JR_T 0060-2010证券期货业信息系统安全等级保护基本要求（试行）.pdf

1CGS 03. 060JRA11备寓号中华人民共和国金融行业标准JR/券期货业信息系统安全等级保护基本要求（试行）Securities and futures industryBaseline for classified protection of information system(Trial basis)2011-12-22 发布2011-12-22实施中国证券监督管理委员会发布 - JR/T 0060—20105,1.2.2,访问控制(61)本项要求包括：a)应在网络边界部署访间控制设备，启用访间控制功酯：(q应根据访间控制列表对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数据包出入！c)应通过访间控制列表对系统资源实现允许或拒绝用户访问，控制粒度至少为用户组。.网络设备防护（G1)本项要求包括：a)应对登录网络设备的用户进行身份鉴别：应测除歌认用户或修政取认用户的口令，根据管理需要开设用户，不得使用缺省口令、空口今、口今。应具有登录失败处理功能，可采取结束会话、限制非法叠录次数和当网络登录连接超时自动退出等措施：c)当对网络设备进行运程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听5.1.3.主机安全5,.1.3.1.身份显别（S1)应对登录损作系统和数指库系统的用户进行身份标识和鉴别。5,1.3.2.访问控制（S1)本项要求包括：a)应启用访间控制功能，依据安全策略控制用户对资源的访间：应限制默认账户的访问权限，重命名系统款认联户，修改这些账户的默认口令：1）累统无法修改动问权服的特球跌认踪户，可不修改访网权限；2）系统无法重命名的特殊跃认账户，可不重命名，c)应及时剩除多余的、过期的账户，避免共享账户的存在。.入侵防范（61)操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并保持系统补丁及时得到更新.持续跟踪厂商提供的系统升级更新情况，应在经过充分的测试评估后对必要的系统补了适行及时更新。.忌意代码防范（01)应安装防恶意代碍软件，并及时更新防恶意代码款件版本和恶意代码库。1）原则上所有主机应安载防愿意代码教件，不支持的主机操作系统除外；2）未安装防恩意代码款件的主机，应采取有效措施遗行愿意代码防范。 JR/T 006020105,1.4.应用安全5,1.4.1.身份监别（S1)本项要求包括：a)应提供专用的登录控制模换对登录用户避行身份标识和鉴别：b)应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；c)应启用身份整别和登录失败处理动能，并根据安全策路配置相关参数。.访间控制（S1)本项要求包括：应提供访问控制功能控制用户组/用户对系统功能和用户数据的访间；b)应由投权主体配置访间控制策路，并严格限制默认用户的访间权限，.通信完整性（S1)应采用约定通信会话方式的方法保证通信过程中数据的完整性。.款件容错（A1)应提供数据有效性检验功能，保证通过人机接口辑入或通过通信接口输入的数据格式或长度符合系线设定要求。5.1.5.数据安全及备份恢复5,1.5,1.数据完整性（S1)应能够检测到重要用户数据在传输过程中完整性受到破环。.备份和恢复(A1)应能够对重要信息进选行备份和恢复，5.2管理要求5,.2.1.安全管理制度.管理制度（G1)应建立日常管理活动中常用的安全管理制度。.制定和发布（61)本项要求包括：a)应指定或授权专门的人员负责安全管理制度的制定：应将安全管理制度以某种方式发布到相关人员手中。 5 JR/T 006020105.2.2.安全管理机构.岗位设置（61)应设立系统管理员、网络管理员、安全管理员等岗位，并定义各个工作岗位的职费。5,2.2.2.人员配各（01)应配备一定数量的系航管理员、网络管理员、安全管理员等。5,2.2.3.授权和审批（61)应根据各个部门和岗位的职责明确授权审批部门及批准人，对系统投入运行、网络系统接入和重要资源的访问等关键活动进行审批。重要审批校权记录应留粘备查，.沟通和合作（61)座加强与兄弟单位、公安机关、电信公司的合作与沟通。应加强与见弟单位、会安机关、通信速营商、供电部门、银行等单位和部门的合作与沟通.5.2.3.人员安全管理.人员录用（G1)本项要求包括：a)应指定或授权专门的部门或人员负责人员录用：b)应对被录用人员的身份和专业资格等进行审查，并确保其具有基本的专业技术水平和安全管理知识。5,2.3.2.人员离岗（G1)本项要求包括：a)应立即终止由于各种原固离岗员工的所有访间权限：b)应取回各种身份证件、钥匙、微章等以及机构据供的软硬件设备，.安全意识教育和培训（G1)本项要求包括：a)应对各类人员进行安全意识教育和岗位技能培训：b)应告知人员相关的安全责任和想减