关于网络与信息安全自查情况的报告

国都证券有限责任公司文件国都信字2011010号关于网络与信息安全自查情况的报告东城公安分局网安大队:根据贵局关于网络与信息安全自查的要求，国都证券有限责任公司组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行了自查，现将有关自查情况报告提交贵局审阅。特此报告。附件：国都证券有限责任公司关于网络与信息安全自查情况的报告二一一年六月二十八日主题词：信息技术 自查情况 报告 内部抄送：公司领导，综合管理部、人力资源部、合规与风险管理部。校对：李静波 印制：3份 2011年6月28日发附件：国都证券有限责任公司关于网络与信息安全自查情况的报告东城公安分局网安大队:根据贵局关于网络与信息安全自查的要求，国都证券有限责任公司（以下简称“公司”或“我司”）组织有关部门和人员对信息系统的安全管理制度、建设和全管理、安全运营、应急管理等进行了自查，现将有关自查情况报告如下：一、 信息安全总体情况公司一直非常重视信息系统的安全管理工作。公司明确由信息技术中心负责信息系统的安全管理工作，公司在信息系统的安全制度建设、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面不断细化和完善，公司信息系统总体运行稳定，未发生重大网络与信息系统安全事件。（一） 建立安全管理制度公司2010年全面修订信息技术的相关管理制度，明确了信息技术管理组织框架、信息安全管理的总体目标和原则。公司建立了信息技术安全管理办法，明确了信息系统安全管理工作的重点为身份识别（账户权限及密码）、访问控制、漏洞管理、病毒防范、日志管理、系统安全策略配置、信息安全事件处置等方面，明确了安全管理操作的原则和规范。公司安全管理制度的制定、修订和发布等均按公司有关制度的要规定进行，安全管理制度由信息技术中心制定、修订，由合规与风险管理部及相关部门参与审核，公司通过发文的形式完成安全制度的发布，公司规定每年对制度进行一次梳理并酌情进行修订。（二） 明确安全管理机构公司明确了信息技术中心负责公司信息系统安全管理工作，信息技术中心设立并配备了安全管理员、网络管理员、系统运维管理员等，公司总部各部门、北京交易中心、上海灾备中心及各营业部均指定专人为安全管理联络员。系统的运行、网络接入和重要资源的访问均通过公司OA办公系统进行审批，依据审批内容不同将分别由部门负责人、主管公司领导等审批。公司通过电话、即时通信工具等及时进行公司内部信息的沟通以及与公安、电信及兄弟单位等部门的沟通。（三） 人员安全管理公司由人力资源部负责人员的招聘和录用，公司明确禁止录用有犯罪或严重违规行为记录的人员从事公司信息技术工作，公司与员工均签有保密协议，在人员离职时均要求办理交接手续并终止系统访问权限等，公司不断加强安全意识的教育与培训工作，对信息技术中心关键岗位人员上岗前均进行必要的培训，公司制订了信息技术事故认定与处理制度，规范了相关奖惩的措施。（四） 系统建设管理公司完成了主要信息系统安全的保护等级工作，相关信息系统的定级结果经证监局核准后已报北京市公安局备案。公司在系统建设时就网络设计、访问管理、应用安全等与厂商和有关部门进行详细沟通，并结合公司情况及监管要求，审查厂商的方案是否符合公司安全管理要求，公司要求开发商提供的产品涉及密码产品的应提供国家有关部门的资质证书。公司制定了信息技术项目管理、采购的制度，明确了负责采购的部门为信息技术中心及采购程序，公司在软件安装前通过NOD32防病毒系统进行病毒检测，但缺乏全面的恶意代码检测机制。公司规定了项目实施前应建立项目计划书并实施项目周报制度，公司由信息技术中心负责项目建设的管理工作，系统的测试工作由信息技术中心协调有关部门工作完成。公司规定了信息系统上线前厂商应提供的有关文档资料，并安排厂商对公司有关部门和人员进行必要的运维和使用的培训。公司对信息系统涉及的网络、设备、应用等根据系统运行情况进行必要的巡查，总体来看，公司信息系统安全状况基本达到安全等级保护的要求，但是公司网站等需要进一步完善安全管理措施，即将建设硬件防病毒网关与更新高性能的WEB应用防火墙，均已完成立项工作。公司明确了信息系统安全建设的主管领导、责任部门和相关责任人员，公司在相关系统的建设时分析其对公司网络资源、访问控制、使用管理等可能出现的问题，并尽可能改进有关安全管理的措施，确保系统安全稳定运行。公司购置了多种类型的安全硬件设备，并于2010年部署了终端安全管理系统，与提供产品的多家安全厂商保持着常年合作的关系。在合作期间众厂商皆对我公司的信息系统提供各类安全检查、威胁发现、整改建议等服务。（五） 系统运维管理公司制定了机房与运行环境管理办法对有关机房物理访问、人员及设备进出机房、基础环境、开关机要求等仅进行了规范，信息技术中心明确具体人员负责有关操作和监控。公司制定了信息技术设备管理办法及固定资产管理办法，对信息技术设备的登记、使用、关键设备的管理及处置等进行了规范，公司综合管理部对公司信息技术设备进行盘点和登记。公司制定了信息系统数据管理办法，对数据的备份与恢复、数据的访问及有关操作进行了规范，根据信息系统及数据的重要程度分别采用硬盘、光盘并通过手工、自动等方式进行全量、增量的数据备份，对光盘等存储介质进行异地保存。公司制定了信息技术设备管理办法、网络管理办法，明确了相关设备及网路的管理部门为信息技术中心及机房负责人、网络管理员等，公司信息技术设备的选型由信息技术中心负责，一般信息技术设备的采购由综合管理部负责，符合信息技术项目采购管理办法的设备采购由信息技术中心负责，公司机房内关键设备的开启和关闭均由各机房值班人员按开关机操作流程进行操作，未规定流程的操作应经机房负责人同意后进行操作。公司制定了网络管理办法等制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面进行了规定，公司设立网络管理员负责网络运行日志、网络监控记录的日常维护和报警信息分析和处理工作，网络管理员每季度对网络系统进行漏洞扫描，对发现的网络系统安全漏洞采取措施进行修补,并备份有关配置，公司与外部系统的连接均通过OA办公系统有关流程进行审批得到授权和批准；公司制定了信息系统权限管理制度，公司相关系统的访问控制策略根据最小化原则通过审批后才赋予相关用户，公司根据信息系统运行情况不定期进行漏洞扫描，对发现的系统安全漏洞在保证公司系统稳定运行的情况下在与信息系统安全管理员及相关厂商沟通后酌情进行修补，因系统实时性要求较高，公司未全面开启有关设备和系统的审计功能，公司每天对系统运行情况进行实时的监控和巡检，并根据情况对有关日志进行不定期的分析。公司安装了NOD32网络版防病毒系统、亿阳网管终端安全管理系统并由安全管理员管理，公司要求所有外来设备在接入网络前进行检查，公司严格控制外来设备接入交易网，公司信息技术安全管理办法对防恶意代码软件的授权使用、恶意代码库升级、汇报等作出了规定。公司制定了信息系统密码管理办法及系统变更管理办法，公司在信息技术项目采购时对涉及密码内容的，均要求厂商出具由证明产品符合国家主管部门要求的资质证书等，公司系统变更管理办法对系统变更的角色、程序、版本、操作等进行了规范，重大升级均通过公司OA系统进行审批并在通过业务和技术为测试后进行。公司根据系统的重要性等分别进行系统级的热备、温备、冷备、灾备措施，公司制定了信息系统灾备管理办法，明确了灾备启动和恢复的条件、程序、操作流程等，公司信息系统数据管理办法，对数据的备份与恢复的周期、介质、保存等进行了规范。公司制定了信息技术事故认定与处理制度和风险报告制度，规定了信息技术安全事件的处理及报告程序，公司信息技术安全事件的报告以风险控制单的形式通过OA办公系统流转。公司制定了网络与信息安全事件应急预案，预案对决策体系、启动条件、信息的报告和发布、不同情况的应急处理程序、演练及培训等进行了基本的规范，公司集中交易及相关系统每年最少进行两次包括上海灾备中心、营业部的全网演练。（六） 重要信息系统情况公司本次自查了呼叫中心系统、法人清算系统、集中交易系统、门户网站、网上交易系统以及投资与客户资产管理系统，6个系统在数据安全、网络安全、物理安全、应用安全、主机安全几个方面基本符合有关安全管理的要求，其中门户网站、网上交易系统部署在IDC托管机房，其他4个系统分别部署在北京交易中心机房、北京总部中心机房，各系统公司均安排专门的系统维护人员，运维人员在每个交易日定时进行系统巡检，发现异常及时处理和报告，系统通过身份鉴别、权限控制、网络控制、数据备份、线路和设备的冗余以及机房的安全控制等基本保证信息系统安全稳定运行。二、 存在问题通过对公司网络与信息安全自查，公司在以下方面存在不足：（一） 信息安全培训力度不够公司基本在员工入职时进行信息系统安全的培训，此后较少进行有关安全使用的培训，为强化员工安全意识，公司应该每年至少进行一定次数的信息系统安全使用的培训。（二） 软件漏洞检测不全面公司目前未进行全面的信息系统安全漏洞检测，一般情况下只进行病毒检测，因行业内厂商基本不提供前端的源代码，所有也基本无法审查是否存在后门的要求，仅要求厂商做出不存在后门的承诺。（三） 系统自查不完善公司没有进行每半年组织一次信息系统安全自查工作，虽然公司对网络、设备、系统均进行不定期的检查、实时监控和巡检等工作，但未专门组织系统安全自查工作。（四） 审计管理不完善因相关系统运行的安全稳定问题，公司未开启有关操作系统、数据库的全部审计功能，同时各应用系统自身的审计功能也不是很完善，有的仅仅记录的用户的登录和退出等。（五） 网站缺乏更有效地防入侵及检测设备公司2009年从绿盟科技购置了应用防火墙WAF600，此设备功能与性能基本上可满足目前门户网站的安全需要，但随着来自互联网的各类新型安全威胁越来越突出，有可能使公司的门户网站造成严重的破坏。三、 整改计划（一） 加强信息安全培训力度公司开始每年进行至少一次的信息系统安全使用培训，公司将在2012年制定培训计划时安排此项工作，培训内容将根据公司信息系统运行和使用中的问题选定，主要包括系统补丁安装、系统漏洞检测、防病毒软件的使用、数据的备份、安全上网等。责任人：李静波（二） 完善软件漏洞检测公司将根据系统的情况逐步实现信息的安全漏洞工作。公司将在2011年年底前安排有关厂商对门户网站进行漏洞检测，并根据检测的结果，要求开发商进行系统安全加固工作，此项工作每年将至少执行一次。责任人：孙育红、李静波（三） 增强系统安全自查工作公司将由信息技术中心牵头，每年至少一次对全公司各类信息系统进行全面的安全检查工作，包括但不仅限于网络、设备、应用系统等。责任人：王士军、李静波、杨炯（四） 逐步完善审计管理工作因公司交易系统实时性要求极高，本着谨慎的原则，公司将进一步与厂商、其他证券公司沟通就审计功能开启问题进行沟通，在确保系统安全稳定运行的前提下，逐步开启必要的审计功能，同时与各信息系统开发商沟通,要求其完善自身应用的审计功能等。责任人：各系统负责人（五） 完善门户网站安全机制的建设公司门户网站是对外信息发布的窗口，是与外界进行网络沟通的