期货、基金公司信息系统安全检查表.doc

附件1
证券、期货、基金公司信息系统安全检查表
受检单位名称
检查日期
检查小组成员名单
检查小组组长签字
受检单位技术负责人签字
受检单位负责人签字
检查情况备注
检查项目
检查内容
适用范围
检查结果
备注
证总
证营
期总
期营
基金
1
门户
网
站
及
网
上
交
易
系
统
1漏洞、木马、病毒检测
1是否安装了实时升级，在线扫描的木马、病毒防护软件
□是 □否
2是否建立了定期扫描并修补漏洞的工作制度
□是 □否
3是否对网站进行了全面检查，消除了sql注入漏洞、弱口令帐户、绕过验证、目录遍历、文件上传、下单网页未使用HTTPS加密机制等安全隐患
□是 □否
2门户网站和网上交易系统隔离
1门户网站和网上交易系统是否进行了严格隔离
□是 □否
2网上交易下单网页和网上交易后台数据库之间是否进行了严格有效隔离
□是 □否
3交易软件客户端下载
是否对通过网站下载的网上交易客户端软件采取了严格的防护措施，能够防止被捆绑木马程序
□是 □否
4端口限制和远程管理
1是否在防火墙和服务器上关闭了与业务无关的端口
□是 □否
2 是否禁止了通过互联网对防火墙、网络设备、服务器进行远程管理和维护
□是 □否
5．访问控制与审计
是否采用了可靠的身份认证、访问控制和安全审计措施，防止来自互联网的非法接入和非法访问
□是 □否
6网页安全
1是否对网页采取了防篡改等措施
□是 □否
2是否对网页内容采取了监控、过滤机制
□是 □否
2
1网络
1是否对交易业务网和内部办公网实施了物理隔离
□是 □否
交易
业务
系
统
隔离
2处理交易业务的计算机终端和移动存储介质是否专网专用，不允许访问互联网
□是 □否
3是否采用了可靠的身份认证、访问控制和安全审计措施，防止来自内部或现场交易的非法接入和非法访问
□是 □否
4是否在核心交易业务网和非核心交易业务网之间采取了有效的隔离措施，确保在外围系统被攻击的情况下，核心交易业务网能够安全运行
□是 □否
2交易业务系统维护
是否制订了交易业务系统主机、存储设备、网络设备的监控和维护计划，并有监控维护记录
□是 □否
3系统评估
公司内部是否对交易业务系统的可靠性和安全性有定期评估制度，并有评估报告
□是 □否
4系统升级
在对交易业务系统进行的重大升级和更新前是否制订了详细的升级方案
□是 □否
3
备
份
措
施
1灾难备份和故障备份
1是否对交易业务系统进行了故障备份
□是 □否