銀行計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定模版

1、銀行計(jì)算機(jī)網(wǎng)絡(luò)安全管理規(guī)定第一章 總則第一條 為了保證銀行（以下簡稱本行）計(jì)算機(jī)網(wǎng)絡(luò)的安全可靠，保證數(shù)據(jù)通訊的及時(shí)準(zhǔn)確，特制定本規(guī)定。第二章 網(wǎng)絡(luò)總體安全第二條 各部室及營業(yè)網(wǎng)點(diǎn)不得隨意與外部網(wǎng)相聯(lián)，如因工作確需相聯(lián)時(shí)，要報(bào)經(jīng)本行主管領(lǐng)導(dǎo)批準(zhǔn)后由信息技術(shù)部實(shí)施，必須采用防火墻技術(shù)，防止非法入侵。第三條 中心機(jī)房應(yīng)對網(wǎng)絡(luò)資源實(shí)施監(jiān)控。第四條 網(wǎng)絡(luò)通訊線路應(yīng)經(jīng)常檢查維護(hù)，防止物理線路被非法接入。第五條 信息技術(shù)部必須建立本行網(wǎng)絡(luò)設(shè)備的參數(shù)配置表。各種網(wǎng)絡(luò)設(shè)備的參數(shù)應(yīng)妥善保管，不準(zhǔn)泄露。第六條 不得隨意更改網(wǎng)絡(luò)參數(shù)。必須修改時(shí)，須有嚴(yán)格審批手續(xù)，并建立配置更改記錄，詳細(xì)記錄更改的原因、更改前后的定義

2、或參數(shù)、更改的日期等，并由審批人和執(zhí)行人簽字。第七條 路由器、交換機(jī)及防火墻等網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置密碼，由專人管理。第八條 定期或不定期監(jiān)測網(wǎng)絡(luò)設(shè)備誤碼率、吞吐量、傳輸時(shí)延、響應(yīng)時(shí)間等性能參數(shù)，發(fā)現(xiàn)異常情況及時(shí)采取相應(yīng)措施進(jìn)行處理，確保網(wǎng)絡(luò)設(shè)備性能良好。第九條 各部室、營業(yè)網(wǎng)點(diǎn)之間不準(zhǔn)進(jìn)行破譯他人密碼、攻擊對方系統(tǒng)等非法操作。第十條 各部室、營業(yè)網(wǎng)點(diǎn)不準(zhǔn)在綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)上隨意傳輸文件、隨意互相登錄，以免影響網(wǎng)絡(luò)正常通訊。第十一條 通訊網(wǎng)絡(luò)必須建立可靠的備份線路，在主線路發(fā)生故障時(shí)應(yīng)自動進(jìn)行切換。第三章 網(wǎng)絡(luò)結(jié)構(gòu)安全第十二條 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)應(yīng)由專業(yè)人員進(jìn)行嚴(yán)格設(shè)計(jì)和規(guī)劃，并繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓

3、撲結(jié)構(gòu)圖。第十三條 重要的網(wǎng)絡(luò)設(shè)備和通信鏈路應(yīng)采取冗余備份措施，防止出現(xiàn)單點(diǎn)故障，提高網(wǎng)絡(luò)的可靠性。通信鏈路應(yīng)盡量采用不同運(yùn)營商的線路作冗余。第十四條 應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要。第十五條 應(yīng)對重要的業(yè)務(wù)服務(wù)指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要服務(wù)器。第四章 網(wǎng)絡(luò)邊界控制第十六條 網(wǎng)絡(luò)系統(tǒng)應(yīng)劃分為內(nèi)網(wǎng)、外網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)之間采取有效的隔離措施，禁止內(nèi)網(wǎng)直接接入internet。第十七條 應(yīng)合理配置網(wǎng)絡(luò)設(shè)備，在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制，建立安全的訪問路徑。第十八條 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的vlan或網(wǎng)段

4、，并按照方便管理和控制的原則為各vlan或網(wǎng)段分配ip地址段，確保生產(chǎn)與測試、生產(chǎn)與開發(fā)之間的明確分離，禁止生產(chǎn)與開發(fā)、測試網(wǎng)段的通信訪問。第十九條 在本地工作的項(xiàng)目合作外包人員的管理和維護(hù)終端應(yīng)劃分獨(dú)立的vlan，并通過設(shè)置路由策略和訪問控制策略等方式在其邊界嚴(yán)格控制外包人員對系統(tǒng)的訪問權(quán)限。第二十條 內(nèi)外網(wǎng)與外部單位互聯(lián)必須通過防火墻隔離，采用nat地址轉(zhuǎn)換技術(shù)，隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)。需要為外部單位提供服務(wù)的前置機(jī)和應(yīng)用服務(wù)器等應(yīng)部署在dmz區(qū)。根據(jù)互聯(lián)單位業(yè)務(wù)重要程度，還應(yīng)合理規(guī)劃ip地址，劃分不同安全區(qū)分別保護(hù)。第二十一條 網(wǎng)絡(luò)邊界訪問控制設(shè)備應(yīng)在保證正常應(yīng)用連通性的前提下，根據(jù)業(yè)務(wù)通信情

5、況設(shè)置嚴(yán)格的訪問控制策略，并定期進(jìn)行檢查和必要的調(diào)整。訪問控制應(yīng)至少滿足以下要求：1、策略的設(shè)置應(yīng)遵循“默認(rèn)拒絕，特殊規(guī)則靠前，普通規(guī)則靠后，規(guī)則不重復(fù)”的原則。2、應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許或拒絕訪問的能力，控制粒度為端口級。3、應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制粒度為單個(gè)用戶。第二十二條 應(yīng)對內(nèi)網(wǎng)和外網(wǎng)的服務(wù)器、終端等計(jì)算機(jī)設(shè)備采取mac地址、ip 地址和交換機(jī)端口的綁定等技術(shù)手段防止地址欺騙。第二十三條 內(nèi)網(wǎng)和外網(wǎng)終端應(yīng)獨(dú)立使用，只允許外網(wǎng)終端或指定設(shè)備訪問internet，禁止任何終端用戶撥號訪問internet。第二十四條

6、 嚴(yán)禁計(jì)算機(jī)用戶私自安裝網(wǎng)絡(luò)設(shè)備（modem、網(wǎng)卡、無線通訊設(shè)備等）以連接外部網(wǎng)絡(luò)，并確保有可靠措施進(jìn)行檢查監(jiān)督。第五章 網(wǎng)絡(luò)安全審計(jì)第二十五條 應(yīng)對關(guān)鍵網(wǎng)絡(luò)設(shè)備的cpu、鏈路帶寬的利用率等性能指標(biāo)進(jìn)行實(shí)時(shí)監(jiān)控，cpu利用率長期處于60以上時(shí)應(yīng)及時(shí)擴(kuò)展或更換性能更高設(shè)備，當(dāng)鏈路帶寬占用率持續(xù)超過70%時(shí)，應(yīng)考慮擴(kuò)展鏈路帶寬。第二十六條 應(yīng)確保重要網(wǎng)絡(luò)設(shè)備（包括安全設(shè)備）的系統(tǒng)日志處于啟動運(yùn)行狀態(tài)，并實(shí)時(shí)或定期對日志進(jìn)行采集轉(zhuǎn)儲，轉(zhuǎn)儲的日志應(yīng)至少保存一年。第二十七條 應(yīng)定期進(jìn)行全面的日志分析，對網(wǎng)絡(luò)設(shè)備登錄的用戶、登錄時(shí)間、所做的配置和操作做檢查，對防火墻的敏感網(wǎng)絡(luò)連接活動（用戶身份、訪問時(shí)間、

7、訪問源 ip、訪問目標(biāo) ip、訪問動作等）進(jìn)行全面日志分析。第六章 網(wǎng)絡(luò)入侵防范第二十八條 在網(wǎng)絡(luò)邊界和內(nèi)部網(wǎng)絡(luò)應(yīng)部署網(wǎng)絡(luò)入侵防范設(shè)備，設(shè)置合理、全面的監(jiān)聽范圍，對端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、ip碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為進(jìn)行監(jiān)視。當(dāng)檢測到攻擊行為時(shí)，記錄攻擊源ip、攻擊類型、攻擊目的、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警。第二十九條 重要或敏感的業(yè)務(wù)數(shù)據(jù)在internet等公共網(wǎng)絡(luò)上通信傳輸時(shí)，應(yīng)采取vpn設(shè)備或加密機(jī)等符合國家密碼管理規(guī)定的加密技術(shù)手段。第七章 網(wǎng)絡(luò)設(shè)備防護(hù)第三十條 網(wǎng)絡(luò)設(shè)備應(yīng)實(shí)現(xiàn)賬號口令的認(rèn)證管理方式，重要網(wǎng)絡(luò)設(shè)備可采用增強(qiáng)的認(rèn)證

8、方式。第三十一條 網(wǎng)絡(luò)設(shè)備的所有管理用戶應(yīng)經(jīng)過嚴(yán)格的審批授權(quán)，每個(gè)用戶的賬號應(yīng)唯一，不得存在共享賬號。第三十二條 網(wǎng)絡(luò)設(shè)備的口令應(yīng)由大寫英文字母、小寫英文字母、數(shù)字、特殊符號等兩類或兩類以上的字符組成，口令長度不低于8位，口令不得與用戶號相同，也不能使用用戶本人生日、身份證、電話號碼等容易被猜出的數(shù)字，至少3個(gè)月修改一次。第三十三條 應(yīng)使用固定的遠(yuǎn)程管理終端或限制的登錄地址對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理。第三十四條 網(wǎng)絡(luò)設(shè)備應(yīng)采取結(jié)束會話、限制非法登錄次數(shù)和當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)自動退出等措施。第三十五條 當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時(shí)，應(yīng)采取ssh、https等加密措施取代telnet、http管理，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊