ICS35.040L80中華人民共和國國家標準GB/T20987—2007信息安全技術網上證券交易系統信息安全保障評估準則Informationsecuritytechnology-EvaluationcriteriaforonlinesecuritiestradingSysteminformationsecurityassurance2007-06-14發(fā)布2007-11-01實施中華人民共和國國家質量監(jiān)督檢驗檢疫總局發(fā)布中國國家標準化管理委員會

GB/T20987一2007三次前言引言圍2規(guī)范性引用文件3術語和定義A系統描述·…………4.1網上證券交易系統概述4.2網網上證券交易系統技術參考模型4.3網上證券交易系統描述5安全環(huán)境5.1假設……5.2威脅…··.105.3組織安全策略·136安全保障目的…156.1安全保障技術目標·安全保障管理目標…6.26.3安全保障工程目標·安全保障要求……77.1安全保障技術要求·7.27.3安全保障工程要求.附錄A（規(guī)范性附錄）網上證券系統信息安全保障符合性A.1安全保障目的符合性聲明A.2安全保障要求符合性聲明72參考文獻80圖1信息系統框架圖2信息系統技術參考模型……圖3網網上證券交易系統評估邊界界定示意圖圖4網上證券交易系統網絡體系結構……圖5行情查看流程圖·…………·表1網上證券交易系統用戶和信息敏感程度描述表2網上證券交易系統威脅模型表3瑞到端安全保障技術要求中主體對客體采取的操作對照表舉例端到端安全保障技術要求中的網上信息流控制策略舉例表4端到端安全保障技術要求的可審計安全事件類型表5表6！端到端安全保障技術要求的可查閱審計記錄

GB/T20987—2007表7瑞到端安全保障技術要求中安全角色對系統安全功能行為的管理權限：．225表8端到端安全保障技術要求中授權人員對系統安全屬性的管理權限表舉例表9本地計算安全保障技術要求中主體對客體采取的操作對照表舉例本地計算安全保障技術要求中的網上信息流控制策略舉例表10表11本地計算安全保障技術要求的可審計安全事件類型………….…………..34表12本地計算安全保障技術要求的可查閱審計記錄·30表13本地計算安全保障技術要求中安全角色對系統安全功能行為的管理權限37表14本地計算安全保障技術要求中授權人員對系統安全屬性的管理權限表舉例表15本地計算安全保障技術要求中系統安全角色對系統安全數據的操作權限舉例38表16系統邊界安全保障技術要求中主體對客體采取的操作對照表舉例……40表17系統邊界安全保障技術要求的網上信息流控制策略舉例……………….表18系統邊界安全保障技術要求的可審計安全事件類型……表19系統邊界安全保障技術要求的可查閱審計記錄………表20）系統邊界安全保障技術要求中安全角色對系統安全功能行為的管理權限46表21支撐性基礎設施安全保障技術要求的可審計安全事件類型·…表22支撐性基硼設施安全保障技術要求的可查閱審計記錄51表A.1安全保障技術目標與威脅、策略的對應表表A.2安全保障管理目標、安全保障工程目標和威脅、策略的對應表表A.3安全保障技術目標和安全保障技術要求映射表A.4安全保障管理目標和安全保障管理要求映射表A.5安全保障工程目標和安全保障工程要求映射

GB/T20987-2007本標準的附錄A為規(guī)范性附錄，本標準由全國信息安全標準化技術委員會提出并歸口本標準起草單位：中國信息安全產品測評認證中心本標準主要起草人：吳世忠、王海生、陳曉樺、王貴驅、李守鵬、江常青、彭勇、張利、錢偉明、鄒琪、李姐、李靜、王慶、班曉芳、江典盛、陸麗、姚軼、孫成吳、門雪松、杜宇鴿、楊再山。

GB/T20987—20070.1網上證券交易系統信息安全保障的含義隨著互聯網技術在證券行業(yè)的應用,網上證券交易系統日益成熟。以網絡為媒介進行證券交易可滿足隨時、隨地進行快捷交易的需求。信息技術的進步促進了證券市場的發(fā)展；證券市場不斷發(fā)展的需求，也促進了信息技術應用的發(fā)展。網絡通訊能力的增強、網絡安全技術的應用，使得證券公司與其他金融機構之間的業(yè)務合作越來越緊密。網上交易的飛速發(fā)展一方面突破了證券行業(yè)依靠傳統營業(yè)部“劃地為營”的地域性限制,擴大了潛在的用戶市場,降低了交易服務成本.提高了服務質量：同時網上交易的出現使得證券公司的經紀業(yè)務不再僅僅賃借營業(yè)部數量的多少取勝,從規(guī)模，地理位置，裝修等硬件方面的競爭向價格、服務、品牌等軟件方面轉化。與傳統交易方式相比，網上交易具有安全性高、速度快、財經信息豐富、操作便捷等優(yōu)勢信息安全保障問題是網上證券交易系統建設和運行中必須解決的基礎和根本性問題,它關系到客戶與證券公司的切身利益。網上證券交易系統是一種特定的信息系統(即用于采集、處理、存儲、傳輸、分發(fā)和部署信息的整個基礎設施、組織結構、人員和組件的總和),它的信息安全保障工作必須結合證券行業(yè)的特點，以風險和策略為出發(fā)點和核心,即從網上證券交易系統所面臨的風險和所處的環(huán)境出發(fā)制定網上證券交易系統的安全保障策略,在網上證券交易系統的整個生命周期中從技術、工程、管理和人員等方面提出安全保障要求，確保信息的保密性、完整性和可用性特征，實現和貫徹組織機構策略并將風險降低到可接受的程度.達到保護證券公司的信息和信息系統資產,從而保障證券公司業(yè)務安全、可靠開展的最終目的網上證券交易系統信息安全保障涵蓋以下幾個方面：網上證券交易系統信息安全保障應貫穿網上證券交易系統的整個生命周期,包括規(guī)劃組織、開發(fā)采購、實施交付、運行維護和廢棄五個階段,以獲得網上證券交易系統信息安全保障能力的持續(xù)性。網上證券交易系統信息安全保障不僅涉及安全技術,還應綜合考惠安全管理、安全工程和人員安全等,以全面保障網上證券交易系統安全。在安全技術上.不僅要考慮具體的產品和技術，更要考慮網上證券交易系統的安全技術體系架構：在安全管理上,不僅要考慮基本安全管理實踐，更要結合組織的特點建立相應的安全保障管理體系,形成長效和持續(xù)改進的安全管理機制：在安全工程上,不僅要考慮網上證券交易系統建設的最終結果，更要結合系統工程的方法.注重工程過程各個階段的規(guī)范化實施;在人員安全上，要考慮與網上證券交易系統相關的所有人員包括規(guī)劃者、設計者、管理者、運營維護者、評估者、使用者等的安全意識以及安全專業(yè)技能和能力等。網上證券交易系統信息安全保障是基于工程的保障。通過風險識別、風險分析、風險評估、風險控制等風險管理活動，降低網上證券交易系統的風險,從而實現網上證券交易系統信息安全保障網上證券交易系統信息安全保障的目的不僅是保護信息和資產的安全，更重要的是通過保障網上證券交易系統的安全,保障網上證券交易系統所支持的業(yè)務,從而達到實現組織機構使命的目的。網上證券交易系統信息安全保障是主觀和客觀的結合。通過在技術、管理、工程和人員方面客觀地評估安全保障措施，向網上證券交易系統的所有者提供其現有安全保障工作是否滿足其

GB/T20987-2007安全保障目的的信心。因此.它是一種通過客觀證據向網上證券交易系統所有者提供主觀信心的活動,是主觀和客觀綜合評估的結果。保障網上證券交易系統安全不僅是系統所有者自身的職責，而且需要社會各方參與,包括電信、電力、國家信息安全基礎設施等提供的支撐。保障網上證券交易系統安全不僅要滿足系統所有者白身的安全需求，而且要滿足國家相關法律、政策的要求，包括為其他機構或個人提供保密、公共安全和國家安全等社會職責。0.2網上證券交易系統信息安全保障評估準則的編制目的和意義GB/T20274《信息安全技術信息系統安全保障評估框架》是建設、評估信息系統安全保障的基礎性和框架性標準,給出了對信息系統安全保障體系的通用要求。本標準是在（B/T20274的基礎之上.結合網上證券交易系統的具體特點，給出了網上證券交易系統的信息系統安全保障要求。制定本標準的意義在于：“）為網上證券交易系統信息安全保障的設計、實施、建設、測評、審核提供規(guī)范的、通用的描述語育：有利于網上證券交易系統所有者編制其信息系統的安全保障要求；有利于網上證券交易系統安全集成商和安全服務提供商提供更為科學規(guī)范化的設計和服務促進信息安全市場的發(fā)展；有利于有關行政管理部門、執(zhí)法機構、測評認證機構對網上證券交易系統進行安全檢查、檢測、審計、評估和認證。

GB/T20987—2007信息安全技術網上證券交易系統信息安全保障評估準則花圍本標準規(guī)定了網上證券交易系統的描述、安全環(huán)境、安全保障目的、安全保障要求及網上證券系統信息安全保障目的和安全保障要求的符合性聲明。本標準適用于規(guī)范網上證券系統在交易過程中涉及信息安全的評估工作范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件,其隨后所有的修改單(不包括勒誤的內容)或修訂版均不適用于本標準，然而.鼓勵根據本標準達成協議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。GB/T20274(所有部分）信息安全技術信息系統安全保障評估框架術語和定義GB/T20274確立的以及下列術語和定義適用于本標準網上委托entrustthroughInternet證券公司通過互聯網.向在本機構開戶的投資者提供用于下達證券交易指令、獲取成交結果的一種服務方式系統描述4.1網上證券交易系統概述網上證券交易系統是一種具有特定使命、技術系統和組織結構的信息系統。信息系統是用于采集處理、存儲、傳輸、分發(fā)