關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告

1、國都證券有限責(zé)任公司文件國都信字2011010號關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告東城公安分局網(wǎng)安大隊：根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求，國都證券有 限責(zé)任公司組織有關(guān)部門和人員對信息系統(tǒng)的安全管理制 度、建設(shè)和全管理、安全運營、應(yīng)急管理等進行了自查，現(xiàn) 將有關(guān)自查情況報告提交貴局審閱。特此報告。附件：國都證券有限責(zé)任公司關(guān)于網(wǎng)絡(luò)與信息安全自 查情況的報告二O一一年六月二十八日主題詞：信息技術(shù)自查情況 報告內(nèi)部抄送：公司領(lǐng)導(dǎo)，綜合管理部、人力資源部、 合規(guī)與風(fēng)險管理部。校對：李靜波印制：3份 2011年6月28日附件：國都證券有限責(zé)任公司 關(guān)于網(wǎng)絡(luò)與信息安全自查情況的報告東城公安分局網(wǎng)安大隊

2、 :根據(jù)貴局關(guān)于網(wǎng)絡(luò)與信息安全自查的要求， 國都證券有限責(zé)任公 司（以下簡稱“公司”或“我）司組”織有關(guān)部門和人員對信息系統(tǒng)的安全 管理制度、建設(shè)和全管理、安全運營、應(yīng)急管理等進行了自查，現(xiàn)將 有關(guān)自查情況報告如下：一、 信息安全總體情況公司一直非常重視信息系統(tǒng)的安全管理工作。 公司明確由信息技 術(shù)中心負(fù)責(zé)信息系統(tǒng)的安全管理工作， 公司在信息系統(tǒng)的安全制度建 設(shè)、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等 方面不斷細(xì)化和完善， 公司信息系統(tǒng)總體運行穩(wěn)定， 未發(fā)生重大網(wǎng)絡(luò) 與信息系統(tǒng)安全事件。（一）建立安全管理制度公司 2010 年全面修訂信息技術(shù)的相關(guān)管理制度，明確了信息技 術(shù)管

3、理組織框架、 信息安全管理的總體目標(biāo)和原則。 公司建立了信息 技術(shù)安全管理辦法， 明確了信息系統(tǒng)安全管理工作的重點為身份識別 （賬戶權(quán)限及密碼） 、訪問控制、漏洞管理、病毒防范、日志管理、 系統(tǒng)安全策略配置、 信息安全事件處置等方面， 明確了安全管理操作 的原則和規(guī)范。公司安全管理制度的制定、 修訂和發(fā)布等均按公司有關(guān)制度的要 規(guī)定進行，安全管理制度由信息技術(shù)中心制定、修訂，由合規(guī)與風(fēng)險 管理部及相關(guān)部門參與審核， 公司通過發(fā)文的形式完成安全制度的發(fā)布，公司規(guī)定每年對制度進行一次梳理并酌情進行修訂（二）明確安全管理機構(gòu) 公司明確了信息技術(shù)中心負(fù)責(zé)公司信息系統(tǒng)安全管理工作， 信息 技術(shù)中心設(shè)立并

4、配備了安全管理員、 網(wǎng)絡(luò)管理員、系統(tǒng)運維管理員等， 公司總部各部門、 北京交易中心、 上海災(zāi)備中心及各營業(yè)部均指定專 人為安全管理聯(lián)絡(luò)員。 系統(tǒng)的運行、 網(wǎng)絡(luò)接入和重要資源的訪問均通 過公司 OA 辦公系統(tǒng)進行審批， 依據(jù)審批內(nèi)容不同將分別由部門負(fù)責(zé) 人、主管公司領(lǐng)導(dǎo)等審批。公司通過電話、即時通信工具等及時進行 公司內(nèi)部信息的溝通以及與公安、電信及兄弟單位等部門的溝通。（三）人員安全管理 公司由人力資源部負(fù)責(zé)人員的招聘和錄用， 公司明確禁止錄用有 犯罪或嚴(yán)重違規(guī)行為記錄的人員從事公司信息技術(shù)工作， 公司與員工 均簽有保密協(xié)議， 在人員離職時均要求辦理交接手續(xù)并終止系統(tǒng)訪問 權(quán)限等， 公司不斷加

5、強安全意識的教育與培訓(xùn)工作， 對信息技術(shù)中心 關(guān)鍵崗位人員上崗前均進行必要的培訓(xùn)， 公司制訂了信息技術(shù)事故認(rèn) 定與處理制度，規(guī)范了相關(guān)獎懲的措施。（四）系統(tǒng)建設(shè)管理 公司完成了主要信息系統(tǒng)安全的保護等級工作， 相關(guān)信息系統(tǒng)的 定級結(jié)果經(jīng)證監(jiān)局核準(zhǔn)后已報北京市公安局備案。公司在系統(tǒng)建設(shè)時就網(wǎng)絡(luò)設(shè)計、 訪問管理、 應(yīng)用安全等與廠商和 有關(guān)部門進行詳細(xì)溝通， 并結(jié)合公司情況及監(jiān)管要求， 審查廠商的方 案是否符合公司安全管理要求， 公司要求開發(fā)商提供的產(chǎn)品涉及密碼 產(chǎn)品的應(yīng)提供國家有關(guān)部門的資質(zhì)證書。 公司制定了信息技術(shù)項目管 理、采購的制度，明確了負(fù)責(zé)采購的部門為信息技術(shù)中心及采購程序， 公司在軟件

6、安裝前通過 NOD32 防病毒系統(tǒng)進行病毒檢測， 但缺乏全 面的惡意代碼檢測機制。公司規(guī)定了項目實施前應(yīng)建立項目計劃書并實施項目周報制度， 公司由信息技術(shù)中心負(fù)責(zé)項目建設(shè)的管理工作， 系統(tǒng)的測試工作由信 息技術(shù)中心協(xié)調(diào)有關(guān)部門工作完成。 公司規(guī)定了信息系統(tǒng)上線前廠商 應(yīng)提供的有關(guān)文檔資料， 并安排廠商對公司有關(guān)部門和人員進行必要 的運維和使用的培訓(xùn)。公司對信息系統(tǒng)涉及的網(wǎng)絡(luò)、 設(shè)備、應(yīng)用等根據(jù)系統(tǒng)運行情況進 行必要的巡查， 總體來看， 公司信息系統(tǒng)安全狀況基本達到安全等級 保護的要求， 但是公司網(wǎng)站等需要進一步完善安全管理措施， 即將建 設(shè)硬件防病毒網(wǎng)關(guān)與更新高性能的 WEB 應(yīng)用防火墻，均已

7、完成立項 工作。公司明確了信息系統(tǒng)安全建設(shè)的主管領(lǐng)導(dǎo)、 責(zé)任部門和相關(guān)責(zé)任 人員，公司在相關(guān)系統(tǒng)的建設(shè)時分析其對公司網(wǎng)絡(luò)資源、訪問控制、 使用管理等可能出現(xiàn)的問題， 并盡可能改進有關(guān)安全管理的措施， 確 保系統(tǒng)安全穩(wěn)定運行。公司購置了多種類型的安全硬件設(shè)備，并于 2010 年部署了終端 安全管理系統(tǒng)，與提供產(chǎn)品的多家安全廠商保持著常年合作的關(guān)系。 在合作期間眾廠商皆對我公司的信息系統(tǒng)提供各類安全檢查、 威脅發(fā) 現(xiàn)、整改建議等服務(wù)。（五）系統(tǒng)運維管理公司制定了機房與運行環(huán)境管理辦法對有關(guān)機房物理訪問、 人員 及設(shè)備進出機房、基礎(chǔ)環(huán)境、開關(guān)機要求等僅進行了規(guī)范，信息技術(shù) 中心明確具體人員負(fù)責(zé)有關(guān)操

8、作和監(jiān)控。公司制定了信息技術(shù)設(shè)備管理辦法及固定資產(chǎn)管理辦法， 對信息 技術(shù)設(shè)備的登記、使用、關(guān)鍵設(shè)備的管理及處置等進行了規(guī)范，公司 綜合管理部對公司信息技術(shù)設(shè)備進行盤點和登記。公司制定了信息系統(tǒng)數(shù)據(jù)管理辦法， 對數(shù)據(jù)的備份與恢復(fù)、 數(shù)據(jù) 的訪問及有關(guān)操作進行了規(guī)范， 根據(jù)信息系統(tǒng)及數(shù)據(jù)的重要程度分別 采用硬盤、光盤并通過手工、自動等方式進行全量、 增量的數(shù)據(jù)備份， 對光盤等存儲介質(zhì)進行異地保存。公司制定了信息技術(shù)設(shè)備管理辦法、 網(wǎng)絡(luò)管理辦法， 明確了相關(guān) 設(shè)備及網(wǎng)路的管理部門為信息技術(shù)中心及機房負(fù)責(zé)人、網(wǎng)絡(luò)管理員 等，公司信息技術(shù)設(shè)備的選型由信息技術(shù)中心負(fù)責(zé)， 一般信息技術(shù)設(shè) 備的采購由綜合管

9、理部負(fù)責(zé)， 符合信息技術(shù)項目采購管理辦法的設(shè)備 采購由信息技術(shù)中心負(fù)責(zé)， 公司機房內(nèi)關(guān)鍵設(shè)備的開啟和關(guān)閉均由各 機房值班人員按開關(guān)機操作流程進行操作， 未規(guī)定流程的操作應(yīng)經(jīng)機 房負(fù)責(zé)人同意后進行操作。公司制定了網(wǎng)絡(luò)管理辦法等制度， 對網(wǎng)絡(luò)安全配置、 日志保存時 間、安全策略、升級與打補丁、口令更新周期等方面進行了規(guī)定，公 司設(shè)立網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)運行日志、 網(wǎng)絡(luò)監(jiān)控記錄的日常維護和報 警信息分析和處理工作，網(wǎng)絡(luò)管理員每季度對網(wǎng)絡(luò)系統(tǒng)進行漏洞掃 描，對發(fā)現(xiàn)的網(wǎng)絡(luò)系統(tǒng)安全漏洞采取措施進行修補 ,并備份有關(guān)配置， 公司與外部系統(tǒng)的連接均通過 OA 辦公系統(tǒng)有關(guān)流程進行審批得到 授權(quán)和批準(zhǔn)；公司制定了

10、信息系統(tǒng)權(quán)限管理制度， 公司相關(guān)系統(tǒng)的訪問控制策 略根據(jù)最小化原則通過審批后才賦予相關(guān)用戶， 公司根據(jù)信息系統(tǒng)運 行情況不定期進行漏洞掃描， 對發(fā)現(xiàn)的系統(tǒng)安全漏洞在保證公司系統(tǒng) 穩(wěn)定運行的情況下在與信息系統(tǒng)安全管理員及相關(guān)廠商溝通后酌情 進行修補， 因系統(tǒng)實時性要求較高， 公司未全面開啟有關(guān)設(shè)備和系統(tǒng) 的審計功能， 公司每天對系統(tǒng)運行情況進行實時的監(jiān)控和巡檢， 并根 據(jù)情況對有關(guān)日志進行不定期的分析。公司安裝了 NOD32 網(wǎng)絡(luò)版防病毒系統(tǒng)、 億陽網(wǎng)管終端安全管理 系統(tǒng)并由安全管理員管理， 公司要求所有外來設(shè)備在接入網(wǎng)絡(luò)前進行 檢查，公司嚴(yán)格控制外來設(shè)備接入交易網(wǎng)， 公司信息技術(shù)安全管理辦 法

11、對防惡意代碼軟件的授權(quán)使用、 惡意代碼庫升級、 匯報等作出了規(guī) 定。公司制定了信息系統(tǒng)密碼管理辦法及系統(tǒng)變更管理辦法， 公司在 信息技術(shù)項目采購時對涉及密碼內(nèi)容的， 均要求廠商出具由證明產(chǎn)品 符合國家主管部門要求的資質(zhì)證書等， 公司系統(tǒng)變更管理辦法對系統(tǒng) 變更的角色、程序、版本、操作等進行了規(guī)范，重大升級均通過公司 OA 系統(tǒng)進行審批并在通過業(yè)務(wù)和技術(shù)為測試后進行。公司根據(jù)系統(tǒng)的重要性等分別進行系統(tǒng)級的熱備、溫備、冷備、 災(zāi)備措施， 公司制定了信息系統(tǒng)災(zāi)備管理辦法， 明確了災(zāi)備啟動和恢 復(fù)的條件、程序、操作流程等，公司信息系統(tǒng)數(shù)據(jù)管理辦法，對數(shù)據(jù) 的備份與恢復(fù)的周期、介質(zhì)、保存等進行了規(guī)范。公

12、司制定了信息技術(shù)事故認(rèn)定與處理制度和風(fēng)險報告制度， 規(guī)定 了信息技術(shù)安全事件的處理及報告程序， 公司信息技術(shù)安全事件的報 告以風(fēng)險控制單的形式通過 OA 辦公系統(tǒng)流轉(zhuǎn)。公司制定了網(wǎng)絡(luò)與信息安全事件應(yīng)急預(yù)案， 預(yù)案對決策體系、 啟 動條件、信息的報告和發(fā)布、不同情況的應(yīng)急處理程序、演練及培訓(xùn) 等進行了基本的規(guī)范， 公司集中交易及相關(guān)系統(tǒng)每年最少進行兩次包 括上海災(zāi)備中心、營業(yè)部的全網(wǎng)演練。（六）重要信息系統(tǒng)情況 公司本次自查了呼叫中心系統(tǒng)、法人清算系統(tǒng)、集中交易系統(tǒng)、 門戶網(wǎng)站、網(wǎng)上交易系統(tǒng)以及投資與客戶資產(chǎn)管理系統(tǒng)， 6 個系統(tǒng)在 數(shù)據(jù)安全、網(wǎng)絡(luò)安全、物理安全、應(yīng)用安全、主機安全幾個方面基本

13、符合有關(guān)安全管理的要求， 其中門戶網(wǎng)站、 網(wǎng)上交易系統(tǒng)部署在 IDC 托管機房，其他 4 個系統(tǒng)分別部署在北京交易中心機房、 北京總部中 心機房， 各系統(tǒng)公司均安排專門的系統(tǒng)維護人員， 運維人員在每個交 易日定時進行系統(tǒng)巡檢， 發(fā)現(xiàn)異常及時處理和報告， 系統(tǒng)通過身份鑒 別、權(quán)限控制、網(wǎng)絡(luò)控制、數(shù)據(jù)備份、線路和設(shè)備的冗余以及機房的 安全控制等基本保證信息系統(tǒng)安全穩(wěn)定運行。二、 存在問題 通過對公司網(wǎng)絡(luò)與信息安全自查，公司在以下方面存在不足：（一）信息安全培訓(xùn)力度不夠公司基本在員工入職時進行信息系統(tǒng)安全的培訓(xùn)， 此后較少進行 有關(guān)安全使用的培訓(xùn)， 為強化員工安全意識， 公司應(yīng)該每年至少進行 一定次

14、數(shù)的信息系統(tǒng)安全使用的培訓(xùn)。（二）軟件漏洞檢測不全面 公司目前未進行全面的信息系統(tǒng)安全漏洞檢測， 一般情況下只進 行病毒檢測， 因行業(yè)內(nèi)廠商基本不提供前端的源代碼， 所有也基本無 法審查是否存在后門的要求，僅要求廠商做出不存在后門的承諾。（三）系統(tǒng)自查不完善 公司沒有進行每半年組織一次信息系統(tǒng)安全自查工作， 雖然公司 對網(wǎng)絡(luò)、設(shè)備、系統(tǒng)均進行不定期的檢查、實時監(jiān)控和巡檢等工作， 但未專門組織系統(tǒng)安全自查工作。（四）審計管理不完善因相關(guān)系統(tǒng)運行的安全穩(wěn)定問題， 公司未開啟有關(guān)操作系統(tǒng)、 數(shù) 據(jù)庫的全部審計功能，同時各應(yīng)用系統(tǒng)自身的審計功能也不是很完 善，有的僅僅記錄的用戶的登錄和退出等。（五）網(wǎng)

15、站缺乏更有效地防入侵及檢測設(shè)備公司 2009 年從綠盟科技購置了應(yīng)用防火墻 WAF600 ，此設(shè)備功 能與性能基本上可滿足目前門戶網(wǎng)站的安全需要， 但隨著來自互聯(lián)網(wǎng) 的各類新型安全威脅越來越突出， 有可能使公司的門戶網(wǎng)站造成嚴(yán)重 的破壞。三、 整改計劃（一）加強信息安全培訓(xùn)力度 公司開始每年進行至少一次的信息系統(tǒng)安全使用培訓(xùn)， 公司將在 2012 年制定培訓(xùn)計劃時安排此項工作，培訓(xùn)內(nèi)容將根據(jù)公司信息系 統(tǒng)運行和使用中的問題選定， 主要包括系統(tǒng)補丁安裝、 系統(tǒng)漏洞檢測、 防病毒軟件的使用、數(shù)據(jù)的備份、安全上網(wǎng)等。責(zé)任人：李靜波（二）完善軟件漏洞檢測 公司將根據(jù)系統(tǒng)的情況逐步實現(xiàn)信息的安全漏洞工作

16、。 公司將在 2011 年年底前安排有關(guān)廠商對門戶網(wǎng)站進行漏洞檢測，并根據(jù)檢測 的結(jié)果， 要求開發(fā)商進行系統(tǒng)安全加固工作， 此項工作每年將至少執(zhí) 行一次。責(zé)任人：孫育紅、李靜波（三）增強系統(tǒng)安全自查工作公司將由信息技術(shù)中心牽頭， 每年至少一次對全公司各類信息系 統(tǒng)進行全面的安全檢查工作，包括但不僅限于網(wǎng)絡(luò)、設(shè)備、應(yīng)用系統(tǒng) 等。責(zé)任人：王士軍、李靜波、楊炯（四）逐步完善審計管理工作因公司交易系統(tǒng)實時性要求極高， 本著謹(jǐn)慎的原則， 公司將進一 步與廠商、 其他證券公司溝通就審計功能開啟問題進行溝通， 在確保 系統(tǒng)安全穩(wěn)定運行的前提下， 逐步開啟必要的審計功能， 同時與各信 息系統(tǒng)開發(fā)商溝通 ,要求其完善自身應(yīng)用的審計功能等。責(zé)任人：各系統(tǒng)負(fù)責(zé)人（五）完善門戶網(wǎng)站安全機制的建設(shè) 公司門戶網(wǎng)站是對外信息發(fā)布的窗口， 是與外界進行網(wǎng)絡(luò)溝通的 橋梁，