证监会信息系统安全检查贯彻落实指引

1、证券期货业信息系统安全检查贯彻落实指引目 录 TOC o 1-3 h z u HYPERLINK l _Toc29502548 一、门户网站及网上交易系统（11项） PAGEREF _Toc29502548 h 3 HYPERLINK l _Toc29502549 二、交易业务系统（7项） PAGEREF _Toc29502549 h 9 HYPERLINK l _Toc29502550 三、备份措施（20项） PAGEREF _Toc29502550 h 14 HYPERLINK l _Toc29502551 四、安全监控与管理（14项） PAGEREF _Toc29502551 h 20

2、HYPERLINK l _Toc29502552 五、应急保障（9项） PAGEREF _Toc29502552 h 28门户网站及网上交易系统（11项）门户网站及网上交易系统因联接互联网，易成为不法分子攻击和干扰的目标，各单位应加强防范，关闭或删除门户网站及网上交易服务器上不必要的应用、服务、端口和链接；限制易被攻击、利用的网站栏目和功能；存在重大安全隐患，短期内无法解决的网站，应予以关闭。证券、期货营业部如有自建的网站、论坛，应关闭或与其总部的网站合并。 1.1漏洞、木马、病毒检测1.1.1安装实时升级，在线扫描的木马、病毒防护软件目前病毒、木马种类繁多，危害极大，病毒程序发作可造成网络堵

3、塞、系统瘫痪；被植入木马后会导致主机被控，进而以此为跳板对重要主机和网络设备发起包括拒绝服务式攻击在内的各种攻击行为，造成严重后果，威胁证券期货业信息系统的安全，因此，安装正版的防木马、病毒软件，并及时升级非常重要。1、各单位应对所有服务器和终端设备安装正版的防木马、病毒软件；对于因防病毒软件与应用软件冲突或其他原因（如有的操作系统下无防病毒软件）不能安装防病毒软件时，应采取其它措施（如限制程序执行权限等）加以保护，防止感染病毒。2、对服务器进行病毒库升级和给系统打补丁时，应先测试通过后再进行升级；各单位应在内部办公网内建立专门的防病毒服务器和操作系统补丁分发服务器（针对WINDOWS平台），

4、统一到互联网上获取最新病毒定义码和操作系统补丁，并将更新情况形成日志文件；其它设备应统一从专门服务器获取最新病毒定义码和系统补丁。 对于在交易业务网内的服务器和终端设备升级，应通过定期下载补丁包和病毒库升级包，在能够保证安全、专用的机器上刻录成只读光盘（留档保存一个月），再到交易业务网对服务器和终端设备进行手工升级。3、服务器、终端设备应采取实时扫描机制，禁止在交易时间内对服务器进行全面病毒扫描，以免因占用系统资源，引起系统性能和稳定性下降。对新上线的设备必须在接入运行网络前安装防毒软件，并进行一次全面扫描检测。1.1.2建立定期扫描并修补漏洞的工作制度操作系统和应用程序中不可避免存在各种漏洞

5、，随着时间的推移会不断暴露出来；此外，在系统建设和使用的过程中防火墙、网络设备和服务器的配置和参数设置不当（如使用缺省的用户名和口令等配置），也会留下安全隐患。因此建立定期扫描并修补漏洞的工作制度，形成定期检查、发现问题、修补漏洞的机制是必要的。1、工作制度应当明确负责进行此项工作的责任人员和工作职责，扫描检测的内容和程序，端口和漏洞的扫描工具，扫描检测的频率（不得少于每月一次），扫描检查结果的处理情况，针对发现漏洞制定的整改方案和整改结果，并保存文档备查。2、对新上线的设备必须在接入运行网络前进行全面扫描检测。3、对行业内通报的重大安全隐患，应立即进行专项安全检查。4、负责安全管理的责任人员

6、要对防火墙、入侵检测、路由器等网络和安全设备的接口参数、过滤规则进行梳理，修正不当配置；对服务器上的应用服务进行排查，关闭与业务无关的服务。5、如公司自身能力不足，应在工作制度中明确规定，外聘安全服务机构协助完成。1.1.3对网站进行全面检查，消除sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网页未使用HTTPS加密机制等安全隐患SQL注入漏洞是由于网站服务器脚本未限制特殊字符，未限制最大长度，也未隐藏报错信息导致的，黑客通过提交包括特殊字符的sql语句，绕过执行条件，输入超出数据库字段长度的值导致报错，从没有隐藏的报错信息得到库表结构等敏感信息，进而分析数据库类型、发现WEB

7、虚拟目录，上传ASP木马，获得管理员权限。弱口令指简单且容易被黑客利用软件破解的口令。绕过验证攻击指由于网站后台管理系统的验证过程存在隐患，黑客利用特殊的字符串组合绕过登陆验证，从而获取网站管理权限。目录遍历攻击指利用对网站服务器操作系统中网站服务系统的设置、缺省用户权限控制、网站管理系统编程等缺陷，访问在正常情况下受限制的目录，并在Web服务器的根目录以外执行命令，进而危及网站安全。文件上传攻击指利用网站提供的文件上传功能，通过Web页面提交到网站服务器上，如网站未对上传文件进行任何限制，不法分子可上传并执行有安全问题的文件，进而获得服务器控制权。下单网页未使用HTTPS加密机制可导致用户名

8、、口令，交易指令被截取等安全隐患。以上几种典型的网站安全隐患，一旦发生会导致网络堵塞、系统瘫痪、主机被控、敏感信息泄露，甚至会引发黑客以网站为跳板对重要主机和网络设备发起包括拒绝服务式攻击在内的各种攻击行为，造成严重后果，威胁证券期货业信息系统的安全。因此，消除这些安全隐患是非常重要的。针对网站的安全隐患，应进行但不限于以下工作：1、及时更新操作系统安全补丁，关闭无关服务、网络端口。2、数据库管理、网站操作系统、网站后台管理等重要用户的口令长度不低于12位，并采用数字、字母、符号混排的方式；限制这些用户不必要的权限；删除操作系统及服务模块默认管理用户帐号。3、对服务器的逻辑磁盘和默认目录应当设

9、定权限，合理设置逻辑磁盘、目录属性；应将网站目录和文件所在逻辑磁盘与操作系统所在逻辑磁盘分离；如果已经安装在一个逻辑磁盘，应该将重要系统文件移动到其它目录中加以隐藏。4、在网页脚本中对用户输入内容进行长度、格式、类型、特殊符号、内容等项目的检查。5、对上传文件进行大小、属性、类型等限制，并检查其安全性；对数据存储过程加密；设置网站程序运行出错信息页面，防止直接将错误信息返回客户端。6、禁用TRACE或TRACK等用来调试web服务器连接的HTTP方式。7、下单网页应采用HTTPS加密机制。8、如公司自身能力不足，应在工作制度中明确规定，外聘安全服务机构协助完成。1.2门户网站和网上交易系统隔离

10、1.2.1对门户网站和网上交易系统进行严格隔离由于门户网站系统易受到来自互联网的攻击，如未与网上交易系统进行严格隔离，黑客可将被控制的门户网站服务器作为跳板对网上交易系统发起各种攻击行为，造成严重后果，威胁网上交易系统的安全。因此，对门户网站和网上交易系统进行严格隔离是十分必要的。1、门户网站和网上交易系统应部署在不同的物理服务器上。2、门户网站和网上交易系统应使用独立的网络设备、安全设备。3、在防火墙上应做安全访问策略，阻止门户网站与网上交易系统间的通讯。1.2.2 对网上交易下单网页和网上交易后台数据库进行严格有效隔离网上交易下单网页是网上交易系统的一个重要组成部分，应通过网上交易网关、专

11、用中间件、防火墙等控制措施访问核心交易数据库。1.3 对网站下载的网上交易客户端软件进行严格防护，防止被捆绑木马程序目前通过互联网进行证券、期货交易的投资者越来越多，如果网上交易客户端软件被捆绑木马程序，可导致客户交易被控，产生盗买盗卖行为，确保网上交易客户端软件安装包的安全性和可靠性，是保障投资者权益和维护证券、期货公司交易系统安全重要手段之一。因此，进行严格防护是非常重要的。1、各单位应建立网上交易客户端软件制作和发布的管理机制，明确软件发布流程，落实责任人员，保证软件的安全性和可靠性。2、应采用工具实时对网上交易客户端软件进行文件安全性检查，防止所提供网上交易软件被篡改和破坏，并可选择采

12、取水印或MD5码验证等措施。1.4端口限制和远程管理1.4.1 在防火墙和服务器上关闭与业务无关的端口网络攻击者往往会利用被攻击对象缺省安装时启动的服务进行攻击，因此，关闭服务器上与业务无关的服务和端口可以大大减少攻击者的攻击手段。WINDOWS服务器往往有很多服务和端口无法关闭，需要利用防火墙进行保护，因此，防火墙也需要关闭与业务无关的端口。建立防火墙和服务器上服务端口的审核制度，及时关闭与业务无关的端口，是抵御网络攻击的重要手段之一。1、审核制度应明确负责进行此项工作的责任人员和工作职责等。2、对新上线的服务器的服务和端口以及需在防火墙上开放的端口应根据业务实行审核和批准制度，并留档备查。

13、3、应建立业务端口明细表，并及时更新，作为重要文档保存。1.4.2 禁止通过互联网对防火墙、网络设备、服务器进行远程管理和维护通过互联网对防火墙、网络设备、服务器进行远程管理和维护，需要对来自互联网的电脑开放所需的地址、端口、协议以及管理账户和密码，而不法分子也可利用开放的管理界面进行网络入侵，在方便自己的时候，也为不法分子敞开了大门，整个公司的交易业务系统将毫无安全可言。因此，原则上必须禁止通过互联网对防火墙、网络设备、服务器进行远程管理和维护。但是，为及时解决交易业务系统运行中出现的故障和问题，需要软件、硬件、服务供应商临时进行远程维护，因此，建立对远程维护的管理制度和工作流程是非常重要的

14、。 1、远程维护的管理制度和工作流程应明确负责进行此项工作的责任人员和工作职责，限制远程维护方式、时间、维护内容、维护人员、登录地址，对维护全过程进行监控并记录相关日志，存档备查。2、远程维护结束后，应及时关闭远程维护所需地址、端口和协议，修改远程维护登录用户名与密码。1.5 访问控制与审计采用可靠的身份认证、访问控制和安全审计措施，防止来自互联网的非法接入和非法访问目前通过互联网进行证券、期货交易的投资者越来越多，而互联网的交易中需要确保交易的不可否认性、交易安全性等重要内容，因此采用可靠的身份认证、访问控制和安全审计措施，对于核实投资者身份并确保交易不可否认，拒绝非法的接入和访问，对访问的

15、内容和行为采取有效控制等是十分必要的。1、可靠的身份认证措施包括但不限于账号口令、动态口令、数字证书、随机校验码、双因素认证等。2、访问控制措施包括但不限于网络、应用等访问权限的控制。3、安全审计措施包括但不限于对来访者各类行为的记录，对来访者行为的异常情况的处置措施等内容。 1.6 网页安全和下载1.6.1对网页采取防篡改等措施由于网站位于互联网上，一旦网页被篡改并扩散有可能对国家安全以及社会安定团结造成严重危害，因此各单位应加强网页内容管理，严格检查，采取防篡改措施，可选择但不限于以下方式：1、外挂轮询技术。指利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内

16、容的完整性，对于被篡改的网页进行报警和恢复。2、核心内嵌技术。指将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予以报警和恢复。3、事件触发技术。指利用操作系统的文件系统接口，在网页文件被修改时进行合法性检查，对于非法操作进行报警和恢复。4、当以上技术无法达到网页防篡改的目的时，应及时关闭相关网页或整个网站。1.6.2对网页内容采取监控、过滤机制由于网页内容中可能包含有对国家安全以及社会安定团结等造成严重危害的信息，一旦发布后会迅速扩散造成恶劣影响。各单位应加强对网页内容监控，对敏感信息采取过滤机制，并采取24小时不间断监控措施，可

17、选择但不限于以下措施：1、敏感关键字过滤。2、信息发布实行实名制或会员制。3、人工24小时监控所有最新发布的信息。4、关闭无法达到本条要求的信息发布模块。交易业务系统（7项）2.1网络隔离2.1.1 对交易业务网和内部办公网实施物理隔离交易业务网包括核心交易业务网和非核心交易业务网。核心交易业务网包括集中交易系统、网上交易系统、三方存管系统、清算系统、期货风控系统等系统；非核心交易业务网包括证券风控系统、财务系统、稽核系统、callcenter系统等业务系统。对于基金公司，交易业务网包括投资交易、注册登记、清算估值、基金销售等业务系统。交易业务网对于保证客户正常交易、数据安全可靠和公司各项业务

18、的开展至关重要，证券期货交易的实时性要求很高，要求系统具有极高的安全性与可靠性。内部办公网是指与交易业务无关，支持公司内部办公的网络和系统，一般都需要联接互联网，内部终端可以上网，收发电子邮件，易感染病毒，易被植入木马。如果交易业务网与内部办公网相联，一旦病毒爆发可能引起交易业务网络瘫痪、交易系统异常；如果终端被控，还可进而以此为跳板对与之相联的交易业务网系统发起各种攻击，造成严重后果。因此，为保证交易业务系统的安全，避免不必要的外部侵害，应将核心交易业务网和内部办公网络实施物理隔离，隔离各种可能针对交易业务系统发起的攻击行为，提高交易业务系统的安全性。对于证券、基金和期货公司总部网络：1、对

19、交易业务网和内部办公网实施物理隔离，要求交易业务网和内部办公网采取相互独立的主机设备、网络设备、安全设备，两网之间没有通讯。2、在交易业务网中，核心交易业务网和非核心交易业务网之间需要采取数据网关、防火墙等隔离措施进行逻辑隔离，以加强对核心交易系统的保护。对于证券营业部网络：营业部内部也分为交易业务网和内部办公网，要求两网物理隔离，两网没有网络数据交换。目前，通过互联网收取用于行情的资讯时，通讯终端应当采用串口、USB口，并口等隔离方式，通过单独通讯协议双机等方式接入到交易业务网，通讯终端应专机专用。期货营业部主要采用网上交易方式通过互联网进行交易，没有与总部专线相联，此检查项不适用。2.1.

20、2处理交易业务的计算机终端和移动存储专网专用，不允许访问互联网处理交易业务的计算机终端和移动存储介质，一旦在互联网上使用后，可能会感染病毒和木马，受到摆渡攻击，威胁交易主机和交易网络的安全。因此，各单位可采取但不限于以下措施：1、处理交易业务的计算机终端应禁止访问互联网，禁止安装未经安全测试的软件。2、处理业务用移动存储应禁止在可访问互联网的计算机终端上使用。3、对确需从互联网取得的数据，应在能够保证安全、专用的机器上刻录成只读光盘，再拿到交易业务网上使用。4、应加强对交易业务人员的计算机安全教育，严格执行使用管理规定。此检查项对于期货营业部不适用。2.1.3采用可靠的身份认证、访问控制和安全

21、审计措施，防止来自内部或现场的非法接入和非法访问可以参照1.5采用身份认证、访问控制和安全审计措施。1、无用信息点应与网络交换机端口断开。2、应关闭交换机闲置端口设置。3、对重要应用终端进行MAC地址与交换机进行绑定。4、可采取安全监控和管理软件对网络进行管理和监控，对非法接入及时报警并自动进行阻断。5、应定期对整个网络连接进行检查，检查是否存在因终端设备变更而导致存在冗余信息点未被及时处理的现象、临时开启的交换机端口未被关闭的现象。2.1.4 在核心交易业务网和非核心交易业务网之间采取有效的隔离措施，确保在外围系统被攻击的情况下，核心交易业务网能够安全运行核心交易业务网和非核心交易业务网之间

22、存在必要的数据交换，为确保在外围系统被攻击的情况下，核心交易业务网仍安全运行，必须保证数据交换是在可控制的情况下进行。1、核心交换机至少应使用三层交换机，并具备QOS及安全认证等功能。非核心交易网需经防火墙隔离后接入核心交换机，营业部网络同样需经防火墙后接入进入公司广域网。2、核心交易系统防火墙与营业部防火墙应使用不同厂商的产品。防火墙配置应以缺省拒绝所有访问的原则来配置，应通过地址转换与端口转换规则，保护总部的真实IP地址与端口。对需要进行数据通讯的源、目标IP地址和通讯端口、访问协议应建立明确的访问控制规则。3、核心交换机中应以VLAN方式将各个业务网进行隔离，并对不同VLAN的数据交换建

23、立源目标地址、端口、通讯协议的访问控制，并建立起端口与MAC地址绑定机制。对可能导致交换机本身瘫痪的安全威胁（如DOS攻击、ARP欺骗攻击、蠕虫病毒等），应通过配置业务流的优先级，对非法数据流进行限制或控制其流量，以达到对病毒或攻击的流量扩散的速度和危害程度的限制。4、防火墙、交换机、路由器的配置应合理搭配使用，避免把所有任务集中到某一台单一设备上完成，导致该设备负载过大，影响网络性能。5、当发生系统变更时，尤其是修改防火墙、核心交换机配置时，应评估是否对采取的隔离措施进行了破坏，必要时应进行测试，避免因系统变更导致安全策略失效。此检查项对于期货营业部不适用。2.2 交易业务系统维护制订交易业

24、务系统主机、存储设备、网络设备的维护计划，并对维护记录进行保存备查交易业务系统的主机、存储设备、网络设备是交易业务系统运行的关键设备，必须进行全面的维护和检查，排查可能存在的隐患，以确保其运行状态良好，避免因长时间运行而造成系统故障。1、维护计划的内容应明确负责进行此项工作的责任人员和工作职责、维护周期、维护项目、维护内容，记录维护日志，并留档备查。2、应至少每月一次对维护记录进行分析和整理，发现问题后应及时处置。3、应建立设备档案，并统计其使用出厂年限，对临近使用期限的设备应及时检查或更新。4、应采用监控设备对设备运行状态进行监控。2.3系统评估公司内部应对交易业务系统的可靠性和安全性有定期

25、评估制度，并有评估报告影响交易业务系统的可靠性和安全性因素诸多，主要因素有如下几个方面：1、由于市场发展，客户数量与业务量的不断发生变化会导致系统的设计容量不能够适应变化。2、各种系统设备也会因长期运行而发生老化，可靠性降低，故障发生概率增加。3、新的病毒、黑客攻击方式、系统漏洞出现，会使过去的安全策略失效。4、IT市场的激烈竞争，服务商的服务实力会不断发生变化，其产品也会出现更新换代，甚至反向的退化或消失，而使得后续服务无法得到保障。5、单位为保障交易系统安全运营制订的各项内部管理制度、操作流程未得到有效执行，而使安全管理机制失效。为保证系统的健康、持续运行，各单位应在单位内部针对以上五个方

26、面进行评估，并对结果出具评估报告，评估周期不得低于每季度一次。对上述五个方面任何一项，如发生重大变化，应立即进行专项评估。对评估报告中发现的潜在安全隐患，应进行详细论证，尽早处理，避免留下安全隐患。每年度各单位应对安全评估进行全面总结，经单位负责人、技术负责人签字确认后，报当地监管部门备案。本检查项证券营业部适用，期货营业部不适用。2.4系统升级在对交易业务系统进行的重大升级和更新前制订详细的升级方案系统升级（包括操作系统重大升级、应用系统升级、关键硬件设备更换等）属重大系统变更事项，如不进行严格管理，会有重大安全隐患。多次事故案例表明，系统的重大升级如未制订详细的升级方案草草进行，会酿成重大

27、安全事故。升级方案的建立应包含以下内容：1、应确定升级所影响到的相关硬件设备（服务器、网络设备、防火墙、交换机等）和相关应用系统的范围。2、应明确受影响硬件设备或应用系统所需要进行的相应变更，并认真评价这些变更是否会产生波浪效应而导致更大范围的变更，直到确定不再导致其他新的变更为止。3、对每一项变更进行认真评价其是否会影响到系统整体性能、是否会破坏原有安全策略等。4、针对因升级引起的每一项变更，设计相应的测试方案、明确测试工具、测试数据及测试结果的复核方法等。5、针对所做变更，设计相应的恢复步骤、恢复方法。6、组织网络管理员、安全管理员、系统管理员、数据库管理员、应用系统管理员、交易业务相关人

28、员进行测试方案和回退方案进行论证并进行完善，避免出现遗漏形成安全隐患。7、应根据整个测试方案所涉及到的内容，建立相应的升级工作小组，并明确各个成员的职责分工。8、除应严格执行升级方案的测试，还须完成恢复方案的测试，测试人员应包括网络管理员、安全管理员、系统管理员、数据库管理员、应用系统管理员、交易业务相关人员。9、应针对测试结果认真进行评估，以确定是否最终发布。整个过程应形成完整的技术文档，并妥善保存。系统升级后，应同步更新系统配置文档。备份措施（20项）证券期货业对于信息技术高度依赖,影响信息系统安全稳定运行的因素非常复杂，并难以控制。建立故障备份和灾难备份是提高系统可用性的重要方法。3.1

29、.灾难备份和故障备份由于灾难或灾害的原因，造成信息系统运行严重故障或瘫痪，信息系统支持的业务功能停顿或服务水平不可接受、达到特定的时间的突发性事件，通常导致信息系统需要切换到备用场地运行。灾难备份指为了灾难恢复而对数据、数据处理系统、网络系统、基础设施、技术支持能力和运行管理能力进行备份的过程。制定灾难备份方案要分析灾难可能对业务的冲击程度，要求灾难后的恢复时间，综合考虑人员、成本、技术和可操作性等方面的因素，在系统备份方案制定后，还必须反复论证，妥善实施。3.1.1 故障备份绝对的系统设备稳定是不存在的，故障备份指交易业务系统的重要设备、通信线路采取热备、温备、冷备等冗余备份方式，避免系统单

30、点故障；在发生设备故障时能及时切换到备用系统和备用线路上，保障系统业务运行的连续性。热备指设备双机同时在线运行，故障实时切换的备份方式；温备指备份设备处于运行状态，随时可接入生产系统，接管故障设备的备份方式；冷备指备份设备处于关机状态的备份方式。1、各单位在交易业务系统的规划和建设时应制订故障备份策略。2、故障备份策略应包括备份的范围、原则、方式以及备份切换的时间要求、人员责任等内容。3、各单位平时应加强演练，熟练操作故障时的系统切换流程，不影响交易业务的正常运行。3.1.2 同城灾难备份同城灾难备份指在同一城市建立了灾备中心，在发生因水、火、停电、恐怖事件等影响范围局限于同一建筑物的不可抗力

31、事件，造成主交易中心瘫痪时，能够及时切换到灾备中心，不影响核心交易业务的进行。3.1.3 异地灾害备份异地灾害备份指在主交易中心以外的地方建立灾害备份中心，在发生因主交易中心所在地受到地震、海啸、冰灾等重大灾害，造成主交易中心瘫痪时，能够及时切换，维持核心交易业务。如某证券公司，在四川地震后，及时启用其在异地的备用机房，保障了交易的正常运行；某期货公司，其总部机房遭火灾烧毁，启用异地灾备系统，保障了交易的正常运行。3.2 主机备份3.2.1对重要主机、处理机和存储设备等关键设备建立备份机制，并有备机备件主机、处理机和存储设备等关键设备是交易业务系统的核心设备，任何一个环节出现故障，会造成整个交

32、易系统瘫痪，交易业务无法正常开展，因此，对重要主机、处理机和存储设备等关键设备进行备份非常重要。1、各单位应对交易业务系统的重要主机、处理机和存储设备等关键设备（如服务器、中间件、报盘机等）建立备份机制，并有备机备件。2、备份措施可采取热备、温备、冷备等方式，以及多主机运行方式互为备份。3、对于核心交易业务系统的主机，应采用热备或温备方式。3.2.2在主机和处理机出现故障时实现主备机及时切换，不影响交易当重要主机和处理机出现故障时，应能实现主、备机的及时切换和接管，不影响交易；对于需要人工干预的切换，维护人员应能熟练操作，将切换时间控制在最小范围内。1、各单位应根据自身情况建立信息系统故障应急

33、处置方案，对各类设备出现故障切换的内容、流程等进行规定，责任到人，避免设备单点故障。2、各单位平时应加强应急演练，熟练操作故障时的系统切换流程，不影响交易业务的正常运行。3.3 网络备份3.2.1对交易业务系统的主干网络设备建立备份机制，并有备机备件1、各单位应对交易业务系统的主干网络设备，如主干交换机、路由器、防火墙等建立备份机制，并有备机备件。2、对于主干核心网络设备，应采用热备或温备方式。3.2.2 发生故障时，主干网络设备可以实时切换，不影响交易。当主干网络设备出现故障时，备用设备应能实现实时切换，不影响交易。1、建立故障应急处置方案，避免单点故障。2、各单位平时应加强应急演练，熟练操

34、作故障时的系统切换流程，不影响交易业务的正常运行。3.4 数据备份3.4.1有完整的数据备份策略数据是交易业务的根本，是系统运行的基础，各单位应建立完整的数据备份策略，保证数据真实、安全、有效，对交易业务和系统等关键数据进行备份。数据备份策略是指导本单位进行数据备份实施和管理的主要文件。数据备份策略的内容应包括但不限于以下内容：1、数据备份的范围和内容。2、针对各系统的实际情况，规定相应的备份要求，如备份时间间隔、方式（全备份、增量备份等）、介质（硬盘、磁带、光盘等）等。3、备份数据的恢复、验证方式。4、备份数据的管理（如存放地点、存放时间、使用及销毁等）。5、数据备份工作的相关人员及其职责等

35、。3.4.2对交易业务等关键数据进行每日备份交易业务的关键数据必须每日备份，当事故发生后，应能使用备份的数据完整、快速、可靠地对原有系统进行恢复。1、各单位应根据数据备份策略，制订对交易业务关键数据每日备份规则，关键业务数据应包括但不限于交易所报盘接口数据，交易所、登记公司清算文件数据，期货风险监控数据、银证、银期交换数据，法人清算系统、三方存管系统、财务系统等业务数据；服务器、中间件等关键设备事件日志；电话委托记录日志等。2、采用集中交易的证券、期货营业部，数据集中在总部统一管理。对重要的交易业务数据、中间件日志、银证、银期日志，需要每日备份。3.4.3 备份数据异地存放，安全保管存放在本地

36、的系统数据备份，在灾难发生的时候，可能会与系统同时损坏，因此备份数据应异地存放，以确保数据安全。1、备份数据异地存放是指应在主机房以外的其它楼宇存放完整的备份数据，并保证数据的安全。2、异地备份数据须及时更新，以保证与各生产系统数据一致。3、无异地灾害备份主机房的证券公司总部、期货公司总部、基金公司，应在主机房之外的另一城市存放备份数据。3.4.4 定期对备份数据的有效性进行验证，保证备份数据在应急恢复时有效数据安全是信息系统的生命，保证数据安全的前提首先是要数据备份成功，需要进行回装测试来进行验证，因此及时验证备份数据的有效性，保证备份数据在应急恢复时有效是非常有必要的。1、各单位应建立备份

37、数据定期检查机制，验证备份数据的有效性，以保证备份数据在应急恢复时有效。2、无论是定期全量备份或增量备份，或定期覆盖以前备份，只要备份措施有效，能保证备份数据的有效性，都是有效备份。3、备份数据的有效性检查主要指数据的可读性检查，包括对备份介质数据进行恢复检查，对数据库备份文件进行数据库的恢复检查。3.5 通讯备份通讯线路是信息系统数据传递的重要保障，对实时性要求高的证券期货信息系统来说尤为重要。因此，各单位应重视通讯系统的建设，建立通讯系统的备份机制，保障通讯线路通畅，数据安全传输。3.5.1 对通讯设备建立备份机制，有备机备件1、条件许可的情况下，应对通讯设备（光纤MODEM、光端机、卫星

38、接收机等）建立备份机制，并有备机备件。2、条件不允许的情况下，应有明确的应急预案，以保障通讯设备故障时，能够在短时间内建立起备份通讯线路（如采用VPN、拨号网络）。3.5.2 对重要的通讯线路有冗余备份线路1、各单位应针对重要的交易业务系统，如行情收发系统、网上交易系统、银证、银期数据交换系统等重要的线路采取备份措施。2、有现场客户服务的证券营业部，对行情接收系统须有备份方案，保证行情接收和揭示的正常。3、对于地面通讯线路，应适当留有冗余带宽。各单位应加强对通讯线路的监控，根据业务的需要，扩充通讯线路的带宽。4、各单位应采用不同运营商的通讯线路作为备份线路。3.5.3 通信备份线路在发生故障时

39、可以及时切换，不影响交易1、当通讯线路出现故障时，应立即启用备份线路，不影响交易。2、各单位应加强对日常备份线路的检查，保证通信备份线路正常。3.6 电力备份电力供应是各单位保证业务正常运行的基础前提条件。各单位应采取双路供电，UPS后备电源，发电机供电等供电方式保证交易业务系统的运行。电力备份供应区别于关键设备供电和一般用途供电使用，应优先保障关键设备供电。3.6.1 各单位应使用双路供电双路供电分以下2种：由同一变电站提供的、接入不同变压器的2路市电到机房；由2个不同变电站提供的2路市电到机房。本文所指双路供电仅限这2种方式。1、各单位应选择能够提供双路供电条件的楼宇作为经营性或办公性场所

40、。证券公司总部、期货公司总部、基金公司的主机房所在楼宇应具备双路供电条件。2、因条件限制无法做到双路供电的单位，应采取其他方式保证供电正常。3、各单位应对双路供电进行切换测试，保证每条线路供电正常。4、各单位应定期对供电线路的电器元件、接点、线缆的老化程度等进行检查，及时更新老化的元件及线缆。3.6.2 使用UPS后备电源UPS后备电源是能够提供持续、稳定、不间断电源供应的重要外部设备，是各单位交易业务系统设备正常运转的电力保障系统，因此，使用UPS后备电源对信息系统的安全稳定运行是非常重要的。1、各单位主机房应配备UPS后备电源，建立定期维护、巡检机制，有巡检记录。每季度不得少于1次对UPS

41、状态、电池状态进行检查，及时更换老化部件，以确保UPS的可用性。2、各单位如自身力量不足，应和相关电力服务单位签订协议，定期对UPS进行放电，检查使用情况，保证断电的情况下，UPS可以实时切换。3、在没有配备发电设备的条件下，证券公司总部、期货公司总部、基金公司、证券营业部的主机房，其UPS后备电源维持时间不得低于4小时。3.6.2 配备或租赁发电机设备作为备份，并掌握操作要领在出现长时间停电情况下，UPS电源也无法保证电力的供应，各单位应配备或租赁发电机设备作为备份，为系统运行提供持续电力保障。1、各单位应配备或租赁发电机设备作为停电备份。如自备发电机，应掌握操作要领，进行定期检查，并保证燃

42、油供应。2、租赁发电机的单位，应落实配电系统改造，保证租赁发电设备能够有效接入。3、证券营业部应视自身信息系统情况，配备或租赁发电机设备作为备份。期货营业部此条不适用。3.6.3 电力设备在发生故障时实时切换，不影响交易突然发生停电故障时，业务系统主机、网络设备等电子产品会受到电波冲击，造成设备运转不正常，业务数据发生丢失或数据处理不完整，造成业务处理异常，业务操作无法进行，影响交易。因此保证电力的持续供应，对业务系统的正常运行至关重要。1、发生停电故障时，UPS系统应可实时接管重要设备电力供应，保证本单位交易等核心业务系统不受影响。2、若配备发电设备，应在UPS电池消耗完毕前接管电力供应，原

43、则上应在停电发生后30分钟内完成切换。3.7 空调备份计算机设备对运行的温度环境有着严格要求，温度过高不仅会导致运行紊乱，甚至会引起设备宕机、损坏、火灾等恶性事故。因此，应有严格措施来保证为系统运行提供适宜的温度环境。3.7.1建立空调备份机制，有备用空调主机房服务器、网络设备、工作站等设备运转会产生大量的热量，如未采取有效的降温措施，则不能够保证设备的正常运行。1、各单位应建立空调备份机制，机房空调系统应有冗余备份，在主用空调出现故障时，备用空调机能够及时启用并满足机房制冷要求。2、空调电力系统不得接入UPS电力系统。3、必须有充足的后备电力（发电机）保证断电情况下，空调能够正常运行。3.7

44、.2 在主用空调发生故障时，能够及时启用备用空调1、各单位应保证每季度不低于1次对空调进行维护和检查，轮流使用，保障主用空调在故障时可以及时切换和使用备用空调。2、各单位应建立系统最小运行状态配置环境，在极端环境下，可通过关闭非关键设备减少发热源并结合使用其他降温措施来保证核心业务系统的运行。安全监控与管理（14项）“三分技术，七分管理”，信息系统安全保障是一个综合技术与管理相结合的复杂动态过程，各个单位应建立实时监控措施，并以在监控过程中发现的异常情况来触发事件管理流程、问题管理流程等建设，逐步构建配置管理、发布管理、优化管理、容量管理流程等，从而建立公司全面信息系统安全防护体系，将“早发现

45、，早报告，早处置”真正落实到实处。4.1实时监控实时监控是对信息系统安全管理的有效手段。采用实时监控不仅能对故障的发生进行预防，防患不必要的风险，而且能在故障发生的第一时间内发现，进行相关应急处置，将故障损失控制到最小。实时监控的对象应是能够对系统安全性造成影响的关键目标，包括防火墙、入侵检测、防病毒、核心路由器、核心交换机、主要通讯线路、重要服务器、关键业务应用系统等。实时监控应根据监控对象的特点、监控管理的具体要求、监控工具的功能和性能特点等，选择合适的监控工具。 各单位应对监控内容认真观察和分析，实时监控期间工作人员应根据实时监控结果对监控对象的运行状态做出初步判断；每日应根据整个系统的

46、当日的监控记录对系统运行状态做出初步判断；每周应对系统运行状态做出全面评价；每月应根据监控记录形成系统容量分析报告，容量分析报告应包含CPU、内存大小、存储空间、网络带宽等项目的容量分析。对在实时监控以及监控记录分析过程中发现的异常事件，应建立起事件处理流程，并跟踪监督整个处理过程，及早解决问题。各单位应采取交易时间内人工监控，交易时间外自动化工具监控值守相结合方式,进行24小时实时监控。4.1.1 各单位应配备监控设备和人员，对交易业务网内的服务器、主干网络设备的性能，进行24小时的实时监控，并形成监控记录服务器、主干交换机、路由器、防火墙、网络线路是交易业务网的基础设备，其使用性能、运行状

47、况，直接影响到了交易业务的需求。一旦某个关键设备受损坏、网络线路出现故障、主机服务器感染病毒，很有可能造成交易业务的中断，所以对这些基础设备的性能和运行状况进行24小时的实时监控，是非常有必要的。1、各单位应建立对交易业务网的服务器、主干网络设备的监控巡查制度。制度内容应包括监控责任人、监控的时间段、监控的频率、监控对象列表、每一对象的监控内容以及在发现异常时处理流程。2、监控对象列表至少应包含数据库服务器、存储设备、中间件服务器、核心交换机、核心路由器、广域网通讯线路。3、对监控对象的监控内容应能够正确反映被监控目标的性能及运行状态。服务器应包含CPU使用率、内存利用率、通讯端口状态及数据流

48、量、磁盘空间；防火墙应包含CPU利用率、内存使用率、通讯端口状态与流量、并发连接数、安全事件报警等；路由器应包含CPU利用率、内存利用率、通讯端口状态、线路流量、丢包率。4、所有监控记录应妥善保存三个月。5、对不支持或不便于监控的应用系统，各单位应要求开发商进行完善。6、此条期货营业部不适用。4.1.2 对交易、结算、银证（银期）业务等交易业务的运行情况，进行24小时的不间断监控，形成监控记录交易、结算、银证（银期）业务等交易业务的运行情况，指交易业务的数据库系统、通讯中间件、业务处理中间件等重要应用程序的运行状态，银证、银期交易通讯的主机、程序的运行状态、线路状态等。1、对交易系统的重要指标

49、应进行重点监控，包括处于活动状态、占用CPU资源比例、占用内存资源比例、交易处理笔数、交易处理金额、关键业务处理响应时间、并发线程数量、并发处理能力（订单处理时间、查询处理时间）等。对交易系统的外围系统的运行状态，包括报盘机及卫星通讯设备的运行状态，各类中间件、行情服务器、电话委托前置机的运行状态等进行实时监控，形成监控记录。2、各单位应对结算、银证、银期业务的运行，如程序的运行状况、交易笔数，银证、银期通讯线路的状态等进行不间断的监控。3、采用银证转账形式开展B股业务的证券营业部，应对其应用程序、主机的运行状况进行监控。4.1.3对网络流量、网站内容进行24小时的实时监控，并形成监控记录各单

50、位交易业务系统、网上交易系统、网站网络应根据业务的需求设定带宽，且有冗余。一旦出现爆发行情，或者遭受攻击，网络流量会迅速增大，甚至其带宽不能满足业务需求。一旦有不法分子在门户网站或相关BBS发表不符合国家法律的言论，或者散布谣言，可能会造成不良影响，因此，对网络流量和网站内容进行24小时的实时监控非常必要。1、各单位应使用监控设备，对交易业务系统、网上交易系统、网站网络的网络流量、带宽情况进行24小时的实时监控，并记录峰值，形成记录。2、各单位应采取人工监控或配备监控设备相结合的手段，对网站网页（含BBS）的内容进行24小时的实时监控，对于危害国家安全、泄露国家秘密、侵犯国家社会集体和公民的合

51、法权益的内容，应立即予以删除，对其IP和ID进行封锁和举报。4.2 日志检查和分析日志在安全方面具有无可替代的价值。通过对日志的查询和分析，系统管理员能够快速对潜在的系统入侵做出记录和预测，对发生的安全问题进行及时总结，判断事件的下一步发展动向。因此，对关键网络、安全设备和服务器日志的备份进行定期检查和分析，是非常有必要的。不同的设备或软件，其日志的记录方式具有很大的差异，在使用任何一种设备或软件时，技术人员应详细了解其日志记录方式，并仔细检查其缺省日志记录方式是否符合本单位安全策略的要求。任何系统的日志，对其记录内容必须要有相应的安全保护机制，不能被任意修改和删除。各单位应对分散的各种日志进

52、行统一管理，避免遗漏出现死角（如存储设备的系统日志、服务器BIOS日志等），管理内容应包括定期备份，形成日志分析报告等。对日志分析中发现的异常事件，应建立起相应的事件处理流程，并跟踪监督整个处理过程，及早解决问题。对不具备日志功能或日志记录保存方式不符合安全要求、日志记录内容不符合安全审计要求的重要应用系统，各单位应督促开发商及早解决。对因开启日志功能会严重影响应用程序性能的特殊情况，必须经过严格的压力测试，形成书面分析报告后经主管领导审批后方可关闭其日志功能。4.2.1 关键网络、安全设备和服务器日志进行备份1、各单位应对与交易业务、网站和网上交易系统有关的关键服务器、存储设备、路由器、防火

53、墙、交换机等设备的系统日志、程序运行日志、安全事件日志等进行定期备份。2、各单位应对总部互联网出口的防火墙、IDS/IPS设备，保留六十天以上的日志备份。4.2.2 定期对关键网络、安全设备和服务器日志进行检查和分析，形成记录1、各单位应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。制度内容应包括检查和分析责任人，关键网络设备、安全设备和服务器的日志范围、日志文件名称、分析手段、分析结果等。2、各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析，如对网站服务器的FTP日志、WWW(WEB)日志进行分析，检查和分析PUT、GET项目，消除SQL

54、注入漏洞隐患等。3、通过定期对日志进行分析和总结，及时了解网络状况、设备运行状况，发现薄弱环节，及时整改，形成记录。4、对受条件约束，难以定期进行日志分析的单位，可外聘专业安全服务机构，对关键网络、安全设备和服务器的日志进行检查和分析。5、此条营业部不适用。4.3 权限和口令管理用户权限体现了用户对系统资源的使用能力。权限管理不善，将会导致重要数据资料外泄或被恶意删除等一系列恶性事故。因此必须从用户标识信息（用户名）、用户鉴别方法（如口令、证书等）、用户权限分配以及用户访问的控制等方面加以严格管理。用户访问权限的分配应根据其承担任务所需的最小权限原则来设置（如系统管理员只能对系统进行维护，安全

55、管理员只能进行策略配置和安全设置，安全审计员只能维护审计信息等），同时应能建立起不同用户间的权限分离（如操作系统管理员权限与数据库管理员权限分离）和相互制约关系。4.3.1对交易业务服务器、主干交换设备等关键设备按最小安全访问原则设置访问控制权限，并及时清理冗余系统用户，正确分配用户权限1、各单位应建立详尽的权限管理制度，对权限的申请、审批、设置、变更、撤销等进行严格规定。2、管理制度中应有在人员岗位变换或离职情况下，其系统用户权限的变更或撤销程序。3、各单位应建立信息系统权限分配表，对交易业务服务器、主干交换设备等关键设备上，不同的用户所设置相应的读、写、改等权限进行详细的说明。4、各单位应

56、按照最小安全访问原则，对交易业务的服务器、主干交换机等关键设备的用户设置访问控制权限，指定专人保管管理员口令。5、对主要业务系统的用户及权限，应按照权限制衡、专人专户等原则授权审批并设置。6、对关键设备的匿名/默认用户访问权限应进行认真检查，查看其是否已被禁用或者严格限制（限制在有限的访问范围内）。7、对系统所运行的所有服务中使用的用户名/口令应进行逐一检查，更改缺省用户名、口令及权限（如SNMP服务的缺省用户名PUBLIC的口令与权限）。4.3.2建立有效的口令管理制度，定期修改操作系统、数据库及应用系统管理员口令，并有相关记录口令是进入信息系统的钥匙，一旦口令被黑客攻破，或为不法分子获取，

57、会冒充该用户，并利用其权限进行不法活动，造成交易业务系统的破坏和损失，因此口令的管理对信息系统至关重要。1、各单位应建立有效的口令管理制度，对口令的申请、审批、设置、修改、撤销、保管等进行严格规定。2、对特殊口令（设备或系统所固化的管理员用户）的使用需要有严格的使用申请与审批制度。3、各单位应严格按照口令管理制度，定期对交易业务、门户网站系统主机的操作系统、数据库及应用系统的管理员口令进行修改，并有相关记录。4、交易业务系统主机、数据库管理员口令应专人专户，如采用动态口令，或多人掌管口令的方式进行保管，对重要的主机、数据库的管理员口令应安全保存，严禁泄漏。5、如使用初始口令建立用户名，条件允许

58、情况下，应开启首次登陆强制修改口令的设置，否则应告知并督促用户立即修改。6、首次进行定期口令修改时，应认真测试所有应用系统是否能正常运行，对将用户口令固化在程序里的应用系统，应立即督促开发商进行修改。4.3.3登录口令修改频率不低于每月一次根据口令管理制度，各单位应经常修改登录口令，以加大口令破解的难度，减少被黑客窃取的风险。1、各单位应对易受互联网攻击的设备、主要网络设备、数据库、主机等关键设备的超级用户口令，每月至少更改一次。2、各单位应对上述登录口令设置口令最长期限，强制进行密码修改。4.3.4登录口令长度不低于12位，并采用数字、字母、符号混排的方式口令长度越长，解密的时间越难，简短密

59、码易于被破解，黑客经常采用猜测（猜测可能的字词，如用户姓名缩写、用户生日或电话号码等）、联机字典攻击（使用包括词文文件的自动程序）、脱机字典攻击（获得存储处理或加密处理后的用户帐户与密码的文件的副本，然后使用自动程序来破解每个帐户的密码）、暴力破解（通过程序自动组合密码逐一测试）等手段来破解密码。通过使用强密码，可以显著降低所有这些攻击方法的速度，甚至击退这些攻击。随着信息技术的飞跃发展，原有的6位、8位口令已不足以满足信息安全防护的要求，因此，采用长度更高的口令，且采用无规律的数字、字母、符号混排的方式以增加口令的复杂性，是保证信息安全的有效手段之一。1、各单位应对交易业务关键服务器、主干网

60、络设备、数据库、安全设备，网站管理等用户登录口令的设置采用数字、字母、符号混排，无规律的方式，且口令长度应不低于12位。2、对于个别应用系统由于设计缺陷等原因，目前暂不支持本条要求的，各单位应督促开发商尽快完善。4.3.5 对交易业务服务器、主干网络设备、安全设备等的管理和维护采取限制IP登录的管理措施1、为减少管理风险，各单位应加强对交易业务服务器、主干网络设备、安全设备等的管理和维护，采取限制IP登录等手段，严格控制可进行管理和维护的管理客户端数量。2、被管理设备或系统如本身支持对访问源目标IP地址或MAC地址的限制，必须开启该功能。3、可采用串口管理的方法，对主干网络设备进行管理，防止进