銀行計算機網(wǎng)絡安全管理規(guī)定模版

1、銀行計算機網(wǎng)絡安全管理規(guī)定第一章 總則第一條 為了保證銀行（以下簡稱本行）計算機網(wǎng)絡的安全可靠，保證數(shù)據(jù)通訊的及時準確，特制定本規(guī)定。第二章 網(wǎng)絡總體安全第二條 各部室及營業(yè)網(wǎng)點不得隨意與外部網(wǎng)相聯(lián)，如因工作確需相聯(lián)時，要報經(jīng)本行主管領(lǐng)導批準后由信息技術(shù)部實施，必須采用防火墻技術(shù)，防止非法入侵。第三條 中心機房應對網(wǎng)絡資源實施監(jiān)控。第四條 網(wǎng)絡通訊線路應經(jīng)常檢查維護，防止物理線路被非法接入。第五條 信息技術(shù)部必須建立本行網(wǎng)絡設備的參數(shù)配置表。各種網(wǎng)絡設備的參數(shù)應妥善保管，不準泄露。第六條 不得隨意更改網(wǎng)絡參數(shù)。必須修改時，須有嚴格審批手續(xù)，并建立配置更改記錄，詳細記錄更改的原因、更改前后的定義

2、或參數(shù)、更改的日期等，并由審批人和執(zhí)行人簽字。第七條 路由器、交換機及防火墻等網(wǎng)絡設備應設置密碼，由專人管理。第八條 定期或不定期監(jiān)測網(wǎng)絡設備誤碼率、吞吐量、傳輸時延、響應時間等性能參數(shù)，發(fā)現(xiàn)異常情況及時采取相應措施進行處理，確保網(wǎng)絡設備性能良好。第九條 各部室、營業(yè)網(wǎng)點之間不準進行破譯他人密碼、攻擊對方系統(tǒng)等非法操作。第十條 各部室、營業(yè)網(wǎng)點不準在綜合業(yè)務數(shù)據(jù)網(wǎng)上隨意傳輸文件、隨意互相登錄，以免影響網(wǎng)絡正常通訊。第十一條 通訊網(wǎng)絡必須建立可靠的備份線路，在主線路發(fā)生故障時應自動進行切換。第三章 網(wǎng)絡結(jié)構(gòu)安全第十二條 網(wǎng)絡拓撲結(jié)構(gòu)應由專業(yè)人員進行嚴格設計和規(guī)劃，并繪制與當前運行情況相符的網(wǎng)絡拓

3、撲結(jié)構(gòu)圖。第十三條 重要的網(wǎng)絡設備和通信鏈路應采取冗余備份措施，防止出現(xiàn)單點故障，提高網(wǎng)絡的可靠性。通信鏈路應盡量采用不同運營商的線路作冗余。第十四條 應保證網(wǎng)絡各個部分的帶寬滿足業(yè)務高峰期需要。第十五條 應對重要的業(yè)務服務指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡發(fā)生擁堵的時候優(yōu)先保護重要服務器。第四章 網(wǎng)絡邊界控制第十六條 網(wǎng)絡系統(tǒng)應劃分為內(nèi)網(wǎng)、外網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)之間采取有效的隔離措施，禁止內(nèi)網(wǎng)直接接入internet。第十七條 應合理配置網(wǎng)絡設備，在業(yè)務終端與業(yè)務服務器之間進行路由控制，建立安全的訪問路徑。第十八條 應根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的vlan或網(wǎng)段

4、，并按照方便管理和控制的原則為各vlan或網(wǎng)段分配ip地址段，確保生產(chǎn)與測試、生產(chǎn)與開發(fā)之間的明確分離，禁止生產(chǎn)與開發(fā)、測試網(wǎng)段的通信訪問。第十九條 在本地工作的項目合作外包人員的管理和維護終端應劃分獨立的vlan，并通過設置路由策略和訪問控制策略等方式在其邊界嚴格控制外包人員對系統(tǒng)的訪問權(quán)限。第二十條 內(nèi)外網(wǎng)與外部單位互聯(lián)必須通過防火墻隔離，采用nat地址轉(zhuǎn)換技術(shù)，隱蔽內(nèi)部網(wǎng)絡結(jié)構(gòu)。需要為外部單位提供服務的前置機和應用服務器等應部署在dmz區(qū)。根據(jù)互聯(lián)單位業(yè)務重要程度，還應合理規(guī)劃ip地址，劃分不同安全區(qū)分別保護。第二十一條 網(wǎng)絡邊界訪問控制設備應在保證正常應用連通性的前提下，根據(jù)業(yè)務通信情

5、況設置嚴格的訪問控制策略，并定期進行檢查和必要的調(diào)整。訪問控制應至少滿足以下要求：1、策略的設置應遵循“默認拒絕，特殊規(guī)則靠前，普通規(guī)則靠后，規(guī)則不重復”的原則。2、應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許或拒絕訪問的能力，控制粒度為端口級。3、應按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶。第二十二條 應對內(nèi)網(wǎng)和外網(wǎng)的服務器、終端等計算機設備采取mac地址、ip 地址和交換機端口的綁定等技術(shù)手段防止地址欺騙。第二十三條 內(nèi)網(wǎng)和外網(wǎng)終端應獨立使用，只允許外網(wǎng)終端或指定設備訪問internet，禁止任何終端用戶撥號訪問internet。第二十四條

6、 嚴禁計算機用戶私自安裝網(wǎng)絡設備（modem、網(wǎng)卡、無線通訊設備等）以連接外部網(wǎng)絡，并確保有可靠措施進行檢查監(jiān)督。第五章 網(wǎng)絡安全審計第二十五條 應對關(guān)鍵網(wǎng)絡設備的cpu、鏈路帶寬的利用率等性能指標進行實時監(jiān)控，cpu利用率長期處于60以上時應及時擴展或更換性能更高設備，當鏈路帶寬占用率持續(xù)超過70%時，應考慮擴展鏈路帶寬。第二十六條 應確保重要網(wǎng)絡設備（包括安全設備）的系統(tǒng)日志處于啟動運行狀態(tài)，并實時或定期對日志進行采集轉(zhuǎn)儲，轉(zhuǎn)儲的日志應至少保存一年。第二十七條 應定期進行全面的日志分析，對網(wǎng)絡設備登錄的用戶、登錄時間、所做的配置和操作做檢查，對防火墻的敏感網(wǎng)絡連接活動（用戶身份、訪問時間、

7、訪問源 ip、訪問目標 ip、訪問動作等）進行全面日志分析。第六章 網(wǎng)絡入侵防范第二十八條 在網(wǎng)絡邊界和內(nèi)部網(wǎng)絡應部署網(wǎng)絡入侵防范設備，設置合理、全面的監(jiān)聽范圍，對端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、ip碎片攻擊和網(wǎng)絡蠕蟲攻擊等行為進行監(jiān)視。當檢測到攻擊行為時，記錄攻擊源ip、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。第二十九條 重要或敏感的業(yè)務數(shù)據(jù)在internet等公共網(wǎng)絡上通信傳輸時，應采取vpn設備或加密機等符合國家密碼管理規(guī)定的加密技術(shù)手段。第七章 網(wǎng)絡設備防護第三十條 網(wǎng)絡設備應實現(xiàn)賬號口令的認證管理方式，重要網(wǎng)絡設備可采用增強的認證

8、方式。第三十一條 網(wǎng)絡設備的所有管理用戶應經(jīng)過嚴格的審批授權(quán)，每個用戶的賬號應唯一，不得存在共享賬號。第三十二條 網(wǎng)絡設備的口令應由大寫英文字母、小寫英文字母、數(shù)字、特殊符號等兩類或兩類以上的字符組成，口令長度不低于8位，口令不得與用戶號相同，也不能使用用戶本人生日、身份證、電話號碼等容易被猜出的數(shù)字，至少3個月修改一次。第三十三條 應使用固定的遠程管理終端或限制的登錄地址對網(wǎng)絡設備進行遠程管理。第三十四條 網(wǎng)絡設備應采取結(jié)束會話、限制非法登錄次數(shù)和當網(wǎng)絡登錄連接超時自動退出等措施。第三十五條 當對網(wǎng)絡設備進行遠程管理時，應采取ssh、https等加密措施取代telnet、http管理，防止鑒別信息在網(wǎng)絡傳輸過程中被竊