安全制度-网络和系统安全管理规定

第第10页共10页网络和系统安全治理规定第一章总则第一条 为标准科技进展部网络和系统安全治理活动，保障网络和系统在使用过程中的安全性，特制定本规定。其次条 本规定适用于科技进展部范围内的网络和系统建设使用、运维等各个阶段的安全治理。其次章组织与职责第三条 科技进展部风险治理组负责制定、修订本规定，并负责在科技进展部范围内监视治理本规定的实施状况。第四条 各部门安全组负责在本部门范围内监视和检查本规定的实施状况。第五条 各部门网络治理组负责依据本规定制定各部门网络安全治理实施细则和标准。负责本部门网络系统的建设、日常运行治理、维护等工作。第六条 各部门系统治理组负责依据本规定制定各部门系统安全治理实施细则和标准。负责本部门各平台系统、操作系统、数据库、中间件日常安全治理工作。第七条 各部门应用治理组协作网络治理组设计相应访问掌握规章。与系统治理组共同设计系统部署架构。第三章网络和系统安全治理规定第八条 网络架构安全〔一〕 关键网络区域的核心网络设备需要具备相应的冗余力量，保证关键网络的可用性。〔二〕 关键网络链路需要具备相应的冗余力量，以保证关键网络链路的可用性。〔三〕 重要网络区域必需通过部署相应的安全设备或实施其它技术手段而具备相应的安全监控、隔离和审计功能。第九条 网络区域划分与隔离〔一〕 各部门的网络应依据安全级别和功能进展区域划分，不同区域依据其安全级别承受适宜的安全防范措施。〔二〕 各不同的安全区域间应当实施相应隔离措施。〔三〕 开发测试网络必需与生产网络隔离。〔四〕 规律隔离的网络区域间实施缺省拒绝的访问掌握策略，合理设置访问掌握规章，只允许指定的网络访问。〔五〕 各接入用户应在授权的网络区域内工作，跨越权限使用网络的，网络治理员应提出警告。第十条远程接入和第三方网络接入〔一〕互联网是安全威逼来源格外多的网络，各部门内部网与互访问。〔二〕未经批准，严禁生产网络与互联网直接连接。对于确需连全部门审批后才能实施。〔三〕 依据按需审批审批的原则确保只有适宜的人员被授予远程接入的权限。〔四〕由于业务需要生产网络或内部网络需要与第三方网络进展DMZ全防护。〔五〕未经授权第三方设备不应联入各部门内部网络或生产网。可联入各部门建设的第三方人员专用网络或VLAN，该专用网络与内部网络之间必需实施技术隔离措施。第十一条无线网络接入〔一〕 制止全部未授权的无线网络接入点〔AP〕联入各部门内部网络或生产网络。〔二〕生产网严格掌握无线网络接入点联入。〔三〕需要联入部门内部网的无线接入点〔AP〕必需遵守相应的安全配置标准，并经过网络治理部门授权审批前方可接入。第十二条网络行为治理〔一〕未经授权不允许进展网络扫描、探测或嗅探等行为，如确施。〔二〕各部门应部署统一的上网行为治理软件，监控网络内的操作行为，并生成相关日志。第十三条各部门应当依据以下根本要求与相关规定建立相应的网络设备安全配置标准。〔一〕各部门必需建立良好的访问掌握机制，确保网络设备不会治理相关规定。〔二〕网络设备应开启必要的网络审计功能，能够对相应的安全大事进展追踪和审计。〔三〕各部门应通过合理、安全的设备配置降低网络攻击和其它网络安全大事发生的风险。〔四〕定期对路由和访问掌握列表等网络重要配置信息进展回忆。〔五准时地进展备份。备份后应准时验证该备份的有效性和完整性。第十四条网络容量治理〔一〕 各部门必需实施相应的容量治理和监控措施，确保网络性能、容量符合哈尔滨银行业务进展的需要。〔二〕 关于性能监控和容量治理的具体规定参见《日常运行安全治理规定。第十五条网络建设安全评估〔一〕在网络建设的设计和验收阶段，建设部门需要依据上述网标准性和安全性。〔二〕 小规模的第三方接入、链路架设等网络改造、建设工程，工程建设部门也需要确保网络设计和实施符合上述网络安全要求和相关标准，并符合审批流程。第十六条各部门应当建立网络设备安全漏洞治理的机制，准时跟踪和更网络设备中的安全漏洞。第十七条各部门应安排对网络进展定期巡检，对巡检结果准时实行处理措施。第十八条各部门应当依据《业务连续性治理规定》的要求建立相应规定》和《哈尔滨银行信息系统应急治理方法第十九条系统访问掌握的一般原则、要求参见《信息系统访问掌握其次十条系统架构安全〔一〕对实时性要求高的关键系统应在系统、设备层面具备相应的冗余力量，确保系统效劳力量持续牢靠。〔二〕对保密性要求高的同一应用系统的不同效劳器之间可实行防火墙隔离措施。〔三〕HA措施来保护系统的安全。其次十一条各部门应依据《信息系统访问掌握治理规定》的要求，建立相应的访问掌握实施细则，妥当治理系统帐户。其次十二条系统安全配置〔一〕各部门必需依据以下根本要求与相关规定建立系统安全配置标准。〔二〕确保帐户和口令治理符合安全要求，操作系统中无用的系关的口令安全策略。〔三〕通过设定登录超时、会话超时和定时锁屏等策略为用户登录及访问系统和应用程序的连接安全有效供给额外安全保障。〔四〕原则上应使用安全登录程序对操作系统进展访问，制止使应的效劳。〔五〕依据最小权限原则，合理关闭操作系统不必要的效劳，削减系统安全弱点。〔六〕系统文件实施有效掌握，避开被恶意或非授权的访问，保护系统文件安全。其次十三条数据库安全配置〔一〕各部门需依据以下根本要求与相关规定建立数据库安全配置标准。〔二〕加强数据库用户的口令治理，实行相应的安全掌握措施。〔三〕 加强数据库用户的权限治理，依照最小权限原则，应仅安排完成工作所需的权限，也包括应用程序连接数据库的帐户。〔四〕 实行恰当措施，删除不必要的数据库默认用户，删除默认例如数据库，删除危及数据库系统安全的默认文件。〔五〕 实行恰当措施，删除不必要的存储过程。其次十四条系统容量治理〔一〕 各部门必需实施相应的容量治理和监控措施，确保系统性能、容量符合哈尔滨银行业务进展的需要。〔二〕 关于性能监控和容量治理的具体规定参见《日常运行安全治理规定。其次十五条系统上线安全检查〔一〕系统上线时，信息系统责任部门应依据上述系统安全要求使用相关技术工具协作检查系统安全配置。〔二〕 全行性的重大信息系统上线前，需要组织科技进展部等相关部门共同进展安全评估、评审，确保系统建设、配置的标准性和安全性。其次十六条系统补丁及安全漏洞治理〔一〕 系统治理部门应准时跟踪系统补丁和漏洞公布，确保准时猎取相应的补丁和漏洞信息。〔二〕 应从安全牢靠的途径猎取补丁，如软件厂商网站等，并实行相应手段验证补丁的真实性。〔三〕 在进展补丁安装之前应经过充分测试和论证，在不影响生产、业务的前提下准时进展补丁安装。其次十七条各部门操作系统、数据库、中间件的更、配置修改均应依据《变