銀行業(yè)務(wù)網(wǎng)安全管理規(guī)范

1、銀行業(yè)務(wù)網(wǎng)安全管理規(guī)范第一章 總 則第一條 為加強(qiáng)全省銀行系統(tǒng)業(yè)務(wù)網(wǎng)管理，根據(jù)銀行信息系統(tǒng)信息安全等級保護(hù)實施指引（試行）（銀發(fā)2011173號）、銀行計算機(jī)系統(tǒng)信息安全管理規(guī)定（銀發(fā)2010276號）等規(guī)定，特制定本規(guī)范。第二條 業(yè)務(wù)網(wǎng)管理的基本原則是“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)，誰使用誰負(fù)責(zé)”。科技部門負(fù)責(zé)設(shè)備接入的審批以及網(wǎng)絡(luò)管理，各部門負(fù)責(zé)本部門網(wǎng)絡(luò)的日常管理。第三條 本規(guī)范適用于銀行機(jī)關(guān)、營管部、省內(nèi)各地市中心支行及縣（市）支行（以下統(tǒng)稱各單位）。 第二章 職責(zé)分工第四條 各單位科技部門信息安全管理員應(yīng)定期檢查網(wǎng)絡(luò)安全運(yùn)行情況，及時處理入侵檢測、非法外聯(lián)、防病毒、桌面監(jiān)控、補(bǔ)丁分發(fā)等

2、系統(tǒng)工具檢測出的安全問題。經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)后，信息安全管理員有權(quán)對本單位或轄內(nèi)網(wǎng)絡(luò)進(jìn)行安全檢測、掃描。檢測、掃描結(jié)果屬敏感信息，未經(jīng)授權(quán)不得對外公開。未經(jīng)銀行總行科技部門授權(quán)，任何外部單位與人員不得檢測或掃描銀行內(nèi)部網(wǎng)絡(luò)。第五條 各單位應(yīng)指定專人對網(wǎng)絡(luò)進(jìn)行管理，配備網(wǎng)絡(luò)管理員，并實行a、b角負(fù)責(zé)制。網(wǎng)絡(luò)管理員應(yīng)定期參加網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，具備一定的應(yīng)對非法入侵、病毒蔓延等網(wǎng)絡(luò)安全威脅的技能。網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)日常監(jiān)測工作，檢查網(wǎng)絡(luò)安全運(yùn)行狀況，定期檢查網(wǎng)絡(luò)日志，管理網(wǎng)絡(luò)資源及其配置信息，建立健全網(wǎng)絡(luò)安全運(yùn)行維護(hù)檔案，及時發(fā)現(xiàn)和解決網(wǎng)絡(luò)異常情況。如出現(xiàn)重大網(wǎng)絡(luò)問題，應(yīng)及時報告相關(guān)領(lǐng)導(dǎo)啟動應(yīng)急預(yù)

3、案，并向上一級科技部門報告。出現(xiàn)重大網(wǎng)絡(luò)問題時，經(jīng)本部門主管領(lǐng)導(dǎo)批準(zhǔn)后，可采取“先斷網(wǎng)、后處理”的緊急應(yīng)對措施。第六條 各部門負(fù)責(zé)人對本部門網(wǎng)絡(luò)及計算機(jī)的安全與保密工作負(fù)有領(lǐng)導(dǎo)責(zé)任。部門計算機(jī)安全員應(yīng)定期按照要求對安全軟件進(jìn)行檢查，如發(fā)現(xiàn)問題應(yīng)立即聯(lián)系科技人員處理。接入業(yè)務(wù)網(wǎng)的計算機(jī)必須明確唯一責(zé)任人，計算機(jī)責(zé)任人對該計算機(jī)的安全使用負(fù)責(zé)。第七條 各單位信息安全領(lǐng)導(dǎo)小組或其辦公室應(yīng)定期組織檢查有無違反網(wǎng)絡(luò)安全的行為。第三章 網(wǎng)絡(luò)接入及變更管理第八條 各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)接入管理。任何設(shè)備接入網(wǎng)絡(luò)前，應(yīng)經(jīng)過科技部門的審核，審核批準(zhǔn)后方可接入網(wǎng)絡(luò)并分配相應(yīng)的網(wǎng)絡(luò)資源。第九條 業(yè)務(wù)網(wǎng)計算機(jī)客戶端

4、應(yīng)采取入網(wǎng)認(rèn)證和準(zhǔn)入機(jī)制，并實行ip和mac地址綁定，拒絕未在認(rèn)證系統(tǒng)中注冊的計算機(jī)入網(wǎng)。第十條 各單位科技部門應(yīng)嚴(yán)格網(wǎng)絡(luò)變更管理，網(wǎng)絡(luò)管理員調(diào)整網(wǎng)絡(luò)重要參數(shù)配置和服務(wù)端口前，應(yīng)書面請示本部門主管領(lǐng)導(dǎo)，并做好變更信息記錄。第十一條 網(wǎng)絡(luò)變更原則上應(yīng)安排在非工作時間進(jìn)行。實施有可能影響網(wǎng)絡(luò)正常運(yùn)行的重大網(wǎng)絡(luò)變更，應(yīng)提前通知所有使用部門，并安排在節(jié)假日進(jìn)行，同時做好配置參數(shù)的備份和應(yīng)急恢復(fù)準(zhǔn)備。第四章 網(wǎng)絡(luò)安全管理第一節(jié) 網(wǎng)絡(luò)結(jié)構(gòu)安全第十二條 各單位應(yīng)按照上級行的統(tǒng)一規(guī)劃、建設(shè)部署、策略配置，合理分配網(wǎng)絡(luò)資源（網(wǎng)絡(luò)設(shè)備、通訊線路、ip地址段和域名等），加強(qiáng)本單位網(wǎng)絡(luò)資源管理，繪制與當(dāng)前運(yùn)行情況相符

5、的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。第十三條 網(wǎng)絡(luò)建設(shè)和改造應(yīng)符合銀行網(wǎng)絡(luò)總體規(guī)劃和安全管理要求，建設(shè)和改造方案應(yīng)報上一級科技部門審核后方可實施。第十四條 應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要的1倍以上；應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。第十五條 應(yīng)根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。第十六條 應(yīng)避免將重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處且直接連接外部信息系統(tǒng)，不同網(wǎng)絡(luò)之間應(yīng)采取必要的隔離措施。第十七條 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時候優(yōu)先保護(hù)重要主

6、機(jī)。第十八條 應(yīng)按照不影響業(yè)務(wù)的正常網(wǎng)絡(luò)傳輸為原則，合理控制多媒體網(wǎng)絡(luò)應(yīng)用規(guī)模和范圍。未經(jīng)銀行總行科技部門批準(zhǔn)，不得在銀行內(nèi)部網(wǎng)絡(luò)上提供跨轄區(qū)視頻點播等嚴(yán)重占用網(wǎng)絡(luò)資源的多媒體網(wǎng)絡(luò)應(yīng)用。第二節(jié) 網(wǎng)絡(luò)設(shè)備配置第十九條 各單位網(wǎng)絡(luò)設(shè)備的安全配置遵循最小服務(wù)原則，并對配置文件進(jìn)行定期離線備份。第二十條 應(yīng)關(guān)閉未使用的端口，console口、aux口應(yīng)設(shè)置訪問控制，預(yù)先定義訪問控制列表，關(guān)閉常見病毒攻擊端口，緊急情況下應(yīng)用至設(shè)備上行端口。第二十一條 應(yīng)為多個登錄用戶建立賬號和口令，口令應(yīng)采用密文方式。第二十二條 設(shè)備命名應(yīng)具有一定的規(guī)范和規(guī)律，便于維護(hù)管理。第二十三條 局域網(wǎng)上應(yīng)對vlan進(jìn)行統(tǒng)一規(guī)范

7、管理；在配置vtp協(xié)議時，應(yīng)設(shè)置域名和口令，并將主、備核心交換機(jī)設(shè)為vtp server模式，樓層交換機(jī)設(shè)為vtp client模式。第二十四條 snmp協(xié)議應(yīng)配置community串，配置只讀和讀寫community，并限定網(wǎng)管主機(jī)。第二十五條 應(yīng)設(shè)置日志服務(wù)器，方便維護(hù)和管理。第二十六條 應(yīng)啟用ntp服務(wù)。第三節(jié) 網(wǎng)絡(luò)設(shè)備防護(hù)第二十七條 網(wǎng)絡(luò)設(shè)備用戶標(biāo)識應(yīng)唯一。第二十八條 網(wǎng)絡(luò)設(shè)備應(yīng)設(shè)置口令，并至少每3個月更換一次，口令的強(qiáng)度應(yīng)滿足安全性要求。第二十九條 網(wǎng)絡(luò)設(shè)備應(yīng)具有登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)等；當(dāng)對網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施防止鑒別信息在網(wǎng)絡(luò)傳輸過程

8、中被竊聽。第三十條 應(yīng)實現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制。第三十一條 應(yīng)定期對網(wǎng)絡(luò)設(shè)備的配置文件進(jìn)行備份，發(fā)生變動時應(yīng)及時備份；應(yīng)定期檢驗網(wǎng)絡(luò)設(shè)備軟件版本信息，避免使用軟件版本中出現(xiàn)安全隱患；應(yīng)定期檢查并鎖定或撤銷網(wǎng)絡(luò)設(shè)備中多余的用戶賬號。第三十二條 日志服務(wù)器應(yīng)能夠生成審計記錄，審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等，保存時間不少于半年。第三十三條 各單位應(yīng)根據(jù)銀行總行、統(tǒng)一部署，對網(wǎng)絡(luò)設(shè)備進(jìn)行更新，并在更新前對現(xiàn)有的重要文件進(jìn)行備份。第四節(jié) 網(wǎng)絡(luò)訪問控制第三十四

9、條 各單位應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能。第三十五條 訪問控制功能應(yīng)為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。重要網(wǎng)段應(yīng)采取技術(shù)手段防止地址欺騙。第三十六條 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量，嚴(yán)格遠(yuǎn)程訪問控制。確因工作需要進(jìn)行遠(yuǎn)程訪問的，應(yīng)由訪問發(fā)起單位科技部門核準(zhǔn)，提請被訪問單位開啟遠(yuǎn)程訪問服務(wù)，并采取單列賬戶、最小權(quán)限分配、及時關(guān)閉遠(yuǎn)程訪問服務(wù)等安全防護(hù)措施。第五節(jié) 網(wǎng)絡(luò)入侵防范及邊界控制第三十七條 防火墻、ids等設(shè)備應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、ip碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等行為。檢測到攻擊行為時，應(yīng)記錄攻擊源ip、攻擊類

10、型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。第三十八條 應(yīng)部署防病毒設(shè)備及安全產(chǎn)品對惡意代碼進(jìn)行檢測和清除，應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新。第三十九條 非法外聯(lián)監(jiān)控設(shè)備應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶未經(jīng)準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，發(fā)現(xiàn)后準(zhǔn)確定位，并對其進(jìn)行有效阻斷。第五章 業(yè)務(wù)網(wǎng)計算機(jī)管理第四十條 接入業(yè)務(wù)網(wǎng)的所有計算機(jī)設(shè)備網(wǎng)絡(luò)配置均由各單位科技部門統(tǒng)一管理，任何人不得私自設(shè)置或更改網(wǎng)絡(luò)參數(shù)。第四十一條 按要求安裝了入侵檢測、非法外聯(lián)、防病毒、桌面監(jiān)控、補(bǔ)丁分發(fā)等安全管理系統(tǒng)的計算機(jī)才能接入業(yè)務(wù)網(wǎng)。第四十二條 業(yè)務(wù)網(wǎng)計算機(jī)使用人員在訪問業(yè)務(wù)網(wǎng)相關(guān)資源時，必須嚴(yán)格遵守國家法規(guī)及

11、銀行相關(guān)管理規(guī)定，不得制作、復(fù)制、發(fā)布、傳播不良信息。第四十三條 業(yè)務(wù)網(wǎng)計算機(jī)嚴(yán)禁安裝游戲、聊天工具等與工作無關(guān)軟件，嚴(yán)禁在業(yè)務(wù)網(wǎng)中使用占用大量網(wǎng)絡(luò)資源的下載工具進(jìn)行下載，嚴(yán)禁利用業(yè)務(wù)網(wǎng)傳輸電影、音樂、圖片等與工作無關(guān)的大容量信息。第四十四條 業(yè)務(wù)網(wǎng)計算機(jī)嚴(yán)禁連接未經(jīng)授權(quán)的移動存儲設(shè)備，包括移動優(yōu)盤、移動硬盤、手機(jī)、mp3、數(shù)碼相機(jī)等設(shè)備；業(yè)務(wù)網(wǎng)內(nèi)嚴(yán)禁使用帶傳真功能的多功能一體機(jī)。第四十五條 計算機(jī)接入業(yè)務(wù)網(wǎng)必須直接接入，不得通過代理接入。第四十六條 業(yè)務(wù)網(wǎng)用戶如調(diào)整部門、辦公地點等需要調(diào)整網(wǎng)絡(luò)接入點時，須經(jīng)過科技部門同意方可調(diào)整。第四十七條 業(yè)務(wù)網(wǎng)計算機(jī)不得接入互聯(lián)網(wǎng)，嚴(yán)禁使用無線設(shè)備。第四

12、十八條 曾接入互聯(lián)網(wǎng)的計算機(jī)，應(yīng)重新辦理入網(wǎng)審批手續(xù)，并經(jīng)過科技部門采取更換硬盤、重新安裝系統(tǒng)等安全措施后，方可接入業(yè)務(wù)網(wǎng)。筆記本等便攜設(shè)備不得接入業(yè)務(wù)網(wǎng)。第四十九條 業(yè)務(wù)網(wǎng)計算機(jī)退出業(yè)務(wù)網(wǎng)，用戶應(yīng)及時通知科技部門回收網(wǎng)絡(luò)資源。第五十條 業(yè)務(wù)網(wǎng)計算機(jī)使用人員訪問業(yè)務(wù)網(wǎng)時必須遵守信息安全及保密管理的相關(guān)規(guī)定。第六章 應(yīng)急管理第五十一條 為保證業(yè)務(wù)網(wǎng)發(fā)生網(wǎng)絡(luò)故障時業(yè)務(wù)的連續(xù)性，各單位必須對業(yè)務(wù)網(wǎng)實施應(yīng)急管理，制定業(yè)務(wù)網(wǎng)應(yīng)急預(yù)案，制訂應(yīng)急演練計劃，定期對網(wǎng)絡(luò)資源的可用性進(jìn)行檢查，組織應(yīng)急演練。第五十二條 各單位應(yīng)確保網(wǎng)絡(luò)設(shè)備與線路的冗余容錯：（一）核心層、匯聚層的設(shè)備和重要的接入層設(shè)備均應(yīng)雙機(jī)熱備；（二）網(wǎng)