2010年5月10日,全国金融标准化技术委员会证券分技术委员会发布了《证券期货业信息系统安全等级保护基本要求》的送审稿,供各成员单位审定。在金标委的网站上有该送审稿的标准文档供下载。
这份标准是我国等级保护制度在证券期货行业的一个具体落地,体现出了证券行业的特殊要求。证券期货业具有信息化程度高、业务持续性要求高、对信息系统的容量和处理能力要求高的特点。在公安部要求的基础上,该标准作了一些细化,并有所增强。例如比较看重机房物理安全,尤其重视灾备和业务连续性,强调审计,等等。
其中,对于网络、主机和应用的安全审计有不少细化的要求,包括:
第二级中针对主机安全审计:
1)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。系统不支持该要求的,应以系统运行安全和效率为前提,采用第三方安全审计产品实现审计要求。
2)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计内容至少包括:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作(如用户登录、退出)等
3)审计记录应至少保存6个月。
针对第二级的应用安全审计:
1)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。应用系统应能够记录每个业务用户的关键操作,例如用户登录、用户退出、增加用户、修改用户权限等操作
2)审计记录应至少保存6个月。
针对第二级的系统运维管理,在系统安全管理中,标准特别强调“应至少每季度对运行日志和审计数据进行分析,以便及时发现异常行为”。

等等,不一而足。

整个基本要求按照公安部的标准要求,分为技术类和管理类两个大部分,每个部分各有5块要求,涵盖了信息系统安全建设的方方面面。

相对于证监会之前发布的《证券期货业信息系统安全检查贯彻落实指引》,更具有权威性和指导性。也正如我之前所述,证券期货行业的安全审计要求会越来越明确,越来越高。
除了审计,监控、运维(应急响应)和灾备(连续性)也都是证券期货行业重点关注的安全问题。