網(wǎng)絡信息系統(tǒng)安全檢查表

1、期貨網(wǎng)絡信息系統(tǒng)安全檢查為建立健全證券期貨業(yè)網(wǎng)絡與信息安全事件應急工作機制，提高行業(yè)應對網(wǎng)絡與信息安全事件的應急處置能力，預防和減少網(wǎng)絡與信息安全事件造成的損失和危害，維護資本市場穩(wěn)定和健康發(fā)展， 維護國家金融安全和社會穩(wěn)定，保護投資者合法權益，特成立網(wǎng)絡信息安全檢查小組對我司信息技術部網(wǎng)絡信息安全進行 專項檢查。受檢查單 位部門檢查日期檢查小組成員名單檢查小組組長 簽字受檢單位技術負責人簽字受檢單位負責人簽字檢查情況 備注檢查項目檢查內(nèi)容檢查結果備注1門 戶 網(wǎng) 站 及 網(wǎng) 上 交 易 系 統(tǒng)1. 漏洞、木馬、病毒檢測1.是否安裝了實時升級，在線掃描的木馬、 病毒防護軟件口是否2.是否建立了

2、定期掃描并修補漏洞的工作制 度口是否3.是否對網(wǎng)站進行了全面檢查，消除了sql注入漏洞、弱口令帳戶、繞過驗證、目錄遍歷、文件上傳、下單網(wǎng)貝未使用HIIPS加密機制等安全隱患口是否2.門戶 網(wǎng)站和 網(wǎng)上交 易系統(tǒng) 隔離1.門戶網(wǎng)站和網(wǎng)上交易系統(tǒng)是否進行了嚴格 隔離口是否2.網(wǎng)上交易下單網(wǎng)貝和網(wǎng)上交易后臺數(shù)據(jù)庫 之間是否進行了嚴格有效隔離口是否3.交易軟件客 戶端下 載是否對通過網(wǎng)站下載的網(wǎng)上交易客戶端軟件 采取了嚴格的防護措施，能夠防止被捆綁木 馬程序口是否4.端口限制和 遠程管 理1.是否在防火墻和服務器上關閉了與業(yè)務無 關的端口口是否2.是否禁止了通過互聯(lián)網(wǎng)對防火墻、網(wǎng)絡設 備、服務器進行遠

3、程管理和維護口是否5.訪問控制與 審計是否米用了可靠的身份認證、訪問控制和安 全審計措施，防止來自互聯(lián)網(wǎng)的非法接入和 非法訪問口是否6.網(wǎng)頁安全1.是否對網(wǎng)頁米取了防篡改等措施口是否2.是否對網(wǎng)頁內(nèi)容米取了監(jiān)控、過濾機制口是否2交 易 業(yè) 務 系 統(tǒng)1.網(wǎng)絡隔離1.是否對交易業(yè)務網(wǎng)和內(nèi)部辦公網(wǎng)實施了物 理隔離口是否2.處理交易業(yè)務的計算機終端和移動存儲介 質(zhì)是否專網(wǎng)專用，不允許訪問互聯(lián)網(wǎng)口是否3.是否米用了可靠的身份認證、訪問控制和 安全審計措施，防止來自內(nèi)部或現(xiàn)場交易的 非法接入和非法訪問口是否4.是否在核心交易業(yè)務網(wǎng)和非核心交易業(yè)務 網(wǎng)之間米取了有效的隔離措施，確保在外圍 系統(tǒng)被攻擊的情況

4、下，核心交易業(yè)務網(wǎng)能夠 安全運行口是否2.交易業(yè)務系統(tǒng)維護是否制訂了交易業(yè)務系統(tǒng)主機、存儲設備、 網(wǎng)絡設備的監(jiān)控和維護計劃，并有監(jiān)控維護 記錄口是否3.系統(tǒng)評估公司內(nèi)部是否對交易業(yè)務系統(tǒng)的可靠性和安 全性有定期評估制度，并有評估報告口是否4.系統(tǒng)升級在對交易業(yè)務系統(tǒng)進行的重大升級和更新前 是否制訂了詳細的升級方案口是否3備 份 措 施1.災難備份和 故障備 份1.是否對交易業(yè)務系統(tǒng)進行了故障備份口是否2.是否對交易業(yè)務系統(tǒng)進行了問城災難備份口是否3.是否對交易業(yè)務系統(tǒng)進行了異地災害備份口是否2.主機備份1.對重要主機、處理機和存儲設備等關鍵設 備是否建立了備份機制,并有備機備件口是否2.在主機

5、和處理機出現(xiàn)故障時能否實現(xiàn)主備 機及時切換，不影響交易口是否3.數(shù)據(jù)備傷1.是否有完整的數(shù)據(jù)備份策略口是否2.是否對交易業(yè)務等關鍵數(shù)據(jù)進行每日備份口是否3.備份數(shù)據(jù)是否異地存放，安全保管口是否4.是否對備份數(shù)據(jù)的有效性進行了驗證，以 保證備份數(shù)據(jù)在應急恢復時有效口是否4.網(wǎng)絡備份1.是否對交易業(yè)務系統(tǒng)的主干網(wǎng)絡設備建立 了備份機制，并有備機備件口是否2.發(fā)生故障時，主干網(wǎng)絡設備是否町以實時 切換，不影響交易口是否5.通訊備傷1.是否對通訊設備建立了備份機制，有備機 備件口是否2.是否對重要的通訊線路有冗余備份線路口是否3.發(fā)生故障時，通信備份線路是否可以及時 切換，不影響交易口是否6.電力備份

6、1.是否采用了雙路供電口是否2.是否采用了 UPS后備電源口是否3.是否配備或租賃了發(fā)電機設備作為備份， 并掌握操作要領口是否4.發(fā)生故障時，電力設備能否實時切換，不 影響交易口是否7.空調(diào)備份1.是否建立了空調(diào)備份機制，有備用空調(diào)機口是否2.在主用空調(diào)發(fā)生故障時，備用空調(diào)機是否 能夠及時啟用口是否4安 全 監(jiān) 控 與 管 理1.實時監(jiān)控1.是否配備了監(jiān)控設備和人員，對交易業(yè)務 網(wǎng)內(nèi)的服務器、主干網(wǎng)絡設備的性能進行24小時實時監(jiān)控，并形成監(jiān)控記錄口是否2.是否對交易、結算、銀證業(yè)務等交易業(yè)務 運行情況進行24小時不間斷監(jiān)控，并形成監(jiān) 控記錄口是否3.是否對網(wǎng)絡流量、網(wǎng)站內(nèi)容等米取了24小時監(jiān)控

7、措施，并形成監(jiān)控記錄口是否2.日志檢查和 分析1.是否定期對關鍵網(wǎng)絡、安全設備和服務器 日志進行備份口是否2.是否定期對關鍵網(wǎng)絡、安全設備和服務器 日志進行檢查和分析，形成記錄口是否3.權限和口令1.是否對交易業(yè)務服務器、主干交換設備等 關鍵設備按最小安全訪問原則設置訪問控制口是否管理權限，并及時清理冗余系統(tǒng)用戶，正確分配 用戶權限2.是否建立了有效的口令管理制度，有修改 操作系統(tǒng)、數(shù)據(jù)庫及應用系統(tǒng)管理員口令的 記錄口是否3.登錄口令修改頻率是否不彳氐于每月一次口是否4.登錄口令長度是否不低于 12位，并米用數(shù) 字、字母、符號混排的方式口是否5.是否對交易業(yè)務服務器、主干網(wǎng)絡設備、安全設備等的

8、管理和維護采取了限制IP登錄的管理措施口是否4. 病毒、木馬監(jiān)控是否對業(yè)務網(wǎng)和辦公網(wǎng)安裝了殺毒和防木馬 軟件，并進行定期升級和在線掃描口是否1.是否對機房進出人員進行了登記管理口是否5.機房安全2.是否對外來人員操作系統(tǒng)有陪同、審批和 監(jiān)控制度口是否3.機房環(huán)境是否防靜電、防水、防火、防盜、 防蟲害、防潮、防震口是否1.應急小組是否成立了突發(fā)事件應急處理小組，明確了 事件報告人，并報當?shù)刈C監(jiān)局備案口是否52.應急值班制度是否建立了應急值班制度，并且應急值守人 員保持了 24小時電話通暢口是否應3.應急預案是否制定了應急處置預案口是否保障4.應急經(jīng)費與 物資是否落實了應急經(jīng)費與物資口是否5.系統(tǒng)文檔是否制定了詳細的系統(tǒng)管理配置文檔口是否6.應急是否建立了詳細的應急聯(lián)系人文