信息安全培训20111230

信息安全培训信息技术部信息安全员钱昭敏进行安全培训的原因

《信息安全管理使用规则》(GB/T19716-2005)第6.2.1点： 组织的所有雇员和（若相关的）第三方用户要接受组织的策略和规程方面的适当培训和定期更新内容。这包括安全要求、合法职责和业务控制以及在给予访问信息和服务之前正确使用信息处理设施的培训，例如登录过程、使用软件包等。《证券公司信息技术管理规范》（JR/T0023—2004）第4.4.2点： 信息系统安全管理组织应组织信息系统安全教育及技术培训。《证券期货经营机构信息技术治理工作指引》第八章第四十九条： 公司应对全体员工开展必要的信息安全培训、教育和考核。《证券期货业信息安全保障管理暂行办法》（证监信息字[2005]5号）第三章第十条： 信息安全保障工作的目标：提高证券期货业人员的信息安全意识、安全专业素质以及安全管理与服务水平；课程导航我司信息安全保障体系介绍员工信息安全指引投资者教育-交易系统使用安全指引我司信息安全保障体系信息安全行政管理工作集中交易安全管理工作网上信息系统安全管理工作营业部信息系统安全保障工作信息安全行政管理工作-法律法规《证券公司分类监管规定》（2010年修订）第二章第五条： 证券公司风险管理能力主要根据资本充足、公司治理与合规管理、动态风险监控、信息系统安全、客户权益保护、信息披露等6类评价指标，按照《证券公司风险管理能力评价指标与标准》进行评价，体现证券公司对流动性风险、合规风险、市场风险、信用风险、技术风险及操作风险等管理能力。 信息系统安全评价指标与标准：IT治理完善，信息系统管理机制独立有效信息系统功能齐备，有效满足客户委托、交易、清算、开户、查询等需求，客户电子资料等信息安全信息系统安全稳定运行，能够避免频繁信息安全事故或重大事故信息系统应急预案有效，能够及时应对信息安全事故安全管理应做到“谁主管，谁负责”、“谁运营，谁负责”，注重以法律手段明确与他方的责任关系，通过契约、协调等方式与他方进行责任划分，明确进行风险转移，通过责任主体制约他方。（《证券期货业信息安全保障管理暂行办法》)信息安全行政管理工作-法律法规《东莞证券有限责任公司信息技术管理制度》第十五章第二条：

公司信息安全目标：保障投资者信息安全；杜绝大范围影响投资者正常业务或引起大范围投资者不满的重大事故发生；保障公司业务活动连续性；保障公司信息资产安全：公司信息安全最低要求保证交易系统99.9％可用率。信息安全行政管理工作-我司落实情况信息技术治理委员会为信息安全管理最高机构；建立一把手负责制，公司总裁为公司信息技术安全第一责任人，总部各部室、各营业网点均由本单位负责人作为信息安全第一责任人，信息技术部为公司计算机安全日常管理的职能部门，负责全公司信息技术的安全管理。（《信息技术管理制度》）2010年8月4日，我司各营业部负责人向分管信息的公司领导签订了责任状，营业部技术人员向营业部总经理签订了责任状；信息技术部负责人向分管信息的公司领导签订了责任状，信息技术部员工向信息技术部负责人签订了责任状。集中交易安全管理工作-法律法规《证券公司集中交易安全管理技术指引》从管理组织体系、机房和运行环境、系统建设、运行管理、灾难备份、技术委托与外包、应急恢复与事故处理、技术监管等方面，对证券公司集中交易系统的安全管理工作做出了明确的指引要求。《证券公司信息技术管理规范》第3点指出： 证券公司在信息技术管理工作中应遵循：安全性原则，应树立技术风险的防范意识，把安全措施落实到信息技术管理的每个环节、每个方面，应在信息系统的设计、开发、运行、维护各环节和硬件、软件、网络通讯、数据、管理制度各方面，贯彻安全性原则。实用性原则，应加强信息技术管理，注重采用成熟的先进技术，在确保信息系统性能和安全的前提下，遵循高效益、低成本、易操作的原则。系统化原则，将证券公司信息技术管理有关的资源和活动以系统的观点来进行管理，理解和识别管理过程中的相互关系和作用，明确每个管理过程的职责和权限。集中交易安全管理工作目前我司集中交易系统采取双中心运营模式，外围交易系统采用多站点冗余接入运行机制，可实现绝大多数系统热冗余运行，缩短信息系统故障应急处理时间，大大提高了系统运行的安全性，信息安全保障提升至一个新的层次。集中交易安全管理采用专人专岗管理制度，每个工作岗位均具备明确的工作职责及责任人，重要权限采用多岗多人制衡管理，日常工作严格按照规范的工作流程执行，具备比较完善的风险评估、应急预案、操作复核、领导审核的流程，具备重要技术、资料保密管理制度。网上信息系统安全管理工作-法律法规《证券公司网上证券信息系统技术指引》是目前针对网上信息系统的最为重要的一份指引文件，在网站、网上交易客户端、移动证券等方面均做出了明确的安全要求。其中第四条做出了原则性要求： 证券公司利用网上证券信息系统开展证券业务应遵循如下基本原则： （一）安全性原则：网上证券信息系统的建设应提高风险防范意识，保证在网上开展证券业务的安全性。通过技术措施和管理手段，实现信息的保密性、完整性和服务可用性。 （二）系统性原则：网上证券信息系统的安全建设应覆盖安全保障体系的各个方面，包括：安全体系建设、证券业务在网上的开展、网络和系统安全、应用系统安全、运维和安全保障、灾难恢复和应急措施等。 （三）可用性原则：网上证券信息系统的建设应在保障安全的原则下，确保在网上开展的证券业务的连续性和可靠性。网上信息系统安全管理工作-建设情况 证券公司应在两个以上的物理地点建立网上证券信息系统，互为备份，并应具备2个或2个以上不同运营商的互联网接入，避免在同一运营商的线路接入上出现单点故障和瓶颈，同时应充分考虑不同互联网运营商的互联瓶颈问题，确保局部故障或灾难发生时，系统能继续对用户提供服务。

——《证券公司网上证券信息系统技术指引》第十八条我司目前建立了四个运营商互联网接入服务点（IDC），其中包括两个中国电信IDC，一个中国联通IDC以及一个中国移动IDC。所有机柜通过独享100M（中国移动独享50M）互联网线路接入提供服务。网上信息系统安全管理工作-建设情况 证券公司应在门户网站部署防篡改系统，当网站上的页面内容、提供给投资者下载的客户端软件及其它文件被异常修改时，能自动告警或自动恢复，防止被捆绑木马程序。

——《证券公司网上证券信息系统技术指引》第二十三条我司网站已按照国家主管部门的有关规定办理网站备案，已部署防篡改系统，具有防注入和跨站攻击，以及特殊字符过滤功能。除了防篡改主动防御系统，我们也在软件下载页面提供了MD5校验器以及各个软件的MD5校验码，客户下载了交易软件后，可通过检查软件MD5是否一致，从而避免下载了被捆绑木马程序的软件。网上信息系统安全管理工作-建设情况 网上证券客户端应提供技术手段协助用户检查、清除木马等恶意程序，并提供验证码、强制口令图形键盘、安全的口令输入安全控件、客户端电脑或手机特征码绑定、软硬件证书、动态口令等多种用户认证方式，防范不法分子利用木马等黑客程序窃取客户账号和口令信息，进行证券盗买盗卖非法活动。——《证券公司网上证券信息系统技术指引》第二十八条网上信息系统安全管理工作-建设情况提供可靠的用户身份认证机制，支持网上证券客户端采用多种认证方式与服务端进行身份认证。除输入证券帐号、口令、验证码的身份认证方式之外，还提供了硬件证书（U-key）的身份认证方式。客户身份信息和交易数据等重要数据传输均采用国家信息安全机构认可的加密技术和加密强度，并达到SSL协议128位的加密强度。能在指定的闲置时间间隔到期后（默认5分钟），自动锁定客户端的使用。能向客户提示最近一次登录的日期、时间、地址等信息。提供预留验证信息服务，在客户登录时向客户显示预留的验证信息，帮助客户识别仿冒的网上证券信息系统。具备防止用户使用简单口令，对客户使用简单密码或设置为简单密码均有风险提示，并能够抵御连续猜测等对客户账户恶意攻击行为。后台即时能记录、存储必要的日志信息，其中包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址等。营业部信息系统安全保障工作-法律法规《证券营业部信息技术指引》对营业网点建设和日常运营的系统工作提出了总体性的框架规范，对基础建设、运维制度、安全保障的方面均作出了明确的要求。第二条 证券公司应按照信息系统安全性、实用性、可操作性原则，统一规划和建设证券营业部信息系统，全面负责证券营业部信息技术的安全管理。第三条 证券营业部应在所属证券公司的集中统一管理下，制定相应的信息技术工作流程和操作规范，确保信息系统对业务的有效支撑。营业部信息系统安全保障工作-基础环境 证券营业部机房建设应符合GB9361-88《计算站场地安全要求》和GB2887-89《计算站场地技术条件》的有关规定。——《证券营业部信息技术指引》第六条物理安全保护的目的主要是使存放计算机、网络设备的机房以及信息系统的设备和存储数据的介质等免受物理环境、自然灾难以及人为操作失误和恶意操作等各种威胁所产生的攻击。物理安全是防护信息系统安全的最底层，缺乏物理安全，其他任何安全措施都是毫无意义的。物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护营业部信息系统安全保障工作-运维管理

证券营业部应用系统应具备足够的健壮性，系统处理能力具有一定的冗余度，行情、交易、资讯系统等关键硬件设备应通过热备、冷备等手段，避免单点故障，提高系统可用性。——《证券营业部信息技术指引》第二十八条任何服务器的设置变动，必须采用双人复核制。除故障应急外，开市交易期间不得进行任何与交易业务相关的信息系统变更操作。信息系统应急步骤必须具有可操作性，备用服务器需确保在交易期间随时可切换。所有服务器必须定期更新杀毒软件病毒库。建立内网WSUS更新服务器，所有信息系统服务器、柜台用机及时进行补丁更新。营业部信息系统安全保障工作-管理制度

证券营业部应执行所属证券公司的人员管理、机房管理、网络管理、设备管理、数据管理、技术文档管理、系统运维管理、应急处理等制度。每年将信息系统运行及制度执行情况报告所属证券公司并同时按监管部门的要求抄报有关单位。——《证券营业部信息技术指引》第三十三条安全管理制度包括信息安全工作的总体方针、策略、规范各种安全管理活动的管理制度以及管理人员或操作人员日常操作的操作规程。每天的操作日志必须完整、真实填写，妥善保管，随时备查。主备岗制度必须贯彻落实，备岗人员能够独立完成所有信息系统日常操作，熟悉应急步骤。了解公司信息技术管理制度，熟悉信息系统应急预案和应急流程。营业部信息系统安全保障案例一： 某营业部的大智慧行情系统即将到期，在开市后从大智慧网站下载了续期的授权文件，更新了授权。结果在更新授权后，无盘行情工作站不能刷新行情，严重影响了客户看行情。案例二： 某营业部的NOVELL服务器时间不准，在收市后对服务器的时间进行了调校。但在调整了服务器时钟后，操作人自己没有细心观察、检查测试，亦没有第二人复核检查。操作的技术员在输入调整时间命令时，没有区分24小时制，将下午的4点多设成了早上的4点多，时间相差了12小时。第二天早上9点多，大智慧的转码机还不能自动初始化，直到9:30开市客户才发现行情还不会变化。营业部信息系统安全保障案例三： 青海某地停电一天，停电期间，营业部的备用发电机无法正常工作，UPS备用电源仅能保证机房、柜台等重要岗位以及不足15台客户交易终端的应急使用，无法保证部分现场交易客户观看行情和交易的需要，导致部分现场交易客户长时间无法正常交易，造成了较为恶劣的影响。员工信息安全指引网络使用文件管理数据管理业务系统员工信息安全指引-网络安全 员工在日常工作中，应严格遵守公司关于内外网隔离的有关规定。互联网实际上充满了攻击与病毒危险，将内外网直接连通，就意味着将公司的内部网络暴露于互联网之中，对公司的网络环境造成很大的风险。 在任何情况下，都不得擅自将内外网直接连通。如涉及系统应急工作，应预先做好符合规定的应急方案，申请并建立安全的VPN连接，使网络的安全可控。 在日常访问互联网时，应该时刻保持风险意识，不贸然打开一些不受信任的网站，不随意接收他人通过QQ等方式传输过来的文件，防止木马入侵。员工信息安全指引-文件管理病毒的特征它必须能自行执行。它通常将自己的代码置于另一个程序的执行路径中。它必须能自我复制。例如，它可能用受病毒感染的文件副本替换其他可执行文件。病毒既可以感染桌面计算机也可以感染网络服务器。

——引自《中华人民共和国计算机信息系统安全保护条例》蠕虫病毒蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性、隐蔽性、破坏性等等，同时具有自己的一些特征，如不利用文件寄生(有的只存在于内存中)，对网络造成拒绝服务，以及和黑客技术相结合，等等。员工信息安全指引-文件管理木马的特征表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。窃取信息是木马最大的目的。 它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授