银行网络管理制度

1、银行网络管理制度第一章 总则第一条 为规范cc银行网络管理行为，提高网络管理水平，特制订本制度。第二条 本制度适用于cc银行网络的日常管理。第二章 组织机构和职责第三条 科技发展部负责全行网络的设计、实施、管理、维护和变更工作。（一）科技发展部总经理负责全行网络管理的监察和审批工作。（二）科技发展部网络管理员负责全行网络的具体管理工作。第四条 支行系统管理员负责本支行网络的管理和维护工作。第三章 网络结构规划管理第五条 cc银行网络按功能划分，分为核心生产网（简称生产网）、内网、外联网、开发测试网、因特网。 （一）生产网作为科技发展部数据中心的专属网络，只分配给数据中心内的服务器、加密机、操作

2、台等核心生产设备使用。 （二）内网由cc银行全辖营业厅、离行式atm、总行机关各部门、支行机关各科室使用的近百个子网组成，内网中的计算机通过专线上联到生产网，与数据中心的服务器进行数据交换。 （三）外联网指与国家有关部门（银监局、人民银行、财政局等）和其他单位（移动公司、联通公司等）连接的网络。（四）开发测试网属于科技发展部专用网络，只用于开发、测试新业务需求使用。（五）因特网用于登陆国际互联网，实现对外业务信息服务和内外信息交换。第六条 cc银行生产网属于三层网络结构，分别是核心层、汇聚层、接入层。（一）核心层采用两台h3c 7506e交换机，可实现冗余热备，在可靠性、高效性、冗余性、容错性

3、、可管理性、适应性、低延时性等方面，完全达到我行网络设计的标准。（二）汇聚层采用四台h3c s5500交换机，有效的降低了核心层设备的负荷。（三）接入层采用若干台h3c s5024交换机，向数据中心服务器、工作站提供接入功能。第七条 cc银行网络的整体拓扑结构经过严格的规划、设计，任何管理和维护均不能更改拓扑结构，如有特殊需求，需上报科技发展部总经理审批。第四章 终端设备入网管理第八条 cc银行全辖内网、因特网中的计算机，其各项指标均符合国标要求，无需遵从设备入网管理相关条例。第九条 数据中心设备（指运行在生产网、外联网中的设备）入网之前，要做好安全检测工作，充分收集分析设备的各项指标参数、应

4、用案例，咨询厂家与运营商相关注意事项，确保设备达到入网要求，必须保障新入网设备不会对生产网的正常运作产生影响。第十条 科技发展部相关工作人员确认设备符合入网标准后，报部门副总经理以上级别人员审批，重要设备（发生故障后对cc银行全辖业务产生影响的设备）入网需部门总经理批准，设备入网后做好相关记录工作。第十一条 重要设备入网，厂家或供应商工程师必须提供现场技术支持保障。第五章 互联网入网管理第十二条 严格执行“上网不涉密、涉密不上网”的原则，对存有涉密信息的计算机严禁接入互联网。第十三条 我行接入互联网使用的是专线统一接入方式，未经允许不得使用其它方式接入互联网。第十四条 各部室申请接入互联网，须

5、经科技发展部审核并报主管信息科技工作的行领导批准，流程如下：（1）申请部室或个人按照要求认真填写cc银行互联网接入申请表。（2）本部室负责人在对cc银行互联网接入申请表签署意见后送科技发展部审核。（3）科技发展部对cc银行互联网接入申请表进行审核提出意见后，报主管领导审批。（4）主管领导签批后，科技发展部将办理结果（同意或不同意）书面通知申请部室。（5）申请部室持cc银行互联网接入申请表到科技发展部办理接入相关事宜。第六章 网络安全管理第十五条 网络边界控制（一）生产网与内网、外联网之间配备专业级防火墙和ids设备，确保运行的稳定性和安全性，严格监控网络中的数据。（二）外联网访问实施严格的访问

6、权限控制，制订健全、实用的访问控制列表（acl），阻止外联机构访问我行数据中心内部与之业务无关的其他服务器。（三）开发测试网内的计算机可通过访问控制机制，访问外联机构的测试主机，进行程序的开发、调试、测试。（四）因特网与cc银行其他网络之间实施严格的物理隔离，严禁任何数据交换。第十六条 严禁非我行计算机设备接入cc银行网络，如有特殊情况，相关负责人需向科技发展部提出临时入网请求，批准后由科技发展部工作人员实施入网操作。临时入网计算机结束相关工作后，科技发展部工作人员立即清理相关网络资源，并做好相关记录。第七章 网络监控管理第十七条 网络设备运行故障状态分两种情况：（1） 网络设备发生严重故障，

7、已停止运行。（2） 网络设备可使用，但部分配件发生故障，面板报警灯亮起。 第十八条 日常网络运行状态监控分以下几种：（一）监控网络设备的性能状况是否在正常范围内，发现问题及时解决，避免出现空闲资源过低的情况，造成故障隐患。（二）监控网络流量状况是否正常。（三）登陆ids设备，查看是否有非法入侵记录。第十九条 建立网络监控档案，对网络的运行情况、故障现象、故障产生原因、故障处理过程及处理结果等进行详细记录。第八章 网络维护及变更管理 第二十条 网络维护及变更工作应遵循信息安全为首要原则，任何管理、操作行为均不得违背此原则。第二十一条 生产网是cc银行重要核心设备专属网络，若出现故障，将影响全行业

8、务的正常运行，因此生产网的维护及变更必须做到严谨、及时、稳重。 （一）服务器、加密机、操作台等设备一旦加入生产网，无特殊情况，其ip地址不得变更。 （二）网络运行出现故障，数据中心运维人员可参照网络应急预案进行处理，若无法排除故障可通知科技发展部网络管理员人员到场处理，并做好相关记录，同时上报部门总经理。 （三）数据中心如有网络变更需求，需上报部门总经理，审批通过后由科技发展部网络管理员人员进行实施，并做好变更记录。 （四）定期检查备用网络设备，确保备用设备随时可用。 （五）加强防范网络病毒，做好服务器的防病毒工作，防病毒软件必须及时更新，相关工作人员根据服务器业务运行情况，定期做病毒扫描操作

9、，及时发现病毒。为避免杀毒操作损坏服务器操作系统，杀毒工作必须由工作人员手工完成。 第二十二条 开发网配置变更频率较高，伴随着新业务的开发和结束，承载应用程序的服务器、pc机等设备也随之变更，科技发展部相关工作人员必须规划好网络资源，避免资源冲突、浪费，每次变更要有详细记录，以备查询。第二十三条 各支行至少预留一台路由器、一台交换机作为备用设备，并做好路由器基础配置，营业网点设备发生故障时，能够迅速替换，最大程度缩短停业时间。第二十四条 cc银行全辖员工，除科技发展部网络管理员和支行系统管理员外，其他人禁止私自改变网络环境：（1） 禁止计算机跨网段使用。（2） 禁止变更网络地址。第九章 网络单

10、点故障排查管理第二十五条 一般网络故障可以分为硬件故障、软件故障；或者分为内网故障、外网故障。osi的层次结构为网络管理员分析和排查故障提供了非常好的组织方式。由于各层相对独立，按层排查能够有效地发现和隔离故障。第二十六条 物理层故障排查采用替换法或专门的线缆测试仪，没有测试仪的可通过网络设备（网卡、交换机等）信号灯进行简单的目测。第二十七条 数据链路层故障排查对于tcp/ip网络，可以使用简单的arp命令来检查mac地址（物理地址）和ip地址之间的映射问题。第二十八条 网络层和传输层故障排查通过route命令来测试路由路径是否正确，使用ping命令来测试连通性。对于复杂的问题，通过专门的协议

11、分析器，专业的协议分析软件等来分析链路层及其以上层次的数据通信。第二十九条 应用层故障排查对自身程序进行检查，或检查有无其他程序影响到应用层本身工作。第三十条 网络单点故障排除步骤（1）全面收集信息，并分析故障现象，了解故障情况，详细询问相关细节，请故障发生时操作人员描述正常运行时的情况，检查在故障发生之前是否对该节点或是网络进行了改动。（2）定位故障范围，通过全面收集的信息分析，将故障范围缩小到一个网段或节点。基于所作的分析，判断故障是否与一个网段有关，还是局限于一个节点。（3）如果故障影响整个网段，通过减少可能的故障源来隔离故障。除两个节点外断开其它所有的节点，如果这两个节点能正常通讯，再

12、增加其它节点。如这两个节点不能通讯，就要对物理层的有关部分，如电缆的接头、电缆本身或与它们相连的hub和网卡等进行检查。（4）如果故障能被隔离至一个节点，可以更换网卡，使用好的网卡驱动程序，或是用一条新的电缆与网络相连。（5）确定了故障源后，对于网络硬件设备来说，更换新的设备以保证正常运转，对损坏部分的维修稍后进行。（6）对于软件故障，要重新安装有问题的软件，删除可能有问题的文件并且确保拥有全部所需的文件，并对软件进行重新设置。（7）故障排除完成后，请操作人员测试故障是否依然存在，以确保是否整个故障都已被排除。第三十一条 单点故障避免措施（1）每个域至少要有2个域控制器，如能负担费用，可以准备

13、3个，作为额外的保护层。（2）域控制器不要放在同一个物理位置，准备至少2个机房。一旦有机房被人为破坏，起火或遭其他损害时，其他机房仍可以使用。（3）部属多个ad依赖的系统，最主要的是dns系统，确保在每个域中备份或准备两个dns服务器。（4）每个网络与域控制器间要有两条或以上连接线，在每个域中部署至少2个网卡，这样可以通过多种途径进行访问。第十章 资料管理第三十二条 对网络设备的购置、安装、维修和报废情况做好详细记录。第三十三条 所有网络设备（路由器、防火墙、ids等）的配置必须备份，每次因需求变化对设备配置做出变更操作后，必须将新的配置保存归档，并做好相关记录。第三十四条 科技发展部网络管理

14、员负责cc银行网络资料的保管，包括网络拓扑图、网络设计方案、线路资料、网络设备与终端设备的ip地址等文档记录。第三十五条 科技发展部数据中心负责网络运行状态记录、网络故障记录的保管。第三十六条 科技发展部网络管理员人员要定期检查技术档案的完整性和有效性，对受损档案要及时整理和修复。第十一章 网络设备口令管理第三十七条 网络设备口令由科技发展部运行维护人员管理，每季度变更一次，变更后的新密码用信封封存，上交科技发展部总经理保管。第三十八条 网络设备口令设置需遵循一定的规范，方便管理。（1） 核心网络设备的口令必须单独设置，不得与其他网络设备有所关联，登陆口令与特权口令不得一致。 （二）外联网使用设备的口令应遵循与业务相关