安全事故報(bào)告

附件三：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)

附件四：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)敏感時(shí)期安全情況日?qǐng)?bào)

附件一：信息安全報(bào)告基本情況備案、變動(dòng)更新表

附件二：證券期貨業(yè)網(wǎng)絡(luò)與信息安全事故報(bào)告

附件二填制說(shuō)明：

事故標(biāo)準(zhǔn)及報(bào)告要求

重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復(fù)時(shí)間（RTO-Recovery Time Objective）在30分鐘以?xún)?nèi)；

因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場(chǎng)或客戶(hù)造成可感知的影響，但交易時(shí)段2個(gè)小時(shí)內(nèi)恢復(fù)的；

系統(tǒng)數(shù)據(jù)完整性被破壞，但在1個(gè)交易日內(nèi)能夠修復(fù)的；

災(zāi)害事故（停電、水災(zāi)、火災(zāi)等）發(fā)生后，重要業(yè)務(wù)系統(tǒng)能在1個(gè)交易日恢復(fù)正常；

網(wǎng)站上出現(xiàn)有害信息，但能及時(shí)刪除、屏蔽并保留審計(jì)線(xiàn)索的；

通信線(xiàn)路發(fā)生故障且對(duì)業(yè)務(wù)造成不良影響，1個(gè)交易日內(nèi)系統(tǒng)恢復(fù)正常；

敏感業(yè)務(wù)數(shù)據(jù)泄漏。

各通報(bào)單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在2天內(nèi)，將事故發(fā)生的情況、處置措施、影響分析，以事故報(bào)告的形式，及時(shí)上報(bào)歸口單位。

重大事故標(biāo)準(zhǔn)及報(bào)告要求

各信息報(bào)告單位重要信息系統(tǒng)出現(xiàn)重大故障，已經(jīng)（或預(yù)計(jì)將）造成重大損失（100萬(wàn)元以上），或給客戶(hù)/市場(chǎng)帶來(lái)重大不良影響的。包括但不限于：

重要業(yè)務(wù)系統(tǒng)出現(xiàn)異常，系統(tǒng)恢復(fù)時(shí)間（RTO-Recovery Time Objective）在30分鐘以上；

因病毒、攻擊、擁堵等使系統(tǒng)異常，給市場(chǎng)或客戶(hù)造成可感知的影響，且交易時(shí)段2個(gè)小時(shí)內(nèi)沒(méi)有恢復(fù)；

業(yè)務(wù)數(shù)據(jù)完整性被破壞，且在1個(gè)交易日內(nèi)沒(méi)有修復(fù)；

通信線(xiàn)路發(fā)生故障，對(duì)業(yè)務(wù)造成嚴(yán)重影響，且在1個(gè)交易日系統(tǒng)沒(méi)有恢復(fù)正常；

災(zāi)害事故（停電、水災(zāi)、火災(zāi)等）發(fā)生后，重要業(yè)務(wù)系統(tǒng)在一個(gè)交易日系統(tǒng)沒(méi)有恢復(fù)正常；

網(wǎng)站上出現(xiàn)有害信息，且未能及時(shí)刪除、屏蔽或未能保留審計(jì)線(xiàn)索的。

各通報(bào)單位的重要信息系統(tǒng)，凡是出現(xiàn)上述情況，都要在事故確認(rèn)的當(dāng)日（或6小時(shí)之內(nèi)），將事故發(fā)生的情況、影響分析、目前的狀況、已經(jīng)采取的處置措施等，以重大事故報(bào)告的形式，上報(bào)歸口單位。

其中，交易、通信、清算等帶有全局性的重大系統(tǒng)故障，在及時(shí)啟動(dòng)應(yīng)急預(yù)案的同時(shí)，還要在2小時(shí)內(nèi)將事故情況上報(bào)中國(guó)證監(jiān)會(huì)信息中心。

災(zāi)難事故標(biāo)準(zhǔn)及報(bào)告要求

因自然災(zāi)難、人為故意破壞以及其他意外因素，使本單位重要業(yè)務(wù)系統(tǒng)不能正常運(yùn)行，并造成惡劣影響或嚴(yán)重?fù)p失的，預(yù)計(jì)有效處置或消除其不良影響需要?jiǎng)訂T大量社會(huì)資源的，應(yīng)在事故發(fā)生后，立即上報(bào)歸口單位。

附件三：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)安全運(yùn)行月報(bào)

附件四：證券期貨業(yè)網(wǎng)絡(luò)與信息系統(tǒng)敏感時(shí)期安全情況日?qǐng)?bào)

第二篇：證券期貨業(yè)信息安全保障管理暫行辦法

中國(guó)證券監(jiān)督管理委員會(huì)關(guān)于印發(fā)《證券期貨業(yè)信息安全保障管理暫行辦法》的通知

（證監(jiān)信息字[2005]5號(hào)）

上海、深圳證券交易所，上海期貨交易所，大連、鄭州商品交易所，中國(guó)證券登記結(jié)算公司，中國(guó)證券業(yè)、期貨業(yè)協(xié)會(huì)：

為規(guī)范行業(yè)網(wǎng)絡(luò)與信息系統(tǒng)建設(shè)和安全保障工作，中國(guó)證監(jiān)會(huì)制定了《證券期貨業(yè)信息

安全保障管理暫行辦法》，現(xiàn)印發(fā)給你們，請(qǐng)遵照?qǐng)?zhí)行。

請(qǐng)中國(guó)證券業(yè)協(xié)會(huì)、中國(guó)期貨業(yè)協(xié)會(huì)將本通知轉(zhuǎn)發(fā)至各會(huì)員單位。

中國(guó)證券監(jiān)督管理委員會(huì)

二00五年四月八日

證券期貨業(yè)信息安全保障管理暫行辦法

第一章 總則

第一條 為加強(qiáng)證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào)，建立、健全信息安全管理制

度和運(yùn)行機(jī)制，提高行業(yè)信息安全保障工作水平，切實(shí)保護(hù)投資者合法權(quán)益，根據(jù)國(guó)家有關(guān)

法律、法規(guī)和相關(guān)規(guī)定，制定本辦法。

第二條 本辦法適用于證券期貨市場(chǎng)的監(jiān)管機(jī)構(gòu)、行業(yè)自律組織及經(jīng)營(yíng)機(jī)構(gòu)。監(jiān)管機(jī)構(gòu)

為中國(guó)證券監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)“中國(guó)證監(jiān)會(huì)”）；行業(yè)自律組織包括證券、期貨交易

所及其通信公司，證券登記結(jié)算公司、中國(guó)證券業(yè)協(xié)會(huì)和中國(guó)期貨業(yè)協(xié)會(huì)；經(jīng)營(yíng)機(jī)構(gòu)包括證

券、期貨公司，基金管理公司及證券、期貨投資咨詢(xún)公司。

第二章 安全職責(zé)劃分

第三條 中國(guó)證監(jiān)會(huì)負(fù)責(zé)證券期貨行業(yè)信息安全保障工作的監(jiān)督管理及組織協(xié)調(diào)。

第四條 證券、期貨交易所及其通信公司，登記結(jié)算公司，證券、期貨公司，基金管理

公司，證券、期貨投資咨詢(xún)公司等是各自信息系統(tǒng)安全運(yùn)營(yíng)管理的責(zé)任主體單位（以下簡(jiǎn)稱(chēng)

“主體單位”）。

第五條 證券交易所負(fù)責(zé)證券交易、信息發(fā)布及市場(chǎng)監(jiān)管信息系統(tǒng)的安全運(yùn)營(yíng)。證券通

信公司受證券交易所及證券登記結(jié)算公司、經(jīng)營(yíng)機(jī)構(gòu)的委托，負(fù)責(zé)通信系統(tǒng)的安全運(yùn)營(yíng)，保

障交易、結(jié)算等業(yè)務(wù)數(shù)據(jù)的及時(shí)安全傳送。期貨交易所負(fù)責(zé)期貨交易和結(jié)算處理、信息發(fā)布、市場(chǎng)監(jiān)管信息系統(tǒng)及通信系統(tǒng)的安全運(yùn)營(yíng)。

第六條 證券登記結(jié)算公司負(fù)責(zé)證券登記、結(jié)算業(yè)務(wù)信息系統(tǒng)的安全運(yùn)營(yíng)。

第七條 中國(guó)證券業(yè)協(xié)會(huì)負(fù)責(zé)證券公司、基金管理公司、證券投資咨詢(xún)公司等會(huì)員單位

信息安全保障的組織、協(xié)調(diào)工作。

中國(guó)期貨業(yè)協(xié)會(huì)負(fù)責(zé)期貨公司、期貨投資咨詢(xún)公司等會(huì)員單位信息安全保障的組織、協(xié)

調(diào)工作。

第八條 證券、期貨公司，基金管理公司及證券、期貨投資咨詢(xún)公司負(fù)責(zé)總部及下屬經(jīng)

營(yíng)機(jī)構(gòu)信息系統(tǒng)的安全運(yùn)營(yíng)。

第三章 安全目標(biāo)與基本原則

第九條 信息安全保障工作的總體目標(biāo)是確保信息和信息系統(tǒng)的完整性、保密性、可用性、時(shí)效性、可審查性和可控性，切實(shí)保護(hù)市場(chǎng)參與各方的合法權(quán)益，促進(jìn)證券期貨市場(chǎng)的持續(xù)、穩(wěn)定、健康發(fā)展。

第十條 信息安全保障工作的具體目標(biāo)是：

（一）保護(hù)證券期貨業(yè)信息系統(tǒng)的物理環(huán)境、設(shè)備設(shè)施和運(yùn)行環(huán)境，保證信息系統(tǒng)的環(huán)境安全；

（二）確保信息內(nèi)容的合法性，保護(hù)信息在采集、傳輸、使用和存儲(chǔ)過(guò)程中的保密性、完整性、可用性、時(shí)效性、可審查性和可控性，保證信息的安全；

（三）提高證券期貨業(yè)人員的信息安全意識(shí)、安全專(zhuān)業(yè)素質(zhì)以及安全管理與服務(wù)水平；

（四）提高信息系統(tǒng)的可用率和災(zāi)難恢復(fù)能力，為業(yè)務(wù)的可持續(xù)性運(yùn)行提供保障。第十一條 信息安全保障工作應(yīng)遵循以下基本原則：

（一）責(zé)任制原則：安全管理應(yīng)做到“誰(shuí)主管，誰(shuí)負(fù)責(zé)”、“誰(shuí)運(yùn)營(yíng)，誰(shuí)負(fù)責(zé)”，注重以法律手段明確與他方的責(zé)任關(guān)系，通過(guò)契約、協(xié)調(diào)等方式與他方進(jìn)行責(zé)任劃分，明確進(jìn)行風(fēng)險(xiǎn)轉(zhuǎn)移，通過(guò)責(zé)任主體制約他方。

（二）規(guī)范化原則：遵循國(guó)內(nèi)、國(guó)際的信息安全標(biāo)準(zhǔn)及行業(yè)規(guī)范，對(duì)信息系統(tǒng)實(shí)行等級(jí)保護(hù)。

（三）全面統(tǒng)籌原則：信息安全保障工作應(yīng)貫穿于信息化全過(guò)程，堅(jiān)持統(tǒng)籌規(guī)劃、突出重點(diǎn)，安全與發(fā)展并進(jìn)，管理與技術(shù)并重，應(yīng)急防御與長(zhǎng)效機(jī)制相結(jié)合。

（四）實(shí)用性原則：在確保信息系統(tǒng)性能和安全的前提下，充分利用資源，講究實(shí)效，避免重復(fù)和盲目投資，積極采用國(guó)家法律法規(guī)允許的、成熟的先進(jìn)技術(shù)和專(zhuān)業(yè)安全服務(wù)，運(yùn)用科學(xué)的經(jīng)營(yíng)管理方法，降低成本，保障安全運(yùn)行。

第四章 安全保障要求

第十二條 主體單位應(yīng)建立以安全組織體系為核心、安全管理體系為保障、安全技術(shù)體系為支撐的全面信息安全體系，保持三個(gè)體系穩(wěn)定、均衡發(fā)展。

第十三條 主體單位應(yīng)建立明確的信息安全組織體系：

（一）建立決策層、管理層和執(zhí)行層三層工作關(guān)系，明確信息安全主管領(lǐng)導(dǎo)，落實(shí)信息安全管理部門(mén)，指定信息安全執(zhí)行崗位；

（二）設(shè)立專(zhuān)職的安全管理員和安全審計(jì)員崗位，分別負(fù)責(zé)信息安全工作的實(shí)施和審計(jì)；

（三）通過(guò)多種安全培訓(xùn)方式加強(qiáng)信息安全人才隊(duì)伍的建設(shè)，提高信息安全工作人員的技能水平，提高員工安全意識(shí)。

第十四條 主體單位應(yīng)建立全面的信息安全管理體系：

（一）制定統(tǒng)一的信息安全策略和全面、可操作的信息安全管理制度，指導(dǎo)和規(guī)范信息系統(tǒng)的安全規(guī)劃與建設(shè)，確保策略和制度得到恰當(dāng)?shù)睦斫獠⒌玫接行У淖裱蛨?zhí)行；

（二）加強(qiáng)信息系統(tǒng)資產(chǎn)安全管理，保護(hù)信息系統(tǒng)設(shè)備、軟件、數(shù)據(jù)和技術(shù)文檔的安全，實(shí)行信息系統(tǒng)資產(chǎn)管理責(zé)任制，實(shí)現(xiàn)等級(jí)管理、密級(jí)管理，重點(diǎn)保護(hù)核心信息系統(tǒng)資產(chǎn)的安全；

（三）強(qiáng)化信息系統(tǒng)的物理安全保護(hù)，執(zhí)行嚴(yán)格的機(jī)房安全管理、環(huán)境安全管理和有效的物理控制措施；

（四）建立信息系統(tǒng)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等各層面的安全管理流程，實(shí)現(xiàn)對(duì)信息系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)各個(gè)階段的安全管理，開(kāi)發(fā)與運(yùn)營(yíng)獨(dú)立管理，嚴(yán)格執(zhí)行日常的實(shí)時(shí)管理和定期管理工作；

（五）實(shí)現(xiàn)對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理，對(duì)信息資產(chǎn)、威脅和脆弱性的狀況進(jìn)行定期評(píng)估，及時(shí)發(fā)現(xiàn)安全隱患并進(jìn)行預(yù)防性的保護(hù)，選擇適用、有效的安全措施。

第十五條 主體單位應(yīng)建立有效的信息安全技術(shù)體系：

（一）建立完善的安全預(yù)警體系，及時(shí)發(fā)現(xiàn)安全隱患；

（二）強(qiáng)化現(xiàn)有的安全防護(hù)體系，實(shí)現(xiàn)對(duì)核心業(yè)務(wù)系統(tǒng)的重點(diǎn)保護(hù)；

（三）建立有效的安全監(jiān)控體系，監(jiān)控核心業(yè)務(wù)系統(tǒng)，為進(jìn)一步完善信息安全體系提供決策依據(jù)；

（四）建立全面的應(yīng)急響應(yīng)體系，制定規(guī)范、完整的應(yīng)急處理和響應(yīng)流程，定期進(jìn)行應(yīng)急恢復(fù)的演練和測(cè)試，完善信息安全通報(bào)機(jī)制；

（五）按照不同的安全保護(hù)等級(jí)建立相應(yīng)的災(zāi)難恢復(fù)體系，定期進(jìn)行災(zāi)難恢復(fù)的演練和測(cè)試，確保災(zāi)難發(fā)生后能夠充分發(fā)揮備份的效能，降低造成的影響和損失。

第五章 附則

第十六條 中國(guó)證監(jiān)會(huì)對(duì)證券期貨業(yè)信息系統(tǒng)安全保障情況組織安全檢查，檢查方式包括自檢查、委托檢查等方式。

第十七條 本辦法由中國(guó)證監(jiān)會(huì)負(fù)責(zé)解釋。

第十八條 本辦法自印發(fā)之日起執(zhí)行。

發(fā)布部門(mén)：中國(guó)證券監(jiān)督管理委員會(huì) 發(fā)布日期：2005年04月08日 實(shí)施日期：2005年04月08日(中央法規(guī))

第三篇：網(wǎng)絡(luò)與信息安全

《網(wǎng)絡(luò)與信息安全》復(fù)習(xí)資料

信息安全特征：完整性、保密性、可用性、不可否認(rèn)性、可控性。保密學(xué)是研究信息系統(tǒng)安全保密的科學(xué)。

網(wǎng)絡(luò)信息安全體系結(jié)構(gòu)框架：安全控制單元、安全服務(wù)層面、協(xié)議層次。公鑰密碼：由兩個(gè)密碼組成，每個(gè)用戶(hù)擁有一對(duì)選擇密鑰：加密密鑰與解密密鑰。公鑰密碼特點(diǎn)：（1）加密密鑰和解密密鑰在本質(zhì)上是不同的，即使知道一個(gè)密鑰，也不存在可以輕易地推導(dǎo)出另一個(gè)密鑰的有效算法。（2）不需要增加分發(fā)密鑰的額外信道。公布公鑰空間，不影響公鑰系統(tǒng)的保密性，因?yàn)楸Ｃ艿膬H是解密密鑰。公鑰密碼系統(tǒng)應(yīng)具備兩個(gè)條件：（1）加密和解密交換必須滿(mǎn)足在計(jì)算上是容易的。（2）密碼分析必須滿(mǎn)足在計(jì)算機(jī)上是困難的。協(xié)議：兩個(gè)或兩個(gè)以上的主體為完成某一特定任務(wù)共同發(fā)起的某種協(xié)約或采取的一系列步驟。協(xié)議的特征：（1）至始至終有序進(jìn)行。（2）協(xié)議成立至少要有兩個(gè)主體。（3）協(xié)議執(zhí)行要通過(guò)實(shí)體操作來(lái)實(shí)現(xiàn)。數(shù)字簽名與手寫(xiě)簽名的區(qū)別：（1）簽名實(shí)體對(duì)象不同。（2）認(rèn)證方式不同。（3）拷貝形式不同。

簽名算法的三個(gè)條件：（1）簽名者事后不能否認(rèn)自己的簽名。（2）任何其他人都不能偽造簽名，接收者能驗(yàn)證簽名。（3）當(dāng)簽名雙方發(fā)生爭(zhēng)執(zhí)時(shí)，可由公正的第三方通過(guò)驗(yàn)證辨別真?zhèn)巍?/p>

不可否認(rèn)數(shù)字簽名：沒(méi)有簽名者的合作，接收者就無(wú)法驗(yàn)證簽名，某種程度上保護(hù)了簽名者的利益，從而可防止復(fù)制或散布簽名文件的濫用。

不可否認(rèn)數(shù)字簽名方案由三部分組成：數(shù)字簽名算法、驗(yàn)證協(xié)議、否認(rèn)協(xié)議。

散列函數(shù)：一種將任意長(zhǎng)度的消息壓縮為某一固定長(zhǎng)度的消息摘要的函數(shù)。消息認(rèn)證碼：滿(mǎn)足某種安全性質(zhì)帶有密鑰功能的單向散列函數(shù)。身份證明分兩大婁：身份證實(shí)、身份識(shí)別。信息隱藏：把一個(gè)有含義的信息隱藏在另一個(gè)載體信息中得到隱密載體的一種新型加密方式。

信息隱藏的兩種主要技術(shù)：信息隱秘術(shù)、數(shù)字水印術(shù)。數(shù)字水印技術(shù)：指用信號(hào)處理的方法在數(shù)字化的多媒體數(shù)據(jù)中嵌入隱藏標(biāo)識(shí)的技術(shù)。

三種數(shù)字水?。海?）穩(wěn)健的不可見(jiàn)的水印。（2）不穩(wěn)健的不可見(jiàn)的水印。（3）可見(jiàn)的水印。

數(shù)字水印三個(gè)特征：（1）穩(wěn)健性。（2）不可感知性。（3）安全可靠性。

數(shù)字水印三個(gè)部分：（1）水印生成。（2）水印嵌入。（3）水印提?。z測(cè)）。

密鑰管理的基本原則：（1）脫離密碼設(shè)備的密鑰數(shù)據(jù)應(yīng)絕對(duì)保密。（2）密碼設(shè)備內(nèi)部的密鑰數(shù)據(jù)絕對(duì)不外泄。（3）密鑰使命完成，應(yīng)徹底銷(xiāo)毀、更換。常用密鑰種類(lèi)：（1）工作密鑰。（2）會(huì)話(huà)密鑰。（3）密鑰加密密鑰。（4）主機(jī)主密鑰。

公開(kāi)密鑰分發(fā)：（1）廣播式密鑰分發(fā)。（2）目錄式密鑰分發(fā)。（3）公開(kāi)密鑰機(jī)構(gòu)分發(fā)。（4）公開(kāi)密鑰證書(shū)分發(fā)。密鑰保護(hù)方法：（1）終端密鑰保護(hù)。（2）主機(jī)密鑰保護(hù)。（3）密鑰分級(jí)保護(hù)管理。

秘密共享方案：將一個(gè)密鑰K分成n個(gè)共享密鑰K1、K2……Kn，并秘密分配給n個(gè)對(duì)象保管。密鑰托管技術(shù)：為用戶(hù)提供更好的安全通信方式，同時(shí)允許授權(quán)者為了國(guó)家等安全利益，監(jiān)聽(tīng)某些通信和解密有關(guān)密文。密鑰托管加密體制由三部分組成：用戶(hù)安全分量、密鑰托管分量、數(shù)據(jù)恢復(fù)分量。密鑰管理：指對(duì)于網(wǎng)絡(luò)中信息加密所需要的各種密鑰在產(chǎn)生、分配、注入、存儲(chǔ)、傳送及使用過(guò)程中的技術(shù)和管理體制。

保密通信的基本要求：保密性、實(shí)時(shí)性、可用性、可控性。密碼保護(hù)技術(shù)：密碼校驗(yàn)、數(shù)字簽名、公證消息。通信保密技術(shù)：（1）語(yǔ)音保密通信（模擬置亂技術(shù)、數(shù)字加密技術(shù)）。（2）數(shù)據(jù)保密通信。（3）圖像保密通信（模擬置亂、數(shù)字化圖象信號(hào)加密）。網(wǎng)絡(luò)通信加密的形式：（1）鏈路加密。（2）端－端加密。（3）混合加密。網(wǎng)絡(luò)通信訪(fǎng)問(wèn)基本控制方式：（1）連接訪(fǎng)問(wèn)控制。（2）網(wǎng)絡(luò)數(shù)據(jù)訪(fǎng)問(wèn)控制。（3）訪(fǎng)問(wèn)控制轉(zhuǎn)發(fā)。（4）自主訪(fǎng)問(wèn)控制與強(qiáng)制訪(fǎng)問(wèn)控制。接入控制功能：（1）阻止非法用戶(hù)進(jìn)入系統(tǒng)。（2）允許合法用戶(hù)進(jìn)入系統(tǒng)。（3）使合法用戶(hù)按其權(quán)限進(jìn)行活動(dòng)。接入控制策略：（1）最小權(quán)限策略。（2）最小泄漏策略。（3）多級(jí)安全策略。接入控制技術(shù)方法：（1）用戶(hù)標(biāo)識(shí)與認(rèn)證。（2）身份認(rèn)證特征（口令認(rèn)證方式、協(xié)議驗(yàn)證身份）。

PGP的五種功能：認(rèn)證性、機(jī)密性、壓縮、Email兼容性、分段與重組。IP層安全功能：鑒別服務(wù)、機(jī)密性、密鑰管理。

安全套接層SSL提供的安全服務(wù)：信息保密、信息完整性、相互認(rèn)證。

PPDR－A模型五要素：安全策略、安全監(jiān)測(cè)、安全反應(yīng)、安全防御、安全對(duì)抗。操作系統(tǒng)安全訪(fǎng)問(wèn)控制：測(cè)試程序訪(fǎng)問(wèn)控制、操作系統(tǒng)的訪(fǎng)問(wèn)權(quán)限控制、保護(hù)機(jī)制的訪(fǎng)問(wèn)控制、用戶(hù)認(rèn)證訪(fǎng)問(wèn)控制。

安全操作系統(tǒng)設(shè)計(jì)四環(huán)節(jié)：安全模型、安全設(shè)計(jì)、安全確認(rèn)、正確實(shí)施。安全網(wǎng)絡(luò)平臺(tái)種類(lèi)：Windows NT、UNIX、Linux。（Linux兼容性好、源代碼開(kāi)放、安全透明）。

數(shù)據(jù)庫(kù)安全條件：數(shù)據(jù)獨(dú)立性、數(shù)據(jù)安全性、數(shù)據(jù)完整性、數(shù)據(jù)使用性、備份與恢復(fù)。

VPN（虛擬專(zhuān)用網(wǎng)）核心技術(shù)：隧道技術(shù)、密碼技術(shù)、管理技術(shù)。

政務(wù)網(wǎng)的特點(diǎn)：信息公眾化、信息機(jī)關(guān)化、信息存儲(chǔ)量大、保密程度高、訪(fǎng)問(wèn)密級(jí)多樣化。

政務(wù)網(wǎng)建設(shè)的三個(gè)安全域：（1）涉密域。（2）非涉密域。（3）公共服務(wù)域。

黑客攻擊：指黑客利用系統(tǒng)漏洞和非常規(guī)手段，進(jìn)行非授權(quán)的訪(fǎng)問(wèn)行為和非法運(yùn)行系統(tǒng)或非法操作數(shù)據(jù)。

防黑客攻擊幾種防范技術(shù)：安全性設(shè)計(jì)保護(hù)、先進(jìn)的認(rèn)證技術(shù)、掃描檢測(cè)審計(jì)技術(shù)。

常規(guī)網(wǎng)絡(luò)掃描工具：SATAN掃描工具、Nessus安全掃描器、nmap掃描器、strobe掃描器。網(wǎng)絡(luò)監(jiān)聽(tīng)工具：NetXRay、Sniffit。防火墻：在網(wǎng)絡(luò)安全邊界控制中，用來(lái)阻止從外網(wǎng)想進(jìn)入給定網(wǎng)絡(luò)的非法訪(fǎng)問(wèn)對(duì)象的安全設(shè)備。包括網(wǎng)絡(luò)級(jí)包過(guò)濾防火墻和應(yīng)用級(jí)代理防火墻。

密罐：用來(lái)觀察黑客如何入侵計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的一個(gè)軟件“陷阱”，通常稱(chēng)為誘騙系統(tǒng)。

計(jì)算機(jī)病毒：指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。病毒檢測(cè)方法：比較法、搜索法、辨別法、分析法。

電子商務(wù)安全要求：可靠性、真實(shí)性、機(jī)密性、完整性、有效性、不可抵賴(lài)性、可控性。

電子商務(wù)安全服務(wù)：鑒別服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、機(jī)密性服務(wù)、不可否認(rèn)服務(wù)。電子商務(wù)基本密碼協(xié)議：密鑰安全協(xié)議、認(rèn)證安全協(xié)議、認(rèn)證的密鑰安全協(xié)議。國(guó)際通用電子商務(wù)安全協(xié)議：SSL安全協(xié)議、SET安全協(xié)議、S－HTTP安全協(xié)議、STT安全協(xié)議。

電子商務(wù)實(shí)體要素：持卡人、發(fā)卡機(jī)構(gòu)、商家、銀行、支付網(wǎng)關(guān)、認(rèn)證機(jī)構(gòu)。

第四篇：證券期貨業(yè)信息系統(tǒng)安全檢查貫徹落實(shí)指引

證券期貨業(yè)務(wù)信息系統(tǒng)安全檢查貫徹落實(shí)指引

一、門(mén)戶(hù)網(wǎng)站及網(wǎng)上交易系統(tǒng)（11項(xiàng)）

門(mén)戶(hù)網(wǎng)站及網(wǎng)上交易系統(tǒng)因聯(lián)接互聯(lián)網(wǎng)，易成為不法分子攻擊和干擾的目標(biāo)，各單位應(yīng)加強(qiáng)防范，關(guān)閉或刪除門(mén)戶(hù)網(wǎng)站及網(wǎng)上交易服務(wù)器上不必要的應(yīng)用、服務(wù)、端口和鏈接；限制易被攻擊、利用的網(wǎng)站欄目和功能；存在重大安全隱患，短期內(nèi)無(wú)法解決的網(wǎng)站，應(yīng)予以關(guān)閉。證券、期貨營(yíng)業(yè)部如有自建的網(wǎng)站、論壇、應(yīng)關(guān)閉或與其總部的網(wǎng)站合并。

1．1 漏洞、木馬、病毒檢測(cè)

1．1．1 安裝實(shí)時(shí)升級(jí)，在線(xiàn)掃描的木馬、病毒防護(hù)軟件 目前病毒、木馬種類(lèi)繁多，危害極大，病毒程序發(fā)作可造成網(wǎng)絡(luò)堵塞、系統(tǒng)癱瘓；被植入木馬后會(huì)導(dǎo)致主機(jī)被控，進(jìn)而以此為跳板對(duì)重要主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)起包括拒絕服務(wù)方式攻擊在內(nèi)的各種攻擊行為，造成嚴(yán)重后果，威脅證券期貨業(yè)信息系統(tǒng)的安全，因此，安裝正版的防木馬、病毒軟件，并及時(shí)升級(jí)非常重要。

1、各單位應(yīng)對(duì)所有服務(wù)器和終端設(shè)備安裝正版的防木馬、病毒軟件；對(duì)于因防病毒軟件與應(yīng)用軟件沖突或因其他原因（如有的操作系統(tǒng)下無(wú)防病毒軟件）不能安裝防病毒軟件時(shí)，應(yīng)采取其他措施（如限制程序執(zhí)行權(quán)限等）加以保護(hù)，防止感染病毒。

2、對(duì)服務(wù)器進(jìn)行病毒庫(kù)升級(jí)和給系統(tǒng)打補(bǔ)丁時(shí)，應(yīng)先測(cè)試通過(guò)后再進(jìn)行升級(jí)；各單位應(yīng)在內(nèi)部辦公網(wǎng)內(nèi)建立專(zhuān)門(mén)的防病毒服務(wù)器和操作系統(tǒng)補(bǔ)丁分發(fā)服務(wù)器（針對(duì)WINDOWS平臺(tái)），統(tǒng)一到互聯(lián)網(wǎng)上獲取最新病毒定義碼和操作系統(tǒng)補(bǔ)丁，并將更新情況形成日志文件；其它設(shè)備應(yīng)統(tǒng)一從專(zhuān)門(mén)服務(wù)器獲取最新病毒定義碼和系統(tǒng)補(bǔ)丁。

對(duì)于在交易業(yè)務(wù)網(wǎng)內(nèi)的服務(wù)器和終端設(shè)備升級(jí)，應(yīng)通過(guò)定期下載補(bǔ)丁包和病毒庫(kù)升級(jí)包，在能夠保證安全、專(zhuān)用的機(jī)器上刻錄成只讀光盤(pán)（留檔保存一個(gè)月），再到交易業(yè)務(wù)網(wǎng)對(duì)服務(wù)器和終端設(shè)備進(jìn)行手工升級(jí)。

3、服務(wù)器、終端設(shè)備應(yīng)采取實(shí)時(shí)掃描機(jī)制，禁止在交易時(shí)間內(nèi)對(duì)服務(wù)器進(jìn)行全面病毒掃描，以免因占用系統(tǒng)資源，引起系統(tǒng)性能和穩(wěn)定性下降。對(duì)新上線(xiàn)的設(shè)備必須在接入運(yùn)行網(wǎng)絡(luò)前安裝防毒軟件，并進(jìn)行一次全面掃描測(cè)試。

1．1．2 建立定期掃描并修補(bǔ)漏洞的工作制度

操作系統(tǒng)和應(yīng)用程序中不可避免存在各種漏洞，隨著時(shí)間的推移不斷暴露出來(lái)；此外，在系統(tǒng)建設(shè)和使用的過(guò)程中防火墻、網(wǎng)絡(luò)設(shè)備和服務(wù)器的配臵和參數(shù)設(shè)臵不當(dāng)（如使用缺省的用戶(hù)名和口令配臵），也會(huì)留下安全隱患。因此建立定期掃描并修補(bǔ)漏洞的工作制度，形成定期檢查、發(fā)現(xiàn)問(wèn)題、修補(bǔ)漏洞的機(jī)制是必要的。

1、工作制度應(yīng)當(dāng)明確負(fù)責(zé)進(jìn)行此項(xiàng)工作的負(fù)責(zé)人員和工作職責(zé)，掃描檢測(cè)的內(nèi)容和程序，端口和漏洞的掃描工具，掃描檢測(cè)的頻率（不得少于每月一次），掃描檢測(cè)結(jié)果的處理情況，針對(duì)發(fā)現(xiàn)漏洞制定的整改方案和整改結(jié)果，并保存文檔備查。

2、對(duì)新上線(xiàn)的設(shè)備必須在接入運(yùn)行網(wǎng)絡(luò)前進(jìn)行全面的掃描檢測(cè)。

3、對(duì)行業(yè)內(nèi)通報(bào)的重大安全隱患，應(yīng)立即進(jìn)行專(zhuān)項(xiàng)安全檢測(cè)。

4、負(fù)責(zé)安全管理的負(fù)責(zé)人員要對(duì)防火墻、入侵檢測(cè)、路由器等網(wǎng)絡(luò)設(shè)備和安全設(shè)備的接口參數(shù)、過(guò)濾規(guī)則進(jìn)行梳理，修改不當(dāng)配臵；對(duì)服務(wù)器上的應(yīng)用服務(wù)進(jìn)行排查，關(guān)閉與業(yè)務(wù)無(wú)關(guān)的服務(wù)。

5、如公司自身能力不足，應(yīng)在工作制度中明確規(guī)定，外聘安全服務(wù)機(jī)構(gòu)協(xié)助完成，1．1．3 對(duì)網(wǎng)站進(jìn)行全面檢查，消除sql注入漏洞、弱口令賬戶(hù)、繞過(guò)驗(yàn)證、目錄遍歷、文件上傳、下單網(wǎng)頁(yè)未使用HTTPS加密機(jī)制等安全隱患

SQL注入漏洞是由于網(wǎng)站服務(wù)器腳本未限制特殊字符，未限制最大長(zhǎng)度，也未隱藏報(bào)錯(cuò)信息導(dǎo)致的，黑客通過(guò)提交包括特殊字符的sql語(yǔ)句，繞過(guò)執(zhí)行條件，輸入超出數(shù)據(jù)庫(kù)字段長(zhǎng)度的值導(dǎo)致報(bào)錯(cuò)，從沒(méi)有隱藏的報(bào)錯(cuò)信息得到庫(kù)結(jié)構(gòu)等敏感信息，進(jìn)而分析數(shù)據(jù)庫(kù)類(lèi)型、發(fā)現(xiàn)WEB虛擬目錄，上傳ASP木馬，獲得管理員權(quán)限。

弱口令指簡(jiǎn)單且容易被黑客利用軟件破解的口令。繞過(guò)驗(yàn)證攻擊指利用對(duì)網(wǎng)站后臺(tái)管理系統(tǒng)的驗(yàn)證過(guò)程存在隱患，黑客利用特殊的字符串組合繞過(guò)登陸驗(yàn)證，從而獲取網(wǎng)站管理權(quán)限。

目錄遍歷攻擊指利用對(duì)網(wǎng)站服務(wù)器操作系統(tǒng)中網(wǎng)站服務(wù)系統(tǒng)的設(shè)臵、缺省用戶(hù)權(quán)限控制、網(wǎng)站管理系統(tǒng)編程等缺陷，訪(fǎng)問(wèn)在正常情況下受限制的目錄，并在WEB服務(wù)器的根目錄以外執(zhí)行命令，進(jìn)而危及網(wǎng)站安全。

文件上傳攻擊指利用網(wǎng)站提供的文件上傳功能，通過(guò)web頁(yè)面提交到網(wǎng)站服務(wù)器上，如網(wǎng)站未對(duì)上傳文件進(jìn)行任何限制，不法分子可上傳并執(zhí)行有安全問(wèn)題的文件，進(jìn)而獲得服務(wù)器控制權(quán)。

下單頁(yè)面未使用HTTPS加密機(jī)制可導(dǎo)致用戶(hù)名、口令、交易指令被截取等安全隱患。

以上幾種典型的網(wǎng)站安全隱患，一旦發(fā)生可導(dǎo)致網(wǎng)絡(luò)堵塞、系統(tǒng)癱瘓、主機(jī)被控、敏感信息泄露，甚至?xí)l(fā)黑客以網(wǎng)站為跳板對(duì)重要主機(jī)和網(wǎng)絡(luò)設(shè)備發(fā)起包括拒絕服務(wù)方式攻擊在內(nèi)的各種攻擊行為，造成嚴(yán)重后果，威脅證券期貨業(yè)務(wù)信息系統(tǒng)的安全。因此，消除這些安全隱患是非常重要的。

針對(duì)網(wǎng)站的安全隱患，應(yīng)進(jìn)行但不限于以下的工作：

1、及時(shí)更新操作系統(tǒng)安全不定，關(guān)閉無(wú)關(guān)服務(wù)、網(wǎng)絡(luò)端口。

2、數(shù)據(jù)庫(kù)管理、網(wǎng)站操作系統(tǒng)、網(wǎng)站后臺(tái)管理等重要用戶(hù)的口令長(zhǎng)度不低于12未，并采用數(shù)字、字母、符號(hào)混排的方式；限制這些用戶(hù)不必要的權(quán)限；刪除操作系統(tǒng)及服務(wù)模塊默認(rèn)管理用戶(hù)帳號(hào)。

3、對(duì)服務(wù)器的邏輯磁盤(pán)和默認(rèn)目錄應(yīng)當(dāng)設(shè)定權(quán)限，合理設(shè)臵邏輯磁盤(pán)、目錄屬性；應(yīng)將網(wǎng)站目錄和文件所在邏輯磁盤(pán)與操作系統(tǒng)所在邏輯磁盤(pán)分離；如果已經(jīng)安裝在一個(gè)邏輯磁盤(pán)，應(yīng)該將重要系統(tǒng)文件移動(dòng)到其他目錄中加以隱藏。

4、在網(wǎng)頁(yè)腳本中對(duì)用戶(hù)輸入內(nèi)容進(jìn)行長(zhǎng)度、格式、類(lèi)型、特殊符號(hào)、內(nèi)容等項(xiàng)目的檢查。

5、對(duì)上傳文件進(jìn)行大小、屬性、類(lèi)型等限制，并檢查其安全性；對(duì)數(shù)據(jù)存儲(chǔ)過(guò)程加密；設(shè)臵網(wǎng)站程序運(yùn)行出錯(cuò)信息頁(yè)面，防止直接將錯(cuò)誤信息返回客戶(hù)端。

6、禁止TRACE或TRACK等用來(lái)調(diào)試web服務(wù)器連接的HTTP方式。

7、下單網(wǎng)頁(yè)應(yīng)采用HTTPS加密機(jī)制。

8、如公司自身能力不足，應(yīng)在工作制度中明確規(guī)定，外聘安全服務(wù)機(jī)構(gòu)協(xié)助完成。1.2門(mén)戶(hù)網(wǎng)站和網(wǎng)上交易系統(tǒng)隔離

1.2.1對(duì)門(mén)戶(hù)網(wǎng)站和網(wǎng)上交易系統(tǒng)進(jìn)行嚴(yán)格隔離

由于門(mén)戶(hù)網(wǎng)站系易受到來(lái)自互聯(lián)網(wǎng)的攻擊，如未與網(wǎng)上交易系統(tǒng)進(jìn)行嚴(yán)格隔離，黑客可將被控制的門(mén)戶(hù)網(wǎng)站服務(wù)器作為跳板對(duì)網(wǎng)上交易系統(tǒng)發(fā)起各種攻擊行為，造成嚴(yán)重后果，威脅網(wǎng)上交易系統(tǒng)的安全。因此，對(duì)門(mén)戶(hù)網(wǎng)站和網(wǎng)上交易系統(tǒng)進(jìn)行嚴(yán)格隔離是十分必要的。

1、門(mén)戶(hù)網(wǎng)站和網(wǎng)上交易系統(tǒng)應(yīng)部署在不同的物理服務(wù)器上。

2、門(mén)戶(hù)網(wǎng)站和網(wǎng)上交易系統(tǒng)應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備、安全設(shè)備。

3、在防火墻上應(yīng)做安全訪(fǎng)問(wèn)策略，阻止門(mén)戶(hù)網(wǎng)站與網(wǎng)上交易系統(tǒng)間的通訊。

1.2.2對(duì)網(wǎng)上交易下單網(wǎng)頁(yè)和網(wǎng)上交易后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行嚴(yán)格有效隔離

網(wǎng)上交易下單網(wǎng)頁(yè)是網(wǎng)上交易系統(tǒng)的一個(gè)重要組成部分，應(yīng)通過(guò)網(wǎng)上交易網(wǎng)關(guān)、專(zhuān)用中間件、防火墻等控制措施訪(fǎng)問(wèn)核心交易數(shù)據(jù)庫(kù)。

1.3 對(duì)網(wǎng)站下載的網(wǎng)上交易客戶(hù)端軟件進(jìn)行嚴(yán)格防護(hù)，防止被綁木馬程序

目前通過(guò)互聯(lián)網(wǎng)進(jìn)行證券、期貨交易的投資者越來(lái)越多，如果網(wǎng)上交易客戶(hù)端軟件被捆綁木馬程序，可導(dǎo)致客戶(hù)交易被控，產(chǎn)生盜買(mǎi)盜賣(mài)行為，確保網(wǎng)上交易客戶(hù)端軟件安裝包的安全性和可靠性，是保障投資者權(quán)益和維護(hù)證券、期貨公司交易系統(tǒng)安全重要手段之一。因此，進(jìn)行嚴(yán)格防護(hù)是非常重要的。

1、各單位應(yīng)建立網(wǎng)上交易客戶(hù)端軟件制作和發(fā)布的管理機(jī)制，明確軟件發(fā)布流程，落實(shí)責(zé)任人員，保證軟件的安全性和可靠性。

2、應(yīng)采用工具實(shí)時(shí)對(duì)網(wǎng)上交易客戶(hù)端軟件進(jìn)行文件安全性檢查，防止所提供網(wǎng)上交易軟件被篡改和破壞，并可采取水印或MD5碼驗(yàn)證等措施。1.4端口限制和遠(yuǎn)程管理

1.4.1在防火墻和服務(wù)器上關(guān)閉與業(yè)務(wù)無(wú)關(guān)的端口

網(wǎng)絡(luò)攻擊者往往會(huì)利用被攻擊對(duì)象缺省安裝時(shí)啟動(dòng)的服務(wù)進(jìn)行攻擊，因此，關(guān)閉服務(wù)器上與業(yè)務(wù)無(wú)關(guān)的服務(wù)和端口可以大大減少攻擊者的攻擊手段。WINDOWS服務(wù)器往往有很多服務(wù)和端口無(wú)法關(guān)閉，需要利用防火墻進(jìn)行防護(hù)，因此，防火墻也需要關(guān)閉與業(yè)務(wù)無(wú)關(guān)的端口。

建立防火墻和服務(wù)器上服務(wù)端口的審核制度，及時(shí)關(guān)閉與業(yè)務(wù)無(wú)關(guān)的端口，是抵御網(wǎng)絡(luò)攻擊的重要手段之一。

1、審核制度應(yīng)明確負(fù)責(zé)進(jìn)行此項(xiàng)工作的責(zé)任人員和工作責(zé)任等。

2、對(duì)新上線(xiàn)的服務(wù)器的服務(wù)和端口以及需要在防火墻上開(kāi)放的端口應(yīng)根據(jù)業(yè)務(wù)實(shí)行審核和批準(zhǔn)制度，并留檔備查。

3、應(yīng)建立業(yè)務(wù)端口明細(xì)表，并及時(shí)更新，作為重要文檔保存。1.4.2禁止通過(guò)互聯(lián)網(wǎng)對(duì)防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行遠(yuǎn)程管理和維護(hù)

通過(guò)互聯(lián)網(wǎng)對(duì)防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行遠(yuǎn)程管理和維護(hù)，需要對(duì)來(lái)自互聯(lián)網(wǎng)的電腦開(kāi)放所需要的地址、端口、協(xié)議以及管理帳戶(hù)和密碼，而不法分子也可以利用開(kāi)放的管理界面進(jìn)行網(wǎng)絡(luò)入侵，在方便自己的時(shí)候，也為不法分子敞開(kāi)了大門(mén)，整個(gè)公司的交易業(yè)務(wù)系統(tǒng)將毫無(wú)安全可言。因此，原則上必須禁止通過(guò)互聯(lián)網(wǎng)對(duì)防火墻、網(wǎng)絡(luò)設(shè)備、服務(wù)器進(jìn)行遠(yuǎn)程管理和維護(hù)。但是，為及時(shí)解決交易業(yè)務(wù)系統(tǒng)運(yùn)行中出現(xiàn)的故障和問(wèn)題，需要軟件、硬件、服務(wù)供應(yīng)商臨時(shí)進(jìn)行遠(yuǎn)程維護(hù)，因此，建立對(duì)遠(yuǎn)程維護(hù)的管理制度和工作流程是非常重要的。

1、遠(yuǎn)程維護(hù)的管理制度和工作流程應(yīng)明確負(fù)責(zé)進(jìn)行此項(xiàng)工作的責(zé)任人員和工作職責(zé)，限制遠(yuǎn)程維護(hù)方式、時(shí)間、維護(hù)內(nèi)容、維護(hù)人員、登錄地址，對(duì)維護(hù)全過(guò)程進(jìn)行監(jiān)控紀(jì)錄相關(guān)日志，存檔備查。

2、遠(yuǎn)程維護(hù)結(jié)束后，應(yīng)及時(shí)關(guān)閉遠(yuǎn)程維護(hù)所需地址、端口和協(xié)議，修改遠(yuǎn)程維護(hù)登錄用戶(hù)名與密碼。

1.5 訪(fǎng)問(wèn)控制與審計(jì)

采用可靠的身份認(rèn)證、訪(fǎng)問(wèn)控制和安全審計(jì)措施，防止來(lái)自互聯(lián)網(wǎng)的非法接入和非法訪(fǎng)問(wèn)

目前通過(guò)互聯(lián)網(wǎng)進(jìn)行證券、期貨交易的投資者越來(lái)越多，而互聯(lián)網(wǎng)的交易中需要確保交易的不可否認(rèn)性，交易安全性等重要內(nèi)容，因此采用可靠的身份認(rèn)證、訪(fǎng)問(wèn)控制和安全審計(jì)措施，對(duì)于核實(shí)投資者身份并確保交易不可否認(rèn)，拒絕非法的接入和訪(fǎng)問(wèn)，對(duì)訪(fǎng)問(wèn)的內(nèi)容和行為采取有效控制等是十分必要的。

1、可靠的身份認(rèn)證措施包括但不限于賬號(hào)口令、動(dòng)態(tài)口令、數(shù)字證、隨機(jī)校驗(yàn)碼、雙因素認(rèn)證等。

2、訪(fǎng)問(wèn)控制措施包括但不限于網(wǎng)絡(luò)、應(yīng)用等訪(fǎng)問(wèn)權(quán)限的控制。

3、安全審計(jì)措施包括但不限于對(duì)來(lái)訪(fǎng)者各類(lèi)行為的紀(jì)錄，對(duì)來(lái)訪(fǎng)者行為的異常情況的處理措施等內(nèi)容。

1.6網(wǎng)頁(yè)安全和下載

1.6.1 對(duì)網(wǎng)頁(yè)采取防篡改等措施

由于網(wǎng)站位于互聯(lián)網(wǎng)上，一旦網(wǎng)頁(yè)被篡改并擴(kuò)散有可能對(duì)國(guó)家安全以及社會(huì)安定團(tuán)結(jié)造成嚴(yán)重危害，因此各單位應(yīng)加強(qiáng)網(wǎng)頁(yè)內(nèi)容管理，嚴(yán)格檢查，采取防篡改措施，可選擇但不限于以下方式：

1、外掛輪詢(xún)技術(shù)。指利用一個(gè)網(wǎng)頁(yè)檢測(cè)程序，以輪詢(xún)方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來(lái)判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。

2、核心內(nèi)嵌技術(shù)。指將篡改檢測(cè)模塊內(nèi)嵌在WEB服務(wù)器軟件里，它在每一個(gè)網(wǎng)頁(yè)流出時(shí)都進(jìn)行完整性檢查，對(duì)于篡改網(wǎng)頁(yè)進(jìn)行實(shí)時(shí)訪(fǎng)問(wèn)阻斷，并予以報(bào)警和恢復(fù)。

3、事件觸發(fā)技術(shù)。指利用操作系統(tǒng)的文件系統(tǒng)接口，在網(wǎng)頁(yè)文件被修改時(shí)進(jìn)行合法性檢查，對(duì)于非法操作進(jìn)行報(bào)警和恢復(fù)。

4、當(dāng)以上技術(shù)無(wú)法達(dá)到網(wǎng)頁(yè)防篡改的目的時(shí)，應(yīng)及時(shí)關(guān)閉相關(guān)網(wǎng)頁(yè)或整個(gè)網(wǎng)站。

1.6.2 對(duì)網(wǎng)頁(yè)內(nèi)容采取監(jiān)控、過(guò)濾機(jī)制

由于網(wǎng)頁(yè)內(nèi)容中可能包含有對(duì)國(guó)家安全以及社會(huì)安定團(tuán)結(jié)等造成嚴(yán)重危害的信息，一旦發(fā)布后會(huì)迅速擴(kuò)散造成惡劣影響。各單位應(yīng)加強(qiáng)對(duì)網(wǎng)頁(yè)內(nèi)容監(jiān)控，對(duì)敏感信息采取過(guò)濾機(jī)制，并采取24小時(shí)不間斷監(jiān)控措施，可以選擇但不限于以下措施：

1、敏感關(guān)鍵字過(guò)濾。

2、信息發(fā)布實(shí)行實(shí)名制或會(huì)員制。

3、人工24小時(shí)監(jiān)控所有最新發(fā)布的信息。

4、關(guān)閉無(wú)法達(dá)到本條要求的信息發(fā)布模塊

二、交易業(yè)務(wù)系統(tǒng)（7項(xiàng)）2．1網(wǎng)絡(luò)隔離

2．1．1對(duì)交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)實(shí)施物理隔離

交易業(yè)務(wù)網(wǎng)包括核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)。核心交易業(yè)務(wù)網(wǎng)包括集中交易系統(tǒng)、網(wǎng)上交易系統(tǒng)、三方存管系統(tǒng)、清算系統(tǒng)、期貨風(fēng)控系統(tǒng)等系統(tǒng)；非核心交易業(yè)務(wù)網(wǎng)包括證券風(fēng)控系統(tǒng)、財(cái)務(wù)系統(tǒng)、稽核系統(tǒng)、CALLCENTER系統(tǒng)等業(yè)務(wù)系統(tǒng)。對(duì)于基金公司，交易業(yè)務(wù)網(wǎng)包括投資交易、注冊(cè)登記、清算估值、基金銷(xiāo)售等業(yè)務(wù)系統(tǒng)。交易業(yè)務(wù)網(wǎng)對(duì)于保證客戶(hù)正常交易、數(shù)據(jù)安全可靠和公司各項(xiàng)業(yè)務(wù)的開(kāi)展至關(guān)重要，證券期貨交易的實(shí)時(shí)性要求很高，要求系統(tǒng)具有極高的安全性與可靠性。

內(nèi)部辦公網(wǎng)是指與交易業(yè)務(wù)無(wú)關(guān)，支持公司內(nèi)部辦公的網(wǎng)絡(luò)和系統(tǒng)，一般都需要聯(lián)結(jié)互聯(lián)網(wǎng)，內(nèi)部終端可以上網(wǎng)，收發(fā)電子郵件，易感染病毒，易被植入木馬。如果交易業(yè)務(wù)網(wǎng)與內(nèi)部辦公網(wǎng)互聯(lián)，一旦病毒爆發(fā)可能引起交易業(yè)務(wù)網(wǎng)絡(luò)癱瘓、交易系統(tǒng)異常；如果終端被控，還可進(jìn)而以此為跳板對(duì)于之相關(guān)聯(lián)的交易業(yè)務(wù)網(wǎng)系統(tǒng)發(fā)起各種攻擊，造成嚴(yán)重后果。因此，為保證交易業(yè)務(wù)系統(tǒng)的安全，避免不必要的外部侵害，應(yīng)將核心交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)實(shí)施物理隔離，隔離各種能針對(duì)交易業(yè)務(wù)系統(tǒng)發(fā)起的攻擊行為，提高交易業(yè)務(wù)系統(tǒng)的安全性。

對(duì)于證券、基金和期貨公司總部網(wǎng)絡(luò)：

1、對(duì)交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)實(shí)施物理隔離，要求交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)采用相互獨(dú)立的主機(jī)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、兩網(wǎng)之間沒(méi)有通訊。

2、在交易業(yè)務(wù)網(wǎng)中，核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)之間需要采取數(shù)據(jù)網(wǎng)關(guān)、防火墻等隔離措施進(jìn)行邏輯隔離，以加強(qiáng)對(duì)核心交易系統(tǒng)的保護(hù)。

對(duì)于證券營(yíng)業(yè)部網(wǎng)絡(luò)：

營(yíng)業(yè)部?jī)?nèi)部也分為交易業(yè)務(wù)網(wǎng)和內(nèi)部辦公網(wǎng)，要求兩網(wǎng)物理隔離，兩網(wǎng)沒(méi)有網(wǎng)絡(luò)數(shù)據(jù)交換。

目前，通過(guò)互聯(lián)網(wǎng)收取用于行情的資訊時(shí)，通訊終端應(yīng)當(dāng)采用串口、USB口，并口等隔離方式，通過(guò)單獨(dú)通訊協(xié)議雙機(jī)等方式接入到交易業(yè)務(wù)網(wǎng)，通訊終端應(yīng)專(zhuān)機(jī)專(zhuān)用。

期貨營(yíng)業(yè)部主要采用網(wǎng)上交易方式通過(guò)互聯(lián)網(wǎng)進(jìn)行交易，沒(méi)有與總部專(zhuān)線(xiàn)相聯(lián)，此檢查項(xiàng)不適用。

2.1.2 處理交易業(yè)務(wù)的計(jì)算機(jī)終端和移動(dòng)存儲(chǔ)專(zhuān)網(wǎng)專(zhuān)用，不允許訪(fǎng)問(wèn)互聯(lián)網(wǎng)

處理交易業(yè)務(wù)的計(jì)算機(jī)終端和移動(dòng)存儲(chǔ)介質(zhì)，一旦在互聯(lián)網(wǎng)上使用后，可能會(huì)感染病毒和木馬，受到擺渡攻擊，威脅交易主機(jī)和交易網(wǎng)絡(luò)的安全，因此，各單位可采取但不限于以下措施：

1、處理交易業(yè)務(wù)的計(jì)算機(jī)終端應(yīng)禁止訪(fǎng)問(wèn)互聯(lián)網(wǎng)，禁止安裝未經(jīng)安全測(cè)試的軟件。

2、處理業(yè)務(wù)用移動(dòng)存儲(chǔ)應(yīng)禁止在可訪(fǎng)問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)終端上使用。

3、對(duì)確需從互聯(lián)網(wǎng)取得的數(shù)據(jù)，應(yīng)在能夠保證安全、專(zhuān)用的機(jī)器上刻錄成只讀光盤(pán)，再拿到交易業(yè)務(wù)網(wǎng)上使用。

4、應(yīng)加強(qiáng)對(duì)交易業(yè)務(wù)人員的計(jì)算機(jī)安全教育，嚴(yán)格執(zhí)行使用管理規(guī)定。

此檢查項(xiàng)對(duì)于期貨營(yíng)業(yè)部不適用

2.1.3 采用可靠的身份認(rèn)證、訪(fǎng)問(wèn)控制和安全審計(jì)措施，防止來(lái)自?xún)?nèi)部或現(xiàn)場(chǎng)的非法接入和非法訪(fǎng)問(wèn)

可以參照1.5采用身份認(rèn)證、訪(fǎng)問(wèn)控制和安全審計(jì)措施。

1、無(wú)用信息點(diǎn)應(yīng)與網(wǎng)絡(luò)交換機(jī)端口斷開(kāi)。

2、應(yīng)關(guān)閉交換機(jī)閑臵端口設(shè)臵。

3、對(duì)重要應(yīng)用終端進(jìn)行MAC地址與交換機(jī)進(jìn)行綁定。

4、可采取安全監(jiān)控和管理軟件對(duì)網(wǎng)絡(luò)進(jìn)行管理和監(jiān)控，對(duì)非法接入及時(shí)報(bào)警并自動(dòng)進(jìn)行阻斷。

5、應(yīng)定期對(duì)整個(gè)網(wǎng)絡(luò)連接進(jìn)行檢查，檢查是否存在因終端設(shè)備變更而導(dǎo)致存在冗余信息點(diǎn)未被及時(shí)處理的現(xiàn)象、臨時(shí)開(kāi)啟的交換機(jī)端口未被關(guān)閉的現(xiàn)象。

2.1.4 在核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)之間采取有效的隔離措施，確保在外圍系統(tǒng)被攻擊的情況下，核心交易業(yè)務(wù)能夠安全運(yùn)行

核心交易業(yè)務(wù)網(wǎng)和非核心交易業(yè)務(wù)網(wǎng)之間存在必要的數(shù)據(jù)交換，為確保在外圍系統(tǒng)被攻擊的情況下，核心交易業(yè)務(wù)網(wǎng)仍安全運(yùn)行，必須保證數(shù)據(jù)交換是在可控制的情況下進(jìn)行。

1、核心交換機(jī)至少應(yīng)使用三層交換機(jī)，并具備QOS及安全認(rèn)證等功能。非核心交易網(wǎng)需要經(jīng)過(guò)防火墻隔離后接入核心交換機(jī)，營(yíng)業(yè)部網(wǎng)絡(luò)同樣需經(jīng)過(guò)防火墻后接入進(jìn)入公司廣域網(wǎng)。

2、核心交易系統(tǒng)防火墻與營(yíng)業(yè)部防火墻應(yīng)使用不同廠商的產(chǎn)品。防火墻配臵應(yīng)以缺省拒絕所有訪(fǎng)問(wèn)的原則來(lái)配臵，應(yīng)通過(guò)地址轉(zhuǎn)換與端口轉(zhuǎn)換的原則，保護(hù)總部的真實(shí)IP地址與端口。對(duì)需要進(jìn)行數(shù)據(jù)通訊的源、目標(biāo)IP地址和通訊端口、訪(fǎng)問(wèn)協(xié)議應(yīng)建立明確的訪(fǎng)問(wèn)控制規(guī)則。

3、核心交換機(jī)中應(yīng)以VLAN方式將各個(gè)業(yè)務(wù)網(wǎng)進(jìn)行隔離，并對(duì)不同VLAN的數(shù)據(jù)交換建立源目標(biāo)地址、端口、通訊協(xié)議的訪(fǎng)問(wèn)控制，并建立起端口與MAC地址綁定機(jī)制。對(duì)可能導(dǎo)致交換機(jī)本身癱瘓的安全威脅（如DOS攻擊、ARP欺騙攻擊、蠕蟲(chóng)病毒等），應(yīng)通過(guò)配臵業(yè)務(wù)流的優(yōu)先級(jí)，對(duì)非法數(shù)據(jù)流進(jìn)行限制或控制其流量，以達(dá)到對(duì)病毒或攻擊的流量的擴(kuò)散的速度和危害程度的限制。

4、防火墻、交換機(jī)、路由器的配臵應(yīng)合理搭配使用，避免把所有任務(wù)集中到某一臺(tái)單一設(shè)備上完成，導(dǎo)致該設(shè)備負(fù)載過(guò)大，影響網(wǎng)絡(luò)性能。

5、當(dāng)發(fā)生系統(tǒng)變更時(shí)，尤其是修改防火墻、核心交換機(jī)配臵時(shí)，應(yīng)評(píng)估是否對(duì)采取的隔離措施進(jìn)行了破壞，必要時(shí)應(yīng)進(jìn)行測(cè)試，避免因系統(tǒng)變更導(dǎo)致安全措施實(shí)效。

此檢查項(xiàng)對(duì)于期貨營(yíng)業(yè)部不適用。

2.2 交易業(yè)務(wù)系統(tǒng)維護(hù)

制定交易業(yè)務(wù)系統(tǒng)主機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備的維護(hù)計(jì)劃，并對(duì)維護(hù)記錄進(jìn)行保存?zhèn)洳?/p>

交易業(yè)務(wù)系統(tǒng)的主機(jī)、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備是交易業(yè)務(wù)系統(tǒng)運(yùn)行的關(guān)鍵設(shè)備，必須進(jìn)行全面的維護(hù)和檢查，排查可能存在的隱患，以確保其運(yùn)行狀態(tài)良好，避免因長(zhǎng)時(shí)間運(yùn)行而造成系統(tǒng)故障。

1、維護(hù)計(jì)劃的內(nèi)容應(yīng)明確負(fù)責(zé)進(jìn)行此項(xiàng)工作的負(fù)責(zé)人員和工作職責(zé)、維護(hù)周期、維護(hù)項(xiàng)目、維護(hù)內(nèi)容、記錄維護(hù)日至，并留檔備查。

2、應(yīng)至少每月一次對(duì)維護(hù)記錄進(jìn)行分析和整理，發(fā)現(xiàn)問(wèn)題后應(yīng)及時(shí)處臵。

3、應(yīng)建立設(shè)備檔案，并統(tǒng)計(jì)其使用出廠年限，對(duì)臨近使用期限的設(shè)備應(yīng)及時(shí)檢查或更新。

4、應(yīng)采用監(jiān)控設(shè)備對(duì)設(shè)備運(yùn)行狀態(tài)進(jìn)行監(jiān)控。

2.3 系統(tǒng)評(píng)估

公司內(nèi)部應(yīng)對(duì)交易業(yè)務(wù)系統(tǒng)的可靠性和安全性有定期評(píng)估制度，并有評(píng)估報(bào)告

影響交易業(yè)務(wù)系統(tǒng)的可靠性和安全性因素諸多，主要因素有如下幾個(gè)方面：

1、由于市場(chǎng)的發(fā)展，客戶(hù)數(shù)量與業(yè)務(wù)量的不斷發(fā)生變化會(huì)導(dǎo)致系統(tǒng)的設(shè)計(jì)容量不能夠適應(yīng)變化。

2、各種系統(tǒng)設(shè)備也會(huì)因長(zhǎng)期運(yùn)行而發(fā)生老化，可靠性降低，故障發(fā)生概率增加。

3、新的病毒、黑客攻擊方式、系統(tǒng)漏洞出現(xiàn)，會(huì)使過(guò)去的安全策略失效。

4、IT市場(chǎng)的激烈競(jìng)爭(zhēng)，服務(wù)商的服務(wù)實(shí)力會(huì)不斷發(fā)生變化，其產(chǎn)品也會(huì)出現(xiàn)跟新?lián)Q代，甚至反向的退化或消失，而使得后續(xù)服務(wù)無(wú)法得到保障。

5、單位為保障交易系統(tǒng)的安全運(yùn)營(yíng)制訂的各項(xiàng)內(nèi)部管理制度，操作流程未得到有效的執(zhí)行，而使安全管理機(jī)制失效。

為保證系統(tǒng)的健康、持續(xù)運(yùn)行，各單位應(yīng)在單位內(nèi)部針對(duì)以上五個(gè)方面進(jìn)行評(píng)估，并對(duì)結(jié)果出具評(píng)估報(bào)告，評(píng)估周期不得低于每季度一次。

對(duì)上述五個(gè)方面任何一項(xiàng)，如發(fā)生重大變化，應(yīng)立即進(jìn)行專(zhuān)項(xiàng)評(píng)估。

對(duì)評(píng)估報(bào)告中發(fā)現(xiàn)的潛在安全隱患，應(yīng)進(jìn)行詳細(xì)論證，盡早處理，避免留下安全隱患。

每各單位應(yīng)對(duì)安全評(píng)估進(jìn)行全面總結(jié)，經(jīng)單位負(fù)責(zé)人、技術(shù)負(fù)責(zé)人簽字確認(rèn)后，報(bào)當(dāng)?shù)乇O(jiān)管部門(mén)備案。

本檢查項(xiàng)證券營(yíng)業(yè)部適用，期貨營(yíng)業(yè)部不適用。2．4系統(tǒng)升級(jí)

在對(duì)交易業(yè)務(wù)系統(tǒng)進(jìn)行的重大升級(jí)和更新前制定詳細(xì)的升級(jí)方案

系統(tǒng)升級(jí)（包括操作系統(tǒng)重大升級(jí)、應(yīng)用系統(tǒng)升級(jí)、關(guān)鍵硬件設(shè)備更換等）屬重大系統(tǒng)變更事項(xiàng)，如不進(jìn)行嚴(yán)格管理，會(huì)有重大安全隱患。多次事故案例表明，系統(tǒng)的重大升級(jí)如未制訂詳細(xì)的升級(jí)方案草草進(jìn)行，會(huì)釀成重大安全事故。

升級(jí)方案的建立應(yīng)包含以下內(nèi)容：

1、應(yīng)確定受影響到的相關(guān)硬件設(shè)備（服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻、交換機(jī)等）和相關(guān)應(yīng)用系統(tǒng)的范圍。

2、應(yīng)明確受影響硬件設(shè)備或應(yīng)用系統(tǒng)所需要進(jìn)行的相應(yīng)變更，并認(rèn)真評(píng)價(jià)這些變更是否會(huì)產(chǎn)生波浪效應(yīng)而導(dǎo)致更大范圍的變更，直到確定不再導(dǎo)致其他新的變更為止。

3、對(duì)每一項(xiàng)變更進(jìn)行認(rèn)真評(píng)價(jià)其是否會(huì)影響到系統(tǒng)整體性能、是否會(huì)破壞原有安全策略等。

4、針對(duì)因升級(jí)引起的每一項(xiàng)變更，設(shè)計(jì)相應(yīng)的測(cè)試方案，明確測(cè)試工具、測(cè)試數(shù)據(jù)及測(cè)試結(jié)果的復(fù)核方法等。

5、針對(duì)所做變更，設(shè)計(jì)相應(yīng)的恢復(fù)步驟、恢復(fù)方法。

6、組織網(wǎng)絡(luò)管理員、安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用系統(tǒng)管理員、交易業(yè)務(wù)相關(guān)人員進(jìn)行測(cè)試方案和回退方案進(jìn)行論證并進(jìn)行完善，避免出現(xiàn)遺漏形成安全隱患。

7、應(yīng)根據(jù)整個(gè)測(cè)試方案所涉及到的內(nèi)容，建立相應(yīng)的升級(jí)工作小組，并明確各個(gè)成員的職責(zé)分工。

8、除應(yīng)嚴(yán)格執(zhí)行升級(jí)方案的測(cè)試，還須完成恢復(fù)方案的測(cè)試，測(cè)試人員應(yīng)包括網(wǎng)絡(luò)管理員、安全管理員、系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用系統(tǒng)管理員、交易業(yè)務(wù)相關(guān)人員。

9、應(yīng)針對(duì)測(cè)試結(jié)果認(rèn)真進(jìn)行評(píng)估，以確定是否最終發(fā)布。整個(gè)過(guò)程應(yīng)形成完整的技術(shù)文檔，并妥善保存。系統(tǒng)升級(jí)后，應(yīng)同步更新系統(tǒng)配臵文檔。

三、備份措施（20項(xiàng)）

證券期貨業(yè)對(duì)于信息技術(shù)高度依賴(lài)，影響信息系統(tǒng)安全穩(wěn)定運(yùn)行的因素非常復(fù)雜，并難以控制。建立故障備份和災(zāi)難備份是提高系統(tǒng)可用性的重要方法。3．1．災(zāi)難備份和故障備份

由于災(zāi)難或?yàn)?zāi)害的原因，造成信息系統(tǒng)運(yùn)行嚴(yán)重故障或癱瘓，信息系統(tǒng)支持的業(yè)務(wù)功能停頓或服務(wù)水平不可接受、達(dá)到特定的時(shí)間的突發(fā)性事件，通常導(dǎo)致信息系統(tǒng)需要切換到備用場(chǎng)地運(yùn)行。災(zāi)難備份指為了災(zāi)難恢復(fù)而對(duì)數(shù)據(jù)、數(shù)據(jù)處理系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、基礎(chǔ)設(shè)施、技術(shù)支持能力和運(yùn)行管理能力進(jìn)行備份的過(guò)程。

制定災(zāi)難備份方案要分析災(zāi)難可能對(duì)業(yè)務(wù)的沖擊程度，要求災(zāi)難后的恢復(fù)時(shí)間，綜合考慮人員、成本、技術(shù)和可操作性等方面的因素，在系統(tǒng)備份方案制定后，還必須反復(fù)論證，妥善實(shí)施。3．1．1 故障備份

絕對(duì)的系統(tǒng)設(shè)備穩(wěn)定是不存在的，故障備份指交易業(yè)務(wù)系統(tǒng)的重要設(shè)備、通信線(xiàn)路采取熱備、溫備、冷備等冗余備份方式，避免系統(tǒng)單點(diǎn)故障；在發(fā)生設(shè)備故障時(shí)能及時(shí)切換到備用系統(tǒng)和備用線(xiàn)路上，保障系統(tǒng)業(yè)務(wù)運(yùn)行的連續(xù)性。

熱備指設(shè)備雙機(jī)同時(shí)在線(xiàn)運(yùn)行，故障時(shí)時(shí)切換的備份方式；溫備指?jìng)浞菰O(shè)備處于運(yùn)行狀態(tài)，隨時(shí)可接入生產(chǎn)系統(tǒng)，接管故障設(shè)備的備份方式；冷備指?jìng)浞菰O(shè)備處于關(guān)機(jī)狀態(tài)的備份方式。

1、各單位在交易業(yè)務(wù)系統(tǒng)的規(guī)劃和建設(shè)時(shí)應(yīng)制訂故障備份策略。

2、故障備份策略應(yīng)包括備份的范圍、原則、方式以及備份切換的時(shí)間要求、人員責(zé)任等內(nèi)容。

3、各單位平時(shí)應(yīng)加強(qiáng)演練，熟練操作故障時(shí)的系統(tǒng)切換流程，不影響交易業(yè)務(wù)正常運(yùn)行。3.1.2 同城災(zāi)難備份 同城災(zāi)難備份指在同一城市建立了災(zāi)備中心，在發(fā)生因水、火、停電、恐怖事件等影響范圍局限于同一建筑物的不可抗力事件，造成主交易中心癱瘓時(shí)，能夠及時(shí)切換到災(zāi)備中心，不影響核心交易業(yè)務(wù)的進(jìn)行。

3.1.3 異地災(zāi)害備份

異地災(zāi)害備份指在主交易中心以外的地方建立災(zāi)害備份中心，在發(fā)生因主交易中心所在地受到地震、海嘯、冰災(zāi)等重大災(zāi)害，造成主交易中心癱瘓時(shí)，能夠及時(shí)切換，維持核心交易業(yè)務(wù)。

如某證券公司，在四川地震后，及時(shí)啟用其在異地的備用機(jī)房，保障了交易的正常運(yùn)行；某期貨公司，其總部機(jī)房遭火災(zāi)燒毀，啟用異地災(zāi)備系統(tǒng)，保障了交易的正常運(yùn)行。3．2 主機(jī)備份

3.2.1 對(duì)重要主機(jī)、處理機(jī)和存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備建立備份機(jī)制，并有備機(jī)備件

主機(jī)、處理機(jī)和存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備時(shí)交易業(yè)務(wù)系統(tǒng)的核心設(shè)備，任何一個(gè)環(huán)節(jié)出現(xiàn)故障，會(huì)造成整個(gè)交易系統(tǒng)癱瘓，交易業(yè)務(wù)無(wú)法正常開(kāi)展，因此，對(duì)重要主機(jī)、處理器和存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備進(jìn)行備份非常重要。

1、各單位應(yīng)對(duì)交易業(yè)務(wù)系統(tǒng)的重要主機(jī)、處理機(jī)和存儲(chǔ)設(shè)備等關(guān)鍵設(shè)備（如服務(wù)器、中間件、報(bào)盤(pán)機(jī)等）建立備份機(jī)制，并有備機(jī)備件。

2、備份措施可采取熱備、溫備、冷備等方式，以及多主機(jī)運(yùn)行方式互為備份。

3、對(duì)于核心交易業(yè)務(wù)系統(tǒng)的主機(jī)，應(yīng)采用熱備或溫備方式。3.2.2 在主機(jī)和處理器出現(xiàn)故障時(shí)實(shí)現(xiàn)主備機(jī)及時(shí)切換，不影響交易

當(dāng)重要主機(jī)和處理機(jī)出現(xiàn)故障時(shí)，應(yīng)能時(shí)現(xiàn)主、備機(jī)的及時(shí)切換和接管，不影響交易；對(duì)于需要人工干預(yù)的切換，維護(hù)人員應(yīng)能熟練操作，將切換時(shí)間控制在最小范圍內(nèi)。

1、各單位應(yīng)根據(jù)自身情況建立信息系統(tǒng)故障應(yīng)急處臵方案，對(duì)各類(lèi)設(shè)備出現(xiàn)故障切換的內(nèi)容、流程等進(jìn)行規(guī)定，責(zé)任到人，避免設(shè)備單點(diǎn)故障。

2、各單位平時(shí)應(yīng)加強(qiáng)應(yīng)急演練，熟悉操作故障時(shí)的系統(tǒng)切換流程，不影響交易業(yè)務(wù)的正常運(yùn)行。

3.3 網(wǎng)絡(luò)備份

3.3.1對(duì)交易業(yè)務(wù)系統(tǒng)的主干網(wǎng)絡(luò)設(shè)備建立備份機(jī)制，并有備機(jī)備件

1、各單位應(yīng)對(duì)交易業(yè)務(wù)系統(tǒng)的主干網(wǎng)絡(luò)設(shè)備，如主干交換機(jī)、路由器、防火墻等建立備份機(jī)制，并有備機(jī)備件。

2、對(duì)于主干核心網(wǎng)絡(luò)設(shè)備，應(yīng)才有熱備或溫備方式。

3.3.2 發(fā)生故障時(shí)，主干網(wǎng)絡(luò)設(shè)備可以實(shí)時(shí)切換，不影響交易。當(dāng)主干網(wǎng)絡(luò)設(shè)備出現(xiàn)故障時(shí)，備用設(shè)備應(yīng)該能實(shí)現(xiàn)實(shí)時(shí)切換，不影響交易。

1、建立故障應(yīng)急處臵方案，避免單點(diǎn)故障。

2、各單位平時(shí)應(yīng)加強(qiáng)應(yīng)急演練，熟練操作故障時(shí)的系統(tǒng)切換流程，不影響交易業(yè)務(wù)的正常運(yùn)行。3.4 數(shù)據(jù)備份

3.4.1有完整的數(shù)據(jù)備份策略

數(shù)據(jù)是交易業(yè)務(wù)的根本，是系統(tǒng)運(yùn)行的基礎(chǔ)，各單位應(yīng)建立完整的數(shù)據(jù)備份策略，保證數(shù)據(jù)真實(shí)、安全、有效、對(duì)交易業(yè)務(wù)和系統(tǒng)等關(guān)鍵數(shù)據(jù)進(jìn)行備份。

數(shù)據(jù)備份策略是指導(dǎo)本單位進(jìn)行數(shù)據(jù)備份實(shí)施和管理的主要文件，數(shù)據(jù)備份策略的內(nèi)容應(yīng)包括但不限于以下內(nèi)容：

1、2、數(shù)據(jù)備份的范圍和內(nèi)容。

針對(duì)各系統(tǒng)的實(shí)際情況，規(guī)定相應(yīng)的備份要求，如備份時(shí)間間隔、方式（全備、增量備份等）、介質(zhì)（硬盤(pán)、磁帶、光盤(pán)等）等。3、4、5、備份數(shù)據(jù)的恢復(fù)、驗(yàn)證方式。

備份數(shù)據(jù)的管理（如存放地點(diǎn)、存放時(shí)間、使用及銷(xiāo)毀等）。數(shù)據(jù)備份工作的相關(guān)人員及其職責(zé)等。

3.4.2 對(duì)交易業(yè)務(wù)等關(guān)鍵數(shù)據(jù)進(jìn)行每日備份

交易業(yè)務(wù)的關(guān)鍵數(shù)據(jù)必須每日備份，當(dāng)事故發(fā)生后，應(yīng)能使用備份的數(shù)據(jù)完整、快速、可靠地對(duì)原有系統(tǒng)進(jìn)行恢復(fù)。

1、各單位應(yīng)根據(jù)數(shù)據(jù)備份策略，制訂對(duì)交易業(yè)務(wù)關(guān)鍵數(shù)據(jù)每日備份規(guī)則，關(guān)鍵業(yè)務(wù)數(shù)據(jù)應(yīng)包括但不限于交易所報(bào)盤(pán)接口數(shù)據(jù)，交易所、登記公司清算文件數(shù)據(jù)，期貨風(fēng)險(xiǎn)監(jiān)控?cái)?shù)據(jù)、銀證、銀期交換數(shù)據(jù)，法人清算系統(tǒng)、三方存管系統(tǒng)、財(cái)務(wù)系統(tǒng)等業(yè)務(wù)數(shù)據(jù)；服務(wù)器、中間件等關(guān)鍵設(shè)備事件日志；電話(huà)委托記錄日志等。

2、采用集中交易的證券、期貨營(yíng)業(yè)部，數(shù)據(jù)集中在總部同一管理。對(duì)重要交易業(yè)務(wù)數(shù)據(jù)、中間件日志、銀證、銀期日志，需要每日備份。

3.4.3 備份數(shù)據(jù)異地存放，安全保管

存放在本地的系統(tǒng)數(shù)據(jù)備份，在災(zāi)難發(fā)生的時(shí)候，可能會(huì)與系統(tǒng)同時(shí)損壞，因此備份數(shù)據(jù)應(yīng)異地存放，以確保數(shù)據(jù)安全。

1、備份數(shù)據(jù)異地存放是指應(yīng)在主機(jī)房以外的其它樓宇存放完整的備份數(shù)據(jù)，并保證數(shù)據(jù)的安全。

2、異地備份數(shù)據(jù)須及時(shí)更新，以保證與各生產(chǎn)系統(tǒng)數(shù)據(jù)一致。

3、無(wú)異地災(zāi)害備份主機(jī)房的證券公司總部、期貨公司總部、基金公司，應(yīng)在主機(jī)房之外的另一城市存放備份數(shù)據(jù)。3.4.4 定期對(duì)備份數(shù)據(jù)的有效性進(jìn)行驗(yàn)證，保證備份數(shù)據(jù)在應(yīng)急恢復(fù)時(shí)有效

數(shù)據(jù)安全是信息系統(tǒng)的生命，保證數(shù)據(jù)安全的前提首先是要數(shù)據(jù)備份成功，需要進(jìn)行回裝測(cè)試來(lái)進(jìn)行驗(yàn)證，因此及時(shí)驗(yàn)證備份數(shù)據(jù)的有效性，保證備份數(shù)據(jù)在應(yīng)急恢復(fù)時(shí)有效是非常有必要的。

1、各單位應(yīng)建立備份數(shù)據(jù)定期檢查機(jī)制，驗(yàn)證備份數(shù)據(jù)的有效性，以保證備份數(shù)據(jù)在應(yīng)急恢復(fù)時(shí)有效。

2、無(wú)論是定期全量備份或是增量備份，或定期覆蓋以前的備份，只要備份措施有效，能保證備份數(shù)據(jù)的有效性，都是有效備份。

3、備份數(shù)據(jù)的有效性檢查主要指數(shù)據(jù)的可讀性檢查，包括對(duì)備份介質(zhì)數(shù)據(jù)進(jìn)行恢復(fù)檢查，對(duì)數(shù)據(jù)庫(kù)備份文件進(jìn)行數(shù)據(jù)庫(kù)的恢復(fù)檢查。

3.5 通訊備份

通訊線(xiàn)路是信息系統(tǒng)數(shù)據(jù)傳遞的重要保障，對(duì)實(shí)時(shí)性要求高的證券期貨信息系統(tǒng)來(lái)說(shuō)尤為重要。因此，各單位應(yīng)重視通訊系統(tǒng)的建設(shè)，建立通訊系統(tǒng)的備份機(jī)制，保障通訊線(xiàn)路暢通，數(shù)據(jù)安全傳輸。

3.5.1 對(duì)通訊設(shè)備建立備份機(jī)制，有備機(jī)備件

1、條件許可的情況下，應(yīng)對(duì)通訊設(shè)備（光纖、MODEM、光端機(jī)、衛(wèi)星接收機(jī)等）建立備份機(jī)制，并有備機(jī)備件。

2、條件不允許的情況下，應(yīng)有明確的應(yīng)急預(yù)案，以保障通訊設(shè)備故障時(shí)，能夠在短時(shí)間內(nèi)建立起備份通訊線(xiàn)路（如采用VPN、撥號(hào)網(wǎng)絡(luò)）。

3.5.2 對(duì)重要的通訊線(xiàn)路由冗余備份線(xiàn)路

1、各單位應(yīng)針對(duì)重要的交易業(yè)務(wù)系統(tǒng)，如行情收發(fā)系統(tǒng)、網(wǎng)上交易系統(tǒng)、銀證、銀期數(shù)據(jù)交換系統(tǒng)等重要的線(xiàn)路采取備份措施。

2、有現(xiàn)場(chǎng)客戶(hù)服務(wù)的證券營(yíng)業(yè)部，對(duì)行情接受系統(tǒng)須有備份方案，保證行情接收和揭示正常。

3、對(duì)于地面通訊線(xiàn)路，應(yīng)適當(dāng)留有冗余帶寬。各單位應(yīng)加強(qiáng)對(duì)通訊線(xiàn)路的監(jiān)控，根據(jù)業(yè)務(wù)的需要，擴(kuò)充通訊線(xiàn)路的帶寬。

4、各單位應(yīng)采用不同運(yùn)營(yíng)商的通訊線(xiàn)路作為備份線(xiàn)路。3.5.3 通信備份線(xiàn)路在發(fā)生故障時(shí)可以及時(shí)切換，不影響交易

1、當(dāng)通訊線(xiàn)路出現(xiàn)故障時(shí)，應(yīng)立即啟用備份線(xiàn)路，不影響交易。

2、各單位應(yīng)加強(qiáng)對(duì)日常備份線(xiàn)路的檢查，保證通信備份線(xiàn)路正常。3.6 電力備份

電力供應(yīng)是各單位保證業(yè)務(wù)正常運(yùn)行的基礎(chǔ)前提條件。各單位應(yīng)采取雙路供電，UPS后備電源，發(fā)電機(jī)供電等供電方式保證交易業(yè)務(wù)系統(tǒng)的運(yùn)行。

電力備份供應(yīng)區(qū)別于關(guān)鍵設(shè)備供電和一般用途供電使用，應(yīng)優(yōu)先保障關(guān)鍵設(shè)備供電。

3.6.1 各單位應(yīng)使用雙路供電 雙路供電分以下2種：

由同一變電站提供的、接入不同變壓器的2路市電到機(jī)房；由2個(gè)不同變電站提供的2路市電到機(jī)房。本文所指雙路供電僅限這2種方式。

1、各單位應(yīng)選擇能夠提供雙路供電條件的樓宇作為經(jīng)營(yíng)性或辦公性場(chǎng)所。證券公司總部、期貨公司總部、基金公司的主機(jī)房所在樓宇應(yīng)具備雙路供電條件。

2、因條件限制無(wú)法做到雙路供電的單位，應(yīng)采取其他方式保證供電正常。

3、各單位應(yīng)對(duì)雙路供電進(jìn)行切換測(cè)試，保證每條線(xiàn)路供電正常。

4、各單位應(yīng)定期對(duì)供電線(xiàn)路的電器元件、接點(diǎn)、線(xiàn)纜的老化程度等進(jìn)行檢查，及時(shí)更新老化的元件及線(xiàn)纜。

3.6.2 使用UPS后備電源

UPS后備電源是能夠提供持續(xù)、穩(wěn)定、不間斷電源供應(yīng)的重要外部設(shè)備，是各單位交易業(yè)務(wù)系統(tǒng)設(shè)備正常運(yùn)轉(zhuǎn)的電力保障系統(tǒng)，因此，使用UPS后備電源對(duì)信息系統(tǒng)的安全穩(wěn)定運(yùn)行是非常重要的。

1、各單位主機(jī)房應(yīng)配備UPS后備電源，建立定期維護(hù)、巡檢機(jī)制，有巡檢記錄。每季度不得少于1次對(duì)UPS狀態(tài)、電池狀態(tài)進(jìn)行檢查，及時(shí)更換老化部件，以確保UPS的可用性。

2、各單位如自身力量不足，應(yīng)和相關(guān)電力服務(wù)單位簽訂協(xié)議，定期對(duì)UPS進(jìn)行放電，檢查使用情況，保證斷電的情況下，UPS可以實(shí)時(shí)切換。

3、在沒(méi)有配備發(fā)電設(shè)備的條件下，證券公司總部、期貨公司總部、基金公司、證券營(yíng)業(yè)部的主機(jī)房，其UPS后備電源維持時(shí)間不得低于4小時(shí)。

3.6.2 配備或租賃發(fā)電機(jī)設(shè)備作為備份，并掌握操作要領(lǐng)

在出現(xiàn)長(zhǎng)時(shí)間停電情況下，UPS電源也無(wú)法保證電力的供應(yīng)，各單位應(yīng)配備或租賃發(fā)電機(jī)設(shè)備作為備份，為系統(tǒng)運(yùn)行提供持續(xù)電力保障。

1、各單位應(yīng)配備或租賃發(fā)電機(jī)設(shè)備作為停電備份，如自備發(fā)電機(jī)，應(yīng)掌握操作要領(lǐng)，進(jìn)行定期檢查，并保證燃油供應(yīng)。

2、租賃發(fā)電機(jī)的單位，應(yīng)落實(shí)配電系統(tǒng)改造，保證租賃發(fā)電設(shè)備能夠有效接入。

3、證券營(yíng)業(yè)部應(yīng)視自身信息系統(tǒng)情況，配備或租賃發(fā)電機(jī)設(shè)備作為備份。期貨營(yíng)業(yè)部此條不適用。

3.6.3 電力設(shè)備在發(fā)生故障時(shí)實(shí)時(shí)切換，不影響交易

突然發(fā)生停電故障時(shí)，業(yè)務(wù)系統(tǒng)主機(jī)、網(wǎng)絡(luò)設(shè)備等電子產(chǎn)品會(huì)受到電波沖擊，造成設(shè)備運(yùn)轉(zhuǎn)不正常，業(yè)務(wù)數(shù)據(jù)發(fā)生丟失或數(shù)據(jù)處理不完整，造成業(yè)務(wù)處理異常，業(yè)務(wù)操作無(wú)法進(jìn)行，影響交易。因此保證電力的持續(xù)供應(yīng)，對(duì)業(yè)務(wù)系統(tǒng)的正常運(yùn)行至關(guān)重要。

1、發(fā)生停電故障時(shí)，UPS系統(tǒng)應(yīng)可實(shí)時(shí)接管重要設(shè)備電力供應(yīng)，保證本單位交易等核心業(yè)務(wù)系統(tǒng)不受影響。

2、若配備發(fā)電設(shè)備，應(yīng)在UPS電池消耗完畢前接管電力供應(yīng)，原則上應(yīng)在停電后30分鐘內(nèi)完成切換。3.7 空調(diào)備份

計(jì)算機(jī)設(shè)備對(duì)運(yùn)行的溫度環(huán)境有著嚴(yán)格要求，溫度過(guò)高不僅會(huì)導(dǎo)致運(yùn)行紊亂，甚至?xí)鹪O(shè)備宕機(jī)、損壞、火災(zāi)等惡性事故。因此，應(yīng)有嚴(yán)格措施來(lái)保證為系統(tǒng)運(yùn)行提供適宜的溫度環(huán)境。

3.7.1 建立空調(diào)備份機(jī)制，有備用空調(diào)

主機(jī)房服務(wù)器、網(wǎng)絡(luò)設(shè)備、工作站等設(shè)備運(yùn)轉(zhuǎn)會(huì)產(chǎn)生大量的熱量，如未采取有效的降溫措施，則不能夠保證設(shè)備的正常運(yùn)行。

1、各單位應(yīng)建立空調(diào)備份機(jī)制，機(jī)房空調(diào)系統(tǒng)應(yīng)有冗余備份，在主用空調(diào)出現(xiàn)故障時(shí)，備用空調(diào)機(jī)能夠及時(shí)啟用并滿(mǎn)足機(jī)房制冷要求。

2、空調(diào)電力系統(tǒng)不得接入U(xiǎn)PS電力系統(tǒng)。

3、必須有充足的后備電力（發(fā)電機(jī)）保證斷電情況下，空調(diào)能夠正常運(yùn)行。

3.7.2 在主用空調(diào)發(fā)生故障時(shí)，能夠及時(shí)啟用備有空調(diào)

1、各單位應(yīng)保證每季度不低于1次對(duì)空調(diào)進(jìn)行維護(hù)和檢查，輪流使用，保障主用空調(diào)在故障時(shí)可以及時(shí)切換和使用備用空調(diào)。

2、各單位應(yīng)建立系統(tǒng)最小運(yùn)行狀態(tài)配臵環(huán)境，在極端環(huán)境下可通過(guò)關(guān)閉非關(guān)鍵設(shè)備減少發(fā)熱源并結(jié)合使用其他降溫措施來(lái)保證核心業(yè)務(wù)系統(tǒng)的運(yùn)行。

四、安全監(jiān)控與管理（14項(xiàng)）

“三分技術(shù)，七分管理”，信息系統(tǒng)安全保障是一個(gè)綜合技術(shù)與管理相結(jié)合的復(fù)雜動(dòng)態(tài)過(guò)程，各個(gè)單位應(yīng)建立實(shí)時(shí)監(jiān)控措施，并以在監(jiān)控過(guò)程中發(fā)現(xiàn)的異常情況來(lái)觸發(fā)事件管理流程、問(wèn)題管理流程等建設(shè)，逐步構(gòu)建配臵管理、發(fā)布管理、優(yōu)化管理、容量管理流程等，從而建立公司全面的信息系統(tǒng)安全防護(hù)體系，將“早發(fā)現(xiàn)，早報(bào)告，早處臵”真正落實(shí)到實(shí)處。4.1 實(shí)時(shí)監(jiān)控

實(shí)時(shí)監(jiān)控是對(duì)信息系統(tǒng)安全管理的有效手段。采用實(shí)時(shí)監(jiān)控不僅能對(duì)故障的發(fā)生進(jìn)行預(yù)防，防范不必要的風(fēng)險(xiǎn)，而且能在故障發(fā)生的第一時(shí)間內(nèi)發(fā)現(xiàn)，進(jìn)行相關(guān)應(yīng)急處臵，將故障損失控制到最小。

實(shí)時(shí)監(jiān)控的對(duì)象應(yīng)是能夠?qū)ο到y(tǒng)安全性造成影響的關(guān)鍵目標(biāo)，包括防火墻、入侵檢測(cè)、防病毒、核心路由器、核心交換機(jī)、主要通訊線(xiàn)路、重要服務(wù)器、關(guān)鍵業(yè)務(wù)應(yīng)用系統(tǒng)等。

實(shí)時(shí)監(jiān)控應(yīng)根據(jù)監(jiān)控對(duì)象的特點(diǎn)、監(jiān)控管理的具體要求、監(jiān)控工具的功能和性能特點(diǎn)等，選擇合適的監(jiān)控工具。

各單位應(yīng)對(duì)監(jiān)控內(nèi)容認(rèn)真觀察和分析，實(shí)時(shí)監(jiān)控期間工作人員應(yīng)根據(jù)實(shí)時(shí)監(jiān)控結(jié)果對(duì)監(jiān)控對(duì)象的運(yùn)行狀態(tài)做出初步判斷；每日應(yīng)根據(jù)整個(gè)系統(tǒng)的當(dāng)日的監(jiān)控記錄對(duì)此條運(yùn)行狀態(tài)做出初步判斷；每周應(yīng)對(duì)系統(tǒng)運(yùn)行狀態(tài)做出全面評(píng)價(jià)；每月應(yīng)根據(jù)監(jiān)控記錄形成系統(tǒng)容量分析報(bào)告，容量分析報(bào)告應(yīng)包含CPU、內(nèi)存大小、存儲(chǔ)空間、網(wǎng)絡(luò)帶寬等項(xiàng)目的容量分析。

對(duì)在實(shí)時(shí)監(jiān)控以及監(jiān)控記錄分析過(guò)程中發(fā)現(xiàn)的異常事件，應(yīng)建立起事件處理流程，并跟蹤監(jiān)督整個(gè)處理過(guò)程，及早解決問(wèn)題。

各單位應(yīng)采取交易時(shí)間內(nèi)人工監(jiān)控，交易時(shí)間外自動(dòng)化工具監(jiān)控值守相結(jié)合方式，進(jìn)行24小時(shí)實(shí)時(shí)監(jiān)控。

4.1.1 各單位應(yīng)配備監(jiān)控設(shè)備和人員，對(duì)交易業(yè)務(wù)網(wǎng)內(nèi)的服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的性能，進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控，并形成監(jiān)控記錄

服務(wù)器、主干交換機(jī)、路由器、防火墻、網(wǎng)絡(luò)線(xiàn)路是交易業(yè)務(wù)網(wǎng)的基礎(chǔ)設(shè)備，其使用性能、運(yùn)行狀況，直接影響到了交易業(yè)務(wù)的需求。一旦某個(gè)關(guān)鍵設(shè)備受損壞、網(wǎng)絡(luò)線(xiàn)路出現(xiàn)故障、主機(jī)服務(wù)器感染病毒，很有可能造成交易業(yè)務(wù)的中斷，所以對(duì)這些基礎(chǔ)設(shè)備的性能和運(yùn)行狀況進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控，是非常有必要的。

1、各單位應(yīng)建立對(duì)交易業(yè)務(wù)網(wǎng)的服務(wù)器、主干網(wǎng)絡(luò)設(shè)備的監(jiān)控巡查制度。制度內(nèi)容包括監(jiān)控責(zé)任人、監(jiān)控的時(shí)間段、監(jiān)控的頻率、監(jiān)控對(duì)象列表、每一對(duì)象的監(jiān)控內(nèi)容以及在發(fā)現(xiàn)異常時(shí)處理流程。

2、監(jiān)控對(duì)象列表至少應(yīng)包含數(shù)據(jù)庫(kù)服務(wù)器、存儲(chǔ)設(shè)備、中間件服務(wù)器、核心交換機(jī)、核心路由器、廣域網(wǎng)通訊線(xiàn)路。

3、對(duì)監(jiān)控對(duì)象的監(jiān)控內(nèi)容應(yīng)能夠正確反映被監(jiān)控目標(biāo)的性能及運(yùn)行狀態(tài)。服務(wù)器應(yīng)包含CPU使用率、內(nèi)存利用率、通訊端口狀態(tài)及數(shù)據(jù)流量、磁盤(pán)空間；防火墻應(yīng)包含CPU利用率、內(nèi)存使用率、通訊端口狀態(tài)與流量；路由器應(yīng)包含CPU利用率、內(nèi)存利用率、通訊端口狀態(tài)、線(xiàn)路流量、丟包率。

4、所有監(jiān)控記錄應(yīng)妥善保存三個(gè)月。

5、對(duì)不支持或不便于監(jiān)控的應(yīng)用系統(tǒng)，各單位應(yīng)要求開(kāi)發(fā)商進(jìn)行完善。

6、此條期貨營(yíng)業(yè)部不適用。

4.1.2 對(duì)交易、結(jié)算、銀證（銀期）業(yè)務(wù)等交易業(yè)務(wù)的運(yùn)行情況，進(jìn)行24小時(shí)的不間斷監(jiān)控，形成監(jiān)控記錄

交易、結(jié)算、銀證（銀期）業(yè)務(wù)等交易業(yè)務(wù)的運(yùn)行情況，指交易業(yè)務(wù)的數(shù)據(jù)庫(kù)系統(tǒng)、中間件、業(yè)務(wù)處理中間件等重要應(yīng)用程序的運(yùn)行狀態(tài)，銀證、銀期交易通訊的主機(jī)、程序的運(yùn)行狀態(tài)、線(xiàn)路狀態(tài)等。

1、對(duì)交易系統(tǒng)的重要指標(biāo)應(yīng)進(jìn)行重點(diǎn)監(jiān)控，包括處于活動(dòng)狀態(tài)、占用CPU資源比例、占用內(nèi)存資源比例、交易處理筆數(shù)、交易處理金額、關(guān)鍵業(yè)務(wù)處理響應(yīng)時(shí)間、并發(fā)線(xiàn)程數(shù)量、并發(fā)處理能力（訂單處理時(shí)間、查詢(xún)處理時(shí)間）等。對(duì)交易系統(tǒng)的外圍系統(tǒng)的運(yùn)行狀態(tài)，包括報(bào)盤(pán)機(jī)及衛(wèi)星通訊設(shè)備的運(yùn)行狀態(tài)，各類(lèi)中間件、行情服務(wù)器、電話(huà)委托前臵機(jī)的運(yùn)行狀態(tài)等進(jìn)行實(shí)時(shí)監(jiān)控，形成監(jiān)控記錄。

2、各單位應(yīng)對(duì)結(jié)算、銀證、銀期業(yè)務(wù)的運(yùn)行，如程序的運(yùn)行狀況、交易筆數(shù)，銀證、銀期通訊線(xiàn)路的狀態(tài)等進(jìn)行不間斷的監(jiān)控。

3、采用銀證轉(zhuǎn)帳形式開(kāi)展B股業(yè)務(wù)的證券營(yíng)業(yè)部，應(yīng)對(duì)其應(yīng)用程序，主機(jī)的運(yùn)行狀況進(jìn)行監(jiān)控。

4.1.3對(duì)網(wǎng)絡(luò)流量、網(wǎng)站內(nèi)容進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控，并形成監(jiān)控記錄

各單位交易業(yè)務(wù)系統(tǒng)、網(wǎng)上交易系統(tǒng)、網(wǎng)站網(wǎng)絡(luò)應(yīng)根據(jù)業(yè)務(wù)的需求設(shè)計(jì)帶寬，且有冗余。一旦出現(xiàn)爆發(fā)行情，或者遭受攻擊，網(wǎng)絡(luò)流量會(huì)迅速增大，甚至其帶寬不能滿(mǎn)足業(yè)務(wù)需求。一旦有不法分子在門(mén)戶(hù)網(wǎng)站或相關(guān)BBS發(fā)表不符合國(guó)家法律的言論，或者散布謠言，可能會(huì)造成不良影響，因此，對(duì)網(wǎng)絡(luò)流量和網(wǎng)站內(nèi)容進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控非常必要。

1、各單位應(yīng)使用監(jiān)控設(shè)備，對(duì)交易業(yè)務(wù)系統(tǒng)、網(wǎng)上交易系統(tǒng)、網(wǎng)站網(wǎng)絡(luò)的網(wǎng)絡(luò)流量、帶寬情況進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控，并記錄峰值，形成記錄。

2、各單位應(yīng)采取人工監(jiān)控或配備監(jiān)控設(shè)備相結(jié)合的手段，對(duì)網(wǎng)站網(wǎng)頁(yè)（含BBS）的內(nèi)容進(jìn)行24小時(shí)的實(shí)時(shí)監(jiān)控，對(duì)于危害國(guó)家安全、泄露國(guó)家秘密、侵犯國(guó)家社會(huì)集體和公民的合法權(quán)益的內(nèi)容，應(yīng)立即予以刪除，對(duì)其IP和ID進(jìn)行封鎖和舉報(bào)。4.2 日志檢查和分析

日志在安全方面具有無(wú)可替代的價(jià)值。通過(guò)對(duì)日志的查詢(xún)和分析，系統(tǒng)管理員能夠快速對(duì)潛在的系統(tǒng)入侵做出記錄和預(yù)測(cè)，對(duì)發(fā)生的安全問(wèn)題進(jìn)行及時(shí)總結(jié)，判斷事件的下一步發(fā)展動(dòng)向。因此，對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志的備份進(jìn)行定期檢查和分析，是非常有必要的。

不同的設(shè)備或軟件，其日志的記錄方式具有很大的差異，在使用任何一種設(shè)備或軟件時(shí)，技術(shù)人員應(yīng)詳細(xì)了解其日志記錄方式，并仔細(xì)檢查其缺省日志記錄方式是否符合本單位安全策略的要求。任何系統(tǒng)的日志，對(duì)其記錄內(nèi)容必須要有相應(yīng)的安全保護(hù)機(jī)制，不能被任意修改和刪除。

各單位應(yīng)對(duì)分散的各種日志進(jìn)行統(tǒng)一管理，避免遺漏出現(xiàn)死角（如存儲(chǔ)設(shè)備的系統(tǒng)日志，服務(wù)器BIOS日志等），管理內(nèi)容應(yīng)包括定期備份，形成日志分析報(bào)告等。

對(duì)日志分析中發(fā)現(xiàn)的異常事件，應(yīng)建立起相應(yīng)的事件處理流程，并跟蹤監(jiān)督整個(gè)處理過(guò)程，及早解決問(wèn)題。

對(duì)不具備日志功能或日志記錄保存方式不符合安全要求，日志記錄內(nèi)容不符合安全審計(jì)要求的重要應(yīng)用系統(tǒng)，各單位應(yīng)督促開(kāi)發(fā)商及早解決。

對(duì)因開(kāi)啟日志功能會(huì)嚴(yán)重影響應(yīng)用程序性能的特殊情況，必須經(jīng)過(guò)嚴(yán)格的壓力測(cè)試，形成書(shū)面分析報(bào)告后經(jīng)主管領(lǐng)導(dǎo)審批后方可關(guān)閉其日志功能。

4.2.1 關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進(jìn)行備份

1、各單位應(yīng)對(duì)與交易業(yè)務(wù)、網(wǎng)站和網(wǎng)上交易系統(tǒng)有關(guān)的關(guān)鍵服務(wù)器、存儲(chǔ)設(shè)備、路由器、防火墻、交換機(jī)等設(shè)備的系統(tǒng)日志、程序運(yùn)行日志、安全事件日志等進(jìn)行定期備份。

2、各單位應(yīng)對(duì)總部互聯(lián)網(wǎng)出口的防火墻、IDS/IPS設(shè)備，保留六十天以上的日志備份。

4.2.2 定期對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志進(jìn)行檢查和分析，形成記錄

1、各單位應(yīng)建立對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器日志定期檢查和分析的制度。制度內(nèi)容應(yīng)包括檢查和分析責(zé)任人，關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器的日志范圍、日志文件名稱(chēng)、分析手段、分析結(jié)果等。

2、各單位應(yīng)定期人工或采取軟件分析方式對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器日志進(jìn)行檢查和詳盡的分析，如對(duì)網(wǎng)站服務(wù)器的FTP日志、WWW（WEB）日志進(jìn)行分析，檢查和分析PUT、GET項(xiàng)目，消除SQL注入漏洞隱患等。

3、通過(guò)定期對(duì)日志進(jìn)行分析和總結(jié)，及時(shí)了解網(wǎng)絡(luò)狀況、設(shè)備運(yùn)行狀況，發(fā)現(xiàn)薄弱環(huán)節(jié)，及時(shí)整改，形成記錄。

4、對(duì)受條件約束，難以定期進(jìn)行日志分析的單位，可外聘專(zhuān)業(yè)安全服務(wù)機(jī)構(gòu)，對(duì)關(guān)鍵網(wǎng)絡(luò)、安全設(shè)備和服務(wù)器的日志進(jìn)行檢查和分析。

5、此條營(yíng)業(yè)部不適用。

4.3 權(quán)限和口令管理

用戶(hù)權(quán)限體現(xiàn)了用戶(hù)對(duì)系統(tǒng)資源的使用能力。權(quán)限管理不善，將會(huì)導(dǎo)致重要數(shù)據(jù)資料外泄或被惡意刪除等一系列惡性事故。因此必須從用戶(hù)標(biāo)識(shí)信息（用戶(hù)名）、用戶(hù)鑒別方法（如口令、證書(shū)等）、用戶(hù)權(quán)限分配以及用戶(hù)訪(fǎng)問(wèn)的控制等方面加以嚴(yán)格管理。

用戶(hù)訪(fǎng)問(wèn)權(quán)限的分配應(yīng)根據(jù)其承擔(dān)任務(wù)所需的最小權(quán)限原則來(lái)設(shè)臵（如系統(tǒng)管理員只能對(duì)系統(tǒng)進(jìn)行維護(hù)，安全管理員只能進(jìn)行策略配臵和安全設(shè)臵，安全審計(jì)員只能維護(hù)審計(jì)信息等），同時(shí)應(yīng)能建立起不同用戶(hù)間的權(quán)限分離（如操作系統(tǒng)管理員權(quán)限與數(shù)據(jù)庫(kù)管理員權(quán)限分離）和相互制約關(guān)系。

4.3.1 對(duì)交易業(yè)務(wù)服務(wù)器、主干交換設(shè)備等關(guān)鍵設(shè)備按最小安全訪(fǎng)問(wèn)原則設(shè)臵訪(fǎng)問(wèn)控制權(quán)限，并及時(shí)清理冗余系統(tǒng)用戶(hù)，正確分配用戶(hù)權(quán)限

1、各單位應(yīng)建立詳盡的權(quán)限管理制度，對(duì)權(quán)限的申請(qǐng)、審批、設(shè)臵、變更、撤銷(xiāo)等進(jìn)行嚴(yán)格規(guī)定。

2、管理制度中應(yīng)有在人員崗位變換或離職情況下，其系統(tǒng)用戶(hù)權(quán)限的變更或撤銷(xiāo)程序。

3、各單位應(yīng)建立信息系統(tǒng)權(quán)限分配表，對(duì)交易業(yè)務(wù)服務(wù)器、主干交換設(shè)備等關(guān)鍵設(shè)備上，不同的用戶(hù)所設(shè)臵相應(yīng)的讀、寫(xiě)、改等權(quán)限進(jìn)行詳細(xì)的說(shuō)明。

4、各單位應(yīng)按照最小安全訪(fǎng)問(wèn)原則，對(duì)交易業(yè)務(wù)的服務(wù)器、主干交換機(jī)等關(guān)鍵設(shè)備的用戶(hù)訪(fǎng)問(wèn)控制權(quán)限，制定專(zhuān)人保管管理員口令。

5、對(duì)主要業(yè)務(wù)系統(tǒng)的用戶(hù)及權(quán)限，應(yīng)按照權(quán)限制衡、專(zhuān)人專(zhuān)戶(hù)等原則授權(quán)審批并設(shè)臵。

6、對(duì)關(guān)鍵設(shè)備的匿名/默認(rèn)用戶(hù)訪(fǎng)問(wèn)權(quán)限應(yīng)進(jìn)行認(rèn)真檢查，查看其是否已被禁用或者嚴(yán)格限制（限制在有限的訪(fǎng)問(wèn)范圍內(nèi)）。

7、對(duì)系統(tǒng)所運(yùn)行的所有服務(wù)中使用的用戶(hù)名/口令應(yīng)進(jìn)行逐一檢查，更改缺省用戶(hù)名、口令及權(quán)限（如SNMP服務(wù)的缺省用戶(hù)名PUBLIC的口令與權(quán)限）。

4.3.2 建立有效的口令管理制度，定期修改操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)管理員口令，并有相關(guān)記錄

口令是進(jìn)入信息系統(tǒng)的鑰匙，一旦口令被黑客攻破，或?yàn)椴环ǚ肿荧@取，會(huì)冒充該用戶(hù)，并利用其權(quán)限進(jìn)行不法活動(dòng)，造成交易業(yè)務(wù)系統(tǒng)的破壞和損失，因此口令的管理對(duì)信息系統(tǒng)至關(guān)重要。

1、各單位應(yīng)建立有效的口令管理制度，對(duì)口令的申請(qǐng)、審批、設(shè)臵、修改、撤銷(xiāo)、保管進(jìn)行嚴(yán)格規(guī)定。

2、對(duì)特殊口令（設(shè)備或系統(tǒng)所固化的管理員用戶(hù)）的使用需要有嚴(yán)格的使用申請(qǐng)與審批制度。

3、各單位應(yīng)嚴(yán)格按照口令管理制度，定期對(duì)交易業(yè)務(wù)、門(mén)戶(hù)網(wǎng)站系統(tǒng)主機(jī)的操作系統(tǒng)、數(shù)據(jù)庫(kù)及應(yīng)用系統(tǒng)的管理員口令進(jìn)行修改，并有相關(guān)記錄。

4、交易業(yè)務(wù)系統(tǒng)主機(jī)、數(shù)據(jù)庫(kù)管理員口令應(yīng)專(zhuān)人專(zhuān)戶(hù)，如采用動(dòng)態(tài)口令，或多人掌管口令的方式進(jìn)行保管，對(duì)重要的主機(jī)，數(shù)據(jù)庫(kù)的管理員口令應(yīng)安全保存，嚴(yán)禁泄露。

5、如使用初始口令建立用戶(hù)名，條件允許情況下，應(yīng)開(kāi)啟首次登陸強(qiáng)制修改口令的設(shè)臵，否則應(yīng)告知并督促用戶(hù)立即修改。

6、首次進(jìn)行定期口令修改是，應(yīng)認(rèn)真測(cè)試所有應(yīng)用系統(tǒng)是否能正常運(yùn)行，對(duì)將用戶(hù)口令固化在程序里的應(yīng)用系統(tǒng)，應(yīng)立即督促開(kāi)發(fā)商進(jìn)行修改。

4.3.3 登錄口令修改頻率不低于每月一次

根據(jù)口令管理制度，各單位應(yīng)經(jīng)常修改登錄口令，以加大口令破解的難度，減少被黑客竊取的風(fēng)險(xiǎn)。

1、各單位應(yīng)對(duì)易受互聯(lián)網(wǎng)攻擊的設(shè)備、主要網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、主機(jī)等關(guān)鍵設(shè)備的超級(jí)用戶(hù)口令，每月至少更換一次。

2、各單位應(yīng)對(duì)上述登錄口令設(shè)臵口令最長(zhǎng)期限，強(qiáng)制進(jìn)行密碼修改。

4.3.4登錄口令長(zhǎng)度不低于12位，并采用數(shù)字、字母、符號(hào)混排的方式

口令長(zhǎng)度越長(zhǎng)，解密的時(shí)間越難，簡(jiǎn)短密碼易于被破解，黑客經(jīng)常采用猜測(cè)（猜測(cè)可能的字詞，如用戶(hù)姓名縮寫(xiě)、用戶(hù)生日或電話(huà)號(hào)碼等）、聯(lián)機(jī)字典攻擊（使用包括詞文文件的自動(dòng)程序）、脫機(jī)字典攻擊（獲得存儲(chǔ)處理或加密處理后的用戶(hù)帳戶(hù)和密碼的文件的副本，然后使用自動(dòng)程序來(lái)破解每個(gè)帳戶(hù)的密碼）、暴力破解（通過(guò)程序自動(dòng)組合密碼逐一測(cè)試）等手段來(lái)破解密碼。通過(guò)使用強(qiáng)密碼，可以顯著降低所有這些攻擊方法的速度，甚至擊退這些攻擊。隨著信息技術(shù)的飛躍發(fā)展，原有的6位、8位口令已不足以滿(mǎn)足信息安全防護(hù)的要求，因此，采用長(zhǎng)度更高的口令，且采用無(wú)規(guī)律的數(shù)字、字母、符號(hào)混排的方式以增加口令的復(fù)雜性，是保證信息安全的有效手段之一。

1、各單位應(yīng)對(duì)交易業(yè)務(wù)關(guān)鍵服務(wù)器、主干網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、安全設(shè)備、網(wǎng)站管理等用戶(hù)登錄口令的設(shè)臵采用數(shù)字、字母、符號(hào)混排，無(wú)規(guī)律的方式，且口令長(zhǎng)度應(yīng)不低于12位。

2、對(duì)于個(gè)別應(yīng)用系統(tǒng)由于設(shè)計(jì)缺陷等原因，目前暫不支持本條要求的，各單位應(yīng)督促開(kāi)發(fā)商盡快完善。

4.3.5對(duì)交易業(yè)務(wù)服務(wù)器、主干網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理和維護(hù)采取限制IP登錄的管理措施

1、為減少管理風(fēng)險(xiǎn)，各單位應(yīng)加強(qiáng)對(duì)交易業(yè)務(wù)服務(wù)器、主干網(wǎng)絡(luò)設(shè)備、安全設(shè)備等的管理和維護(hù)，采取限制IP登錄等手段，嚴(yán)格控制可進(jìn)行管理和維護(hù)的管理客戶(hù)端數(shù)量。

2、被管理設(shè)備或系統(tǒng)如本身支持對(duì)訪(fǎng)問(wèn)源目標(biāo)IP地址或MAC地址的限制，必須開(kāi)啟該功能。

3、可采用串口管理的方法，對(duì)主干網(wǎng)絡(luò)設(shè)備進(jìn)行管理，防止進(jìn)行遠(yuǎn)程管理帶來(lái)的風(fēng)險(xiǎn)。4.4病毒、木馬監(jiān)控

對(duì)業(yè)務(wù)網(wǎng)和辦公網(wǎng)安裝殺毒和防木馬軟件，并進(jìn)行定期升級(jí)和在線(xiàn)掃描 各單位應(yīng)對(duì)業(yè)務(wù)網(wǎng)和辦公網(wǎng)的服務(wù)器、主機(jī)使用正版的殺毒和防木馬軟件，建立監(jiān)控和防護(hù)制度，具體措施同1.1.1.4.5 機(jī)房安全

機(jī)房是各單位安保的重點(diǎn)部分，是存放系統(tǒng)設(shè)備、通信設(shè)備、數(shù)據(jù)的主要場(chǎng)所，加強(qiáng)機(jī)房安全，維護(hù)機(jī)房環(huán)境良好，是信息安全穩(wěn)定的重要條件。

4.5.1 各單位應(yīng)有具體的機(jī)房管理制度，對(duì)機(jī)房進(jìn)出人員進(jìn)行登記管理

1、各單位應(yīng)有具體的機(jī)房管理制度，制度內(nèi)容應(yīng)包括但不限于機(jī)房人員管理、值班制度、網(wǎng)絡(luò)管理、機(jī)房操作規(guī)定、機(jī)房出入管理制度等。

2、各單位應(yīng)安裝機(jī)房門(mén)禁系統(tǒng)，機(jī)房人員出入應(yīng)關(guān)門(mén)。

3、除機(jī)房人員外，外來(lái)人員未經(jīng)許可不得隨意進(jìn)入。各單位應(yīng)根據(jù)機(jī)房出入管理制度，嚴(yán)格管理，對(duì)機(jī)房的進(jìn)出人員，應(yīng)填寫(xiě)機(jī)房出入登記表，進(jìn)行登記管理。

4、采用視頻監(jiān)控設(shè)備，至少對(duì)機(jī)房所有出入口人員、設(shè)備進(jìn)出情況進(jìn)行24小時(shí)不間斷監(jiān)控，監(jiān)控錄像資料應(yīng)至少保存一個(gè)月。4.5.2 對(duì)外來(lái)人員操作系統(tǒng)有陪同、審批和監(jiān)控制度

機(jī)房是主要的安全防范區(qū)域，外來(lái)人員在機(jī)房?jī)?nèi)的操作，應(yīng)經(jīng)部門(mén)主管領(lǐng)導(dǎo)批準(zhǔn)，機(jī)房值班人員陪同進(jìn)行，不得隨意操作和觸動(dòng)與其工作無(wú)關(guān)的設(shè)備，不得進(jìn)行工作之外的其他活動(dòng)。

4.5.2 機(jī)房環(huán)境應(yīng)該符合國(guó)家標(biāo)準(zhǔn)，防靜電、防水、防火、防盜、防蟲(chóng)害、防潮、防震

1、機(jī)房建設(shè)應(yīng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)要求，防雷、接地、電磁輻射和電氣等特性都應(yīng)達(dá)到國(guó)家標(biāo)準(zhǔn)要求，要求留存機(jī)房驗(yàn)收文檔備查。

2、對(duì)于托管于服務(wù)商的主機(jī)房，其機(jī)房應(yīng)符合上述條件。

3、各單位應(yīng)使用監(jiān)控設(shè)備，加強(qiáng)對(duì)機(jī)房環(huán)境的監(jiān)控，如供電狀態(tài)（電壓、電流）、環(huán)境溫度與濕度、漏水等。

4、對(duì)機(jī)房的接地、消防、防雷應(yīng)定期測(cè)試檢查，并妥善保存測(cè)試報(bào)告。

五、應(yīng)急保障（9項(xiàng)）

為確保資本市場(chǎng)信息系統(tǒng)安全穩(wěn)定運(yùn)行，維護(hù)市場(chǎng)穩(wěn)定和健康發(fā)展，維護(hù)國(guó)家金融安全和社會(huì)穩(wěn)定，保護(hù)投資者合法權(quán)益，各單位應(yīng)建立健全網(wǎng)絡(luò)與信息安全應(yīng)急工作機(jī)制，增強(qiáng)應(yīng)急反應(yīng)能力，減少突發(fā)事件造成的損失。

5.1 各單位應(yīng)成立突發(fā)事件應(yīng)急處理小組，明確事件報(bào)告人，并報(bào)當(dāng)?shù)刈C監(jiān)局

為加強(qiáng)突發(fā)事件發(fā)生時(shí)的信息通報(bào)，及時(shí)進(jìn)行應(yīng)急處臵，降低突發(fā)事件所造成的影響，成立突發(fā)事件應(yīng)急處理小組是十分必要的。

1、各單位應(yīng)成立由主管領(lǐng)導(dǎo)親自負(fù)責(zé)的突發(fā)事件應(yīng)急處理小組，應(yīng)急小組成員應(yīng)包括風(fēng)險(xiǎn)控制、技術(shù)、結(jié)算、財(cái)務(wù)、客戶(hù)服務(wù)、安全及綜合等有關(guān)部門(mén)負(fù)責(zé)人。

2、各單位應(yīng)遵循“統(tǒng)一領(lǐng)導(dǎo)、分級(jí)負(fù)責(zé)、預(yù)防為主、有效應(yīng)對(duì)”的原則，分級(jí)處理、分工協(xié)作、層層負(fù)責(zé)，明確事件報(bào)告流程和事件報(bào)告人，并報(bào)當(dāng)?shù)刈C監(jiān)局備案。

5.2建立應(yīng)急值班制度，應(yīng)急值守人員保持24小時(shí)電話(huà)通暢 很多突發(fā)事件往往在非交易時(shí)間發(fā)生。因此建立應(yīng)急值班制度，應(yīng)急值守人員保持24小時(shí)電話(huà)通暢，能夠及時(shí)處臵突發(fā)事件非常重要。

1、各單位應(yīng)建立應(yīng)急值班制度，制度應(yīng)對(duì)應(yīng)急值守人員、備份應(yīng)急值守人員的責(zé)任、值班內(nèi)容、時(shí)間、注意事項(xiàng)、聯(lián)系方式、報(bào)告流程等進(jìn)行規(guī)定。

2、應(yīng)急值守人員、備份應(yīng)急值守人員應(yīng)保持24小時(shí)手機(jī)、電話(huà)暢通。

5.3各單位應(yīng)制定詳細(xì)的應(yīng)急處臵預(yù)案

應(yīng)急處臵預(yù)案是面對(duì)突發(fā)事件時(shí)指導(dǎo)所有應(yīng)急工作的基礎(chǔ)，因此針對(duì)各類(lèi)可能發(fā)生的突發(fā)事件制定詳細(xì)的應(yīng)急處臵預(yù)案，對(duì)高效、有效第處臵突發(fā)事件是十分必要的。

1、應(yīng)急處臵預(yù)案應(yīng)內(nèi)容詳盡，流程清晰，具有可操作性。

2、應(yīng)急處臵預(yù)案應(yīng)明確應(yīng)急處臵的機(jī)構(gòu)和職責(zé)。

3、應(yīng)急處臵預(yù)案應(yīng)有詳細(xì)的突發(fā)事件通報(bào)和報(bào)告機(jī)制，針對(duì)不同影響、不同種類(lèi)的突發(fā)事件，明確不同的應(yīng)急報(bào)告流程。

4、應(yīng)急處臵預(yù)案應(yīng)有完善的應(yīng)急措施和清晰的應(yīng)急處臵流程。

5、應(yīng)急處臵預(yù)案應(yīng)包含突發(fā)事件的分析和總結(jié)報(bào)告流程和要求。

6、應(yīng)急處臵預(yù)案應(yīng)建立相關(guān)應(yīng)急處臵聯(lián)絡(luò)人名單，明確詳細(xì)的聯(lián)絡(luò)方式，并及時(shí)更新。

7、應(yīng)急預(yù)案應(yīng)定時(shí)更新、演練和完善，各單位應(yīng)根據(jù)應(yīng)急預(yù)案制定應(yīng)急演練計(jì)劃，加以演練并形成記錄（見(jiàn)5.8）5.4 落實(shí)應(yīng)急經(jīng)費(fèi)與物資

缺少應(yīng)急經(jīng)費(fèi)與物資將直接影響應(yīng)急處臵的效率和效果，因此，落實(shí)應(yīng)急經(jīng)費(fèi)與物資是十分必要的。

1、各單位應(yīng)根據(jù)應(yīng)急預(yù)案中的相關(guān)措施，統(tǒng)計(jì)并確保落實(shí)所需經(jīng)費(fèi)與物資，并明確使用審批流程。

2、應(yīng)急物資至少應(yīng)包括應(yīng)急燈、手電筒、對(duì)講機(jī)、滅火器、醫(yī)藥箱、五金工具箱等常用物資和信息系統(tǒng)備機(jī)備件。

3、應(yīng)定期對(duì)應(yīng)急物資進(jìn)行檢查，如手電筒電池等。5.5 系統(tǒng)配臵文檔

系統(tǒng)配臵文檔是信息系統(tǒng)安全運(yùn)行保障的重要文件。配臵文檔如果不詳細(xì)，有錯(cuò)誤，在應(yīng)急恢復(fù)時(shí)只會(huì)帶來(lái)混亂，不能起到應(yīng)有的作用。因此系統(tǒng)管理配臵文檔應(yīng)有備份，并妥善保存。

1、各單位應(yīng)有詳細(xì)的系統(tǒng)配臵文檔，文檔應(yīng)包括但不限于交易業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)、設(shè)備等配臵文檔。

2、各單位應(yīng)對(duì)重要系統(tǒng)的系統(tǒng)配臵文檔進(jìn)行備份，并妥善保管。

3、應(yīng)對(duì)系統(tǒng)管理配臵文檔定期檢查，及時(shí)更新。

5.6建立詳細(xì)的應(yīng)急聯(lián)系人文檔，并及時(shí)更新，保持聯(lián)絡(luò)暢通

應(yīng)急聯(lián)系人文檔是應(yīng)急處臵預(yù)案的一個(gè)重要組成部分。只有備好應(yīng)急聯(lián)系人文檔，在事故發(fā)生時(shí)，才能迅速找到應(yīng)急支撐人員到場(chǎng)進(jìn)行處臵并向上級(jí)部門(mén)進(jìn)行報(bào)告。

1、各單位應(yīng)明確各相關(guān)單位的應(yīng)急聯(lián)系人，建立詳細(xì)的聯(lián)系人文檔。聯(lián)系人文檔應(yīng)包括但不限于與交易所、登記結(jié)算公司、銀行、電力、通信、設(shè)備供應(yīng)商、軟件開(kāi)發(fā)商、安全服務(wù)提供商等相關(guān)業(yè)務(wù)單位，以及當(dāng)?shù)卣块T(mén)的聯(lián)系人文檔。

2、應(yīng)急聯(lián)系人文檔應(yīng)及時(shí)更新，以便保持聯(lián)絡(luò)暢通。

5.7和銀行、電力、通信、設(shè)備供應(yīng)商、軟件開(kāi)發(fā)商、安全服務(wù)提供商簽訂應(yīng)急處理及服務(wù)協(xié)議，并報(bào)當(dāng)?shù)刈C監(jiān)局備案

由于各類(lèi)突發(fā)事件應(yīng)急處臵過(guò)程中，如果缺少銀行、電力、通信、設(shè)備供應(yīng)商、軟件開(kāi)發(fā)商、安全服務(wù)提供商提供相應(yīng)的應(yīng)急服務(wù)，將嚴(yán)重影響應(yīng)急處臵效率和效果。因此，按照應(yīng)急處臵預(yù)案和銀行、電力、通信、設(shè)備供應(yīng)商、軟件開(kāi)發(fā)商、安全服務(wù)提供商簽訂應(yīng)急處理及服務(wù)協(xié)議是十分必要的。

1、各單位應(yīng)和銀行、電力、通信、設(shè)備供應(yīng)商、軟件開(kāi)發(fā)商、安全服務(wù)提供商簽訂應(yīng)急處理及服務(wù)協(xié)議，協(xié)議應(yīng)包括雙方聯(lián)系人、聯(lián)系方式、服務(wù)內(nèi)容及范圍等內(nèi)容，商定應(yīng)急處理方式，以便在突發(fā)事件發(fā)生時(shí)，與各關(guān)聯(lián)單位及時(shí)取得聯(lián)系，獲得應(yīng)急支持，及時(shí)、穩(wěn)妥處理信息安全事件，減少事件造成的損失和危害。

2、在自有技術(shù)力量不足以應(yīng)對(duì)不法分子攻擊時(shí)，可與安全服務(wù)機(jī)構(gòu)簽訂應(yīng)急服務(wù)協(xié)議，以提高防范能力和應(yīng)急處臵能力。

3、與相關(guān)單位簽訂的服務(wù)協(xié)議應(yīng)報(bào)當(dāng)?shù)刈C監(jiān)局備案，以便于監(jiān)督落實(shí)。5.8應(yīng)急演練 為了增強(qiáng)應(yīng)急反應(yīng)能力，檢驗(yàn)應(yīng)急預(yù)案的有效性，優(yōu)化應(yīng)急流程，各單位應(yīng)制定應(yīng)急演練計(jì)劃，并定期進(jìn)行演練。5.8.1各單位應(yīng)根據(jù)應(yīng)急預(yù)案，制定詳細(xì)的應(yīng)急演練計(jì)劃

通過(guò)應(yīng)急演練，各單位應(yīng)急處理人員可熟悉應(yīng)急處理流程，明確各自在應(yīng)急處臵工作中的職責(zé)和任務(wù)，檢驗(yàn)應(yīng)急預(yù)案的可操作性，完善應(yīng)急預(yù)案。缺少詳細(xì)的應(yīng)急演練計(jì)劃，將嚴(yán)重影響應(yīng)急演練的效果，無(wú)法達(dá)到應(yīng)急演練的目的，甚至在演練過(guò)程中引發(fā)事故，因此，制定詳細(xì)的應(yīng)急演練計(jì)劃是非常重要的。

1、各單位應(yīng)根據(jù)應(yīng)急預(yù)案，制定應(yīng)急演練計(jì)劃，應(yīng)急演練計(jì)劃包括但不限于演練目的、演練規(guī)模、演練時(shí)間、演練前期準(zhǔn)備、演練中數(shù)據(jù)統(tǒng)計(jì)與記錄流程、演練后環(huán)境恢復(fù)等內(nèi)容。故障場(chǎng)景應(yīng)模擬核心交易業(yè)務(wù)系統(tǒng)癱瘓、通信系統(tǒng)故障、電力中斷、網(wǎng)絡(luò)攻擊等情況。

2、各單位應(yīng)在保障系統(tǒng)穩(wěn)定安全運(yùn)行的前提下，組織應(yīng)急演練。5.8.2 每次應(yīng)急演練后應(yīng)有演練文檔

1、應(yīng)急演練時(shí)應(yīng)記錄演練文檔，并根據(jù)演練中暴露出的問(wèn)題，及時(shí)總結(jié)并整改，完善應(yīng)急處臵預(yù)案。

2、應(yīng)急演練文檔應(yīng)妥善保存并留檔備查。

第五篇：【第82號(hào)令】《證券期貨業(yè)信息安全保障管理辦法》

證券期貨業(yè)信息安全保障管理辦法

第一章

總則

第一條

為了保障證券期貨信息系統(tǒng)安全運(yùn)行，加強(qiáng)證券期貨業(yè)信息安全管理工作，促進(jìn)證券期貨市場(chǎng)穩(wěn)定健康發(fā)展，保護(hù)投資者合法權(quán)益，根據(jù)《證券法》、《證券投資基金法》、《期貨交易管理?xiàng)l例》及信息安全保障相關(guān)的法律、行政法規(guī)，制定本辦法。

第二條

證券期貨業(yè)信息安全保障、管理、監(jiān)督等工作適用本辦法。

第三條

證券期貨業(yè)信息安全保障工作實(shí)行“誰(shuí)運(yùn)行、誰(shuí)負(fù)責(zé)，誰(shuí)使用、誰(shuí)負(fù)責(zé)”、安全優(yōu)先、保障發(fā)展的原則。

第四條

證券期貨業(yè)信息安全保障的責(zé)任主體應(yīng)當(dāng)執(zhí)行國(guó)家信息安全相關(guān)法律、行政法規(guī)和行業(yè)相關(guān)技術(shù)管理規(guī)定、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)，開(kāi)展信息安全工作，保護(hù)投資者交易安全和數(shù)據(jù)安全，并對(duì)本機(jī)構(gòu)信息系統(tǒng)安全運(yùn)行承擔(dān)責(zé)任。

前款所稱(chēng)責(zé)任主體，包括承擔(dān)證券期貨市場(chǎng)公共職能的機(jī)構(gòu)、承擔(dān)證券期貨行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施運(yùn)營(yíng)的機(jī)構(gòu)等證券期貨市場(chǎng)核心機(jī)構(gòu)及其下屬機(jī)構(gòu)（以下簡(jiǎn)稱(chēng)核心機(jī)構(gòu)），證券公司、期貨公司、基金管理公司、證券期貨服務(wù)機(jī)構(gòu)等證券期貨經(jīng)營(yíng)機(jī)構(gòu)（以下簡(jiǎn)稱(chēng)經(jīng)營(yíng)機(jī)構(gòu)）。

第五條

開(kāi)展證券客戶(hù)交易結(jié)算資金第三方存管業(yè)務(wù)，銀證、銀期、銀基轉(zhuǎn)賬和結(jié)算業(yè)務(wù)，基金托管和銷(xiāo)售業(yè)務(wù)的機(jī)構(gòu)應(yīng)當(dāng)按照有關(guān)規(guī)定保障相關(guān)業(yè)務(wù)系統(tǒng)的安全運(yùn)行。

第六條

為證券期貨業(yè)提供軟硬件產(chǎn)品或者技術(shù)服務(wù)的供應(yīng)商（以下簡(jiǎn)稱(chēng)供應(yīng)商），應(yīng)當(dāng)保證所提供的軟硬件產(chǎn)品或者技術(shù)服務(wù)符合國(guó)家及證券期貨業(yè)信息安全相關(guān)的技術(shù)管理規(guī)定、技術(shù)規(guī)則、技術(shù)指引和技術(shù)標(biāo)準(zhǔn)。

第七條

中國(guó)證監(jiān)會(huì)支持、協(xié)助國(guó)家信息安全管理部門(mén)組織實(shí)施信息安全相關(guān)法律、行政法規(guī)，依法對(duì)證券期貨業(yè)信息安全保障工作實(shí)施監(jiān)督管理。

中國(guó)證監(jiān)會(huì)派出機(jī)構(gòu)按照授權(quán)履行監(jiān)督管理職責(zé)。

第八條

中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)與國(guó)家信息安全管理部門(mén)、相關(guān)行業(yè)管理部門(mén)建立信息安全協(xié)調(diào)機(jī)制，與國(guó)家有關(guān)專(zhuān)業(yè)安全機(jī)構(gòu)和標(biāo)準(zhǔn)化組織建立信息安全合作機(jī)制。

第九條

證券、期貨、證券投資基金等行業(yè)協(xié)會(huì)（以下簡(jiǎn)稱(chēng)證券期貨行業(yè)協(xié)會(huì)）依照本辦法的規(guī)定，對(duì)會(huì)員的信息安全工作實(shí)行自律管理。

第十條

核心機(jī)構(gòu)依照本辦法的規(guī)定，對(duì)市場(chǎng)相關(guān)主體關(guān)聯(lián)信息系統(tǒng)的安全保障工作進(jìn)行督促、指導(dǎo)。

第二章

基本要求

第十一條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有合格的基礎(chǔ)設(shè)施。機(jī)房、電力、空調(diào)、消防、通信等基礎(chǔ)設(shè)施的建設(shè)符合行業(yè)信息安全管理的有關(guān)規(guī)定。

第十二條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)設(shè)置合理的網(wǎng)絡(luò)結(jié)構(gòu)，劃分安全區(qū)域，各安全區(qū)域之間應(yīng)當(dāng)進(jìn)行有效隔離，并具有防范、監(jiān)控和阻斷來(lái)自?xún)?nèi)外部網(wǎng)絡(luò)攻擊破壞的能力。

第十三條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立符合業(yè)務(wù)要求的信息系統(tǒng)。信息系統(tǒng)應(yīng)當(dāng)具有合理的架構(gòu)，足夠的性能、容量、可靠性、擴(kuò)展性和安全性，能夠支持業(yè)務(wù)的運(yùn)行和發(fā)展。

第十四條

核心機(jī)構(gòu)應(yīng)當(dāng)對(duì)交易、行情、開(kāi)戶(hù)、結(jié)算、風(fēng)控、通信等重要信息系統(tǒng)具有自主開(kāi)發(fā)能力，擁有執(zhí)行程序和源代碼并安全可靠存放，在重要信息系統(tǒng)上線(xiàn)前對(duì)執(zhí)行程序和源代碼進(jìn)行嚴(yán)格的審查和測(cè)試。

第十五條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)具有防范木馬、病毒等惡意代碼的能力，防止惡意代碼對(duì)信息系統(tǒng)造成破壞，防止信息泄露或者被篡改。

第十六條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)治理架構(gòu)，明確信息技術(shù)決策、管理、執(zhí)行和內(nèi)部監(jiān)督的權(quán)責(zé)機(jī)制。

第十七條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立完善的信息技術(shù)管理制度和操作規(guī)程，并嚴(yán)格執(zhí)行。

第十八條

核心機(jī)構(gòu)應(yīng)當(dāng)制定本機(jī)構(gòu)與市場(chǎng)相關(guān)主體信息系 統(tǒng)安全互聯(lián)的技術(shù)規(guī)則，并報(bào)中國(guó)證監(jiān)會(huì)備案。

核心機(jī)構(gòu)依法督促市場(chǎng)相關(guān)主體執(zhí)行技術(shù)規(guī)則。

第十九條

核心機(jī)構(gòu)應(yīng)當(dāng)提供多種互為備份的遠(yuǎn)程接入方式，保證市場(chǎng)相關(guān)主體安全接入，并對(duì)市場(chǎng)相關(guān)主體的遠(yuǎn)程接入進(jìn)行監(jiān)控與管理。

第三章

持續(xù)保障要求

第二十條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)保障充足、穩(wěn)定的信息技術(shù)經(jīng)費(fèi)投入，配備足夠的信息技術(shù)人員。

第二十一條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)根據(jù)行業(yè)規(guī)劃和本機(jī)構(gòu)發(fā)展戰(zhàn)略，制定信息化與信息安全發(fā)展規(guī)劃，滿(mǎn)足業(yè)務(wù)發(fā)展和信息安全管理的需要。

第二十二條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)開(kāi)展信息系統(tǒng)新建、升級(jí)、變更、換代等建設(shè)項(xiàng)目，應(yīng)當(dāng)進(jìn)行充分論證和測(cè)試。

第二十三條

核心機(jī)構(gòu)交易、行情、開(kāi)戶(hù)、結(jié)算、通信等重要信息系統(tǒng)上線(xiàn)或者進(jìn)行重大升級(jí)變更時(shí)，應(yīng)當(dāng)組織市場(chǎng)相關(guān)主體進(jìn)行聯(lián)網(wǎng)測(cè)試，并按規(guī)定進(jìn)行報(bào)告。

第二十四條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)規(guī)范開(kāi)展信息技術(shù)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的運(yùn)行維護(hù)，保障系統(tǒng)安全穩(wěn)定運(yùn)行。

第二十五條

核心機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)市場(chǎng)相關(guān)主體正確運(yùn)行維護(hù)與本機(jī)構(gòu)互聯(lián)的系統(tǒng)和通信設(shè)施。

第二十六條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)備份設(shè)施，并按照規(guī)定在同城和異地保存?zhèn)浞輸?shù)據(jù)。

第二十七條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立重要信息系統(tǒng)的故障備份設(shè)施和災(zāi)難備份設(shè)施，保證業(yè)務(wù)活動(dòng)連續(xù)。

第二十八條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)按照規(guī)定向中國(guó)證監(jiān)會(huì)指定的證券期貨業(yè)數(shù)據(jù)中心報(bào)送數(shù)據(jù)。報(bào)送的數(shù)據(jù)必須真實(shí)、完整、準(zhǔn)確、及時(shí)。

證券期貨業(yè)數(shù)據(jù)中心應(yīng)當(dāng)按照中國(guó)證監(jiān)會(huì)的有關(guān)規(guī)定開(kāi)展行業(yè)數(shù)據(jù)的集中保存工作，確保數(shù)據(jù)的安全、完整、可靠。

第二十九條

核心機(jī)構(gòu)負(fù)責(zé)建設(shè)和運(yùn)營(yíng)行業(yè)信息技術(shù)公共基礎(chǔ)設(shè)施。

第三十條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)信息安全保密管理，保障投資者信息安全。

第三十一條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)檢測(cè)、監(jiān)測(cè)、評(píng)估和預(yù)警機(jī)制，發(fā)現(xiàn)風(fēng)險(xiǎn)隱患應(yīng)當(dāng)及時(shí)處置，并按照規(guī)定進(jìn)行報(bào)告。

第三十二條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全應(yīng)急處置機(jī)制，及時(shí)處置突發(fā)信息安全事件，盡快恢復(fù)信息系統(tǒng)的正常運(yùn)行，并按照規(guī)定進(jìn)行報(bào)告，不得遲報(bào)、漏報(bào)、瞞報(bào)。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息安全事件進(jìn)行內(nèi)部調(diào)查、責(zé)任追究和采取整改措施，并配合中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)對(duì)事件進(jìn)行調(diào)查處理。

與核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)發(fā)生信息安全事件相關(guān)的軟硬件產(chǎn)品或者技術(shù)服務(wù)供應(yīng)商，應(yīng)當(dāng)配合相關(guān)調(diào)查工作。

第三十三條

核心機(jī)構(gòu)應(yīng)當(dāng)每年組織市場(chǎng)相關(guān)主體進(jìn)行一次信息安全應(yīng)急演練，并于實(shí)施前15個(gè)工作日向中國(guó)證監(jiān)會(huì)報(bào)告。

第三十四條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)對(duì)信息技術(shù)人員進(jìn)行培訓(xùn)，確保其具有履行崗位職責(zé)的能力。

第三十五條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立信息安全內(nèi)部審計(jì)制度，定期開(kāi)展內(nèi)部審計(jì)，對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行整改。

第四章

產(chǎn)品及服務(wù)采購(gòu)要求

第三十六條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)建立供應(yīng)商管理制度，定期對(duì)供應(yīng)商的資質(zhì)、專(zhuān)業(yè)經(jīng)驗(yàn)、產(chǎn)品和服務(wù)的質(zhì)量進(jìn)行了解和評(píng)估。

第三十七條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)在采購(gòu)軟硬件產(chǎn)品或者技術(shù)服務(wù)時(shí)，應(yīng)當(dāng)與供應(yīng)商簽訂合同和保密協(xié)議，并在合同和保密協(xié)議中明確約定信息安全和保密的權(quán)利和義務(wù)。

涉及證券期貨交易、行情、開(kāi)戶(hù)、結(jié)算等軟件產(chǎn)品或者技術(shù)服務(wù)的采購(gòu)合同，應(yīng)當(dāng)約定供應(yīng)商須接受中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)的信息安全延伸檢查。

第三十八條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)采購(gòu)的軟硬件產(chǎn)品或者技術(shù)服務(wù)應(yīng)當(dāng)滿(mǎn)足審慎經(jīng)營(yíng)和風(fēng)險(xiǎn)管理的要求。軟硬件產(chǎn)品或者技 術(shù)服務(wù)不符合要求，影響核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)持續(xù)經(jīng)營(yíng)的，中國(guó)證監(jiān)會(huì)有權(quán)要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)予以改進(jìn)或者更換。

第五章

行業(yè)自律

第三十九條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)制定信息技術(shù)指引，督促、引導(dǎo)會(huì)員執(zhí)行國(guó)家和行業(yè)信息安全相關(guān)規(guī)定和技術(shù)標(biāo)準(zhǔn)。

第四十條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)行業(yè)加強(qiáng)信息技術(shù)人才隊(duì)伍建設(shè)，定期組織信息技術(shù)培訓(xùn)和交流，提高信息技術(shù)人員執(zhí)業(yè)素質(zhì)。

第四十一條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)鼓勵(lì)行業(yè)信息技術(shù)研究與創(chuàng)新，增強(qiáng)自主可控能力，組織開(kāi)展科技獎(jiǎng)勵(lì)，促進(jìn)行業(yè)科技進(jìn)步。

第四十二條

證券期貨行業(yè)協(xié)會(huì)應(yīng)當(dāng)引導(dǎo)供應(yīng)商規(guī)范參與行業(yè)信息化與信息安全工作，促進(jìn)市場(chǎng)公平競(jìng)爭(zhēng)，促進(jìn)供應(yīng)商與市場(chǎng)相關(guān)主體共同發(fā)展。

第六章

監(jiān)督管理

第四十三條

中國(guó)證監(jiān)會(huì)建立統(tǒng)一組織、分級(jí)負(fù)責(zé)的信息安全監(jiān)督管理體制。

中國(guó)證監(jiān)會(huì)信息安全管理部門(mén)負(fù)責(zé)證券期貨業(yè)信息安全工作 的組織、協(xié)調(diào)和指導(dǎo)；相關(guān)業(yè)務(wù)監(jiān)管部門(mén)依照職責(zé)范圍對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督、檢查；派出機(jī)構(gòu)根據(jù)授權(quán)對(duì)轄區(qū)內(nèi)經(jīng)營(yíng)機(jī)構(gòu)的信息安全進(jìn)行監(jiān)督、檢查。

第四十四條

中國(guó)證監(jiān)會(huì)依法組織制定證券期貨業(yè)信息安全管理規(guī)定和技術(shù)標(biāo)準(zhǔn)。

第四十五條

中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)依照職責(zé)范圍，對(duì)核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)進(jìn)行信息安全檢查或者委托國(guó)家、行業(yè)有關(guān)專(zhuān)業(yè)安全機(jī)構(gòu)進(jìn)行安全檢查。核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)配合檢查。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)的信息安全管理不能達(dá)到規(guī)定要求的，中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)責(zé)令其限期改正，改正前可以暫?；蛘呦拗破洳糠只蛘呷孔C券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)。

第四十六條

中國(guó)證監(jiān)會(huì)及其派出機(jī)構(gòu)可以要求核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)提供信息安全相關(guān)資料。

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)及時(shí)、準(zhǔn)確、完整地提供相關(guān)資料。第四十七條

中國(guó)證監(jiān)會(huì)組織制定證券期貨業(yè)信息安全應(yīng)急預(yù)案，督促、指導(dǎo)行業(yè)開(kāi)展信息安全應(yīng)急工作。

第四十八條

中國(guó)證監(jiān)會(huì)有權(quán)對(duì)核心機(jī)構(gòu)、經(jīng)營(yíng)機(jī)構(gòu)的信息安全事件進(jìn)行調(diào)查處理。

對(duì)于損害投資者合法權(quán)益或者影響證券期貨市場(chǎng)安全穩(wěn)定運(yùn)行的信息安全事件，中國(guó)證監(jiān)會(huì)依法對(duì)相關(guān)單位采取監(jiān)督管理措施或者行政處罰。

第四十九條

中國(guó)證監(jiān)會(huì)對(duì)發(fā)現(xiàn)的系統(tǒng)漏洞、安全隱患、產(chǎn) 品缺陷進(jìn)行全行業(yè)通報(bào)。

第五十條

核心機(jī)構(gòu)和經(jīng)營(yíng)機(jī)構(gòu)違反本辦法規(guī)定，中國(guó)證監(jiān)會(huì)可以視情節(jié)，依法對(duì)其采取責(zé)令改正、監(jiān)管談話(huà)、出具警示函、公開(kāi)譴責(zé)、責(zé)令定期報(bào)告、責(zé)令處分有關(guān)人員、撤銷(xiāo)任職資格、暫停或者限制證券期貨經(jīng)營(yíng)業(yè)務(wù)活動(dòng)等措施；情節(jié)嚴(yán)重的，給予警告、罰款。

第七章

附

則

第五十一條 本辦法自2012年11月1日起施行?！蹲C券期貨業(yè)信息安全保障管理暫行辦法》（證監(jiān)信息字〔2005〕5號(hào)）同時(shí)廢止。