网络访问控制程序_免费下载.doc

信息安全管理体系文件ISMSP-36-A信息科技部网络访问控制程序A版2011年6月1日 发布 2011年6月1日 实施目录1 目的32 范围33 相关文件34 职责35 程序45.1 网络和网络服务使用策略45.2 对外部连接的用户鉴别55.3 网络上的设备标识管理55.4 远程诊断和配置端口的保护65.5 网络隔离管理规定65.6 网络路由控制66 记录7文件修订历史记录版本日期修订者修订描述1.01 目的为加强信息科技部内的内部企业网、Internet网络及网络服务的管理，对内部和外部网络的访问均加以控制，防止未授权的访问给网络和网络服务带来的损害，特制定此程序。2 范围本程序适用于阜新银行信息科技部。3 相关文件4 职责4.1 网络管理员负责对网络服务的开启与管理。4.2 网络管理员负责审批与实施内网、外网的开启。4.3 信息科技部内部员工必须遵守此程序，网络管理员有监督检查的责任。4.4 文档管理员负责文档的收录与管理。5 程序5.1 网络和网络服务使用策略5.1.1 阜新银行信息科技部定期（每年）对机关办公楼各部（中心）人员的网络配置情况进行一次全面的普查和登记，填写市行机关办公楼、内外网络接入申请单备档，严格控制外网入网的人员数量，决不允许一机器登录双网（采用双网卡或双网线）的现象出现，登陆外网的计算机必须装有病毒查杀软件，确保现有的网络资源和网络安全。5.1.2 阜新银行各部（包括信息科技部）后续需要增加使用内外网结点数量，开展银行业务，要填写市行机关办公楼、内外网络接入申请单如果需要某种网络服务的话请在“网络接入需求原因中体现”，经所在部门总经理签字后递交给信息科技部，由网络管理员实施并交由文档管理员进行备案。5.1.3 申请使用Internet网，应当具备下列条件之一。（1）银行开展的营业活动必须要通过网上查询交易的。（2）助理以上的机关领导干部工作需要上网的。（3）因工作需要，经部门总经理批准的本部门员工（不能超过员工总数的1/3）。5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务：（1）制作或者故意传播计算机病毒以及其他破坏性程序；（2）非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序；（3）相关法律、行政法规所禁止的其他行为；（4）有损阜新银行形象的行为；5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息；（1） 外泄阜新银行内部商业机密；（2） 反对宪法所确定的基本原则的；（3） 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的；（4） 损害国家荣誉和利益的；（5） 煽动民族仇恨、民族歧视，破坏民族团结的；（6） 破坏国家宗教政策，宣扬邪教和愚昧迷信的；（7） 散布谣言，扰乱社会秩序，破坏社会稳定的；（8） 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的；（9） 侮辱或者诽谤他人，侵害他人合法权益的；（10）法律、行政法规禁止的其他内容。5.1.6 凡违反本制度规定的部门和个人经查实后，视情节取消其上网资格，严重者按照我行相关规定处理。5.2 对外部连接的用户鉴别5.2.1 对于外部用户的鉴别，由网络管理员进行控制，对外部用户使用网段限制的方式进行鉴别，外部链接的开启必须由分管副总审批网络管理员操作实施并有系统管理员全程监控，每次的外部链接的开启由发起人提交市行机关办公楼、内外网络接入申请单，网络管理员根据每次的开启并成功实施后，对其记录进行存档。5.2.2 网络管理员在更新期间对市行机关办公楼、内外网络接入申请单中的用户进行鉴别，可以使用例如：密码技术、硬件令牌等技术实现，这几种技术在VPN及专线中也可以使用，网络管理员也可以使用其他的技术对远程用户的访问进行鉴别，例如公钥及私钥的加密技术。5.2.3 网络管理员应统计所有上网的员工计算机的MAC地址，形成列表，在路由或防火墙上进行IP与MAC地址的绑定，防止未经授权的网络访问。5.2.4 网络管理员对于使用代理的网络应做地址转换，使用安全网关及防火墙在内部和外部网络控制点验证源地址和目的地址。网络管理员应对此机制进行分析，了解此机制的强度和缺点，并定期进行检查。5.3 网络上的设备标识管理5.3.1 硬件管理员及网络管理员相互配合协同工作，对通讯只能从某特定位置或设备处开始的设备使用标识。设备内的或贴在设备上的标识符可用于表示此设备是否允许连接网络，并形成拓扑图以备后查。5.3.2 对于存在多个网络，网络管理员及硬件管理员根据网络区域的重要性不同，应对重要区域的设备进行详细标识，标识符应清晰的指明设备允许连接到哪个网络并形成拓扑图。5.3.3 硬件管理员及网络管理员定期（季度）根据拓扑图对所有的设备标识符进行检查，做到及时更新，以免因标识符的损坏导致设备用途不清等情况的发生。5.4 远程诊断和配置端口的保护5.4.1 网络管理员应实施适当的措施对远程诊断和配置端口的物理和逻辑访问加以控制，避免出现未经授权访问的事件。5.4.2 由网络管理员统计信息科技部所有具备远程诊断或配置工具的设备（计算机系统、网络系统、通讯系统）。5.4.3 网络管理员根据统计表，对设备端口、诊断工具、物理端口实施管理，只有当网络管理员或其它经过授权的人员由网络管理员陪同的情况下，才可访问诊断和配置端口。如果没有特别的业务需要，那么安装在计算机或网络设施中的端口、服务和类似的设施应禁用或取消。5.4.4 由网络管理员每季度按照市行机关办公楼、内外网络接入申请单中的设备进行检查，防止有新添加设备或设备操作后未对端口关闭的情况发生。5.5 网络隔离管理规定5.5.1 阜新银行信息科技部根据业务要求，把网络分成核心区域和非核心区域两部分，核心区域网络不得与外界相连，不经过总经理审批也同样不准许非核心区域的设备接入核心区域。5.5.2 部门内的员工不得私自修改网络地址进入不该进入的业务网段、或使用内网主机进入internet。5.5.3 信息科技部开发测试环境不得接入正常生产的网络及核心区域，由网络管理员对其进行监督，对其开发测试环境下的网络进行监管并和其他区域保持隔离。5.5.4 网络管理员定期（半年）根据拓扑图对网络进行点检，特别是核心区域的网络，防止不知情的外网接入。5.5.5 网络管理员做好对各区域共享资源权限的检查，防止未经授权的复制及修改。5.6 网络路由控制5.6.1 信息科技部所有路由器由网络管理员负责管理并遵守口令管理规定的策略对网络路由器的权限进行定期的检查，当路由器配置有变动时要及时的按照网络安全管理程序进行操作，确保路由器配置变更得到有效的控制。6 记录拓扑图市行机关办公楼、内外网络接入申请单信息安全管理体系文件ISMSP-36-R02需 求 部 门 填 列需求部门使用人员楼层联系电话网络类型内网 Internet 业务系统(填写系统名)_ 其他 网络接入需求原因：