網(wǎng)絡(luò)與信息安全自查情況的報(bào)告

1、國(guó)都證券有限責(zé)任公司文件國(guó)都信字 2011?010號(hào)關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報(bào)告東城公安分局網(wǎng)安大隊(duì) :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求 ,國(guó)都證券有限責(zé)任公司組織有關(guān)部 門和人員對(duì)信息系統(tǒng)的安全管理制度、建設(shè)和全管理、安全運(yùn)營(yíng)、應(yīng)急管理等進(jìn)行 了自查 ,現(xiàn)將有關(guān)自查情況報(bào)告提交貴局審閱。特此報(bào)告。附件:國(guó)都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報(bào)告二一一年六月二十八日主題詞:信息技術(shù)自查情況報(bào)告內(nèi)部抄送:公司領(lǐng)導(dǎo) ,綜合管理部、人力資源部、合規(guī)與風(fēng)險(xiǎn)管理部。校對(duì):李靜波印制:3份 2011年 6月 28日發(fā)附件:國(guó)都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報(bào)告東城公安分局網(wǎng)

2、安大隊(duì) :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求 ,國(guó)都證券有限責(zé)任公司 （以下簡(jiǎn)稱 “公司”或“我司”組織有關(guān)部門和人員對(duì)信息系統(tǒng)的安全管理制度、建設(shè)和全管理、 安全運(yùn)營(yíng)、應(yīng)急管理等進(jìn)行了自查 ,現(xiàn)將有關(guān)自查情況報(bào)告如下 :一、信息安全總體情況公司一直非常重視信息系統(tǒng)的安全管理工作。公司明確由信息技術(shù)中心負(fù)責(zé)信 息系統(tǒng)的安全管理工作 ,公司在信息系統(tǒng)的安全制度建設(shè)、安全管理機(jī)構(gòu)、人員安 全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面不斷細(xì)化和完善,公司信息系統(tǒng)總體運(yùn)行穩(wěn)定 ,未發(fā)生重大網(wǎng)絡(luò)與信息系統(tǒng)安全事件。（一建立安全管理制度公司 2010 年全面修訂信息技術(shù)的相關(guān)管理制度 ,明確了信息技術(shù)管理組

3、織框 架、信息安全管理的總體目標(biāo)和原則。公司建立了信息技術(shù)安全管理辦法,明確了信息系統(tǒng)安全管理工作的重點(diǎn)為身份識(shí)別 （賬戶權(quán)限及密碼、訪問(wèn)控制、漏洞管 理、病毒防范、日志管理、系統(tǒng)安全策略配置、信息安全事件處置等方面,明確了安全管理操作的原則和規(guī)范。公司安全管理制度的制定、修訂和發(fā)布等均按公司有關(guān)制度的要規(guī)定進(jìn)行,安全管理制度由信息技術(shù)中心制定、修訂 ,由合規(guī)與風(fēng)險(xiǎn)管理部及相關(guān)部門參與審核 公司通過(guò)發(fā)文的形式完成安全制度的發(fā)布 ,公司規(guī)定每年對(duì)制度進(jìn)行一次梳理并酌 情進(jìn)行修訂。（二明確安全管理機(jī)構(gòu)公司明確了信息技術(shù)中心負(fù)責(zé)公司信息系統(tǒng)安全管理工作 ,信息技術(shù)中心設(shè)立 并配備了安全管理員、網(wǎng)絡(luò)管

4、理員、系統(tǒng)運(yùn)維管理員等 ,公司總部各部門、北京交 易中心、上海災(zāi)備中心及各營(yíng)業(yè)部均指定專人為安全管理聯(lián)絡(luò)員。系統(tǒng)的運(yùn)行、網(wǎng) 絡(luò)接入和重要資源的訪問(wèn)均通過(guò)公司 OA 辦公系統(tǒng)進(jìn)行審批 ,依據(jù)審批內(nèi)容不同將 分別由部門負(fù)責(zé)人、主管公司領(lǐng)導(dǎo)等審批。公司通過(guò)電話、即時(shí)通信工具等及時(shí)進(jìn) 行公司內(nèi)部信息的溝通以及與公安、電信及兄弟單位等部門的溝通。（三人員安全管理公司由人力資源部負(fù)責(zé)人員的招聘和錄用 ,公司明確禁止錄用有犯罪或嚴(yán)重違 規(guī)行為記錄的人員從事公司信息技術(shù)工作 ,公司與員工均簽有保密協(xié)議 ,在人員離職 時(shí)均要求辦理交接手續(xù)并終止系統(tǒng)訪問(wèn)權(quán)限等 ,公司不斷加強(qiáng)安全意識(shí)的教育與培 訓(xùn)工作 ,對(duì)信息技

5、術(shù)中心關(guān)鍵崗位人員上崗前均進(jìn)行必要的培訓(xùn) ,公司制訂了信息技 術(shù)事故認(rèn)定與處理制度 ,規(guī)范了相關(guān)獎(jiǎng)懲的措施。（四系統(tǒng)建設(shè)管理公司完成了主要信息系統(tǒng)安全的保護(hù)等級(jí)工作 ,相關(guān)信息系統(tǒng)的定級(jí)結(jié)果經(jīng)證 監(jiān)局核準(zhǔn)后已報(bào)北京市公安局備案。公司在系統(tǒng)建設(shè)時(shí)就網(wǎng)絡(luò)設(shè)計(jì)、訪問(wèn)管理、應(yīng)用安全等與廠商和有關(guān)部門進(jìn)行 詳細(xì)溝通 ,并結(jié)合公司情況及監(jiān)管要求 ,審查廠商的方案是否符合公司安全管理要求 , 公司要求開發(fā)商提供的產(chǎn)品涉及密碼產(chǎn)品的應(yīng)提供國(guó)家有關(guān)部門的資質(zhì)證書。公司 制定了信息技術(shù)項(xiàng)目管理、采購(gòu)的制度 ,明確了負(fù)責(zé)采購(gòu)的部門為信息技術(shù)中心及 采購(gòu)程序 ,公司在軟件安裝前通過(guò) NOD32 防病毒系統(tǒng)進(jìn)行病毒檢測(cè)

6、 ,但缺乏全面的 惡意代碼檢測(cè)機(jī)制。公司規(guī)定了項(xiàng)目實(shí)施前應(yīng)建立項(xiàng)目計(jì)劃書并實(shí)施項(xiàng)目周報(bào)制度 , 公司由信息技術(shù)中心負(fù)責(zé)項(xiàng)目建設(shè)的管理工作 ,系統(tǒng)的測(cè)試工作由信息技術(shù)中 心協(xié)調(diào)有關(guān)部門工作完成。公司規(guī)定了信息系統(tǒng)上線前廠商應(yīng)提供的有關(guān)文檔資料 并安排廠商對(duì)公司有關(guān)部門和人員進(jìn)行必要的運(yùn)維和使用的培訓(xùn)。公司對(duì)信息系統(tǒng)涉及的網(wǎng)絡(luò)、設(shè)備、應(yīng)用等根據(jù)系統(tǒng)運(yùn)行情況進(jìn)行必要的巡查 總體來(lái)看 ,公司信息系統(tǒng)安全狀況基本達(dá)到安全等級(jí)保護(hù)的要求 ,但是公司網(wǎng)站等需 要進(jìn)一步完善安全管理措施 ,即將建設(shè)硬件防病毒網(wǎng)關(guān)與更新高性能的 WEB 應(yīng)用防 火墻,均已完成立項(xiàng)工作。公司明確了信息系統(tǒng)安全建設(shè)的主管領(lǐng)導(dǎo)、責(zé)任部

7、門和相關(guān)責(zé)任人員,公司在 相關(guān)系統(tǒng)的建設(shè)時(shí)分析其對(duì)公司網(wǎng)絡(luò)資源、訪問(wèn)控制、使用管理等可能出現(xiàn)的問(wèn)題 并盡可能改進(jìn)有關(guān)安全管理的措施 ,確保系統(tǒng)安全穩(wěn)定運(yùn)行。公司購(gòu)置了多種類型的安全硬件設(shè)備 ,并于 2010 年部署了終端安全管理系統(tǒng) ,與 提供產(chǎn)品的多家安全廠商保持著常年合作的關(guān)系。在合作期間眾廠商皆對(duì)我公司的 信息系統(tǒng)提供各類安全檢查、威脅發(fā)現(xiàn)、整改建議等服務(wù)。（五系統(tǒng)運(yùn)維管理公司制定了機(jī)房與運(yùn)行環(huán)境管理辦法對(duì)有關(guān)機(jī)房物理訪問(wèn)、人員及設(shè)備進(jìn)出機(jī) 房、基礎(chǔ)環(huán)境、開關(guān)機(jī)要求等僅進(jìn)行了規(guī)范 ,信息技術(shù)中心明確具體人員負(fù)責(zé)有關(guān) 操作和監(jiān)控。公司制定了信息技術(shù)設(shè)備管理辦法及固定資產(chǎn)管理辦法 ,對(duì)信息技

8、術(shù)設(shè)備的登 記、使用、關(guān)鍵設(shè)備的管理及處置等進(jìn)行了規(guī)范 ,公司綜合管理部對(duì)公司信息技術(shù) 設(shè)備進(jìn)行盤點(diǎn)和登記。公司制定了信息系統(tǒng)數(shù)據(jù)管理辦法 ,對(duì)數(shù)據(jù)的備份與恢復(fù)、數(shù)據(jù)的訪問(wèn)及有關(guān) 操作進(jìn)行了規(guī)范 ,根據(jù)信息系統(tǒng)及數(shù)據(jù)的重要程度分別采用硬盤、光盤并通過(guò)手工、自動(dòng)等方式進(jìn)行全量、增量的數(shù)據(jù)備份,對(duì)光盤等存儲(chǔ)介質(zhì)進(jìn)行異地保存。公司制定了信息技術(shù)設(shè)備管理辦法、網(wǎng)絡(luò)管理辦法 ,明確了相關(guān)設(shè)備及網(wǎng)路的 管理部門為信息技術(shù)中心及機(jī)房負(fù)責(zé)人、網(wǎng)絡(luò)管理員等 ,公司信息技術(shù)設(shè)備的選型 由信息技術(shù)中心負(fù)責(zé) ,一般信息技術(shù)設(shè)備的采購(gòu)由綜合管理部負(fù)責(zé) ,符合信息技術(shù)項(xiàng) 目采購(gòu)管理辦法的設(shè)備采購(gòu)由信息技術(shù)中心負(fù)責(zé) ,公司

9、機(jī)房?jī)?nèi)關(guān)鍵設(shè)備的開啟和關(guān) 閉均由各機(jī)房值班人員按開關(guān)機(jī)操作流程進(jìn)行操作 ,未規(guī)定流程的操作應(yīng)經(jīng)機(jī)房負(fù) 責(zé)人同意后進(jìn)行操作。公司制定了網(wǎng)絡(luò)管理辦法等制度 ,對(duì)網(wǎng)絡(luò)安全配置、日志保存時(shí)間、安全策 略、升級(jí)與打補(bǔ)丁、口令更新周期等方面進(jìn)行了規(guī)定 ,公司設(shè)立網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng) 絡(luò)運(yùn)行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護(hù)和報(bào)警信息分析和處理工作 ,網(wǎng)絡(luò)管理員每 季度對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行漏洞掃描 ,對(duì)發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞采取措施進(jìn)行修補(bǔ) ,并備 份有關(guān)配置 ,公司與外部系統(tǒng)的連接均通過(guò) OA 辦公系統(tǒng)有關(guān)流程進(jìn)行審批得到授 權(quán)和批準(zhǔn) ;公司制定了信息系統(tǒng)權(quán)限管理制度 ,公司相關(guān)系統(tǒng)的訪問(wèn)控制策略根據(jù)最小化 原則通過(guò)審批

10、后才賦予相關(guān)用戶 ,公司根據(jù)信息系統(tǒng)運(yùn)行情況不定期進(jìn)行漏洞掃描 , 對(duì)發(fā)現(xiàn)的系統(tǒng)安全漏洞在保證公司系統(tǒng)穩(wěn)定運(yùn)行的情況下在與信息系統(tǒng)安全管理員 及相關(guān)廠商溝通后酌情進(jìn)行修補(bǔ) ,因系統(tǒng)實(shí)時(shí)性要求較高 ,公司未全面開啟有關(guān)設(shè)備 和系統(tǒng)的審計(jì)功能 ,公司每天對(duì)系統(tǒng)運(yùn)行情況進(jìn)行實(shí)時(shí)的監(jiān)控和巡檢 ,并根據(jù)情況對(duì) 有關(guān)日志進(jìn)行不定期的分析。公司安裝了 NOD32 網(wǎng)絡(luò)版防病毒系統(tǒng)、億陽(yáng)網(wǎng)管終端安全管理系統(tǒng)并由安全 管理員管理 ,公司要求所有外來(lái)設(shè)備在接入網(wǎng)絡(luò)前進(jìn)行檢查 ,公司嚴(yán)格控制外來(lái)設(shè)備 接入交易網(wǎng) ,公司信息技術(shù)安全管理辦法對(duì)防惡意代碼軟件的授權(quán)使用、 惡意代碼庫(kù)升級(jí)、 匯報(bào)等作出了規(guī)定。 公司 制定

11、了信息系統(tǒng)密碼管理辦法及系統(tǒng)變更管理辦法， 公司在 信息技術(shù)項(xiàng)目采購(gòu)時(shí) 對(duì)涉及密碼內(nèi)容的， 均要求廠商出具由證明產(chǎn)品 符合國(guó)家主管部門要求的資質(zhì)證 書等， 公司系統(tǒng)變更管理辦法對(duì)系統(tǒng) 變更的角色、程序、版本、操作等進(jìn)行了規(guī) 范，重大升級(jí)均通過(guò)公司 OA 系統(tǒng)進(jìn)行審批并在通過(guò)業(yè)務(wù)和技術(shù)為測(cè)試后進(jìn)行。 公司根據(jù)系統(tǒng)的重要性等分別進(jìn)行系統(tǒng)級(jí)的熱備、溫備、冷備、 災(zāi)備措施，公司 制定了信息系統(tǒng)災(zāi)備管理辦法，明確了災(zāi)備啟動(dòng)和恢 復(fù)的條件、程序、操作流程 等，公司信息系統(tǒng)數(shù)據(jù)管理辦法，對(duì)數(shù)據(jù) 的備份與恢復(fù)的周期、介質(zhì)、保存等進(jìn) 行了規(guī)范。 公司制定了信息技術(shù)事故認(rèn)定與處理制度和風(fēng)險(xiǎn)報(bào)告制度， 規(guī)定 了信

12、息技術(shù)安全事件的處理及報(bào)告程序， 公司信息技術(shù)安全事件的報(bào) 告以風(fēng)險(xiǎn)控制單 的形式通過(guò) OA 辦公系統(tǒng)流轉(zhuǎn)。 公司制定了網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，預(yù)案 對(duì)決策體系、啟 動(dòng)條件、信息的報(bào)告和發(fā)布、不同情況的應(yīng)急處理程序、演練及 培訓(xùn) 等進(jìn)行了基本的規(guī)范， 公司集中交易及相關(guān)系統(tǒng)每年最少進(jìn)行兩次包 括上海 災(zāi)備中心、營(yíng)業(yè)部的全網(wǎng)演練。 （六） 重要信息系統(tǒng)情況 公司本次自查了呼叫中 心系統(tǒng)、法人清算系統(tǒng)、集中交易系統(tǒng)、 門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)以及投資與客 戶資產(chǎn)管理系統(tǒng)， 6 個(gè)系統(tǒng)在 數(shù)據(jù)安全、網(wǎng)絡(luò)安全、物理安全、應(yīng)用安全、主機(jī)安 全幾個(gè)方面基本 符合有關(guān)安全管理的要求，其中門戶網(wǎng)站、網(wǎng)上交易

13、系統(tǒng)部署在 IDC 托管機(jī)房，其他 4 個(gè)系統(tǒng)分別部署在北京交易中心機(jī)房、北京總部中 心機(jī) 房，各系統(tǒng)公司均安排專門的系統(tǒng)維護(hù)人員，運(yùn)維人員在每個(gè)交 易日定時(shí)進(jìn)行系 統(tǒng)巡檢，發(fā)現(xiàn)異常及時(shí)處理和報(bào)告，系統(tǒng)通過(guò)身份鑒 別、權(quán)限控制、網(wǎng)絡(luò)控制、 數(shù)據(jù)備份、線路和設(shè)備的冗余以及機(jī)房的 5安全控制等基本保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。 二、 存在問(wèn)題 通過(guò)對(duì)公司網(wǎng)絡(luò) 與信息安全自查，公司在以下方面存在不足： （一） 信息安全培訓(xùn)力度不夠 公司 基本在員工入職時(shí)進(jìn)行信息系統(tǒng)安全的培訓(xùn)， 此后較少進(jìn)行 有關(guān)安全使用的培 訓(xùn)，為強(qiáng)化員工安全意識(shí)，公司應(yīng)該每年至少進(jìn)行 一定次數(shù)的信息系統(tǒng)安全使用 的培訓(xùn)。 （二） 軟

14、件漏洞檢測(cè)不全面 公司目前未進(jìn)行全面的信息系統(tǒng)安全漏洞檢 測(cè)， 一般情況下只進(jìn) 行病毒檢測(cè)，因行業(yè)內(nèi)廠商基本不提供前端的源代碼，所有 也基本無(wú) 法審查是否存在后門的要求，僅要求廠商做出不存在后門的承諾。（三） 系統(tǒng)自查不完善 公司沒(méi)有進(jìn)行每半年組織一次信息系統(tǒng)安全自查工作， 雖 然公司 對(duì)網(wǎng)絡(luò)、設(shè)備、系統(tǒng)均進(jìn)行不定期的檢查、實(shí)時(shí)監(jiān)控和巡檢等工作， 但未 專門組織系統(tǒng)安全自查工作。 （四） 審計(jì)管理不完善 因相關(guān)系統(tǒng)運(yùn)行的安全穩(wěn)定 問(wèn)題，公司未開啟有關(guān)操作系統(tǒng)、數(shù) 據(jù)庫(kù)的全部審計(jì)功能，同時(shí)各應(yīng)用系統(tǒng)自身 的審計(jì)功能也不是很完 善，有的僅僅記錄的用戶的登錄和退出等。 （五） 網(wǎng)站缺 乏更有效地防入

15、侵及檢測(cè)設(shè)備 公司 2009 年從綠盟科技購(gòu)置了應(yīng)用防火墻WAF600，此設(shè)備功能 與性能基本上可滿足目前門戶網(wǎng)站的安全需要，但隨著來(lái)自互聯(lián)網(wǎng)的 各類新型安全威脅越來(lái)越突出， 有可能使公司的門戶網(wǎng)站造成嚴(yán)重的 破壞。 三、 整改計(jì)劃 （一） 加強(qiáng)信息安全培訓(xùn)力度 6公司開始每年進(jìn)行至少一次的信息系統(tǒng)安全使用培訓(xùn)，公司將在 2012 年制定培訓(xùn)計(jì)劃時(shí)安排此項(xiàng)工作，培訓(xùn)內(nèi)容將根據(jù)公司信息系 統(tǒng)運(yùn)行和使用中的問(wèn)題選定，主要包括系統(tǒng)補(bǔ)丁安裝、系統(tǒng)漏洞檢測(cè)、防病毒軟件的使用、數(shù)據(jù)的備份、 安全上網(wǎng)等。責(zé)任人：李靜波（二）完善軟件漏洞檢測(cè)公司將根據(jù)系統(tǒng)的情況逐 步實(shí)現(xiàn)信息的安全漏洞工作。 公司將在2011

16、年年底前安排有關(guān)廠商對(duì)門戶網(wǎng)站進(jìn) 行漏洞檢測(cè)，并根據(jù)檢測(cè) 的結(jié)果，要求開發(fā)商進(jìn)行系統(tǒng)安全加固工作，此項(xiàng)工作 每年將至少執(zhí) 行一次。責(zé)任人：孫育紅、李靜波 （三）增強(qiáng)系統(tǒng)安全自查工作 公司將由信息技術(shù)中心牽頭，每年至少一次對(duì)全公司各類信息系 統(tǒng)進(jìn)行全面的安全檢查工作，包括但不僅限于網(wǎng)絡(luò)、設(shè)備、應(yīng)用系統(tǒng)等。責(zé)任人：王士軍、李靜波、楊炯逐步完善審計(jì)管理工作（四）逐步完善審計(jì)管理工作因公司交易系統(tǒng)實(shí) 時(shí)性要求極高，本著謹(jǐn)慎的原則，公司將進(jìn)一 步與廠商、其他證券公司溝通就審 計(jì)功能開啟問(wèn)題進(jìn)行溝通，在確保 系統(tǒng)安全穩(wěn)定運(yùn)行的前提下，逐步開啟必要的 審計(jì)功能，同時(shí)與各信 息系統(tǒng)開發(fā)商溝通，要求其完善自身應(yīng)用的審計(jì)功能等。責(zé)任人：各系統(tǒng)負(fù)責(zé)人 （五）完善門戶網(wǎng)站安全機(jī)制的建設(shè) 公司門戶網(wǎng)站是對(duì)外信 息發(fā)布的窗口，是與外界進(jìn)行網(wǎng)絡(luò)溝通的 橋梁，也是未來(lái)廣大用戶辦理業(yè)務(wù)的便 捷通道，它的正常與否將直接關(guān)系到運(yùn)營(yíng)商提供的服務(wù)質(zhì)量及其公眾形象。公司對(duì)于此系統(tǒng)的安全7建設(shè)相當(dāng)重視，已立項(xiàng)購(gòu)置硬件防病毒網(wǎng)關(guān)與高性能的 WEB安全防護(hù)系 統(tǒng)。2011年內(nèi)建設(shè)完成后，將從WE