江苏省农村信用社信息科技工作标准(讨论稿)20120425

江 苏 省 农 村 信 用 社 信 息 科 技 工 作 标 准（ 讨 论 稿 ）第一章 总 则第一条 为进一步提升江苏省农村信用社信息科技整体水平，明确信息科技各项工作应达到的标准，参照国家标准和监管要求，归纳省联社有关科技工作规范制度，结合近三年来对全省农村信用社部分单位的信息科技现场检查情况，制定本标准。第二条 本标准适用于江苏省各农村商业银行、农村合作银行、农村信用合作联社。第三条 本标准主体部分包括 7 章 133 条标准。各单位应结合自身实际，在 2015 年前达到或超过这些标准，使全省信息科技工作迈上新台阶。第二章 科技管理第四条 科技部门人员数量：有独立数据中心的单位科技人员数量占本单位人员比例不低于 3%；无独立数据中心的单位科技人员数量不少于 7 人，占本单位人员比例不低于 1.5%；第五条 科技部门人员准入资格：计算机专业本科以上学历或从事银行科技工作不少于 3 年；第六条 科技部门人员任职资格：科技部门重要岗位（网络、2系统、开发、安全岗）人员拥有相关专业资格证书。资格证书范围：计算机技术与软件专业技术资格证书、Cisco 认证证书、IBM 认证证书、Novell SUSE Linux 认证，Oracle 或 SUN JAVA 认证、ISO27001 认证和 CISSP 证书。第七条 科技部门人员岗位：重要岗位（网络、系统、开发、安全岗）必须设有 AB 角；开发、安全岗 不与其他重要岗位兼任。八八八 外包人员操作范围：（一）外包单位：指提供各类信息科技相关服务的外部单位。包括但不限于提供通讯、机房环境和设施、网络、系统、软件以及网点电子设备等服务的外部单位；（二）访问受控区域或设备：外包单位人员访问受控区域或设备须提出书面申请，批准后由专人全程陪同或监督，并登记备案；（三）访问允许区域或设备：明确外部人员允许访问的区域、设备的范围，规定允许访问的时间，并做好访问登记工作；（四）访问控制：除已发生事故外，严禁在主要生产时间（7:00-18:00）进行可能影响 对外服务的变更维护操作。第九条 外包方准入资质：外包方资质审核内容包括审查外包方经营状况、财务实力、诚信历史、安全资质、技术服务能力和责任承担能力等证明文件；网络、服务器等硬件系统外包方须持有相关设备的金牌或类似资质；外包方及相关项目经理须实施 3 过银行系统内同等规模不少于 3 个成功项目，杜绝借壳投标情况，通过合同明确特定的项目经理在项目施工时的驻场时间。各单位对外包方的评价应在事后准确、详细地报送省联社科技创新处，以便逐步建立全省系统内部信息系统外包方黑白名单。第十条 外包方履职情况审计：评审外包方提供的服务报告，项目的中期、后期对外包方履职情况进行审计。第十一条 外包应急计划制定：制定计划应对外包过程中可能出现的本单位资源损失、外包方财务失败、外包人员变动以及外包合同的意外中止等情况。第十二条 合同管理：（一）明确合同双方权利和义务：在与外部单位签订合同中，须明确双方在安全、保密、知识产权等方面的权利和义务。（二）明确合同中的费用相关要素：明确合同签订时间、费用支付方式、到期后的维保费用等内容。（三）明确合同中的罚则：明确响应时间、解决问题时间，明确对外部单位的处罚事由和处罚金额，设置尾款和保证金。禁止签订不利于维护自身权益的格式合同。（四）合同审查和正式批准的流程要符合本单位规范。第三章 机房环境第十三条 中心机房位置：4（一）电力供应稳定，交通通信便捷，远离强震动、强噪声、强电场、强磁场区域；（二）多层或高层建筑内的机房应设置在较低的楼层，主机房层一般设置在 2-3 层；（三）UPS 室、电池室、 变配电房不能设在地下室，须做好加固、防水和降温等措施，UPS 设备应尽可能靠近主机房，缩短供电距离，降低零地电压；柴油发电机室避免设在地下室，须做好加固、防水、降噪和减震等措施。第十四条 中心机房分区：划分主机房、支持区、辅助区等功能区。主机房和部分支持区（包括 UPS 室和空调机房）与辅助功能区和办公大楼的其他部分之间使用实体墙分隔，严禁主机房与人员办公区域混用。第十五条 主机房分区：主机房内至少 应分成通信设备区、网络区、服务器区。各区之间使用防火防爆玻璃隔断分隔，采用门禁系统控制出入。第十六条 通信设备区内设备摆放：主要放置运营商设备。（一）不同运营商设备放入不同机柜（采用统一型号的机柜）进行隔离；（二）同一运营商的机柜内，生产系统的设备和线路与非生产系统的设备和线路之间，应避免互相干扰；（三）同一生产应用，应采用双设备双线路，同时，主备 2 条 5 线路之间应避免互相干扰；（四）有条件的单位可采用不同机柜来分别放置同一生产应用的主备设备。第十七条 网络区内设备摆放：主要放置本单位的网络设备，包括路由器、交换机和防火墙等。第十八条 服务器区内 设备摆放：主要放置本 单位的应用服务器、数据库服务器和存储设备等。有条件的单位可单独设立存储设备区。第十九条 支持区分区：主要包括变配电室、柴油发电机房、UPS 系统 室、电池室、空调机房、消防设施用房、消防和安防控制室等。第二十条 辅助区分区：主要包括 进线间 、测试机房、监控中心、备件库、打印室、维修室等。第二十一条 中心机房空间：（一）没有独立数据中心的单位机房面积1、主机房面积不小于 120。其中通信设备区面积约 30（按 4-6 个机柜估算），网 络区面积约 40（按 6-8 个机柜估算），服务器区面积约 50（按 8-10 个机柜估算）；2、UPS 室与空 调机房共 计面积不小于 30；3、辅助区面积不小于 70。（二）有独立数据中心的单位机房面积6参照 A 类机房标准，主机房面积为设备投影面积的 5-7 倍，辅助区面积为主机房面积的 0.2-1 倍；（三）机房高度机房净高不小于 2.6m；机柜顶部距离天花板不小于 40cm；防静电地板离地高度不小于 40cm；（四）检修与运输空间机柜与对面机柜之间的距离、机柜与墙面之间的距离不小于 1.2m；出口通道宽 度不小于 1.5m；主机房 门尺寸不小于1.2m（宽）2.2m（高）；机柜并排数量不大于 10 个；（五）主机房不设置外窗，实现六面体屏蔽。电池室要避免阳光直射。第二十二条 中心机房承重：主机房、UPS 室、消防设施用房（钢瓶间）和柴油发电机房承重不小于 8KN/，电池室承重不小于 16KN/。第二十三条 中心机房空气调节：（一）主机房配置主备 2 组精密空调，单组空调功率不低于设备总功率的 1.2 倍（按照设备总功率 15KW 估算，单组空调原则上不小于 18KW，需要配置主 备 2 组 18KW 的空调）；（二）主机房温度要控制在 22-24，湿度要控制在 40-55；（三）主机房配置新风系统，维持主机房正压。主机房与大楼 7 其他部分压差不小于 5Pa，与室外静压差不小于 10Pa；（四）UPS 系统室、电 池室和辅助区配置空调系统。如使用吊顶送风等普通空调，须注意防止冷凝水；（五）UPS 系统室、电 池室温度控制在 15-25；辅助区温度控制在 18-28，湿度控制在 35-75%。第二十四条 中心机房 UPS 建设：（一）采用 2N（N2）模式的 UPS 系统供 电，单台 UPS 的输出功率不小于设备总功率的 1.2 倍（按照设备总功率 15KW 估算，单台 UPS 原则上不小于 18KW，如配置为 2N 模式，则需要配置4 台 18KW 的 UPS）；（二）UPS 电池供电时间 不少于 1 小时。第二十五条 中心机房 UPS 运维：（一）调整 UPS 三路 输出负载，使之保持均衡；（二）UPS 电池每季度放 电一次，须放电充分（单路单组放电电池至报警为止）；（三）每次 UPS 放电须 完整进行记录，对 UPS 系统输入和输出功率、电压、频率、电流、功率因数、负荷率和电池输入电压、电流、容量等参数进行连续记载。第二十六条 中心机房柴油发电机建设：（一）配置自启动柴油发电机，燃料储备不少于 72 小时的发电需求；8（二）发电机要保证 UPS、空调和应急照明的供电（按照设备总功率 15KW 估算， 2N 模式的 UPS 总功率为 72KW，主备 2 组空调总功率为 36KW，则发电机功率应不小于 110KW，72 小时满负荷发电需要柴油约 2400 升，即 12 桶标准200L（56CM90CM）柴油桶）；（三）柴油发电机旁可放置小功率的汽油发电机，确保应急照明的电力和冬季柴油机启动预热。第二十七条 中心机房柴油发电机运维：（一）柴油发电机每月空载发电一次，每季度负载发电一次；（二）每次柴油发电机发电须进行详细记录，对油箱（罐）油位、柴油机转速、输出功率、频率、电压、功率因数等参数进行记录。第二十八条 中心机房双电源：（一）2 组 UPS 的电 力通过不同的配电柜分别输出至每个机柜的 2 组 PDU；（二）重要设备（包括生产系统涉及到的网络、服务器等设备，特别需要注意的是运营商的传输设备也属于重要设备）要配置双电源模块，2 根电源线分别接入到 2 组 PDU。（三）对非重要的单电源设备可通过 STS 设备分别接入到 2组 PDU。第二十九条 中心机房综合布线： 9 （一）机柜内使用理线器，严禁线缆悬空或飞线，强弱电线分别从机柜的左右两边走线；（二）地板下使用桥架、KBG 管，强弱电线要垂直交叉铺设；有条件的单位可采用弱电线缆上走线，强电线缆下走线的方式铺设线缆；（三）光纤接口要使用有锁卡装置的接口（LC），避免使用无锁卡装置的接口（SC-GBIC)；要使用机架式光纤配线单元，避免使用无法固定的光纤终端盒；（四）机房内使用 6 类或以上等级的对绞线缆（网线），并进行 1+1 冗余；（五）机柜间通过配线列头柜和配线架进行跳线。第三十条 中心机房 标签：机房内设备应 在显著位置设置标签，标签要素包括编号、用途、管理人员及联系方式、维保单位及人员联系方式、IP 地址等；线缆两端打上标签（标签要素包括：两端设备和端口名称、本端口 IP 地址）；使用专门的标签纸并牢固耐久，标签字体应清晰、完整。需要特别注意的是，由于 IP 地址等设备信息的保密性要求，须明确规定外部人员允许访问的区域，进出机房的人员须专人陪同、严格控制。通信设备区的标签中不能出现内部 IP。第三十一条 中心机房机柜：（一）统一使用标准机柜，机柜高度 2.2m，宽度采用 19 英寸10标准，深度 0.8m（如放入服务器则深度为 1m）；（二）机柜内设备须固定，避免非机架式设备进入机房；（三）重要系统的主备设备，应放入不同的机柜；（四）机房内设备放置应提前做好规划，根据设备尺寸、用途、散热要求，电力系统负载均衡原则，制定机柜内设备布局摆放方案，杜绝随意安装设备的现象。第三十二条 中心机房消防：（一）机房须经消防部门专门验收并出具合格报告后，方可使用；（二）每季度须进行消防部门巡检并出具巡检报告；（三）主机房须配置七氟丙烷气体灭火系统，变配电室、UPS系统和电池室可配置气体或高压细水雾灭火系统；（四）主机房与其他部位间设置耐火极限不低于 2 小时的隔墙，隔墙上的门为甲级防火门；（五）主机房配置专用空气呼吸器或氧气呼吸器；（六）主机房面积超过 100，要设置不少于 2 个安全出口。第三十三条 中心机房防水：（一）精密空调下部做防水围堰；（二）对每个精密空调下部周围分别部署检测线；（三）严禁给排水管穿越主机房，地面应设置排水系统（用于冷凝水、空调加湿器、消防喷洒等排水）； 11 （四）机房四周要做好防水措施，防止雨水渗入。第三十四条 中心机房接地：（一）机柜使用接地线与地板下等电位体连接并接地；（二）接地连接线应有足够的机械强度和耐腐蚀稳定性，宜采用焊接或压接，以保证可靠连接；（三）等电位体联接网格采用截面积不小于 25m的铜带或裸铜线，网格边长范围 0.6-3m。第三十五条 中心机房安防：（一）主机房监控无死角；（二）录像存储不少于 3 个月；（三）监控系统时间须校准；（四）监控主机禁止放入被监控的机房内；（五）配置 CK110 联 网报警系统。第三十六条 中心机房环境监控：（一）部署环境监测系统，对空气质量、电力、消防、防水等系统进行监控，并可及时报警和短信通知（二）机房空调、柴油发电机、UPS 等设备自身应配置监控系统，其主要参数应纳入环境监控系统，通信协议应满足要求。第三十七条 中心机房照明：（一）主机房和辅助区的照明度标准为 500lx；（二）设置备用照明，主机房备用照明不低于 50lx，辅助区备12用照明不低于 250lx；（三）备用照明和一般照明应由不同回路电源供应。第三十八条 中心机房 验收：须经江苏 省计算机系统工程测试中心（或其他有专业资质的机构）验收合格。第三十九条 中心机房报备：新建或改造机房方案， 应向科技创新处报备。第四十条 网点机房空间：（一）营业网点要有独立机房；（二）机房面积不小于 8；（三）机柜与墙面、其他设施之间的距离不小于 1.2m，杜绝机柜靠墙摆放现象；（四）铺设防静电地板，地板下高度不小于 25cm；（五）尽量避免设在用水设备或房间的下层或隔壁；如无法避免，则相应墙面须设防水层并安装漏水检测装置。第四十一条 网点机房设备：（一）为节省空间，便于管理，监控设备应与网点网络设备放入 1 个机柜；（二）机柜应使用高度 2.2m，宽度 19 英寸，深度 0.8m（如放入服务器则深度为 1m）的标准机柜；（三）机柜内设备须固定，避免使用非机架式设备；（四）机房空间内允许摆放的设备包括配电柜（箱）、机柜、 13 UPS、电池、空 调和 灭火器。严格禁止其他设备尤其是带有纸张的打印机摆放在机房内。第四十二条 网点机房空气调节：（一）配置不小于 1.5 匹（1125W）空调，不得采用大楼中央空调；（二）确保机房 724 小时温度在 18-28，湿度在 35-75%；（三）保持空气流通，控制灰尘度。第四十三条 网点机房消防：（一）机房内配置消防规定数量的二氧化碳或 1211 气体灭火器。有条件的网点可采用气体灭火系统；（二）不得使用水、干粉或泡沫等容易产生二次破坏的灭火剂；（三）每季度检查灭火器的可用性。第四十四条 网点机房监控：摄像头应对 准机柜，监控范围应覆盖整个机房。录像存储不少于 3 个月。第四十五条 网点机房接地：（一）网点机房内的配电柜（箱）、机柜必须安装防静电接地装置。接地连接线应有足够的机械强度和耐腐蚀稳定性，宜采用焊接或压接，以保证可靠连接；（二）网点机房内的所有设备，连同各类金属管道、建筑物金属结构、可导电金属外壳等必须作等电位连接；严禁机房内有对14地绝缘的孤立导体；（三）当网点机房内的保护地、工作地、防雷屏蔽保护地以及信息设备逻辑地采用共地连接方式连接到等电位地排上，并通过地线引上线与所在建筑物的地网相连接时，地线接地电阻不应大于 1；当网点机房设备单独设置接地体时，地线接地电阻不应大于 4；对于有特殊要求的设备，可以补充接地，以达到要求的接地电阻值。第四十六条 网点配电：（一）网点应分别配置市电配电箱与 UPS 配电箱，实现市电供电插口与 UPS 供 电插口的单独控制与统一管理；（二）网点市电配电箱应预留发电机连接插口，并在配电箱内配置停电互投切换开关，保证市电中断时可由发电机向 UPS及应急照明系统供电。第四十七条 网点电力回路：（一）网点机房须采用单独供电回路，并采用 UPS 系统供电；（二）网点营业电子设备必须与网点空调、照明设备采用不同的供电回路；（三）营业区的 UPS 供电回路须根据工位数量进行划分，不得将所有工位接入到同一回路中，一般可 2-3 个工位接入一条回路；同一 UPS 回路中不得连接 3 台（含）以上的自助存（取）款机和自助缴费终端。 15 第四十八条 网点 UPS 系统：（一）UPS 功率不低于 6KW（不能小于总负载的 1.2 倍）；（二）电池供电时间不小于 4 小时；（三）UPS 须配置专 用输入开关。严禁其他用途的用电设备与 UPS 设备 共用一路开关，杜绝与生产无关的大功率设备接在UPS 电源上的现象。（四）UPS 的输出须 采用多个开关分路控制；（五）UPS 应放入网点机房， 杜绝 UPS 与更衣间、洗手间等房间混用的现象。第四十九条 网点 UPS 供电范围：包括网点机房内基 础环境和电子设备，网点营业电子设备，视频监控系统设备，消防、安防报警系统设备等重要设备的使用。具体如下：（一）必须接入 UPS 的设备包括：网点机房内基础环境和电子设备，网点营业电子设备中的计算机终端、显示器、自助服务设备，视频监控系统设备，消防、安防设备和应急照明设备；（二）不得接入 UPS 的设备包括：扎把机、清分机、捆钞机等金融机具，以及大显示屏、复印机、饮水机、空调等非营业设备。（三）存折打印机、点钞机、叫号器可连接 UPS，也可连接市电，如连接市电时应适当预留 UPS 插口，以备停电时这些设备可转接入 UPS。第五十条 网点发电机：距离较近的 2-3 个网点配备 1 台发16电机，功率不低于 8KW，燃料储备不低于 24 小时的发电需求。第五十一条 网点机房内布线：（一）地板下使用桥架、KBG 管，强弱电线要垂直交叉铺设。（二）所有线路的外延部分须做位置固定安装处理，1.5 米以上的长距离延伸线路应经金属线槽防护走线。杜绝线路沿墙悬挂、强弱电线不隔离现象；（三）布线必须避开热源。第五十二条 网点机柜内布线：（一）线缆两端打上标签（标签要素包括：两端设备和端口名称）；使用专门的标签纸并牢固耐久，标签字体应清晰、完整；（二）机柜内使用理线器，严禁线缆悬空或飞线；（三）强弱电线分别从机柜的左右两边走线。第五十三条 营业区弱电接口（信息点）：（一）每个工位（这里指现金、非现金区和信贷业务等所有业务经营人员的工位）配置不少于 4 个信息点（2 主 2 备）；（二）每个自助机具须布置 2 个信息点（1 主 1 备）；（三）备用数据点仅当启用时置为有效状态。第五十四条 营业区强电插口：根据工位的设备数量和用电需求，估算使用 UPS 和市电的插口数量，并按照 3+1 冗余的原则，配置每个工位的 UPS 和市电插口，避免使用移动插座。自助服务区须增设 1 个备用 UPS 17 插口。下面是现金区工位强电插座规划设计示例：（一）设备及使用插口1、终端主机：1 个 UPS 插口；2、显示器：1 个 UPS 插口；3、存折打印机：1 个 UPS 插口；4、点钞机：1 个市电插口；5、满意度评价器：1 个市电插口；6、麦克风：1 个市电插口7、密码键盘：不需插口；注：“ 柜外清” 可取代 5、6、7，但需要 1 个 UPS 插口；8、指纹仪：不需插口；9、磁条读卡器：不需插口，且可与键盘集成；10、IC 卡读卡器：不需插口，且可与键盘集成；11、鼠标、键盘：不需插口；12、二代身份证读卡器：1 个市电插口，但可与键盘集成；13、扫描仪：1 个市电插口；14、宽行报表打印机（或高速行式打印机）：1 个 UPS 插口；15、激光多功能一体机：1 个市电插口；16、叫号器（叫号屏幕显示系统）、清分机、捆钞机、扎把机：各 1 个市电插口；注：14、15、16 为共享设备，为多人公用。18（二）综上，1 个现金区工位需 UPS 插口 3 个、市电插口 5 个（按照不使用“ 柜外清 ”、二代身份证读 卡器不集成，不统计共享设备插口来计算）。按照 3+1 的冗余原 则，每个工位应配置 4 个UPS 插口和 6 个市 电插口。第五十五条 营业区弱电接口和强电插口设计原则：（一）合理分布接插口位置应根据该工位人员对各设备的使用习惯，将接插口位置合理分布，以方便插接。走线应清楚美观；（二）安全性1、工位的接插口：强电供电插口与信息点插口的位置与设计应考虑插拔的角度与方便性，并应安装在不易被柜员踢到的位置；2、开放区的接插口：大堂、ATM 等开放区域的信息点和UPS 电源插口不得外露或必须采用适当的安全防护措施；3、信息点不启用时，应置为无效状态或断开跳线。（三）网点应避免安装地插式强电供电插口及信息点插口，确需使用时地插式插口应采用防水、防压线盒设计； （四）所有 UPS 电源插座面板 应采用醒目颜色或特殊标记，与其他市电插座面板明显区分开，并宜采用防脱落设计；（五）强电插座与弱电插口间距应不小于 100mm。第五十六条 网点布线其它标准： 19 （一）须使用超 5 类或以上的网线；（二）强电线路与弱电数据线路须分管走线，线路间距应不小于 300mm。第五十七条 网点防雷：网点应采取至少二级（含）防雷措施，有条件网点可采取三级防雷措施。防雷保护器应安装在网点外部电源进入网点市电供电总配电柜（箱）的输入端处（一级防雷）、低压配电柜（箱）后或稳压电源、UPS 设备前处（二级防雷）、柜员常用设备终端电源插头前（三级防雷）。第五十八条 网点信息系 统基础环境 审批和报备：网点的供电设计方案，网点机房改建方案，综合布线图（强、弱电），信息点、电源插口位置设计，机柜配线架接口与信息点对应清单等材料须经本单位科技部门审批后方可实施。网点信息系统基础环境竣工验收材料须向本单位科技部门报备。第四章 网络系统第五十九条 网络 系统的设备和线路数量： 总行（社）至网点部署 2 套设备、4 套线路。2 套设备包括内部网络设备和互联网应用网络设备。4 套线路包括 2 套主要生产线路、1 套大数据量生产线路和 1 套互联网应用线路。第六十条 内部网 络设备：包括中心机房内部网 络设备（核心网络交换机、各功能区接入交换机和有关安全防护设备等）和网点内部网络设备（采用三层交换机，逐步淘汰网点路由器）。所20有网络设备须采用双机热备的方式，确保单台故障时，另一台可以快速接管。杜绝 2 台主备设备分别连接部分网点的虚假备份现象。第六十一条 中心机房内部网 络设备 分层和分区：分为核心层和接入层。核心层即核心交换区；接入层包括主机接入区、网点接入区、外联接入区、上联接入区、楼层接入区等。第六十二条 核心交换区设备：即核心网 络交换机。主要用于核心数据转发，不直接连接主机、楼层交换机、楼层 PC 和网点网络设备。第六十三条 主机接入区 设备：包括主机接入区交 换机和网络安全防护设备（防火墙、入侵检测等）。主要用于接入业务系统主机，汇聚后接入核心网络交换机；对进入业务系统主机的数据进行安全检查，防范病毒和攻击。第六十四条 网点接入区设备：包括网点接入区交 换机、路由器。主要用于连接网点的网络设备，汇聚后接入核心网络交换机。第六十五条 外联接入区设备：包括外 联接入交换机、路由器、网络安全防护设备（防火墙、入侵检测等）。主要用于地址隐藏和翻译，防范外联单位病毒和攻击，汇聚后接入核心网络交换机。第六十六条 上联接入区设备：包括上 联接入路由器。主要 21 用于与分中心或省中心网络设备连接，汇聚后接入核心网络交换机。第六十七条 楼层 接入区设备：包括楼 层接入核心交换机和楼层交换机。主要用于与办公大楼内的有关生产用机连接，汇聚后接入核心网络交换机。第六十八条 内部网 络线路：包括 2 套主要生 产线路和 1 套大数据量生产线路。用于连接中心机房和网点的内部网络设备。第六十九条 2 套主要生 产线路：使用 2 家运营商的网络线路互为备份，线路两端分别连接中心机房的主备 2 台网点接入区交换机和网点机房的主备 2 台交换机（三层交换机），两端接口采用光纤接口，建议采用 mstp 线路；每家运营商至中心机房的 1 套光纤须包括主备 2 根光纤，并分别从该运营商环网的不同节点引下；不同运营商的光纤和同一运营商的主备光纤应从办公大楼的不同方向接入机房，在机房内部通过不同桥架（或上走线架）引入相关机柜，降低因施工挖断光缆导致服务中断的风险。线路带宽不低于 2M。第七十条 1 套大数据量生产线路：主要运行安全 监控、各类影像系统、视频会议和 OA 系统数据。如无高清 监控等系统，则带宽不低于 10M；考虑到未来运行高清影像数据流等大数据量系统，两端接口应采用光纤接口，建议采用 mstp 线路，以便平滑升级至 100M 或更高 带宽。运营商至中心机房的 1 套光纤须包22括主备 2 根光纤，并分别从该运营商环网的不同节点引下。第七十一条 互联 网应用网络：承载总 行（社）及网点人员上网、网点网银体验和指导、网点展示总行网站信息等应用，解决网上银行（网外单位）、移动办公（OA 、审批等）、网上对账、网上贷款申请等内部系统对互联网访问的需求。须特别注意的是，网点互联网应用要由总行（社）集中管理，严禁网点自行接入互联网。第七十二条 互联 网应用网络设备：包括中心机房的互 联网应用网络设备（核心交换机、楼层交换机、外联网络设备和有关安全防护设备等）和网点的互联网应用网络设备（采用三层交换机，避免使用路由器）。不必采用双机热备方式。第七十三条 互联 网应用网络线路：用于 连接中心机房和网点机房的互联网应用网络设备。不必采用双线路备份。第七十四条 互联 网应用网络的安全防 护：网外单位的网银系统须按照有关规定，严格做好安全防护；其他互联网应用（人员上网、网银体验、移动办公、网上对账等）须通过防火墙等安全措施接入互联网；须通过防火墙、入侵检测等安全防护措施严格控制内部网络系统与互联网应用网络系统间的数据交互，以满足移动办公、网上对账等业务系统对互联网访问的需求。第七十五条 网络系统配置：（一）IP 地址：参照 全省 IP 地址分配规 范进行地址划分，IP 23 地址分配、掩码设置应符合一定规则，网内单位内部网络中杜绝非 32、66（或省联社未来发文公布的 IP）开头的地址；（二）及时升级网络设备操作系统版本；（三）通过 NTP 等方式，准确 设置网络设备时钟；（四）杜绝同一以太口启用 2 个或以上的网段的 IP；（五）所有设备端口须进行详细注释；（六）关闭未使用的网络设备端口；（七）网络设备实施用户分级管理，减少特权用户使用；（八）网络设备口令进行加密，杜绝明文口令出现在配置文件中；（九）开发、测试网段与生产网段须做好隔离措施；（十）及时清理网络设备中的无用路由信息；（十一）电子设备应通过 IP 地址、MAC 地址与网络设备端口绑定等准入控制措施，防止非法入侵，杜绝同一台计算机通过更换网线和 IP 地址的方法切换上内外网的现象；（十二）外联网络使用双向 NAT 对内部地址进行隐藏； （十三）网点、营业部的网络设备，与中心机房网点接入区的网络设备之间须采用广域网配置，避免网络广播风暴；（十四）对网点内部网络至少划分综合业务柜员网段、信贷业务网段、安防监控网段、OA 网段、视频 会议网段，严格控制各网段间的访问。网点的内部网络与互联网接入应用网络须物理24隔离。第七十六条 网络 系统管理监控：须建立网 络运行情况集中监控管理平台。（一）网络设备和安全设备配置网管协议，以便网管系统能够检测设备信息，记录有关拓扑，提示故障；（二）网络监控管理工具使用须经科技部门负责人审批；（三）网络监控管理系统应能按照常见的攻击特点侦测异常网络活动；（四）网络监控管理系统能对网络性能进行监控：统计 CPU占有率、内存使用率、端口利用率等参数，以及核心设备及各分区接入设备链路总流量及各业务流量监测；（五）网络监控管理系统能对流量进行监控分析：对异常流量进行识别、分析；（六）网络监控管理系统能够自动响应网络安全事件：包括控制台报警，记录网络安全事件的详细信息，通过短信等方式提示管理员采取一定的安全措施。第七十七条 网络系统审计：使用工具 软件分析系统日志，定期（每季）对网络的安全性进行审计评估并出具报告。第七十八条 网络 系统报备：各单位网 络系统建设、升级、改造等项目须遵循合理性、前瞻性原则，实施前须向省联社科技创新处报备。 25 第五章 系统管理第七十九条 系统访问管理：对主机设备应实行严格的授权访问制度。访问情况应进行严格登记，登记内容应包括访问时间、离开时间、陪同人员、访问理由及批准人等事项。第八十条 系统安全 监控：对主机设备应实施 24 小时录像监控并保存记录。第八十一条 系统冗余：系统核心设备及关键部件应有备份用机和备份部件。设备应使用双路电源。第八十二条 设备监控：设备的关键部件，包括CPU、内存、硬盘、电源、风扇等，应具备管理接口，通过该接口或其他措施收集硬件的运行状态，并对其进行实施监控，当所监测数值超过预先设定的阀值时，提供报警、状态恢复等处理。对核心（主机）设备及网络情况应实行724 小时监控， 监控中出现的异常情况应进行记录。第八十三条 时钟同步：核心设备的时钟要通过NTP等措施统一设定。第八十四条 备份与故障恢复：主机及网络通信等关键设备必须实行双机备份，备份系统与生产系统的系统构成与配置应保持一致。有独立数据中心的单位核心（主机）设备应采用紧耦合集群结构进行备份与故障恢复，应设置异地备份与恢复功能，确保主机因灾难性故障中断运行时，业务应用系统能在要求的26时间范围内恢复运行。第八十五条 操作系统维护：应对操作系统进行定期（每月）维护、升级、备份。并应有维护升级记录。第八十六条 root 用户密码管理：对核心设备的root 用户口令长度应不低于8位数字和字母混合编成并定期更换（每季更换一次）。应对root 密 码双人分段管理并封存保管。第八十七条 超时保护：终端登录服务器1分钟内不进行操作，须自动退出。第八十八条 登录失败管理：应按月定期检查主机系统登录失败日志，检查包括事件的日期、时间、类型、主体标识、客体标识和结果等内容，并形成分析报告。第八十九条 telnet管理：重要核心系统应当屏蔽telnet网络服务功能。第九十条 FTP管理：重要核心系统应当屏蔽FTP 匿名帐户。第九十一条 HACMP管理：对重要主机设备应采取双机热备方式以保障业务连续性，对双机热备设备应定时（每月一次）检查并定时（每季一次）切换演练第九十二条 Windows 系统管理：系统不应存在其他无关用户。GUEST帐户应 关闭。硬盘分区应使用NTFS 文件系统。应统一操作系统版本。应及时检查操作系统安全补丁发布情况，发 27 现有新的补丁发布，应及时升级。禁止从事业务生产的计算机安装来历不明的软件，禁止安装私自从互联网下载的软件。外来软件在安装前，应查杀病毒，确保安全后才可安装上线。服务器和终端应通过设置屏幕保护密码（1分钟内不操作即屏保）或即时锁屏等方式进行访问控制。应根据全行统一的IP 管理策略设置IP 地址。第九十三条 数据库访问控制：制定和严格执行数据库的访问控制策略，实行严格的用户和角色授权。第九十四条 数据库备份和恢复：对数据库中的数据、表空间、数据库结构和参数等重要信息定期（每日）进行本地或远程备份。第九十五条 中间 件产品准入：中间件 产品的准入程序应当满足软件产品准入规则；中间件产品应当进行必要的安全检查；中间件产品的性能应当经过必要的测试程序。第六章 运行管理第九十六条 日常巡检：每日进行系统巡检，巡检内容包括主机系统、UPS、精密空 调、电池、网络设备、内外网站、核心业务、中间业务、其他系统的运行使用情况，巡检结果要及时详细登记。第九十七条 机房值班：每日对机房值班情况进行登记，内容包括值班人、值班时间、值班纪录，晚间无人值守的应注明并28要每天查看等。第九十八条 ATM 巡检：每日对 ATM 运行情况进行巡检并登记，内容包括终端编号、钞箱情况、设备运行状态、交易日志、凭条更换、检查人、检查时间等内容。第九十九条 登记管理：建立健全省联社下发的各类登记簿。（一）在发生变更时及时