上海地区非银行支付机构分类评级技术评估报告表最终版.xls

第 1 页 上上海海地地区区非非银银行行支支付付机机构构分分类类评评级级技技术术评评估估报报告告表表 非银行支付机构 第三方评估机构 自评日期 第三方评估日期 说明 1 自评和第三方评估工作均应在综合评估非银行支付机构支付业务设施整体情况的基础上开展 2 每一指标项的评估结果均应在所给选项中进行选择 并在 情况描述 栏对得出该评估结果的理由进行简明扼要地阐述 如有证明材料等工作底稿 应附后 3 此表应在首页由非银行支付机构和第三方评估机构分别盖章 并由双方对此份报告表加盖骑缝章 分分类类评评级级参参考考指指标标 自自评评第第三三方方评评估估 情情况况描描述述评评估估结结果果 情情况况描描述述 一一 采采取取有有效效措措施施落落实实网网络络安安全全要要求求 应应关关注注结结构构安安全全设设计计 配配置置严严格格的的网网络络访访问问控控制制规规则则 检检查查边边界界完完整整性性 具具有有网网络络入入侵侵防防范范和和恶恶意意代代码码防防范范措措施施 配配置置网网络络设设备备防防护护 1 网络结构安全设计是否合理合理 接入机房的不同链路采用相同入口 双线不同入口否 网络存在单链路 单点网络设备 全网使用双设备双链路备份 没有单点网络设备 没有 未将办公网络 测试网络 开发网络等与生产网 络进行有效隔离 办公 开发 测试网络与生产网络在不同的异地机房 完全有 效隔离 完全有效隔离 应提供与当前运行情况相符的网络拓扑结构图和 设备列表 网络拓扑 和设备列表已提供 符合 应将相关设备进行分类摆放并合理标识 设备根据功能分区 放置在不同的机柜 标签纸已经标明设备 名和管理IP 分类并且合理标识 应保证主要网络设备的业务处理能力具备冗余空 间 满足业务高峰期需要 设备负载量低于15 能够应对业务高峰期需要 有冗余并且满足需要 应保证关键网络设备的双机热备 网络设备都有HA热备全部设备有热备 第 2 页 应保证网络各个部分的带宽满足业务高峰期需要 各个部分带宽都是千兆口和光纤口 Internet出口也足够应 对业务高峰期 满足 2 制定完善的网络访问控制策略 并且实施到位 根据每项业务端口添加控制策略访问控制策略完善且实施到位 移动POS通过无线路由器接入方式 无线路由器 未禁用SSID 并存在弱加密情况 没有此业务 开启了非必要的服务 如 ip source route finger echo daytime chargen discard 等服务 没开启其它没必要的杂项配置 未开启 SNMP协议设备的community字符串用于设备认证 信息 已经修改community字符串用于设备认证信息 否 未对未使用的网络设备端口进行有效控制 未使用端口已经关闭 需要时再手动启用 有完善的控制 防火墙采用了默认允许策略 所有防火墙都是默认拒绝策略否 未设置网络设备登录连接超时 网络设备超过10分钟无操作自动超时否 应根据各部门的工作职能 重要性和所涉及信息 的重要程度等因素 划分不同的子网或网段 按照不同的部门和功能已经划分为不同的网段区域已划分 按照方便管理和控制的原则为各子网 网段分配 地址段 目前根据不同数据区域 如互联网区 核心区 测试区 商户 接入区 机构接入区 等进行子网划分 并为各子网分配了不 同的地址段 符合 应在网络边界部署访问控制设备 启用访问控制 功能 目前网络边界双机冗余部署了H3C防火墙进行边界防护 并启 用了访问控制功能 部署且启用 应避免将重要网段部署在网络边界处且直接连接 外部信息系统 目前在网络出口边界双机冗余部署了H3C UTM200防火墙 并 且在核心区域部署了H3C F1000防火墙 未将重要网段直接部 署在网络边界 是 重要网段与其他网段之间采取可靠的技术隔离手 段 目前对生产网络划分了安全域 分别为互联网接入区 系统外 围应用区 核心区 远程操作监控区 机构接入区 商户接入 区和系统外围测试区等 各区域通过交换机 核心交换机和接 入交换机的路由及Vlan划分 和防火墙实现网络隔离 隔离 应能根据会话状态信息为数据流提供明确的允许 拒绝访问的能力 控制粒度为端口级 目前通过边界防火墙访问控制列表ACL进行边界访问控制 控 制粒度达到了端口级别 仅开放了业务所需的端口 有控制力度符合 应按用户和系统之间的访问控制规则 决定允许 或拒绝用户对受控系统进行资源访问 控制粒度 为单个用户 目前通过谐润运维堡垒机划分权限 各管理用户只能访问各自 管理的目标设备 使用相应权限下的配置命令 控制力度达到 了单个用户 有控制规则粒度符合 第 3 页 应在会话处于非活跃一定时间或会话结束后终止 网络连接 目前通过谐润堡垒机进行网络及安全设备的运维管理 并且设 置了会话超时断开时间为10min 是 应对进出网络的信息内容进行过滤 实现对应用 层HTTP FTP TELNET SMTP POP等协议命令 级的控制 目前部署的H3C UTM200防火墙只能实现对网络端口级的访问 控制 无法实现应用层协议命令级的控制 有过滤但非命令级 3 网络边界完整性检查 内外网非法连接阻断 准确定位非法连接位置等措施是否完善 目前采用shutdown所有网络及安全设备不用的端口的方式来 阻断非法内连 但无其他专门的设备或措施进行非法外联等的 阻断和准确定位 有措施但不完善 应对非授权接入到内网 内网用户接入外网的行 为进行管控 目前采用shutdown所有网络及安全设备不用的端口的方式来 阻断非法内连 但无其他专门的设备或措施进行非法外联等的 阻断和准确定位 不管控 应在网络边界处对恶意代码进行检测和清除 并 维护恶意代码库的升级 目前网络边界处部署了迪普的WAF3000进行网络边界处恶意代 码的检测和告警 恶意代码库通过厂商推送进行更新 检测但不清除 采取网络边界完整性检查措施 目前通过部署安全设备如防火墙等以实现网络边界访问控制和 拒绝服务攻击等 但无法实现网络边界完整性检查 否 在网络边界有效阻断非法连接 目前通过部署的防火墙实现网络边界的访问控制功能 能够阻 断网络边界的非法连接 是 能准确定位非法连接位置 目前采用shutdown所有网络及安全设备不用的端口的方式来 阻断非法内连 但无其他专门的设备或措施进行非法外联等的 阻断和准确定位 否 4 有效的网络入侵防范措施和入侵防范机制 目前网络边界处部署有迪普IDS IPS设备进行网络入侵防范 并且边界H3C UMT200防火墙启用了防DDOS模块 有完善的措施 攻击方快速连续地发送连接请求 导致服务器可 用的TCP连接队列很快被阻塞 系统可用资源急 剧减少 网络可用带宽迅速缩小 目前网络边界处部署了H3C UTM200防火墙 且启用了防DDOS 模块 能够有效应对网络边界处的DOS DDOS攻击 有完善的防范措施 通过伪造IP地址和MAC地址实现ARP欺骗 能够在 网络中产生大量的ARP通信量使网络阻塞 攻击 者只要持续不断的发出伪造的ARP响应包就能更 改目标主机ARP缓存中的IP MAC条目 ARP攻击主 要是存在于局域网网络中 现已经绑定静态ARP 并启用防ARP攻击功能 有完善的防范措施 应能够有效防范网络ARP欺骗攻击 现已经绑定静态ARP 并启用防ARP攻击功能 有完善的防范措施 第 4 页 应采用防范信息窃取的措施 敏感数据加密传输 并用加密机进行加密 通道都是VPN和专 线进行对接 有完善的防范措施 应具有防DoS DDoS攻击设备或技术手段 防火墙已启用防DDOS模块有完善的防范措施 应在网络边界处监视以下攻击行为 端口扫描 强力攻击 木马后门攻击 拒绝服务攻击 缓冲 区溢出攻击 IP碎片攻击 网络ARP欺骗攻击和 网络蠕虫攻击等 防火墙监控能监控部分攻击行为 应建立完善的入侵防范机制 记录入侵行为日志 自动报警 自动更新入侵防范规则库等 迪普IPS IDS有部分入侵防范机制 5 采取有效的网络恶意代码防范措施 定期更新 恶意代码库 迪普WAF设备进行防护有完善的防范措施 6 制定合理的网络设备防护安全配置策略 并实 施到位 防火墙配置设备防护策略完善且实施到位 目前SSL版本控制 目前通过SSL VPN进行网络设备的远程维护时采用SSL 3 0版 本 3 0及以上 采用弱加密方式全部使用复杂型密码否 SNMP协议的V1和V2版本没有使用加密措施 监控 网络流量的攻击者可以侦听到设备的配置信息 包括认证的细节信息等 目前未对采用的SNMP协议版本做要求 但通过修改默认 community字符串做了认证 是V1 V2版本且不能有效防范 攻击 Telnet是用来进行远程命令行访问的服务方式 应用广泛 但其并未针对安全进行优化 在数据 传输过程中没有采用加密或其它编码方式 目前网络及服务器等设备均已关闭telnet服务 远程管理统 一采用ssh和https方式进行 已进行安全优化 以type 7方式存储的enable密码的密文容易被 破解 我公司未使用cisco设备 所使用H3C网络设备均采用cipher 方式存储admin密码 且用户远程管理均采用ssh https加密 方式进行 设备对远程管理地址做了限制 因此能够有效防范 密码被破解的风险 能有效防范 第 5 页 攻击者破解密码进入后 可以获得网络配置信息 进行恶意攻击 我公司部署的H3C网络设备所采用的cipher加密方式存储 admin密码 且用户远程管理均采用ssh https加密方式进行 设备对远程管理地址做了限制 因此能够有效防范密码被破 解的风险 能有效防范 攻击者可利用BOOTstrap协议取得网络设备信息 我公司网络设备均已关闭了BOOTstrap服务能有效防范 攻击者可以通过网络嗅探器等工具获取设备信息 以实施攻击 目前网络及安全设备远程维护采用专线和SSL VPN进行管理 设备管理均采用ssh https等加密方式进行 无法嗅探到有用 的设备信息 能有效防范 应对登录网络设备的用户进行身份鉴别 目前网络及服务器进行远程管理时需要通过管理员自己的堡垒 机用户名密码进行用户身份的鉴别和认证 是 口令应有复杂度要求并定期更换 复杂型密码 每42天更新密码 复杂度满足且定期更换 应具有登录失败处理功能 可采取结束会话 限 制非法登录次数等措施 通过堡垒机配置来实现是 当网络登录连接超时自动退出10分钟无操作自动超时退出 是 网络设备应采用最小化服务原则 应关闭不必要 的端口和服务 网络及安全设备等均采用最小化服务原则 仅开放了实际生产 业务所必须的端口 关闭了不必要的端口和服务 全部关闭 应对网络设备的管理员登录地址进行限制 网络设备的远程管理只有指定IP地址段才能访问是 应实现设备特权用户的权限分离 我公司网络设备均配置了多个不同权限的管理账户 但均由同 一个人员来进行管理 无法实现设备特权用户的权限分离 否 当对网络设备进行远程管理时 应采取必要措施 防止鉴别信息在网络传输过程中被窃听 我公司网络及服务器等设备远程管理采用专线和SSL VPN登录 到谐润堡垒机 然后经由堡垒机跳转 远程管理信息采用 ssh https协议进行加密传输 能够有效防止鉴别信息在网络 传输过程中被窃听 是 应限制管理用户通过远程拨号对服务器进行远程 管理 如必须使用情况 应进行相关详细记录 目前无远程拨号对服务器进行远程管理的情况 通过SSL VPN 的方式进行远程管理 并且需要通过堡垒机审计才可以进行对 服务器的管理 不允许远程管理 应对管理人员远程VPN的使用进行管控 建立完 善的统一管理机制 对VPN用户组有级别划分 可以追查到VPN拨入的使用情况 允许使用远程VPN且有管控 第 6 页 二二 采采取取有有效效措措施施落落实实主主机机安安全全要要求求 根根据据业业务务及及安安全全需需要要配配置置主主机机身身份份鉴鉴别别措措施施 分分配配访访问问控控制制权权限限 具具有有系系统统保保护护 入入侵侵防防范范 恶恶意意代代码码防防范范和和资资源源控控制制措措施施 1 是否采取有效的主机系统身份鉴别措施 采取密码 账号 并限定仅能由堡垒主机发起登陆的方式进行 身份鉴别 有措施且完善 可能存在弱口令账号被非授权人员猜测 从而登 录系统进行非授权的恶意操作 所有主机均使用复杂型密码能有效防范 可能会导致管理员用户密码遭破解攻击 主机设备中已配置实现登录密码输入错误3次 锁定半小时 无法对管理员用户密码采取暴力破解攻击 且主机不直接与外 部进行通讯 能有效防范 应对登录操作系统和数据库系统的用户进行身份 标识和鉴别 不同用户 审计平台进行审计标识且鉴别 应为操作系统和数据库系统的不同用户分配不同 的用户名 确保用户名具有唯一性 服务器操作系统和数据库系统不能添加一个已存在的用户标识 不能成功添加一个已删除的用户标识 符合 用户名唯一 操作系统和数据库系统管理用户身份标识应具有 不易被冒用的特点 系统用户和数据库用户登录名和用户身份标识按照能有效防止冒用 用户登录口令应有复杂度要求并定期更换 9位强密码 系统托管更换有复杂度且定期更换 2 是否制定主机系统访问控制权限分配策略且实 施到位 已制定访问控制策略 限定仅能由堡垒主机发起登陆 策略完善且实施到位 root权限过大 若非必要时使用 易被恶意人员 利用 对系统安全造成安全威胁 使用root用户和Administrator用户 不限制root使用 所有账号均可以通过使用su命令获得root权限 可能造成部分人员的非授权操作 密码托管在设备 只有运维管理用户可以使用su命令获取 root权限 普通用户无法使用su命令 限制su到root但不能防止非授 权操作 是否容易受到外部攻击 造成信息泄露和业务中 断等 主机不直接与外部进行通讯有相关措施防范受到外部攻击 用户权限是否分明 形成有效制约 多用户 各用户不同权限权限分明 有有效制约 是否设置主机登录连接超时 10分钟无操作自动超时退出 是 未限制用户挂载可移动文件系统只有root有权限限制用户挂载 本地控制台用户拥有对光驱等设备的使用权限 未对用户可挂载的可移动文件系统 如闪存盘 光盘等 进行限制 只有root有权限无使用权限 对主机敏感信息的泄漏是否有防范措施严格设置了敏感信息的权限 除特定用户其它用户禁止访问 有防范措施 是否启用登录失败处理功能锁定账户启用了相关功能 第 7 页 登录失败后是否采取结束会话 限制非法登录次 数和自动退出等措施 并记录登录失败日志 堡垒机审计采用这些措施并记录日志 应启用访问控制功能 依据安全策略控制用户对 资源的访问 不同用户 审计平台进行审计 启用访问控制功能 能限制用 户对资源的访问 应根据管理用户的角色分配权限 实现不同角色 管理用户的权限分离 仅授予管理用户所需的最 小权限 使用堡垒机对主机设备进行管理 已实现特权用户权限分离 每个特权用户仅分配完成其任务的最小权限 操作系统分配了 管理员和系统管理账户 应用管理账户 审核账户 数据库系 统分配了管理员用户 RAC管理账户 ORACLE管理账户 实现 了不同用户的权限分离 对管理用户的角色分配了权限 且为最小权限 应实现操作系统和数据库系统特权用户的权限分 离 操作系统和数据库系统分配了各自的管理员用户 实现了不同 用户的权限分离 实现了用户权限分离 应通过设定终端接入方式 网络地址范围等条件 限制终端登录 MAC地址绑定采用这些措施限制终端登录 应根据安全策略设置登录终端的操作超时锁定 审计平台托管 10分钟设置了登录终端超时锁定 3 是否制定主机系统备份策略且实施到位备份服务器备份策略完善且实施到位 4 是否制定主机系统故障恢复机制且落实到位 主机系统具有 系统应急方案 中钢银通互联网支付平台应 急处置管理方案 文档包含了对数据库主机 应用主机等故 障恢复的操作流程 计划时间 紧急联系人等内容 定期对主 机故障恢复策略进行恢复性测试 在应急演练记录中包含主机 故障恢复测试记录 故障恢复机制完善且落实到位 5 是否采取主机磁盘空间安全保护措施 主机系统使用Zabbix对主机磁盘空间进行监控 划分了不同 的监控阀值 如设置了磁盘空间为使用80 进行预警警告 使 用短信进行报警通告管理员 对web区和应用服务区的主机使 用磁盘阵列RAID5实现冗余 对数据库区关键数据的存储使用 使用存储厂商的DELL SCV2020存储系统 防止在单磁盘出现 问题时影响服务 有主机磁盘空间安全保护措施 且有效完善 若恶意人员获取到系统用户名密码 可通过默认 共享对系统文件进行恶意操作 关闭默认共享 有措施防范系统文件被人进行 恶意操作 攻击者有可能在全局可写目录中创建恶意脚本程 序 并诱使其它用户运行 以获取敏感信息 发现恶意脚本后 能够及时识别并删除恶意脚本 有措施防范攻击者通过创建恶 意脚本获取敏感信息 6 是否制定主机系统安全加固策略且落实到位 具有 主机安全检查和加固 进行过主机加固并具有主机加 固记录 主机已依照主机加固策略进行了加固 主机加固记录 中包含有操作时间 操作系统版本 操作人 加固记录 问题 分析 审核人等 主机系统安全加固策略完善且 落实到位 低版本OpenSSL的TLS和DTLS实现中 不能正确 处理心跳扩展包 目前版本的openssl能够正确处理心跳扩展包能正确处理心跳扩展包 第 8 页 安装在远程主机系统上OpenSSH的版本过低或系 统未禁用低版本支持配置 系统使用openssh5 3OpenSSH版本较高 安装在远程Windows主机系统上Remote Desktop Protocol RDP 远程桌面协议中存在多个安全 漏洞 如 Windows在处理某些对象时存在错误 可通过特制的RDP报文访问未初始化的或已经 删除的对象 目前存在在内网通过堡垒机远程操作 使用RDP协议的服务器 RDP不存在此类漏洞 在 etc inittab中设置ctrl alt del三键组合 对应的命令为 sbin shutdown t3 r now 操作系统配置文件中禁用组合键重启功能 存在该项设置 连续错误登录多次未自动锁定账户 登录失败三次后 将锁定账户10分钟 设置多次错误登录自动锁定 使用了extproc组件 并且没有对IPC协议或者 TCP地址进行限制 禁用了extproc组件 未使用extproc 未及时安装最新补丁 补丁的升级安装由系统管理员按照 操作系统补丁管理制度 对主机升级 补丁更新的策略要求进行实施 先测试再升级 系统中补丁号为较新版本 安装了最新补丁 系统中存在文件具有同组用户可写权限 不存在同组用户可写权限 不存在文件具有同组用户可写 权限 系统中运行了不必要的系统服务 用chkconfig关闭了不必要的服务 不必要服务已禁用 未配置使用专用的日志服务器 目前已经搭建了ELK日志分析服务器 配置了专用的日志服务器 本地安全策略未开启审计功能 例如 未开启账 号登录事件审计功能 该功能可记录本地用户登 录信息 包括登录成功与否 登录时间 账号等 本地安全策略已开启审计功能 并开启了审计功能下属菜单中 的内容 本地策略开启了审计功能 未正确配置服务器安全防范措施 服务器按照 主机安全检查和加固 进行过主机加固 正确配置了服务器安全防范措 施 应及时删除多余的 过期的用户 避免共享用户 的存在 系统目前不存在多余 过期的用户 当员工岗位进行变动或离 职后会提出离职申请表 并对员工账户进行删除 删除了多余过期用户且没有共 享用户 应严格限制默认用户的访问权限 修改这些用户 的默认口令 默认用户已被禁用 限制了默认用户的访问权限且 修改了用户的默认口令 Windows操作系统还须重命名系统默认用户 操作系统中的无法禁用的默认用户 例如超级管理员 均进行 了重命名处理 重命名 应对主机进行安全加固 具有主机安全加固策略 和加固记录等文档 具有 主机安全检查和加固 进行过主机加固并具有主机加 固记录 主机已依照主机加固策略进行了加固 主机加固记录 中包含有操作时间 操作系统版本 操作人 加固记录 问题 分析 审核人等 对主机进行了安全加固且有相 关策略和文档 第 9 页 应对主机磁盘空间进行合理规划 确保磁盘空间 使用安全 安装系统时合理分配磁盘空间 并为系统添加备用磁盘 对主机磁盘空间进行了合理规 划 应关闭系统不必要的服务和端口 定期对系统中的服务和端口进行检查 并关闭了不必要的服务 和端口 通过查看和扫描 系统中未发现不必要的服务和端口 开启 关闭了不必要的服务和端口 操作系统应遵循最小安装的原则 仅安装需要的 组件和应用程序 服务器遵循了最小安装的原则 系统中不必要的服务没有启动 不必要的端口没有打开 操作系统仅安装了需要的组件 和应用程序 应通过设置升级服务器等方式保持系统补丁及时 得到更新 补丁的升级安装由系统管理员按照 操作系统补丁管理制度 对主机升级 补丁更新的策略要求进行实施 先测试再升级 系统中补丁号为较新版本 设置了升级服务器 7 是否采取主机系统入侵防范措施 在网络中部署IDS入侵系统 可以记录入侵的攻击源IP 攻击 类型 攻击目的 攻击时间等信息 由网络管理人员对入侵检 测进行监控 当发生入侵时系统提供邮件告警通知到维护人员 采用了有效的主机系统入侵防 范措施 对服务器进行远程管理时 未采取必要措施 防 止鉴别信息在网络传输过程中被窃听 SSH加密传输 专线传输 VPN传输采用了网络传输防窃听措施 未定期进行漏洞扫描 或扫描工具漏洞库没有及 时更新 用漏洞扫描工具nessus进行定期的漏洞扫描 已更新漏洞库 版本为最新 定期进行漏洞扫面且漏洞库及 时更新 低版本BASH创建的环境变量可被用于远程代码执 行 关键服务器已打补丁该环境变量能被远程执行 应能够检测到对重要服务器进行入侵的行为 能 够记录入侵的源IP 攻击的类型 攻击的目的 攻击的时间 并在发生严重入侵事件时提供报警 迪普IPS IDS 能够检测到入侵 记录入侵内 容但不能提供报警 应能够对重要程序的完整性进行检测 并在检测 到完整性受到破坏后具有恢复的措施 重要程序完整性受到破坏时 能够检测到 并采取恢复措施 能够对重要程序的完整性进行 检测并有恢复措施 8 操作系统主机是否有系统恶意代码防范措施使用的服务器操作系统未部署防恶意代码软件 没有采取主机系统恶意代码防 范措施 Windows操作系统主机系统恶意代码防范措施Windows操作系统主机部署了诺顿防恶意代码软件 采取主机系统恶意代码防范措 施且定期更新恶意代码库 类Unix操作系统主机系统恶意代码防范措施Linux服务器上未部署防恶意代码软件 没有采取主机系统恶意代码防 范措施 windows操作系统未安装杀毒软件 Windows操作系统主机部署了诺顿防恶意代码软件 安装了杀毒软件 应至少在生产系统中的服务器安装防恶意代码软 件 Linux服务器未部署防恶意代码软件 生产系统服务器安装了防恶意 代码软件 应及时更新防恶意代码软件版本和恶意代码库Linux服务器未部署防恶意代码软件 及时更新防恶意代码软件版本 和恶意代码库 第 10 页 9 是否采取主机系统资源控制措施主机系统使用zabbix对主机系统资源进行进行监控 采用了主机系统资源控制措施 且措施完善 缺少服务器时间同步机制 有专用的时间同步服务器 用来同步时间 有服务器时间同步机制 未禁止windows系统的自动播放功能 已经禁止不会开机自启动已禁止系统自动播放 登录提示信息中泄露系统信息 修改屏蔽系统版本等信息 登录信息没有泄露系统信息 缺乏对服务器的实时监控手段 导致无法对其 CPU 内存 硬盘及进程运行状态等情况进行有 效监控 部署有ZABBIX用来监控设备基础信息 和业务运行状态 并 实时报警 对服务器进行实时监控且能对 CPU内存等进行有效监控 未及时删除无属主文件 不存在无属主文件 删除了无属主文件 应对重要服务器进行监视 包括监视服务器的 CPU 硬盘 内存 网络等资源的使用情况 部署有ZABBIX用来监控设备基础信息 和业务运行状态 并 实时报警 监视了重要服务器 应限制单个用户对系统资源的最大或最小使用限 度 主机服务器使用zabbix监控系统资源使用情况 对各监控目 标设定了阀值及相应的告警指标 限制了单个用户对系统资源的 最大或最小使用限度 应能够对系统的服务水平降低到预先规定的最小 值进行检测和报警 部署有ZABBIX用来监控设备基础信息 和业务运行状态 并 实时报警 能够对系统的服务水平降低到 预先规定的最小值进行检测和 报警 三三 采采取取有有效效措措施施落落实实应应用用安安全全要要求求 具具有有有有效效的的身身份份标标识识和和鉴鉴别别措措施施 关关注注页页面面安安全全 根根据据业业务务及及安安全全需需要要分分配配访访问问控控制制权权限限 具具有有剩剩余余信信息息保保护护 资资源源控控制制 应应用用容容错错的的措措施施 具具有有保保障障报报文文完完整整性性和和保保 密密性性的的措措施施 能能够够实实现现抗抗抵抵赖赖 注注意意编编码码过过程程的的安安全全 应应用用第第三三方方电电子子认认证证技技术术 1 是否采取有效的应用系统身份标识和鉴别措施 有 实名认证识别身份 身份证 手机号 卡号 有措施 且完善 中间件控制台弱口令 中间件 Tomcat Weblogic Jboss等 控制台存在弱口令 采用复杂密码策略 大小写 字母 数字不存在弱口令 应用程序密码框未使用安全控件保护 采用jquery控件有控件保护 未配置登录用户密码复杂度策略 采用复杂密码策略 大小写 字母 数字有策略 应提供专用的登录控制模块对登录用户进行身份 标识和鉴别 最终用户是在银联进行验证 内部管理有登录模块对用户身份 进行验证 有专用模块 应提供系统管理员和普通用户的设置功能 身份 标识满足唯一性 有用户角色和权限的设置有设置功能 满足唯一性 系统管理与普通用户口令应具有一定的复杂度 系统用户和普通用户口令均有一定的复杂度有一定复杂度 应限制系统管理用户的口令有效期并提示客户定 期修改口令 定期对系统管理用户口令进行修改有有效期且提示 应对同一用户采用两种或两种以上组合的鉴别技 术实现用户身份鉴别 根据卡号 证件号 支付密码对用户身份进行鉴定有两种或以上鉴别技术 第 11 页 应提供登录失败处理功能 可采取结束会话 限 制非法登录次数和自动退出等措施 登录失败直接结束会话有登录失败处理功能 应对客户端认证会话时间进行限制 无认证会话时间限制限制会话时间 2 是否有应用系统WEB页面安全防护措施且防护 防控到位 不具备B S功能 有措施且防护 防控能力强 无防钓鱼措施 攻击者通过模仿真实网站的URL 地址及页面内容 或利用真实网站服务器程序上 的漏洞在站点的某些网页中插入危险的HTML代码 不具备B S功能 无模仿真实网站的URL地址及页面内容可能 有防钓鱼措施 Struts2远程命令执行 重定向等漏洞 建议更 新至最新版本 不具备B S功能 系统未使用Struts2开发框架 互联网支付系统不存在 Struts2 方法调用远程代码执行漏洞 已更新至最新版本 ElasticSearch远程任意代码执行漏洞 ElasticSearch有脚本执行功能 可以方便的对 查询出来的数据进行加工处理 默认配置是打开 动态脚本功能 用户可以直接通过http请求执行 任意代码 不具备B S功能 系统未使用ElasticSearch搜索服务及 ElasticSearch搜索库 不存在ElasticSearch远程任 意代码执行漏洞 在URL或网页中直接暴露内部文件名或数据库关 键字等信息 不具备B S功能 系统没有暴漏内部文件或数据库关键字信息 未在URL或网页中直接暴露内 部文件名或数据库关键字等信 息 应用系统没有对参数进行过滤 存在SQL注入漏 洞 后台管理系统不存在SQL注入漏洞 互联网支付系统不存在SQL注入漏洞 不存在SQL注入漏洞 应用程序Javascript脚本存在劫持漏洞 系统使用统一输入过滤器对提交的非法参数字符进行过滤处理 并统一报错 不存在劫持漏洞 应用程序页面存在信息泄露风险 如 详细的应 用程序错误信息 备份脚本文件 公开的包含源 代码的内部文件 不安全的HTTP方法启用 WebDAV或FrontPage扩展启用 默认的Web服务 器上的文件 测试和诊断的页面等 不具备B S功能 后台管理系统没有启用不安全的http方法 支付系统没有启用不安全的http方法 不存在信息泄露风险 应用程序被植入跨站脚本攻击链接程序 不具备B S功能 后台管理系统及支付系统未被植入跨站脚本 攻击链接 不存在跨站脚本攻击风险 暴露站点后台管理地址 后管仅限定特定机器访问 未对外网开放后台管理地址 支付系统仅使用专线或VPN通讯 外部没有发现后台管理地址 未暴露后台管理地址 应用系统的部分用户交互模块没有对恶意提交进 行限制 不具备B S功能 后管系统 支付系统使用同一参数过滤器对 提交的非法参数字符进行过来处理并统一报错 限制恶意提交 第 12 页 系统验证机制不完善 提示信息过于具体 或可 绕过验证访问系统 后台管理系统用户名或密码输错统一提示为用户名或密码错误 验证机制完善且不可被绕过 会话过程中 身份标识应不可预测 不具备B S功能 后管系统 支付系统通过唯一身份标识 用 户名 卡号 验证身份 不存在猜测可能 身份标识不可预测 会话过程中应维持认证状态 防止信息未经授权 访问 后台管理系统对用户权限进行识别 无权限用户无法访问未经 授权的功能 能维持认证状态 会话结束后应及时清除会话信息后台管理登陆时即时对账号口令验证 未保留会话信息 及时清除会话信息 应采取措施防止会话令牌在传输 存储过程中被 窃取 支付系统采用专线通道 并对用户输入的敏感信息进行进行非 对称密码加密 采取了防窃取措施 当访问系统时被重定向到入侵者控制的一个web 站点 不具备B S功能 后台管理系统 支付系统未发现被植入重定 向页面 不存在重定向风险 未对ActiveX控件进行源代码审查与安全测试 且给ActiveX控件的所有参数未使用加密签名验 证 不具备B S功能 后台管理系统 支付系统未使用ActiveX控 件 进行了审查与安全测试 本地缓存未妥善处理 可能造成入侵者绕过安全 限制 获得敏感信息或破坏WEB缓存文件 不具备B S功能 后台管理系统 互联网支付系统未使用本地 缓存机制 不存在入侵者绕过安全限制风 险 服务器上具体文件名 路径或数据库关键字等内 部资源被暴露在URL或网页中 攻击者可以此来 尝试直接访问其他资源 不具备B S功能 服务器上具体文件名 路径或数据库关键字 等内部资源未暴露在URL或界面中 关键信息未被暴露在URL或网 页中 应用程序被植入跨站脚本攻击链接程序 可以盗 取用户信息 不具备B S功能 客户端程序植入数字机顶盒或机具 应用程 序不存在被植入跨站脚本攻击链接或程序 应用程序未被植入跨站脚本攻 击链接程序 应提供登录防穷举的措施 如图片验证码等 后台管理系统未采用登录失败处理及图片验证码以防穷举 支付系统未采用登录防穷举的措施 提供了防穷举措施 应使用服务器证书 并在整个生命周期保障令牌 的安全 未使用服务器证书保障令牌的安全 未使用服务器证书 应提供独立的支付密码和健全的密码找回机制 未使用独立的支付密码 使用卡密码直接验证交易合法有效性 提供独立的支付密码且找回机 制健全 网站页面应采取防范SQL注入 Path注入和LDAP 注入等风险的措施 不具备B S功能 后台管理系统不存在SQL注入 Path注入和 LDAP注入漏洞 互联网支付系统不存在SQL注入 Path注入和LDAP注入漏洞 采取防范措施 网站页面应采取防范跨站脚本攻击风险的措施 不具备B S功能 后台管理系统及支付系统使用同一参数过滤 器对提交的非法参数字符进行过来处理并统一报错 采取防范措施 网站页面应采取防范源代码暴露的措施 不具备B S功能 后台管理系统及支付系统不存在源代码暴露 漏洞 采取防范措施 应采取防范网站页面黑客挂马的机制和措施 不具备B S功能 无法进行挂马攻击 采取防范措施 应采取网站页面防篡改措施 不具备B S功能 无法进行页面篡改攻击 采取防范措施 第 13 页 网站页面应提供防钓鱼网站的防伪信息验证 不具备B S功能 无法进行钓鱼攻击 提供防伪信息验证 网站页面应采用数字证书 不具备B S功能 未采用数字证书 未采用数字证书 3 是否制定合理的应用系统访问控制权限分配策 略且配置到位 制定合理的控制权限和策略策略合理且配置到位 未对单个用户的多重并发会话进行限制 同一账 号可同时登录操作 未控制并发会话控制并发会话 DNS服务器允许区域数据传送 无DNS服务器 不适用不允许区域数据传送 服务器IIS配置不当 权限配置里开启了写入权 限 无IIS配置 不适用IIS配置恰当 写入权限开启 应用系统提供的上传程序未对文件的大小 类型 进行校验 应用系统无上传程序 不适用 上传程序对文件大小 类型进 行校验 系统未设置防暴力破解机制 系统C S架构 不对外提供 不适用设置了防暴力破解机制 访问控制不严格 如存在权限旁路或越权等情况 系统C S架构 不对外提供 不适用不存在权限旁路或越权等情况 计算机对接收的输入数据没有进行有效的校验 造成缓冲区溢出漏洞 有对数据长度有效性进行校验 对接收的输入数据进行有效性 校验 登录应使用安全控件 并提供第三方检测机构的 检测报告 系统C S架构 不对外提供 不适用 登录使用安全控件 且提供检 测报告 客户端鉴别信息应不被窃取和冒用 客户端鉴别信息传输加密 不会被窃取和冒用 客户鉴别信息不会被窃取和冒 用 会话结束后应及时清除客户端鉴别信息 会话结束后会清空客户端的缓存信息 会话结束后及时清除客户端鉴 别信息 应提供访问控制功能 依据安全策略控制用户对 文件 数据库表等客体的访问 系统C S架构 不对外提供 不适用 有访问控制功能且控制用户对 文件 数据库等的访问 应由授权主体配置访问控制策略 并严格限制默 认用户的访问权限 系统C S架构 不对外提供 不适用 由授权主体配置访问控制策略 默认用户的访问权限被严格 限制 应授予不同用户为完成各自承担任务所需的最小 权限 并在其间形成互相制约的关系 系统C S架构 不对外提供 不适用 最小权限配置 且用户间形成 互相制约的关系 应严格控制用户对关键数据的操作 按照 双人 控制 原则进行访问或操作权限分配 关键数据 包括敏感数据 重要业务数据 系统管理数据等 系统C S架构 不对外提供 不适用 严格控制用户对关键数据的操 作 4 是否采取有效的应用系统剩余信息保护措施采取有效的剩余信息保护措施有措施 且完善 应具有所有业务操作日志 无业务操作日志 有交易日志有措施 且完善 第 14 页 应对无用的过期信息 文档进行完整删除 对无用的过期信息 文档定期整理删除有措施 且完善 应保证系统内的文件 目录和数据库记录等资源 所在的存储空间被释放或重新分配给其他用户前 得到完全清除 资源所在的存储空间被释放或重新分配有措施 且完善 5 是否采取有效的主机系统资源控制措施采取zabbix监控主机系统资源有措施 且完善 未定期对应用系统进行漏洞扫描 或扫描工具漏 洞库没有及时更新 迪普SANNER1000进行扫描 定期进行漏洞扫描 且及时更 新漏洞库 一些第三方软件 包括插件 控件 工具等 存 在远程代码执行 文件上传等安全漏洞 漏洞扫描未发现部分第三方软件存在远程代码执行漏洞 不存 在文件上传漏洞 不存在远程代码执行 文件上 传等安全漏洞 应通过设定终端接入方式 网络地址范围等条件 限制终端登录 设置的点对点VPN访问范围仅运维部终端可直接访问 对运维 终端MAC IP进行了绑定 通过设定终端接入方式 网络 地址范围等条件限制终端登录 应根据安全策略设置登录终端的操作超时锁定 审计平台审计 10分钟 根据安全策略设置登录终端的 操作超时锁定 应能够对一个时间段内可能的并发会话连接数进 行限制 后台管理系统对一段时间内的并发会话连接数进行了限制 同 账号不能在同一时间登陆 能够对一个时间段内可能的并 发会话连接数进行限制 当应用系统的通信双方中的一方在一段时间内未 作任何响应 另一方应能够自动结束会话 后台管理系统闲置自动登出 支付系统在商户一侧有空闲超时 自动登出功能 另一方能够自动结束会话 应能够对单个账户的多重并发会话进行限制 后台管理系统对单个用户多重并发会话进行限制 仅能在专控 机器上登陆 能够对单个账户的多重并发会 话进行限制 6 是否建立合理的应用容错机制支付系统应用具备容错能力 能够针对不同错误进行处理 已建立机制 且完善 由于支付系统的设计缺陷 导致可对同一商品订 单重复进行支付 包括客户无意的或者代理操作 人员恶意的 对客户造成经济利益损害 建议 对每笔订单进行控制 在进行支付操作时 检查 该订单的支付情况 保证支付订单唯一 防止重 复支付 支付系统使用HTTPS加密通道 无法对订单数据进行获取和重 放 能够防止重复支付 用户访问异常中断后 应具有防护手段 保证数 据不丢失 用户输入数据在机具终端有部分保留 在网络或其他异常后能 够按规定恢复 具有防护手段 应提供数据有效性检验功能 保证通过人机接口 输入或通过通信接口输入的数据格式或长度符合 系统设定要求 后台管理系统已对提交的数据有效性进行统一校验 互联网支付系统已对提交的数据有效性进行统一校验 提供数据有效性检验功能 应提供自动保护功能 当故障发生时自动保护当 前所有状态 保证系统能够进行恢复 服务器采用双机热备部署 故障发生时自动保存故障前状态并 切换自备用服务器 直至原系统恢复 提供自动保护功能 发生故障后 系统应能够及时恢复 均采用双机热备切换和快照恢复 确保故障后系统能够及时恢 复 系统能够及时恢复 第 15 页 应提供回退功能 当故障发生后 能够及时回退 到故障发生前的状态 在对数据库进行增删改操作时 利用系统备份方式 数据库的 回滚机制以及操作回退日志等保证发生故障发生后 能够及时 回退到故障发生前的状态 提供回退功能 7 是否采取有效的应用报文完整性 保密性和抗 抵赖措施 完整性和保密性措施不完善完整性和保密性措施完善 未对重要信息进行加密存储 对密码和敏感信息进行rsa加密传输对重要信息进行加密存储 未对数据进行加密传输 对交易报文进行Deflate压缩 并进行Base64编码对数据进行加密传输 应用程序存在空指针异常 不存在空指令异常应用程序不存在空指针异常 未对交易过程中数据进行完整性保护 通信报文进行HASH校验 确保数据完整性 对交易过程中数据进行完整性 保护 通信报文应采用密码技术保证通信过程中交易数 据的完整性 通信报文通过密钥进行签名 通信报文采用密码技术保证通 信过程中交易数据的完整性 在通信时采用安全通道或对报文中敏感信息进行 加密 通信时通过vpn或专线进行通信 并对报文敏感数据加密 在通信时采用安全通道或对报 文中敏感信息进行加密 应具有在请求的情况下为数据原发者或接收者提 供数据原发证据的功能 目前的加密是用rsa进行加密 没有验证原发和接收的功能 具有在请求的情况下为数据原 发者或接收者提供数据原发证 据的功能 应具有在请求的情况下为数据原发者或接收者提 供数据接收证据的功能 目前的加密是用rsa进行加密 没有验证原发和接收的功能不具有该功能 应采用国家认可的可信时间戳服务 支付系统未使用时间戳进行完整性校验 采用国家认可的可信时间戳服 务 应安全保存时间戳及相关信息 确保数据的可审 计性 实现系统数据处理的抗抵赖性 支付系统未使用时间戳进行完整性校验安全保存时间戳及相关信息 8 是否建立有效的应用系统编码安全保障机制建立有效的系统编码安全保障机制审查并有报告 应对支付业务系统源代码进行安全性审查 提供 源代码审查报告 定期对源代码进行安全规范审查审查并有报告 应具有支付业务系统源代码管理制度 具有源代 码管理记录 通过svn对源代码进行变更管理有制度且有记录 在每次源代码变更时 需填写变更备注信息 在代码变更时通过svn填写变更信息有变更备注信息 应具有编码规范约束制度 按照编码规范进行编 码 针对代码注释 命名规范 编码规则 UI界面规则 输入控 制检验有相应的制度文档 有制度并遵照编码 应对插件进行安全性审查 提供插件审查报告 不适用有安全性审查并有报告 第 16 页 9 应用系统采用的电子认证技术是否符合 金融 电子认证规范 对商户发送交易响应时使用Entrust证书同对方进行通信 同 商户之间连接多使用专线方式完成 符合 关键业务 包括对内和对外业务 应使用电子认 证技术 对商户发送交易响应时使用Entrust证书同对方进行通信 同 商户之间连接多使用专线方式完成 使用第三方电子签名体系 对外业务 非内部业务 处理过程中 应符合 金融电子认证规范 JR T0118 2015 对商户发送交易响应时使用Entrust证书同对方进行通信 同 商户之间连接多使用专线方式完成 完全符合 对内部业务 仅涉及本机构内人员或设备的业务 处理过程中 可以使用自建的电子签名体系 后台管理系统未使用电子签名体系 内部业务使用自建 在条件允许的情况下 建议对所有业务使用经过 认证的第三方电子签名体系 后台管理系统未使用电子签名体系 对商户发送交易响应时使 用Entrust证书同对方进行通信 同商户之间连接多使用专线 方式完成 使用第三方电子签名体系 应对所持有的服务器证书私钥进行有效保护 只有经过授权的系统管理员才能导入 证书在创建过程中需要 配置密码 保护有效 四四 采采取取有有效效措措施施落落实实数数据据安安全全要要求求 确确保保数数据据存存储储 访访问问 传传输输 使使用用 销销毁毁等等生生命命周周期期的的安安全全性性 提提供供完完善善的的本本异异地地数数据据备备份份及及恢恢复复机机制制并并落落实实实实施施 1 是否采取有效的数据存储 访问 传输 使用 销毁等生命周期安全性保护措施 对数据的存储有一定的要求 对数据访问传输以及销毁需要有 变更审批制度 有措施 且完善 日志 数据库等中保存非必须的客户身份认证信 息 银行卡信息等敏感信息 如银行卡交易密码 银行卡磁道信息 CVN CVN2等 数据库中没有保存必须的客户身份认证信息 银行卡信息等敏 感信息 敏感信息分类及保存措施得当 开发环境使用生产数据 开发环境不使用生产数据 使用模拟数据 不使用 MS SQL Server存在sa账户弱口令 没有使用MS SQL Server 不存在 Oracle tnslsnr没有设置口令 口令已设置为字母 数字 特殊字符混合组成 位数不能少于 8个字符 设置 Oracle数据库默认用户存在弱口令 口令已设置为字母 数字 特殊字符混合组成 位数不能少于 8个字符 不存在弱口令 MySQL存在root账户弱口令 口令已设置为字母 数字 特殊字符混合组成 位数不能少于 8个字符 不存在弱口令 sa账号密码为空 没有使用MS SQL Server sa账号不为空 数据库样例未删除 造成新弱点被利用等风险 数据库不存在样例数据库 已删除 个人信息储存 传输 调用不当 造成信息泄露 个人信息在传输过程中采取有效加密手段进行保护 存储在数 据库中后只有数据库管理员和相关运维人员有权限