网上银行安全评估报告Word下载.docx

1、网络系统安全设计8网络访问控制网络安全检测分析网络连接网络可用性网络设备的安全管理与配置网络平台安全权重及综合评价操作系统/平台安全帐号安全100完全符合20文件系统安全网络服务安全系统访问控制日志及监控审计60基本符合6拒绝服务保护补丁管理病毒及恶意代码防护系统备份与恢复操作系统/平台安全权重及综合评价数据库系统安全数据库帐号安全数据库访问控制存储过程安全12数据库系统安全权重及综合评价76应用系统安全身份鉴别10访问控制交易的安全性数据的安全性密码支持异常处理输入输出合法性备份与故障恢复安全审计 5%资源利用安全管理应用系统安全权重及综合评价72综合评价结果通过网上银行系统平台安全评估结果

2、，AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。好的方面主要表现在以下几个方面：1）运行维护方面：建立了完整的日志及审计机制，日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。在网银系统的Internet入口部署了IDS，可以及时监测流量突发事件和事件源头。目前网络管理主要使用加密的SSH和HTTPS，加密的数据传输对嗅探攻击相对安全。网上银行技术支持小组及时了解、分析研究各系统软件（包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwle

3、r, Cybercop, OS/400等等）最新相关安全的Patch信息以及最新版本信息，如有必要及时安装相应的软件Patch或者进行必须的系统软件升级，确保系统无安全漏洞。网络设备的OS与配置文件有管理员备份和保管。2）网络设备安全方面：网络设备有统一的安全配置规范。例如：IOS版本版本生机到高版本，设备口令加密存储，停止无用服务等。网络设备的管理制度与执行符合安全性要求。3）安全域划分方面：划分了合理的安全域，Internet区、DMZ区、Trusted区、Intranet区、安全管理区。4）网络安全控制方面：网上银行在线路、服务器冗灾方面做得很好，有完善的访问控制措施和数据加密措施。系统

4、的设计遵循了多重保护的原则，进行了多层次网络安全保护，在链路层和网络层实施状态包检测，在表示层实施加密传送，在应用层设置专用程序代码、运行应用层审计软件，在应用层之上启动代理服务等。网上银行网络进行分段，通过交换器连接各段，把网络分成若干IP子网，各子网通过防火墙连接并控制各子网间的访问。5）安全管理方面：机房的物理环境和管理方面为专业的机房托管服务商提供。安全管理的策略建立方面做得比较详细，从识别安全风险到制定控制框架都考虑的很全面，并且针对各业务流程、操作和管理流程都制定了详细的控制方法和要求。不足之处主要表现在以下几个方面：1）机房管理区域网络接入的控制不够严格，其他无关人员可能私自接入

5、到业务网络中。2）网上银行系统网络没有建立统一时钟服务，不能保证主机、设备时钟同步，在日志分析中会有很多的困扰。3）网上银行系统设备基本为静态密码，因此面临着暴力破解的危险。4）没有部署专业的备份软件与磁带库设备，不能完善数据的增量备份、差分备份等，备份系统自动化程度低。建议近期重点从如下几个方面进行改进：1）严格限制机房管理区域网络接入的控制，严格执行AAA银行的计算机系统管理内控制度中的“机房管理”规范。2）建立NTP统一时钟服务，保证主机、设备可以通过配置NTP服务器进行时钟同步，可以帮助安全事件的分析和作为追踪事件源的依据。3）建议配置动态口令认证机制，降低设备口令被暴力破解的风险。4

6、）建议部署专业的备份软件设备，完善数据的增量备份、差分备份等备份策略。部署磁带库这类离线存储介质，使备份系统自动化，确保数据的完全恢复。11.2系统平台安全评估结果详细描述11.2.1物理环境安全11.2.1.1物理环境1）AAA网银系统平台的运行环境在万国数据（GDS）的机房内托管，GDS机房的环境是按照国家A类机房的标准进行建设的，在防火、防潮、防静电、防盗、电源安全等方面都能够满足国家A类机房的标准。2）在AAA中国网上银行系统安全策略和中国资讯科技中心操作规程中明确制定了对生产环境和机房物理环境的安全要求。3）数据中心作为存放银行所有电子设备和业务数据的地点，必须具备足够的抵抗自然灾害

7、的能力。4）为防止火灾，机房大楼内安装有烟雾探测器和灭火系统。5）由于电子设备对环境温度要求比较高，机房内配备双重冷暖空调，确保环境温度在18-24摄氏度左右。6）机房内配备两台不间断稳压电源，确保系统在断电状态下继续工作24小时以上。7）机房内安装有视频监视系统，通过CCTV监控机房入口和机房内不同区域，一旦发现异常活动立即报警。8）GDS万国数据中心能够提供符合国家标准的机房环境，包含符合灾难备份原则的机房选址、具备高抗震指标、高承重提升地板的物理建筑，具备多路专线供电线路、长延时冗余UPS系统、备用发电机组、专业精密空调系统以及气体灭火系统等各种基础设施，具备7 x 24小时的严格出入授

8、权控制和7 x 24小时的监控录像措施和严格的管理规范。9）对于进入机房的维护工作有严格的申请规定，并且对访问时间和人数进行了控制，在访问机房的过程中，有专人全程陪同。10）AAA的机房区域与其他托管公司的机房有独立的区域，具备很好的隔离措施。11）对网银平台设备的维护工作只能在GDS的管理区域进行操作，不能通过远程访问的方式进行维护。问题分析：AAA的网银系统在机房的物理环境和管理方面采用了外包托管给专业服务商的方式，并且该服务商在业内拥有较高的声誉和很好的服务质量，因此在物理环境管理方面基本可以符合要求。但在维护区域的网络接入控制上仍有提高的空间。80-大部分符合评价结果：建议措施：建议加

9、强对管理区域网络接入的控制，防止其他无关人员私自接入到业务网络中。11.2.1.2设备安全1）所有的服务器、网络设备、安全设备和存储设备都托管在GDS机房中，人员的机房进出有严格的控制，并且有24小时的监控录像，基本能够保证不会有外来人员对设备进行破坏。2）所有的人员访问，包括外来人员和厂商的维护人员都有专人进行全程陪同，防止外来人员对设备进行意外的破坏。3）所有设备都是安装在机柜中，机柜要求上锁，所有的线路都是采用顶棚布线的方式并且有防护罩对线路进行保护。4）网上银行安全策略中对设备的强壮性也进行了要求。5）所有电子设备均向信誉卓著的厂商如SUN，CISCO，IBM等购买，以确保设备本身性能

10、优良。6）每个关键设备，如WEB服务器等均配备有备份系统。7）每个关键设备的关键元件配备冗余元件，如硬盘均配备有镜像磁盘。由于是在专业的机房托管服务商处进行管理，并且重要的设备都配备了冗余或备件，所以对于设备安全保护工作基本能够满足现在的需要。无。11.2.1.3介质安全1）AAA网银系统所使用的介质资源主要是用于备份的磁带，磁带在做完备份后首先会保存在GDS运维区域的保险柜中，定期有专人将磁带转移回公司。2）网上银行安全策略中规定每个备份磁带贴上标签以后仔细保存在安全的地方。3）磁带的保管由安全部门负责，所有的磁带介质都将采上海市内的取异地存放的方式保存。对于磁带介质的安全保管，AAA采取专

11、人、异地、并使用保险箱进行保存，在很大程度上确保了数据的安全，但同城存放使抵御灾难的能力不够强。1）网银系统的客户数据和交易数据作为AAA的最重要信息资产，但靠一份磁带备份很难确保其最大的安全性，建议可以采取远距离异地双重备份的方式提高数据介质的高可用性。11.2.2网络平台安全11.2.2.1网络及边界安全1）AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持，利用服务器群集技术完成HA和LB。2）网银系统到Internet分别通过电信和网通的链路连接，做到了链路备份与负载均衡。3）系统与Internet之间设置了防火墙，对Internet用户访问系统实施了访问控制，减少了来

12、自Internet 的威胁。4）系统在Internet出口处部署了IPS，对来自Internet的网络访问行为进行监控和防护。5）交换机在口令配置、使用协议和服务管理等方面进行了一定的安全配置。AAA网银系统网络在线路、服务器冗灾方面做得很好，有完善的访问控制措施和数据加密措施。但网银系统网络没有为主机、网络设备、安全设备提供统一的时钟，保证网银系统时钟的统一和正确。统一的时钟可以保证各设备的日志是同时产生的，有利于事后追查对时间的定位；缺乏网管系统，在网络管理方面主要使用手工登录的管理方式。考虑到各类设备较多，管理员对设备的管理采用手工方式效率较低，建议引进网管软件。建议网银系统网络建立统一

13、时钟服务，保证主机、设备可以通过配置NTP服务器进行时钟同步。11.2.2.2网络系统安全设计1）边缘路由器和防火墙之间的网络地址使用Internet保留的私有地址，可以保证从Internet不可以直接访问到路由器的对内网络和防火墙的对外网口。2）网银系统各相临网段之间（直连路由）可以互相访问，跨网段（非相临网段）路由不可达。3）关键主机部署了主机入侵防护产品,能提供攻击防护、终端控制和安全事件监控和审计等功能以确认网银系统多个服务器的完整性和策略依从。4）关键主机部署了一致性管理和漏洞评估产品，主要是确保公司符合严格的使用标准，发现尚未安装的补丁等系统漏洞并指导用户快速修复，从而避免许多代价

14、昂贵的安全问题。5）部署了日志审计软件，便于安全事件的检测和存储，可以帮助安全事件的分析和作为追踪事件源的依据。网上银行安全系统的设计遵循了多重保护的原则，进行了多层次网络安全保护，在链路层和网络层实施状态包检测，在表示层实施加密传送，在应用层设置专用程序代码、运行应用层审计软件，在应用层之上启动代理服务等；同时对网络进行分段，通过交换器连接各段，把网络分成若干IP子网，各子网通过防火墙连接并控制各子网间的访问。无11.2.2.3网络访问控制1）网银系统网络划分了合理的安全域，包括：Internet区网银用户所在区域；DMZ区网银系统WEB服务器、短信网关服务器、证书服务器所在区域；Trust

15、ed区网银系统核心业务区；Intranet区用户的内部网络，网银内部管理柜员从此网段访问内部管理系统；安全管理区防火墙、日志审计、漏洞扫描等安全管理服务器所在区域。2）各安全域有明确的边界，各安全域之间采用了合理的控制措施和安全策略。3）在防火墙的安全规则中禁止来自边缘路由器各端口对内、外层防火墙各端口的访问，即使边缘路由器被攻破，也可以防止来自边缘路由器的攻击。网银系统网络结构合理，总体逻辑清晰,各安全域之间的安全策略控制有较好的细粒度，防火墙策略变更时遵循网上银行安全策略，可以防止防火墙策略变更时不会产生安全策略限制不严的情况但没有明确定义常见的蠕虫端口进行策略限制。定义蠕虫传播端口，增加

16、这些端口的Deny策略。11.2.2.4网络安全检测分析1）路由器、交换机和防火墙的帐号与密码采用了高强度的密码机制，并且启用了加密保护机制，配置了强加密的特权密码enable secret。2）网络设置了CONSOLE 口管理的密码控制机制，禁用了SNMP服务。3）路由器、交换机禁止HTTP服务管理功能，防火墙禁用了外网口的远程管理，系统管理登录连续失败4次进行帐号锁定，系统访问超时自动退出等安全措施。4）网络设备均禁用了不必要的系统服务。5）对网络系统设备的配置文件进行了完整的备份，由管理员保管。6）交换机和路由器没有通过访问控制列表做防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击

17、的控制等，通过防火墙来完成这方面的控制。7）网络设备更改了默认的系统日志配置信息，通过专业的日志分析软件（RSA Intrusion Log Server）进行日志收集与分析。网络设备的安全进行了比较全面的安全配置，对日志进行专业的分析。不能完全依靠管理员来完成配置文件的备份，建议设置专用的网络设备OS和配置文件备份服务器。11.2.2.5网络连接1）AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持，利用F5完成了网络层面的HA和LB。2）AAA网银系统网络与Internet通过电信和网通链路联接。3）网银系统与核心业务服务器通过局域网联结，使用防火墙逻辑隔离。4）网银系统与

18、柜员、OA等系统的联接为DDN，使用使用防火墙逻辑隔离。5）网络安全管理平台和其他网络之间使用防火墙逻辑隔离。AAA网银系统平台端的网络均为双链路，可以保证网络连接的可靠性，防火墙配置了严格的安全策略，可以保证所有网络连接数据通信的合法性，同时可以防止蠕虫病毒的泛滥，较好地预防了可能发起对网银系统的DOS/DDOS攻击。明确定义蠕虫传播端口，增加这些端口在防火墙是上的Deny策略。11.2.2.6网络可用性1）AAA网银系统网络全为双链路冗于，采用F5-BIG- LTM-6400- 4GB-RS做负载均衡与链路备份。2）网络设备采用心跳线同步用户会话，保证网银系统在做链路切换时对用户透明。3）

19、通过防火墙完成防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制。 AAA网银用户可以通过电信或网通的数据链路访问网银系统，网银系统的局域网也是双链路到服务器，确保业务的不间断服务。11.2.2.7网络设备的安全管理与配置1）CONSOLE口管理的具有密码控制机制，远程管理只能通过固定的网段登陆，而且设置的密码足够强壮。2）禁止HTTP服务功能，禁用了SNMP服务。3）防火墙的管理方式为SSH和HTTPS，密码设置符合复杂性要求，防火墙策略的变更有完整的控制机制：提前一周将修改后防火墙规则书面送交安全管理小组；网上银行技术支援小组负责更新规则；防火墙网关自动检查规则文件并记录进改变日

20、志文件中；安全管理员登录系统检查日志文件；如果日志文件经过备份后不再需要，安全管理员定期删除日志文件。4）网络设备的OS与配置文件由设备管理员进行了完全的备份。 网络设备的管理基本符合安全性要求，但设备的口令为静态口令，存在暴力破解的风险。另外网络设备的OS与配置没有专用的备份服务器。建议配置网络设备动态口令认证机制；建议设置专用的OS和配置文件备份服务器。11.2.3操作系统/平台安全11.2.3.1帐号安全1）操作系统的帐号被严格限制，对于系统中默认的用户和安装应用增加无用帐户采取了锁定或禁用的方式，仅新建并保留有限的管理帐户（包括root帐户）。2）当系统上线后，所有的用户密码将使用专用

21、的密码生成器生成，保证密码的安全度，防止被有规律的猜解。3）系统的远程管理使用SSH方式登录，禁用了系统telnet服务，确保了登录过程中数据的安全性。4）系统本身对帐户密码的长度、复杂度和更换时间进行了限制，同时AAA的网上银行安全策略中对帐户密码的安全设置和管理要求进行了规定。5）AAA中国网上银行的UNIX主机和NT服务器的超级用户密码将由AAA中国网上银行技术支援小组和安全管理员共同设置。密码长度不少于8位，前4位由技术支援小组设置和掌握，后4位由安全管理员设置和掌握，所有需要使用超级用户密码操作权限的工作都需要由技术支援小组成员和安全管理员共同输入密码后，由技术支援小组人员进行操作。

22、密码每个月必须更换一次，2个小组的成员在更改密码之后分别将自己那部分密码密封，交由CITC经理保存，以备紧急之用。操作系统平台的帐户和口令管理在制度和落实的方面都做得非常详细，对帐户口令的长度、复杂度、使用期限和安全保护等方面都已经完全能够满足需要。100-完全符合如果能够对root用户的远程登录进行控制，并对那些普通用户和以su到root用户的权限进行控制的话会使增加系统帐号访问的安全性。11.2.3.2文件系统安全1）Solaris操作系统使用UFS系统文件格式。2）系统的/etc目录下文件的读写权限进行了严格分配，并且当用户登录时使用了安全的环境变量设置。3）包括对用户帐户、密码文件，c

23、rontab计划任务文件等重要系统文件的修改和访问权限也进行了严格的控制，防止被恶意入侵者非法读取或修改。4）对于安装的应用程序，如Oracle的文件安装目录的访问权限也进行了严格控制。5）现在并未建立对系统帐号和权限分配的定期检查机制。由于没有建立对帐号和权限的定期检查机制，对于文件权限的改变不能及时的发现，如果在维护的过程中被不小心修改，或当有恶意入侵者修改了文件权限的话就不能及时了解到当前所面临的安全威胁。建议增加对帐号和权限的定期检查机制，制定定期的检查，可以采取人工方式检查或工具检查的方式进行。11.2.3.3网络服务安全1）操作系统关闭了Telnet远程管理服务，使用SSHv2的方

24、式进行远程管理。2）禁用了系统自带的FTP服务，使用更加安全的SFTP服务提供文件传输的服务。3）服务器进行基本的加固服务，禁用了系统中各种无用而默认开启的网络服务，如SNMP、Sendmail、name、uucp等服务。4）没有开启rlogin或rsh等远程登录的访问访问服务。5）开启了NTP服务，设置统一的NTP服务器保证系统时间的统一和准确。6）禁用了X终端的登录。当前的操作系统对无用的网络服务都已关闭，对于已开启的网络服务业都采取了加密的方式传输数据，即能够保证数据的安全性，有效的降低了开启无用服务带来的潜在安全隐患。11.2.3.4系统访问控制1）系统禁用了X终端的登录方式，采用SS

25、H的方式进行远程管理。2）对于系统访问登录的尝试次数和空闲时间都进行限制，多次登录失败后会自动断开连接，或者空闲时间超时也会自动断开连接。3）主机没有对访问IP的连接进行限制。由于是在封闭的小范围内部网络中，不限制访问IP对系统安全的影响不大。4）主机本身没有开启防火墙，所有的外来访问控制都是通过外部的专用防火墙进行控制。5）主机上的文件系统对用户访问的权限也进行了较好的控制，防止其他用户对重要系统文件的非法访问。采用SSH的加密方式对系统进行远程管理可以有效的保证数据的安全性，使用防火墙也能够有效的控制外来的对系统的非法访问，只是对系统文件访问的权限控制要想做到严格的控制还是有一定的难度。建

26、议在系统本身增加对系统访问IP的控制，虽然现在使用防火墙对外部向内部的访问进行了控制，但无法对本网段设备的访问进行控制。11.2.3.5日志及监控审计1）操作系统开启了基本的日志审计功能，包括记录登录行为、告警、认证、邮件、通知等日志。2）所有的日志记录信息都会存储在专用的日志服务器上，采取统一管理的方式确保日志文件的安全，并未使用加密的方式保存日志。3）对于日志的保存期限尚没有严格的规定，现在的情况是如果存储的空间不足则会根据需要删除过去最早的日志文件来释放磁盘空间。4）为监控可能的入侵活动，安全管理员将会每天分析所有防火墙和UNIX服务器上的日志文件。同时，中国总部将会分析应用日志报表。管

27、理层将会定期地召开安全会议，一旦发生迹象明显的入侵攻击活动，安全管理员将要求召开安全会议。AAA内部稽核部门也会对安全政策实施内部稽核，并向管理层递交稽核报告。5）系统缺少实时监控的手段，没有网管、系统管理或SOC等工具帮助监控，只有人工定期会对系统的运行状态进行巡检。在日志的记录方面能够记录的比较详细，并且采取了集中保存的方式保障的日志文件的安全性，防止篡改；对采集到的安全日志进行分析能够较早的发现系统的安全问题和入侵隐患。没有系统监控设备，无法及时有效的了解系统的运行状态和安全现状，虽然采取了人工或手工方式进行弥补，但效果并不如使用监控软件明显。60-基本符合建议建立SOC一类的管理工具加强对审计日志的及时分析和对系统状态