网络与信息安全自查情况的报告(精)

1、国都证券有限责任公司文件 国都信字20111010号 关于网络与信息安全自查情况的报告 东城公安分局网安大队 : 根据贵局关于网络与信息安全自查的要求 , 国都证券有限责任公司组织有关部 门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行 了自查, 现将有关自查情况报告提交贵局审阅。 特此报告。 附件: 国都证券有限责任公司关于网络与信息安全自查情况的报告 二O一一年六月二十八日 主题词: 信息技术自查情况报告 内部抄送: 公司领导 , 综合管理部、人力资源部、 合规与风险管理部。 校对:李静波印制 :3 份 2011 年 6月 28日发 附件: 国都证券有限责任公司 关

2、于网络与信息安全自查情况的报告 东城公安分局网安大队 : 根据贵局关于网络与信息安全自查的要求 , 国都证券有限责任公司 ( 以下简称 “公司”或“我司”组织有关部门和人员对信息系统的安全管理制度、建设和全管 理、安全运营、应急管理等进行了自查 , 现将有关自查情况报告如下 : 一、信息安全总体情况 公司一直非常重视信息系统的安全管理工作。公司明确由信息技术中心负责信 息系统的安全管理工作 , 公司在信息系统的安全制度建设、安全管理机构、人员安 全管理、系统建设管理、系统运维管理等方面不断细化和完善, 公司信息系统总体 运行稳定 , 未发生重大网络与信息系统安全事件。 ( 一建立安全管理制度

3、公司 2010 年全面修订信息技术的相关管理制度 , 明确了信息技术管理组织框 架、信息安全管理的总体目标和原则。公司建立了信息技术安全管理办法 , 明确了 信息系统安全管理工作的重点为身份识别 ( 账户权限及密码、访问控制、漏洞管 理、病毒防范、日志管理、系统安全策略配置、信息安全事件处置等方面 , 明确了 安全管理操作的原则和规范。 公司安全管理制度的制定、修订和发布等均按公司有关制度的要规定进行 , 安 全管理制度由信息技术中心制定、修订 , 由合规与风险管理部及相关部门参与审核 公司通过发文的形式完成安全制度的发布 , 公司规定每年对制度进行一次梳理并酌 情进行修订。 ( 二明确安全管

4、理机构 公司明确了信息技术中心负责公司信息系统安全管理工作 , 信息技术中心设立 并配备了安全管理员、网络管理员、系统运维管理员等 , 公司总部各部门、北京交 易中心、上海灾备中心及各营业部均指定专人为安全管理联络员。系统的运行、网 络接入和重要资源的访问均通过公司 0A 办公系统进行审批，依据审批内容不同将分 别由部门负责人、主管公司领导等审批。公司通过电话、即时通信工具等及时进行 公司内部信息的沟通以及与公安、电信及兄弟单位等部门的沟通。 ( 三人员安全管理 公司由人力资源部负责人员的招聘和录用 , 公司明确禁止录用有犯罪或严重违 规行为记录的人员从事公司信息技术工作 , 公司与员工均签有

5、保密协议 , 在人员离职 时均要求办理交接手续并终止系统访问权限等 , 公司不断加强安全意识的教育与培 训工作 , 对信息技术中心关键岗位人员上岗前均进行必要的培训 , 公司制订了信息技 术事故认定与处理制度 , 规范了相关奖惩的措施。 ( 四系统建设管理 公司完成了主要信息系统安全的保护等级工作 , 相关信息系统的定级结果经证 监局核准后已报北京市公安局备案。 公司在系统建设时就网络设计、访问管理、应用安全等与厂商和有关部门进行 详细沟通 ,并结合公司情况及监管要求 , 审查厂商的方案是否符合公司安全管理要求 公司要求开发商提供的产品涉及密码产品的应提供国家有关部门的资质证书。公司 制定了信

6、息技术项目管理、采购的制度 , 明确了负责采购的部门为信息技术中心及 采购程序,公司在软件安装前通过N0D3防病毒系统进行病毒检测，但缺乏全面的恶 意代码检测机制。 公司规定了项目实施前应建立项目计划书并实施项目周报制度 , 公司由信息技术中心负责项目建设的管理工作 , 系统的测试工作由信息技术中 心协调有关部门工作完成。公司规定了信息系统上线前厂商应提供的有关文档资料 并安排厂商对公司有关部门和人员进行必要的运维和使用的培训。 公司对信息系统涉及的网络、设备、应用等根据系统运行情况进行必要的巡查 总体来看 , 公司信息系统安全状况基本达到安全等级保护的要求 , 但是公司网站等需 要进一步完善

7、安全管理措施,即将建设硬件防病毒网关与更新高性能的 WEB应用防 火墙 , 均已完成立项工作。 公司明确了信息系统安全建设的主管领导、责任部门和相关责任人员 , 公司在 相关系统的建设时分析其对公司网络资源、访问控制、使用管理等可能出现的问题 并尽可能改进有关安全管理的措施 , 确保系统安全稳定运行。 公司购置了多种类型的安全硬件设备 ,并于 2010年部署了终端安全管理系统 , 与提供产品的多家安全厂商保持着常年合作的关系。在合作期间众厂商皆对我公司 的信息系统提供各类安全检查、威胁发现、整改建议等服务。 ( 五系统运维管理 公司制定了机房与运行环境管理办法对有关机房物理访问、人员及设备进出

8、机 房、基础环境、开关机要求等仅进行了规范 , 信息技术中心明确具体人员负责有关 操作和监控。 公司制定了信息技术设备管理办法及固定资产管理办法 , 对信息技术设备的登 记、使用、关键设备的管理及处置等进行了规范 , 公司综合管理部对公司信息技术 设备进行盘点和登记。 公司制定了信息系统数据管理办法 , 对数据的备份与恢复、数据的访问及有关 操作进行了规范 , 根据信息系统及数据的重要程度分别 采用硬盘、光盘并通过手工、自动等方式进行全量、增量的数据备份 , 对光盘 等存储介质进行异地保存。 公司制定了信息技术设备管理办法、网络管理办法 , 明确了相关设备及网路的 管理部门为信息技术中心及机房

9、负责人、网络管理员等 , 公司信息技术设备的选型 由信息技术中心负责 , 一般信息技术设备的采购由综合管理部负责 ,符合信息技术项 目采购管理办法的设备采购由信息技术中心负责 , 公司机房内关键设备的开启和关 闭均由各机房值班人员按开关机操作流程进行操作 , 未规定流程的操作应经机房负 责人同意后进行操作。 公司制定了网络管理办法等制度 , 对网络安全配置、日志保存时间、安全策 略、升级与打补丁、口令更新周期等方面进行了规定 , 公司设立网络管理员负责网 络运行日志、网络监控记录的日常维护和报警信息分析和处理工作 , 网络管理员每 季度对网络系统进行漏洞扫描 , 对发现的网络系统安全漏洞采取措

10、施进行修补 , 并备 份有关配置，公司与外部系统的连接均通过0A办公系统有关流程进行审批得到授权 和批准; 公司制定了信息系统权限管理制度 , 公司相关系统的访问控制策略根据最小化 原则通过审批后才赋予相关用户 , 公司根据信息系统运行情况不定期进行漏洞扫描 , 对发现的系统安全漏洞在保证公司系统稳定运行的情况下在与信息系统安全管理员 及相关厂商沟通后酌情进行修补 , 因系统实时性要求较高 , 公司未全面开启有关设备 和系统的审计功能 ,公司每天对系统运行情况进行实时的监控和巡检 ,并根据情况对 有关日志进行不定期的分析。 公司安装了 N0D3网络版防病毒系统、亿阳网管终端安全管理系统并由安全

11、管 理员管理 , 公司要求所有外来设备在接入网络前进行检查 , 公司严格控制外来设备接 入交易网 , 公司信息技术安全管理办法 对防恶意代码软件的授权使用、 恶意代码库升级、 汇报等作出了规定。 公 司制定了信息系统密码管理办法及系统变更管理办法， 公司在 信息技术项目采购 时对涉及密码内容的， 均要求厂商出具由证明产品 符合国家主管部门要求的资质 证书等， 公司系统变更管理办法对系统 变更的角色、程序、版本、操作等进行了 规范，重大升级均通过公司 0A 系统进行审批并在通过业务和技术为测试后进行。 公司根据系统的重要性等分别进行系统级的热备、温备、冷备、 灾备措施，公司 制定了信息系统灾备管

12、理办法，明确了灾备启动和恢 复的条件、程序、操作流程 等，公司信息系统数据管理办法，对数据 的备份与恢复的周期、介质、保存等进 行了规范。 公司制定了信息技术事故认定与处理制度和风险报告制度， 规定 了 信息技术安全事件的处理及报告程序， 公司信息技术安全事件的报 告以风险控制 单的形式通过 0A 办公系统流转。 公司制定了网络与信息安全事件应急预案，预 案对决策体系、启 动条件、信息的报告和发布、不同情况的应急处理程序、演练 及培训 等进行了基本的规范， 公司集中交易及相关系统每年最少进行两次包 括 上海灾备中心、营业部的全网演练。 （六） 重要信息系统情况 公司本次自查了 呼叫中心系统、法

13、人清算系统、集中交易系统、 门户网站、网上交易系统以及投 资与客户资产管理系统， 6 个系统在 数据安全、网络安全、物理安全、应用安 全、主机安全几个方面基本 符合有关安全管理的要求，其中门户网站、网上交易 系统部署在 IDC 托管机房，其他 4 个系统分别部署在北京交易中心机房、北京总 部中 心机房，各系统公司均安排专门的系统维护人员，运维人员在每个交 易日定 时进行系统巡检，发现异常及时处理和报告，系统通过身份鉴 别、权限控制、网 络控制、数据备份、线路和设备的冗余以及机房的 5 安全控制等基本保证信息系统安全稳定运行。 二、 存在问题 通过对公司网 络与信息安全自查，公司在以下方面存在不

14、足： （一） 信息安全培训力度不够 公司基本在员工入职时进行信息系统安全的培训， 此后较少进行 有关安全使用的 培训，为强化员工安全意识，公司应该每年至少进行 一定次数的信息系统安全使 用的培训。 （二） 软件漏洞检测不全面 公司目前未进行全面的信息系统安全漏 洞检测， 一般情况下只进 行病毒检测，因行业内厂商基本不提供前端的源代码， 所有也基本无 法审查是否存在后门的要求，仅要求厂商做出不存在后门的承诺。 （三） 系统自查不完善 公司没有进行每半年组织一次信息系统安全自查工作， 虽然公司 对网络、设备、系统均进行不定期的检查、实时监控和巡检等工作， 但 未专门组织系统安全自查工作。 （四）

15、审计管理不完善 因相关系统运行的安全 稳定问题，公司未开启有关操作系统、数 据库的全部审计功能，同时各应用系统 自身的审计功能也不是很完 善，有的仅仅记录的用户的登录和退出等。 （五） 网站缺乏更有效地防入侵及检测设备 公司 2009 年从绿盟科技购置了应用防火墙 WAF60，0 此设备功能 与性能基本上可满足目前门户网站的安全需要， 但随着来自 互联网的 各类新型安全威胁越来越突出， 有可能使公司的门户网站造成严重的 破坏。 三、 整改计划 （一） 加强信息安全培训力度 6 公司开始每年进行至少一次的信息系统安全使用培训， 公司将在 2012 年制 定培训计划时安排此项工作，培训内容将根据公

16、司信息系 统运行和使用中的问题 选定，主要包括系统补丁安装、系统漏洞检测、防病毒软件的使用、数据的备 份、安全上网等。 责任人：李静波 （二）完善软件漏洞检测 公司将根据系统的 情况逐步实现信息的安全漏洞工作。公司将在2011年年底前安排有关厂商对门 户网站进行漏洞检测，并根据检测 的结果，要求开发商进行系统安全加固工作， 此项工作每年将至少执行一次。责任人：孙育红、李静波（三）增强系统安全 自查工作 公司将由信息技术中心牵头，每年至少一次对全公司各类信息系 统进 行全面的安全检查工作，包括但不仅限于网络、设备、应用系统等。责任人：王 士军、李静波、杨炯 逐步完善审计管理工作（四）逐步完善审计管理工作 因公 司交易系统实时性要求极高，本着谨慎的原则，公司将进一步与厂商、其他证券 公司沟通就审计功能开启问题进行沟通，在确保系统安全稳定运行的前提下，逐 步开启必要的审计功能，同时与各信 息系统开发商沟通，要求其完善自身应用的审 计功能等。 责任人：各系统负责人 （五）完善门户网站安全机制的建设 公司门 户网站是对外信息发布的窗口，是与外界进行网络沟通的 桥梁，也是未来广大用 户办理业务的便捷通道，它的正常与否将直接关系到运营商提供的服务质量及其 公众形象。公司对于此系统的安全7 建设相当重视，已立项购置硬件防病毒