網(wǎng)絡(luò)與信息安全自查情況的報告(精)

1、國都證券有限責(zé)任公司文件國都信字2011?010號關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告東城公安分局網(wǎng)安大隊 :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求 , 國都證券有限責(zé)任公司組織有關(guān)部 門和人員對信息系統(tǒng)的安全管理制度、建設(shè)和全管理、安全運營、應(yīng)急管理等進行 了自查, 現(xiàn)將有關(guān)自查情況報告提交貴局審閱。特此報告。附件: 國都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告二一一年六月二十八日主題詞: 信息技術(shù)自查情況報告內(nèi)部抄送: 公司領(lǐng)導(dǎo) , 綜合管理部、人力資源部、合規(guī)與風(fēng)險管理部。校對:李靜波印制 :3 份 2011 年 6月 28日發(fā)附件:國都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告

2、東城公安分局網(wǎng)安大隊 :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求 , 國都證券有限責(zé)任公司 ( 以下簡稱 “公司”或“我司”組織有關(guān)部門和人員對信息系統(tǒng)的安全管理制度、建設(shè)和全管理、 安全運營、應(yīng)急管理等進行了自查 , 現(xiàn)將有關(guān)自查情況報告如下 :一、信息安全總體情況公司一直非常重視信息系統(tǒng)的安全管理工作。公司明確由信息技術(shù)中心負責(zé)信 息系統(tǒng)的安全管理工作 , 公司在信息系統(tǒng)的安全制度建設(shè)、安全管理機構(gòu)、人員安 全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面不斷細化和完善, 公司信息系統(tǒng)總體運行穩(wěn)定 , 未發(fā)生重大網(wǎng)絡(luò)與信息系統(tǒng)安全事件。( 一建立安全管理制度公司 2010 年全面修訂信息技術(shù)的相關(guān)管理

3、制度 , 明確了信息技術(shù)管理組織框 架、信息安全管理的總體目標和原則。公司建立了信息技術(shù)安全管理辦法 , 明確了 信息系統(tǒng)安全管理工作的重點為身份識別 ( 賬戶權(quán)限及密碼、訪問控制、漏洞管 理、病毒防范、日志管理、系統(tǒng)安全策略配置、信息安全事件處置等方面 , 明確了 安全管理操作的原則和規(guī)范。公司安全管理制度的制定、修訂和發(fā)布等均按公司有關(guān)制度的要規(guī)定進行 , 安 全管理制度由信息技術(shù)中心制定、修訂 , 由合規(guī)與風(fēng)險管理部及相關(guān)部門參與審核 公司通過發(fā)文的形式完成安全制度的發(fā)布 , 公司規(guī)定每年對制度進行一次梳理并酌 情進行修訂。( 二明確安全管理機構(gòu)公司明確了信息技術(shù)中心負責(zé)公司信息系統(tǒng)安全

4、管理工作 , 信息技術(shù)中心設(shè)立 并配備了安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)運維管理員等 , 公司總部各部門、北京交 易中心、上海災(zāi)備中心及各營業(yè)部均指定專人為安全管理聯(lián)絡(luò)員。系統(tǒng)的運行、網(wǎng) 絡(luò)接入和重要資源的訪問均通過公司 0A 辦公系統(tǒng)進行審批，依據(jù)審批內(nèi)容不同將分 別由部門負責(zé)人、主管公司領(lǐng)導(dǎo)等審批。公司通過電話、即時通信工具等及時進行 公司內(nèi)部信息的溝通以及與公安、電信及兄弟單位等部門的溝通。( 三人員安全管理公司由人力資源部負責(zé)人員的招聘和錄用 , 公司明確禁止錄用有犯罪或嚴重違 規(guī)行為記錄的人員從事公司信息技術(shù)工作 , 公司與員工均簽有保密協(xié)議 , 在人員離職 時均要求辦理交接手續(xù)并終止系

5、統(tǒng)訪問權(quán)限等 , 公司不斷加強安全意識的教育與培 訓(xùn)工作 , 對信息技術(shù)中心關(guān)鍵崗位人員上崗前均進行必要的培訓(xùn) , 公司制訂了信息技 術(shù)事故認定與處理制度 , 規(guī)范了相關(guān)獎懲的措施。( 四系統(tǒng)建設(shè)管理公司完成了主要信息系統(tǒng)安全的保護等級工作 , 相關(guān)信息系統(tǒng)的定級結(jié)果經(jīng)證 監(jiān)局核準后已報北京市公安局備案。公司在系統(tǒng)建設(shè)時就網(wǎng)絡(luò)設(shè)計、訪問管理、應(yīng)用安全等與廠商和有關(guān)部門進行 詳細溝通 ,并結(jié)合公司情況及監(jiān)管要求 , 審查廠商的方案是否符合公司安全管理要求 公司要求開發(fā)商提供的產(chǎn)品涉及密碼產(chǎn)品的應(yīng)提供國家有關(guān)部門的資質(zhì)證書。公司 制定了信息技術(shù)項目管理、采購的制度 , 明確了負責(zé)采購的部門為信息技

6、術(shù)中心及 采購程序,公司在軟件安裝前通過N0D3防病毒系統(tǒng)進行病毒檢測，但缺乏全面的惡 意代碼檢測機制。公司規(guī)定了項目實施前應(yīng)建立項目計劃書并實施項目周報制度 ,公司由信息技術(shù)中心負責(zé)項目建設(shè)的管理工作 , 系統(tǒng)的測試工作由信息技術(shù)中 心協(xié)調(diào)有關(guān)部門工作完成。公司規(guī)定了信息系統(tǒng)上線前廠商應(yīng)提供的有關(guān)文檔資料 并安排廠商對公司有關(guān)部門和人員進行必要的運維和使用的培訓(xùn)。公司對信息系統(tǒng)涉及的網(wǎng)絡(luò)、設(shè)備、應(yīng)用等根據(jù)系統(tǒng)運行情況進行必要的巡查 總體來看 , 公司信息系統(tǒng)安全狀況基本達到安全等級保護的要求 , 但是公司網(wǎng)站等需 要進一步完善安全管理措施,即將建設(shè)硬件防病毒網(wǎng)關(guān)與更新高性能的 WEB應(yīng)用防

7、火墻 , 均已完成立項工作。公司明確了信息系統(tǒng)安全建設(shè)的主管領(lǐng)導(dǎo)、責(zé)任部門和相關(guān)責(zé)任人員 , 公司在 相關(guān)系統(tǒng)的建設(shè)時分析其對公司網(wǎng)絡(luò)資源、訪問控制、使用管理等可能出現(xiàn)的問題 并盡可能改進有關(guān)安全管理的措施 , 確保系統(tǒng)安全穩(wěn)定運行。公司購置了多種類型的安全硬件設(shè)備 ,并于 2010年部署了終端安全管理系統(tǒng) , 與提供產(chǎn)品的多家安全廠商保持著常年合作的關(guān)系。在合作期間眾廠商皆對我公司 的信息系統(tǒng)提供各類安全檢查、威脅發(fā)現(xiàn)、整改建議等服務(wù)。( 五系統(tǒng)運維管理公司制定了機房與運行環(huán)境管理辦法對有關(guān)機房物理訪問、人員及設(shè)備進出機 房、基礎(chǔ)環(huán)境、開關(guān)機要求等僅進行了規(guī)范 , 信息技術(shù)中心明確具體人員負

8、責(zé)有關(guān) 操作和監(jiān)控。公司制定了信息技術(shù)設(shè)備管理辦法及固定資產(chǎn)管理辦法 , 對信息技術(shù)設(shè)備的登 記、使用、關(guān)鍵設(shè)備的管理及處置等進行了規(guī)范 , 公司綜合管理部對公司信息技術(shù) 設(shè)備進行盤點和登記。公司制定了信息系統(tǒng)數(shù)據(jù)管理辦法 , 對數(shù)據(jù)的備份與恢復(fù)、數(shù)據(jù)的訪問及有關(guān) 操作進行了規(guī)范 , 根據(jù)信息系統(tǒng)及數(shù)據(jù)的重要程度分別采用硬盤、光盤并通過手工、自動等方式進行全量、增量的數(shù)據(jù)備份 , 對光盤 等存儲介質(zhì)進行異地保存。公司制定了信息技術(shù)設(shè)備管理辦法、網(wǎng)絡(luò)管理辦法 , 明確了相關(guān)設(shè)備及網(wǎng)路的 管理部門為信息技術(shù)中心及機房負責(zé)人、網(wǎng)絡(luò)管理員等 , 公司信息技術(shù)設(shè)備的選型 由信息技術(shù)中心負責(zé) , 一般信息

9、技術(shù)設(shè)備的采購由綜合管理部負責(zé) ,符合信息技術(shù)項 目采購管理辦法的設(shè)備采購由信息技術(shù)中心負責(zé) , 公司機房內(nèi)關(guān)鍵設(shè)備的開啟和關(guān) 閉均由各機房值班人員按開關(guān)機操作流程進行操作 , 未規(guī)定流程的操作應(yīng)經(jīng)機房負 責(zé)人同意后進行操作。公司制定了網(wǎng)絡(luò)管理辦法等制度 , 對網(wǎng)絡(luò)安全配置、日志保存時間、安全策 略、升級與打補丁、口令更新周期等方面進行了規(guī)定 , 公司設(shè)立網(wǎng)絡(luò)管理員負責(zé)網(wǎng) 絡(luò)運行日志、網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報警信息分析和處理工作 , 網(wǎng)絡(luò)管理員每 季度對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃描 , 對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞采取措施進行修補 , 并備 份有關(guān)配置，公司與外部系統(tǒng)的連接均通過0A辦公系統(tǒng)有關(guān)流程進行

10、審批得到授權(quán) 和批準;公司制定了信息系統(tǒng)權(quán)限管理制度 , 公司相關(guān)系統(tǒng)的訪問控制策略根據(jù)最小化 原則通過審批后才賦予相關(guān)用戶 , 公司根據(jù)信息系統(tǒng)運行情況不定期進行漏洞掃描 , 對發(fā)現(xiàn)的系統(tǒng)安全漏洞在保證公司系統(tǒng)穩(wěn)定運行的情況下在與信息系統(tǒng)安全管理員 及相關(guān)廠商溝通后酌情進行修補 , 因系統(tǒng)實時性要求較高 , 公司未全面開啟有關(guān)設(shè)備 和系統(tǒng)的審計功能 ,公司每天對系統(tǒng)運行情況進行實時的監(jiān)控和巡檢 , 并根據(jù)情況對 有關(guān)日志進行不定期的分析。公司安裝了 N0D3網(wǎng)絡(luò)版防病毒系統(tǒng)、億陽網(wǎng)管終端安全管理系統(tǒng)并由安全管 理員管理 , 公司要求所有外來設(shè)備在接入網(wǎng)絡(luò)前進行檢查 , 公司嚴格控制外來設(shè)備接

11、 入交易網(wǎng) , 公司信息技術(shù)安全管理辦法對防惡意代碼軟件的授權(quán)使用、 惡意代碼庫升級、 匯報等作出了規(guī)定。 公 司制定了信息系統(tǒng)密碼管理辦法及系統(tǒng)變更管理辦法， 公司在 信息技術(shù)項目采購 時對涉及密碼內(nèi)容的， 均要求廠商出具由證明產(chǎn)品 符合國家主管部門要求的資質(zhì) 證書等， 公司系統(tǒng)變更管理辦法對系統(tǒng) 變更的角色、程序、版本、操作等進行了 規(guī)范，重大升級均通過公司 0A 系統(tǒng)進行審批并在通過業(yè)務(wù)和技術(shù)為測試后進行。 公司根據(jù)系統(tǒng)的重要性等分別進行系統(tǒng)級的熱備、溫備、冷備、 災(zāi)備措施，公司 制定了信息系統(tǒng)災(zāi)備管理辦法，明確了災(zāi)備啟動和恢 復(fù)的條件、程序、操作流程 等，公司信息系統(tǒng)數(shù)據(jù)管理辦法，對數(shù)

12、據(jù) 的備份與恢復(fù)的周期、介質(zhì)、保存等進 行了規(guī)范。 公司制定了信息技術(shù)事故認定與處理制度和風(fēng)險報告制度， 規(guī)定 了 信息技術(shù)安全事件的處理及報告程序， 公司信息技術(shù)安全事件的報 告以風(fēng)險控制 單的形式通過 0A 辦公系統(tǒng)流轉(zhuǎn)。 公司制定了網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案，預(yù) 案對決策體系、啟 動條件、信息的報告和發(fā)布、不同情況的應(yīng)急處理程序、演練 及培訓(xùn) 等進行了基本的規(guī)范， 公司集中交易及相關(guān)系統(tǒng)每年最少進行兩次包 括 上海災(zāi)備中心、營業(yè)部的全網(wǎng)演練。 （六） 重要信息系統(tǒng)情況 公司本次自查了 呼叫中心系統(tǒng)、法人清算系統(tǒng)、集中交易系統(tǒng)、 門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)以及投 資與客戶資產(chǎn)管理系統(tǒng)， 6 個

13、系統(tǒng)在 數(shù)據(jù)安全、網(wǎng)絡(luò)安全、物理安全、應(yīng)用安 全、主機安全幾個方面基本 符合有關(guān)安全管理的要求，其中門戶網(wǎng)站、網(wǎng)上交易 系統(tǒng)部署在 IDC 托管機房，其他 4 個系統(tǒng)分別部署在北京交易中心機房、北京總 部中 心機房，各系統(tǒng)公司均安排專門的系統(tǒng)維護人員，運維人員在每個交 易日定 時進行系統(tǒng)巡檢，發(fā)現(xiàn)異常及時處理和報告，系統(tǒng)通過身份鑒 別、權(quán)限控制、網(wǎng) 絡(luò)控制、數(shù)據(jù)備份、線路和設(shè)備的冗余以及機房的 5安全控制等基本保證信息系統(tǒng)安全穩(wěn)定運行。 二、 存在問題 通過對公司網(wǎng) 絡(luò)與信息安全自查，公司在以下方面存在不足： （一） 信息安全培訓(xùn)力度不夠 公司基本在員工入職時進行信息系統(tǒng)安全的培訓(xùn)， 此后較少

14、進行 有關(guān)安全使用的 培訓(xùn)，為強化員工安全意識，公司應(yīng)該每年至少進行 一定次數(shù)的信息系統(tǒng)安全使 用的培訓(xùn)。 （二） 軟件漏洞檢測不全面 公司目前未進行全面的信息系統(tǒng)安全漏 洞檢測， 一般情況下只進 行病毒檢測，因行業(yè)內(nèi)廠商基本不提供前端的源代碼， 所有也基本無 法審查是否存在后門的要求，僅要求廠商做出不存在后門的承諾。 （三） 系統(tǒng)自查不完善 公司沒有進行每半年組織一次信息系統(tǒng)安全自查工作， 雖然公司 對網(wǎng)絡(luò)、設(shè)備、系統(tǒng)均進行不定期的檢查、實時監(jiān)控和巡檢等工作， 但 未專門組織系統(tǒng)安全自查工作。 （四） 審計管理不完善 因相關(guān)系統(tǒng)運行的安全 穩(wěn)定問題，公司未開啟有關(guān)操作系統(tǒng)、數(shù) 據(jù)庫的全部審計

15、功能，同時各應(yīng)用系統(tǒng) 自身的審計功能也不是很完 善，有的僅僅記錄的用戶的登錄和退出等。 （五） 網(wǎng)站缺乏更有效地防入侵及檢測設(shè)備 公司 2009 年從綠盟科技購置了應(yīng)用防火墻 WAF60，0 此設(shè)備功能 與性能基本上可滿足目前門戶網(wǎng)站的安全需要， 但隨著來自 互聯(lián)網(wǎng)的 各類新型安全威脅越來越突出， 有可能使公司的門戶網(wǎng)站造成嚴重的 破壞。 三、 整改計劃 （一） 加強信息安全培訓(xùn)力度 6公司開始每年進行至少一次的信息系統(tǒng)安全使用培訓(xùn)， 公司將在 2012 年制 定培訓(xùn)計劃時安排此項工作，培訓(xùn)內(nèi)容將根據(jù)公司信息系 統(tǒng)運行和使用中的問題選定，主要包括系統(tǒng)補丁安裝、系統(tǒng)漏洞檢測、防病毒軟件的使用、數(shù)

16、據(jù)的備 份、安全上網(wǎng)等。 責(zé)任人：李靜波 （二）完善軟件漏洞檢測 公司將根據(jù)系統(tǒng)的 情況逐步實現(xiàn)信息的安全漏洞工作。公司將在2011年年底前安排有關(guān)廠商對門戶網(wǎng)站進行漏洞檢測，并根據(jù)檢測 的結(jié)果，要求開發(fā)商進行系統(tǒng)安全加固工作， 此項工作每年將至少執(zhí)行一次。責(zé)任人：孫育紅、李靜波（三）增強系統(tǒng)安全 自查工作 公司將由信息技術(shù)中心牽頭，每年至少一次對全公司各類信息系 統(tǒng)進行全面的安全檢查工作，包括但不僅限于網(wǎng)絡(luò)、設(shè)備、應(yīng)用系統(tǒng)等。責(zé)任人：王士軍、李靜波、楊炯 逐步完善審計管理工作（四）逐步完善審計管理工作 因公司交易系統(tǒng)實時性要求極高，本著謹慎的原則，公司將進一步與廠商、其他證券公司溝通就審計功能開啟問題進行溝通，在確保 系統(tǒng)安全穩(wěn)定運行的前提下，逐 步開啟必要的審計功能，同時與各信 息系統(tǒng)開發(fā)商溝通，要求其完善自身應(yīng)用的審 計功能等。 責(zé)任人：各系統(tǒng)負責(zé)人 （五）完善門戶網(wǎng)站安全機制的建設(shè) 公司門 戶網(wǎng)站是對外信息發(fā)布的窗口，是與外界進行網(wǎng)絡(luò)溝通的 橋梁，也是未來廣大用戶辦理業(yè)務(wù)的便捷通道，它的正常與否將直接 關(guān)系到運營商提供的服務(wù)質(zhì)量及其 公眾形象。公司對于此系統(tǒng)的安全7建設(shè)相當(dāng)重視，已立項購置硬件防病毒網(wǎng)關(guān)與高性能的 WEB安全防護系 統(tǒng)。2011年內(nèi)建設(shè)完成后，將從 WEB應(yīng)用生命周期的角度出發(fā)，建立事前、 事中、事后的綜合整體防護體系，實現(xiàn)門戶網(wǎng)站的分階段、多