证监会检查内容

附件1证券、期货、基金公司信息系统安全检查表受检单位名称检查日期2008.05.28检查小组成员名单检查小组组长签字受检单位技术负责人签字受检单位负责人签字检查情况备注

检查项目检查内容适用范围检查结果备注证总证营期总期营基金1•门户网站及网上交易系统1.漏洞、木马、病毒检测1.是否安装了实时升级，在线扫描的木马、病毒防护软件□是□否佟麟阁营业部没有单独此类系统，门户网站、网上交易系统由总公司统一管理2.是否建立了定期扫描并修补漏洞的工作制度□是□否佟麟阁营业部没有单独此类系统，门户网站、网上交易系统由总公司统一管理3.是否对网站进行了全面检查，消除了sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网页未使用HTTPS加密机制等安全隐患□是□否2.门户网站和网上交易系统隔离1.门户网站和网上交易系统是否进行了严格隔离□是□否2.网上交易下单网页和网上交易后台数据库之间是否进行了严格有效隔离□是□否3.交易软件客户端下载是否对通过网站下载的网上交易客户端软件采取了严格的防护措施，能够防止被捆绑木马程序□是□否4.端口限制和1.是否在防火墙和服务器上关闭了与业务无关的端口□是□否佟麟阁营业部没有单独此类系统，门户网站、网上交易系统由总公司统一管理

远程管理2.是否禁止了通过互联网对防火墙、网络设备、服务器进行远程管理和维护□是□否佟麟阁营业部没有单独此类系统，门户网站、网上交易系统由总公司统一管理5.访问控制与审计是否采用了可靠的身份认证、访问控制和安全审计措施，防止来自互联网的非法接入和非法访问□是□否佟麟阁营业部没有单独此类系统，门户网站、网上交易系统由总公司统一管理6.网页安全1.是否对网页采取了防篡改等措施□是□否2.是否对网页内容采取了监控、过滤机制□是□否2•交易业务系统1.网络隔离1.是否对交易业务网和内部办公网实施了物理隔离□是□否2.处理交易业务的计算机终端和移动存储介质是否专网专用，不允许访问互联网□是□否3.是否采用了可靠的身份认证、访问控制和安全审计措施，防止来自内部或现场交易的非法接入和非法访问□是"否佟麟阁营业部对服务器超级用户、转码机用户绑定专用电脑，对一般用户没有访问控制4.是否在核心交易业务网和非核心交易业务网之间采取了有效的隔离措施，确保在外围系统被攻击的情况下，核心交易业务网能够安全运行"是□否核心交易网与非核心交易网实行物理隔离，确保核心交易业务网安全运行2.交易业务系统维护是否制订了交易业务系统主机、存储设备、网络设备的监控和维护计划，并有监控维护记录"是□否每日检查服务器日志、重启AR通讯组件程序，每周一校对服务器时间、重启AR通讯机，在运行日志记录；同时24小时监控网络设备

3.系统评估公司内部是否对交易业务系统的可靠性和安全性有定期评估制度，并有评估报告□是□否4.系统升级在对交易业务系统进行的重大升级和更新前是否制订了详细的升级方案□是□否3•备份措施1.灾难备份和故障备份1.是否对交易业务系统进行了故障备份"是□否有主备两套系统，交易系统重要设备采取热备方式，系统故障时可以实时切换备用系统，不影响交易2.是否对交易业务系统进行了同城灾难备份□是□否3.是否对交易业务系统进行了异地灾害备份□是□否2.主机备份1.对重要主机、处理机和存储设备等关键设备是否建立了备份机制，并有备机备件"是□否服务器、AR通讯机采用双机冗余备份2.在主机和处理机出现故障时能否实现主备机及时切换，不影响交易"是□否故障时可实时切换，不影响交易3.数据备份1.是否有完整的数据备份策略□是□否营业部无交易业务数据备份，交易业务数据由总公司统一管理2.是否对交易业务等关键数据进行每日备份□是□否营业部无交易业务数据备份，交易业务数据由总公司统一管理3.备份数据是否异地存放，安全保管□是□否营业部无交易业务数据备份，交易业务数据由总公司统一管理4.是否对备份数据的有效性进行了验证，以保证备份数据在应急恢复时有效□是□否营业部无交易业务数据备份，交易业务数据由总公司统一管理4.网络备份1.是否对交易业务系统的主干网络设备建立了备份机制，并有备机备件"是□否主干交换机采用FEC冗余备份，可实时切换2.发生故障时，主干网络设备是否可以实时切换，不影响交易"是□否主干网络设备可以自动切换，不影响交易

5.通讯备份1.是否对通讯设备建立了备份机制，有备机备件"是□否营业部有两台通讯路由器，两套专线连接设备，互为冗余备份，并配备ISDN备份模块，故障时可实时切换，不影响交易2.是否对重要的通讯线路有冗余备份线路"是□否联通、网通双专线互备，同时配备ISDN备份线路；3.发生故障时，通信备份线路是否可以及时切换，不影响交易"是□否可以自动切换，不影响交易6.电力备份1.是否采用了双路供电"是□否佟麟阁营业部所在大厦双路供电2.是否采用了UPS后备电源"是□否佟麟阁营业部采用双UPS主机备份；3.是否配备或租赁了发电机设备作为备份，并掌握操作要领□是"否营业部所在地双路供电，且供电环境稳定，没有配备或租赁发电机，必要时临时联系发电车供电4.发生故障时，电力设备能否实时切换，不影响交易□是"否双UPS未做冗余，须人工手动切换，服务器双电源不受影响，主备交易系统分别连接两台UPS，—台UPS故障时，另一套交易系统不受影响。7.空调备份1.是否建立了空调备份机制，有备用空调机"是□否机房内配备双空调2.在主用空调发生故障时，备用空调机是否能够及时启用"是□否机房内采用双空调并行制冷方式，随时保持互备状态4•安全监控与1.实时监控1.是否配备了监控设备和人员，对交易业务网内的服务器、主干网络设备的性能进行24小时实时监控，并形成监控记录□是"否北京佟麟阁机房配备Hostmonitor监控软件，对交易业务网内的主干网络设备的性能进行24小时实时监控，并形成监控记录；服务器在工作时间人工监控，不具备24小时监控2.是否对交易、结算、银证业务等交易业务运行情况进行24小时不间断监控，并形成监控记录□是□否

管理3.是否对网络流量、网站内容等采取了24小时监控措施，并形成监控记录□是□否2.日志检查和分析1.是否定期对关键网络、安全设备和服务器日志进行备份□是"否服务器日志系统有备份，但没有备份网络设备日志2.是否定期对关键网络、安全设备和服务器日志进行检查和分析，形成记录□是□否3.权限和口令管理1.是否对交易业务服务器、主干交换设备等关键设备按最小安全访问原则设置访问控制权限，并及时清理冗余系统用户，正确分配用户权限□是"否服务器、主干交换设备没有按最小安全访问原则设置访问控制，每半年清理一次系统冗余用户，正确分配用户权限2.是否建立了有效的口令管理制度，有修改操作系统、数据库及应用系统管理员口令的记录"是□否具备有效的口令管理制度，管理员口令每年修改一次，留存修改记录3.登录口令修改频率是否不低于每月一次□是"否按现行制度每年修改一次4.登录口令长度是否不低于12位，并采用数字、字母、符号混排的方式□是"否登陆口令为纯字母，没有混排数字、字符，口令长度小于12位5.是否对交易业务服务器、主干网络设备、安全设备等的管理和维护采取了限制IP登录的管理措施□是□否4.病毒、木马监控是否对业务网和办公网安装了杀毒和防木马软件，并进行定期升级和在线扫描"是□否交易网统一部署总公司诺顿杀毒软件；办公网部署卡巴斯基、瑞星等杀毒软件，可自动定期升级和在线扫描5.机房1.是否对机房进出人员进行了登记管理□是"否机房进出人员无书面登记；

安全2.是否对外来人员操作系统有陪同、审批和监控制度□是"否有机房安全管理制度，外来人员进入机房需由电脑部经理批准（口头批准），没有审批记录3.机房环境是否防静电、防水、防火、防盗、防虫害、防潮、防震□是"否有防静电地板，防水顶棚，采用空调除湿防潮，防盗有保安24小时值班；无防虫措施、无单独防震设施；5应急保障1.应急小组是否成立了突发事件应急处理小组，明确了事件报告人,并报当地证监局备案"是□否有应急处理小组，明确事件报告人，已报证监局备案2.应急值班制度是否建立了应急值班制度，并且应急值守人员保持了24小时电话通畅"是□否遇到特殊情况由中心电脑部安排电脑部人员24小时值守，填写值班交接记录表，应急值守人保持24小时电话通畅3.应急预案是否制定了应急处置预案"是□否营业部制定了应急处置预案和应急电话联系表，张贴于机房4.应急经费与物资是否落实了应急经费与物资□是"否具备灭火器、对讲机、五金工具袋，不具备应急灯5.系统文档是否制定了详细的系统管理配置文档□是"否现有杀毒服务器配置文档、ar配置文档，没有网络设备配置文档6.应急联系人是否建立了详细的应急联系人文档，并及时更新，保持联络畅通"是□否建立了详细应急联系人文档，更新于08年4月，张贴于机房7.服务协议是否和银行、电力、通信、