銀行無線網(wǎng)絡風險評估分析報告

XXXX銀行無線網(wǎng)絡風險評定匯報XXXX銀行08月21日一、風險評定項目概述（一）、項目概述無線網(wǎng)絡作為XXXXXXXX銀行股份（以下簡稱XXXX銀行）關鍵信息系統(tǒng)之一，確保無線網(wǎng)絡安全、穩(wěn)健運行，為用戶提供安全、便捷服務，是XXXX銀行無線網(wǎng)絡建設根本目標。為了客觀全方面了解全行無線網(wǎng)絡信息安全效能，XXXX銀行科技信息部按攝影關評定程序和實施標準開展了針對無線網(wǎng)絡風險評定工作，為該系統(tǒng)以后良好安全運行，打下堅實基礎。此次對無線網(wǎng)絡風險評定目標是評定其風險情況，提出風險控制提議，同時為下一步安全建設和風險管理提供依據(jù)和提議。（二）、風險評定工作組織為了確保此次風險評定工作順利開展，受XXXX銀行黨委委托，由科技信息部負責組織開展此次評定，并成立無線網(wǎng)絡風險評定工作小組，具體以下：項目組長：XX安全技術評定人員：XX文檔支持人員：XX項目組長：是風險評定項目中實施方管理者、責任人，具體工作職責包含：（1）依據(jù)項目情況組建評定項目實施團體。（2）依據(jù)項目情況和被評定方一起確定評定目標和評定范圍，并組織項目組組員。（3）依據(jù)評定目標、評定范圍及系統(tǒng)調(diào)研情況確定評定依據(jù)。（4）組織項目組組員開展風險評定各階段工作，并對實施過程進行監(jiān)督、協(xié)調(diào)和控制，確保各階段工作有效實施。（5）和被評定組織進行立即有效溝通，立即商討項目進展情況及可能發(fā)生問題估計等。（6）組織項目組組員將風險評定各階段工作結(jié)果進行匯總，編寫《風險評定匯報》等項目結(jié)果物。（7）負責將項目結(jié)果物移交給被評定組織，向被評定組織匯報項目結(jié)果，并提請項目驗收。安全技術評定人員：負責項目中技術方面評定工作實施人員，具體工作職責包含：（1）依據(jù)評定目標和評定范圍確實定參與系統(tǒng)調(diào)研。（2）實施各階段具體技術性評定工作。（3）對評定工作中碰到問題立即向項目組長匯報，并提出需要協(xié)調(diào)資源。（4）將各階段技術性評定工作結(jié)果進行匯總，參與編寫《風險評定匯報》等項目結(jié)果物。（5）負責向被評定方解答項目結(jié)果物中相關技術性細節(jié)問題。文檔支撐人員：負責支撐測評人員出具測評過程文檔校對工作。具體工作職責包含：依據(jù)項目中要求出具文檔進行校對，包含文檔格式是否正確、文檔內(nèi)容是否符合目前實際情況、是否需要新加其它文檔。提出文檔整改提議而且參與《風險評定匯報》編寫。二、風險評定范圍（一）風險評定目標在信息安全風險評定前首先明確目標，為整個信息安全風險評定過程提供正確導向，也為下一步安全建設和風險管理提供第一手資料。風險評定應全方面、正確了解被評定信息系統(tǒng)安全現(xiàn)實狀況、發(fā)覺系統(tǒng)可能會出現(xiàn)安全問題，確保系統(tǒng)處于一個高度可信任狀態(tài)。（二）風險評定范圍在確定風險評定目標后，應深入明確風險評定評定范圍，在確定評定范圍時，應結(jié)合已確定評定目標和組織實際信息系統(tǒng)建設，合理定義被評定對象和評定范圍邊界。XXXX銀行無線網(wǎng)絡包含以下幾項：1、無線POS機具，由電子銀行部負責管理；2、無線報警設備，由安全保衛(wèi)部負責管理；3、營業(yè)網(wǎng)點互聯(lián)網(wǎng)WLAN，由科技信息部負責管理；4、總行機關互聯(lián)網(wǎng)WLAN，由科技信息部負責管理。（三）調(diào)查方法采取人員訪談調(diào)查方法和現(xiàn)場勘查相結(jié)合方法進行。（四）調(diào)查內(nèi)容調(diào)查內(nèi)容覆蓋XXXX銀行無線網(wǎng)絡基礎服務環(huán)境和系統(tǒng)管理制度，具體內(nèi)容以下：1、安全管理制度和日常管理；2、無線網(wǎng)絡設備擺放位置及其基線安全性；3、系統(tǒng)功效調(diào)查及現(xiàn)有安全技術方法調(diào)查；4、外包及滲透測試調(diào)查；5、應急管理調(diào)查；6、合規(guī)審計調(diào)查。三、資產(chǎn)識別經(jīng)調(diào)查，XXXX銀行共有互聯(lián)網(wǎng)WLANXX個，其中基層網(wǎng)點XX個，機關各部（室）、中心XX個；共有3G/4G移動通訊專網(wǎng)XXXX個，其中營業(yè)廳110報警系統(tǒng)使用XX個，自助區(qū)110報警系統(tǒng)使用XX個，金服驛站110報警系統(tǒng)使用XX個，商戶POS機使用XXXX個。經(jīng)調(diào)查，XXXX銀行無內(nèi)網(wǎng)WLAN。后附《XXXX銀行無線網(wǎng)絡使用情況統(tǒng)計表》四、風險評定和威脅識別（一）、安全管理制度和日常管理XXXX銀行秉持“誰主管誰負責，誰運行誰負責”標準進行無線網(wǎng)絡管理工作?？萍夹畔⒉恐朴喠恕禭XXX銀行無線網(wǎng)絡使用管理措施》和《XXXX銀行互聯(lián)網(wǎng)安全管理措施》對互聯(lián)網(wǎng)WLAN設備進行管理；電子銀行部制訂《銀行卡收單業(yè)務管理措施》對POS機具進行管理；安全保衛(wèi)部制訂了《安全保衛(wèi)設施標準化建設指導》對110報警系統(tǒng)進行管理。XXXX銀行科技信息部、電子銀行部和安全保衛(wèi)部均采取每三個月全轄全覆蓋檢驗方法，對全部設備進行全方面安全檢驗，確保設備安全、可靠。（二）無線網(wǎng)絡設備擺放位置及其基線安全性1、110報警設備XXXX銀行110報警設備均安裝在安全分區(qū)內(nèi)（聯(lián)動門內(nèi)），3G卡安裝在設備內(nèi)，設備上鎖由網(wǎng)點安全員保管，確保了設備物理安全。2、無線POS設備XXXX銀行無線POS設備均安裝在商戶，并和商戶簽署《特約商戶受理銀聯(lián)卡協(xié)議書》，確保商戶按攝影關制度要求及協(xié)議約定使用POS設備，杜絕發(fā)生竊取、泄露用戶身份信息等違規(guī)行為。同時，XXXX銀行特約商戶管理員均嚴格根據(jù)《XXXX銀行銀行卡收單業(yè)務管理措施》相關要求，按月對商戶進行回訪，對POS設備進行巡檢，確保能夠立即發(fā)覺存在問題，隨時進行糾正處理，將各類違規(guī)問題消亡在萌芽狀態(tài)。3、營業(yè)網(wǎng)點無線設備XXXX銀行互聯(lián)網(wǎng)WLAN為總行統(tǒng)一計劃、建設，采取AC+AP建設方案，AC為TP-LINK企業(yè)VPN路由器TL-XXXX-AC，AP為TP-LINK品牌下TL-XXXX-POE?；ヂ?lián)網(wǎng)WLAN設備均安裝在營業(yè)室內(nèi)或網(wǎng)絡機柜內(nèi)，有良好安全保障。全部網(wǎng)點采取統(tǒng)一SSID（XXXXXX），在營業(yè)廳顯著位置公布無線網(wǎng)絡使用提醒，以預防用戶接入假冒無線網(wǎng)絡。管理人員每日早晨、下午均會對設備進行巡查，發(fā)覺可疑情況立即處理并向科技信息部匯報?？萍夹畔⒉拷⒘藷o線設備管理臺賬，具體登記了全部設備MAC地址、品牌和型號等信息，預防設備私自更換等問題。4、總行機關無線設備XXXX銀行機關互聯(lián)網(wǎng)WLAN均由科技信息部搭建并配置，在互聯(lián)網(wǎng)入口處配置有華為企業(yè)級防火墻SecowayXXXXXX，能夠有效防范外部入侵，并初步管理用戶上網(wǎng)行為等，起到一定安全防范作用。機關無線設備功率較小，覆蓋范圍不大，僅能確保機關內(nèi)部人員使用?？萍夹畔⒉拷⒘藷o線設備管理臺賬，具體登記了全部設備MAC地址、品牌和型號等信息，預防設備私自更換等問題。威脅識別：經(jīng)調(diào)查，XXXX銀行互聯(lián)網(wǎng)入口處只有防火墻，而未配置入侵監(jiān)測和防毒墻設備，存在一定風險隱患。5、內(nèi)網(wǎng)WLAN經(jīng)調(diào)查，XXXX銀行無內(nèi)網(wǎng)WLAN。(三)系統(tǒng)功效調(diào)查及現(xiàn)有安全技術方法調(diào)查1、110報警設備XXXX銀行現(xiàn)用110報警設備在高物理安全性基礎上采取了SIM認證、專用物聯(lián)網(wǎng)隧道方法保障了設備、網(wǎng)絡高安全性。2、無線POS設備XXXX銀行現(xiàn)用無線POS設備，采取了SIM卡認證、賬號密碼認證、數(shù)據(jù)加密、專用物聯(lián)網(wǎng)隧道等方法，充足保障了設備、網(wǎng)絡安全性。3、營業(yè)網(wǎng)點無線設備XXXX銀行營業(yè)網(wǎng)點互聯(lián)網(wǎng)WLAN設備在確保物理安全并采取安全基線管理方法基礎上，采取了微信實名認證、短期租約方法，管控接入手機等移動端設備，基礎能夠保障用戶安全。威脅識別：經(jīng)調(diào)查，TL-R473P-AC路由器行為管理能力較微弱，不能夠有效管控用戶上網(wǎng)行為。4、總行機關無線設備XXXX銀行機關互聯(lián)網(wǎng)WLAN設備均連接在防火墻上，經(jīng)過綁定設備MAC和IP、關閉DHCP服務等方法，預防了設備私自更換和接入等問題，而且對用戶上網(wǎng)行為有必需管理功效。全部沒有線設備，每三月更換一次密碼，且均為字母數(shù)字無需組合，確保了無線網(wǎng)絡使用安全。威脅識別：XXXX銀行總行機關未對互聯(lián)網(wǎng)WLAN設備進行統(tǒng)一計劃管理，設備和信道較混亂。5、網(wǎng)絡邊界防護經(jīng)測試，XXXX銀行不存在內(nèi)外網(wǎng)互聯(lián)情況，未建立開發(fā)測試等環(huán)境，網(wǎng)絡邊界清楚、安全。（四）外包及滲透測試調(diào)查經(jīng)調(diào)查，XXXX銀行營業(yè)網(wǎng)點互聯(lián)網(wǎng)WLAN為XXXXXXXXXX提供，該行和該企業(yè)簽署了外包服務協(xié)議，要求了權責歸屬、保密義務、違約責任、服務質(zhì)量及售后、款項支付等事項。該企業(yè)每十二個月對XXXX銀行無線網(wǎng)絡安全情況開展專題評定并出具匯報。經(jīng)調(diào)查，XXXX銀行每十二個月聘用外部專業(yè)機構對網(wǎng)絡安全進行風險評定和測試，針對網(wǎng)絡布署架構、設備及系統(tǒng)，主動采取配置監(jiān)測、漏洞掃描、滲透測試等技術服務。為XXXXXX，為XXXX省信息化和信息安全評測中心。該行針對測試發(fā)覺問題，主動進行了整改，切實預防網(wǎng)絡安全事件發(fā)生。威脅識別：聘用外部專業(yè)機構開展風險評定和測試工作中未包含互聯(lián)網(wǎng)WLAN項目。（五）應急管理調(diào)查XXXX銀行成立了網(wǎng)絡安全和信息化領導組和突發(fā)事件應急領導組，均由董事長任組長，并制訂了《XXXX銀行網(wǎng)絡和信息系統(tǒng)突發(fā)事件處理和匯報管理措施》、《XXXX銀行計算機及網(wǎng)絡安全應急預案》、《XXXX銀行營業(yè)場所突發(fā)事件應急處理預案》和《XXXX銀行特約商戶緊急事件應急預案》，明確了網(wǎng)絡和信息系統(tǒng)突發(fā)事件處理和匯報步驟，建立了網(wǎng)絡安全事件應急響應機制，制訂了專題應急預案和處理方案，確保了網(wǎng)絡安全事件得到有效處理。XXXX銀行每三個月組織全轄開展應急演練，出具演練匯報，針對發(fā)覺問題立即整改。（六）合規(guī)審計調(diào)查XXXX銀行合規(guī)風險部和稽核審計部每十二個月針對信息科技風險情況進行專題檢驗和審計工作，出具年度科技信息工作評定匯報和年度科技信息工作審計匯報。匯報涵蓋了制度建設、突發(fā)事件處理、網(wǎng)絡防護、業(yè)務連續(xù)性、運維管理、軟件正版化、外包管理和宣傳教育等各個方面，能夠全方面評定信息科技存在不足和風險情況。威脅識別：匯報中未針對互聯(lián)網(wǎng)WLAN情況開展專題評定。五、風險處理（一）現(xiàn)有風險分類1、基礎建設方面XXXX銀行營業(yè)網(wǎng)點TP-LINK路由器行為管理等管理能力微弱，不能有效管理用戶訪問等行為；總行互聯(lián)網(wǎng)入口處僅配置