银行计算机网络安全管理规定模版.docx

1、银行计算机网络安全管理规定 第一章 总则 第一条 为了保证银行（以下简称本行）计算机网络的安全可靠，保证数据通讯的及时准确，特制定本规定。 第二章 网络总体安全 第二条 各部室及营业网点不得随意与外部网相联，如因工作确需相联时，要报经本行主管领导批准后由信息技术部实施，必须采用防火墙技术，防止非法入侵。 第三条 中心机房应对网络资源实施监控。 第四条 网络通讯线路应经常检查维护，防止物理线路被非法接入。 第五条 信息技术部必须建立本行网络设备的参数配置表。各种网络设备的参数应妥善保管，不准泄露。 第六条 不得随意更改网络参数。必须修改时，须有严格审批手续，

2、并建立配置更改记录，详细记录更改的原因、更改前后的定义或参数、更改的日期等，并由审批人和执行人签字。 第七条 路由器、交换机及防火墙等网络设备应设置密码，由专人管理。 第八条 定期或不定期监测网络设备误码率、吞吐量、传输时延、响应时间等性能参数，发现异常情况及时采取相应措施进行处理，确保网络设备性能良好。 第九条 各部室、营业网点之间不准进行破译他人密码、攻击对方系统等非法操作。 第十条 各部室、营业网点不准在综合业务数据网上随意传输文件、随意互相登录，以免影响网络正常通讯。 第十一条 通讯网络必须建立可靠的备份线路，在主线路发生故障时应自动进行切换。 第三章 网络

3、结构安全 第十二条 网络拓扑结构应由专业人员进行严格设计和规划，并绘制与当前运行情况相符的网络拓扑结构图。 第十三条 重要的网络设备和通信链路应采取冗余备份措施，防止出现单点故障，提高网络的可靠性。通信链路应尽量采用不同运营商的线路作冗余。 第十四条 应保证网络各个部分的带宽满足业务高峰期需要。 第十五条 应对重要的业务服务指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要服务器。 第四章 网络边界控制 第十六条 网络系统应划分为内网、外网，内网与外网之间采取有效的隔离措施，禁止内网直接接入Internet。 第十七条 应合理配置网络设备，在业务终端与业

4、务服务器之间进行路由控制，建立安全的访问路径。 第十八条 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的VLAN或网段，并按照方便管理和控制的原则为各VLAN或网段分配IP地址段，确保生产与测试、生产与开发之间的明确分离，禁止生产与开发、测试网段的通信访问。 第十九条 在本地工作的项目合作外包人员的管理和维护终端应划分独立的VLAN，并通过设置路由策略和访问控制策略等方式在其边界严格控制外包人员对系统的访问权限。 第二十条 内外网与外部单位互联必须通过防火墙隔离，采用NAT地址转换技术，隐蔽内部网络结构。需要为外部单位提供服务的前置机和应用服务器等应部署在D

5、MZ区。根据互联单位业务重要程度，还应合理规划IP地址，划分不同安全区分别保护。 第二十一条 网络边界访问控制设备应在保证正常应用连通性的前提下，根据业务通信情况设置严格的访问控制策略，并定期进行检查和必要的调整。访问控制应至少满足以下要求： 1、策略的设置应遵循“默认拒绝，特殊规则靠前，普通规则靠后，规则不重复”的原则。 2、应能根据会话状态信息为数据流提供明确的允许或拒绝访问的能力，控制粒度为端口级。 3、应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。 第二十二条 应对内网和外网的服务器、终端等计算机设备采取MAC地址、IP

6、地址和交换机端口的绑定等技术手段防止地址欺骗。 第二十三条 内网和外网终端应独立使用，只允许外网终端或指定设备访问Internet，禁止任何终端用户拨号访问Internet。 第二十四条 严禁计算机用户私自安装网络设备（MODEM、网卡、无线通讯设备等）以连接外部网络，并确保有可靠措施进行检查监督。 第五章 网络安全审计 第二十五条 应对关键网络设备的CPU、链路带宽的利用率等性能指标进行实时监控，CPU利用率长期处于60％以上时应及时扩展或更换性能更高设备，当链路带宽占用率持续超过70%时，应考虑扩展链路带宽。 第二十六条 应确保重要网络设备（包括安全设备）的系统日志处

7、于启动运行状态，并实时或定期对日志进行采集转储，转储的日志应至少保存一年。 第二十七条 应定期进行全面的日志分析，对网络设备登录的用户、登录时间、所做的配置和操作做检查，对防火墙的敏感网络连接活动（用户身份、访问时间、访问源 IP、访问目标 IP、访问动作等）进行全面日志分析。 第六章 网络入侵防范 第二十八条 在网络边界和内部网络应部署网络入侵防范设备，设置合理、全面的监听范围，对端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等行为进行监视。当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报

8、警。 第二十九条 重要或敏感的业务数据在Internet等公共网络上通信传输时，应采取VPN设备或加密机等符合国家密码管理规定的加密技术手段。 第七章 网络设备防护 第三十条 网络设备应实现账号口令的认证管理方式，重要网络设备可采用增强的认证方式。 第三十一条 网络设备的所有管理用户应经过严格的审批授权，每个用户的账号应唯一，不得存在共享账号。 第三十二条 网络设备的口令应由大写英文字母、小写英文字母、数字、特殊符号等两类或两类以上的字符组成，口令长度不低于8位，口令不得与用户号相同，也不能使用用户本人生日、身份证、电话号码等容易被猜出的数字，至少3个月修改一次。 第三

9、十三条 应使用固定的远程管理终端或限制的登录地址对网络设备进行远程管理。 第三十四条 网络设备应采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。 第三十五条 当对网络设备进行远程管理时，应采取SSH、Https等加密措施取代Telnet、Http管理，防止鉴别信息在网络传输过程中被窃听。 第三十六条 应及时监视、收集网络设备以及安全设备生产厂商公布的软件升级或补丁信息，对于重要的程序在经过测试无影响和做好配置备份的情况下尽快实施安装。 第八章 附 则 第二十二条 本规定由总行信息技术部负责解释、修订。 第二十三条 本规定自发布之日起实施。