公安部计算机信息系统安全产品质量监督检验中心网上证券委托系统方案安全测评规程
公安部计算机信息系统安全产品质量监督检验中心
网上证券委托系统方案安全测评规程
(一)测评程序
1.申请测试的单位应向本中心提供以下材料:
⑴.网上证券委托系统安全测评申请书[格式见(三)]; ⑵.营业执照(复印件);
⑶.采用密码算法的,必须提交国家密码管理部门的相关审批文件; ⑷.(公司级)分管技术的负责人的简历[格式见附1];
⑸.网上证券委托系统专职管理维护人员名单及简历[格式见附2]; ⑹.网上证券委托业务的管理制度; ⑺.与客户签订网上证券委托协议范本、《风险揭示书》范本及向客户提供的
其他有关网上证券委托的所有资料;
⑻.网上证券委托系统的简要系统分析报告和系统设计报告,其内容主要包括
网络结构、实时监控、身份识别、传输加密、数字签名、网络隔离、风险防范等方面遵循的技术标准及技术实现策略、网络通信方式及网络接入方式等,并提供简要的网络结构和功能图;
⑼.系统测试报告,包括系统峰值容量、响应与延迟指标、容错能力、可靠性
及有关系统配置的重要数据等; ⑽.系统故障时的应急方案,包括信息传播及转移委托方式、数据及系统恢复
措施等;
⑾.公司开展网上证券委托业务的互联网入口站点地址[格式见附3]; ⑿.公司开展网上证券委托业务的风险控制方案,包括控制网上证券委托有关
风险的技术、管理、业务等方面的措施,如公司自定的网上单笔委托限额及单个交易日成交限额等; ⒀.网络接入提供商、系统集成商、硬件和软件提供商名单及其他关联企业名
单[格式见附4];
⒁.网上证券委托系统中主要硬件及软件的规格型号及版本[格式见附5]; ⒂.申请测试单位出具的取测评报告介绍信。
2.本中心根据申请测试单位提供资料的具体情况五日内作出是否受理决定
3.交费
测评费用3000元,申请单位应于委托受理日起5日内提供汇款凭证,否则不予受理。
4.测评
测评周期10天。
1 公安部计算机信息系统安全产品质量监督检验中心网上证券委托系统方案安全测评规程
5.出具测评报告
测评报告一式三份,一份交申请测试单位,一份交中国证监会,一份留存本中心。
6.申请测试单位如对测评报告有异议可在收到报告之日起十五日内向本中心书面提出,本中心收到书面报告后,五日内给予明确书面答复。
7.本中心联系方法
地址:上海市岳阳路 76 号 邮编:200031 电话:64336810-1301,64335070 电挂:5936 联系人:张奕 顾玮
2 公安部计算机信息系统安全产品质量监督检验中心网上证券委托系统方案安全测评规程
(二)证券公司申请网上证券委托业务提交材料的说明
1、(公司级)分管技术的负责人的简历包括姓名、性别、民族、出生日期、籍贯、学历、出生地、学位、单位职务、身份证号码、政治面貌、健康状况、何年何月何处参加证券工作、何时何处曾担任过何种管理职务、何时经何机关审批任何专业技术职务或任职资格、何年何月何处参加何种业务培训、何时何处何原因受过何种奖励或处分等等。
2、网上证券委托系统专职管理维护人员名单及简历包括姓名、性别、民族、出生日期、籍贯、学历、出生地、学位、单位职务、身份证号码、政治面貌、健康状况、何年何月何处参加证券工作、何时何处曾担任过何种专职维护工作、何时经何机关审批任何专业技术职务或任职资格、何年何月何处参加何种业务培训、何时何处何原因受过何种奖励或处分、维护岗位、工作时段、备注等等。
3、网上证券委托业务的管理制度包括系统的硬件管理维护制度,系统管理人员和用户的操作规程以及周围环境的控制等等。
4、网上证券委托系统的简要系统分析报告和系统设计报告,其内容主要包括密码算法(包括是否具有国密批文,采用的算法强度、算法算法、安全协议,是否有证书支持,防篡改和防重发性的手段,完整性的实现方法,密钥的产生和公钥强度)、身份认证(用户识别标志,唯一的身份鉴别信息,采用的安全协议,是否使用CA、黑名单,证书的产生和签发的方法,防抵赖、完整性的实现方法,公用CA所需国家有关部门批文,如果非证书则使用什么方式)、网络隔离(协议转换方式,公网隔离和内网隔离的方法,非自建网络设备所需国家有关部门的批文)、审计监控(日志文件,日志文件防抵赖措施,访问日志文件权限控制,非法入侵检测)、系统备份(数据、通讯、硬件、服务和应急备份)、自制CA系统(密码批文,证书强度,证书发放方法,根证书和私钥的保存方式,证书吊销表,证书和私钥的保存形式,专人管理、设备隔离、专用设备的情况)、技术标准(密码算法、身份认证、网络隔离、审计监控、系统备份和自制CA系统的技术标准)、网络接入方式(接口方式等等)、网络结构和功能附图等。
5、网上证券委托系统的测试报告,测试报告的内容一般为测试人员、测试时间、测试地点、测试环境(包括硬件设备,软件设备、系统配置、网络环境等等有关测试环境的数据)、测试项目(系统峰值容量、响应与延迟指标、容错能力、可靠性等等)、测试结果等。
6、系统故障时的应急方案,包括信息传播及转移委托方式、数据及系统恢复措施等。
7、公司开展网上证券委托业务的互联网入口站点地址,应列出互联网入口站点的IP地址、域名、所在地及联系方法等内容。
8、公司开展网上证券委托业务的风险控制方案,包括控制网上证券委托有关风险的技术、管理、业务等方面的措施,如公司自定的网上单笔委托限额及单个交易日成交限额等。
9、网络接入提供商、系统集成商、硬件和软件提供商名单及其他关联企业名单及联系方法。
3 公安部计算机信息系统安全产品质量监督检验中心网上证券委托系统方案安全测评规程
10、网上证券委托系统中主要硬件及软件的规格型号及版本;对于软件产品,必须列出其具体的补丁版本号;涉及到安全功能的设备,必须由供应商提供国家有关部门颁发的销售许可证,并指出主要的安全配置及管理措施。
4 公安部计算机信息系统安全产品质量监督检验中心网上证券委托系统方案安全测评规程
(三)公安部计算机信息系统安全产品质量监督检验中心
证券网上证券委托系统方案安全测评申请书
产品名称 规格型号/版本 1、 [ ] 证券网上证券委托系统安全测评申请书; 2、 [ ] 营业执照(复印件); 3、 [ ] 采用的密码算法必须提交国家密码管理部门的审批文件; 4、 [ ] (公司级)分管技术的负责人的简历; 5、 [ ] 网上证券委托系统专职管理维护人员名单及简历; 6、 [ ] 网上证券委托业务的管理制度; 7、 [ ] 与客户签订网上证券委托协议范本、《风险揭示书》范本及向客户提供的其他有关网上证券委托的所有资料; 8、 [ ] 网上证券委托系统的简要系统分析报告和系统设计报告,其 内容主要包括:网络结构、实时监控、身份识别、传输加密、 数字签名、网络隔离、风险防范等方面遵循的技术标准及 测评所需 简要的网络结构和功能图; 提供的资料 9、[ ] 系统测试报告,包括系统峰值容量、响应与延迟指标、容 错能力、可靠性及有关系统配置的重要数据等; 10、[ ] 系统故障时的应急方案,包括信息传播及转移委托方式、 数据及系统恢复措施等; 11、[ ] 公司开展网上证券委托业务的互联网入口站点地址; 12、[ ] 公司开展网上证券委托业务的风险控制方案,包括控制网上 委托有关风险的技术、管理、业务等方面的措施,如公司自 定的网上单笔委托限额及单个交易日成交限额等; 13、[ ] 网络接入提供商、系统集成商、硬件和软件提供商名单及 其他关联企业名单; 14、[ ] 网上证券委托系统中主要硬件及软件的规格型号及版本; 15、[ ] 取测评报告介绍信。
技术实现策略、网络通信方式及网络接入方式等,并提供
日期:
年
月
日
5
公安部计算机信息系统安全产品质量监督检验中心
