中國票據(jù)交易系統(tǒng)

1、中國票據(jù)交易系統(tǒng)系統(tǒng)參與者接入端信息系統(tǒng)檢查標(biāo)準(zhǔn)(適用于使用交易系統(tǒng)直連參與者)(V2.0)上海票據(jù)交易所2019年01月一、必備標(biāo)準(zhǔn)必備標(biāo)準(zhǔn)是指被驗(yàn)收參與機(jī)構(gòu)接入端信息系統(tǒng)檢查必須完全達(dá)到的標(biāo)準(zhǔn)。必備標(biāo)準(zhǔn)中任何一項(xiàng)指標(biāo)不達(dá)標(biāo), 視為接入端信息系統(tǒng)檢查驗(yàn)收不通過。1、網(wǎng)絡(luò)環(huán)境被檢查機(jī)構(gòu)：說明：檢查范圍為中國票據(jù)交易系統(tǒng)（直連通信平臺（JAR包）部署服務(wù)器）運(yùn)行的網(wǎng)絡(luò)系統(tǒng)環(huán)境，包括局域網(wǎng)，與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡(luò)安全設(shè)備。編號檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法自查結(jié)果檢查結(jié)果備注1網(wǎng)絡(luò)綜合布線1、檢查直連通信平臺 （JAR包）部署服務(wù)器所在的網(wǎng) 絡(luò)布線情況，能夠直接判斷哪些線路屬于被檢查

2、機(jī)器現(xiàn)場查看走線是否合 理，布線是否規(guī)整， 布線是否采用統(tǒng)一標(biāo) 識?？谕瓿?口就緒 口符合口符合要求 口未達(dá)要求2網(wǎng)絡(luò)冗余和備份1、應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力和網(wǎng)絡(luò)各個 部分的帶寬滿足業(yè)務(wù)高峰期需要。應(yīng)保證關(guān)鍵的網(wǎng)絡(luò)設(shè)備和通信線路具有冗余備份?，F(xiàn)場檢查與文檔審查 結(jié)合?，F(xiàn)場檢查：1 .與交易系統(tǒng)業(yè)務(wù) 相關(guān)的網(wǎng)絡(luò)區(qū)域 設(shè)備配置至少為 1:1冗余備份，租 用兩家不同運(yùn)營 商的線路連接到 票交所。2 .參與機(jī)構(gòu)提出高 峰時業(yè)務(wù)帶寬與 租用電路帶寬比 對?？谕瓿?口就緒 口符合口符合要求 口未達(dá)要求3網(wǎng)管系統(tǒng)1、應(yīng)配有網(wǎng)絡(luò)管理系統(tǒng)對中國票據(jù)交易系統(tǒng)接入環(huán) 境進(jìn)行有效監(jiān)控現(xiàn)場檢查與義檔審查 結(jié)合。

3、現(xiàn)場檢查：登陸網(wǎng)管檢查，對被 管理設(shè)備一個網(wǎng)絡(luò)接 口進(jìn)行關(guān)閉和打開操 作，網(wǎng)管能有效監(jiān)控。口完成 口就緒 口符合口符合要求 口未達(dá)要求4網(wǎng)絡(luò)入侵防范設(shè) 備1、應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、 強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢 出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等。2、當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、 攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供 報警?，F(xiàn)場檢查與義檔審查 結(jié)合。現(xiàn)場檢查：交易系統(tǒng)業(yè)務(wù)服務(wù)器 所在網(wǎng)絡(luò)區(qū)域配置了 網(wǎng)絡(luò)入侵檢測系統(tǒng)?？谕瓿?口就緒 口符合口符合要求 口未達(dá)要求5網(wǎng)絡(luò)防火墻1、應(yīng)在網(wǎng)絡(luò)邊界部署防火墻設(shè)備，啟用訪問控制功 能。檢查

4、交易系統(tǒng)業(yè)務(wù)服 務(wù)器是否部署了防火 墻進(jìn)行防護(hù)?？谕瓿?口就緒 口符合口符合要求 口未達(dá)要求6IP子網(wǎng)劃分1、應(yīng)根據(jù)重要性和所涉及信息的重要程度等因素， 劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原 則為各子網(wǎng)、網(wǎng)段分配地址段?，F(xiàn)場檢查與文檔審查 結(jié)合?，F(xiàn)場檢查：1 .在交易系統(tǒng)業(yè)務(wù)相關(guān)網(wǎng)絡(luò)設(shè)備使用showvlan brief查看交易系統(tǒng)業(yè)務(wù)網(wǎng)段是否與 其他網(wǎng)段屬于不同 vlan.2 .使用 show vlan access-map查看交易 系統(tǒng)業(yè)務(wù)所在vlan與 其他非相關(guān)vlan是否口完成 口就緒 口符合口符合要求 口未達(dá)要求配置訪問控制。檢 查 人：被查單位協(xié)查人員：2、主機(jī)與數(shù)據(jù)安全

5、檢查被檢查機(jī)構(gòu)：編號檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法自查結(jié)果檢查結(jié)果備注1系統(tǒng)保護(hù)1、應(yīng)具備系統(tǒng)備份。2、應(yīng)具有故障恢復(fù)策略。3、應(yīng)具有安全配置標(biāo)準(zhǔn)，并進(jìn)行安全配置。4、應(yīng)具有主機(jī)加固標(biāo)準(zhǔn)，并對主機(jī)進(jìn)行加固?，F(xiàn)場檢查與義檔審 查結(jié)合口完成 口就緒 口符合符合要求 口未達(dá)要求2數(shù)據(jù)備份1、須定期進(jìn)行數(shù)據(jù)備份。2、應(yīng)米用局可用性的備份介質(zhì)。3、應(yīng)采用合理的備份方式。4、應(yīng)定期進(jìn)行異地數(shù)據(jù)備份。5、應(yīng)進(jìn)行備份數(shù)據(jù)有效性檢驗(yàn)?，F(xiàn)場檢查與義檔審 查結(jié)合口完成 口就緒 口符合口符合要求 口未達(dá)要求檢 查 人：被查單位協(xié)查人員： _ _3、中國票據(jù)交易系統(tǒng)（直連通信平臺（JAR包）部署服務(wù)器）被檢查機(jī)構(gòu)：編號檢查項(xiàng)檢

6、查標(biāo)準(zhǔn)檢查方法自查結(jié)果檢查結(jié)果備注（一）直連通信平臺（JAR包）部署服務(wù)器環(huán)境檢查1直連通信平臺配 置檢查檢查 perties、MQSperties、MQRperties中各配置項(xiàng)是否止確查看perties、 MQSperties 、MQReceive .properties 文件口完成 口就緒 口符合口符合要求 口未達(dá)要求2檢查主Jar包及依 賴檢刈 api: SHCPEClient.jar依賴 jar 包：dmqs-client-1.0.2.jaractivemq-client-5.14.3.jaracti

7、vemq-jms-pool-5.14.3.jaractivemq-pool-5.14.3.jarcglib-nodep-2.2.2.jarcommons-pool2-2.4.2.jargeronimo-j2ee-management_1.1_spec-1.0.1.jargeronimo-jms_1.1_spec-1.1.1.jargeronimo-jta_1.0.1B_spec-1.0.1.jarhamcrest-core-1.3.jar檢查jar包及版本口完成 口就緒 口符合口符合要求 口未達(dá)要求hawtbuf-1.11.jar hawtbuf-proto-1.11.jar hawtbuf-

8、protoc-1.11.jar log4j-api-2.8.jar log4j-core-2.8.jar slf4j-api-1.7.13.jar slf4j-nop-1.7.25.jar objenesis-1.3.jar3Jar包日志檢查1、檢查應(yīng)用日志文件輸出文件相對位置，配置是否 正確logs/monitor.loglogs/shcpe_client.log2、檢查輸出應(yīng)用日志的目錄是否有寫入權(quán)限。查看日志文件 logs/monitor.log logs/shcpe_client .log口完成 口就緒 口符合口符合要求口未達(dá)要求4檢查JDK版本SUN JDK > =1.7IBM

9、 JDK > =1.7 二java -version口完成 口就緒 口符合口符合要求 口未達(dá)要求5FTP服務(wù)器配置檢查FTP服務(wù)器配置，ip、端口、用戶名FTP配置文件口完成 口就緒 口符合口符合要求 口未達(dá)要求（二）行內(nèi)接入軟件版本檢查1行內(nèi)接入軟件版 本標(biāo)識檢查應(yīng)在系統(tǒng)中有明確位置顯示行內(nèi)系統(tǒng)接入軟件版本 號現(xiàn)場檢查口完成 口就緒 口符合口符合要求 口未達(dá)要求2行內(nèi)接入軟件版 本一致性檢查被驗(yàn)收環(huán)境行內(nèi)接入軟件版本應(yīng)與接入端軟件驗(yàn)收 檢測時部署的版本一致行內(nèi)自行報告口完成 口就緒 口符合口符合要求 口未達(dá)要求檢 查 人:被查單位協(xié)查人員：二、一般標(biāo)準(zhǔn)一般標(biāo)準(zhǔn)是指被驗(yàn)收參與機(jī)構(gòu)接入端信

10、息系統(tǒng)的量化檢查指標(biāo)。一般標(biāo)準(zhǔn)實(shí)行“打分制”，滿分為100分,參與機(jī)構(gòu)得分應(yīng)達(dá)到或者超過70分。1、網(wǎng)絡(luò)系統(tǒng)環(huán)境檢查（32分）被檢查機(jī)構(gòu)：說明：檢查范圍為中國票據(jù)交易系統(tǒng)（直連通信平臺（ JAR包）部署服務(wù)器）運(yùn)行的網(wǎng)絡(luò)系統(tǒng)環(huán)境，包括局域網(wǎng)，與上海票交所互聯(lián)的路由器、防火墻以及其他網(wǎng)絡(luò) 安全設(shè)備。編 號檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法分值（最小單位為0.1 ）自查結(jié)果檢查結(jié)果備注（一）網(wǎng)絡(luò)布線1綜合布線1、走線方式現(xiàn)場查看走線是否 合理。121、布線規(guī)整現(xiàn)場查看布線是否 規(guī)整。131、統(tǒng)標(biāo)識現(xiàn)場查看布線是否 采用A標(biāo)識。1（二）網(wǎng)絡(luò)系統(tǒng)1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1、中國票據(jù)交易系統(tǒng)接入環(huán)境網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計清晰 合理，并

11、繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié) 構(gòu)圖。現(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查：登陸網(wǎng)管查看是否 能展示交易系統(tǒng)業(yè) 務(wù)所在網(wǎng)絡(luò)區(qū)域的 拓?fù)浣Y(jié)構(gòu)。并驗(yàn)證設(shè) 備型號，設(shè)備間互聯(lián) 等與實(shí)際情況是否 相符。12QoS保證1、應(yīng)按照中國票據(jù)交易系統(tǒng)交易類數(shù)據(jù)、信息類數(shù)據(jù)來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生 擁堵的時候優(yōu)先保護(hù)交易類業(yè)務(wù)的傳輸?，F(xiàn)場檢查與文檔審查結(jié)合。現(xiàn)場檢查：1 .在相關(guān)路由器 和交換機(jī)上使 用showclass-map 查 看交易系統(tǒng)業(yè) 務(wù)相關(guān)流量進(jìn) 行標(biāo)記。2 .在相關(guān)路由器 上使用命令 show1policy-map 查 看交易系統(tǒng)業(yè) 務(wù)相關(guān)流量進(jìn) 行優(yōu)先級保障。保障的帶寬應(yīng) 不小

12、于業(yè)務(wù)業(yè) 務(wù)高峰期需要。（三）網(wǎng)絡(luò)安全1路由安全控制1、應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控 制，建立安全的訪問路徑?，F(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查：1.交易系統(tǒng)業(yè)務(wù)終 端和交易系統(tǒng)業(yè)務(wù) 服務(wù)器是否配置了 防火墻進(jìn)行安全控 制；或交換機(jī)上使用命令 show vlan access-map 查看 交易系統(tǒng)終端和交 易系統(tǒng)業(yè)務(wù)服務(wù)器 之間的訪問控制列表.12防火墻安全控制1、須避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連 接外部信息系統(tǒng)，重要網(wǎng)段與其他網(wǎng)段之間須采 取可靠的技術(shù)隔離手段。2、應(yīng)在網(wǎng)絡(luò)邊界部署防火墻設(shè)備，啟用訪問控制功能。3、應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允 許/拒絕訪問的能

13、力，控制粒度為端口級。4、地址轉(zhuǎn)換。5、宜限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)（可選）。6、宜在會話處于非活躍一定時間或會話結(jié)束后終 止網(wǎng)絡(luò)連接（可選）?，F(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查：1 .交易系統(tǒng)業(yè)務(wù)服 務(wù)器是否部署了防 火墻進(jìn)行防護(hù)。2 .檢查防火墻配置 的交易系統(tǒng)相關(guān)策 略，采用了 NAT地址 轉(zhuǎn)換，控制粒度為端 口級。3 .檢查會話保持時 間為非長連接。（可 選）63網(wǎng)絡(luò)ARP欺騙攻擊1、宜具備有效防范網(wǎng)絡(luò) ARP欺騙攻擊的措施（可 選）?，F(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查：使用命令 show run interface （具體接 口）命令檢查交易系統(tǒng)業(yè)務(wù)交換機(jī)和 交易系統(tǒng)業(yè)務(wù)服務(wù) 器

14、之間的互聯(lián)口有 無端口安全配置命 令： switchport port-security14DOS/DDO敢擊1、應(yīng)具有防DOS/DDOSC擊設(shè)備或技術(shù)手段?，F(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查：例如配置了入侵檢 測技術(shù)能夠及時檢 測DOS/DDO敢擊。15網(wǎng)絡(luò)設(shè)備安全配置1、應(yīng)按照安全標(biāo)準(zhǔn)進(jìn)行設(shè)備配置，應(yīng)實(shí)現(xiàn)設(shè)備最小化服務(wù)配置。2、應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別。3、網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一。4、身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換。5、應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。6、對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，宜采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊取。7、應(yīng)具

15、有登錄失敗處理功能，可采取結(jié)束會話、 限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時自動退 出等措施?，F(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查交易系統(tǒng) 網(wǎng)絡(luò)設(shè)備：1 .參考備注中安全 配置模板進(jìn)行檢查。2 .使用命令：show run | include aaa查看是否有身份認(rèn) 證配置。3 .登陸設(shè)備查看設(shè)備 hostname 是否唯,o4 .交易系統(tǒng)業(yè)務(wù)相 關(guān)網(wǎng)絡(luò)設(shè)備上使用 show run|include vty 查看vty下是否 做了訪問控制，允許 指定地址登陸、采用 SSH限制了非法登7多女全配 置模板和相 應(yīng)的指引陸次數(shù)和連接超時。如：line vty 0 4access-class VTY-IN

16、inexec-timeout 5 0 logging synchronous transport input ssh transport output all 4.密碼有一定復(fù)雜 度并定期更換。（四）網(wǎng)絡(luò)管理1日志信息1、應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)及防火墻設(shè)備運(yùn)行狀 況、用戶行為等進(jìn)行日志記錄，內(nèi)容應(yīng)包括：事 件的日期和時間、用戶、事件類型、事件是否成 功及其他相關(guān)的信息。2、應(yīng)對日志記錄進(jìn)行保護(hù)， 避免受到未預(yù)期的刪 除、修改或覆蓋等。3、日志存儲時間應(yīng)不少于半年。4、應(yīng)根據(jù)需要，可按時間段或設(shè)備類型等維度提 出所需日志。現(xiàn)場檢查與義檔審 查結(jié)合?，F(xiàn)場檢查：檢查日志服務(wù)器是 否有相關(guān)設(shè)備的日 志記

17、錄，能提供一個 保存半年左右的日 志O42配置文件離線備份1、應(yīng)對設(shè)備配置文件定期進(jìn)行離線備份。現(xiàn)場檢查與文檔審 查結(jié)合?，F(xiàn)場檢查：提供一個一個月前1的離線備份配置文 件。（五）網(wǎng)絡(luò)設(shè)備運(yùn)維制度1網(wǎng)絡(luò)設(shè)備運(yùn)維制度1、應(yīng)具有網(wǎng)絡(luò)配置變更管理流程和制度。2、應(yīng)建立網(wǎng)絡(luò)安全管理制度，對網(wǎng)絡(luò)安全配置、 日志保存時間、安全策略、升級與打補(bǔ)丁、口令 更新周期等方面做出規(guī)定。3、宜具有設(shè)備參數(shù)配置標(biāo)準(zhǔn)手冊。4、應(yīng)具有網(wǎng)絡(luò)事故管理制度。5、應(yīng)保證所有與外部系統(tǒng)的連接均得到授權(quán)和批 準(zhǔn)。6、應(yīng)定期檢查違反規(guī)定撥號上網(wǎng)或其他違反網(wǎng)絡(luò) 安全策略的行為?，F(xiàn)場檢查與義檔審 查結(jié)合。6注：網(wǎng)絡(luò)設(shè)備安全配置模板：servi

18、ce timestamps debug datetime msec localtimeservice timestamps log datetime msec localtimeservice password-encryptionip subnet-zerono ip domain-lookupno ip source-routeno service padno ip bootp serverno ip http serverno service dhcpno service finger service nagle no ip gratuitous-arps service tcp-kee

19、palives-in service tcp-keepalives-out no boot network no ip identd no service configno service tcp-small-servers no service udp-small-servers no cdp run檢 查 人:被查單位協(xié)查人員:2、主機(jī)與數(shù)據(jù)安全檢查（53分）被檢查機(jī)構(gòu)：編號檢查項(xiàng)檢查標(biāo)準(zhǔn)檢查方法分值（最小單位為0.1 ）自查結(jié)果檢查結(jié)果備注（一）主機(jī)安全1身份鑒別1、應(yīng)分別設(shè)置專用的系統(tǒng)和應(yīng)用管理員用戶。2、系統(tǒng)與應(yīng)用管理員口令應(yīng)具有一定的復(fù)雜度， 并定期更換。3、宜對同一用戶采用兩種或

20、兩種以上組合的鑒別 技術(shù)實(shí)現(xiàn)用戶身份鑒別。4、應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、 限制非法登錄次數(shù)和自動退出等措施?，F(xiàn)場檢查與義檔審查 結(jié)合。42自主訪問控制1、宜控制主機(jī)信任關(guān)系。2、應(yīng)清除默認(rèn)過期用戶。3、應(yīng)按照最小授權(quán)原則分配用戶權(quán)限?，F(xiàn)場檢查與義檔審查 結(jié)合。33強(qiáng)制訪問控制1、應(yīng)控制重要系統(tǒng)文件權(quán)限。2、應(yīng)保證共享目錄安全。3、應(yīng)控制遠(yuǎn)程登錄?，F(xiàn)場檢查與義檔審查 結(jié)合。34安全審計1、日志記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。2、應(yīng)對日志記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。3、宜提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析 及生成審計報表

21、的功能。4、宜提供覆蓋到每個用戶的安全審計功能，對應(yīng) 用系統(tǒng)重要安全事件進(jìn)行審計。5、應(yīng)對無用的過期信息、文檔進(jìn)行完整刪除，并 建立數(shù)據(jù)刪除制度、保留刪除記錄?，F(xiàn)場檢查與義檔審查 結(jié)合。55系統(tǒng)保護(hù)1、應(yīng)具有系統(tǒng)備份。2、應(yīng)具有故障恢復(fù)策略。3、應(yīng)具有安全配置標(biāo)準(zhǔn)，并進(jìn)行安全配置。4、宜具有磁盤空間分配策略。5、應(yīng)具有主機(jī)加固標(biāo)準(zhǔn)，并對主機(jī)進(jìn)行加固?，F(xiàn)場檢查與義檔審查 結(jié)合。56剩余信息保護(hù)1、應(yīng)保證操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)用戶的鑒別信息 所在的存儲空間，被釋放或再分配給其他用戶前得 到完全清除，無論這些信息是存放在硬盤上還是在 內(nèi)存中；2、應(yīng)確保系統(tǒng)內(nèi)的文件、目錄和數(shù)據(jù)庫記錄等資 源所在的存儲空

22、間，被釋放或重新分配給其他用戶 前得到完全清除?，F(xiàn)場檢查與義檔審查 結(jié)合。27入侵防范1、應(yīng)能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為， 能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、 攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警。2、應(yīng)關(guān)閉系統(tǒng)不必要的服務(wù)和端口?，F(xiàn)場檢查與義檔審查 結(jié)合。33、操作系統(tǒng)應(yīng)遵循最小安裝的原則，僅安裝需要 的組件和應(yīng)用程序。8惡意代碼防范1、應(yīng)及時更新防惡意代碼軟件版本和惡意代碼庫。2、防惡意代碼軟件宜具有統(tǒng)一的控制措施。3、宜及時安裝系統(tǒng)必要的補(bǔ)丁。4、宜定期進(jìn)行漏洞掃描。現(xiàn)場檢查與義檔審查 結(jié)合。49資源控制1、應(yīng)通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條 件限制終端登

23、錄。2、應(yīng)根據(jù)安全策略設(shè)置登錄終端的操作超時鎖定 或退出。3、應(yīng)對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的 CPU硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用情況。4、應(yīng)能夠?qū)ο到y(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最 小值進(jìn)行監(jiān)測和報警?，F(xiàn)場檢查與義檔審查 結(jié)合。4（二）數(shù)據(jù)安全1數(shù)據(jù)存儲1、須采用有效措施保障存儲數(shù)據(jù)的安全。2、存儲內(nèi)容應(yīng)至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等內(nèi)容?，F(xiàn)場檢查與義檔審查 結(jié)合。22數(shù)據(jù)存儲設(shè)備1、應(yīng)米用安全、局可用性的數(shù)據(jù)存儲設(shè)備。2、設(shè)備型號應(yīng)滿足備份策略要求。3、應(yīng)選擇正規(guī)可靠的設(shè)備供應(yīng)商。4、應(yīng)采取相應(yīng)制度、措施保障設(shè)備安全性?，F(xiàn)場檢查與義檔審查 結(jié)合。43數(shù)據(jù)備份1、須定期進(jìn)行數(shù)據(jù)備份。2、應(yīng)米用局可用性的備份介質(zhì)。3、應(yīng)采用合理的備份方式。4、備份內(nèi)容應(yīng)至少包括系統(tǒng)管理數(shù)據(jù)、鑒別信息、重要業(yè)務(wù)數(shù)據(jù)等內(nèi)容。5、應(yīng)定期進(jìn)行異地數(shù)據(jù)備份。6、應(yīng)進(jìn)行備份數(shù)據(jù)有效性檢驗(yàn)?，F(xiàn)場檢查與義檔審查 結(jié)合。64數(shù)據(jù)備份介質(zhì)管 理1、應(yīng)在圖可用性的物理環(huán)境中保存介質(zhì)。2、應(yīng)確保介質(zhì)存放在安全的環(huán)境中，對各類介質(zhì) 進(jìn)行控制和保護(hù)，并實(shí)行存儲環(huán)境專人管理。3、應(yīng)制定備份介質(zhì)銷毀制度，保留銷毀記錄?，F(xiàn)場檢查與義檔審查 結(jié)合。35數(shù)據(jù)備份恢復(fù)管 理制度1、應(yīng)具有恢復(fù)制度。2、應(yīng)具有恢復(fù)演練計劃和演練記錄。3、應(yīng)具有恢復(fù)記錄。現(xiàn)場檢查與義檔審查 結(jié)合。36數(shù)字證書管理1、應(yīng)有專人