銀行計算機系統(tǒng)安全管理辦法模版

1、銀行計算機系統(tǒng)安全管理辦法第一章 總 則第一條 為加強全省銀行計算機系統(tǒng)安全管理，根據(jù)銀行信息系統(tǒng)信息安全等級保護實施指引（試行）（銀發(fā)2011173號）、銀行計算機系統(tǒng)信息安全管理規(guī)定（銀發(fā)2010276號）等規(guī)定，特制定本辦法。第二條 計算機系統(tǒng)安全管理的基本原則是“誰主管誰負責，誰運行誰負責，誰使用誰負責”。 第三條 本辦法主要對計算機系統(tǒng)安全的身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制和監(jiān)控管理等方面作出規(guī)定。第四條 本辦法按照標注分別適用于銀行機關、營管部、省內各地市中心支行及縣（市）支行。 第二章 身份鑒別第五條 應為操作系統(tǒng)和數(shù)據(jù)庫的不同用戶分配不同的用戶名，

2、確保用戶名具有唯一性（省/地市/縣行）。第六條 系統(tǒng)管理員、數(shù)據(jù)庫管理員的身份標識應具有不易被冒用的特點，關鍵系統(tǒng)的口令應在8位以上并由字母、數(shù)字、符號等混合組成，每3個月更換一次。如系統(tǒng)有另行規(guī)定的，按照系統(tǒng)規(guī)定要求執(zhí)行（省/地市行）。第七條 應啟用登錄失敗處理功能，可采取結束會話、限制登錄間隔、限制非法登錄次數(shù)和自動退出等措施（省/地市/縣行）。第八條 應采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別，例如以密鑰證書、動態(tài)口令卡、生物特征等作為身份鑒別信息（省行）。第九條 對服務器進行遠程管理時，應采取口令加密傳輸或其他必要措施，防止鑒別信息在網(wǎng)絡傳輸過程中被竊聽（省/地市/縣行）

3、。第三章 訪問控制第十條 應根據(jù)管理用戶的角色分配權限，實現(xiàn)管理用戶的權限分離，僅授權管理用戶所需的最小權限（省行）。第十一條 應嚴格限制默認賬戶的訪問權限，重命名系統(tǒng)默認賬戶，并修改這些賬戶的默認口令（省/地市/縣行）。第十二條 應及時刪除多余的、過期的賬戶，離崗人員的賬戶必須刪除，不能刪除的應禁用（省/地市/縣行）。第十三條 應避免共享賬戶的存在，對windows操作系統(tǒng)不做要求（省/地市行）。第十四條 應啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問，覆蓋范圍包括與信息安全直接相關的主體（如用戶）和客體（如文件、數(shù)據(jù)庫表等）及它們之間的操作（如讀、寫或執(zhí)行）（省/地市行）。第十五條

4、應采用最小授權原則，實現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)特權用戶的權限分離（省/地市行）。第十六條 應對重要信息資源設置敏感標記，依據(jù)安全策略嚴格控制用戶對有敏感標記重要信息資源的操作（省行），限制單用戶對系統(tǒng)資源的最大或最小使用比例（省/地市行）。第四章 安全審計第十七條 應啟用操作系統(tǒng)安全審計功能，審計范圍應覆蓋到主機上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶（省/地市行）。第十八條 審計內容包括重要用戶行為、系統(tǒng)資源的異常使用和重要信息系統(tǒng)命令的使用等系統(tǒng)內重要的安全相關事件（省/地市行）。第十九條 審計記錄包括日期、時間、類型、訪問者標示、訪問對象標示、事件結果，系統(tǒng)管理員應定期查看安全審計記錄（省/地市行

5、）。第二十條 應保護審計進程，避免受到未預期的中斷（省行）。第二十一條 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等，保存時間不少于半年（省行）。第二十二條 應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能（省行）。第五章 入侵防范第二十三條 應采取入侵防范措施，入侵防范內容包括主機運行監(jiān)視、資源使用超過閾值報警、特定進程監(jiān)控、入侵行為檢測、完整性檢測等方面內容（省/地市行）。第二十四條 三級（含）以上系統(tǒng)主機運行監(jiān)視的內容包括主機的cpu、硬盤、內存、網(wǎng)絡等資源的使用情況，并給出資源使用歷史記錄。如在網(wǎng)絡設備上部署有入侵檢測設備，并且可以對重要主機設備進行入侵的行為檢測，可

6、不在主機層面進行要求（省/地市行）。第二十五條 應能夠檢測到對重要服務器進行入侵的行為，能夠記錄入侵的源ip、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警（省/地市行）。第二十六條 應能夠對重要程序完整性進行檢測，并在檢測到完整性受到破壞后具有恢復的措施，在檢測到完整性即將受到破壞時進行事前阻斷（省/地市行）。第二十七條 操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新（省/地市行）。第六章 惡意代碼防范第二十八條 防惡意代碼策略由銀行總行統(tǒng)一管理。第二十九條 對于依附于病毒庫進行惡意代碼查殺的軟件應及時更新防惡

7、意代碼軟件版本和惡意代碼庫，對于非依賴于病毒庫進行惡意代碼防御的軟件，如主動防御類軟件，應保證軟件所采用特征庫的有效性與實時性（省/地市行）。第七章 資源控制第三十條 應通過設定終端接入方式、網(wǎng)絡地址范圍等條件限制終端登錄（省/地市行）。第三十一條 應根據(jù)安全策略設置登錄終端的操作超時鎖定（省/地市/縣行）。第三十二條 應定期對系統(tǒng)的性能和容量進行規(guī)劃，能夠對系統(tǒng)的服務水平降低到預先規(guī)定的最小值進行檢測和報警（省行）。第八章 監(jiān)控管理第三十三條 應整合和利用現(xiàn)有網(wǎng)絡管理系統(tǒng)、計算機資源監(jiān)控系統(tǒng)、專用安全監(jiān)控系統(tǒng)以及相關設備與系統(tǒng)的運行日志等監(jiān)控資源，加強對通信線路、網(wǎng)絡設備、主機和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存（省行）。第三十四條 應加強計算機系統(tǒng)運行監(jiān)測，統(tǒng)計分析運行狀況（省/地市行）。第三十五條 應定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告（省/地市行）。第三十六條 應及時預警、響應和處置運行監(jiān)測中發(fā)現(xiàn)的問題，發(fā)現(xiàn)重大隱患和運行事故應及時協(xié)調解決，并報上一級單位相關部門（省/地市行）。第三十七條 應建立安全管理