网络和系统安全管理规定
总则
为规范科技发展部网络和系统安全管理活动，保障网络和系统在使用过程中的安全性，特制定本规定。
本规定适用于科技发展部范围内的网络和系统建设、使用、运维等各个阶段的安全管理。
组织与职责
科技发展部风险管理组负责制定、修订本规定，并负责在科技发展部范围内监督管理本规定的实施情况。
各部门安全组负责在本部门范围内监督和检查本规定的实施情况。
各部门网络管理组负责根据本规定制定各部门网络安全管理实施细则和规范。负责本部门网络系统的建设、日常运行管理、维护等工作。
各部门系统管理组负责根据本规定制定各部门系统安全管理实施细则和规范。负责本部门各平台系统、操作系统、数据库、中间件日常安全管理工作。
各部门应用管理组配合网络管理组设计相应访问控制规则。与系统管理组共同设计系统部署架构。
网络和系统安全管理规定
网络架构安全
（一） 关键网络区域的核心网络设备需要具备相应的冗余能力，保证关键网络的可用性。
（二） 关键网络链路需要具备相应的冗余能力，以保证关键网络链路的可用性。
（三） 重要网络区域必须通过部署相应的安全设备或实施其它技术手段而具备相应的安全监控、隔离和审计功能。
网络区域划分与隔离
（一） 各部门的网络应按照安全级别和功能进行区域划分，不同区域根据其安全级别采用合适的安全防范措施。
（二） 各不同的安全区域间应该实施相应隔离措施。
（三） 开发测试网络必须与生产网络隔离。
（四） 逻辑隔离的网络区域间实施缺省拒绝的访问控制策略，合理设置访问控制规则，只允许指定的网络访问。
（五） 各接入用户应在授权的网络区域内工作，跨越权限使用网络的，网络管理员应提出警告。
远程接入和第三方网络接入
（一） 互联网是安全威胁来源非常多的网络，各部门内部网与互联网连接必须采取隔离保护措施，原则上只允许从内向外的指定网络访问。
（二） 未经批准，严禁生产网络与互联网直接连接。对于确需连接的分行，必须实施足够的安全隔离保护措施，并将方案上报信息安全部门审批后才能实施。
（三） 应对员工移动办公（VPN）接入内部网络实施统一管理，并根据按需审批审批的原则确保只有合适的人员被授予远程接入的权限。
（四） 因为业务需要生产网络或内部网络需要与第三方网络进行连接，必须设置技术隔离措施比如防火墙、DMZ区等以进行充分的安全防护。
（五） 未经授权第三方设备不应联入各部门内部网络或生产网。如确有接入需求，应向各部门网络管理部门进行申请，经审批通过后方可联入各部门建设的第三方人员专用网络或VLAN，该专用网络与内部网络之间必须实施技术隔离措施。
无线网络接入
（一） 禁止所有未授权的无线网络接入点（AP）联入各部门内部网络或生产网络。
（二） 生产网严格控制无线网络接入点联入。
（三） 需要联入部门内部网的无线接入点（AP）必须遵守相应的安全配置规范，并经过网络管理部门授权审批后方可接入。
网络行为管理
（一） 未经授权不允许进行网络扫描、探测或嗅探等行为，如确有需求，应向各部门网络管理组或信息安全组申请，经审批后方可实施。
（二） 各部门应部署统一的上网行为管理软件，监控网络内的操作行为，并生成相关日志。
各部门应该根据以下基本要求与相关规定建立相应的网络设备安全配置规范。
（一） 各部门必须建立良好的访问控制机制，确保网络设备不会被非授权访问。比如各类网络设备的口令设置应遵循用户账号及密码管理相关规定。
（二） 网络设备应开启必要的网络审计功能，能够对相应的安全事件进行追踪和审计。
（三） 各部门应通过合理、安全的设备配置降低网络攻击和其它网络安全事件发生的风险。
（四） 定期对路由和访问控制列表等网络重要配置信息进行回顾。
（五）定期对重要网络设备配置进行备份，重要设备配置更改后也应及时地进行备份。备份后应及时验证该备份的有效性和完整性。