当前位置:文档之家 › 网上银行安全评估报告

网上银行安全评估报告

  • 格式:docx
  • 大小:54.79 KB
  • 文档页数:43

下载文档原格式

  / 43
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第十一章系统平台安全评估结果

11.1 系统平台安全评估结果汇总与分析

首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估,然后综合各部分评估结果形成网上银行系统平台安全评估结果,具体评估结果见下表:

通过网上银行系统平台安全评估结果,AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。

好的方面主要表现在以下几个方面:

1)运行维护方面:

建立了完整的日志及审计机制,日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。

在网银系统的Internet入口部署了IDS,可以及时监测流量突发事件和事件源头。

目前网络管理主要使用加密的SSH和HTTPS,加密的数据传输

对嗅探攻击相对安全。

网上银行技术支持小组及时了解、分析研究各系统软件(包括Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。

网络设备的OS与配置文件有管理员备份和保管。

2)网络设备安全方面:

网络设备有统一的安全配置规范。例如:IOS版本版本生机到高版本,设备口令加密存储,停止无用服务等。

网络设备的管理制度与执行符合安全性要求。

3)安全域划分方面:

划分了合理的安全域,Internet区、DMZ区、Trusted区、Intranet区、安全管理区。

4)网络安全控制方面:

网上银行在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。

系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等。

网上银行网络进行分段,通过交换器连接各段,把网络分成若干

IP子网,各子网通过防火墙连接并控制各子网间的访问。

5)安全管理方面:

机房的物理环境和管理方面为专业的机房托管服务商提供。

安全管理的策略建立方面做得比较详细,从识别安全风险到制定控制框架都考虑的很全面,并且针对各业务流程、操作和管理流程都制定了详细的控制方法和要求。

不足之处主要表现在以下几个方面:

1)机房管理区域网络接入的控制不够严格,其他无关人员可能私自接入到业务网络中。

2)网上银行系统网络没有建立统一时钟服务,不能保证主机、设备时钟同步,在日志分析中会有很多的困扰。

3)网上银行系统设备基本为静态密码,因此面临着暴力破解的危险。

4)没有部署专业的备份软件与磁带库设备,不能完善数据的增量备份、差分备份等,备份系统自动化程度低。

建议近期重点从如下几个方面进行改进:

1)严格限制机房管理区域网络接入的控制,严格执行AAA银行的《计算机系统管理内控制度》中的“机房管理”规范。

2)建立NTP统一时钟服务,保证主机、设备可以通过配置NTP 服务器进行时钟同步,可以帮助安全事件的分析和作为追踪事件源的依据。

3)建议配置动态口令认证机制,降低设备口令被暴力破解的风

险。

4)建议部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。

11.2 系统平台安全评估结果详细描述

11.2.1物理环境安全

11.2.1.1 物理环境

1)A AA网银系统平台的运行环境在万国数据(GDS)的机房内托管,GDS机房的环境是按照国家A类机房的标准进行建设的,在防火、防潮、防静电、防盗、电源安全等方面都能够满足国家A类机房的标准。

2)在《AAA中国网上银行系统安全策略》和《中国资讯科技中心操作规程》中明确制定了对生产环境和机房物理环境的安全要求。

3)数据中心作为存放银行所有电子设备和业务数据的地点,必须具备足够的抵抗自然灾害的能力。

4)为防止火灾,机房大楼内安装有烟雾探测器和灭火系统。

5)由于电子设备对环境温度要求比较高,机房内配备双重冷暖空调,确保环境温度在18-24摄氏度左右。

6)机房内配备两台不间断稳压电源,确保系统在断电状态下继续工作24小时以上。

7)机房内安装有视频监视系统,通过CCTV监控机房入口和机房内不同区域,一旦发现异常活动立即报警。

8)G DS万国数据中心能够提供符合国家标准的机房环境,包含符合灾难备份原则的机房选址、具备高抗震指标、高承重提升地板的物理建筑,具备多路专线供电线路、长延时冗余UPS系统、备用发电机组、专业精密空调系统以及气体灭火系统等各种基础设施,具备7 x 24小时的严格出入授权控制和7 x 24小时的监控录像措施和严格的管理规范。

9)对于进入机房的维护工作有严格的申请规定,并且对访问时间和人数进行了控制,在访问机房的过程中,有专人全程陪同。

10)AAA的机房区域与其他托管公司的机房有独立的区域,具备很好的隔离措施。

11)对网银平台设备的维护工作只能在GDS的管理区域进行操作,不能通过远程访问的方式进行维护。

问题分析:

AAA的网银系统在机房的物理环境和管理方面采用了外包托管给专业服务商的方式,并且该服务商在业内拥有较高的声誉和很好的服务质量,因此在物理环境管理方面基本可以符合要求。但在维护区域的网络接入控制上仍有提高的空间。

评价结果:

80-大部分符合

建议措施:

建议加强对管理区域网络接入的控制,防止其他无关人员私自接

合集下载

相关主题