银行计算机信息系统安全技术规范

银行计算机信息系统安全技术规范篇一：商业银行计算机信息系统安全管理工作规定*商业银行计算机信息系统安全管理工作 规定 第一章 总 则 第一条 为了加强*商业银行股份有限公司计算机信息系统的安全管理工作，防范计算机犯罪，保证计算机系统安全、稳定地运行，根据金融机构计算机信息系统安全保护工作暂行规定等有关法律、法规，特制定本规定。 第二条 本规定适用于我行各级机构，包括总行各部门及办事处（以下简称各单位） 。 第三条 *商业银行股份有限公司计算机信息系统安全保护工作实行谁主管、谁负责，预防为主、人员防范与技术防范相结合的原则，逐级建立安全保护责任制。 第四条 *商业银行股份有限公司各单位的主要负责人为本单位计算机信息系统安全保护工作的第一责任人。各级计算机安全保护领导小组、专职部门和专（兼）职计算机安全管理人员协助第一责任人落实有关规定。 第二章 计算机机房安全防范设施及安全管理 第五条 本规定所称计算机信息系统安全防范设施包括计算机中心机房的构筑防护设施和计算机信息系统及其相关配套设备的技术防护设施。 第六条 *商业银行股份有限公司的计算机中心机房应当符合下列基本要求： （一）中心机房在建筑内应为独立区域；（二）中心机房周围 100 米内不得有危险建筑，如加油站、煤气站等； （三）中心机房必须按照有关标准配置防火、防水、防盗设施； （四）中心机房必须采用双回路供电，或者配备发电机、UPS 等设施。 第七条 重要的通讯控制装置及通讯线路必须有备份。网络通讯设施要有安全技术措施。 第八条 中心机房其它安全设施及管理按照*商业银行股份有限公司计算机中心机房管理制度 、*商业银行股份有限公司安全保卫部门有关规定执行。 第三章 计算机用户安全管理 第九条 计算机用户安全管理包括各类操作系统、数据库系统、应用系统、网络设备、其他计算机设备的用户管理。 第十条 所有计算机使用者负责维护和妥善保管自己的计算机用户密码。对于可疑情况，必须向信息技术部报告备案。 第十一条 各类用户应坚持一人一用户原则，严禁使用他人的计算机用户登录计算机系统；严禁将自己的计算机用户给其他人使用。计算机用户的使用者在用户登录期间因故离开或者使用结束后必须及时退出系统。 第十二条 严格控制各类用户密码长度（至少 6 位） ；密码不能和用户名相同，也不能使用本人姓名、生日、身份证号码、电话号码等容易被猜出的数字或字母。 第十三条 计算机使用者每三个月必须更改用户密码一次。 第十四条 各单位在申请增加各类用户时，要求提前提出申请。 信息技术部运行组在创建用户时应严格根据各业务系统的要求，给予用户最小的合理权限。第十五条 对于员工调离或岗位变动，员工原所属单位负责人应向信息技术部申请注销该员工使用的所有用户，并填写*商业银行股份有限公司中心机房维护申请表 ，由信息技术部运行组对该员工的相关用户做适当处理。 第十六条 信息技术部应定期进行检查，对于人员调动未向信息技术部提出注销用户、私自交接用户和密码的，应对单位负责人及直接责任人予以严肃处理。 第十七条 各单位每半年应将本单位所有用户及使用者姓名上报信息技术部登记备案，据此信息技术部对各单位用户使用情况进行清查。 第四章 计算机系统设备的安全管理 第十八条 未经信息技术部同意，计算机使用人员不得私自安装计算机设备（尤其是 MODEM、网卡、无线通讯设备等） ，不得私自配置网络参数，不得私自安装与工作无关的软件，严禁私自连接本系统外的任何网络。 第十九条 各单位计算机联络员负责本机构计算机设备常规维护，定期检查本单位计算机设备的使用情况，并做好相关记录，每季上报信息技术部。 第二十条 信息技术部应定期抽查各单位的设备使用情况，对于私自安装网络设备、连接外部网络的，一经发现，必须报安 全保卫部门严肃查处。第五章 网络系统安全管理 第二十一条 对于所有生产环境的网络设备，系统管理组负责每周检查配置信息一次；对配置信息进行修改的，修改前后必须做备份。 第二十二条 禁止将网络测试环境与生产环境连接。生产环境的 IP 地址分配要严格按照有关规定执行。 第二十三条 信息技术部应严格管理所有的拨号端口，采取设置密码和电话回拨等措施，保证拨号端口的安全。 第二十四条 凡与其他单位有联网需求的，必须通知信息技术部。上报内容包括联网的单位、业务需求、联网方案等。 第二十五条 生产环境的网络设备具有设置用户和口令功能的，必须严格设置用户和口令。 第二十六条 如果与本系统外的网络连接，必须经过我行防火墙或通信协议网关等隔离措施；或者与我行网络从物理上隔离开来。不允许以任何途径对外泄露我行的网络配置和路由信息。 第二十七条 未经信息技术部书面批准，严禁私自安装网络管理软件、网络监测和其它黑客软件。禁止在办公环境中安装、使用网络管理或监控软件。 第二十八条 违反上述规定的，将追究有关当事人及负责人的责任。 第六章 计算机防病毒的管理 第二十九条 各单位计算机联络员负责所在单位内计算机系统的防病毒工作。所有的计算机系统必须定期查杀计算机病毒（至少每月一次） 。 第三十条 各单位如果遇到计算机病毒发作事件，应及时上报信息技术部。 第七章 其 他 第三十一条 计算机系统的磁带备份必须定期进行磁带内容有效性的确认。 第三十二条 如果必须请外单位安装、维护软件或硬件，各单位应严格控制计算机安全问题并对由此产生的安全问题负责。 第三十三条 各单位应根据本规定制定严格的计算机信息资料管理办法，对作废的报表、送外单位维修的硬盘等的处理做明确的规定。 第三十四条 各单位发现有关计算机信息系统案件或事故的，必须逐级上报主管部门，并严格按照我行安全保卫相关规定向安全保卫部门报告。 第八章 附 则 第三十五条 本制度的解释权归*部门。 第三十六条 本制度从下发之日起实施执行。 篇二：XXXX 农商银行信息系统安全基线技术规范XXXX 农商银行 信息系统安全配置基线规范 1 范围 本规范适用于 XXXX 农商银行所有信息系统相关主流支撑平台设备。 2 规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本规范。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本规范。 中华人民共和国计算机信息系统安全保护条例 中华人民共和国国家安全法 中华人民共和国保守国家秘密法 计算机信息系统国际联网保密管理规定 中华人民共和国计算机信息网络国际联网管理暂行规定 ISO27001 标准/ISO27002 指南 公通字XX43 号 信息安全等级保护管理办法 GB/T 21028-XX 信息安全技术 服务器安全技术要求 GB/T 20269-XX 信息安全技术 信息系统安全管理要求 GB/T 22239-XX 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-XX 信息安全技术 信息系统安全等级保护定级指南 3 术语和定义 安全基线：指针对 IT 设备的安全特性，选择合适的安全控制措施，定义不同 IT 设备的最低安全配置要求，则该最低安全配置要求就称为安全基线。 管理信息大区：发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统，原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区 I)和非控制区(安全区)；管理信息大区内部在不影响生产控制大区安全的前提下，可以根据各企业不同安全要求划分安全区。根据应用系统实际情况，在满足总体安全要求的前提下，可以简化安全区的设置，但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4 总则 指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标，为切实践行南网方略，保障信息化建设，提高信息安全防护能力，通过规范 IT 主流设备安全基线，建立公司管理信息大区 IT 主流设备安全防护的最低标准，实现公司 IT 主流设备整体防护的技术措施标准化、规范化、指标化。 目标 管理信息大区内 IT 主流设备安全配置所应达到的安全基线规范，主要包括针对 AIX 系统、Windows 系统、Linux系统、HP UNIX 系统、Oracle 数据库系统、MS SQL 数据库系统,WEB Logic 中间件、 Apache HTTP Server 中间件、Tomcat 中间件、IIS 中间件、Cisco 路由器/交换机、华为网络设备、Cisco 防火墙、Juniper 防火墙和 Nokia 防火墙等的安全基线设置规范。通过该规范的实施，提升管理信息大区内的信息安全防护能力。5 安全基线技术要求 操作系统 AIX 系统安全基线技术要求 设备管理 应通过配置系统安全管理工具，预防远程访问服务攻击或非授权访问，提高主机系统远程管理安全。 用户账号与口令安全应通过配置用户账号与口令安全策略，提高主机系统账户与口令安全。 日志与审计 应对系统的日志进行安全控制与管理，保护日志的安全与有效性。 服务优化应提高系统服务安全，优化系统资源。 安全防护 应对系统安全配置参数进行调整，提高系统安全。 其他 应对关键文件进行权限调整，提高关键文件的安全。 Windows 系统安全基线技术要求 补丁管理 应使 Windows 操作系统的补丁达到管理基线。 用户账号与口令安全应配置用户账号与口令安全策略，提高主机系统账户与口令安全。 日志与审计 应对系统的日志进行安全控制与管理，保护日志的安全与有效性。 篇三：网上银行信息系统安全通用规范附件 网上银行系统信息安全通用规范 (试行) 中国人民银行 目 录 1 使用范围和要求4 2 规范性引用文件4 3 术语和定义5 4 符号和缩略语6 5 网上银行系统概述6 51 系统标识6 52 系统定义7 53系统描述7 54 安全域8 6 安全规范9 61 安全技术规范9 62 安全管理规范22 63 业务运作安全规范26 附 l 基本的网络防护架构参考图30 附2 增强的网络防护架构参考图31 前言 本规范是在收集、分析评估检查发现的网上银行系统信息安全问 题和已发生过的网上银行案件的基础上，有针对性提出的安全要求，内容涉及网上银行系统的技术、管理和业务运作三个方面。 本规范分为基本要求和增强要求两个层次。基本要求为最低安全要求，增强要求为本规范下发之日起的三年内应达到的安全要求，各单位应在遵照执行基本要求的同时，按照增强要求，积极采取改进措施，在规定期限内达标。 本规范旨在有效增强现有网上银行系统安全防范能力，促进网上银行规范、健康发展。本规范既可作为网上银行系统建设和改造升级的安全性依据，也可作为各单位开展安全检查和内部审计的依据。 1 使用范围和要求 本规范指出了网上银行系统的描述、安全技术规范、安全管理规 范、业务运作安全规范，适用于规范网上银行系统建设、运营及测评工作。 2 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是 注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本规范，然而，鼓励根据本规范达成协议的香方研究是否可使瑚这些文件的最新版本。凡是不注日期的引用文件，其最新 版本适用于本规范。 GB/IT20983-XX 信息安全技术网上银行系统信息安全保障评 估准则GB/T22239-XX 信息安令技术信息系统安全等级保护基本要求 GB/T 20984-XX 信息安全技术信息系统风险评估规范 GB/T 1 信息技术安全技术信息技术安全性评估准则 第 1 部分：简介和一般模型 GB/T 1 信息技术安全技术信息技术安全性评估准则第 2 部分：安全功能要求 GB/T l 信息技术安全技术信息技术安全性评估准则第 3 部分：安全保证要求 GB/T 22080-XX 信息技术安全技术信息安全管理体系要求 GB/T 22081-XX 信息技术安全技术信息安全管理使用规则 GB/T 14394-XX 计算机软件可靠性和可维护性管理 GB/T 22239-XX 信息安全技术信息系统安全等级保护基本要求 中围人民银行关丁进一步加强银行业金融机构信息安全保障工作的指导意见(银发(XX) 123 号) 中国人民银行 中国银行业监督管理委员会 公安部 国家工商总局关于加强银行卡安全管理预防和打击银行卡犯罪的通知(银发(XX) 142 号) 中国人民银行办公厅关于贯彻落实的意见 （银办发XX 149 号） 3 术语和定义GB/T 20274 确立的以及下列术语和定义适用于本规范。31 网上银行 商业银行等金融机构通过互联网等公众网络基础设施，向其客户提供各种金融业务。 32 互联网 因特网或其他类似形式的通用性公共计算机通信网络。33 敏感信息 任何影响网上银行安全的密码、密钥以及交