网络安全管理办法

1 总则
本办法规定了网络的管理和控制,保证网络控制和网络服务的安全,保障应用系统信息在网络传输过程中的安全。

2 范围
本办法适用于网络架构内设备安全管理与运维操作安全管理

3 职责和权限
由信息部门负责对信息网络安全的管理工作。

4 规定
4.1. 网络建设规划管理
a) 网络建设规划和方案设计,应以网络的可靠性、可扩展性和可管理性为前提。
b) 网络建设规划须对安全需求进行分析和评估,充分考虑网络设备物理安全、设备自身安全漏洞、网络边界安全、入侵防护、访问控制、数据分级保护、敏感数据保密等方面的安全性要求,规划部署必要的网络安全防护产品。
c) 应根据重要性和安全性进行网络区域划分,实现网络的分级分类控制。
d) 采取必要的技术手段对重要业务数据通讯提供优先服务和支持保障。
e) 应建立统一的 IP 地址规划与分配策略。
4.2. 网络联接管理
a) 网络安全区域按照模块化的方式分为内部网络( 含生产、办公等网络)、外联网络、Interne网、无线网络,应严格控制网络联通和隔离,针对不同需求实施相应的安全控制策略。
b) 从外联网络、Internet 网、无线网络等访问内部网络应符合最小授权的原则,应有接入控制和用户认证机制。
c) 外联网络接入点应从严控制,须经总行授权许可,并应明确外联网络边界的范围,并识别与外部网络连接的信息,在允许访问前实施适当的控制。
d) 原则上不允许外来人员的机器直接接入内部网络。如果确有需要,应经过信息部门授权,或者开辟外部人员专用的网络区域供其使用。
e) 应严格控制各类网络数据分析设备的使用,确有需求须经过审批。
f) 应对重要(敏感)网段进行监控,整个骨干网络区域进行性能、安全和可用性监控,及时发现并防止网络病毒、网络攻击、各类黑客程序的传播。
g) 存储敏感信息的电脑严禁接入 Internet 网。

4.3. 网络配置管理
a) 应根据不同的设备类型制订相应的安全配置和管理策略,网络端口和服务依据业务最小化原则进行优化。
b) 应定期对网络设备和配置的安全进行评估,并形成事后跟踪机制。
c) 应根据业务情况及时维护网络设备配置信息。
d) 应制订明确的配置备份策略,配置更改后及时备份网络设备配置信息。
e) 重要网络设备需开启日志功能,并统一通过日志审计系统进行收集和分析。
4.4. 网络用户管理
a) 网络用户和权限控制须统一管理,用户名和密码策略根据《总体方针与安全策略》中访问控制策略要求进行设置。
b) 对网络用户须采用切实可行的监控、管理、审计机制。
c) 网络用户权限的分配、变更应根据业务要求以权限最小化原则进行。
4.5. 访问控制管理
a) 应建立访问控制策略,确保用户只能访问经过明确授权使用的业务。
b) 应对网络路由进行明确、清晰的控制,确保用户只能经授权访问。
c) 对网络登录、监控、操作均须经严格的用户认证、操作授权、事件审计。
d) 应控制对远程登录管理,明确用户在创建、使用过程中的安全控制要求。
e) 5须通过策略设置限制不同的远程登录用户的访问范围及访问权限。
f) 安全管理人员须定期对远程登录用户的使用情况进行检查和审计。
4.6. 网络应用管理
a) 网络应用在需求分析阶段须充分考虑本行网络条件的限制(如带宽、数据加密、网络规范等)选择合适的网络协议和网络通讯方式。
b) 应用系统投产( 含升级)前 ,应 提供明确的网络访问控制需求,明确地址( 包括 IP 地址和 MAC 地址)、网络协议、端口、网络安全保护等具体要求。
c) 网络管理人员应建立应用系统网络访问资源登记簿,记录应用系统使用的网络资源(如客户端地址、服务端地址、服务端端口号等)。
d) 对于新兴网络应用在进入网络前应进行适当的安全评估,确保其安全性。
e) 新兴网络应用投产后,应对其安全状况进行后安全测评,并根据测评结果完善和优化安全策略。
4.7. 网络维护管理
a) 应建立规范的网络维护流程、网络配置标准和操作规程。
b) 网络便更改操作应根据《变更管理制度》形成变更记录,并形成文档归档保管。
c) 制订各类网络故障和安全事件的处理方法及流程,形成统一的联动处理机制。
d) 网络变更、网络故障处理等应有详细的文档。应严格控制网络变更的执行时间、地点、人员。
e) 网络安全设备应定期升级更新,升级前备份设备策略。
f) 定期对网络系统进行扫描
4.8. 网络监控管理
a) 定期对网络报警日志、未授权访问、配置变更、用户登录等信息进行监视和审计。
b) 部署网络监控和管理软件,对主要网络设备和主要通讯线路进行实时监控。
c) 应对关键网络设备的运行情况和重要网络线路的状况进行 24 小时监控。
d) 通过日志审计系统保存完整的网络日志信息,确保日志信息的完整性和安全性。
e) 应定期检查和分析网络设备的日志信息,并将检查分析结果记录形成文档。
f) 应对网络设备配置、日志、变更、故障维护等资料进行及时备份和维护。
4.9. 网络设备管理
a) 应建立骨干网络设备登记簿,记 录设备上线时间、维 保时间、故 障维修记录、主要用途等事项。
b) 重要网络设备只能部署在中心机房内。
c) 网络设备应落实专人管理,制订关键网络设备的备份措施。
d) 因业务需要临时开通的网络设备,在到期后,须及时回收相关网络资源。