网络信息系统安全检查表

1、期货网络信息系统安全检查为建立健全证券期货业网络与信息安全事件应急工作机制，提高行业应对网络与信息安全事件的应急处置能力，预防和减少网络与信息安全事件造成的损失和危害，维护资本市场稳定和健康发展， 维护国家金融安全和社会稳定，保护投资者合法权益，特成立网络信息安全检查小组对我司信息技术部网络信息安全进行 专项检查。受检查单 位部门检查日期检查小组成员名单检查小组组长 签字受检单位技术负责人签字受检单位负责人签字检查情况 备注检查项目检查内容检查结果备注1门 户 网 站 及 网 上 交 易 系 统1. 漏洞、木马、病毒检测1.是否安装了实时升级，在线扫描的木马、 病毒防护软件口是否2.是否建立了

2、定期扫描并修补漏洞的工作制 度口是否3.是否对网站进行了全面检查，消除了sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网贝未使用HIIPS加密机制等安全隐患口是否2.门户 网站和 网上交 易系统 隔离1.门户网站和网上交易系统是否进行了严格 隔离口是否2.网上交易下单网贝和网上交易后台数据库 之间是否进行了严格有效隔离口是否3.交易软件客 户端下 载是否对通过网站下载的网上交易客户端软件 采取了严格的防护措施，能够防止被捆绑木 马程序口是否4.端口限制和 远程管 理1.是否在防火墙和服务器上关闭了与业务无 关的端口口是否2.是否禁止了通过互联网对防火墙、网络设 备、服务器进行远

3、程管理和维护口是否5.访问控制与 审计是否米用了可靠的身份认证、访问控制和安 全审计措施，防止来自互联网的非法接入和 非法访问口是否6.网页安全1.是否对网页米取了防篡改等措施口是否2.是否对网页内容米取了监控、过滤机制口是否2交 易 业 务 系 统1.网络隔离1.是否对交易业务网和内部办公网实施了物 理隔离口是否2.处理交易业务的计算机终端和移动存储介 质是否专网专用，不允许访问互联网口是否3.是否米用了可靠的身份认证、访问控制和 安全审计措施，防止来自内部或现场交易的 非法接入和非法访问口是否4.是否在核心交易业务网和非核心交易业务 网之间米取了有效的隔离措施，确保在外围 系统被攻击的情况

4、下，核心交易业务网能够 安全运行口是否2.交易业务系统维护是否制订了交易业务系统主机、存储设备、 网络设备的监控和维护计划，并有监控维护 记录口是否3.系统评估公司内部是否对交易业务系统的可靠性和安 全性有定期评估制度，并有评估报告口是否4.系统升级在对交易业务系统进行的重大升级和更新前 是否制订了详细的升级方案口是否3备 份 措 施1.灾难备份和 故障备 份1.是否对交易业务系统进行了故障备份口是否2.是否对交易业务系统进行了问城灾难备份口是否3.是否对交易业务系统进行了异地灾害备份口是否2.主机备份1.对重要主机、处理机和存储设备等关键设 备是否建立了备份机制,并有备机备件口是否2.在主机

5、和处理机出现故障时能否实现主备 机及时切换，不影响交易口是否3.数据备伤1.是否有完整的数据备份策略口是否2.是否对交易业务等关键数据进行每日备份口是否3.备份数据是否异地存放，安全保管口是否4.是否对备份数据的有效性进行了验证，以 保证备份数据在应急恢复时有效口是否4.网络备份1.是否对交易业务系统的主干网络设备建立 了备份机制，并有备机备件口是否2.发生故障时，主干网络设备是否町以实时 切换，不影响交易口是否5.通讯备伤1.是否对通讯设备建立了备份机制，有备机 备件口是否2.是否对重要的通讯线路有冗余备份线路口是否3.发生故障时，通信备份线路是否可以及时 切换，不影响交易口是否6.电力备份

6、1.是否采用了双路供电口是否2.是否采用了 UPS后备电源口是否3.是否配备或租赁了发电机设备作为备份， 并掌握操作要领口是否4.发生故障时，电力设备能否实时切换，不 影响交易口是否7.空调备份1.是否建立了空调备份机制，有备用空调机口是否2.在主用空调发生故障时，备用空调机是否 能够及时启用口是否4安 全 监 控 与 管 理1.实时监控1.是否配备了监控设备和人员，对交易业务 网内的服务器、主干网络设备的性能进行24小时实时监控，并形成监控记录口是否2.是否对交易、结算、银证业务等交易业务 运行情况进行24小时不间断监控，并形成监 控记录口是否3.是否对网络流量、网站内容等米取了24小时监控

7、措施，并形成监控记录口是否2.日志检查和 分析1.是否定期对关键网络、安全设备和服务器 日志进行备份口是否2.是否定期对关键网络、安全设备和服务器 日志进行检查和分析，形成记录口是否3.权限和口令1.是否对交易业务服务器、主干交换设备等 关键设备按最小安全访问原则设置访问控制口是否管理权限，并及时清理冗余系统用户，正确分配 用户权限2.是否建立了有效的口令管理制度，有修改 操作系统、数据库及应用系统管理员口令的 记录口是否3.登录口令修改频率是否不彳氐于每月一次口是否4.登录口令长度是否不低于 12位，并米用数 字、字母、符号混排的方式口是否5.是否对交易业务服务器、主干网络设备、安全设备等的

8、管理和维护采取了限制IP登录的管理措施口是否4. 病毒、木马监控是否对业务网和办公网安装了杀毒和防木马 软件，并进行定期升级和在线扫描口是否1.是否对机房进出人员进行了登记管理口是否5.机房安全2.是否对外来人员操作系统有陪同、审批和 监控制度口是否3.机房环境是否防静电、防水、防火、防盗、 防虫害、防潮、防震口是否1.应急小组是否成立了突发事件应急处理小组，明确了 事件报告人，并报当地证监局备案口是否52.应急值班制度是否建立了应急值班制度，并且应急值守人 员保持了 24小时电话通畅口是否应3.应急预案是否制定了应急处置预案口是否保障4.应急经费与 物资是否落实了应急经费与物资口是否5.系统文档是否制定了详细的系统管理配置文档口是否6.应急是否建立了详细的应急联系人文