HR网络和系统安全管理规定

1、网络和系统安全管理规定第一章总则第一条为规范科技发展部网络和系统安全管理活动，保障网络和 系统在使用过程中的安全性，特制定本规定。第二条 木规定适用于科技发展部范围内的网络和系统建设、使用、 运维等各个阶段的安全管理。第二章组织与职责第三条 科技发展部风险管理组负责制定、修订本规定，并负责在科技发展部范围内监督管理木规定的实施情况。第四条 各部门安全组负责在本部门范围内监督和检查木规定的实 施情况。第五条各部门网络管理组负责根据木规定制定各部门网络安全管 理实施细则和规范。负责本部门网络系统的建设、日常运行管理、维 护等工作。第六条各部门系统管理组负责根据木规定制定各部门系统安全管 理实施细则

2、和规范。负责木部门各平台系统、操作系统、数据库、中 间件H常安全管理工作。第七条各部门应用管理组配合网络管理组设计相应访问控制规 则。与系统管理组共同设计系统部署架构。第三章 网络和系统安全管理规定第八条网络架构安全（一）关键网络区域的核心网络设备需要具备相应的冗余能力， 保证关键网络的可用性。（二）关键网络链路需要具备相应的冗余能力，以保证关键网络 链路的可用性。（三）重要网络区域必须通过部署相应的安全设备或实施其它技 术手段而具备相应的安全监控、隔离和审计功能。第九条网络区域划分与隔离（一）各部门的网络应按照安全级别和功能进行区域划分，不同 区域根据其安全级别采用合适的安全防范措施。（二）

3、各不同的安全区域间应该实施相应隔离措施。（三）开发测试网络必须与生产网络隔离。（四）逻辑隔离的网络区域间实施缺省拒绝的访问控制策略，合 理设置访问控制规则，只允许指定的网络访问。（五）各接入用户应在授权的网络区域内工作，跨越权限使用网 络的，网络管理员应提出警告。第十条远程接入和第三方网络接入（一）互联网是安全威胁来源非常多的网络，各部门内部网与互 联网连接必须采取隔离保护措施，原则上只允许从内向外的指定网络 访问。（二）未经批准，严禁生产网络与互联网直接连接。对于确需连 接的分行，必须实施足够的安全隔离保护措施，并将方案上报信息安 全部门审批后才能实施。（三）应对员工移动办公（VPN）接入内

4、部网络实施统一管理， 并根据按需审批审批的原则确保只有合适的人员被授予远程接入的 权限。（四） 因为业务需要生产网络或内部网络需要与第三方网络进行 连接，必须设置技术隔离措施比如防火墙、DMZ区等以进行充分的 安全防护。（五）未经授权第三方设备不应联入各部门内部网络或生产网。如确有接入需求，应向各部门网络管理部门进行中请，经审批通过后 方可联入各部门建设的第三方人员专用网络或VLAN,该专用网络与 内部网络之间必须实施技术隔离措施。第十一条无线网络接入（一）禁止所有未授权的无线网络接入点（AP）联入各部门内部网络或生产网络。（二）生产网严格控制无线网络接入点联入。（三）需要联入部门内部网的无线

5、接入点（AP）必须遵守相应的 安全配置规范，并经过网络管理部门授权审批后方可接入。第十二条网络行为管理（一）未经授权不允许进行网络扫描、探测或嗅探等行为，如确 有需求，应向各部门网络管理组或信息安全组申请，经审批后方可实 施。（二）各部门应部署统一的上网行为管理软件，监控网络内的操 作行为，并生成相关日志。第十三条各部门应该根据以下基木要求与相关规定建立相应的网络 设备安全配置规范。（一）各部门必须建立良好的访问控制机制，确保网络设备不会 被非授权访问。比如各类网络设备的口令设置应遵循用户账号及密码 管理相关规定。（二）网络设备应开启必要的网络审计功能，能够对相应的安全 事件进行追踪和审计。（

6、三）各部门应通过合理、安全的设备配置降低网络攻击和其它 网络安全事件发生的风险。（四）定期对路由和访问控制列表等网络重要配置信息进行回 顾。（五）定期对重要网络设备配置进行备份，重要设备配置更改后也应 及时地进行备份。备份后应及时验证该备份的有效性和完整性。第十四条网络容量管理（一）各部门必须实施相应的容量管理和监控措施，确保网络性 能、容量符合哈尔滨银行业务发展的需要。（二）关于性能监控和容量管理的详细规定参见日常运行安全 管理规定。第十五条网络建设安全评估（一）在网络建设的设计和验收阶段，建设部门需要依据上述网 络安全要求和相关规范进行安全评估，全行性重大网络建设项目需要 科技发展部组织相

7、关部门共同进行安全评估、评审，确保网络建设的 规范性和安全性。（二）小规模的第三方接入、链路架设等网络改造、建设项目， 项目建设部门也需要确保网络设计和实施符合上述网络安全要求和 相关规范，并符合审批流程。第十六条各部门应该建立网络设备安全漏洞管理的机制，及时跟踪 和更新网络设备中的安全漏洞。第十七条各部门应安排对网络进行定期巡检，对巡检结果及时采取 处理措施。第十八条各部门应该根据业务连续性管理规定的要求建立相应 的网络应急预案并进行演练和维护，详细规定参见业务连续性管理 规定和哈尔滨银行信息系统应急管理办法。第十九条系统访问控制的一般原则、要求参见信息系统访问控制 管理规定。第二十条系统架

8、构安全（一）对实时性要求高的关键系统应在系统、设备层面具备相应 的冗余能力，确保系统服务能力持续可靠。（二）对保密性要求高的同一应用系统的不同服务器之间可采取 防火墙隔离措施。（三）原则上不同的操作系统间应避免建立信任关系，对于HA 等某些必须要建立信任关系才能运转的应用，一定要采取其它补偿控 制措施来保护系统的安全。第二十一条各部门应根据信息系统访问控制管理规定的要求，建立相应的访问控制实施细则，妥善管理系统帐户。第二十二条系统安全配置（一）各部门必须根据以下基本要求与相关规定建立系统安全配 置规范。（二）确保帐户和口令管理符合安全要求，操作系统中无用的系 统帐号，应进行删除或其他安全处理，

9、用户账号的口令设置应遵循相 关的口令安全策略。（三）通过设定登录超时、会话超时和定时锁屏等策略为用户登 录及访问系统和应用程序的连接安全有效提供额外安全保障。（四）原则上应使用安全登录程序对操作系统进行访问，禁止使 用不安全的登录程序。同时，服务端应禁用或卸载不安全登陆程序对 应的服务。（五）根据最小权限原则，合理关闭操作系统不必要的服务，减 少系统安全弱点。（六）系统文件实施有效控制，避免被恶意或非授权的访问，保 护系统文件安全。第二十三条数据库安全配置（一）各部门需根据以下基本要求与相关规定建立数据库安全配 置规范。（二）加强数据库用户的口令管理，采取相应的安全控制措施。（三）加强数据库用

10、户的权限管理，依照最小权限原则，应仅分 配完成工作所需的权限，也包括应用程序连接数据库的帐户。（四）采取恰当措施，删除不必要的数据库默认用户，删除默认 示例数据库，删除危及数据库系统安全的默认文件。（五）采取恰当措施，删除不必要的存储过程。第二十四条系统容量管理（一）各部门必须实施相应的容量管理和监控措施，确保系统性 能、容量符合哈尔滨银行业务发展的需要。（二）关于性能监控和容量管理的详细规定参见日常运行安全 管理规定。第二十五条系统上线安全检查（一）系统上线时，信息系统责任部门应根据上述系统安全要求 和相关安全规范进行安全检查与评估，确保系统符合要求，必要时可 使用相关技术工具配合检查系统安

11、全配置。（二）全行性的重大信息系统上线前，需要组织科技发展部等相 关部门共同进行安全评估、评审，确保系统建设、配置的规范性和安 全性。第二十六条系统补丁及安全漏洞管理（一）系统管理部门应及时跟踪系统补丁和漏洞发布，确保及时 获取相应的补丁和漏洞信息。（二）应从安全可靠的途径获取补丁，如软件厂商网站等，并采 取相应手段验证补丁的真实性。（三）在进行补丁安装之前应经过充分测试和论证，在不影响生 产、业务的前提下及时进行补丁安装。第二十七条 各部门操作系统、数据库、中间件的更新、配置修改均 应按照变更管理实施细则进行处理。第二十八条各部门应安排对系统进行定期巡检，对巡检结果及时采 取处理措施。第二十九条