网上银行安全评估报告_第1页
网上银行安全评估报告_第2页
网上银行安全评估报告_第3页
网上银行安全评估报告_第4页
网上银行安全评估报告_第5页
已阅读5页,还剩38页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第十一章 系统平台安全评估结果11.1 系统平台安全评估结果汇总与分析首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估,然后综合各部分评估结果形成网上银行系统平台安全评估结果,具体评估结果见下表:评价内容评价结果权重加权值结果值结果描述物理环境安全物理环境80大部分符合20%16设备安全80大部分符合40%32介质安全80大部分符合40%32物理环境安全权重及综合评价10%80网络平台安全网络及边界安全80大部分符合30%24网络系统安全设计80大部分符合10%8网络访问控制80大部分符合10%8网络安全检测分析80大部分符合10%8网络连接80大部分符合10%8网络可用性80大部分符合10%8网络设备的安全管理与配置80大部分符合20%16网络平台安全权重及综合评价10%80操作系统/平台安全帐号安全100完全符合20%20文件系统安全80大部分符合10%8网络服务安全80大部分符合10%8系统访问控制80大部分符合10%8日志及监控审计60基本符合10%6拒绝服务保护80大部分符合10%8补丁管理80大部分符合10%8病毒及恶意代码防护80大部分符合10%8系统备份与恢复60基本符合10%6操作系统/平台安全权重及综合评价20%80数据库系统安全数据库帐号安全80大部分符合30%24数据库访问控制80大部分符合20%16存储过程安全80大部分符合10%8补丁管理80大部分符合10%8系统备份与恢复60基本符合20%12日志及监控审计80大部分符合10%8数据库系统安全权重及综合评价20%76应用系统安全身份鉴别100完全符合10%10访问控制80大部分符合10%8交易的安全性80大部分符合10%8数据的安全性80大部分符合10%8密码支持80大部分符合10%8异常处理80大部分符合10%8输入输出合法性60基本符合10%6备份与故障恢复60基本符合10%6安全审计 80大部分符合5%8资源利用80大部分符合5%8安全管理80大部分符合10%8应用系统安全权重及综合评价40%72综合评价结果76通过网上银行系统平台安全评估结果,AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。好的方面主要表现在以下几个方面:1) 运行维护方面:建立了完整的日志及审计机制,日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。在网银系统的Internet入口部署了IDS,可以及时监测流量突发事件和事件源头。目前网络管理主要使用加密的SSH和HTTPS,加密的数据传输对嗅探攻击相对安全。网上银行技术支持小组及时了解、分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。网络设备的OS与配置文件有管理员备份和保管。2) 网络设备安全方面:网络设备有统一的安全配置规范。例如:IOS版本版本生机到高版本,设备口令加密存储,停止无用服务等。网络设备的管理制度与执行符合安全性要求。3) 安全域划分方面:划分了合理的安全域,Internet区、DMZ区、Trusted区、Intranet区、安全管理区。4) 网络安全控制方面:网上银行在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等。网上银行网络进行分段,通过交换器连接各段,把网络分成若干IP子网,各子网通过防火墙连接并控制各子网间的访问。5) 安全管理方面:机房的物理环境和管理方面为专业的机房托管服务商提供。安全管理的策略建立方面做得比较详细,从识别安全风险到制定控制框架都考虑的很全面,并且针对各业务流程、操作和管理流程都制定了详细的控制方法和要求。不足之处主要表现在以下几个方面:1) 机房管理区域网络接入的控制不够严格,其他无关人员可能私自接入到业务网络中。2) 网上银行系统网络没有建立统一时钟服务,不能保证主机、设备时钟同步,在日志分析中会有很多的困扰。3) 网上银行系统设备基本为静态密码,因此面临着暴力破解的危险。4) 没有部署专业的备份软件与磁带库设备,不能完善数据的增量备份、差分备份等,备份系统自动化程度低。建议近期重点从如下几个方面进行改进:1) 严格限制机房管理区域网络接入的控制,严格执行AAA银行的计算机系统管理内控制度中的“机房管理”规范。2) 建立NTP统一时钟服务,保证主机、设备可以通过配置NTP服务器进行时钟同步,可以帮助安全事件的分析和作为追踪事件源的依据。3) 建议配置动态口令认证机制,降低设备口令被暴力破解的风险。4) 建议部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。11.2 系统平台安全评估结果详细描述11.2.1 物理环境安全 物理环境1) AAA网银系统平台的运行环境在万国数据(GDS)的机房内托管,GDS机房的环境是按照国家A类机房的标准进行建设的,在防火、防潮、防静电、防盗、电源安全等方面都能够满足国家A类机房的标准。2) 在AAA中国网上银行系统安全策略和中国资讯科技中心操作规程中明确制定了对生产环境和机房物理环境的安全要求。3) 数据中心作为存放银行所有电子设备和业务数据的地点,必须具备足够的抵抗自然灾害的能力。4) 为防止火灾,机房大楼内安装有烟雾探测器和灭火系统。5) 由于电子设备对环境温度要求比较高,机房内配备双重冷暖空调,确保环境温度在18-24摄氏度左右。6) 机房内配备两台不间断稳压电源,确保系统在断电状态下继续工作24小时以上。7) 机房内安装有视频监视系统,通过CCTV监控机房入口和机房内不同区域,一旦发现异常活动立即报警。8) GDS万国数据中心能够提供符合国家标准的机房环境,包含符合灾难备份原则的机房选址、具备高抗震指标、高承重提升地板的物理建筑,具备多路专线供电线路、长延时冗余UPS系统、备用发电机组、专业精密空调系统以及气体灭火系统等各种基础设施,具备7 x 24小时的严格出入授权控制和7 x 24小时的监控录像措施和严格的管理规范。9) 对于进入机房的维护工作有严格的申请规定,并且对访问时间和人数进行了控制,在访问机房的过程中,有专人全程陪同。10) AAA的机房区域与其他托管公司的机房有独立的区域,具备很好的隔离措施。11) 对网银平台设备的维护工作只能在GDS的管理区域进行操作,不能通过远程访问的方式进行维护。问题分析:AAA的网银系统在机房的物理环境和管理方面采用了外包托管给专业服务商的方式,并且该服务商在业内拥有较高的声誉和很好的服务质量,因此在物理环境管理方面基本可以符合要求。但在维护区域的网络接入控制上仍有提高的空间。80-大部分符合评价结果:建议措施:建议加强对管理区域网络接入的控制,防止其他无关人员私自接入到业务网络中。 设备安全1) 所有的服务器、网络设备、安全设备和存储设备都托管在GDS机房中,人员的机房进出有严格的控制,并且有24小时的监控录像,基本能够保证不会有外来人员对设备进行破坏。2) 所有的人员访问,包括外来人员和厂商的维护人员都有专人进行全程陪同,防止外来人员对设备进行意外的破坏。3) 所有设备都是安装在机柜中,机柜要求上锁,所有的线路都是采用顶棚布线的方式并且有防护罩对线路进行保护。4) 网上银行安全策略中对设备的强壮性也进行了要求。5) 所有电子设备均向信誉卓著的厂商如SUN,CISCO,IBM等购买,以确保设备本身性能优良。6) 每个关键设备,如WEB服务器等均配备有备份系统。7) 每个关键设备的关键元件配备冗余元件,如硬盘均配备有镜像磁盘。问题分析:由于是在专业的机房托管服务商处进行管理,并且重要的设备都配备了冗余或备件,所以对于设备安全保护工作基本能够满足现在的需要。80-大部分符合评价结果:建议措施:无。 介质安全1) AAA网银系统所使用的介质资源主要是用于备份的磁带,磁带在做完备份后首先会保存在GDS运维区域的保险柜中,定期有专人将磁带转移回公司。2) 网上银行安全策略中规定每个备份磁带贴上标签以后仔细保存在安全的地方。3) 磁带的保管由安全部门负责,所有的磁带介质都将采上海市内的取异地存放的方式保存。问题分析:对于磁带介质的安全保管,AAA采取专人、异地、并使用保险箱进行保存,在很大程度上确保了数据的安全,但同城存放使抵御灾难的能力不够强。80-大部分符合评价结果:建议措施:1) 网银系统的客户数据和交易数据作为AAA的最重要信息资产,但靠一份磁带备份很难确保其最大的安全性,建议可以采取远距离异地双重备份的方式提高数据介质的高可用性。11.2.2 网络平台安全 网络及边界安全1) AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持,利用服务器群集技术完成HA和LB。2) 网银系统到Internet分别通过电信和网通的链路连接,做到了链路备份与负载均衡。3) 系统与Internet之间设置了防火墙,对Internet用户访问系统实施了访问控制,减少了来自Internet 的威胁。4) 系统在Internet出口处部署了IPS,对来自Internet的网络访问行为进行监控和防护。5) 交换机在口令配置、使用协议和服务管理等方面进行了一定的安全配置。问题分析:AAA网银系统网络在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。但网银系统网络没有为主机、网络设备、安全设备提供统一的时钟,保证网银系统时钟的统一和正确。统一的时钟可以保证各设备的日志是同时产生的,有利于事后追查对时间的定位;缺乏网管系统,在网络管理方面主要使用手工登录的管理方式。80-大部分符合评价结果:建议措施:l 考虑到各类设备较多,管理员对设备的管理采用手工方式效率较低,建议引进网管软件。l 建议网银系统网络建立统一时钟服务,保证主机、设备可以通过配置NTP服务器进行时钟同步。 网络系统安全设计1) 边缘路由器和防火墙之间的网络地址使用Internet保留的私有地址,可以保证从Internet不可以直接访问到路由器的对内网络和防火墙的对外网口。2) 网银系统各相临网段之间(直连路由)可以互相访问,跨网段(非相临网段)路由不可达。3) 关键主机部署了主机入侵防护产品,能提供攻击防护、终端控制和安全事件监控和审计等功能以确认网银系统多个服务器的完整性和策略依从。4) 关键主机部署了一致性管理和漏洞评估产品,主要是确保公司符合严格的使用标准,发现尚未安装的补丁等系统漏洞并指导用户快速修复,从而避免许多代价昂贵的安全问题。5) 部署了日志审计软件,便于安全事件的检测和存储,可以帮助安全事件的分析和作为追踪事件源的依据。问题分析:网上银行安全系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等;同时对网络进行分段,通过交换器连接各段,把网络分成若干IP子网,各子网通过防火墙连接并控制各子网间的访问。80-大部分符合评价结果:建议措施:无 网络访问控制1) 网银系统网络划分了合理的安全域,包括:l Internet区网银用户所在区域;l DMZ区网银系统WEB服务器、短信网关服务器、证书服务器所在区域;l Trusted区网银系统核心业务区;l Intranet区用户的内部网络,网银内部管理柜员从此网段访问内部管理系统;l 安全管理区防火墙、日志审计、漏洞扫描等安全管理服务器所在区域。2) 各安全域有明确的边界,各安全域之间采用了合理的控制措施和安全策略。3) 在防火墙的安全规则中禁止来自边缘路由器各端口对内、外层防火墙各端口的访问,即使边缘路由器被攻破,也可以防止来自边缘路由器的攻击。问题分析:网银系统网络结构合理,总体逻辑清晰,各安全域之间的安全策略控制有较好的细粒度,防火墙策略变更时遵循网上银行安全策略,可以防止防火墙策略变更时不会产生安全策略限制不严的情况但没有明确定义常见的蠕虫端口进行策略限制。80-大部分符合评价结果:建议措施:定义蠕虫传播端口,增加这些端口的Deny策略。 网络安全检测分析1) 路由器、交换机和防火墙的帐号与密码采用了高强度的密码机制,并且启用了加密保护机制,配置了强加密的特权密码enable secret。2) 网络设置了CONSOLE 口管理的密码控制机制,禁用了SNMP服务。3) 路由器、交换机禁止HTTP服务管理功能,防火墙禁用了外网口的远程管理,系统管理登录连续失败4次进行帐号锁定,系统访问超时自动退出等安全措施。4) 网络设备均禁用了不必要的系统服务。5) 对网络系统设备的配置文件进行了完整的备份,由管理员保管。6) 交换机和路由器没有通过访问控制列表做防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制等,通过防火墙来完成这方面的控制。7) 网络设备更改了默认的系统日志配置信息,通过专业的日志分析软件(RSA Intrusion Log Server)进行日志收集与分析。问题分析:网络设备的安全进行了比较全面的安全配置,对日志进行专业的分析。80-大部分符合评价结果:建议措施:不能完全依靠管理员来完成配置文件的备份,建议设置专用的网络设备OS和配置文件备份服务器。 网络连接1) AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持,利用F5完成了网络层面的HA和LB。2) AAA网银系统网络与Internet通过电信和网通链路联接。3) 网银系统与核心业务服务器通过局域网联结,使用防火墙逻辑隔离。4) 网银系统与柜员、OA等系统的联接为DDN,使用使用防火墙逻辑隔离。5) 网络安全管理平台和其他网络之间使用防火墙逻辑隔离。问题分析:AAA网银系统平台端的网络均为双链路,可以保证网络连接的可靠性,防火墙配置了严格的安全策略,可以保证所有网络连接数据通信的合法性,同时可以防止蠕虫病毒的泛滥,较好地预防了可能发起对网银系统的DOS/DDOS攻击。80-大部分符合评价结果:建议措施:明确定义蠕虫传播端口,增加这些端口在防火墙是上的Deny策略。 网络可用性1) AAA网银系统网络全为双链路冗于,采用F5-BIG- LTM-6400- 4GB-RS做负载均衡与链路备份。2) 网络设备采用心跳线同步用户会话,保证网银系统在做链路切换时对用户透明。3) 通过防火墙完成防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制。问题分析: AAA网银用户可以通过电信或网通的数据链路访问网银系统,网银系统的局域网也是双链路到服务器,确保业务的不间断服务。80-大部分符合评价结果:建议措施:无。 网络设备的安全管理与配置1) CONSOLE口管理的具有密码控制机制,远程管理只能通过固定的网段登陆,而且设置的密码足够强壮。2) 禁止HTTP服务功能,禁用了SNMP服务。3) 防火墙的管理方式为SSH和HTTPS,密码设置符合复杂性要求,防火墙策略的变更有完整的控制机制:l 提前一周将修改后防火墙规则书面送交安全管理小组;l 网上银行技术支援小组负责更新规则;l 防火墙网关自动检查规则文件并记录进改变日志文件中;l 安全管理员登录系统检查日志文件;l 如果日志文件经过备份后不再需要,安全管理员定期删除日志文件。4) 网络设备的OS与配置文件由设备管理员进行了完全的备份。问题分析: 网络设备的管理基本符合安全性要求,但设备的口令为静态口令,存在暴力破解的风险。另外网络设备的OS与配置没有专用的备份服务器。80-大部分符合评价结果:建议措施:l 建议配置网络设备动态口令认证机制;l 建议设置专用的OS和配置文件备份服务器。11.2.3 操作系统/平台安全 帐号安全1) 操作系统的帐号被严格限制,对于系统中默认的用户和安装应用增加无用帐户采取了锁定或禁用的方式,仅新建并保留有限的管理帐户(包括root帐户)。2) 当系统上线后,所有的用户密码将使用专用的密码生成器生成,保证密码的安全度,防止被有规律的猜解。3) 系统的远程管理使用SSH方式登录,禁用了系统telnet服务,确保了登录过程中数据的安全性。4) 系统本身对帐户密码的长度、复杂度和更换时间进行了限制,同时AAA的网上银行安全策略中对帐户密码的安全设置和管理要求进行了规定。5) AAA中国网上银行的UNIX主机和NT服务器的超级用户密码将由AAA中国网上银行技术支援小组和安全管理员共同设置。密码长度不少于8位,前4位由技术支援小组设置和掌握,后4位由安全管理员设置和掌握,所有需要使用超级用户密码操作权限的工作都需要由技术支援小组成员和安全管理员共同输入密码后,由技术支援小组人员进行操作。密码每个月必须更换一次,2个小组的成员在更改密码之后分别将自己那部分密码密封,交由CITC经理保存,以备紧急之用。问题分析:操作系统平台的帐户和口令管理在制度和落实的方面都做得非常详细,对帐户口令的长度、复杂度、使用期限和安全保护等方面都已经完全能够满足需要。100-完全符合评价结果:建议措施:如果能够对root用户的远程登录进行控制,并对那些普通用户和以su到root用户的权限进行控制的话会使增加系统帐号访问的安全性。 文件系统安全1) Solaris操作系统使用UFS系统文件格式。2) 系统的/etc目录下文件的读写权限进行了严格分配,并且当用户登录时使用了安全的环境变量设置。3) 包括对用户帐户、密码文件,crontab计划任务文件等重要系统文件的修改和访问权限也进行了严格的控制,防止被恶意入侵者非法读取或修改。4) 对于安装的应用程序,如Oracle的文件安装目录的访问权限也进行了严格控制。5) 现在并未建立对系统帐号和权限分配的定期检查机制。问题分析:由于没有建立对帐号和权限的定期检查机制,对于文件权限的改变不能及时的发现,如果在维护的过程中被不小心修改,或当有恶意入侵者修改了文件权限的话就不能及时了解到当前所面临的安全威胁。80-大部分符合评价结果:建议措施:建议增加对帐号和权限的定期检查机制,制定定期的检查,可以采取人工方式检查或工具检查的方式进行。 网络服务安全1) 操作系统关闭了Telnet远程管理服务,使用SSHv2的方式进行远程管理。2) 禁用了系统自带的FTP服务,使用更加安全的SFTP服务提供文件传输的服务。3) 服务器进行基本的加固服务,禁用了系统中各种无用而默认开启的网络服务,如SNMP、Sendmail、name、uucp等服务。4) 没有开启rlogin或rsh等远程登录的访问访问服务。5) 开启了NTP服务,设置统一的NTP服务器保证系统时间的统一和准确。6) 禁用了X终端的登录。问题分析:当前的操作系统对无用的网络服务都已关闭,对于已开启的网络服务业都采取了加密的方式传输数据,即能够保证数据的安全性,有效的降低了开启无用服务带来的潜在安全隐患。80-大部分符合评价结果:建议措施:无 系统访问控制1) 系统禁用了X终端的登录方式,采用SSH的方式进行远程管理。2) 对于系统访问登录的尝试次数和空闲时间都进行限制,多次登录失败后会自动断开连接,或者空闲时间超时也会自动断开连接。3) 主机没有对访问IP的连接进行限制。由于是在封闭的小范围内部网络中,不限制访问IP对系统安全的影响不大。4) 主机本身没有开启防火墙,所有的外来访问控制都是通过外部的专用防火墙进行控制。5) 主机上的文件系统对用户访问的权限也进行了较好的控制,防止其他用户对重要系统文件的非法访问。问题分析:采用SSH的加密方式对系统进行远程管理可以有效的保证数据的安全性,使用防火墙也能够有效的控制外来的对系统的非法访问,只是对系统文件访问的权限控制要想做到严格的控制还是有一定的难度。80-大部分符合评价结果:建议措施:建议在系统本身增加对系统访问IP的控制,虽然现在使用防火墙对外部向内部的访问进行了控制,但无法对本网段设备的访问进行控制。 日志及监控审计1) 操作系统开启了基本的日志审计功能,包括记录登录行为、告警、认证、邮件、通知等日志。2) 所有的日志记录信息都会存储在专用的日志服务器上,采取统一管理的方式确保日志文件的安全,并未使用加密的方式保存日志。3) 对于日志的保存期限尚没有严格的规定,现在的情况是如果存储的空间不足则会根据需要删除过去最早的日志文件来释放磁盘空间。4) 为监控可能的入侵活动,安全管理员将会每天分析所有防火墙和UNIX服务器上的日志文件。同时,中国总部将会分析应用日志报表。管理层将会定期地召开安全会议,一旦发生迹象明显的入侵攻击活动,安全管理员将要求召开安全会议。AAA内部稽核部门也会对安全政策实施内部稽核,并向管理层递交稽核报告。5) 系统缺少实时监控的手段,没有网管、系统管理或SOC等工具帮助监控,只有人工定期会对系统的运行状态进行巡检。问题分析:在日志的记录方面能够记录的比较详细,并且采取了集中保存的方式保障的日志文件的安全性,防止篡改;对采集到的安全日志进行分析能够较早的发现系统的安全问题和入侵隐患。没有系统监控设备,无法及时有效的了解系统的运行状态和安全现状,虽然采取了人工或手工方式进行弥补,但效果并不如使用监控软件明显。60-基本符合评价结果:建议措施:建议建立SOC一类的管理工具加强对审计日志的及时分析和对系统状态的实时监控,既能有效了解当前系统的安全状态,也能够及早的发现并预防潜在的安全隐患。 拒绝服务保护1) 操作系统本身进行了基本的抵御拒绝服务攻击的配置,使用Solaris的安全增强工具。2) 在对外访问方面是通过防火墙进行保护DOS攻击,并且部署了IDS设备及时发现来自外部网络的恶意攻击。3) 无论是WEB服务器还是后台应用和数据库服务器都是使用双机冗余或2台设备同时提供服务的方式,以降低DOS攻击对业务造成的影响。问题分析:无论是在系统本身的防护方面还是在外部的保护方面,对DOS的攻击基本防护都已做到,并且除WEB设备之外都是在独立的内部网络中运行,DOS的影响不大,但毕竟对DOS攻击的防护是很难保证完全抵御的。80-大部分符合评价结果:建议措施:无 补丁管理1) 目前AAA网银系统的各平台主机操作系统都是安装的最新版本的操作系统和应用软件,并且所有的补丁也都是最新的。2) 在AAA网上银行安全策略中对软件补丁的管理做了要求。3) AAA中国网上银行技术支持小组应及时了解,分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。4) 对于新的补丁在已经上线运行的主机上通常不会马上安装,只有必须更新的补丁才会在进行足够的安全和稳定性测试之后,更新到服务器上。问题分析:现在的补丁管理策略虽然明确了主要的工作目标和要求,但具体的规定不够详细和具体。并且现在AAA缺少足够的条件对补丁在更新前进行全面的测试。80-大部分符合评价结果:建议措施:由于网银业务是需要提供高可用的在线业务,系统中断对业务的影响非常大,所以建议在更新系统补丁之前一定要做好全面的兼容性和稳定性测试工作。 病毒及恶意代码防护1) AAA网上银行系统所使用的服务器系统现在都是UNIX系统,遭到病毒侵害的几率较低,因此服务器本身没有安装防病毒的软件。2) 在网上银行安全策略中有针对系统病毒控制方面的说明,其中没有要求系统安装防病毒软件,但要求使用诺顿检测程序确保服务器上数据的完整性。3) 服务器管理方面没有对恶意代码防护的要求,在外部网络接入处使用IDS和防火墙对网络中传播的病毒和恶意代码进行过滤,防止传播到内网。问题分析:基于网银系统设备都是部署在有IDS和防火墙隔离的单独网络中的现状,同时使用的是UNIX操作系统,病毒对系统的危害并不十分严重,因为针对UNIX病毒的非常少。但现在缺少对恶意代码的监控和防范,恶意代码可以通过人为或借助系统漏洞的方式传播到操作系统上,形式更为隐蔽,难于发现。80-大部分符合评价结果:建议措施:加强对恶意代码的监控和防范,可以使用一些智能的检测工具或对向系统中传送的代码进行严格的分析,及时修补系统中存在的漏洞,虽然对恶意代码的防范比较困难,但应尽量降低恶意代码可能对系统造成的威胁。 系统备份与恢复1) AAA网上银行安全策略中在系统运行安全部分专门针对备份和恢复方面的内容做了要求。2) 必须对程序和数据按照事先规定的频率和周期进行足够的备份,每个备份磁带贴上标签以后仔细保存在安全的地方。3) 所有可能影响到客户服务和内部运作的关键数据必须系统地备份下来,以保证在系统失败时能够提供基本服务。备份数据必须保存两个以上拷贝,其中一个应该放在数据中心附近以便出现紧急情况时就近恢复。另外的拷贝放在物理上相距较远的地方,禁止将所有拷贝放置于同一地点以免灾难发生时损坏所有备份。4) 在网上银行紧急应变计划、中国资讯科技中心操作规程和计算机系统备份和恢复管理制度中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。5) 但现在网银系统缺少对备份数据的验证和恢复性测试,无法保证备份的可靠性和有效性。问题分析:在操作系统的备份和恢复的策略制定和执行方面AAA做的还是比较全面的,但缺少对策略和数据的实质可用性测试,因此无法保证当故障发生时能够有效的进行恢复。60-基本符合评价结果:建议措施:建议增加对应急计划的模拟演练,例如,每一年或半年演练一次,同时加强对备份数据可用性的测试,应当定期对备份数据进行有效的恢复性测试。11.2.4 数据库系统安全 数据库帐号安全1) 数据库帐号密码采用了高强度的密码机制(长度、复杂度要求)。2) 数据库DBA的密码设置了定期更新策略,降低了DBA的密码被暴力破解的风险。3) 关闭了数据库不必要的默认帐户和空口令帐户,防止无用帐户的非法连接请求。4) 修改了数据库默认帐户的原始密码。问题分析:数据库平台的帐户和口令管理在制度和执行方面都做得非常细致,对帐户口令的长度、复杂度、使用期限和安全保护等方面都可以满足数据库帐号安全的要求。80-大部分符合评价结果:建议措施:保证数据库所在操作系统的安全性。 数据库访问控制1) AAA数据库有详细的权限分配记录,权限分配控制在表访问粒度层面。2) AAA数据库日常维护使用的帐户为特定的维护帐号,到对数据库的管理只能通过SSH访问数据所在主机来管理,没有配置数据库客户端管理工具。3) AAA数据库只有一个数据库实体。4) AAA数据库限制了普通用户对保存用户名和口令的数据库连接的访问,并限制普通用户对操作轨迹文件的访问。5) 在应用开发方面明确要求不允许将用户 ID 和口令硬编码到数据库链接中,需要进行加密转换到应用程序的编码中。问题分析: AAA数据库的访问控制做到了面面俱到,符合安全性的要求。80-大部分符合评价结果:建议措施:无。 存储过程安全1) AAA网银系统数据库修补了DBMS_EXPORT_EXTENSION存储过程存在的PL/SQL注入漏洞,可以防止低权限用户以DBA权限执行任意SQL代码。问题分析: AAA技术人员应密切重视Oracle存储过程安全问题,预防存储过程出现的安全问题。80-大部分符合评价结果:建议措施:及时更新数据库补丁,防止未打补丁出现的安全问题。 补丁管理1) 数据库为Oracle为最新的版本,Oracle的补丁也是更新到目前的最新版本。2) 在AAA网上银行安全策略中对数据库补丁的管理做了明确的要求。问题分析: 根据AAA网上银行安全策略要求,AAA中国网上银行技术支持小组会及时了解,分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400,Oracle等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统的无安全漏洞。80-大部分符合评价结果:建议措施:l 建立数据库补丁的测试流程,确保补丁对网上银行系统的兼容性和可用性。l 建立数据库补丁的加载流程,一旦厂商发布安全补丁并通过测试对系统无影响后,立即进入补丁的加载流程。 系统备份与恢复1) AAA网银系统使用STK的磁带机进行数据备份,每周一次全备份。2) 使用磁带这种离线的备份方式,可以充分保证数据备份的安全性。3) 根据设计要求,定期对备份数据进行恢复性测试,确保数据的可用性与完整性。4) 在网上银行紧急应变计划、中国资讯科技中心操作规程和计算机系统备份和恢复管理制度中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。问题分析: AAA网银系统的备份方式可以充分保证备份数据的安全性与可恢复性;但不能实现数据的完全恢复,备份的自动化程度低,应考虑在数据全备份的基础是增加增量备份的备份策略,条件允许的情况下可以考虑异地灾备系统。60-基本符合评价结果:建议措施:l 部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。l 部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。 日志及监控审计1) 在操作系统层面开启了数据库软件的日志记录与审计功能。2) 在数据库层面的日志功能有:l 开启了操作日志功能;l 记录各种身份帐户的登录日志;l 开启TNS监听器的日志记录。3) AAA网银系统有专用的日志服务器长期保存数据库日志。4) 使用专业的日志审计软件进行数据库日志的监控和审计。问题分析:日志记录完整,并有专业的日志审计软件,但日志数据保存的时间没有明确的规定。80-大部分符合评价结果:建议措施:完善日志数据保存的时间安全管理策略,使安全事件的追溯做到有据可查。11.2.5 应用系统安全 身份鉴别AAA网银系统在客户的身份鉴别方面采取了多种安全控制手段,防止被他人盗用。1) 唯一身份认证:通过唯一的用户昵称、唯一的用户手机号和唯一的证书表示用户身份,在系统活动过程中,代表用户身份的会话ID也是唯一的。2) 网银安全问题:安全答案,提供了除密码之外的又一身份认证安全手段。3) 手机动态密码验证:,网上银行平台将产生随机动态密码,并将此动态密码发送到用户的签约手机号上并用户在相关敏感交易页面输入正确的手机动态密码,交易才能完成。4) U-KEY证书:每次使用U-KEY证书进行签名时,U-KEY都将提示输入U-KEY密码,从而阻止了U-KEY被窃导致证书私钥泄露的可能。5) 使用证书的用户采用CA中心颁发的数字证书作为身份证明,通过网银的安全代理服务器进入到网银系统环境来。6) 对于证书申请的流程,AAA也制定了较为完善的流程策略保证申请过程的安全可靠。问题分析:AAA的网银系统在用户身份鉴别方面的控制做的非常详细,无论在身份认证还是证书的申请流程,无论是技术方面的控制还是管理流程上的要求都能够满足当前网上银行交易业务在身份鉴别方面的安全要求。100-完全符合评价结果:建议措施:无。 访问控制AAA网银系统采取了多种手段对客户登录系统进行了访问控制。1) 防止多人登录:网上银行系统针禁止多人用同一用户昵称同时登录,保证了交易数据的唯一性。2) 安全代理服务:AAA网上银行系统采用安全代理服务的方式,在客户端和AAA网上银行服务器间建立一个安全的SSL数据通道,只有持有证书的用户(包括商户客户和个人签约客户),才能登录到AAA网上银行系统进行交易。3) 网银系统针对不同的客户类型限制了用户登录的界面和登录后拥有的权限,同时在系统登录页面,会产生图形格式的随机附加码,防止暴力破解。4) 应用访问控制:系统只开放提供用户访问的接口,而且通过接口只能完成系统提供的功能,有效防范黑客请求。5) 客户会话并发控制:网银系统能够控制客户会话的并发数目,当会话数量过大时,将采取排队的方式进行等候。问题分析:AAA的网银系统对用户的访问控制做了详细的策略和部署,既能保证正常用户的访问使用,又能在最大程度上防止用户恶意操作和黑客攻击对系统造成的影响,基本满足了安全的要求。80-大部分符合评价结果:建议措施:无。 交易的安全性AAA网银系统,为保证客户交易的安全采取了多种保护措施。1) 针对目前已经多次出现的假冒银行网站骗取客户账号和密码的情况,AAA个人网银中加入网银预留信息,此预留信息是客户登录网银后留下个性化信息,假冒网站无法获取此信息,从而对客户进行了网站身份的标示。2) AAA网上银行安全客户端控件,能有效的防治像“网银大盗”等木马程序与黑客病毒盗取AAA网上银行用户敏感信息,保护客户使用AAA网上银行的安全。3) AAA网上银行系统将会通过检测网银用户的预留信息是否完善,是否有安全问题和安全答案,电子银行密码是否是简单数字序列,账户是否到柜面签约为更安全的手机认证和证书认证方式,实现对用户交易信息安全检测。4) 采用交易签名与验证的的方式保证交易过程的安全,同时建立了完善的交易签名和验证流程。问题分析:AAA网银系统不仅考虑到了,客户端软件的安全,同时也考虑到了防止客户登录钓鱼或虚假网站给客户带来的损失。并且网银系统通过检查客户信息的安全有效性来验证客户身份的真实可靠。使用电子签名和证书的交易方式,较好的保证了交易过程的保密性和抗抵赖性。80-大部分符合评价结果:建议措施:无。 数据的安全性1) 安全代理服务:AAA网上银行系统采用安全代理服务的方式,在客户端和AAA网上银行服务器间建立一个安全的SSL数据通道。实现用户的证书身份认证和数据的签名和加密。以最大程度的保护交易系统的安全。2) 使用证书的用户采用CA中心颁发的数字证书作为身份证明,通过网银的安全代理服务器进入到网银系统环境来。3) 网上银行系统在数据传输过程中,将使用客户唯一的私钥进行加密签名。4) 全部使用端到端的加密传输方式:客户数据通过F5上的SSL模块建立SSL通道实现数据加密;WEB服务器上的APACHE配置服务器证书,以F5作为client,同样通过建立F5和Apache之间的SSL通道实现数据加密;通过WebLogic9.2提供的插件mod_wl_ssl.so部署到Apache中,APP服务器上配置服务器证书,实现WEB与APP之间SSL通道加密;网银应用与NDS应用约定三重DES加密算法和密钥,在APP服务器和NDS应用的数据通路中,将账号、取款密码、电子银行密码、姓名、证件类型、证件号等信息加密;通过SSH实现与OA LAN的数据通道加密。5) 只有APP服务器和数据库服务器之间由于是在同一网段内并且是Trusted Zone,没有进行传输数据流加密。6) 系统对所有关键信息(如密码),都以加密成密文进行存储,防止内部柜员读取关键信息明文。问题分析:AAA的网银系统在整个交易流程中几乎都采取了加密的方式传输数据,尽量防止数据在传输过程中被监听或破译。同时对于重要的客户信息数据也采取了加密的方式进行保存,一定程度上降低了数据被破译和窃取的风险。80-大部分符合评价结果:建议措施:虽然APP服务器和数据库服务器同处于可信任的内部网络中,但仍然存在被内部人员获取交易数据的风险,建议加强该传输部分的加密工作或者严格控制员工对该网络的接入。 密码支持1) 目前AAA电子银行密码采用的身份认证方式主要包括:卡号账号+密码、别名+密码的方式。2) 密码强度控制:AAA网上银行中密码中不允许出现用户的身份证件、电话号码、生日等经常使用的信息。3) 密码输入失败次数控制:在用户登录时,输错若干次(系统可定义)电子银行密码,用户就会被冻结,次日系统自动解冻。4) 手机动态密码验证:,网上银行平台将产生随机动态密码,并将此动态密码发送到用户的签约手机号上并用户在相关敏感交易页面输入正确的手机动态密码,交易才能完成。5) U-KEY证书:每次使用U-KEY证书进行签名时,U-KEY都将提示输入U-KEY密码,从而阻止了U-KEY被窃导致证书私钥泄露的可能。6) 网银安全问题:AAA个人网银通过网银安全问题和安全答案,提供了除密码之外的又一身份认证安全手段,安全问题和答案的认证方式更难以被破解,但是便利性也有部分程度下降。问题分析:AAA的网银系统对于用户密码的控制做的比较完善,除普通的密码验证外,还支持手机密码、U-KEY、提示问题等方式,从多个角度控制登录密码验证的安全性,一定程度上降低了用户登录信息被窃取所产生的安全风险。80-大部分符合评价结果:建议措施:无。 异常处理1) 网银系统的内部代码对于发生的错误有专门的处理模块防止出现的错误和回显的报错信息。对于无法处理的错误也会防止回显报错信息。2) 转账时间戳:针对国内多家网上银行曾经出现过的因为客户误操作导致的重复提交转账交易请求的问题,AAA个人网银设计了转账时间戳这一安全手段,通过重复提交的交易,时间戳一定相同这一原理防止客户误操作导致重复提交转账请求。3) 指定时间服务器,并且所有网上银行相关服务器将以此时间服务器的时间为准,各系统间通过约定协议获取时间服务器时间的方式,实现各服务器时间统一。防止时间不统一造成的异常故障。4) 对于正常的信息流,网银系统将正常的进行处理,并且以配置文件定义信息数据结构的方式,把网银可以接收的信息流限制在一个约定的范围里,对于外界异常的信息流,将以抛弃处理,防止外界异常信息流对网银系统造成的危害。问题分析:AAA的网银系统对部分业务操作中可能产生的异常故障采取了一些解决手段和控制措施,但对系统本身的运行状态和故障缺少有效的监控和预防,没有对系统本身故障处理的应对方法。80-大部分符合评价结果:建议措施: 建议加强现在对网银系统本身运行状态的监控和对可能出现的异常故障的解决能力,如,遇到系统进程死掉,系统自动重启或双机切换的方式。 输入输出合法性1) 在AAA网银系统总体架构设计中明确要求对转账类交易的付款账号进行交易账户校验,确保用户使用自己的账户进行交易、防止用户通过伪造表单的方式提交不属于自己的账号、防止用户中木马后在不知情的情况下被修改交易账户。2) AAA网上银行系统中,对相关动账交易中涉及的账户都会进行账户权限校验,包括校验账户是否有相关交易权限,校验用户是否有操作账户的权限等。3) 通过对帐户限额控制,控制用户在进行各种交易时能够使用金额的额度。问题分析:AAA网银系统通过对各种帐号有效性的确认,权限控制和额度控制等手段,在一定程度上满足了控制部分输入数据的合法性。但系统并未发现对输出数据合法性的的控制和要求,这样有可能会对用户或恶意人员泄露重要的系统信息或客户信息。60-基本符合评价结果:建议措施:建议在系统中增加对数据数据合法性的控制手段,如,系统报错的回显,用户查询结果的反馈等,应当确保不会出现泄漏系统信息或额外的数据结果的情况,降低暴露系统漏洞或泄漏客户信息带来的安全风险。 备份与故障恢复1) AAA网上银行安全策略中在系统运行安全部分专门针对备份和恢复方面的内容做了

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论