《银行业务网安全管理规范.docx》由会员分享,可在线阅读,更多相关《银行业务网安全管理规范.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、银行业务网安全管理规范第一章 总 则第一条 为加强全省银行系统业务网管理,根据银行信息系统信息安全等级保护实施指引(试行)(银发2011173号)、银行计算机系统信息安全管理规定(银发2010276号)等规定,特制定本规范。第二条 业务网管理的基本原则是“谁主管谁负责,谁运行谁负责,谁使用谁负责”。科技部门负责设备接入的审批以及网络管理,各部门负责本部门网络的日常管理。第三条 本规范适用于银行机关、营管部、省内各地市中心支行及县(市)支行(以下统称各单位)。 第二章 职责分工第四条 各单位科技部门信息安全管理员应定期检查网络安全运行情况,及时处理入侵检测、非法外联、防病毒、桌面监控、补丁分发等
2、系统工具检测出的安全问题。经本部门主管领导批准后,信息安全管理员有权对本单位或辖内网络进行安全检测、扫描。检测、扫描结果属敏感信息,未经授权不得对外公开。未经银行总行科技部门授权,任何外部单位与人员不得检测或扫描银行内部网络。第五条 各单位应指定专人对网络进行管理,配备网络管理员,并实行A、B角负责制。网络管理员应定期参加网络安全技术培训,具备一定的应对非法入侵、病毒蔓延等网络安全威胁的技能。网络管理员负责网络日常监测工作,检查网络安全运行状况,定期检查网络日志,管理网络资源及其配置信息,建立健全网络安全运行维护档案,及时发现和解决网络异常情况。如出现重大网络问题,应及时报告相关领导启动应急预
3、案,并向上一级科技部门报告。出现重大网络问题时,经本部门主管领导批准后,可采取“先断网、后处理”的紧急应对措施。第六条 各部门负责人对本部门网络及计算机的安全与保密工作负有领导责任。部门计算机安全员应定期按照要求对安全软件进行检查,如发现问题应立即联系科技人员处理。接入业务网的计算机必须明确唯一责任人,计算机责任人对该计算机的安全使用负责。第七条 各单位信息安全领导小组或其办公室应定期组织检查有无违反网络安全的行为。第三章 网络接入及变更管理第八条 各单位科技部门应严格网络接入管理。任何设备接入网络前,应经过科技部门的审核,审核批准后方可接入网络并分配相应的网络资源。第九条 业务网计算机客户端
4、应采取入网认证和准入机制,并实行IP和MAC地址绑定,拒绝未在认证系统中注册的计算机入网。第十条 各单位科技部门应严格网络变更管理,网络管理员调整网络重要参数配置和服务端口前,应书面请示本部门主管领导,并做好变更信息记录。第十一条 网络变更原则上应安排在非工作时间进行。实施有可能影响网络正常运行的重大网络变更,应提前通知所有使用部门,并安排在节假日进行,同时做好配置参数的备份和应急恢复准备。第四章 网络安全管理第一节 网络结构安全第十二条 各单位应按照上级行的统一规划、建设部署、策略配置,合理分配网络资源(网络设备、通讯线路、IP地址段和域名等),加强本单位网络资源管理,绘制与当前运行情况相符
5、的网络拓扑结构图。第十三条 网络建设和改造应符合银行网络总体规划和安全管理要求,建设和改造方案应报上一级科技部门审核后方可实施。第十四条 应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要的1倍以上;应保证网络各个部分的带宽满足业务高峰期需要。第十五条 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。第十六条 应避免将重要网段部署在网络边界处且直接连接外部信息系统,不同网络之间应采取必要的隔离措施。第十七条 应按照对业务服务的重要次序来指定带宽分配优先级别,保证在网络发生拥堵的时候优先保护重要主
6、机。第十八条 应按照不影响业务的正常网络传输为原则,合理控制多媒体网络应用规模和范围。未经银行总行科技部门批准,不得在银行内部网络上提供跨辖区视频点播等严重占用网络资源的多媒体网络应用。第二节 网络设备配置第十九条 各单位网络设备的安全配置遵循最小服务原则,并对配置文件进行定期离线备份。第二十条 应关闭未使用的端口,console口、Aux口应设置访问控制,预先定义访问控制列表,关闭常见病毒攻击端口,紧急情况下应用至设备上行端口。第二十一条 应为多个登录用户建立账号和口令,口令应采用密文方式。第二十二条 设备命名应具有一定的规范和规律,便于维护管理。第二十三条 局域网上应对Vlan进行统一规范
7、管理;在配置Vtp协议时,应设置域名和口令,并将主、备核心交换机设为Vtp Server模式,楼层交换机设为Vtp Client模式。第二十四条 SNMP协议应配置Community串,配置只读和读写Community,并限定网管主机。第二十五条 应设置日志服务器,方便维护和管理。第二十六条 应启用NTP服务。第三节 网络设备防护第二十七条 网络设备用户标识应唯一。第二十八条 网络设备应设置口令,并至少每3个月更换一次,口令的强度应满足安全性要求。第二十九条 网络设备应具有登录失败处理功能,可采取结束会话、限制非法登录次数等;当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程
8、中被窃听。第三十条 应实现设备特权用户的权限分离,对网络设备的管理员登录地址进行限制。第三十一条 应定期对网络设备的配置文件进行备份,发生变动时应及时备份;应定期检验网络设备软件版本信息,避免使用软件版本中出现安全隐患;应定期检查并锁定或撤销网络设备中多余的用户账号。第三十二条 日志服务器应能够生成审计记录,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等,保存时间不少于半年。第三十三条 各单位应根据银行总行、统一部署,对网络设备进行更新,并在更新前对现有的重要文件进行备份。第四节 网络访问控制第三十四
9、条 各单位应在网络边界部署访问控制设备,启用访问控制功能。第三十五条 访问控制功能应为数据流提供明确的允许/拒绝访问的能力。重要网段应采取技术手段防止地址欺骗。第三十六条 应限制具有拨号访问权限的用户数量,严格远程访问控制。确因工作需要进行远程访问的,应由访问发起单位科技部门核准,提请被访问单位开启远程访问服务,并采取单列账户、最小权限分配、及时关闭远程访问服务等安全防护措施。第五节 网络入侵防范及边界控制第三十七条 防火墙、IDS等设备应在网络边界处监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为。检测到攻击行为时,应记录攻击源IP、攻击类
10、型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。第三十八条 应部署防病毒设备及安全产品对恶意代码进行检测和清除,应维护恶意代码库的升级和检测系统的更新。第三十九条 非法外联监控设备应能够对内部网络用户未经准许私自联到外部网络的行为进行检查,发现后准确定位,并对其进行有效阻断。第五章 业务网计算机管理第四十条 接入业务网的所有计算机设备网络配置均由各单位科技部门统一管理,任何人不得私自设置或更改网络参数。第四十一条 按要求安装了入侵检测、非法外联、防病毒、桌面监控、补丁分发等安全管理系统的计算机才能接入业务网。第四十二条 业务网计算机使用人员在访问业务网相关资源时,必须严格遵守国家法规及
11、银行相关管理规定,不得制作、复制、发布、传播不良信息。第四十三条 业务网计算机严禁安装游戏、聊天工具等与工作无关软件,严禁在业务网中使用占用大量网络资源的下载工具进行下载,严禁利用业务网传输电影、音乐、图片等与工作无关的大容量信息。第四十四条 业务网计算机严禁连接未经授权的移动存储设备,包括移动优盘、移动硬盘、手机、MP3、数码相机等设备;业务网内严禁使用带传真功能的多功能一体机。第四十五条 计算机接入业务网必须直接接入,不得通过代理接入。第四十六条 业务网用户如调整部门、办公地点等需要调整网络接入点时,须经过科技部门同意方可调整。第四十七条 业务网计算机不得接入互联网,严禁使用无线设备。第四
12、十八条 曾接入互联网的计算机,应重新办理入网审批手续,并经过科技部门采取更换硬盘、重新安装系统等安全措施后,方可接入业务网。笔记本等便携设备不得接入业务网。第四十九条 业务网计算机退出业务网,用户应及时通知科技部门回收网络资源。第五十条 业务网计算机使用人员访问业务网时必须遵守信息安全及保密管理的相关规定。第六章 应急管理第五十一条 为保证业务网发生网络故障时业务的连续性,各单位必须对业务网实施应急管理,制定业务网应急预案,制订应急演练计划,定期对网络资源的可用性进行检查,组织应急演练。第五十二条 各单位应确保网络设备与线路的冗余容错:(一)核心层、汇聚层的设备和重要的接入层设备均应双机热备;(二)网络流量汇聚点的设备应采用具有相应吞吐性能的产品;(三)应为楼层交换机提供备用设备;(四)广域网应采用不同运营商提供的线路相互备份;(五)重要业务系统服务器群的接入交换机应提供备机,保障主机宕机后备机能够迅速接管业务。 第七章 附 则第五十三条 本规范由银行科技处负责解释。第五十四条 本规范未尽事宜,依据国家有关法律、法规和银行有关规定执行。第五十五条 本规范自印发之日起执行。