银行安全评估自查报告65
XXXX支行安全评估自查报告;为全面、客观地反映金融机构安全防范情况,根据《关;安全检查小组:;组长:XXX;副组长:XXX;成员:XXXXXXXXX;安全检查办公室设在行长办,定期对营业场所、业务库;一、营业场所:;(一)物防设施;1.二层以下窗户已安装金属防护栏或相应防护措施;2.网点与外界相通的出入口均已安装防护门或防盗安;3.网点现金业务出入口均已安
XXXX支行安全评估自查报告
为全面、客观地反映金融机构安全防范情况,根据《关于银行业金融机构安全评估工作实施方案的通知》的要求,我行及时组建安全检查小组,按照通知要求的检查方法,结合实际情况,对网点安全设施及环境等各方面进行了全面的自查,现将自查情况汇报如下:
安全检查小组:
组长:XXX
副组长:XXX
成员:XXX XXX XXX
安全检查办公室设在行长办,定期对营业场所、业务库、自助设备、运钞、消防、计算机、枪支弹药等进行安全检查,保卫股长XXX负责各项安全检查情况的工作汇报。
一、营业场所:
(一)物防设施
1.二层以下窗户已安装金属防护栏或相应防护措施。
2.网点与外界相通的出入口均已安装防护门或防盗安全门, 且符合相关的安全标准。
3.网点现金业务出入口均已安装金属防护门,且能正常使用。
4.营业场所外有围墙且有防止攀爬的障碍物。
5.现金业务区出入口安装了防尾随缓冲式电控联动门,能正常使用。
6.现金出纳柜台已采用砖石或钢筋混凝土结构,柜台高度>=800mm、宽度>=500mm。
7.现金出纳柜台上方安装了透明防护板。
8.现金出纳柜台上方安装的透明防护板有检测合格报告,安装形式符号标准,且长、宽、高、面积及其上部封顶符合标准。
9.现金业务柜台的台面设置和收银槽长宽高符合要求。
10.网点营业场所均已配备卫生设施。
11.营业场所已配备应急照明设备且安好可用。
12.网点已配备自卫器材。
(二)技防设施
1.监控设备
(1) 营业场所与外界相通的出入口安装了视频监控装置。
(2)营业场所现金业务区、非现金业务区等均已安装视频监控装置,且实时监控各区域人员活动情况及现金区域的现金支付交易全过程。
(3)营业场所出入口视频监控系统的回放录像能清晰分辨出入大门人员体貌特征。
(4) 网点录像资料保存期均在30天以上。
2.报警及其他技防设施
网点具备与公安110报警服务台报警联网条件且安装了与公安机关110联网的紧急报警装置。
二、业务库安全
(一)实体防范
1.库区照明系统总闸装置有保护措施且置于有效监控范围。
2. 出入库房门的通道为单一设置。
3. 库房结构墙体已达到相应级别建筑标准。
4. 金库门和库门锁具符合标准。
5. 三类以上库房通往金库门的唯一通道已设置防控隔离门,且防护等级符合要求。
(二)技术防范
1.入侵报警系统能准确探测报警区域内门、窗、通道等重点部位入侵事件。
2.报警控制主机和线路未裸露,具有防破坏报警功能。
3.营业场所已采用2种以上向外报警传输方式。
4.报警装置有备用电源,能保证在断电后系统供电时间<8h。
5.报警系统布防、撤防、报警、故障等信息的存储时间均在30天以上。
6.库房内视频安防监控系统回放录像能清晰显示人员在库内活动的全过程及库内所存放物品。
7.库房外的回放录像能清晰显示出入库人员活动情况及面部特征。
8.启动紧急警报装置时能同时启动现场声、光报警装置。
9.守库室的回放录像能清晰显示守库人员活动情况。
10.清分整点场地在每个清分台安装了摄像机进行独立监控和录像,回放录像能清晰显示交接、清点、打捆等操作全过程。
11.装卸区及出入库交接场地的回放录像能清晰显示运钞车停放、护卫及提款箱交接等进出库区全过程。
12.视频监控资料保存时间均在30天以上。
13.实行远程监控的业务库房隔离门出入口控制装置具有接受远程控制和实时授权功能。
14.声音资料保存时间均在30天以上。
15.实行异地值守的业务库具备全方位防护,且将入侵报警、视频安防监控及出入口控制、广播对讲等各子系统接入业务库报警监控联网中心,能实施远程管理、控制。
16.业务库报警监控联网中心功能较为齐备。
(三)本地守库室防范
1.本地守库室设置有卫生设施。
2. 守库室外安装有照明灯,配备应急照明设备及自卫器材。
3. 守库室配备有对外联络的通讯设备,已安装紧急报警按钮。
三、自助设备安全
(一)自助设备安全
1.已安装报警装置,且能对撬盗和破坏事件进行探测报警。
2.视频监控装置能对交易时客户的正面图像、进/出钞过程、现金装填过程的图像进行实时录像。
3.回放录像能清晰辨别客户的面部特征、进/出钞过程、现金装填过程操作人员活动情况。
4.已加装具有防窥视功能装置,已设置相对独立的用户操作区域。
5.能通过显示屏显示必要地安全提示和24小时服务电话。
(二)自助银行安全
1.独立的装填现金区安装了入侵报警探测装置,具备入侵报警联动功能。
2.安装了视频监控装置对进入自助银行的人员进行监视、记录,回放图像能清晰显示进出人员体貌特征。
四.运钞安全
1.使用专用运钞车运钞及双人以上武装押运。
2.已制定押运途中突发事件处置预案。
3.押运员熟悉突发事件押运处置预案、责任分工明确。
4.押运员押运操作行为规范,警惕性较高。
5.运钞登记手续齐全。
6.押运员押运过程中穿防弹衣、戴头盔。
7.押运员站位能全方位警戒。
8.运钞车交接款停靠位置合理。
9.运钞停靠及交接款过程能够全程录像。
银行安全评估自查报告 65-2
10.运钞车内有通讯、报警、消防设备;11.押运过程中不曾有司机下车及车辆熄火现象;五.消防安全;1.建立了领导负责的逐级防火责任制;2.已明确逐级防火负责人职责、已明确岗位防火责任;3.已为本单位的消防安全提供必要的经费和组织保障;4.职工知道岗位责任区和岗位消防安全职责;5.设立兼职的防火安全人员;6.建立健全了各项消防安全制度;7.按照国家有关消防法律
10.运钞车内有通讯、报警、消防设备。
11.押运过程中不曾有司机下车及车辆熄火现象。
五.消防安全
1.建立了领导负责的逐级防火责任制。
2.已明确逐级防火负责人职责、已明确岗位防火责任人。
3.已为本单位的消防安全提供必要的经费和组织保障。
4.职工知道岗位责任区和岗位消防安全职责。
5.设立兼职的防火安全人员。
6.建立健全了各项消防安全制度。
7.按照国家有关消防法律法规及消防技术标准设置消防设施。
8.能保证消防设施、灭火器材完好有效。
9.能保证消防疏散通道畅通。
10.有消防安全检查、巡查,和消防安全就碍于培训记录。
11.对火灾能及时发现且发现后及时消除。
12.一年内组织开展消防安全宣传教育和培训在2次以上。
13.制定了灭火和应急疏散预案并定期组织演练。
14.建立健全了消防档案。
15.对建筑消防设施进行定期的消防检测。
六、计算机安全
(一)营业场所计算机安全
1.营业场所计算机室安装了防盗安全门并且与110报警服务台相连的紧急报警装置及入侵报警装置,能准确探测报警区域内门、窗、通道等重点部位的入侵事件。
(二)数据交换中心和数据处理中心安全
1.数据交换和处理中心计算机机房在建筑物内设置为独立区域。
2.独立设置的计算机中心进行封闭式管理且设置周界报警探测装置。
3.有专人值守、记录出入人员情况。
4.防水、防盗、监控、报警设施健全。
5.有备用电源且处于良好安好可用状态。
6.设立兼职计算机信息系统安全管理人员。
7.机房工作人员熟悉灭火、防水等相关操作。
8.有专门的设备档案备查资料。
9.能及时更换计算机的口令或密钥。
10.有防雷接地等必要防护。
11.机房有专用灭火设施。
12.成立了计算机信息系统安全保护领导小组切制定了计算机信息系统突发事件处置预案。
七、枪支弹药安全
1.已明确枪支管理责任,指定专人负责。
2.枪弹库出入口安装了防盗安全门、与110报警服务台相连的紧急报警装置和入侵报警装置。
3.有专用枪库和枪柜存放保管枪支弹药。
4.枪支、弹药分开存放,实行双人双锁。
5.建立了完善的持枪人员管理责任制度、枪支弹药保管领用制度和枪支安全责任制度,且能严格执行。
6.执行守押任务完毕后,及时交还枪支弹药。
7.持枪人员配发持枪证件。
8.持枪人员定期进行培训。
9.携带枪支时随身携带持枪证件。
10.非执行守押任务时,未携带枪支弹药。
八、案件防范
1.一年内对员工进行法律法规教育以及业务规范学习在2次以上。
2.两年内我行无内部人员违法犯罪。
3.两年内发生的我行无盗抢案件。
4.两年内我行无重特大盗抢案件。
5.两年内我行无因渎职或违规操作等引发诈骗案件。
6.我行严格执行身份证联网核查制度。
7.我行有防范案件预案。
8.我行严格执行相关案件报告制度规定。
9.我行及时向员工开展案例警示教育。
10.我行严格执行有关业务操作安全的各项规章制度,严格执行各项业务操作程序。
九、安全保卫基础工作
1.单位负责人定期召开会议研究安全保卫工作,查找安全防范工作隐患并研究解决问题;保卫工作有领导班子成员分管。
2.我行设立了专职保卫机构。
3.营业场所配置了专职保卫人员。
4.我行安全防范设施建设资金不存在重大缺口。
5.我行建立了保卫工作考核、评比和奖惩机制。
6.我行开展了安全检查、考核、评比工作,且奖惩分明。
7.对公安机关、银监部门和上级单位安全检查中发现的问题,我行作出及时整改。
8.我行不断完善和健全安全防范规章制度,及处置突发事件预案。
9.我行按时签订各级治安保卫责任书。
10.营业场所有日常安全检查记录。
11.业务库门钥匙和密码执行单线交换、分别保管。
12.我行员工能够熟练操作本岗位所需掌握的自卫器材和消防器材,了解安全防范制度,熟悉本岗位应急预案处置方法。 通过此次安全评估自查,使我行员工进一步提高了相关的安全防范意识,从而将安保工作责任到人、落实到位。今后我行将加大对安
全教育的学习力度,做到警钟长鸣、防患于未然,为我行的健康发展提供有力的安全保障,确保我行各项生产经营持续、安全的运行。
农行察雅县支行 2011-11-15
第二篇:AAA网上银行安全评估报告_系统平台安全评估结果
第十一章 系统平台安全评估结果
11.1 系统平台安全评估结果汇总与分析
首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估,然后综合各部分评估结果形成网上银行系统平台安全评估结果,具体评估结果见下表:
通过网上银行系统平台安全评估结果,AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。
好的方面主要表现在以下几个方面:
1) 运行维护方面:
建立了完整的日志及审计机制,日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。
在网银系统的Internet入口部署了IDS,可以及时监测流量突发事件和事件源头。
目前网络管理主要使用加密的SSH和HTTPS,加密的数据传输对嗅探攻击相对安全。
网上银行技术支持小组及时了解、分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。
网络设备的OS与配置文件有管理员备份和保管。
2) 网络设备安全方面:
网络设备有统一的安全配置规范。例如:IOS版本版本生机到高版本,设备口令加密存储,停止无用服务等。
网络设备的管理制度与执行符合安全性要求。
3) 安全域划分方面:
划分了合理的安全域,Internet区、DMZ区、Trusted区、Intranet区、安全管理区。
4) 网络安全控制方面:
网上银行在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。
系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等。
网上银行网络进行分段,通过交换器连接各段,把网络分成若干IP子网,各子网通过防火墙连接并控制各子网间的访问。
5) 安全管理方面:
机房的物理环境和管理方面为专业的机房托管服务商提供。
安全管理的策略建立方面做得比较详细,从识别安全风险到制定控制框架都考虑的很全面,并且针对各业务流程、操作和管理流程都制定了详细的控制方法和要求。
不足之处主要表现在以下几个方面:
1) 机房管理区域网络接入的控制不够严格,其他无关人员可能私自接入到业务网络中。
2) 网上银行系统网络没有建立统一时钟服务,不能保证主机、设备时钟同步,在日志分析中会有很多的困扰。
3) 网上银行系统设备基本为静态密码,因此面临着暴力破解的危险。
4) 没有部署专业的备份软件与磁带库设备,不能完善数据的增量备份、差分备份等,备份系统自动化程度低。
建议近期重点从如下几个方面进行改进:
1) 严格限制机房管理区域网络接入的控制,严格执行AAA银行的《计算机系统管理内控制度》中的“机房管理”规范。
2) 建立NTP统一时钟服务,保证主机、设备可以通过配置NTP服务器进行时钟同步,可以帮助安全事件的分析和作为追踪事件源的依据。
3) 建议配置动态口令认证机制,降低设备口令被暴力破解的风险。
4) 建议部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。
11.2 系统平台安全评估结果详细描述
11.2.1 物理环境安全
11.2.1.1 物理环境
1) AAA网银系统平台的运行环境在万国数据(GDS)的机房内托管,GDS机房的环境是按照国家A类机房的标准进行建设的,在防火、防潮、防静电、防盗、电源安全等方面都能够满足国家A类机房的标准。
2) 在《AAA中国网上银行系统安全策略》和《中国资讯科技中心操作规程》中明确制定了对生产环境和机房物理环境的安全要求。
3) 数据中心作为存放银行所有电子设备和业务数据的地点,必须具备足够的抵抗自然灾害的能力。
4) 为防止火灾,机房大楼内安装有烟雾探测器和灭火系统。
5) 由于电子设备对环境温度要求比较高,机房内配备双重冷暖空调,确保环境温度在18-24摄氏度左右。
6) 机房内配备两台不间断稳压电源,确保系统在断电状态下继续工作24小时以上。
7) 机房内安装有视频监视系统,通过CCTV监控机房入口和机房内不同区域,一旦发现异常活动立即报警。
8) GDS万国数据中心能够提供符合国家标准的机房环境,包含符合灾难备份原则的机房选址、具备高抗震指标、高承重提升地板的物理建筑,具备多路专线供电线路、长延时冗余UPS系统、备用发电机组、专业精密空调系统以及气体灭火系统等各种基础设施,具备7 x 24小时的严格出入授权控制和7 x 24小时的监控录像措施和严格的管理规范。
9) 对于进入机房的维护工作有严格的申请规定,并且对访问时间和人数进行了控制,在访问机房的过程中,有专人全程陪同。
10) AAA的机房区域与其他托管公司的机房有独立的区域,具备很好的隔离措施。
11) 对网银平台设备的维护工作只能在GDS的管理区域进行操作,不能通过远程访问的方式进行维护。
问题分析:
AAA的网银系统在机房的物理环境和管理方面采用了外包托管给专业服务商的方式,并且该服务商在业内拥有较高的声誉和很好的服务质量,因此在物理环境管理方面基本可以符合要求。但在维护区域的网络接入控制上仍有提高的空间。
评价结果:
建议措施:
建议加强对管理区域网络接入的控制,防止其他无关人员私自接入到业务网络中。
11.2.1.2 设备安全
1) 所有的服务器、网络设备、安全设备和存储设备都托管在GDS机房中,人员的机房进出有严格的控制,并且有24小时的监控录像,基本能够保证不会有外来人员对设备进行破坏。
2) 所有的人员访问,包括外来人员和厂商的维护人员都有专人进行全程陪同,防止外来人员对设备进行意外的破坏。
3) 所有设备都是安装在机柜中,机柜要求上锁,所有的线路都是采用顶棚布线的方式并且有防护罩对线路进行保护。
4) 《网上银行安全策略》中对设备的强壮性也进行了要求。
5) 所有电子设备均向信誉卓著的厂商如SUN,CISCO,IBM等购买,以确保设备本身性能优良。
6) 每个关键设备,如WEB服务器等均配备有备份系统。
7) 每个关键设备的关键元件配备冗余元件,如硬盘均配备有镜像磁盘。
问题分析:
由于是在专业的机房托管服务商处进行管理,并且重要的设备都配备了冗余或备件,所以对于设备安全保护工作基本能够满足现在的需要。
评价结果:
建议措施:无。
11.2.1.3 介质安全
1) AAA网银系统所使用的介质资源主要是用于备份的磁带,磁带在做完备份后首先会保存在GDS运维区域的保险柜中,定期有专人将磁带转移回公司。
2) 《网上银行安全策略》中规定每个备份磁带贴上标签以后仔细保存在安全的地方。
3) 磁带的保管由安全部门负责,所有的磁带介质都将采上海市内的取异地存放的方式保存。
问题分析:
对于磁带介质的安全保管,AAA采取专人、异地、并使用保险箱进行保存,在很大程度上确保了数据的安全,但同城存放使抵御灾难的能力不够强。
评价结果:
建议措施:
1) 网银系统的客户数据和交易数据作为AAA的最重要信息资产,但靠一份磁带备份很难确保其最大的安全性,建议可以采取远距离异地双重备份的方式提高数据介质的高可用性。
11.2.2 网络平台安全
11.2.2.1 网络及边界安全
1) AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持,利用服务器群集技术完成HA和LB。
2) 网银系统到Internet分别通过电信和网通的链路连接,做到了链路备份与负载均衡。
3) 系统与Internet之间设置了防火墙,对Internet用户访问系统实施了访问控制,减少了来自Internet 的威胁。
4) 系统在Internet出口处部署了IPS,对来自Internet的网络访问行为进行监控和防护。
5) 交换机在口令配置、使用协议和服务管理等方面进行了一定的安全配置。
问题分析:
AAA网银系统网络在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。但网银系统网络没有为主机、网络设备、安全设备提供统一的时钟,保证网银系统时钟的统一和正确。统一的时钟可以保证各设备的日志是同时产生的,有利于事后追查对时间的定位;缺乏网管系统,在网络管理方面主要使用手工登录的管理方式。
评价结果:
建议措施:
l 考虑到各类设备较多,管理员对设备的管理采用手工方式效率较低,建议引进网管软件。
l 建议网银系统网络建立统一时钟服务,保证主机、设备可以通过配置NTP服务器进行时钟同步。
11.2.2.2 网络系统安全设计
1) 边缘路由器和防火墙之间的网络地址使用Internet保留的私有地址,可以保证从Internet不可以直接访问到路由器的对内网络和防火墙的对外网口。
2) 网银系统各相临网段之间(直连路由)可以互相访问,跨网段(非相临网段)路由不可达。
3) 关键主机部署了主机入侵防护产品,能提供攻击防护、终端控制和安全事件监控和审计等功能以确认网银系统多个服务器的完整性和策略依从。
4) 关键主机部署了一致性管理和漏洞评估产品,主要是确保公司符合严格的使用标准,发现尚未安装的补丁等系统漏洞并指导用户快速修复,从而避免许多代价昂贵的安全问题。
5) 部署了日志审计软件,便于安全事件的检测和存储,可以帮助安全事件的分析和作为追踪事件源的依据。
问题分析:
网上银行安全系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等;同时对网络进行分段,通过交换器连接各段,把网络分成若干IP子网,各子网通过防火墙连接并控制各子网间的访问。
评价结果:
建议措施:无
11.2.2.3 网络访问控制
1) 网银系统网络划分了合理的安全域,包括:
l Internet区—网银用户所在区域;
l DMZ区—网银系统WEB服务器、短信网关服务器、证书服务器所在区域;
l Trusted区—网银系统核心业务区;
l Intranet区—用户的内部网络,网银内部管理柜员从此网段访问内部管理系统;
l 安全管理区—防火墙、日志审计、漏洞扫描等安全管理服务器所在区域。
2) 各安全域有明确的边界,各安全域之间采用了合理的控制措施和安全策略。
3) 在防火墙的安全规则中禁止来自边缘路由器各端口对内、外层防火墙各端口的访问,即使边缘路由器被攻破,也可以防止来自边缘路由器的攻击。
问题分析:
网银系统网络结构合理,总体逻辑清晰,各安全域之间的安全策略控制有较好的细粒度,防火墙策略变更时遵循《网上银行安全策略》,可以防止防火墙策略变更时不会产生安全策略限制不严的情况但没有明确定义常见的蠕虫端口进行策略限制。
评价结果:
建议措施:
定义蠕虫传播端口,增加这些端口的Deny策略。
11.2.2.4 网络安全检测分析
1) 路由器、交换机和防火墙的帐号与密码采用了高强度的密码机制,并且启用了加密保护机制,配置了强加密的特权密码enable secret。
2) 网络设置了CONSOLE 口管理的密码控制机制,禁用了SNMP服务。
3) 路由器、交换机禁止HTTP服务管理功能,防火墙禁用了外网口的远程管理,系统管理登录连续失败4次进行帐号锁定,系统访问超时自动退出等安全措施。
4) 网络设备均禁用了不必要的系统服务。
5) 对网络系统设备的配置文件进行了完整的备份,由管理员保管。
6) 交换机和路由器没有通过访问控制列表做防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制等,通过防火墙来完成这方面的控制。
7) 网络设备更改了默认的系统日志配置信息,通过专业的日志分析软件(RSA Intrusion Log Server)进行日志收集与分析。
问题分析:
网络设备的安全进行了比较全面的安全配置,对日志进行专业的分析。
评价结果:
建议措施:
不能完全依靠管理员来完成配置文件的备份,建议设置专用的网络设备OS和配置文件备份服务器。
11.2.2.5 网络连接
1) AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持,利用F5完成了网络层面的HA和LB。
2) AAA网银系统网络与Internet通过电信和网通链路联接。
3) 网银系统与核心业务服务器通过局域网联结,使用防火墙逻辑隔离。
4) 网银系统与柜员、OA等系统的联接为DDN,使用使用防火墙逻辑隔离。
5) 网络安全管理平台和其他网络之间使用防火墙逻辑隔离。
问题分析:
AAA网银系统平台端的网络均为双链路,可以保证网络连接的可靠性,防火墙配置了严格的安全策略,可以保证所有网络连接数据通信的合法性,同时可以防止蠕虫病毒的泛滥,较好地预防了可能发起对网银系统的DOS/DDOS攻击。
评价结果:
建议措施:
明确定义蠕虫传播端口,增加这些端口在防火墙是上的Deny策略。
11.2.2.6 网络可用性
1) AAA网银系统网络全为双链路冗于,采用F5-BIG- LTM-6400- 4GB-RS做负载均衡与链路备份。
2) 网络设备采用心跳线同步用户会话,保证网银系统在做链路切换时对用户透明。
3) 通过防火墙完成防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制。
问题分析: AAA网银用户可以通过电信或网通的数据链路访问网银系统,网银系统的局域网也是双链路到服务器,确保业务的不间断服务。
评价结果:
建议措施:无。
11.2.2.7 网络设备的安全管理与配置
1) CONSOLE口管理的具有密码控制机制,远程管理只能通过固定的网段登陆,而且设置的密码足够强壮。
2) 禁止HTTP服务功能,禁用了SNMP服务。
3) 防火墙的管理方式为SSH和HTTPS,密码设置符合复杂性要求,防火墙策略的变更有完整的控制机制:
l 提前一周将修改后防火墙规则书面送交安全管理小组;
l 网上银行技术支援小组负责更新规则;
l 防火墙网关自动检查规则文件并记录进改变日志文件中;
l 安全管理员登录系统检查日志文件;
l 如果日志文件经过备份后不再需要,安全管理员定期删除日志文件。
4) 网络设备的OS与配置文件由设备管理员进行了完全的备份。
问题分析: 网络设备的管理基本符合安全性要求,但设备的口令为静态口令,存在暴力破解的风险。另外网络设备的OS与配置没有专用的备份服务器。
评价结果:
建议措施:
l 建议配置网络设备动态口令认证机制;
l 建议设置专用的OS和配置文件备份服务器。
11.2.3 操作系统/平台安全
11.2.3.1 帐号安全
1) 操作系统的帐号被严格限制,对于系统中默认的用户和安装应用增加无用帐户采取了锁定或禁用的方式,仅新建并保留有限的管理帐户(包括root帐户)。
2) 当系统上线后,所有的用户密码将使用专用的密码生成器生成,保证密码的安全度,防止被有规律的猜解。
3) 系统的远程管理使用SSH方式登录,禁用了系统telnet服务,确保了登录过程中数据的安全性。
4) 系统本身对帐户密码的长度、复杂度和更换时间进行了限制,同时AAA的《网上银行安全策略》中对帐户密码的安全设置和管理要求进行了规定。
5) AAA中国网上银行的UNIX主机和NT服务器的超级用户密码将由AAA中国网上银行技术支援小组和安全管理员共同设置。密码长度不少于8位,前4位由技术支援小组设置和掌握,后4位由安全管理员设置和掌握,所有需要使用超级用户密码操作权限的工作都需要由技术支援小组成员和安全管理员共同输入密码后,由技术支援小组人员进行操作。密码每个月必须更换一次,2个小组的成员在更改密码之后分别将自己那部分密码密封,交由CITC经理保存,以备紧急之用。
问题分析:
操作系统平台的帐户和口令管理在制度和落实的方面都做得非常详细,对帐户口令的长度、复杂度、使用期限和安全保护等方面都已经完全能够满足需要。
评价结果:
建议措施:
如果能够对root用户的远程登录进行控制,并对那些普通用户和以su到root用户的权限进行控制的话会使增加系统帐号访问的安全性。
11.2.3.2 文件系统安全
1) Solaris操作系统使用UFS系统文件格式。
2) 系统的/etc目录下文件的读写权限进行了严格分配,并且当用户登录时使用了安全的环境变量设置。
3) 包括对用户帐户、密码文件,crontab计划任务文件等重要系统文件的修改和访问权限也进行了严格的控制,防止被恶意入侵者非法读取或修改。
4) 对于安装的应用程序,如Oracle的文件安装目录的访问权限也进行了严格控制。
5) 现在并未建立对系统帐号和权限分配的定期检查机制。
问题分析:
由于没有建立对帐号和权限的定期检查机制,对于文件权限的改变不能及时的发现,如果在维护的过程中被不小心修改,或当有恶意入侵者修改了文件权限的话就不能及时了解到当前所面临的安全威胁。
评价结果:
建议措施:
建议增加对帐号和权限的定期检查机制,制定定期的检查,可以采取人工方式检查或工具检查的方式进行。
11.2.3.3 网络服务安全
1) 操作系统关闭了Telnet远程管理服务,使用SSHv2的方式进行远程管理。
2) 禁用了系统自带的FTP服务,使用更加安全的SFTP服务提供文件传输的服务。
3) 服务器进行基本的加固服务,禁用了系统中各种无用而默认开启的网络服务,如SNMP、Sendmail、name、uucp等服务。
4) 没有开启rlogin或rsh等远程登录的访问访问服务。
5) 开启了NTP服务,设置统一的NTP服务器保证系统时间的统一和准确。
6) 禁用了X终端的登录。
问题分析:
当前的操作系统对无用的网络服务都已关闭,对于已开启的网络服务业都采取了加密的方式传输数据,即能够保证数据的安全性,有效的降低了开启无用服务带来的潜在安全隐患。
评价结果:
建议措施:无
11.2.3.4 系统访问控制
1) 系统禁用了X终端的登录方式,采用SSH的方式进行远程管理。
2) 对于系统访问登录的尝试次数和空闲时间都进行限制,多次登录失败后会自动断开连接,或者空闲时间超时也会自动断开连接。
3) 主机没有对访问IP的连接进行限制。由于是在封闭的小范围内部网络中,不限制访问IP对系统安全的影响不大。
4) 主机本身没有开启防火墙,所有的外来访问控制都是通过外部的专用防火墙进行控制。
5) 主机上的文件系统对用户访问的权限也进行了较好的控制,防止其他用户对重要系统文件的非法访问。
问题分析:
采用SSH的加密方式对系统进行远程管理可以有效的保证数据的安全性,使用防火墙也能够有效的控制外来的对系统的非法访问,只是对系统文件访问的权限控制要想做到严格的控制还是有一定的难度。
评价结果:
建议措施:
建议在系统本身增加对系统访问IP的控制,虽然现在使用防火墙对外部向内部的访问进行了控制,但无法对本网段设备的访问进行控制。
11.2.3.5 日志及监控审计
1) 操作系统开启了基本的日志审计功能,包括记录登录行为、告警、认证、邮件、通知等日志。
2) 所有的日志记录信息都会存储在专用的日志服务器上,采取统一管理的方式确保日志文件的安全,并未使用加密的方式保存日志。
3) 对于日志的保存期限尚没有严格的规定,现在的情况是如果存储的空间不足则会根据需要删除过去最早的日志文件来释放磁盘空间。
4) 为监控可能的入侵活动,安全管理员将会每天分析所有防火墙和UNIX服务器上的日志文件。同时,中国总部将会分析应用日志报表。管理层将会定期地召开安全会议,一旦发生迹象明显的入侵攻击活动,安全管理员将要求召开安全会议。AAA内部稽核部门也会对安全政策实施内部稽核,并向管理层递交稽核报告。
5) 系统缺少实时监控的手段,没有网管、系统管理或SOC等工具帮助监控,只有人工定期会对系统的运行状态进行巡检。
问题分析:
在日志的记录方面能够记录的比较详细,并且采取了集中保存的方式保障的日志文件的安全性,防止篡改;对采集到的安全日志进行分析能够较早的发现系统的安全问题和入侵隐患。
没有系统监控设备,无法及时有效的了解系统的运行状态和安全现状,虽然采取了人工或手工方式进行弥补,但效果并不如使用监控软件明显。
评价结果:
建议措施:
建议建立SOC一类的管理工具加强对审计日志的及时分析和对系统状态的实时监控,既能有效了解当前系统的安全状态,也能够及早的发现并预防潜在的安全隐患。
11.2.3.6 拒绝服务保护
1) 操作系统本身进行了基本的抵御拒绝服务攻击的配置,使用Solaris的安全增强工具。
2) 在对外访问方面是通过防火墙进行保护DOS攻击,并且部署了IDS设备及时发现来自外部网络的恶意攻击。
3) 无论是WEB服务器还是后台应用和数据库服务器都是使用双机冗余或2台设备同时提供服务的方式,以降低DOS攻击对业务造成的影响。
问题分析:
无论是在系统本身的防护方面还是在外部的保护方面,对DOS的攻击基本防护都已做到,并且除WEB设备之外都是在独立的内部网络中运行,DOS的影响不大,但毕竟对DOS攻击的防护是很难保证完全抵御的。
评价结果:
建议措施:无
11.2.3.7 补丁管理
1) 目前AAA网银系统的各平台主机操作系统都是安装的最新版本的操作系统和应用软件,并且所有的补丁也都是最新的。
2) 在AAA《网上银行安全策略》中对软件补丁的管理做了要求。
3) AAA中国网上银行技术支持小组应及时了解,分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。
4) 对于新的补丁在已经上线运行的主机上通常不会马上安装,只有必须更新的补丁才会在进行足够的安全和稳定性测试之后,更新到服务器上。
问题分析:
现在的补丁管理策略虽然明确了主要的工作目标和要求,但具体的规定不够详细和具体。并且现在AAA缺少足够的条件对补丁在更新前进行全面的测试。
评价结果:
建议措施:
由于网银业务是需要提供高可用的在线业务,系统中断对业务的影响非常大,所以建议在更新系统补丁之前一定要做好全面的兼容性和稳定性测试工作。
11.2.3.8 病毒及恶意代码防护
1) AAA网上银行系统所使用的服务器系统现在都是UNIX系统,遭到病毒侵害的几率较低,因此服务器本身没有安装防病毒的软件。
2) 在《网上银行安全策略》中有针对系统病毒控制方面的说明,其中没有要求系统安装防病毒软件,但要求使用诺顿检测程序确保服务器上数据的完整性。
3) 服务器管理方面没有对恶意代码防护的要求,在外部网络接入处使用IDS和防火墙对网络中传播的病毒和恶意代码进行过滤,防止传播到内网。
问题分析:
基于网银系统设备都是部署在有IDS和防火墙隔离的单独网络中的现状,同时使用的是UNIX操作系统,病毒对系统的危害并不十分严重,因为针对UNIX病毒的非常少。但现在缺少对恶意代码的监控和防范,恶意代码可以通过人为或借助系统漏洞的方式传播到操作系统上,形式更为隐蔽,难于发现。
评价结果:
建议措施:
加强对恶意代码的监控和防范,可以使用一些智能的检测工具或对向系统中传送的代码进行严格的分析,及时修补系统中存在的漏洞,虽然对恶意代码的防范比较困难,但应尽量降低恶意代码可能对系统造成的威胁。
11.2.3.9 系统备份与恢复
1) AAA《网上银行安全策略》中在系统运行安全部分专门针对备份和恢复方面的内容做了要求。
2) 必须对程序和数据按照事先规定的频率和周期进行足够的备份,每个备份磁带贴上标签以后仔细保存在安全的地方。
3) 所有可能影响到客户服务和内部运作的关键数据必须系统地备份下来,以保证在系统失败时能够提供基本服务。备份数据必须保存两个以上拷贝,其中一个应该放在数据中心附近以便出现紧急情况时就近恢复。另外的拷贝放在物理上相距较远的地方,禁止将所有拷贝放置于同一地点以免灾难发生时损坏所有备份。
4) 在《网上银行紧急应变计划》、《中国资讯科技中心操作规程》和《计算机系统备份和恢复管理制度》中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。
5) 但现在网银系统缺少对备份数据的验证和恢复性测试,无法保证备份的可靠性和有效性。
问题分析:
在操作系统的备份和恢复的策略制定和执行方面AAA做的还是比较全面的,但缺少对策略和数据的实质可用性测试,因此无法保证当故障发生时能够有效的进行恢复。
评价结果:
建议措施:
建议增加对应急计划的模拟演练,例如,每一年或半年演练一次,同时加强对备份数据可用性的测试,应当定期对备份数据进行有效的恢复性测试。
11.2.4 数据库系统安全
11.2.4.1 数据库帐号安全
1) 数据库帐号密码采用了高强度的密码机制(长度、复杂度要求)。
2) 数据库DBA的密码设置了定期更新策略,降低了DBA的密码被暴力破解的风险。
3) 关闭了数据库不必要的默认帐户和空口令帐户,防止无用帐户的非法连接请求。
4) 修改了数据库默认帐户的原始密码。
问题分析:
数据库平台的帐户和口令管理在制度和执行方面都做得非常细致,对帐户口令的长度、复杂度、使用期限和安全保护等方面都可以满足数据库帐号安全的要求。
评价结果:
建议措施:
保证数据库所在操作系统的安全性。
11.2.4.2 数据库访问控制
1) AAA数据库有详细的权限分配记录,权限分配控制在表访问粒度层面。
2) AAA数据库日常维护使用的帐户为特定的维护帐号,到对数据库的管理只能通过SSH访问数据所在主机来管理,没有配置数据库客户端管理工具。
3) AAA数据库只有一个数据库实体。
4) AAA数据库限制了普通用户对保存用户名和口令的数据库连接的访问,并限制普通用户对操作轨迹文件的访问。
5) 在应用开发方面明确要求不允许将用户 ID 和口令硬编码到数据库链接中,需要进行加密转换到应用程序的编码中。
问题分析:
AAA数据库的访问控制做到了面面俱到,符合安全性的要求。
评价结果:
建议措施:无。
11.2.4.3 存储过程安全
1) AAA网银系统数据库修补了DBMS_EXPORT_EXTENSION存储过程存在的PL/SQL注入漏洞,可以防止低权限用户以DBA权限执行任意SQL代码。
问题分析:
AAA技术人员应密切重视Oracle存储过程安全问题,预防存储过程出现的安全问题。
评价结果:
建议措施:
及时更新数据库补丁,防止未打补丁出现的安全问题。
11.2.4.4 补丁管理
1) 数据库为Oracle为最新的版本,Oracle的补丁也是更新到目前的最新版本。
2) 在AAA《网上银行安全策略》中对数据库补丁的管理做了明确的要求。
问题分析:
根据AAA《网上银行安全策略》要求,AAA中国网上银行技术支持小组会及时了解,分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400,Oracle等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统的无安全漏洞。
评价结果:
建议措施:
l 建立数据库补丁的测试流程,确保补丁对网上银行系统的兼容性和可用性。
l 建立数据库补丁的加载流程,一旦厂商发布安全补丁并通过测试对系统无影响后,立即进入补丁的加载流程。
11.2.4.5 系统备份与恢复
1) AAA网银系统使用STK的磁带机进行数据备份,每周一次全备份。
2) 使用磁带这种离线的备份方式,可以充分保证数据备份的安全性。
3) 根据设计要求,定期对备份数据进行恢复性测试,确保数据的可用性与完整性。
4) 在《网上银行紧急应变计划》、《中国资讯科技中心操作规程》和《计算机系统备份和恢复管理制度》中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。
问题分析:
AAA网银系统的备份方式可以充分保证备份数据的安全性与可恢复性;但不能实现数据的完全恢复,备份的自动化程度低,应考虑在数据全备份的基础是增加增量备份的备份策略,条件允许的情况下可以考虑异地灾备系统。
评价结果:
建议措施:
l 部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。
l 部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。
11.2.4.6 日志及监控审计
1) 在操作系统层面开启了数据库软件的日志记录与审计功能。
2) 在数据库层面的日志功能有:
l 开启了操作日志功能;
l 记录各种身份帐户的登录日志;
l 开启TNS监听器的日志记录。
3) AAA网银系统有专用的日志服务器长期保存数据库日志。
4) 使用专业的日志审计软件进行数据库日志的监控和审计。
问题分析:日志记录完整,并有专业的日志审计软件,但日志数据保存的时间没有明确的规定。
评价结果:
建议措施:
完善日志数据保存的时间安全管理策略,使安全事件的追溯做到有据可查。
11.2.5 应用系统安全
11.2.5.1 身份鉴别
AAA网银系统在客户的身份鉴别方面采取了多种安全控制手段,防止被他人盗用。
1) 唯一身份认证:通过唯一的用户昵称、唯一的用户手机号和唯一的证书表示用户身份,在系统活动过程中,代表用户身份的会话ID也是唯一的。
2) 网银安全问题:安全答案,提供了除密码之外的又一身份认证安全手段。
3) 手机动态密码验证:,网上银行平台将产生随机动态密码,并将此动态密码发送到用户的签约手机号上并用户在相关敏感交易页面输入正确的手机动态密码,交易才能完成。
4) U-KEY证书:每次使用U-KEY证书进行签名时,U-KEY都将提示输入U-KEY密码,从而阻止了U-KEY被窃导致证书私钥泄露的可能。
5) 使用证书的用户采用CA中心颁发的数字证书作为身份证明,通过网银的安全代理服务器进入到网银系统环境来。
6) 对于证书申请的流程,AAA也制定了较为完善的流程策略保证申请过程的安全可靠。
问题分析:
AAA的网银系统在用户身份鉴别方面的控制做的非常详细,无论在身份认证还是证书的申请流程,无论是技术方面的控制还是管理流程上的要求都能够满足当前网上银行交易业务在身份鉴别方面的安全要求。
评价结果:
建议措施:无。
11.2.5.2 访问控制
AAA网银系统采取了多种手段对客户登录系统进行了访问控制。
1) 防止多人登录:网上银行系统针禁止多人用同一用户昵称同时登录,保证了交易数据的唯一性。
2) 安全代理服务:AAA网上银行系统采用安全代理服务的方式,在客户端和AAA网上银行服务器间建立一个安全的SSL数据通道,只有持有证书的用户(包括商户客户和个人签约客户),才能登录到AAA网上银行系统进行交易。
3) 网银系统针对不同的客户类型限制了用户登录的界面和登录后拥有的权限,同时在系统登录页面,会产生图形格式的随机附加码,防止暴力破解。
4) 应用访问控制:系统只开放提供用户访问的接口,而且通过接口只能完成系统提供的功能,有效防范黑客请求。
5) 客户会话并发控制:网银系统能够控制客户会话的并发数目,当会话数量过大时,将采取排队的方式进行等候。
问题分析:
AAA的网银系统对用户的访问控制做了详细的策略和部署,既能保证正常用户的访问使用,又能在最大程度上防止用户恶意操作和黑客攻击对系统造成的影响,基本满足了安全的要求。
评价结果:
建议措施:无。
11.2.5.3 交易的安全性
AAA网银系统,为保证客户交易的安全采取了多种保护措施。
1) 针对目前已经多次出现的假冒银行网站骗取客户账号和密码的情况,AAA个人网银中加入网银预留信息,此预留信息是客户登录网银后留下个性化信息,假冒网站无法获取此信息,从而对客户进行了网站身份的标示。
2) AAA网上银行安全客户端控件,能有效的防治像“网银大盗”等木马程序与黑客病毒盗取AAA网上银行用户敏感信息,保护客户使用AAA网上银行的安全。
3) AAA网上银行系统将会通过检测网银用户的预留信息是否完善,是否有安全问题和安全答案,电子银行密码是否是简单数字序列,账户是否到柜面签约为更安全的手机认证和证书认证方式,实现对用户交易信息安全检测。
4) 采用交易签名与验证的的方式保证交易过程的安全,同时建立了完善的交易签名和验证流程。
问题分析:
AAA网银系统不仅考虑到了,客户端软件的安全,同时也考虑到了防止客户登录钓鱼或虚假网站给客户带来的损失。并且网银系统通过检查客户信息的安全有效性来验证客户身份的真实可靠。使用电子签名和证书的交易方式,较好的保证了交易过程的保密性和抗抵赖性。
评价结果:
建议措施:无。
11.2.5.4 数据的安全性
1) 安全代理服务:AAA网上银行系统采用安全代理服务的方式,在客户端和AAA网上银行服务器间建立一个安全的SSL数据通道。实现用户的证书身份认证和数据的签名和加密。以最大程度的保护交易系统的安全。
2) 使用证书的用户采用CA中心颁发的数字证书作为身份证明,通过网银的安全代理服务器进入到网银系统环境来。
3) 网上银行系统在数据传输过程中,将使用客户唯一的私钥进行加密签名。
4) 全部使用端到端的加密传输方式:客户数据通过F5上的SSL模块建立SSL通道实现数据加密;WEB服务器上的APACHE配置服务器证书,以F5作为client,同样通过建立F5和Apache之间的SSL通道实现数据加密;通过WebLogic9.2提供的插件mod_wl_ssl.so部署到Apache中,APP服务器上配置服务器证书,实现WEB与APP之间SSL通道加密;网银应用与NDS应用约定三重DES加密算法和密钥,在APP服务器和NDS应用的数据通路中,将账号、取款密码、电子银行密码、姓名、证件类型、证件号等信息加密;通过SSH实现与OA LAN的数据通道加密。
5) 只有APP服务器和数据库服务器之间由于是在同一网段内并且是Trusted Zone,没有进行传输数据流加密。
6) 系统对所有关键信息(如密码),都以加密成密文进行存储,防止内部柜员读取关键信息明文。
问题分析:
AAA的网银系统在整个交易流程中几乎都采取了加密的方式传输数据,尽量防止数据在传输过程中被监听或破译。同时对于重要的客户信息数据也采取了加密的方式进行保存,一定程度上降低了数据被破译和窃取的风险。
评价结果:
建议措施:
虽然APP服务器和数据库服务器同处于可信任的内部网络中,但仍然存在被内部人员获取交易数据的风险,建议加强该传输部分的加密工作或者严格控制员工对该网络的接入。
11.2.5.5 密码支持
1) 目前AAA电子银行密码采用的身份认证方式主要包括:卡号/账号+密码、别名+密码的方式。
2) 密码强度控制:AAA网上银行中密码中不允许出现用户的身份证件、电话号码、生日等经常使用的信息。
3) 密码输入失败次数控制:在用户登录时,输错若干次(系统可定义)电子银行密码,用户就会被冻结,次日系统自动解冻。
4) 手机动态密码验证:,网上银行平台将产生随机动态密码,并将此动态密码发送到用户的签约手机号上并用户在相关敏感交易页面输入正确的手机动态密码,交易才能完成。
5) U-KEY证书:每次使用U-KEY证书进行签名时,U-KEY都将提示输入U-KEY密码,从而阻止了U-KEY被窃导致证书私钥泄露的可能。
6) 网银安全问题:AAA个人网银通过网银安全问题和安全答案,提供了除密码之外的又一身份认证安全手段,安全问题和答案的认证方式更难以被破解,但是便利性也有部分程度下降。
问题分析:
AAA的网银系统对于用户密码的控制做的比较完善,除普通的密码验证外,还支持手机密码、U-KEY、提示问题等方式,从多个角度控制登录密码验证的安全性,一定程度上降低了用户登录信息被窃取所产生的安全风险。
评价结果:
建议措施:无。
11.2.5.6 异常处理
1) 网银系统的内部代码对于发生的错误有专门的处理模块防止出现的错误和回显的报错信息。对于无法处理的错误也会防止回显报错信息。
2) 转账时间戳:针对国内多家网上银行曾经出现过的因为客户误操作导致的重复提交转账交易请求的问题,AAA个人网银设计了转账时间戳这一安全手段,通过重复提交的交易,时间戳一定相同这一原理防止客户误操作导致重复提交转账请求。
3) 指定时间服务器,并且所有网上银行相关服务器将以此时间服务器的时间为准,各系统间通过约定协议获取时间服务器时间的方式,实现各服务器时间统一。防止时间不统一造成的异常故障。
4) 对于正常的信息流,网银系统将正常的进行处理,并且以配置文件定义信息数据结构的方式,把网银可以接收的信息流限制在一个约定的范围里,对于外界异常的信息流,将以抛弃处理,防止外界异常信息流对网银系统造成的危害。
问题分析:
AAA的网银系统对部分业务操作中可能产生的异常故障采取了一些解决手段和控制措施,但对系统本身的运行状态和故障缺少有效的监控和预防,没有对系统本身故障处理的应对方法。
评价结果:
建议措施:
建议加强现在对网银系统本身运行状态的监控和对可能出现的异常故障的解决能力,如,遇到系统进程死掉,系统自动重启或双机切换的方式。
11.2.5.7 输入输出合法性
1) 在《AAA网银系统总体架构设计》中明确要求对转账类交易的付款账号进行交易账户校验,确保用户使用自己的账户进行交易、防止用户通过伪造表单的方式提交不属于自己的账号、防止用户中木马后在不知情的情况下被修改交易账户。
2) AAA网上银行系统中,对相关动账交易中涉及的账户都会进行账户权限校验,包括校验账户是否有相关交易权限,校验用户是否有操作账户的权限等。
3) 通过对帐户限额控制,控制用户在进行各种交易时能够使用金额的额度。
问题分析:
AAA网银系统通过对各种帐号有效性的确认,权限控制和额度控制等手段,在一定程度上满足了控制部分输入数据的合法性。但系统并未发现对输出数据合法性的的控制和要求,这样有可能会对用户或恶意人员泄露重要的系统信息或客户信息。
评价结果:
建议措施:
建议在系统中增加对数据数据合法性的控制手段,如,系统报错的回显,用户查询结果的反馈等,应当确保不会出现泄漏系统信息或额外的数据结果的情况,降低暴露系统漏洞或泄漏客户信息带来的安全风险。
11.2.5.8 备份与故障恢复
1) AAA《网上银行安全策略》中在系统运行安全部分专门针对备份和恢复方面的内容做了要求。
2) 必须对程序和数据按照事先规定的频率和周期进行足够的备份,每个备份磁带贴上标签以后仔细保存在安全的地方。
3) 所有可能影响到客户服务和内部运作的关键数据必须系统地备份下来,以保证在系统失败时能够提供基本服务。备份数据必须保存两个以上拷贝,其中一个应该放在数据中心附近以便出现紧急情况时就近恢复。另外的拷贝放在物理上相距较远的地方,禁止将所有拷贝放置于同一地点以免灾难发生时损坏所有备份。
4) 在《网上银行紧急应变计划》、《中国资讯科技中心操作规程》和《计算机系统备份和恢复管理制度》中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。
5) 但现在网银系统缺少对备份数据的验证和恢复性测试,无法保证备份的可用性和有效性。
问题分析:
网银系统的备份和恢复的策略制定和执行方面AAA做的还是比较全面的,但缺少对已制定策略和对数据的实质可用性的测试,因此无法保证当故障发生时能够及时、有效的进行恢复。
评价结果:
建议措施:
建议增加对故障恢复计划的模拟演练,例如,每一年或半年演练一次,同时加强对系统备份数据和客户备份数据的可用性测试,并应当定期对重要的备份数据进行有效的恢复性测试,确保在进行数据恢复时能够恢复成功。
11.2.5.9 安全审计
1) AAA网上银行系统具有完备的日志审计功能。用户每次登录、退出及用户的每次交易都会产生一个完整的审计信息,并进行记录。方便日后的查询、核对等各项工作。
2) 关键交易的签名信息可以通过标准格式,输出到审计日志库中去,接受审计管理人员的统一管理。
3) 除了操作系统或系统软件本身提供的日志文件以外,AAA中国网上银行系统还提供了详尽的应用日志文件,系统将从应用日志文件读取数据,进一步格式化生成不同的报表,和UNIX系统日志,防火墙日志,主机日志一起形成复杂的安全防线,所有不寻常的交易,成功的或失败的,都会被系统记录归档以备稽核。
4) 为了监控和及时发现所有异常交易,系统每天都会提供一系列跟踪报表。所有用户的登录标识,交易明细,处理结果等将记录在交易明细报表中。系统自动提取异常交易,生成例外报表供银行审核。
问题分析:
AAA的网银系统在记录日志和审计方面控制的比较详细,能够记录大部分的业务交易数据,并且形成标准的日志格式,便于分析、统计和整理。同时做到了对审计日志的及时分析,防止异常的安全事件发生,并及时处理异常事件。
评价结果:
建议措施:无。
11.2.5.10 资源利用
1) AAA网银系统使用WEB服务器处理静态资源,由于WEB服务器比J2EE服务器的效率要高的多,使用WEB服务器处理这类请求能够大大提高网银系统的响应速度。
2) 网银系统为避免过多的占用系统资源,以及从安全的角度考虑,系统中的Session会话采取了过期失效的方式防止垃圾Session的在内存中堆积而占用系统资源。
3) 交易链路的SSL安全加密都是使用F5 SSL服务模块的硬件加速卡,加解密运算全部由硬件完成,减少了应用服务器的CPU资源占用。
4) 在对用户访问系统的资源分配方面没有使用分级的方式,所有用户使用的系统资源都是平均分配的。
5) 在《项目信息(网银生产环境)》中有详细的要求规定了哪些业务、程序、功能需要分配多少磁盘和存储空间,并且制定了容量管理方面的规划。
问题分析:
AAA的网银系统在优化系统应用、优化系统性能和调配系统资源降低服务器压力方面采取了一些控制措施,但在对系统存储空间的使用方面缺少明确的规定,采取的控制还是依靠以往的经验来做。
评价结果:
建议措施:
现在的资源管理工作主要是针对系统支撑平台和业务系统本身功能的要求和技术控制,可以在系统中增加对客户业务操作方面的资源分配控制,对不同级别的客户,不同级别的业务操作分配不同的系统资源来优化网银系统的性能。
11.2.5.11 安全管理
1) AAA建立了《AAA中国网上银行系统安全策略》其中详细制定了网银系统安全管理和安全技术控制方面的各项要求。
2) AAA从风险的特点、风险的来源和风险的分类等方面详细分析了网上银行可能面临的安全风险。
3) 建立了网上银行安全系统架构,其中明确了网上银行安全体系业务架构、网上银行安全管理体系、网上银行风险管理策略、网上银行基础网络架构的安全策略和设计方法。
4) 针对网上银行的交易安全、业务组件安全、安全控制和生产环境安全等方面都制定了较为详细的控制策略。
问题分析:
AAA在网银系统安全管理的策略建立方面做得比较详细,从识别安全风险到制定控制框架都考虑的很全面,并且针对各业务流程、操作和管理流程都制定了更加详细的控制方法和要求。
评价结果:
建议措施:
为了能够让已经建立的安全管理体系和策略更加有效的运行,需要将策略中指定的规定有效的贯彻落实下去,让各管理的流程有效的运行起来,同时为保证策略的持续有效性,应当定期对现有策略的适用性和执行的有效性进行检查,并不断改进和完善安全管理的策略,建立良好的PDCA循环。