網絡安全管理辦法
1 總則
本辦法規定了網絡的管理和控制,保證網絡控制和網絡服務的安全,保障應用系統信息在網絡傳輸過程中的安全。
2 範圍
本辦法适用于網絡架構内設備安全管理與運維操作安全管理
3 職責和權限
由信息部門負責對信息網絡安全的管理工作。
4 規定
4.1. 網絡建設規劃管理
a) 網絡建設規劃和方案設計,應以網絡的可靠性、可擴展性和可管理性為前提。
b) 網絡建設規劃須對安全需求進行分析和評估,充分考慮網絡設備物理安全、設備自身安全漏洞、網絡邊界安全、入侵防護、訪問控制、數據分級保護、敏感數據保密等方面的安全性要求,規劃部署必要的網絡安全防護産品。
c) 應根據重要性和安全性進行網絡區域劃分,實現網絡的分級分類控制。
d) 采取必要的技術手段對重要業務數據通訊提供優先服務和支持保障。
e) 應建立統一的 IP 地址規劃與分配策略。
4.2. 網絡聯接管理
a) 網絡安全區域按照模塊化的方式分為内部網絡( 含生産、辦公等網絡)、外聯網絡、Interne網、無線網絡,應嚴格控制網絡聯通和隔離,針對不同需求實施相應的安全控制策略。
b) 從外聯網絡、Internet 網、無線網絡等訪問内部網絡應符合最小授權的原則,應有接入控制和用戶認證機制。
c) 外聯網絡接入點應從嚴控制,須經總行授權許可,并應明确外聯網絡邊界的範圍,并識别與外部網絡連接的信息,在允許訪問前實施适當的控制。
d) 原則上不允許外來人員的機器直接接入内部網絡。如果确有需要,應經過信息部門授權,或者開辟外部人員專用的網絡區域供其使用。
e) 應嚴格控制各類網絡數據分析設備的使用,确有需求須經過審批。
f) 應對重要(敏感)網段進行監控,整個骨幹網絡區域進行性能、安全和可用性監控,及時發現并防止網絡病毒、網絡攻擊、各類黑客程序的傳播。
g) 存儲敏感信息的電腦嚴禁接入 Internet 網。
4.3. 網絡配置管理
a) 應根據不同的設備類型制訂相應的安全配置和管理策略,網絡端口和服務依據業務最小化原則進行優化。
b) 應定期對網絡設備和配置的安全進行評估,并形成事後跟蹤機制。
c) 應根據業務情況及時維護網絡設備配置信息。
d) 應制訂明确的配置備份策略,配置更改後及時備份網絡設備配置信息。
e) 重要網絡設備需開啟日志功能,并統一通過日志審計系統進行收集和分析。
4.4. 網絡用戶管理
a) 網絡用戶和權限控制須統一管理,用戶名和密碼策略根據《總體方針與安全策略》中訪問控制策略要求進行設置。
b) 對網絡用戶須采用切實可行的監控、管理、審計機制。
c) 網絡用戶權限的分配、變更應根據業務要求以權限最小化原則進行。
4.5. 訪問控制管理
a) 應建立訪問控制策略,确保用戶隻能訪問經過明确授權使用的業務。
b) 應對網絡路由進行明确、清晰的控制,确保用戶隻能經授權訪問。
c) 對網絡登錄、監控、操作均須經嚴格的用戶認證、操作授權、事件審計。
d) 應控制對遠程登錄管理,明确用戶在創建、使用過程中的安全控制要求。
e) 5須通過策略設置限制不同的遠程登錄用戶的訪問範圍及訪問權限。
f) 安全管理人員須定期對遠程登錄用戶的使用情況進行檢查和審計。
4.6. 網絡應用管理
a) 網絡應用在需求分析階段須充分考慮本行網絡條件的限制(如帶寬、數據加密、網絡規範等)選擇合适的網絡協議和網絡通訊方式。
b) 應用系統投産( 含升級)前 ,應 提供明确的網絡訪問控制需求,明确地址( 包括 IP 地址和 MAC 地址)、網絡協議、端口、網絡安全保護等具體要求。
c) 網絡管理人員應建立應用系統網絡訪問資源登記簿,記錄應用系統使用的網絡資源(如客戶端地址、服務端地址、服務端端口号等)。
d) 對于新興網絡應用在進入網絡前應進行适當的安全評估,确保其安全性。
e) 新興網絡應用投産後,應對其安全狀況進行後安全測評,并根據測評結果完善和優化安全策略。
4.7. 網絡維護管理
a) 應建立規範的網絡維護流程、網絡配置标準和操作規程。
b) 網絡便更改操作應根據《變更管理制度》形成變更記錄,并形成文檔歸檔保管。
c) 制訂各類網絡故障和安全事件的處理方法及流程,形成統一的聯動處理機制。
d) 網絡變更、網絡故障處理等應有詳細的文檔。應嚴格控制網絡變更的執行時間、地點、人員。
e) 網絡安全設備應定期升級更新,升級前備份設備策略。
f) 定期對網絡系統進行掃描
4.8. 網絡監控管理
a) 定期對網絡報警日志、未授權訪問、配置變更、用戶登錄等信息進行監視和審計。
b) 部署網絡監控和管理軟件,對主要網絡設備和主要通訊線路進行實時監控。
c) 應對關鍵網絡設備的運行情況和重要網絡線路的狀況進行 24 小時監控。
d) 通過日志審計系統保存完整的網絡日志信息,确保日志信息的完整性和安全性。
e) 應定期檢查和分析網絡設備的日志信息,并将檢查分析結果記錄形成文檔。
f) 應對網絡設備配置、日志、變更、故障維護等資料進行及時備份和維護。
4.9. 網絡設備管理
a) 應建立骨幹網絡設備登記簿,記 錄設備上線時間、維 保時間、故 障維修記錄、主要用途等事項。
b) 重要網絡設備隻能部署在中心機房内。
c) 網絡設備應落實專人管理,制訂關鍵網絡設備的備份措施。
d) 因業務需要臨時開通的網絡設備,在到期後,須及時回收相關網絡資源。