新核心系统安全策略XX 银行信息技术部所有,未经授权,严禁复制、编辑和传播
核心业务系统-应用和业务安全控制和管理策略 31
1 系统核算风险控制 1 1
2 访问控制 1 1
3 人员控制 2 1
4 业务控制 2 1
5 资源控制 3 1
6 数据安全 3 1
7 预警与保护 4 1
8 审计要求 4 1
核心业务系统-应用和业务安全控制和管理策略1
1 系统核算风险控制系统核算风险控制经过“经办-复核-授权-后督”四个基本环节,每个环节之间相互制约,管理柜员对超过前台柜员权限的业务进行复核或授权;管理柜员与前台柜员要分工明确,不能交叉操作;后督中心实行“分行集中监督、档案光盘微缩、凭证统一保管”的管理模式
2 访问控制访问控制指基于部门或应用管理员定义的访问权限
具体要求如下:访问权限、交易权限、交易额度限制等可以通过参数进行配置
可以有效地控制权限的颗粒度,其最细的控制可到界面的某个交易,并且为不同帐户的授权必须遵循最小权限原则,即只为不同操作员用户给予其完成各自承担任务所需的最小权限,且支持自动初始化用户鉴权信息,仅显示用户所拥有使用权限的功能菜单及信息展现
支持基于角色画面访问以区分不同类型的操作
支持多级授权机制
所有的交易授权可采纳刷卡方式或指纹方式完成
支持柜员、机构、终端绑定功能
屏蔽客户端使用 Ctrl+N 等快捷键等方式重复登录
3 人员控制操作员角色由总行统一定义
管理中心对前台柜员身份进行分层管理,系统严格管理柜员的身份,每个柜员都有一个唯一柜员号,并终身使用该号码
柜员自己管理自已密码
此密码口令经加密后在系统中存储,不可查询
只有本人才能修改口令
密码遗忘后须经相关审批流程重新启用
柜员密码定期强行要求修改,并按密码管理办法推断设定是否合格(如密码长度不能少于 6 位,密码应由字符和数字组成),密码不能与前
