代理发行网点及银行合作系统的安全管理规范V1.7

华凌公司代理发行网点及银行合作系统的安全管理规范2011年9月版权声明北京华凌信息安全技术有限公司（下称“华凌”）©2011版权所有，保留一切权力。未经华凌书面同意不得擅自拷贝、传播、复制、泄露或复写本文档的全部或部分内容。本文档中的信息归华凌所有并受中国知识产权法和国际公约的保护。信息更新本文档及其相关计算机软件程序（以下文中称为“文档”）仅用于为最终用户提供信息，并且随时可由华凌更改或撤回。免责条款根据适用法律的许可范围，华凌按“原样”提供本文档而不承担任何形式的担保，包括（但不限于）任何隐含的适销性、特殊目的适用性或无侵害性。在任何情况下，华凌都不会对最终用户或任何第三方因使用本文档造成的任何直接或间接损失或损坏负责，即使华凌明确得知这些损失或损坏，这些损坏包括（但不限于）利润损失、业务中断、信誉或数据丢失。本文档中所有引用产品的使用及本文档均受最终用户可适用的特许协议约束。目录TOC\o"1-5"\h\z1编写思想32银行合作系统安全接入技术和管理规范4银行合作系统安全接入技术方案42.1.1网络安全技术方案42.1.2身份认证技术方案4银行合作系统安全接入管理规范62.2.1机房安全要求62.2.2网络安全要求72.2.3接入管理要求82.2.4日常运维管理要求82.2.5应急管理要求92.2.6变更管理要求93代理发行网点安全接入技术和管理规范103.1代理发行网点安全接入技术方案103.1.1网络安全技术方案103.1.2身份认证技术方案12代理发行网点安全接入管理规范133.2.1资产管理要求133.2.2接入管理要求143.2.3网络安全要求143.2.4应用安全要求153.2.5恶意代码防护要求153.2.6账户信息安全和密钥管理要求163.2.7变更管理要求163.2.8应急预案、数据备份和业务持续性计划163.2.9代理发行网点终端安全基线171编写思想本IT平台的安全管理规范，主要是依据信息安全等级保护的相关要求；另外，整个平台承载的业务特点和电子银行、电子支付类业务相似；而且，如果将来上马电子支付业务，必然需要遵循电子银行、电子支付的相关标准；另外参考国际信息安全的最佳实践，如IS027001等。所以整个IT平台的安全管理，既考虑的国内等级保护的监管要求，又融合了电子银行和国际信息安全最佳实践相关标准。参考的标准、规范有：国内标准《信息系统安全等级保护定级指南》(GB/T22240-2008)《信息系统安全等级保护基本要求》(GB/T22239-2008)《计算机信息系统安全保护等级划分准则》(GB17859-1999)《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)《信息安全技术网络基础安全技术要求》(GB/T20270-2006)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要求》(GA/T671-2006)《信息系统安全等级保护实施指南》(报批稿)《信息系统安全等级保护测评指南》(报批稿)《电子银行业务管理办法》《电子银行安全评估指引》《网上银行系统信息安全通用规范》《网上银行系统信息安全保障评估准则》国际标准《ISO27001:2005信息技术安全技术信息安全管理体系要求》《ISO27002:2005信息技术安全技术信息安全管理实用规则》《ISO27005:2008信息技术安全技术信息安全技术风险管理》2银行合作系统安全接入技术和管理规范银行合作系统安全接入技术方案2.1.1网络安全技术方案整个电子商务平台的拓扑，如下图所示：详细说明参见：《华凌公司电子商务网站安全解决方案》。1）平台侧：各银行的数据流，通过各自的DDN专线接入“银行专线接入设备”（带防火墙功能），再经过平台第一层网关的访问控制和恶意代码检测，访问部署于DMZ区的银行前置机设备。第一层网关（UTM）的访问控制功能由防火墙模块实现，恶意代码检测功能由IPS模块完成。注意：DDN只是一种接入方式，银行的DDN专线实际上接入的是互联网。2）银行侧：银行侧需要部署专线接入设备和防火墙。2.1.2身份认证技术方案详细说明参见：《华凌公司电子商务网站安全解决方案》。对于银行合作系统业务的用户，建议采用USBKEY（承载数字证书，PKI体系）或者手机OTP（手机动态口令，OTP体系）的方式，进行强身份认证。具体说明如下：1）终端侧：①方式一：USBKEYusbkey是一个硬件密码设备，主要用来存放数字证书和私钥，它属于PKI认证体系。usbkey的外形如下图所示：②方式二：手机OTP即将手机作为终端设备，接收OTP认证服务器通过移动网络发送过来的一次性口令,具有方便、廉价的优势。2）平台侧：①PKI体系认证（终端使用USBKEY）需要在平台侧部署如下设备：第三方运营CACA：即卩CertificationAuthority，中文通常译作：认证机构或认证权威。它是“数字证书”生成、发放的运行实体，也是“证书吊销列表”（CRL）的发布点。CA是整个PKI体系的核心部分，是一个复杂的综合系统，本方案使用了第三方运营CA的证书和服务，避免了自建CA的高额成本和运维难题。RA服务器RA：即RegistrationAuthority，中文通常译作：注册机构。它是CA系统的证书注册申请和核审批准机构。RA服务器是整个CA系统的一部分，部署于平台“普通业务区”。LDAP镜像服务器LDAP协议全称为：轻量级目录访问协议。它是一个用来将目录信息发布到不同资源上的协议，是在繁琐的X.500协议基础上，简化、修改而成oLDAP服务器的主要作用是发布CRL（证书吊销列表）。部署方面，在运营CA处，部署LDAP服务器；而在平台侧“DMZ区”部署LDAP镜像服务器，用来和CA侧的LDAP服务器同步。■SSL代理服务器SSL代理服务器是整个基于PKI认证体系的重要一环°SSL代理服务器安装有运营CA的根证书和证书链，并且每隔一段时间同步LDAP镜像服务器中CRL列表，这样，终端用户的数字证书，最终是在SSL代理服务器处完成了整个的认证过程。从这个角度上说，SSL代理服务器也是个PKI体系的统一认证服务器。②OTP体系认证(终端使用手机OTP)OTP:即一次性口令、动态口令，是应用密码技术周期生成一次性口令的技术。OTP相较PKI来说更为简单，但是安全强度低于PKI体系。OTP认证体系的身份认证实现了“双因素”的强身份认证，即：你所拥有的：即OTP密码生成设备；你所知道的：即PIN码(身份识别码)，和动态口令一起组成最终的认证口令；具体来说，在平台侧的DMZ区部署OTP认证服务器和短信modem。银行合作系统安全接入管理规范2.2.1机房安全要求本要求适用于银行合作系统的机房的安全规范。应按国家标准《电子计算机场地通用规范》(GB2887-2000)和《计算机场地安全要求》(GB9361-2000)的相关规定，采取消防、空调、防潮、防静电、防雷击、供电安全等措施。应建立并实行出入安全管理制度，采用专人值守或电子门禁方式，对人员进出机房情况进行日常监控。应建立值班制度，配备值班人员，对机房内各类设备运行情况进行日常监控，并处置突发事件。非授权工作人员或来访人员因工作需要需进入机房，必须经过申请、审批和登记，并由授权人员授权专人全程陪同。电子设备或存储介质进出机房，须经审批并登记。机房需合理配置供电系统，提供足够的、持续的电源供给。如配备双回路供电系统(来自于不同的变电站)，可持续供电时间不低于2小时的UPS,或发电机。网络安全要求本要求适用于：与“银行合作系统”连接的网络,但不包括终端。接入银行的网络前置服务器区域,必须做到逻辑隔离。银行前置机应对互联网接入本单位生产网络严格审批,如因业务需要必须接入,须在互联网接入处布放防火墙和入侵检测(防御)设备等安全设备。应建立对所有的路由配置和防火墙策略的批准、测试和变更的正式流程,路由配置和防火墙策略在每次变更后须及时归档。定期对路由配置和防火墙策略进行检查,对路由器和防火墙的事件日志、入侵检测(防御)设备的告警事件进行分析和处理。对登录网络及网络安全设备的用户进行身份鉴别,严格控制可以修改网络及网络安全设备配置的账号。及时进行网络及网络安全设备的补丁安装和版本升级,及时更新入侵检测(防御)系统的防护知识库。如果有拨号访问网络方式,要对拨号用户严格访问控制,每个用户须设置不同口令,口令不得少于8位,并应定期修改；不允许外部公司拨号或其他方式的远程维护连接。定期或在网络发生重大变更后,对安全控制措施、网络连接和限制措施进行渗透性测试或漏洞扫描,对网络及网络安全设备系统设置、补丁配置和已知的漏洞进行检查,并确认没有生产网络用户私自连接到外部网络,外部访问不能非授权进入生产网络。应在网络边界处部署入侵检测(防御)设备,监视可能的攻击行为,记录入侵事件的发生，并报警正在发生的入侵事件。2.2.3接入管理要求本要求适用于银行合作系统。采用远程专线接入的银行合作系统，通信线路应采用不同通信运营商的线路，接入路由器和报盘服务器等关键设备应有备份，技术与管理指标应达到华凌公司的要求。拨号接入只能作为银行合作系统应急、备用的接入方式。银行合作系统接入华凌公司使用的网络协议和IP地址等参数，应严格按照华凌公司要求进行配置。银行合作系统接入华凌公司的网络应采用静态路由。银行合作系统应定期进行接入华凌公司网络备用通信线路的切换演练。银行合作系统应指派专人负责本单位接入华凌公司网络的工作，并接受华凌公司的监督检查。银行合作系统正式启用并接入华凌公司后，应向华凌公司申请进行入网测试，测试的内容应包括通信线路测试、网络连通测试、备份线路测试以及应用程序测试等，测试通过后方可启用。银行合作系统不得擅自更改接入华凌公司的通信线路用途。2.2.4日常运维管理要求本要求适用于银行合作系统。根据“知所必需”原则，严格进行对软件和系统的访问控制，禁用不必要的缺省账户。定期对用户访问文件、目录、数据库等权限进行检查，加强用户管理。剔除不需用户，防止用户权限过大。参考国际通行的相关安全规范要求，制订用户口令密码使用、管理和更新制度和措施。加强系统身份认证等关键数据传输加密，防止口令泄露。遵照行业认可的系统加固标准，对系统进行安全加固。如禁用所有不必要的、不安全的服务、协议和应用程序；设定系统安全参数以防止误用/滥用，删除默认设置；严禁下载或使用免费软件或共享软件；移除系统或应用程序中不必要、不安全的功能等。在软件补丁安装以前，须在测试系统中进行严格测试，确保测试通过后再进行安装。制定软件补丁管理制度和流程，对所有生产系统安装必须的操作系统和应用系统补丁。厂商定期维护活动须进行审批并记录，维护人员进出须专人陪同并记录相关操作。Windows平台的服务器和终端设备应安装恶意代码(主要是病毒和木马)防护系统，如防病毒软件、主机防火墙等。开启必要审计接口，定期分析并处理系统内重要的安全相关事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用。应进行主机运行监控，监控主机的CPU、硬盘、内存、网络等资源的使用情况，监控特定进程(主要的系统进程)的状态，限制对重要账户的添加和更改。须建立口令管理规则，设定各类口令长度(不得小于6位)、复杂度(必须包含数字和字符)、修改周期(不得长于3个月)、不可明文传输、应加密存储等要求。2.2.5应急管理要求本要求适用于银行合作系统。银行合作系统应根据有关规定，结合本单位接入华凌公司网络的实际状况，制定切实可行的应急处置预案。银行合作系统应制定接入华凌公司网络的应急演练计划，并根据计划进行演练。银行合作系统员应在应急处置结束后，及时进行分析，查明事件发生的原因，总结应急处置的经验教训，制定改进措施。银行合作系统应加强应急处置培训工作。银行合作系统应参与华凌公司组织测试和应急演练，并保存记录。2.2.6变更管理要求本要求适用于银行合作系统。变更是指银行合作系统相关设备、线路配置的改变。银行合作系统应制定变更管理制度和流程。银行合作系统应安排专人负责与华凌公司联系变更事宜。需要华凌公司配合的变更应经华凌公司同意，需要华凌公司配合的工作应详细列出并及时通知。银行合作系统变更前应进行评估，所有变更操作应有操作记录，所有变更应进行事后检查。银行合作系统对于风险较大的变更，应制定应急和回退方案，并在变更前进行演练。银行合作系统变更应尽量避免在交易期间进行。3代理发行网点安全接入技术和管理规范3.1代理发行网点安全接入技术方案3.1.1网络安全技术方案代理发行网点有如下几类：1)A类发行网点：通过首发专网或者“联通点对点专网”(原电信通)接入，甲方自营；2)B类发行网点：通过互联网接入，甲方自营或发展代理商；3)C类发行网点：通过互联网接入，银行代理业务；从技术角度，如上的发行网点情况，可以合并为如下几类：1)专线接入(内网或者“联通点对点专网”)此接入方式下都为甲方自营。2)互联网接入此接入方式下都为甲方自营、代理商经营或者银行代理业务。以下根据技术角度的两个分类论述接入技术方案：详细说明参见：《华凌公司电子商务网站安全解决方案》。代理发行网点的接入局部拓扑，如下图所示：1）专线接入（首发专网或者“联通点对点专网”）尽管是专线接入，但在远距离的传输过程中，仍然具有泄密的风险，所以，仍然需要传输加密，具体来说：平台侧：第一层网关（UTM）开启三个功能模块：FW模块：用来做网络层的访问控制，拒绝非法的访问请求；IPSECVPN模块：用来对进、出平台的传输数据进行解密、加密；建议使用国产的商密对称算法，以满足可能的合规性要求：IPS模块：对恶意代码和黑客攻击进行清洗；代理网点侧（二级网络侧）：部署带IPSECVPN功能的防火墙即可，因为：专线是内部网络，面临的威胁较小；所以，设计时，忽略了对恶意代码和黑客攻击的清洗，即省略了IPS模块；2）互联网接入互联网是公共广域网，是不可信网络，所以对互联网接入的技术防护做了增强，具体如下：平台侧：第一层网关（UTM）开启三个功能模块：FW模块：用来做网络层的访问控制，拒绝非法的访问请求；IPSECVPN模块：用来对进、出平台的传输数据进行解密、加密；建议使用国产的商密对称算法，以满足可能的合规性要求：IPS模块：对恶意代码和黑客攻击进行清洗；代理网点侧（二级网络侧）：部署统一安全网关（UTM）,开启三个功能模块：FW模块：用来做网络层的访问控制，拒绝非法的访问请求；IPSECVPN模块：用来对进、出平台的传输数据进行解密、加密；建议使用国产的商密对称算法，以满足可能的合规性要求：IPS模块：对恶意代码和黑客攻击进行清洗；身份认证技术方案详细说明参见：《华凌公司电子商务网站安全解决方案》。对于代理网点的工作人员，建议采用“手机OTP”或者“硬件令牌”的方式，进行双因素的强身份认证。这两种具体的认证方式均属于OTP认证体系，具体说明如下：OTP认证体系OTP:即一次性口令、动态口令，是应用密码技术周期生成一次性口令的技术。OTP相较PKI来说更为简单，但是安全强度低于PKI体系。OTP认证体系的身份认证实现了“双因素”的强身份认证，即：你所拥有的：即OTP密码生成设备；你所知道的：即PIN码(身份识别码)，和动态口令一起组成最终的认证口令；终端侧--硬件令牌硬件令牌是基于OTP体系的终端密码设备；建议使用基于时间的令牌，这样应用起来比较简单；基于时间的硬件令牌每隔1分钟变换一次口令，而且口令使用一次即失效。OTP硬件令牌外形如下图所示：终端侧--手机OTP即将手机作为终端设备，接收OTP认证服务器通过移动网络发送过来的一次性口令具有方便、廉价的优势。平台侧在平台侧的DMZ区部署OTP认证服务器和短信modem。代理发行网点安全接入管理规范此管理规范针对三类代理发行网点。1)A类发行网点：通过首发专网或者“联通点对点专网”(原电信通)接入，甲方自营；2)B类发行网点：通过互联网接入，甲方自营或发展代理商；3)C类发行网点：通过互联网接入，银行代理业务；3.2.1资产管理要求本要求适用于三类代理发行网点安全接入。应按照供应商推荐的服务时间间隔和规范对设备进行维护；由供货商维护的设备，各种维护活动要按照合同协议或设备购买时的维护计划进行；只有已授权的维护人员才可对设备进行修理和服务；原则上应保存所有维护记录；要保持所有针对发生的或潜在的故障的维护记录；设备资产的管理部门和办公室应当向外包维护单位索取维护计划和记录；设备资产的管理部门和办公室定期审核维护记录和计划；当对设备安排维护时，应实施适当的控制，要考虑维护是由内部人员执行还是由外部人员执行；当需要时，敏感信息需要从设备中删除、维护人员是足够可靠的或与外部维护方、维护人员签订保密协议。设备报废处置时，存储在设备中的敏感信息要从物理上加以销毁，或用安全方式对信息加以覆盖，限制采用常用的标准删除功能。所有带有诸如硬盘等存储介质的设备在报废前都要对其检查，以确保其内存储的敏感信息和授权专用软件已被清除或覆盖。凡敏感性介质的处置都必须经过部门负责人的批准。在未经部门负责人或相关职能部门批准或授权的情况下，不应让设备、信息或软件离开办公场所；可以设置设备移动的时间限制，并在返还时执行符合性检查；若需要并合适，需要对设备作出移出记录，当返回时，要作出送回记录。应进行适当的检查，防止设备的非授权移动和危险物品进入本公司办公区域。这样的检查活动应按照相关规章制度执行，应让每个人都知道将进行抽查，并且只能在法律法规要求的适当授权下执行检查。3.2.2接入管理要求本要求适用于三类代理发行网点安全接入。接入华凌公司的代理发行网点，应使用双线方式可靠接入华凌公司数据中心，通信线路应采用不同运营商的线路，路由器和行情接收服务器等关键设备应有备份，技术与管理指标应达到华凌公司的要求。代理发行网点接入华凌公司使用的网络协议和IP地址等参数，应严格按照华凌公司规定进行配置，路由应采用静态路由，不得擅自更改接入华凌公司的通信线路用途。代理发行网点应指派专人负责本单位接入华凌公司网络的工作，并接受华凌公司的监督检查。代理发行网点应定期进行接入华凌公司备用通信线路的切换演练。代理发行网点正式启用接入华凌公司网络时，应向华凌公司申请进行入网测试，测试的内容应包括通信线路测试、网络连通测试、备份线路测试以及应用程序测试等，测试通过后方可启用。3.2.3网络安全要求本要求适用于三类代理发行网点的安全接入。代理网点内部应合理划分VLAN，通过防火墙系统对各安全区之间的流量和资源互访进行控制。防火墙的缺省访问规则为禁止任何访问。各子安全区之间的无关访问应一律禁止。代理网点与数据中心最外侧的边界，应各自部署防火墙和IDS/IPS系统；代理网点任何与业务无关的端口应用一律禁止；代理网点与外部网络之间必须进行单向NAT地址转换；禁止在代理网点对外开放Windows目录共享、FTP类数据共享服务。禁止代理网点的计算机访问随意互联网资源，对于必须的外向互联网访问，必须严格限制目标IP地址和访问端口。3.2.4应用安全要求本要求适用于三类代理发行网点安全接入。软件或系统的配置更改，补丁安装以及升级需受内部变更管理控制，需保留相应的日志。需记录并定期查阅生产系统设备中的所有软件名称及版本，并对关键软件的参数配置以及安装文件进行备份以防止意外损坏。需建立生产系统变更操作的审批和实施流程。需制定变更计划，按计划实施变更在变更实施前制定、评审并测试变更方案；在变更实施时，要求双人复核。需对各类信息系统基础设施和应用系统制定运维手册，并定期补充更新。只有授权的用户才可以获取应用软件源代码。3.2.5恶意代码防护要求本要求适用于三类代理发行网点安全接入。应在网络边界处对恶意代码进行检测和清除；应布署网络防病毒软件应维护恶意代码库的升级和检测系统的更新。公司所有计算设备用户应保证使用的计算设备按照公司要求安装了相应的病毒防护软件或采用了相应的病毒防护手段，并且应保证这些措施的可用性。如果自己无法对病毒防护措施的有效性进行判断，应及时通知公司IT服务部门进行解决。公司各系统防病毒系统应在遵循公司病毒防护系统整体规划的前提下由公司网络与信息安全办公室委托各系统自行建设和管理。公司各级人员在发现服务器感染病毒的情况下，应首先拔掉网线，降低可能对公司网络造成的影响，然后向公司IT服务部门提交《病毒事件说明》；各系统管理员在生产和业务网络发现病毒，应及时进行处理，并依照《华凌公司信息安全事件响应流程》进行汇报和备案。所有病毒防护的负责部门或人员应严格遵守病毒响应时限的要求。如无法在病毒响应时限内完成对病毒的响应工作，应及时上报公司信息安全管理部门进行协调解决并承担相应责任。3.2.6账户信息安全和密钥管理要求本要求适用于三类代理发行网点安全接入。代理发行网点与华凌公司签订书面