《农村信用社信息科技工作标准.docx》由会员分享,可在线阅读,更多相关《农村信用社信息科技工作标准.docx(37页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、江苏省农村信用社信息科技工作标准(讨论稿)第一章 总 则第一条 为进一步提升江苏省农村信用社信息科技整体水平,明确信息科技各项工作应达到的标准,参照国家标准和监管要求,归纳省联社有关科技工作规范制度,结合近三年来对全省农村信用社部分单位的信息科技现场检查情况,制定本标准。第二条 本标准适用于江苏省各农村商业银行、农村合作银行、农村信用合作联社。第三条 本标准主体部分包括7章133条标准。各单位应结合自身实际,在2015年前达到或超过这些标准,使全省信息科技工作迈上新台阶。第二章 科技管理第四条 科技部门人员数量:有独立数据中心的单位科技人员数量占本单位人员比例不低于3%;无独立数据中心的单位科
2、技人员数量不少于7人,占本单位人员比例不低于1.5%;第五条 科技部门人员准入资格:计算机专业本科以上学历或从事银行科技工作不少于3年;第六条 科技部门人员任职资格:科技部门重要岗位(网络、系统、开发、安全岗)人员拥有相关专业资格证书。资格证书范围:计算机技术与软件专业技术资格证书、Cisco认证证书、IBM认证证书、Novell SUSE Linux认证,Oracle或SUN JAVA认证、ISO27001认证和CISSP证书。第七条 科技部门人员岗位:重要岗位(网络、系统、开发、安全岗)必须设有AB角;开发、安全岗不与其他重要岗位兼任。第八条 外包人员操作范围:(一)外包单位:指提供各类信
3、息科技相关服务的外部单位。包括但不限于提供通讯、机房环境和设施、网络、系统、软件以及网点电子设备等服务的外部单位;(二)访问受控区域或设备:外包单位人员访问受控区域或设备须提出书面申请,批准后由专人全程陪同或监督,并登记备案;(三)访问允许区域或设备:明确外部人员允许访问的区域、设备的范围,规定允许访问的时间,并做好访问登记工作;(四)访问控制:除已发生事故外,严禁在主要生产时间(7:00-18:00)进行可能影响对外服务的变更维护操作。第九条 外包方准入资质:外包方资质审核内容包括审查外包方经营状况、财务实力、诚信历史、安全资质、技术服务能力和责任承担能力等证明文件;网络、服务器等硬件系统外
4、包方须持有相关设备的金牌或类似资质;外包方及相关项目经理须实施过银行系统内同等规模不少于3个成功项目,杜绝借壳投标情况,通过合同明确特定的项目经理在项目施工时的驻场时间。各单位对外包方的评价应在事后准确、详细地报送省联社科技创新处,以便逐步建立全省系统内部信息系统外包方黑白名单。第十条 外包方履职情况审计:评审外包方提供的服务报告,项目的中期、后期对外包方履职情况进行审计。第十一条 外包应急计划制定:制定计划应对外包过程中可能出现的本单位资源损失、外包方财务失败、外包人员变动以及外包合同的意外中止等情况。第十二条 合同管理:(一)明确合同双方权利和义务:在与外部单位签订合同中,须明确双方在安全
5、、保密、知识产权等方面的权利和义务。(二)明确合同中的费用相关要素:明确合同签订时间、费用支付方式、到期后的维保费用等内容。(三)明确合同中的罚则:明确响应时间、解决问题时间,明确对外部单位的处罚事由和处罚金额,设置尾款和保证金。禁止签订不利于维护自身权益的格式合同。(四)合同审查和正式批准的流程要符合本单位规范。第三章 机房环境第十三条 中心机房位置:(一)电力供应稳定,交通通信便捷,远离强震动、强噪声、强电场、强磁场区域;(二)多层或高层建筑内的机房应设置在较低的楼层,主机房层一般设置在2-3层;(三)UPS室、电池室、变配电房不能设在地下室,须做好加固、防水和降温等措施,UPS设备应尽可
6、能靠近主机房,缩短供电距离,降低零地电压;柴油发电机室避免设在地下室,须做好加固、防水、降噪和减震等措施。第十四条 中心机房分区:划分主机房、支持区、辅助区等功能区。主机房和部分支持区(包括UPS室和空调机房)与辅助功能区和办公大楼的其他部分之间使用实体墙分隔,严禁主机房与人员办公区域混用。第十五条 主机房分区:主机房内至少应分成通信设备区、网络区、服务器区。各区之间使用防火防爆玻璃隔断分隔,采用门禁系统控制出入。第十六条 通信设备区内设备摆放:主要放置运营商设备。(一)不同运营商设备放入不同机柜(采用统一型号的机柜)进行隔离;(二)同一运营商的机柜内,生产系统的设备和线路与非生产系统的设备和
7、线路之间,应避免互相干扰;(三)同一生产应用,应采用双设备双线路,同时,主备2条线路之间应避免互相干扰;(四)有条件的单位可采用不同机柜来分别放置同一生产应用的主备设备。第十七条 网络区内设备摆放:主要放置本单位的网络设备,包括路由器、交换机和防火墙等。第十八条 服务器区内设备摆放:主要放置本单位的应用服务器、数据库服务器和存储设备等。有条件的单位可单独设立存储设备区。第十九条 支持区分区:主要包括变配电室、柴油发电机房、UPS系统室、电池室、空调机房、消防设施用房、消防和安防控制室等。第二十条 辅助区分区:主要包括进线间、测试机房、监控中心、备件库、打印室、维修室等。第二十一条 中心机房空间
8、:(一)没有独立数据中心的单位机房面积1、主机房面积不小于120。其中通信设备区面积约30(按4-6个机柜估算),网络区面积约40(按6-8个机柜估算),服务器区面积约50(按8-10个机柜估算);2、UPS室与空调机房共计面积不小于30;3、辅助区面积不小于70。(二)有独立数据中心的单位机房面积参照A类机房标准,主机房面积为设备投影面积的5-7倍,辅助区面积为主机房面积的0.2-1倍;(三)机房高度机房净高不小于2.6m;机柜顶部距离天花板不小于40cm;防静电地板离地高度不小于40cm;(四)检修与运输空间机柜与对面机柜之间的距离、机柜与墙面之间的距离不小于1.2m;出口通道宽度不小于1
9、.5m;主机房门尺寸不小于1.2m(宽)2.2m(高);机柜并排数量不大于10个;(五)主机房不设置外窗,实现六面体屏蔽。电池室要避免阳光直射。第二十二条 中心机房承重:主机房、UPS室、消防设施用房(钢瓶间)和柴油发电机房承重不小于8KN/,电池室承重不小于16KN/。第二十三条 中心机房空气调节:(一)主机房配置主备2组精密空调,单组空调功率不低于设备总功率的1.2倍(按照设备总功率15KW估算,单组空调原则上不小于18KW,需要配置主备2组18KW的空调);(二)主机房温度要控制在22-24,湿度要控制在40-55;(三)主机房配置新风系统,维持主机房正压。主机房与大楼其他部分压差不小于
10、5Pa,与室外静压差不小于10Pa;(四)UPS系统室、电池室和辅助区配置空调系统。如使用吊顶送风等普通空调,须注意防止冷凝水;(五)UPS系统室、电池室温度控制在15-25;辅助区温度控制在18-28,湿度控制在35-75%。第二十四条 中心机房UPS建设:(一)采用2N(N2)模式的UPS系统供电,单台UPS的输出功率不小于设备总功率的1.2倍(按照设备总功率15KW估算,单台UPS原则上不小于18KW,如配置为2N模式,则需要配置4台18KW的UPS);(二)UPS电池供电时间不少于1小时。第二十五条 中心机房UPS运维:(一)调整UPS三路输出负载,使之保持均衡;(二)UPS电池每季度
11、放电一次,须放电充分(单路单组放电电池至报警为止);(三)每次UPS放电须完整进行记录,对UPS系统输入和输出功率、电压、频率、电流、功率因数、负荷率和电池输入电压、电流、容量等参数进行连续记载。第二十六条 中心机房柴油发电机建设:(一)配置自启动柴油发电机,燃料储备不少于72小时的发电需求;(二)发电机要保证UPS、空调和应急照明的供电(按照设备总功率15KW估算,2N模式的UPS总功率为72KW,主备2组空调总功率为36KW,则发电机功率应不小于110KW,72小时满负荷发电需要柴油约2400升,即12桶标准200L(56CM90CM)柴油桶);(三)柴油发电机旁可放置小功率的汽油发电机,
12、确保应急照明的电力和冬季柴油机启动预热。第二十七条 中心机房柴油发电机运维:(一)柴油发电机每月空载发电一次,每季度负载发电一次;(二)每次柴油发电机发电须进行详细记录,对油箱(罐)油位、柴油机转速、输出功率、频率、电压、功率因数等参数进行记录。第二十八条 中心机房双电源:(一)2组UPS的电力通过不同的配电柜分别输出至每个机柜的2组PDU;(二)重要设备(包括生产系统涉及到的网络、服务器等设备,特别需要注意的是运营商的传输设备也属于重要设备)要配置双电源模块,2根电源线分别接入到2组PDU。(三)对非重要的单电源设备可通过STS设备分别接入到2组PDU。第二十九条 中心机房综合布线:(一)机
13、柜内使用理线器,严禁线缆悬空或飞线,强弱电线分别从机柜的左右两边走线;(二)地板下使用桥架、KBG管,强弱电线要垂直交叉铺设;有条件的单位可采用弱电线缆上走线,强电线缆下走线的方式铺设线缆;(三)光纤接口要使用有锁卡装置的接口(LC),避免使用无锁卡装置的接口(SC-GBIC);要使用机架式光纤配线单元,避免使用无法固定的光纤终端盒;(四)机房内使用6类或以上等级的对绞线缆(网线),并进行1+1冗余;(五)机柜间通过配线列头柜和配线架进行跳线。第三十条 中心机房标签:机房内设备应在显著位置设置标签,标签要素包括编号、用途、管理人员及联系方式、维保单位及人员联系方式、IP地址等;线缆两端打上标签
14、(标签要素包括:两端设备和端口名称、本端口IP地址);使用专门的标签纸并牢固耐久,标签字体应清晰、完整。需要特别注意的是,由于IP地址等设备信息的保密性要求,须明确规定外部人员允许访问的区域,进出机房的人员须专人陪同、严格控制。通信设备区的标签中不能出现内部IP。第三十一条 中心机房机柜:(一)统一使用标准机柜,机柜高度2.2m,宽度采用19英寸标准,深度0.8m(如放入服务器则深度为1m);(二)机柜内设备须固定,避免非机架式设备进入机房;(三)重要系统的主备设备,应放入不同的机柜;(四)机房内设备放置应提前做好规划,根据设备尺寸、用途、散热要求,电力系统负载均衡原则,制定机柜内设备布局摆放
15、方案,杜绝随意安装设备的现象。第三十二条 中心机房消防:(一)机房须经消防部门专门验收并出具合格报告后,方可使用;(二)每季度须进行消防部门巡检并出具巡检报告;(三)主机房须配置七氟丙烷气体灭火系统,变配电室、UPS系统和电池室可配置气体或高压细水雾灭火系统;(四)主机房与其他部位间设置耐火极限不低于2小时的隔墙,隔墙上的门为甲级防火门;(五)主机房配置专用空气呼吸器或氧气呼吸器;(六)主机房面积超过100,要设置不少于2个安全出口。第三十三条 中心机房防水:(一)精密空调下部做防水围堰;(二)对每个精密空调下部周围分别部署检测线;(三)严禁给排水管穿越主机房,地面应设置排水系统(用于冷凝水、
16、空调加湿器、消防喷洒等排水);(四)机房四周要做好防水措施,防止雨水渗入。第三十四条 中心机房接地:(一)机柜使用接地线与地板下等电位体连接并接地;(二)接地连接线应有足够的机械强度和耐腐蚀稳定性,宜采用焊接或压接,以保证可靠连接;(三)等电位体联接网格采用截面积不小于25m的铜带或裸铜线,网格边长范围0.6-3m。第三十五条 中心机房安防:(一)主机房监控无死角;(二)录像存储不少于3个月;(三)监控系统时间须校准;(四)监控主机禁止放入被监控的机房内;(五)配置CK110联网报警系统。第三十六条 中心机房环境监控:(一)部署环境监测系统,对空气质量、电力、消防、防水等系统进行监控,并可及时
17、报警和短信通知(二)机房空调、柴油发电机、UPS等设备自身应配置监控系统,其主要参数应纳入环境监控系统,通信协议应满足要求。第三十七条 中心机房照明:(一)主机房和辅助区的照明度标准为500lx;(二)设置备用照明,主机房备用照明不低于50lx,辅助区备用照明不低于250lx;(三)备用照明和一般照明应由不同回路电源供应。第三十八条 中心机房验收:须经江苏省计算机系统工程测试中心(或其他有专业资质的机构)验收合格。第三十九条 中心机房报备:新建或改造机房方案,应向科技创新处报备。第四十条 网点机房空间:(一)营业网点要有独立机房;(二)机房面积不小于8;(三)机柜与墙面、其他设施之间的距离不小
18、于1.2m,杜绝机柜靠墙摆放现象;(四)铺设防静电地板,地板下高度不小于25cm;(五)尽量避免设在用水设备或房间的下层或隔壁;如无法避免,则相应墙面须设防水层并安装漏水检测装置。第四十一条 网点机房设备:(一)为节省空间,便于管理,监控设备应与网点网络设备放入1个机柜;(二)机柜应使用高度2.2m,宽度19英寸,深度0.8m(如放入服务器则深度为1m)的标准机柜;(三)机柜内设备须固定,避免使用非机架式设备;(四)机房空间内允许摆放的设备包括配电柜(箱)、机柜、UPS、电池、空调和灭火器。严格禁止其他设备尤其是带有纸张的打印机摆放在机房内。第四十二条 网点机房空气调节:(一)配置不小于1.5
19、匹(1125W)空调,不得采用大楼中央空调;(二)确保机房724小时温度在18-28,湿度在35-75%;(三)保持空气流通,控制灰尘度。第四十三条 网点机房消防:(一)机房内配置消防规定数量的二氧化碳或1211气体灭火器。有条件的网点可采用气体灭火系统;(二)不得使用水、干粉或泡沫等容易产生二次破坏的灭火剂;(三)每季度检查灭火器的可用性。第四十四条 网点机房监控:摄像头应对准机柜,监控范围应覆盖整个机房。录像存储不少于3个月。第四十五条 网点机房接地:(一)网点机房内的配电柜(箱)、机柜必须安装防静电接地装置。接地连接线应有足够的机械强度和耐腐蚀稳定性,宜采用焊接或压接,以保证可靠连接;(
20、二)网点机房内的所有设备,连同各类金属管道、建筑物金属结构、可导电金属外壳等必须作等电位连接;严禁机房内有对地绝缘的孤立导体;(三)当网点机房内的保护地、工作地、防雷屏蔽保护地以及信息设备逻辑地采用共地连接方式连接到等电位地排上,并通过地线引上线与所在建筑物的地网相连接时,地线接地电阻不应大于1;当网点机房设备单独设置接地体时,地线接地电阻不应大于4;对于有特殊要求的设备,可以补充接地,以达到要求的接地电阻值。第四十六条 网点配电:(一)网点应分别配置市电配电箱与UPS配电箱,实现市电供电插口与UPS供电插口的单独控制与统一管理;(二)网点市电配电箱应预留发电机连接插口,并在配电箱内配置停电互
21、投切换开关,保证市电中断时可由发电机向UPS及应急照明系统供电。第四十七条 网点电力回路:(一)网点机房须采用单独供电回路,并采用UPS系统供电;(二)网点营业电子设备必须与网点空调、照明设备采用不同的供电回路;(三)营业区的UPS供电回路须根据工位数量进行划分,不得将所有工位接入到同一回路中,一般可2-3个工位接入一条回路;同一UPS回路中不得连接3台(含)以上的自助存(取)款机和自助缴费终端。第四十八条 网点UPS系统:(一)UPS功率不低于6KW(不能小于总负载的1.2倍);(二)电池供电时间不小于4小时;(三)UPS须配置专用输入开关。严禁其他用途的用电设备与UPS设备共用一路开关,杜
22、绝与生产无关的大功率设备接在UPS电源上的现象。(四)UPS的输出须采用多个开关分路控制;(五)UPS应放入网点机房,杜绝UPS与更衣间、洗手间等房间混用的现象。第四十九条 网点UPS供电范围:包括网点机房内基础环境和电子设备,网点营业电子设备,视频监控系统设备,消防、安防报警系统设备等重要设备的使用。具体如下:(一)必须接入UPS的设备包括:网点机房内基础环境和电子设备,网点营业电子设备中的计算机终端、显示器、自助服务设备,视频监控系统设备,消防、安防设备和应急照明设备;(二)不得接入UPS的设备包括:扎把机、清分机、捆钞机等金融机具,以及大显示屏、复印机、饮水机、空调等非营业设备。(三)存
23、折打印机、点钞机、叫号器可连接UPS,也可连接市电,如连接市电时应适当预留UPS插口,以备停电时这些设备可转接入UPS。第五十条 网点发电机:距离较近的2-3个网点配备1台发电机,功率不低于8KW,燃料储备不低于24小时的发电需求。第五十一条 网点机房内布线:(一)地板下使用桥架、KBG管,强弱电线要垂直交叉铺设。(二)所有线路的外延部分须做位置固定安装处理,1.5米以上的长距离延伸线路应经金属线槽防护走线。杜绝线路沿墙悬挂、强弱电线不隔离现象;(三)布线必须避开热源。第五十二条 网点机柜内布线:(一)线缆两端打上标签(标签要素包括:两端设备和端口名称);使用专门的标签纸并牢固耐久,标签字体应
24、清晰、完整;(二)机柜内使用理线器,严禁线缆悬空或飞线;(三)强弱电线分别从机柜的左右两边走线。第五十三条 营业区弱电接口(信息点):(一)每个工位(这里指现金、非现金区和信贷业务等所有业务经营人员的工位)配置不少于4个信息点(2主2备);(二)每个自助机具须布置2个信息点(1主1备);(三)备用数据点仅当启用时置为有效状态。第五十四条 营业区强电插口:根据工位的设备数量和用电需求,估算使用UPS和市电的插口数量,并按照3+1冗余的原则,配置每个工位的UPS和市电插口,避免使用移动插座。自助服务区须增设1个备用UPS插口。下面是现金区工位强电插座规划设计示例:(一)设备及使用插口1、终端主机:
25、1个UPS插口;2、显示器:1个UPS插口;3、存折打印机:1个UPS插口;4、点钞机:1个市电插口;5、满意度评价器:1个市电插口;6、麦克风:1个市电插口7、密码键盘:不需插口;注:“柜外清”可取代5、6、7,但需要1个UPS插口;8、指纹仪:不需插口;9、磁条读卡器:不需插口,且可与键盘集成;10、IC卡读卡器:不需插口,且可与键盘集成;11、鼠标、键盘:不需插口;12、二代身份证读卡器:1个市电插口,但可与键盘集成;13、扫描仪:1个市电插口;14、宽行报表打印机(或高速行式打印机):1个UPS插口;15、激光多功能一体机:1个市电插口;16、叫号器(叫号屏幕显示系统)、清分机、捆钞机
26、、扎把机:各1个市电插口;注:14、15、16为共享设备,为多人公用。(二)综上,1个现金区工位需UPS插口3个、市电插口5个(按照不使用“柜外清”、二代身份证读卡器不集成,不统计共享设备插口来计算)。按照3+1的冗余原则,每个工位应配置4个UPS插口和6个市电插口。第五十五条 营业区弱电接口和强电插口设计原则:(一)合理分布接插口位置应根据该工位人员对各设备的使用习惯,将接插口位置合理分布,以方便插接。走线应清楚美观;(二)安全性1、工位的接插口:强电供电插口与信息点插口的位置与设计应考虑插拔的角度与方便性,并应安装在不易被柜员踢到的位置;2、开放区的接插口:大堂、ATM等开放区域的信息点和
27、UPS电源插口不得外露或必须采用适当的安全防护措施;3、信息点不启用时,应置为无效状态或断开跳线。(三)网点应避免安装地插式强电供电插口及信息点插口,确需使用时地插式插口应采用防水、防压线盒设计; (四)所有UPS电源插座面板应采用醒目颜色或特殊标记,与其他市电插座面板明显区分开,并宜采用防脱落设计;(五)强电插座与弱电插口间距应不小于100mm。第五十六条 网点布线其它标准:(一)须使用超5类或以上的网线;(二)强电线路与弱电数据线路须分管走线,线路间距应不小于300mm。第五十七条 网点防雷:网点应采取至少二级(含)防雷措施,有条件网点可采取三级防雷措施。防雷保护器应安装在网点外部电源进入
28、网点市电供电总配电柜(箱)的输入端处(一级防雷)、低压配电柜(箱)后或稳压电源、UPS设备前处(二级防雷)、柜员常用设备终端电源插头前(三级防雷)。第五十八条 网点信息系统基础环境审批和报备:网点的供电设计方案,网点机房改建方案,综合布线图(强、弱电),信息点、电源插口位置设计,机柜配线架接口与信息点对应清单等材料须经本单位科技部门审批后方可实施。网点信息系统基础环境竣工验收材料须向本单位科技部门报备。第四章 网络系统第五十九条 网络系统的设备和线路数量:总行(社)至网点部署2套设备、4套线路。2套设备包括内部网络设备和互联网应用网络设备。4套线路包括2套主要生产线路、1套大数据量生产线路和1
29、套互联网应用线路。第六十条 内部网络设备:包括中心机房内部网络设备(核心网络交换机、各功能区接入交换机和有关安全防护设备等)和网点内部网络设备(采用三层交换机,逐步淘汰网点路由器)。所有网络设备须采用双机热备的方式,确保单台故障时,另一台可以快速接管。杜绝2台主备设备分别连接部分网点的虚假备份现象。第六十一条 中心机房内部网络设备分层和分区:分为核心层和接入层。核心层即核心交换区;接入层包括主机接入区、网点接入区、外联接入区、上联接入区、楼层接入区等。第六十二条 核心交换区设备:即核心网络交换机。主要用于核心数据转发,不直接连接主机、楼层交换机、楼层PC和网点网络设备。第六十三条 主机接入区设
30、备:包括主机接入区交换机和网络安全防护设备(防火墙、入侵检测等)。主要用于接入业务系统主机,汇聚后接入核心网络交换机;对进入业务系统主机的数据进行安全检查,防范病毒和攻击。第六十四条 网点接入区设备:包括网点接入区交换机、路由器。主要用于连接网点的网络设备,汇聚后接入核心网络交换机。第六十五条 外联接入区设备:包括外联接入交换机、路由器、网络安全防护设备(防火墙、入侵检测等)。主要用于地址隐藏和翻译,防范外联单位病毒和攻击,汇聚后接入核心网络交换机。第六十六条 上联接入区设备:包括上联接入路由器。主要用于与分中心或省中心网络设备连接,汇聚后接入核心网络交换机。第六十七条 楼层接入区设备:包括楼
31、层接入核心交换机和楼层交换机。主要用于与办公大楼内的有关生产用机连接,汇聚后接入核心网络交换机。第六十八条 内部网络线路:包括2套主要生产线路和1套大数据量生产线路。用于连接中心机房和网点的内部网络设备。第六十九条 2套主要生产线路:使用2家运营商的网络线路互为备份,线路两端分别连接中心机房的主备2台网点接入区交换机和网点机房的主备2台交换机(三层交换机),两端接口采用光纤接口,建议采用mstp线路;每家运营商至中心机房的1套光纤须包括主备2根光纤,并分别从该运营商环网的不同节点引下;不同运营商的光纤和同一运营商的主备光纤应从办公大楼的不同方向接入机房,在机房内部通过不同桥架(或上走线架)引入
32、相关机柜,降低因施工挖断光缆导致服务中断的风险。线路带宽不低于2M。第七十条 1套大数据量生产线路:主要运行安全监控、各类影像系统、视频会议和OA系统数据。如无高清监控等系统,则带宽不低于10M;考虑到未来运行高清影像数据流等大数据量系统,两端接口应采用光纤接口,建议采用mstp线路,以便平滑升级至100M或更高带宽。运营商至中心机房的1套光纤须包括主备2根光纤,并分别从该运营商环网的不同节点引下。第七十一条 互联网应用网络:承载总行(社)及网点人员上网、网点网银体验和指导、网点展示总行网站信息等应用,解决网上银行(网外单位)、移动办公(OA、审批等)、网上对账、网上贷款申请等内部系统对互联网
33、访问的需求。须特别注意的是,网点互联网应用要由总行(社)集中管理,严禁网点自行接入互联网。第七十二条 互联网应用网络设备:包括中心机房的互联网应用网络设备(核心交换机、楼层交换机、外联网络设备和有关安全防护设备等)和网点的互联网应用网络设备(采用三层交换机,避免使用路由器)。不必采用双机热备方式。第七十三条 互联网应用网络线路:用于连接中心机房和网点机房的互联网应用网络设备。不必采用双线路备份。第七十四条 互联网应用网络的安全防护:网外单位的网银系统须按照有关规定,严格做好安全防护;其他互联网应用(人员上网、网银体验、移动办公、网上对账等)须通过防火墙等安全措施接入互联网;须通过防火墙、入侵检
34、测等安全防护措施严格控制内部网络系统与互联网应用网络系统间的数据交互,以满足移动办公、网上对账等业务系统对互联网访问的需求。第七十五条 网络系统配置:(一)IP地址:参照全省IP地址分配规范进行地址划分,IP地址分配、掩码设置应符合一定规则,网内单位内部网络中杜绝非32、66(或省联社未来发文公布的IP)开头的地址;(二)及时升级网络设备操作系统版本;(三)通过NTP等方式,准确设置网络设备时钟;(四)杜绝同一以太口启用2个或以上的网段的IP;(五)所有设备端口须进行详细注释;(六)关闭未使用的网络设备端口;(七)网络设备实施用户分级管理,减少特权用户使用;(八)网络设备口令进行加密,杜绝明文
35、口令出现在配置文件中;(九)开发、测试网段与生产网段须做好隔离措施;(十)及时清理网络设备中的无用路由信息;(十一)电子设备应通过IP地址、MAC地址与网络设备端口绑定等准入控制措施,防止非法入侵,杜绝同一台计算机通过更换网线和IP地址的方法切换上内外网的现象;(十二)外联网络使用双向NAT对内部地址进行隐藏; (十三)网点、营业部的网络设备,与中心机房网点接入区的网络设备之间须采用广域网配置,避免网络广播风暴;(十四)对网点内部网络至少划分综合业务柜员网段、信贷业务网段、安防监控网段、OA网段、视频会议网段,严格控制各网段间的访问。网点的内部网络与互联网接入应用网络须物理隔离。第七十六条 网
36、络系统管理监控:须建立网络运行情况集中监控管理平台。(一)网络设备和安全设备配置网管协议,以便网管系统能够检测设备信息,记录有关拓扑,提示故障;(二)网络监控管理工具使用须经科技部门负责人审批;(三)网络监控管理系统应能按照常见的攻击特点侦测异常网络活动;(四)网络监控管理系统能对网络性能进行监控:统计CPU占有率、内存使用率、端口利用率等参数,以及核心设备及各分区接入设备链路总流量及各业务流量监测;(五)网络监控管理系统能对流量进行监控分析:对异常流量进行识别、分析;(六)网络监控管理系统能够自动响应网络安全事件:包括控制台报警,记录网络安全事件的详细信息,通过短信等方式提示管理员采取一定的
37、安全措施。第七十七条 网络系统审计:使用工具软件分析系统日志,定期(每季)对网络的安全性进行审计评估并出具报告。第七十八条 网络系统报备:各单位网络系统建设、升级、改造等项目须遵循合理性、前瞻性原则,实施前须向省联社科技创新处报备。第五章 系统管理第七十九条 系统访问管理:对主机设备应实行严格的授权访问制度。访问情况应进行严格登记,登记内容应包括访问时间、离开时间、陪同人员、访问理由及批准人等事项。第八十条 系统安全监控:对主机设备应实施24 小时录像监控并保存记录。第八十一条 系统冗余:系统核心设备及关键部件应有备份用机和备份部件。设备应使用双路电源。第八十二条 设备监控:设备的关键部件,包
38、括CPU、内存、硬盘、电源、风扇等,应具备管理接口,通过该接口或其他措施收集硬件的运行状态,并对其进行实施监控,当所监测数值超过预先设定的阀值时,提供报警、状态恢复等处理。对核心(主机)设备及网络情况应实行724 小时监控,监控中出现的异常情况应进行记录。第八十三条 时钟同步:核心设备的时钟要通过NTP等措施统一设定。第八十四条 备份与故障恢复:主机及网络通信等关键设备必须实行双机备份,备份系统与生产系统的系统构成与配置应保持一致。有独立数据中心的单位核心(主机)设备应采用紧耦合集群结构进行备份与故障恢复,应设置异地备份与恢复功能,确保主机因灾难性故障中断运行时,业务应用系统能在要求的时间范围
39、内恢复运行。第八十五条 操作系统维护:应对操作系统进行定期(每月)维护、升级、备份。并应有维护升级记录。第八十六条 root 用户密码管理:对核心设备的root用户口令长度应不低于8位数字和字母混合编成并定期更换(每季更换一次)。应对root 密码双人分段管理并封存保管。第八十七条 超时保护:终端登录服务器1分钟内不进行操作,须自动退出。第八十八条 登录失败管理:应按月定期检查主机系统登录失败日志,检查包括事件的日期、时间、类型、主体标识、客体标识和结果等内容,并形成分析报告。第八十九条 telnet管理:重要核心系统应当屏蔽telnet网络服务功能。第九十条 FTP管理:重要核心系统应当屏蔽
40、FTP 匿名帐户。第九十一条 HACMP管理:对重要主机设备应采取双机热备方式以保障业务连续性,对双机热备设备应定时(每月一次)检查并定时(每季一次)切换演练第九十二条 Windows 系统管理:系统不应存在其他无关用户。GUEST帐户应关闭。硬盘分区应使用NTFS 文件系统。应统一操作系统版本。应及时检查操作系统安全补丁发布情况,发现有新的补丁发布,应及时升级。禁止从事业务生产的计算机安装来历不明的软件,禁止安装私自从互联网下载的软件。外来软件在安装前,应查杀病毒,确保安全后才可安装上线。服务器和终端应通过设置屏幕保护密码(1分钟内不操作即屏保)或即时锁屏等方式进行访问控制。应根据全行统一的
41、IP 管理策略设置IP 地址。第九十三条 数据库访问控制:制定和严格执行数据库的访问控制策略,实行严格的用户和角色授权。第九十四条 数据库备份和恢复:对数据库中的数据、表空间、数据库结构和参数等重要信息定期(每日)进行本地或远程备份。第九十五条 中间件产品准入:中间件产品的准入程序应当满足软件产品准入规则;中间件产品应当进行必要的安全检查;中间件产品的性能应当经过必要的测试程序。第六章 运行管理第九十六条 日常巡检:每日进行系统巡检,巡检内容包括主机系统、UPS、精密空调、电池、网络设备、内外网站、核心业务、中间业务、其他系统的运行使用情况,巡检结果要及时详细登记。第九十七条 机房值班:每日对
42、机房值班情况进行登记,内容包括值班人、值班时间、值班纪录,晚间无人值守的应注明并要每天查看等。第九十八条 ATM巡检:每日对ATM运行情况进行巡检并登记,内容包括终端编号、钞箱情况、设备运行状态、交易日志、凭条更换、检查人、检查时间等内容。第九十九条 登记管理:建立健全省联社下发的各类登记簿。(一)在发生变更时及时详尽登记下列登记簿:远程登录登记簿(严格控制远程登录,详细记录登录原因、登录人员、起止时间、批准人等内容)。软件、文档资料登记簿(系统类、应用类、媒体类别、涉密否、传递情况、外借情况等)。重要系统的媒体(包括备份媒体)销毁和审批登记簿(系统类别、备份媒体、销毁原因、审批情况等)。用户
43、ID、密码(口令)和密钥的密封件登记簿(用户 ID、密码事项、密钥事项,存放地点,管理人员等)。重要系统应急处理登记簿(计算机信息系统的系统管理人员、开发人员、维护人员及其他支持人员信息,系统软、硬资源信息,事件发生及解决情况等)。病毒防护和查杀登记簿(系统类别、统一机器编号、查杀情况等)。机房出入人员登记簿(出入原因、出入人员、陪同人员、批准人、是否外宾,外宾应单位领导审批等)。互联网使用登记簿(使用部门、人员、账号、入网方式、机器编号,备案否等)。要害岗位人员登记簿(岗位、姓名、所在部门、在岗时间、在岗情况、A/B角等情况)。设备登记簿(设备名称,购置时间,应用系统,IP地址,使用部门,使
44、用人,维护人,维护人联系电话,维保公司信息等)。(二)定期进行机房(每天)、网点机房(每月自查,每季度检查)、信息安全(每月)等内容进行检查,并及时详尽登记下列登记簿:安全检查登记簿(检查时间、内容、主要问题、整改情况、检查材料、总结材料等)。机房安全检查登记簿(水、电、空调、接地、防雷、湿度、温度、设备工作情况等,参考机房环境监控系统的数据进行登记)。第一百条 系统用户检查:定期(每月)检查系统用户账号,确保每个账号有唯一的、合规的使用人员。并应有相应的检查记录。第一百零一条 性能监控:应当建立重要信息系统的性能监控系统,设定了系统重要核心参数监控清单和合理的预警值(至少包含:CPU 利用率
45、、网络利用率、存储容量、系统状态等)。第一百零二条 配置管理:应当对运行环境的系统配置进行严格的控制,并与备份配置保持一致,禁止任何非授权的修改配置行为。系统配置应定期(每月)进行备份。第一百零三条 参数管理:各类系统的管理人员更改系统的设置参数时,必须提出书面申请并经信息科技管理部门负责人签字确认,特别重要的系统,如:主机操作系统和数据库系统,需经分管领导签字确认,其执行情况应在操作日志中记录。第一百零四条 日志管理:应加强日志管理,对日志实行分级管理,确保重要的运行行为被记录和分析,对重要日志实行定期备份,保证当发生安全事件时做到有据可查。第一百零五条 桌面管理:对系统运行部门桌面进行有效
46、管理,建立桌面管理制度。第一百零六条 问题管理: 建立有效的问题管理机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员汇报事故的发生,记录、分析和跟踪所有事故,直到对事故进行彻底的改正并完成根本原因的分析。第一百零七条 变更管理:除已发生事故外,严禁在主要生产时间(7:00-18:00)进行可能影响对外服务的变更维护操作。变更操作须提前书面报告科技部门负责人,签字同意后,双人操作并做好变更记录。第一百零八条 运行报告:信息科技运行部门应当定期(每月)将重要信息系统的运行报告提交管理层。第一百零九条 单点故障的排查:定期(每月)排查单点故障问题。应有相应的检查记录及问题分析处理报告。第
47、七章 软件开发第一百一十条 管理制度:应制定全面的信息系统开发管理制度、流程和指引,包括但不限于:系统的开发流程和组织管理、参与部门的职责划分、时间进度和财务预算管理、质量检测和风险评估等。制定的制度、流程和指引,应涵盖系统开发的全周期,包括:立项、可行性分析、制定需求、方案设计、程序开发、系统测试、系统验收、使用培训、实施操作和维护等。第一百一十一条 周期管理:项目必须有生命周期管理制度,应有生命周期管理流程和记录。第一百一十二条 系统测试:应建立完善的测试团队,并确保测试工作的公正性和独立性;应当确保系统测试的充分性,完整性;测试环境应与生产环境相隔离;应当对信息系统功能进行充分测试,保障系统功能与业务目标一致;应当对信息系统进行非功能测试,防范在信息系统性能峰值情况下发生的问题。第一百一十三条 项目验收:软件项目正式投产前必须进行验收,并提供完整的资料,包括:可行性研究报告、业务需求书、业务需求变更文件、立项审批、验收申请报告、综合测试报告、试运行报告、费用支出报告技术开发阶段有关文