证监会信息系统安全检查贯彻落实指引
- 格式:docx
- 大小:191.13 KB
- 文档页数:31
下载文档原格式
合集下载
中国证券监督管理委员会关于加强证券公司营业部内部控制若干措施的意见
中国证券监督管理委员会关于加强证券公司营业部内部控制若干措施的意见文章属性•【制定机关】中国证券监督管理委员会•【公布日期】2003.12.15•【文号】证监机构字[2003]261号•【施行日期】2003.12.15•【效力等级】部门规范性文件•【时效性】失效•【主题分类】证券正文*注:本篇法规已被《中国证券监督管理委员会公告(2009)8号--关于废止部分证券期货规章的决定(第八批)》(发布日期:2009年4月10日实施日期:2009年4月10日)废止中国证券监督管理委员会关于加强证券公司营业部内部控制若干措施的意见(证监机构字[2003]261号)各证券公司:为规范证券公司经纪业务,加强对证券营业部的管理,有效防范风险,保护投资者的合法权益,根据《中华人民共和国证券法》、《证券公司内部控制指引》的有关规定,现就进一步加强证券营业部内部控制提出如下意见:一、加强对证券营业部的人事管理(一)证券营业部负责人、证券营业部电脑部、财务部负责人应当由证券公司总部直接委派、垂直管理,并建立公司总部与上述人员的直接、有效沟通渠道。
(二)证券营业部财务部、电脑部负责人对营业部的合规经营负有监督与约束责任。
证券公司应加强对证券营业部负责人、证券营业部电脑部、财务部负责人的年度考核,并于次年4月底前将考核结果报证券营业部所在地的中国证监会派出机构备案。
(三)证券营业部负责人、证券营业部电脑部、财务部负责人应当在证券公司范围内实行定期岗位轮换,轮岗周期最长不得超过3年。
对于已实行集中交易的证券营业部,经证券营业部所在地中国证监会派出机构同意后,轮岗周期可适当延长至5年。
证券营业部其他重要岗位应根据具体情况有计划地在证券营业部范围内实行岗位轮换。
首批轮岗应先行安排在上述岗位任职时间超过3年的人员。
对于跨省区证券营业部之间实行轮岗确有困难的证券公司,在征得证券营业部所在地中国证监会派出机构同意后,可以不实行轮岗,但必须每年对相关证券营业部进行全面的现场稽核,稽核报告应向公司总部和证券营业部所在地的中国证监会派出机构备案。
中国银行业监督管理委员会办公厅关于认真贯彻落实《银行业金融机构从业人员职业操守指引》的通知
中国银行业监督管理委员会办公厅关于认真贯彻落实《银行业金融机构从业人员职业操守指引》的通知文章属性•【制定机关】中国银行业监督管理委员会(已撤销)•【公布日期】2009.11.13•【文号】银监办发[2009]371号•【施行日期】2009.11.13•【效力等级】部门规范性文件•【时效性】失效•【主题分类】银行业监督管理正文中国银行业监督管理委员会办公厅关于认真贯彻落实《银行业金融机构从业人员职业操守指引》的通知(银监办发[2009]371号)各银监局,各政策性银行、国有商业银行、股份制商业银行,各金融资产管理公司,中国邮政储蓄银行,银监会直接监管的信托公司、企业集团财务公司、金融租赁公司,中央国债登记结算公司,银行业协会、信托业协会、财务公司协会:根据中央领导同志的有关指示,银监会在充分调研和广泛征求意见的基础上,于2009年2月份制定并印发了《银行业金融机构从业人员职业操守指引》(以下简称《指引》)。
《指引》是银行业从业人员职业操守的标准要求,为银行业金融机构建立符合科学发展观要求的选人用人机制,加强从业人员队伍建设提供了一个标杆。
根据近期中央领导同志关于“银监会、证监会、保监会要认真抓好职业行为准则的落实”的指示精神,经银监会领导同意,现就银行业金融机构认真贯彻落实《指引》的有关工作提出如下要求:一、切实提高认识。
中央领导同志高度重视银行业队伍建设,多次强调要建设一支能适应现代银行业发展需要的从业人员队伍。
对于道德风险的防范和教育是加强队伍建设的重要内容。
从以往查处的银行业案件看,存在道德风险的工作环节和岗位十分广泛,所导致的危害相当严重。
因此,制定、学习和遵守银行业金融机构从业人员操守指引,不断提高从业人员职业操守,树立忠诚廉洁、勤勉尽责、秉公办事的理念,对于银行业金融机构的稳健经营和国民经济的健康发展有着重要意义。
同时,道德风险意识的增强和职业操守的提高,也是对银行业金融机构和从业人员自身的保护。
【第82号令】《证券期货业信息安全保障管理规定》
欢迎阅读证券期货业信息安全保障管理办法第一章总则第一条为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。
第二条证券期货业信息安全保障、管理、监督等工作适用本办法。
第三条证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
第四条证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
第五条开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
第六条为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
第七条中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。
第八条中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
第九条证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
中国证券业协会、中国期货业协会关于发布《证券期货经营机构信息技术治理工作指引(试行)》的通知
中国证券业协会、中国期货业协会关于发布《证券期货经营机构信息技术治理工作指引(试行)》的通知文章属性•【制定机关】中国证券业协会,中国期货业协会•【公布日期】2008.09.03•【文号】•【施行日期】2008.09.03•【效力等级】行业规定•【时效性】现行有效•【主题分类】证券,期货正文中国证券业协会、中国期货业协会关于发布《证券期货经营机构信息技术治理工作指引(试行)》的通知各证券公司、基金管理公司、期货经纪公司:为加强证券期货经营机构信息技术管理与规范,完善各机构的治理结构,提高证券期货经营机构信息技术(简称IT)治理水平,保障信息系统安全运行。
中国证券业协会和中国期货业协会联合制定了《证券期货经营机构信息技术治理工作指引(试行)》,经向中国证监会备案后,予以发布。
现就有关事项通知如下:一、各证券期货经营机构应充分重视《指引》发布实施的重要性,认真学习掌握《指引》的指导精神和相关要求。
IT 治理是公司治理的重要组成部分,是证券期货行业信息系统的基础性建设,其主要目的是解决在高度信息化的时代,如何将企业的IT 资产转化为企业的重要战略资产,通过设计和实施IT 决策权系统,妥善处理好企业的IT 决策内容、IT 决策部门和责任人以及如何制定和监控这些IT 决策的问题。
IT 能力是证券期货经营机构的核心竞争力之一,有效的IT 治理可以持续巩固和提升IT 能力。
各证券期货经营机构应通过IT 治理工作,增强驾驭IT 的能力,合理利用IT 资源,有效管理IT 风险,确保信息系统的建设和运行安全、高效、稳定。
二、各证券期货经营机构应结合本单位的实际情况,制定落实《指引》的工作方案。
按照《指引》的要求,建立并完善公司IT 治理组织、相关制度和工作机制,检查单位在IT 原则、IT 架构、IT 基础设施、IT 应用和IT 投入5 个方面的工作情况,查找问题和不足,并制定改进措施。
通过落实《指引》工作,推进和加强信息技术管理与规范,切实提高信息技术建设和安全运维、管理水平。
中国证券管理委员会关于发布《证券经营机构营业部信息系统技术管理规范(试行)》的通知
中国证券管理委员会关于发布《证券经营机构营业部信息系统技术管理规范(试行)》的通知文章属性•【制定机关】中国证券监督管理委员会•【公布日期】1998.03.09•【文号】证监信字[1998]2号•【施行日期】1998.03.09•【效力等级】部门规范性文件•【时效性】失效•【主题分类】证券正文*注:本篇法规已被《中国证券监督管理委员会公告(2009)8号--关于废止部分证券期货规章的决定(第八批)》(发布日期:2009年4月10日实施日期:2009年4月10日)废止中国证券监督管理委员会关于发布《证券经营机构营业部信息系统技术管理规范(试行)》的通告(1998年3月5日证监信字〔1998〕2号)各证券经营机构:为加强证券经营机构营业部信息系统安全管理,减少和防范市场技术风险,促进证券市场健康发展,我会制定了《证券经营机构营业部信息系统技术管理规范(试行)》(以下简称《规范》),现予以发布实施,并就有关要求通知如下:一、各证券经营机构要充分认识实施《规范》的必要性和重要性,各单位主要负责人要认真组织学习,亲自抓《规范》的实施落实工作。
二、《规范》适用于依法成立的证券经营机构。
已制定的地方性管理规定及各证券经营机构内部规章制度须根据本《规范》作相应修订。
三、本《规范》从发布之日起实施,工作分两个阶段进行:第一阶段,今年上半年要根据《规范》要求,建立健全内部管理制度和组织机构;第二阶段,1999年6月30日前要完成更新与调试营业部信息系统软、硬件工作,达到《规范》要求。
各证券经营机构要结合本单位实际安排好工作进度。
四、本《规范》将纳入证券经营机构年检范围,对不符合《规范》要求的营业部,中国证监会将要求其限期整改,并追究该证券经营机构及其营业部主要领导者的责任。
五、年内中国证监会将组织检查落实情况,并适时安排培训和技术交流。
证券经营机构营业部信息系统技术管理规范(试行)目录目录第一章总则第一节目标第二节原则第三节制定与实施第二章管理体系第一节组织结构第二节人员管理第三节安全管理第四节技术资料管理第三章硬件设施第一节计算机机房第二节远程通信第三节计算机设备第四节局域网络第五节电子交易设备第六条设备管理第四章软件环境第一节系统软件第二节应用软件第三节软件管理第五章数据管理第一节交易业务数据第二节系统数据第六章技术事故的防范与处理第一节技术事故及其防范第二节技术事故的处理第一章总则第一节目标1.1.1最大程度地防范技术操作风险,保护投资者利益,维护证券经营机构的合法权益,促进证券市场健康发展。
第号令《证券期货业信息安全保障管理办法》
证券期货业信息安全保障管理办法第一章总则第一条为了保障证券期货信息系统安全运行,加强证券期货业信息安全管理工作,促进证券期货市场稳定健康发展,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《期货交易管理条例》及信息安全保障相关的法律、行政法规,制定本办法。
第二条证券期货业信息安全保障、管理、监督等工作适用本办法。
第三条证券期货业信息安全保障工作实行“谁运行、谁负责,谁使用、谁负责”、安全优先、保障发展的原则。
第四条证券期货业信息安全保障的责任主体应当执行国家信息安全相关法律、行政法规和行业相关技术管理规定、技术规则、技术指引和技术标准,开展信息安全工作,保护投资者交易安全和数据安全,并对本机构信息系统安全运行承担责任。
前款所称责任主体,包括承担证券期货市场公共职能的机构、承担证券期货行业信息技术公共基础设施运营的机构等证券期货市场核心机构及其下属机构(以下简称核心机构),证券公司、期货公司、基金管理公司、证券期货服务机构等证券期货经营机构(以下简称经营机构)。
第五条开展证券客户交易结算资金第三方存管业务,银证、银期、银基转账和结算业务,基金托管和销售业务的机构应当按照有关规定保障相关业务系统的安全运行。
第六条为证券期货业提供软硬件产品或者技术服务的供应商(以下简称供应商),应当保证所提供的软硬件产品或者技术服务符合国家及证券期货业信息安全相关的技术管理规定、技术规则、技术指引和技术标准。
第七条中国证监会支持、协助国家信息安全管理部门组织实施信息安全相关法律、行政法规,依法对证券期货业信息安全保障工作实施监督管理。
中国证监会派出机构按照授权履行监督管理职责。
第八条中国证监会及其派出机构与国家信息安全管理部门、相关行业管理部门建立信息安全协调机制,与国家有关专业安全机构和标准化组织建立信息安全合作机制。
第九条证券、期货、证券投资基金等行业协会(以下简称证券期货行业协会)依照本办法的规定,对会员的信息安全工作实行自律管理。
中国证券监督管理委员会关于发布《<证券经营机构营业部信息系统技术管理规范(试行)>技术指引》的通知
中国证券监督管理委员会关于发布《<证券经营机构营业部信息系统技术管理规范(试行)>技术指引》的通知文章属性•【制定机关】中国证券监督管理委员会•【公布日期】1999.11.03•【文号】证监信息字[1999]18号•【施行日期】1999.11.03•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】证券正文中国证券监督管理委员会关于发布《〈证券经营机构营业部信息系统技术管理规范(试行)〉技术指引》的通知(证监信息字〔1999〕18号)各证券经营机构:为进一步落实《证券经营机构营业部信息系统技术管理规范(试行)》(证监信字〔1998〕2号,以下简称《规范》),提高行业信息系统安全管理水平,有效防范和化解技术风险,现将《〈证券经营机构营业部信息系统技术管理规范(试行)〉技术指引》(以下简称《指引》)印发给你们,并就有关事宜通知如下:一、要在认真组织学习《规范》的基础上,全面了解和贯彻《指引》的要求,做到有效防范技术风险,提高安全水平。
二、要根据《规范》及《指引》的要求,找出差距和不足,采取有效措施加以改进。
三、中国证监会将组织对《规范》及《指引》落实情况的检查。
对不符合要求的单位,将根据《关于证券经营机构及其营业部做好信息系统检查工作有关事宜的通知》(证监信息字〔1999〕7号)和《关于强化证券经营机构总部对所属营业部信息系统安全检查的通知》(证监信息字〔1999〕11号)等文件的规定,严肃处理。
中国证监会一九九九年十一月三日《证券经营机构营业部信息系统技术管理规范(试行)》技术指引第一章管理体系技术指引第一节组织结构一、电脑中心负责制定的与信息系统相关的规章制度(〔2.1.2(1)〕)至少应包括如下方面:1、组织机构与人员管理;2、安全管理(包括病毒防范);3、文档资料管理;4、数据管理;5、硬件设备管理(包括相关设备强制更换);6、软件管理;7、网络管理;8、机房管理;9、运行维护管理(包括操作安全管理);10、技术事故防范与处理。
证监会发布《上市公司监管指引第10号——市值管理》
证监会发布《上市公司监管指引第10号——市值管
理》
文章属性
•【公布机关】中国证券监督管理委员会
•【公布日期】2024.11.15
•【分类】其他
正文
证监会发布《上市公司监管指引第10号——市值管理》
为贯彻落实《国务院关于加强监管防范风险推动资本市场高质量发展的若干意见》(国发〔2024〕10号),进一步引导上市公司关注自身投资价值,切实提升投资者回报,证监会制定了《上市公司监管指引第10号——市值管理》(以下简称《指引》),自发布之日起实施。
《指引》要求上市公司以提高公司质量为基础,提升经营效率和盈利能力,并结合实际情况依法合规运用并购重组、股权激励、员工持股计划、现金分红、投资者关系管理、信息披露、股份回购等方式,推动上市公司投资价值合理反映上市公司质量。
《指引》明确了上市公司董事会、董事和高级管理人员等相关方的责任,并对主要指数成份股公司制定市值管理制度、长期破净公司披露估值提升计划等作出专门要求。
同时,《指引》明确禁止上市公司以市值管理为名实施违法违规行为。
前期,证监会就《指引》向社会公开征求意见。
从反馈情况看,各方总体认可《指引》,并结合实践提出了宝贵的意见和建议,涉及董事和高管人员职责、主要指数成份股公司范围、市值管理制度的披露要求、估值提升计划的执行情况等,经
逐条研究,与《指引》条文有关的主要意见已采纳。
后续,证监会将进一步加强政策解读,做好《指引》实施相关工作。
中国证券监督管理委员会令第152号——证券基金经营机构信息技术管理办法
中国证券监督管理委员会令第152号——证券基金经营机构信息技术管理办法文章属性•【制定机关】中国证券监督管理委员会•【公布日期】2018.12.19•【文号】中国证券监督管理委员会令第152号•【施行日期】2019.06.01•【效力等级】部门规章•【时效性】已被修改•【主题分类】证券正文中国证券监督管理委员会令第152号《证券基金经营机构信息技术管理办法》已经2017年3月31日中国证券监督管理委员会2017年第2次主席办公会议审议通过,现予公布,自2019年6月1日起施行。
中国证券监督管理委员会主席:XXX2018年12月19日证券基金经营机构信息技术管理办法第一章总则第一条为加强证券基金经营机构信息技术管理,保障证券基金行业信息系统安全、合规运行,保护投资者合法权益,根据《证券法》、《证券投资基金法》、《证券公司监督管理条例》等法律法规,制定本办法。
第二条证券基金经营机构借助信息技术手段从事证券基金业务活动,信息技术服务机构为证券基金业务活动提供信息技术服务,适用本办法。
第三条本办法所称证券基金经营机构,是指经中国证监会批准在境内设立的证券公司和管理公开募集基金的基金管理公司(以下简称基金管理公司)。
本办法所称信息技术服务机构,是指为证券基金业务活动提供信息技术服务的机构。
信息技术服务的范围如下:(一)重要信息系统的开发、测试、集成及测评;(二)重要信息系统的运维及日常安全管理;(三)中国证监会规定的其他情形。
以上机构统称证券基金经营与服务机构。
第四条证券基金经营机构是从事证券基金业务活动的责任主体,应当保障充足的信息技术投入,在依法合规、有效防范风险的前提下,充分利用现代信息技术手段完善客户服务体系、改进业务运营模式、提升内部管理水平、增强合规风控能力,持续强化现代信息技术对证券基金业务活动的支撑作用。
第五条中国证监会及其派出机构依法对证券基金经营与服务机构借助信息技术手段从事证券基金业务活动或提供相关服务实施监督管理。
期货公司网上期货信息系统技术指引
期货公司网上期货信息系统技术指引文章属性•【制定机关】中国期货业协会•【公布日期】2009.06.23•【文号】•【施行日期】2009.06.23•【效力等级】行业规定•【时效性】现行有效•【主题分类】期货正文期货公司网上期货信息系统技术指引各期货公司:经中国期货业协会(以下简称“协会”)第二届理事会第六次会议审议通过和中国证监会核准,现正式发布实施《期货公司网上期货信息系统技术指引》(以下简称《指引》),并就有关事项通知如下,请各单位遵照执行:一、各单位应按照《指引》要求,高度重视并进一步加强网上期货信息系统建设和管理工作,增强期货交易各环节的安全防护能力和保障水平,确保信息系统运行的安全、高效、稳定,确保投资者的交易安全和资金安全。
二、各单位应结合本单位实际情况,抓紧制订落实《指引》的工作方案。
工作方案应对网上期货业务的各技术环节进行统一规划、建设和管理,重点检查单位在网上期货业务职能设置、风险管理和风险揭示、系统安全防护、运营管理、应急处理和技术人员培训等方面的工作情况,认真查找问题和不足,提出具体改进措施,以切实推进和加强信息技术管理与规范,提高信息技术建设和安全运维、管理水平。
三、各单位应及时向协会反馈《指引》执行的实际工作情况、效果和存在的问题,不断改进和提升网上期货信息系统管理水平和技术水准。
协会将根据《指引》的要求适时组织开展行业技术培训和信息技术安全检查工作。
以上,特此通知。
中国期货业协会二○○九年六月二十三日期货公司网上期货信息系统技术指引第一章总则第一条为保障期货公司网上期货业务系统的安全运行,促进期货业务健康发展,保护投资者的合法权益,特制订本指引。
第二条本指引适用于开展网上期货业务的期货公司。
第三条期货公司应采取技术和管理措施,保证网上期货信息系统的安全性、可用性,确保网上期货业务的连续性、可靠性,保证客户信息的保密性、完整性。
第四条本指引中所涉及的名词定义如下:本指引中互联网是广义的互联网,不仅包括一般意义下的互联网,也包括可以与互联网进行IP报文交换的任意延伸网络,例如与互联网相连的私有网络,基于移动通讯的网络等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
证券期货业信息系统安全检查贯彻落实指引目录一、门户网站及网上交易系统(11项) (3)二、交易业务系统(7项) (9)三、备份措施(20项) (14)四、安全监控与管理(14项) (20)五、应急保障(9项) (28)一、门户网站及网上交易系统(11项)门户网站及网上交易系统因联接互联网,易成为不法分子攻击和干扰的目标,各单位应加强防范,关闭或删除门户网站及网上交易服务器上不必要的应用、服务、端口和链接;限制易被攻击、利用的网站栏目和功能;存在重大安全隐患,短期内无法解决的网站,应予以关闭。
证券、期货营业部如有自建的网站、论坛,应关闭或与其总部的网站合并。
1.1漏洞、木马、病毒检测1.1.1安装实时升级,在线扫描的木马、病毒防护软件目前病毒、木马种类繁多,危害极大,病毒程序发作可造成网络堵塞、系统瘫痪;被植入木马后会导致主机被控,进而以此为跳板对重要主机和网络设备发起包括拒绝服务式攻击在内的各种攻击行为,造成严重后果,威胁证券期货业信息系统的安全,因此,安装正版的防木马、病毒软件,并及时升级非常重要。
1、各单位应对所有服务器和终端设备安装正版的防木马、病毒软件;对于因防病毒软件与应用软件冲突或其他原因(如有的操作系统下无防病毒软件)不能安装防病毒软件时,应采取其它措施(如限制程序执行权限等)加以保护,防止感染病毒。
2、对服务器进行病毒库升级和给系统打补丁时,应先测试通过后再进行升级;各单位应在内部办公网内建立专门的防病毒服务器和操作系统补丁分发服务器(针对WINDOWS平台),统一到互联网上获取最新病毒定义码和操作系统补丁,并将更新情况形成日志文件;其它设备应统一从专门服务器获取最新病毒定义码和系统补丁。
对于在交易业务网内的服务器和终端设备升级,应通过定期下载补丁包和病毒库升级包,在能够保证安全、专用的机器上刻录成只读光盘(留档保存一个月),再到交易业务网对服务器和终端设备进行手工升级。
3、服务器、终端设备应采取实时扫描机制,禁止在交易时间内对服务器进行全面病毒扫描,以免因占用系统资源,引起系统性能和稳定性下降。
对新上线的设备必须在接入运行网络前安装防毒软件,并进行一次全面扫描检测。
1.1.2建立定期扫描并修补漏洞的工作制度操作系统和应用程序中不可避免存在各种漏洞,随着时间的推移会不断暴露出来;此外,在系统建设和使用的过程中防火墙、网络设备和服务器的配置和参数设置不当(如使用缺省的用户名和口令等配置),也会留下安全隐患。
因此建立定期扫描并修补漏洞的工作制度,形成定期检查、发现问题、修补漏洞的机制是必要的。
1、工作制度应当明确负责进行此项工作的责任人员和工作职责,扫描检测的内容和程序,端口和漏洞的扫描工具,扫描检测的频率(不得少于每月一次),扫描检查结果的处理情况,针对发现漏洞制定的整改方案和整改结果,并保存文档备查。
2、对新上线的设备必须在接入运行网络前进行全面扫描检测。
3、对行业内通报的重大安全隐患,应立即进行专项安全检查。
4、负责安全管理的责任人员要对防火墙、入侵检测、路由器等网络和安全设备的接口参数、过滤规则进行梳理,修正不当配置;对服务器上的应用服务进行排查,关闭与业务无关的服务。
5、如公司自身能力不足,应在工作制度中明确规定,外聘安全服务机构协助完成。
1.1.3对网站进行全面检查,消除sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网页未使用HTTPS加密机制等安全隐患SQL注入漏洞是由于网站服务器脚本未限制特殊字符,未限制最大长度,也未隐藏报错信息导致的,黑客通过提交包括特殊字符的sql语句,绕过执行条件,输入超出数据库字段长度的值导致报错,从没有隐藏的报错信息得到库表结构等敏感信息,进而分析数据库类型、发现WEB虚拟目录,上传ASP木马,获得管理员权限。
弱口令指简单且容易被黑客利用软件破解的口令。
绕过验证攻击指由于网站后台管理系统的验证过程存在隐患,黑客利用特殊的字符串组合绕过登陆验证,从而获取网站管理权限。
目录遍历攻击指利用对网站服务器操作系统中网站服务系统的设置、缺省用户权限控制、网站管理系统编程等缺陷,访问在正常情况下受限制的目录,并在Web服务器的根目录以外执行命令,进而危及网站安全。
文件上传攻击指利用网站提供的文件上传功能,通过Web页面提交到网站服务器上,如网站未对上传文件进行任何限制,不法分子可上传并执行有安全问题的文件,进而获得服务器控制权。
下单网页未使用HTTPS加密机制可导致用户名、口令,交易指令被截取等安全隐患。
以上几种典型的网站安全隐患,一旦发生会导致网络堵塞、系统瘫痪、主机被控、敏感信息泄露,甚至会引发黑客以网站为跳板对重要主机和网络设备发起包括拒绝服务式攻击在内的各种攻击行为,造成严重后果,威胁证券期货业信息系统的安全。
因此,消除这些安全隐患是非常重要的。
针对网站的安全隐患,应进行但不限于以下工作:1、及时更新操作系统安全补丁,关闭无关服务、网络端口。
2、数据库管理、网站操作系统、网站后台管理等重要用户的口令长度不低于12位,并采用数字、字母、符号混排的方式;限制这些用户不必要的权限;删除操作系统及服务模块默认管理用户帐号。
3、对服务器的逻辑磁盘和默认目录应当设定权限,合理设置逻辑磁盘、目录属性;应将网站目录和文件所在逻辑磁盘与操作系统所在逻辑磁盘分离;如果已经安装在一个逻辑磁盘,应该将重要系统文件移动到其它目录中加以隐藏。
4、在网页脚本中对用户输入内容进行长度、格式、类型、特殊符号、内容等项目的检查。
5、对上传文件进行大小、属性、类型等限制,并检查其安全性;对数据存储过程加密;设置网站程序运行出错信息页面,防止直接将错误信息返回客户端。
6、禁用TRACE或TRACK等用来调试web服务器连接的HTTP方式。
7、下单网页应采用HTTPS加密机制。
8、如公司自身能力不足,应在工作制度中明确规定,外聘安全服务机构协助完成。
1.2门户网站和网上交易系统隔离1.2.1对门户网站和网上交易系统进行严格隔离由于门户网站系统易受到来自互联网的攻击,如未与网上交易系统进行严格隔离,黑客可将被控制的门户网站服务器作为跳板对网上交易系统发起各种攻击行为,造成严重后果,威胁网上交易系统的安全。
因此,对门户网站和网上交易系统进行严格隔离是十分必要的。
1、门户网站和网上交易系统应部署在不同的物理服务器上。
2、门户网站和网上交易系统应使用独立的网络设备、安全设备。
3、在防火墙上应做安全访问策略,阻止门户网站与网上交易系统间的通讯。
1.2.2 对网上交易下单网页和网上交易后台数据库进行严格有效隔离网上交易下单网页是网上交易系统的一个重要组成部分,应通过网上交易网关、专用中间件、防火墙等控制措施访问核心交易数据库。
1.3 对网站下载的网上交易客户端软件进行严格防护,防止被捆绑木马程序目前通过互联网进行证券、期货交易的投资者越来越多,如果网上交易客户端软件被捆绑木马程序,可导致客户交易被控,产生盗买盗卖行为,确保网上交易客户端软件安装包的安全性和可靠性,是保障投资者权益和维护证券、期货公司交易系统安全重要手段之一。
因此,进行严格防护是非常重要的。
1、各单位应建立网上交易客户端软件制作和发布的管理机制,明确软件发布流程,落实责任人员,保证软件的安全性和可靠性。
2、应采用工具实时对网上交易客户端软件进行文件安全性检查,防止所提供网上交易软件被篡改和破坏,并可选择采取水印或MD5码验证等措施。
1.4端口限制和远程管理1.4.1 在防火墙和服务器上关闭与业务无关的端口网络攻击者往往会利用被攻击对象缺省安装时启动的服务进行攻击,因此,关闭服务器上与业务无关的服务和端口可以大大减少攻击者的攻击手段。
WINDOWS服务器往往有很多服务和端口无法关闭,需要利用防火墙进行保护,因此,防火墙也需要关闭与业务无关的端口。
建立防火墙和服务器上服务端口的审核制度,及时关闭与业务无关的端口,是抵御网络攻击的重要手段之一。
1、审核制度应明确负责进行此项工作的责任人员和工作职责等。
2、对新上线的服务器的服务和端口以及需在防火墙上开放的端口应根据业务实行审核和批准制度,并留档备查。
3、应建立业务端口明细表,并及时更新,作为重要文档保存。
1.4.2 禁止通过互联网对防火墙、网络设备、服务器进行远程管理和维护通过互联网对防火墙、网络设备、服务器进行远程管理和维护,需要对来自互联网的电脑开放所需的地址、端口、协议以及管理账户和密码,而不法分子也可利用开放的管理界面进行网络入侵,在方便自己的时候,也为不法分子敞开了大门,整个公司的交易业务系统将毫无安全可言。
因此,原则上必须禁止通过互联网对防火墙、网络设备、服务器进行远程管理和维护。
但是,为及时解决交易业务系统运行中出现的故障和问题,需要软件、硬件、服务供应商临时进行远程维护,因此,建立对远程维护的管理制度和工作流程是非常重要的。
1、远程维护的管理制度和工作流程应明确负责进行此项工作的责任人员和工作职责,限制远程维护方式、时间、维护内容、维护人员、登录地址,对维护全过程进行监控并记录相关日志,存档备查。
2、远程维护结束后,应及时关闭远程维护所需地址、端口和协议,修改远程维护登录用户名与密码。
1.5 访问控制与审计采用可靠的身份认证、访问控制和安全审计措施,防止来自互联网的非法接入和非法访问目前通过互联网进行证券、期货交易的投资者越来越多,而互联网的交易中需要确保交易的不可否认性、交易安全性等重要内容,因此采用可靠的身份认证、访问控制和安全审计措施,对于核实投资者身份并确保交易不可否认,拒绝非法的接入和访问,对访问的内容和行为采取有效控制等是十分必要的。
1、可靠的身份认证措施包括但不限于账号口令、动态口令、数字证书、随机校验码、双因素认证等。
2、访问控制措施包括但不限于网络、应用等访问权限的控制。
3、安全审计措施包括但不限于对来访者各类行为的记录,对来访者行为的异常情况的处置措施等内容。
1.6 网页安全和下载1.6.1对网页采取防篡改等措施由于网站位于互联网上,一旦网页被篡改并扩散有可能对国家安全以及社会安定团结造成严重危害,因此各单位应加强网页内容管理,严格检查,采取防篡改措施,可选择但不限于以下方式:1、外挂轮询技术。
指利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。
2、核心内嵌技术。
指将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。
3、事件触发技术。
指利用操作系统的文件系统接口,在网页文件被修改时进行合法性检查,对于非法操作进行报警和恢复。
4、当以上技术无法达到网页防篡改的目的时,应及时关闭相关网页或整个网站。