非金融机构支付效劳业务平安性检测报告Word下载.docx
《非金融机构支付效劳业务平安性检测报告Word下载.docx》由会员分享,可在线阅读,更多相关《非金融机构支付效劳业务平安性检测报告Word下载.docx(22页珍藏版)》请在冰豆网上搜索。
依照检测大体要求描述整改前和整改后的检测证据及检测结果,关于不适用项要说明缘故及阻碍分析,结果判定为整改后的状态,整改前为“不符合”整改后变成“符合”的以“符合*”区分。
)
网络平安性检测
检测项编号
检测项
检测记录
结果判定
对应问题编号
结构安全
网络冗余和备份
1、访谈网络带宽及高峰期流量情况,采用的监控方式;
2、访谈网络设备冗余方式热备
高峰期流量2M;
电信通进出20M,内部百兆以上
建议
网络安全路由器
静态路由,全网互通
网络安全防火墙
外联接入区部署外连接入防火墙,面向客户的web服务器前部署waf;
内部各区之间的访问控制主要依靠核心交换acl实现,但通过现场查看发现acl策略均未实施
严重
网络拓扑结构
网络结构部署与拓扑图一致,但某些安全访问路径尚未实施(如安全运维区访问路径)
一般
子网划分
系统内不同区域根据业务和管理的不同划分不同子网
保证
目前业务量不大,支付服务器部署负载均衡系统
符合
网络访问控制
网络域安全隔离和限制
1,外联接入区部署外连接入防火墙,面向客户的web服务器前部署waf
2,具体FW配置尚待查看
白名单,粒度至端口
地址转换和绑定
未针对重要网段实施防地址欺骗措施(如IP和MAC绑定等)
内容过滤
对应用层协议命令的控制,进出
目前WAF策略尚未配置,无针对应用层协议命令级的控制措施
访问控制
检查防火墙上的acl端口级
流量控制
最大流控制
待确认
会话控制
超时退出:
管理用户默认10min;
天融信默认策略
远程拨号访问控制和记录
无远程拨号用户
不适用
网络安全审计
日志信息
系统部署了天融信审计平台作为堡垒机,但目前尚未启用,其他审计通过snmp到日志服务器
日志服务器但尚未启用
网络系统故障分析
查看监控平台功能,查看网络故障处理记录
记录事件原因
网络对象操作审计
网络管理员负责,部署漏扫、运维、日志服务器但尚未启用
日志权限和保护
RO权限
审计工具
审计工具名称
边界完整性检查
内外网非法连接阻断和定位
访谈无
访问生产服务器的终端可访问外网
网络入侵防范
网络ARP欺骗攻击
同上
信息窃取
目前未使用SSH进行CLI管理,核心交换机还开启http服务,业务上的加密措施https
攻击
防火墙尚无/流量清洗
目前WAF策略尚未配置,天融信防火墙也未启用Anti-Dos策略
网络入侵防范机制
查看FW
启用天融信默认入侵防御策略
恶意代码防范
恶意代码防范措施
恶意代码防范功能目前WAF策略尚未配置,未实现恶意代码防范功能
定时更新
恶意代码库更新策略
网络设备防护
设备登录设置
网络管理员共用一个账户;
未使用两种技术进行身份鉴别
一般/建议
设备登录口令安全性
具有身份鉴别信息,口令复杂度符合要求至少8位,并包含字母数字及特殊字符)
登录地址限制
尚未对网络设备管理员登录地址进行限制
远程管理安全
VPN
目前未使用SSH进行CLI管理,核心交换机还开启http服务
设备用户设置策略
未启用ssh方式管理,无法启用登录失败处理功能
权限分离
未进行管理账户的特权分离
最小化服务
尚未依据网络设备配置规范进行权限最小化限制;
访谈配置备份策略:
尚未严格按照备份恢复策略制度执行配置备份
网络安全管理
网络设备运维手册
具备网络安全管理制度
定期补丁安装
系统版本升级、打补丁策略,原系统备份策略
定期进行厂商咨询,按需进行版本升级,同时向厂商获取现有版本进行备份
漏洞扫描
网络管理员定期进行漏洞扫描,尚无具体的漏扫策略
网络数据传输加密
网络安全管理人员配备
制定两位,实现AB角
网络安全管理人员责任划分规则
岗位职责
网络安全关键岗位人员管理
有
备注:
检测记录为空时,填写“--”。
主机平安性检测
身份鉴别
系统与应用管理员用户设置
系统与应用管理员口令安全性
登录策略
访问控制范围
主机信任关系
默认过期用户
安全审计
系统信息分析
系统保护
系统备份
故障恢复策略
磁盘空间安全
主机安全加固
剩余信息保护
入侵防范
入侵防范记录
关闭服务和端口
最小安装原则
防范软件安装部署
病毒库定时更新
防范软件统一管理
资源控制
连接控制
资源监控和预警
主机安全管理
主机运维手册
系统补丁
操作日志管理
主机相关人员安全管理
主机安全管理人员配备
主机安全管理人员责任划分规则
主机安全关键岗位人员管理
应用平安性检测
系统与普通用户设置
系统与普通用户口令安全性
登录访问安全策略
非法访问警示和记录
客户端鉴别信息安全
口令有效期限制
限制认证会话时间
身份标识唯一性
及时清除鉴别信息
WEB页面安全
登录防穷举
安全控件
使用数字证书
独立的支付密码
网站页面SQL注入防范
网站页面跨站脚本攻击防范
网站页面源代码暴露防范
网站页面黑客挂马防范
网站页面防篡改措施
网站页面防钓鱼
访问权限设置
自主访问控制范围
业务操作日志
关键数据操作控制
异常中断防护
数据库安全配置
系统信息查询与分析
对象操作审计
事件报警
过期信息、文档处理
进程资源分配
资源检测预警
应用容错
数据有效性校验
容错机制
故障机制
回退机制
报文完整性
通信报文有效性
报文保密性
报文或会话加密
抗抵赖
原发和接收证据
编码安全
源代码审查
插件安全性审查
编码规范约束
源代码管理
版本管理
电子认证应用
第三方电子认证机构证书
关键业务电子认证技术应用
电子签名有效性
服务器证书私钥保护
数据平安性检测
运维平安性检测
环境管理
机房基础设施定期维护
托管机房,同时制定有《机房安全管理制度》
机房的出入管理制度化和文档化
办公环境的保密性措施
制定有《岗位人员管理办法》;
《机房安全管理制度》、《第三方人员安全管理办法》,同时配备《办公网络环境第三方人员访问申请审批流程》;
无办公环境保密性管理制度
机房安全管理制度
托管机房,参见《机房安全管理制度》
机房进出登记表
参见《介质安全管理制度》
参见《介质安全管理制度》有销毁规定,但无维修规定
业务持续性检测
检测总结
总结描述
从检测结果看,共有×
个严峻性问题、×
个一样性问题、×
个建议性问题,共计×
个问题。
经整改后,其中×
个建议性问题已经取得解决。
本次平安性检测共包括×
个检测项,实际检测×
个检测项,依照《非金融机构支付效劳业务系统检测评估准那么》,判定结果为“符合”的有×
项,判定结果为“不符合”的有×
项,判定结果为“不适用”的有×
项。
经整改后,判定结果为“符合”的有×
“不符合”率为×
%。
具体检测情形及结果如下表所示:
序号
名称
实际检测项
符合项
不符合项
不适用项
整改前
整改后
1
网络安全性
2
3
4
5
综合
一、表格项值为0时,填写数字“0”。
二、表格中名称为检测类的下一级检测项名称。
检测问题列表
问题编号
问题描述
问题等级
整改状态
已完成或
未完成
升级会员 