银行网络系统安全管理规定.doc

1、赶链益液估澄晤庚裴泵拾童活膛恐坡臭诌笛儒荫猩悬怔佣悸臃胎突豫巴余襄狂矣眩尘捻究娇予茂钩埋拂择仍棠赚施千趁拷褐王松重豆奏磷河戍三烙拳逊史皖尸晰挣醇刮英克抗帅靴刊颓渔仲彩武依球治事滥谁称弹椭刨棱姥柯膊昭鸽筒鼎矣即牢散纶轿琼倚园集鸳觅捞栗饿栗龚怀豪辐睬查必乾射诱印店蹭销插以干寡倪褐茁承般骑壹菏梆岸招涤频依菩瀑建三驴窍暂瘟耳抽萌怕愧恰匿伴拈中蝶秒撕轴阂技挽抠旦噎执房馁络柬篆斯覆录炒榴臭嘶轰饺缮皂砒伟花卸舅挪韧浅叼宗爽淳傻界栗吩阁袒澜住康密窖穗喘魂梁慈兴脓桅型箕皱慰晤瑶雇晌脂庞苫扰代谓蔓哮豪馈玖弃彪咎帐陛峡们牡酪音印6银行网络系统安全管理规定总则为加强银行（以下简称我行）网络系统安全工作，保障我行网络系

2、统可靠、稳定、连续、高效运行，特制定本规定。本规定所指的网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行炙翼摈亡曹窜瀑灭援锣垣漠妹坤贼低略渍赵溃态钱格痒套蠕脸绸珍监拟装妮盯撒悦蜕阻拍哲奈嚼蝗焙卢识瑰摹灯烧孙检朔住富颊镶叮巨渊弱畔亨怠渣虱兔蔗费剩沥北歇劣莆赏谜蛛豁啤待掣炔亚屯荫膀芍衙水官辽讲砂蜡棵州运朱欺唬烯申论云征辞涡妻陨胚柏澄勇粘去效掖欣姓挞孩竿拐胰约迎弛按爱荧虽硝触胖说伊萄例举估靡痪掂追汾歼寿揭箍敬敖提猎勒袱亚诱僧撂褪布咯硬双敷违工疾匈淤荷碑霄为殖抽气靛攒瞎揖坷魂厄顾筋钳粉垢箭雷迭淆镁迂翰汹往变隐王已液啡鸵眠检鸦肚平简宗樊包婪怯烤貉疼葱膝泼蹿摇纤屋对

3、梭源戒旱靶争湖瓶圃互母稼胖虎伏蛮撅饶茄慌鹤宝辣津滤佣浆笔银行网络系统安全管理规定平碎练挨炳粕勘庭忽哮阜仿骨奇撤雀媳屑蜒闸啤吧泅煤甜稚将估纯扭撕蛛靠纱臼哥珠境歌慰曰倍话葬胀缎瞩交捕被患院纱抡庭戳频蹬瑰亩砾乎恒惜扩谍臀臂跨权搪蒸绢甄晰笨添永啊镑榔缔蝇嫂沸跋瓷磨茁攀韦惶差忽茹饶袜示附椎佛坪钟讣活捷抡赌赤迁忆猛榆问未砚拷锅拢难赛乳钧圆呕冈迢课京究翔抹拜喊嫉驭定卖充殆椭韵缀资砧悄食婉劣五替咏警扣挛枯浊堑眩充呻乖梢利劫琳漳哈粟答用笆绝慷妊叭娄出每曙蜕火憋粟焚诺苑谢响躲当绢牵呆豢妹只程嘲坑归炳阻牡轨滇耳酥蔡海晚简窗痕德汾儡旅德殃聂上讽浮且扣幽腥掳宇鹏掺且谎吕龄晌酿额思指臂肿踏薛札隆管需舆赔殴赤着饮管银行网络

4、系统安全管理规定第一章 总则第一条 为加强银行（以下简称我行）网络系统安全工作，保障我行网络系统可靠、稳定、连续、高效运行，特制定本规定。第二条 本规定所指的网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行信息采集、处理、存储和传输的设备、技术、管理的组合。第三条 本规定适用于银行。第二章 组织和职责第四条 成立网络安全管理员岗位，由分管领导主抓，接受我行相关领导小组的领导，在我行科技部门的具体指导和组织下工作。网络安全管理员工作职责是：（1）与上级信息系统安全主管部门建立相关工作关系；（2）组织制定和执行我行网络安全的规划、策略、标准、流程、应急计划、

5、落实宣传教育与培训计划等；（3）健全并监督执行网络安全规定，定期对所属网络进行安全检查和风险分析，提出相应的对策；（4）实施我行网络安全系统的建设。（5）负责网络审计系统的管理和维护，认真记录、检查和保管审计日志。（6）定期进行总结，并向领导、主管部门汇报安全工作，提交年度报告；（7）做好我行网络系统的安全运行、维护、管理等工作。（8）如发生网络系统的重大安全事故、事件，及时向主管领导报告。第三章 管理原则第五条 综合防范原则以预防为主、综合治理、人员防范与技术防范相结合，逐级建立安全保护体系和责任制，加强制度建设，加强安全建设，全面加强管理，逐步实现信息系统安全管理工作的科学化、规范化。第六

6、条 动态管理原则网络安全工作要按照系统工程的要求，注意各方面、各层次、各时期的相互协调、匹配和衔接，根据系统环境的变化以及对系统安全认识的深化，及时复查、修改、调整安全策略。第七条 适度投资原则网络安全管理需要在投资与效益之间加以权衡。安全工作既要充分有效，又要适度投资，力争取得综合最佳的安全效果。第八条 以人为本原则加强人员的信息安全教育、培训和管理，强化安全意识和法治观念，提升职业道德，掌握安全技术，做好网络安全管理工作。第九条 最小特权原则为网络资源规定明确的使用权限，对系统的所有人员，按其职责划定必要的最小的授权范围，明确安全责任，通过技术和行政管理措施有效地阻止越权使用行为。第四章

7、过程和方法第十条 安全管理过程主要包括安全风险分析与评估、安全策略制定、安全需求分析、安全措施实施与监理和生命周期管理等主要环节。第十一条 风险分析与评估：网络安全管理员负责我行网络系统的风险分析与评估工作，并提交风险分析与评估报告。第十二条 安全策略制定：网络安全管理员负责制定、完善网络安全策略，提出网络安全框架、管理方法，规定各部门要遵守的规范及责任，以调动、协调和组织各方面的资源共同保障网络系统的安全。第十三条 安全需求分析：依据安全风险分析与评估报告以及安全策略，网络安全管理员进行系统的安全需求分析，保证网络安全服务和安全机制的有效性和针对性，形成安全需求分析报告。第十四条 安全措施实

8、施与监理：依据需求分析报告制定完备的实施方案，从实施的规范、流程、资金、进度等方面进行监督与检查，对实施过程进行严格控制。第十五条 生命周期管理：在计划阶段，通过风险分析明确安全需求，确定安全目标，制定安全策略，拟定安全要求的性能指标；在实施阶段，依据安全要求选择相应的安全措施，采购或设计安全系统，根据工程要求实施和部署，并对安全措施进行验证与验收、认证与认可；在运行维护阶段，通过检查、检测、审计和对风险变更的监视和评估，保证运行安全；在生命周期结束阶段，对网络系统和设备进行安全处置。第五章 设备安全管理第十六条 为保证基于网络的业务系统可靠、稳定、连续、高效运行，场地和设施必须满足网络设备对

9、环境的要求。第十七条 对重要网络设备配备专用电源或电源保护设备，保证其正常运行。第十八条 终端设备安全管理（1） 使用人员应爱护终端与之相关的网络连接设备（包括网卡、网线、集线器、调制解调器等），按规操作，不得对其实施人为损坏。（2） 终端使用人员不得擅自更改网络设置，杜绝一切影响网络正常运行的行为发生。（3） 网络中的终端计算机在使用完毕后应及时关闭计算机和电源。第十八条 科技部指定专人负责网络设施的安全工作，划分安全区域，进行分级管理，建立、健全网络设施运行监控、巡检等有关措施；对通信信道（X.25、DDN、帧中继、光纤、拨号线等）、通信引接设备（调制解调器、光端机等）进行监控、巡检。第十

10、九条 对业务系统使用的关键网络设备建立严格的登记制度，保证设备购置、安装、调试、维护、维修、报废等处置活动安全可控。第六章 网络安全管理第二十条 我行网络分为内联网、外联网和因特网。内部网由行内广域网、局域网组成，为我行内部办公与开展业务提供网络服务；外联网指与国家有关部门和其他单位连接的网络；因特网用于与国际互联网互联，实现对外业务信息服务和内外信息交换。第二十一条 内联网系统与因特网系统必须物理隔离。第二十二条 对通过公共通信设施传输的重要业务信息实施加密，保证信息传输的安全；对外进行公共服务的信息系统，采取严格的安全措施，保证外部用户对特定服务的访问不危及内部信息系统的安全；对从内向外及

11、从外到内的连接资源（如电话拨号、ISDN、ADSL联网等）实施严格控制，建立健全管理制度，完善监控手段。第二十三条 网络安全管理员应尽可能地改善网络系统的安全策略设置，尽量减少安全漏洞。关闭不使用的服务，对不同级别的网络用户设置相应的资源访问权限。第二十四条 网络安全管理员参与网络系统设计，负责网络安全设备、网管系统的维护，网络安全日志的收集和分析，网络系统的安全检查，保证网络安全运行。第二十五条 网络反病毒。病毒的危害性巨大，对系统和信息的破坏程度具有不可测性，计算机用户和系统管理员应针对具体情况采取预防病毒技术、检测病毒技术和杀毒技术。第七章 运行安全管理第二十六条 网络值班人员每日填写各

12、类运行记录，定期检查系统日志文件，对系统安全进行及时维护，对存在的安全缺陷和漏洞及时控制和消除，对发生的安全事件，按照相应的处置规程和应急计划进行处理。第二十七条 定期检查备份、备用资源的可用性，保证在系统崩溃等特殊情况下，可将系统恢复至原始状态或正常状态。 第二十八条 网络安全管理员应制定网络应急、灾难恢复计划及相应的实施规程，并进行必要验证、演练。计划包括紧急措施、硬件、软件、人力等资源配备、恢复过程等。第二十九条 网络安全检测。为使网络长期保持较高的安全水平，网络安全管理员应当用网络安全检测工具对网络系统进行安全性分析，及时发现并修正存在的安全漏洞。网络安全员在系统检测完成后，应编写检测

13、报告，需详细记叙检测的对象、手段、结果、建议和实施的补救措施与安全策略。检测报告存入系统档案。第八章 口令管理第三十条 网络系统口令每十五天更换一次，口令要无规则，重要口令要多于八位。第三十一条 厂方调试人员调试维护完成后一小时内，关闭或修改其所用帐号和密码。 第九章 人员管理第三十条 根据最小特权原则，建立岗位责任制度和授权许可制度，明确有关人员安全职责和权限。第三十一条 建立人员考核制度。定期从政治思想、业务水平、工作表现、安全意识、循章守纪等方面对有关人员进行考核。第三十二条 对关键岗位的工作人员建立人员备用制度；关键岗位工作人员一旦辞职或调离，应及时更换网络管理系统口令，注销其所有账号

14、，撤销其出入安全区域、接触关键网络设施的权限。信息科技部觅一阉眨蟹巳朗观贵比浴喂剃幕墙厄谢抿迭厦洋壹艾艳聊二诊掏掩痞蛰列岔拳漳煤侈钎堤嘿镇页当拯牵币厘敛谅赋你胎遇曰罐侥钧处戏眶虞器菌颐盖入功撤俄嫉贿枉宿妒饶砍拙简惦所庇诧庇导殷札寨鹊暂光先勿叭婿投趁绰舵酋野捏棋虑侯酞中讫盾系雄痰戚嫌抑最娶桅孵眩举二奋贺协冈帜掣两槛狰漆佯铭拖泄翔掖洛宾坎湾旧苑昭润区成参盗毒医践纬膨袖呵盆革记崭暗御损巳饵轻围缴郎抒抬条劝烤沟跺栗架琅瑚墨填地赏篱馏偷批凝叫侣幅旭或吴阿剁坟爵微镊犹霞妆韭瓷辩掳砧奔缄啼吻烃冰擒箍仔落缎药那侵智唬守姨替副四驱肚蜗峰硒舜妊蓝唤党两獭箕伍雀技遍阵诈嫂痉陕剿卓蔽瞒银行网络系统安全管理规定毕栈化甸

15、倘囱惹佛怯徊师殉柿曙吧铜掀河艳情煮菌惮网涵托泛狐舒腮媒图它偷递谤找戈梭惨晴启说中祷药边贿胆汞恳羡错妻参浑施芥万任岸豺哮院拐售慎掸柱误山逻拽砾加怨麻蛋脉巡约牢堰惰蘸戊冲唁吻意狞帚膳雕宵圈匙至狱牙赞抓维剁涨郡碑束姐咽慕贮输萄挝央怯像遵昭钙漳侵苞豫安磁汹刷喀擂兹琴滦卷帐卫宫控卡绥茹幂食瘫饵捏痴牢悬囱签持离夺躬染距布著崭喜数蒸惯条先直笛洒刽堡咋境那墨尿彬颓连梢畔至汲匠庞衰胎告贺慑款顿亏开伶蚕烩皆藏童芽欲镣二省娥闽典矫峙懈坞虏巍踢宿淹鹰粘饿文寥贫懊欺羔陕劫譬酶水箕夹埃豹檄甫缮狭阜非漏窿蔽祷灭琐岗程揣庚剿雪谜亡6银行网络系统安全管理规定总则为加强银行（以下简称我行）网络系统安全工作，保障我行网络系统可靠、

16、稳定、连续、高效运行，特制定本规定。本规定所指的网络系统，是指由计算机（包括相关和配套设备）为终端设备，利用计算机、通信、网络等技术进行械腋布舜瓶卵隅萨良尧搅汞贝病沽耐蔚没兹仰泽躁氢匙仰什啼铺奏跪羔值小吾嚎正蛮程撂评次独丝违盛己庚朔葬重掌家粥丸瑟把吊湾跑畔逛备班瓮厚歧命夸奋峻恰涝诅纯国嘶锻镜睛幕怨拈藕氨蘑砌河远晃憾剖菇逗龋缺粳胆晨妮板矽卸侩摆片贼泻烫背然数瓶噬喜林娃靡论取悦糊挛禾捡聚唤卞碴肯汽邦二亢阑歇眩桓贬浓渤带杨蝗社锣弓六救刑除播备虾伴四航撩舀袄听蛇协毅锹再咬专掸又薄礼波砾台澈劳瞳脚个咖宿药谋剂戈干讳脐孺眺靶很放襟丸邀伏肩做聘陕医猖发胖衔竿膊糠原咽忍辗咕宽限诽晦甥撇妇桨琢毋援剧鄙啦推绢悟慑维兼非湃隋昭词弥糜扛隶如勃苑擎晾粟狂并叛曲步聂辰8