安全制度-网络和系统安全管理规定.pdfVIP

安全制度-网络和系统安全管理规定--第1页

网络和系统安全管理规定

第一章总则

第一条为规范科技发展部网络和系统安全管理活动，保障网络和

系统在使用过程中的安全性，特制定本规定。

第二条本规定适用于科技发展部范围内的网络和系统建设、使用、

运维等各个阶段的安全管理。

第二章组织与职责

第三条科技发展部风险管理组负责制定、修订本规定，并负责在

科技发展部范围内监督管理本规定的实施情况。

第四条各部门安全组负责在本部门范围内监督和检查本规定的实

施情况。

第五条各部门网络管理组负责根据本规定制定各部门网络安全管

理实施细则和规范。负责本部门网络系统的建设、日常运行管理、维

护等工作。

第六条各部门系统管理组负责根据本规定制定各部门系统安全管

理实施细则和规范。负责本部门各平台系统、操作系统、数据库、中

间件日常安全管理工作。

第1页共10页

安全制度-网络和系统安全管理规定--第1页

安全制度-网络和系统安全管理规定--第2页

第七条各部门应用管理组配合网络管理组设计相应访问控制规

则。与系统管理组共同设计系统部署架构。

第三章网络和系统安全管理规定

第八条网络架构安全

（一）关键网络区域的核心网络设备需要具备相应的冗余能力，

保证关键网络的可用性。

（二）关键网络链路需要具备相应的冗余能力，以保证关键网络

链路的可用性。

（三）重要网络区域必须通过部署相应的安全设备或实施其它技

术手段而具备相应的安全监控、隔离和审计功能。

第九条网络区域划分与隔离

（一）各部门的网络应按照安全级别和功能进行区域划分，不同

区域根据其安全级别采用合适的安全防范措施。

（二）各不同的安全区域间应该实施相应隔离措施。

（三）开发测试网络必须与生产网络隔离。

（四）逻辑隔离的网络区域间实施缺省拒绝的访问控制策略，合

理设置访问控制规则，只允许指定的网络访问。

（五）各接入用户应在授权的网络区域内工作，跨越权限使用网

络的，网络管理员应提出警告。

第2页共10页

安全制度-网络和系统安全管理规定--第2页

安全制度-网络和系统安全管理规定--第3页

第十条远程接入和第三方网络接入

（一）互联网是安全威胁来源非常多的网络，各部门内部网与互

联网连接必须采取隔离保护措施，原则上只允许从内向外的指定网络

访问。

（二）未经批准，严禁生产网络与互联网直接连接。对于确需连

接的分行，必须实施足够的安全隔离保护措施，并将方案上报信息安

全部门审批后才能实施。

（三）应对员工移动办公（VPN）接入内部网络实施统一管理，并

根据按需审批审批的原则确保只有合适的人员被授予远程接入的权

限。

（四）因为业务需要生产网络或内部网络需要与第三方网络进行

连接，必须设置技术隔离措施比如防火墙、DMZ区等以进行充分的安

全防护。

（五）未经授权第三方设备不应联入各部门内部网络或生产网。

如确有接入