DOC《目次》

管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现. 基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;

基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分. 基本安全要求从各个层面或方面提出了系统的每个组件应该满足的安全要求,信息系统具有的整体安全保护能力通过不同组件实现基本安全要求来保证.除了保证系统的每个组件满足基本安全要求外,还要考虑组件之间的相互关系,来保证信息系统的整体安全保护能力.关于证券期货业信息系统整体安全保护能力的说明见附录A. 对于涉及国家秘密的信息系统,应按照国家保密工作部门的相关规定和标准进行保护.对于涉及密码的使用和管理,应按照国家密码管理的相关规定和标准实施. 基本技术要求的三种类型 根据保护侧重点的不同,技术类安全要求进一步细分为:保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改的信息安全类要求(简记为S);

保护系统连续正常的运行,免受对系统的未授权修改、破坏而导致系统不可用的服务保证类要求(简记为A);

通用安全保护类要求(简记为G).本标准中对基本安全要求使用了标记,其中的字母表示安全要求的类型,数字表示适用的安全保护等级. 针对不同机构、不同系统的特点,本标准对证券期货业已定级重要信息系统的安全要求和使用原则,参见附录B. 第一级基本要求 技术要求 物理安全 物理访问控制(G1) 机房出入应安排专人负责,控制、鉴别和记录进入的人员. 机房出入应当安排专人负责管理,人员进出记录应至少保存3个月. 防盗窃和防破坏(G1) 本项要求包括: a) 应将主要设备放置在机房内;

b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记. 主要设备应当安装、固定在机柜内或机架上;

主要设备、机柜、机架应有明显且不易除去的标识,如粘贴标签或铭牌. 防雷击(G1) 机房建筑应设置避雷装置. 机房或机房所在大楼,应设计并安装防雷击措施,防雷措施应至少包括避雷针或避雷器等. 防火(G1) 机房应设置灭火设备. 防水和防潮(G1) 本项要求包括: a) 应对穿过机房墙壁和楼板的水管增加必要的保护措施;

b) 应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透. 温湿度控制(G1) 机房应设置必要的温、湿度控制设施,使机房温、湿度的变化在设备运行所允许的范围之内. 开机时机房温度应控制在18℃-28℃;

开机时机房相对湿度应控制在35%-75%. 电力供应(A1) 应在机房供电线路上配置稳压器和过电压防护设备. 网络安全 结构安全(G1) 本项要求包括: 应保证关键网络设备的业务处理能力满足基本业务需要;

应保证接入网络和核心网络的带宽满足基本业务需要;

应绘制与当前运行情况相符的网络拓扑结构图. 应绘制完整的网络拓扑结构图,有相应的网络配置表,包含设备IP地址等主要信息,与当前运行情况相符,并及时更新. 访问控制(G1) 本项要求包括: 应在网络边界部署访问控制设备,启用访问控制功能;