从证券业安全大检查的一点经验谈起

核心提示： 4．管理员岗位权职不明确，有些工作交叉的任务经常被互相推卸，从证券业安全大检查的一点经验谈起(7)，管理员的权限没有实现“权限最小化”原则，也没有对这些权限较高管理员的审核，对各种网络设备的配置数据、用户数据进行定期备份，各券商做的都很好，使得内部管理员滥用授权的隐

4．管理员岗位权职不明确，有些工作交叉的任务经常被互相推卸，管理员的权限没有实现“权限最小化”原则，也没有对这些权限较高管理员的审核，使得内部管理员滥用授权的隐患时刻存在；、

5．很多员工技术能力有限，某些技术故障和安全事件的发生可能是由于操作失误造成的，而提供对信息技术人员进行安全技术培训的机会较少，也没有技术或任职资格考试的督促机制，使得内部员工安全意识较差，从而造成安全事故的可能性增大；

6．对信息的保密重视不足，在信息技术人员应聘进公司时签订的合同中没有安全保密条款，尤其是没有针对某些涉密较高岗位制定具体的保密协议。　　

7．在信息技术人员办理离岗手续方面缺乏明确的制度和流程

8．没有明确的安全管理员和安全审计员角色，所以对网络和系统的管理员所设定的访问权限及日常行为没有进行过安全审计。

5.5物理环境安全

机房的建设都有标准化的规范，物理环境也大都符合相关安全要求，机房具有防火、防水、防雷等设备，并均采用双路供电，配备了UPS电源。在非本公司员工进入机房时，要求进行出入登记记录，操作记录。

但在机房管理方面还存在以下的问题：

1.中心机房有电子门禁系统，但有时没有做到进出时马上关门。

2.机房没有设置保安管理制度。

3.机房的出入管理不严格，没有严格执行非工作人员必须经过安全责任人许可才可以进入机房的管理规定。

4.机柜和主机没有要求在运行中上锁，以防止外来人员误操作，对主机没有采取对输入输出设备的控制。

5.6通信与操作安全

证监会要求关键业务有备份链路，对各种网络设备的配置数据、用户数据进行定期备份。各券商做的都很好。但在管理过程中，还存在以下的问题：