XXXX銀行無線網絡風險評估報告(2018.8.21).doc

XXXX銀行無線網絡風險評估報告 XXXX銀行2018年08月21日一、風險評估項目概述（一）、項目概述無線網絡作為XXXXXXXX銀行股份有限公司（以下簡稱XXXX銀行）重要的信息系統(tǒng)之一，保證無線網絡的安全、穩(wěn)健運行，為客戶提供安全、便捷的服務，是XXXX銀行無線網絡建設的根本目標。為了客觀全面了解全行無線網絡的信息安全效能，XXXX銀行科技信息部按照相關評估程序和執(zhí)行標準開展了針對無線網絡的風險評估工作，為該系統(tǒng)日后的良好安全運行，打下堅實的基礎。本次對無線網絡風險評估的目的是評估其風險狀況，提出風險控制建議，同時為下一步的安全建設和風險管理提供依據(jù)和建議。（二）、風險評估工作組織為了確保本次風險評估工作的順利開展，受XXXX銀行黨委委托，由科技信息部負責組織開展此次評估，并成立無線網絡風險評估工作小組，具體如下：項目組長：XX安全技術評估人員：XX文檔支持人員：XX項目組長：是風險評估項目中實施方的管理者、責任人，具體工作職責包括：（1）根據(jù)項目情況組建評估項目實施團隊。（2）根據(jù)項目情況與被評估方一起確定評估目標和評估范圍，并組織項目組成員。（3）根據(jù)評估目標、評估范圍及系統(tǒng)調研的情況確定評估依據(jù)。（4）組織項目組成員開展風險評估各階段的工作，并對實施過程進行監(jiān)督、協(xié)調和控制，確保各階段工作的有效實施。（5）與被評估組織進行及時有效的溝通，及時商討項目進展狀況及可能發(fā)生問題的預測等。（6）組織項目組成員將風險評估各階段的工作成果進行匯總，編寫風險評估報告等項目成果物。（7）負責將項目成果物移交給被評估組織，向被評估組織匯報項目成果，并提請項目驗收。安全技術評估人員 ：負責項目中技術方面評估工作的實施人員，具體工作職責包括：（1）根據(jù)評估目標與評估范圍的確定參與系統(tǒng)調研。（2）實施各階段具體的技術性評估工作。（3）對評估工作中遇到的問題及時向項目組長匯報，并提出需要協(xié)調的資源。（4）將各階段的技術性評估工作成果進行匯總，參與編寫風險評估報告等項目成果物。（5）負責向被評估方解答項目成果物中有關技術性細節(jié)問題。文檔支撐人員：負責支撐測評人員出具的測評過程文檔校對工作。具體工作職責包括：根據(jù)項目中要求出具的文檔進行校對，包括文檔格式是否正確、文檔內容是否符合當前實際情況、是否需要新加其它文檔。提出文檔整改建議并且參與風險評估報告的編寫。二、風險評估范圍（一）風險評估目標在信息安全風險評估前首先明確目標，為整個信息安全風險評估的過程提供正確的導向，也為下一步的安全建設和風險管理提供第一手資料。風險評估應全面、準確的了解被評估信息系統(tǒng)的安全現(xiàn)狀、發(fā)現(xiàn)系統(tǒng)可能會出現(xiàn)的安全問題，保證系統(tǒng)處于一個高度可信任的狀態(tài)。（二）風險評估范圍在確定風險評估的目標后，應進一步明確風險評估的評估范圍，在確定評估范圍時，應結合已確定的評估目標和組織的實際信息系統(tǒng)建設，合理定義被評估對象和評估范圍邊界。 XXXX銀行無線網絡包括以下幾項：1、無線POS機具，由電子銀行部負責管理；2、無線報警設備，由安全保衛(wèi)部負責管理；3、營業(yè)網點互聯(lián)網WLAN，由科技信息部負責管理；4、總行機關互聯(lián)網WLAN，由科技信息部負責管理。（三）調查方式采用人員訪談調查方式和現(xiàn)場勘查相結合的方式進行。（四）調查內容調查內容覆蓋XXXX銀行無線網絡的基礎服務環(huán)境和系統(tǒng)的管理制度，具體內容如下：1、安全管理制度和日常管理；2、無線網絡設備的擺放位置及其基線的安全性；3、系統(tǒng)功能調查及現(xiàn)有安全技術措施調查；4、外包及滲透測試調查；5、應急管理調查；6、合規(guī)審計調查。三、資產識別經調查，XXXX銀行共有互聯(lián)網WLANXX個，其中基層網點XX個，機關各部（室）、中心XX個；共有3G/4G移動通訊專網XXXX個，其中營業(yè)廳110報警系統(tǒng)使用XX個，自助區(qū)110報警系統(tǒng)使用XX個，金服驛站110報警系統(tǒng)使用XX個，商戶POS機使用XXXX個。經調查，XXXX銀行無內網WLAN。后附XXXX銀行無線網絡使用情況統(tǒng)計表四、風險評估和威脅識別（一）、安全管理制度和日常管理XXXX銀行秉持“誰主管誰負責，誰運營誰負責”的原則進行無線網絡管理工作?？萍夹畔⒉恐贫薠XXX銀行無線網絡使用管理辦法和XXXX銀行互聯(lián)網安全管理辦法對互聯(lián)網WLAN設備進行管理；電子銀行部制定銀行卡收單業(yè)務管理辦法對POS機具進行管理；安全保衛(wèi)部制定了安全保衛(wèi)設施標準化建設指引對110報警系統(tǒng)進行管理。 XXXX銀行科技信息部、電子銀行部和安全保衛(wèi)部均采用每季度全轄全覆蓋檢查的方式，對所有設備進行全面的安全檢查，確保設備的安全、可靠。（二）無線網絡設備的擺放位置及其基線的安全性1、110報警設備XXXX銀行的110報警設備均安裝在安全分區(qū)內（聯(lián)動門內），3G卡安裝在設備內，設備上鎖由網點安全員保管，保證了設備的物理安全。2、無線POS設備XXXX銀行無線POS設備均安裝在商戶，并與商戶簽訂特約商戶受理銀聯(lián)卡協(xié)議書，保證商戶按照相關制度規(guī)定及協(xié)議約定使用POS設備，杜絕發(fā)生竊取、泄露客戶身份信息等違規(guī)行為。同時，XXXX銀行特約商戶管理員均嚴格按照XXXX銀行銀行卡收單業(yè)務管理辦法的相關規(guī)定，按月對商戶進行回訪，對POS設備進行巡檢，確保能夠及時發(fā)現(xiàn)存在的問題，隨時進行糾正處理，將各類違規(guī)問題消滅在萌芽狀態(tài)。3、營業(yè)網點無線設備XXXX銀行互聯(lián)網WLAN為總行統(tǒng)一規(guī)劃、建設，采用AC+AP建設方案，AC為TP-LINK企業(yè)VPN路由器TL-XXXX-AC，AP為TP-LINK品牌下的TL-XXXX-POE。互聯(lián)網WLAN設備均安裝在營業(yè)室內或網絡機柜內，有良好的安全保障。所有網點采用統(tǒng)一的SSID（XXXXXX），在營業(yè)廳顯著位置發(fā)布無線網絡的使用提示，以防止用戶接入假冒無線網絡。管理人員每日上午、下午均會對設備進行巡查，發(fā)現(xiàn)可疑情況及時處理并向科技信息部匯報。科技信息部建立了無線設備管理臺賬，詳細登記了所有設備的MAC地址、品牌和型號等信息，防止設備的私自更換等問題。4、總行機關無線設備XXXX銀行機關互聯(lián)網WLAN均由科技信息部搭建并配置，在互聯(lián)網入口處配置有華為企業(yè)級防火墻Secoway XXXXXX，能夠有效防范外部入侵，并初步管理用戶的上網行為等，起到一定的安全防范作用。機關無線設備功率較小，覆蓋范圍不大，僅能保證機關內部人員的使用?？萍夹畔⒉拷⒘藷o線設備管理臺賬，詳細登記了所有設備的MAC地址、品牌和型號等信息，防止設備的私自更換等問題。威脅識別：經調查，XXXX銀行互聯(lián)網入口處只有防火墻，而未配備入侵監(jiān)測和防毒墻設備，存在一定的風險隱患。5、內網WLAN經調查，XXXX銀行無內網WLAN。(三) 系統(tǒng)功能調查及現(xiàn)有安全技術措施調查1、110報警設備XXXX銀行現(xiàn)用的110報警設備在高物理安全性的基礎上采用了SIM認證、專用物聯(lián)網隧道的方式保障了設備、網絡的高安全性。2、無線POS設備XXXX銀行現(xiàn)用的無線POS設備，采用了SIM卡認證、賬號密碼認證、數(shù)據(jù)加密、專用物聯(lián)網隧道等方式，充分保障了設備、網絡的安全性。3、營業(yè)網點無線設備XXXX銀行營業(yè)網點互聯(lián)網WLAN設備在確保物理安全并采取安全基線管理措施的基礎上，采用了微信實名認證、短期租約的方式，管控接入的手機等移動端設備，基本能夠保障用戶的安全。威脅識別：經調查，TL-R473P-AC路由器行為管理能力較薄弱，不能夠有效管控用戶的上網行為。4、總行機關無線設備XXXX銀行機關互聯(lián)網WLAN設備均連接在防火墻上，通過綁定設備MAC和IP、關閉DHCP服務等方式，防止了設備的私自更換和接入等問題，并且對用戶的上網行為有必要的管理功能。所有無線設備，每三月更換一次密碼，且均為字母數(shù)字無需組合，確保了無線網絡的使用安全。威脅識別：XXXX銀行總行機關未對互聯(lián)網WLAN設備進行統(tǒng)一規(guī)劃管理，設備和信道較混亂。5、網絡邊界防護經測試，XXXX銀行不存在內外網互聯(lián)情況，未建立開發(fā)測試等環(huán)境，網絡邊界清晰、安全。（四）外包及滲透測試調查經調查，XXXX銀行營業(yè)網點互聯(lián)網WLAN為XXXXXXXXXX有限公司提供，該行與該公司簽訂了外包服務合同，規(guī)定了權責歸屬、保密義務、違約責任、服務質量及售后、款項支付等事項。該公司每年對XXXX銀行的無線網絡安全情況開展專項評估并出具報告。經調查，XXXX銀行每年聘請外部專業(yè)機構對網絡安全進行風險評估和測試，針對網絡部署架構、設備及系統(tǒng)，積極采取配置監(jiān)測、漏洞掃描、滲透測試等技術服務。2017年為XXXXXX有限公司，2018年為XXXX省信息化和信息安全評測中心。該行針對測試發(fā)現(xiàn)的問題，積極進行了整改，切實防止網絡安全事件的發(fā)生。 威脅識別：聘請的外部專業(yè)機構開展的風險評估和測試工作中未包含互聯(lián)網WLAN項目。 （五）應急管理調查XXXX銀行成立了網絡安全和信息化領導組和突發(fā)事件應急領導組，均由董事長任組長，并制定了XXXX銀行網絡與信息系統(tǒng)突發(fā)事件處置與報告管理辦法、XXXX銀行計算機及網絡安全應急預案、XXXX銀行營業(yè)場所突發(fā)事件應急處置預案和XXXX銀行特約商戶緊急事件應急預案，明確了網絡與信息系統(tǒng)突發(fā)事件處置與報告流程，建立了網絡安全事件應急響應機制，制定了專項應急預案和處置方案，確保了網絡安全事件得到有效處置。XXXX銀行每季度組織全轄開展應急演練，出具演練報告，針對發(fā)現(xiàn)的問題及時整改。（六）合規(guī)審計調查XXXX銀行合規(guī)風險部和稽核審計部每年針對信息科技風險情況進行專項檢查和審計工作，出具年度科技信息工作評估報告和年度科技信息工作的審計報告。報告涵蓋了制度建設、突發(fā)事件處置、網絡防護、業(yè)務連續(xù)性、運維管理、軟件正版化、外包管理以及宣傳教育等各個方面，能夠全面評估信息科技存在的不足和風險情況。威脅識別：報告中未針對互聯(lián)網WLAN情況開展專項評估。五、風險處置（一）現(xiàn)有風險分類1、基礎建設方面XXXX銀行營業(yè)網點TP-LINK路由器行為管理等管理能力薄弱，不能有效管理用戶的訪問等行為；總行互聯(lián)網入口處僅