银行无线网络风险评估分析报告

XXXX银行无线网络风险评定汇报XXXX银行08月21日一、风险评定项目概述（一）、项目概述无线网络作为XXXXXXXX银行股份（以下简称XXXX银行）关键信息系统之一，确保无线网络安全、稳健运行，为用户提供安全、便捷服务，是XXXX银行无线网络建设根本目标。为了客观全方面了解全行无线网络信息安全效能，XXXX银行科技信息部按摄影关评定程序和实施标准开展了针对无线网络风险评定工作，为该系统以后良好安全运行，打下坚实基础。此次对无线网络风险评定目标是评定其风险情况，提出风险控制提议，同时为下一步安全建设和风险管理提供依据和提议。（二）、风险评定工作组织为了确保此次风险评定工作顺利开展，受XXXX银行党委委托，由科技信息部负责组织开展此次评定，并成立无线网络风险评定工作小组，具体以下：项目组长：XX安全技术评定人员：XX文档支持人员：XX项目组长：是风险评定项目中实施方管理者、责任人，具体工作职责包含：（1）依据项目情况组建评定项目实施团体。（2）依据项目情况和被评定方一起确定评定目标和评定范围，并组织项目组组员。（3）依据评定目标、评定范围及系统调研情况确定评定依据。（4）组织项目组组员开展风险评定各阶段工作，并对实施过程进行监督、协调和控制，确保各阶段工作有效实施。（5）和被评定组织进行立即有效沟通，立即商讨项目进展情况及可能发生问题估计等。（6）组织项目组组员将风险评定各阶段工作结果进行汇总，编写《风险评定汇报》等项目结果物。（7）负责将项目结果物移交给被评定组织，向被评定组织汇报项目结果，并提请项目验收。安全技术评定人员：负责项目中技术方面评定工作实施人员，具体工作职责包含：（1）依据评定目标和评定范围确实定参与系统调研。（2）实施各阶段具体技术性评定工作。（3）对评定工作中碰到问题立即向项目组长汇报，并提出需要协调资源。（4）将各阶段技术性评定工作结果进行汇总，参与编写《风险评定汇报》等项目结果物。（5）负责向被评定方解答项目结果物中相关技术性细节问题。文档支撑人员：负责支撑测评人员出具测评过程文档校对工作。具体工作职责包含：依据项目中要求出具文档进行校对，包含文档格式是否正确、文档内容是否符合目前实际情况、是否需要新加其它文档。提出文档整改提议而且参与《风险评定汇报》编写。二、风险评定范围（一）风险评定目标在信息安全风险评定前首先明确目标，为整个信息安全风险评定过程提供正确导向，也为下一步安全建设和风险管理提供第一手资料。风险评定应全方面、正确了解被评定信息系统安全现实状况、发觉系统可能会出现安全问题，确保系统处于一个高度可信任状态。（二）风险评定范围在确定风险评定目标后，应深入明确风险评定评定范围，在确定评定范围时，应结合已确定评定目标和组织实际信息系统建设，合理定义被评定对象和评定范围边界。XXXX银行无线网络包含以下几项：1、无线POS机具，由电子银行部负责管理；2、无线报警设备，由安全保卫部负责管理；3、营业网点互联网WLAN，由科技信息部负责管理；4、总行机关互联网WLAN，由科技信息部负责管理。（三）调查方法采取人员访谈调查方法和现场勘查相结合方法进行。（四）调查内容调查内容覆盖XXXX银行无线网络基础服务环境和系统管理制度，具体内容以下：1、安全管理制度和日常管理；2、无线网络设备摆放位置及其基线安全性；3、系统功效调查及现有安全技术方法调查；4、外包及渗透测试调查；5、应急管理调查；6、合规审计调查。三、资产识别经调查，XXXX银行共有互联网WLANXX个，其中基层网点XX个，机关各部（室）、中心XX个；共有3G/4G移动通讯专网XXXX个，其中营业厅110报警系统使用XX个，自助区110报警系统使用XX个，金服驿站110报警系统使用XX个，商户POS机使用XXXX个。经调查，XXXX银行无内网WLAN。后附《XXXX银行无线网络使用情况统计表》四、风险评定和威胁识别（一）、安全管理制度和日常管理XXXX银行秉持“谁主管谁负责，谁运行谁负责”标准进行无线网络管理工作。科技信息部制订了《XXXX银行无线网络使用管理措施》和《XXXX银行互联网安全管理措施》对互联网WLAN设备进行管理；电子银行部制订《银行卡收单业务管理措施》对POS机具进行管理；安全保卫部制订了《安全保卫设施标准化建设指导》对110报警系统进行管理。XXXX银行科技信息部、电子银行部和安全保卫部均采取每三个月全辖全覆盖检验方法，对全部设备进行全方面安全检验，确保设备安全、可靠。（二）无线网络设备摆放位置及其基线安全性1、110报警设备XXXX银行110报警设备均安装在安全分区内（联动门内），3G卡安装在设备内，设备上锁由网点安全员保管，确保了设备物理安全。2、无线POS设备XXXX银行无线POS设备均安装在商户，并和商户签署《特约商户受理银联卡协议书》，确保商户按摄影关制度要求及协议约定使用POS设备，杜绝发生窃取、泄露用户身份信息等违规行为。同时，XXXX银行特约商户管理员均严格根据《XXXX银行银行卡收单业务管理措施》相关要求，按月对商户进行回访，对POS设备进行巡检，确保能够立即发觉存在问题，随时进行纠正处理，将各类违规问题消亡在萌芽状态。3、营业网点无线设备XXXX银行互联网WLAN为总行统一计划、建设，采取AC+AP建设方案，AC为TP-LINK企业VPN路由器TL-XXXX-AC，AP为TP-LINK品牌下TL-XXXX-POE。互联网WLAN设备均安装在营业室内或网络机柜内，有良好安全保障。全部网点采取统一SSID（XXXXXX），在营业厅显著位置公布无线网络使用提醒，以预防用户接入假冒无线网络。管理人员每日早晨、下午均会对设备进行巡查，发觉可疑情况立即处理并向科技信息部汇报。科技信息部建立了无线设备管理台账，具体登记了全部设备MAC地址、品牌和型号等信息，预防设备私自更换等问题。4、总行机关无线设备XXXX银行机关互联网WLAN均由科技信息部搭建并配置，在互联网入口处配置有华为企业级防火墙SecowayXXXXXX，能够有效防范外部入侵，并初步管理用户上网行为等，起到一定安全防范作用。机关无线设备功率较小，覆盖范围不大，仅能确保机关内部人员使用。科技信息部建立了无线设备管理台账，具体登记了全部设备MAC地址、品牌和型号等信息，预防设备私自更换等问题。威胁识别：经调查，XXXX银行互联网入口处只有防火墙，而未配置入侵监测和防毒墙设备，存在一定风险隐患。5、内网WLAN经调查，XXXX银行无内网WLAN。(三)系统功效调查及现有安全技术方法调查1、110报警设备XXXX银行现用110报警设备在高物理安全性基础上采取了SIM认证、专用物联网隧道方法保障了设备、网络高安全性。2、无线POS设备XXXX银行现用无线POS设备，采取了SIM卡认证、账号密码认证、数据加密、专用物联网隧道等方法，充足保障了设备、网络安全性。3、营业网点无线设备XXXX银行营业网点互联网WLAN设备在确保物理安全并采取安全基线管理方法基础上，采取了微信实名认证、短期租约方法，管控接入手机等移动端设备，基础能够保障用户安全。威胁识别：经调查，TL-R473P-AC路由器行为管理能力较微弱，不能够有效管控用户上网行为。4、总行机关无线设备XXXX银行机关互联网WLAN设备均连接在防火墙上，经过绑定设备MAC和IP、关闭DHCP服务等方法，预防了设备私自更换和接入等问题，而且对用户上网行为有必需管理功效。全部没有线设备，每三月更换一次密码，且均为字母数字无需组合，确保了无线网络使用安全。威胁识别：XXXX银行总行机关未对互联网WLAN设备进行统一计划管理，设备和信道较混乱。5、网络边界防护经测试，XXXX银行不存在内外网互联情况，未建立开发测试等环境，网络边界清楚、安全。（四）外包及渗透测试调查经调查，XXXX银行营业网点互联网WLAN为XXXXXXXXXX提供，该行和该企业签署了外包服务协议，要求了权责归属、保密义务、违约责任、服务质量及售后、款项支付等事项。该企业每十二个月对XXXX银行无线网络安全情况开展专题评定并出具汇报。经调查，XXXX银行每十二个月聘用外部专业机构对网络安全进行风险评定和测试，针对网络布署架构、设备及系统，主动采取配置监测、漏洞扫描、渗透测试等技术服务。为XXXXXX，为XXXX省信息化和信息安全评测中心。该行针对测试发觉问题，主动进行了整改，切实预防网络安全事件发生。威胁识别：聘用外部专业机构开展风险评定和测试工作中未包含互联网WLAN项目。（五）应急管理调查XXXX银行成立了网络安全和信息化领导组和突发事件应急领导组，均由董事长任组长，并制订了《XXXX银行网络和信息系统突发事件处理和汇报管理措施》、《XXXX银行计算机及网络安全应急预案》、《XXXX银行营业场所突发事件应急处理预案》和《XXXX银行特约商户紧急事件应急预案》，明确了网络和信息系统突发事件处理和汇报步骤，建立了网络安全事件应急响应机制，制订了专题应急预案和处理方案，确保了网络安全事件得到有效处理。XXXX银行每三个月组织全辖开展应急演练，出具演练汇报，针对发觉问题立即整改。（六）合规审计调查XXXX银行合规风险部和稽核审计部每十二个月针对信息科技风险情况进行专题检验和审计工作，出具年度科技信息工作评定汇报和年度科技信息工作审计汇报。汇报涵盖了制度建设、突发事件处理、网络防护、业务连续性、运维管理、软件正版化、外包管理和宣传教育等各个方面，能够全方面评定信息科技存在不足和风险情况。威胁识别：汇报中未针对互联网WLAN情况开展专题评定。五、风险处理（一）现有风险分类1、基础建设方面XXXX银行营业网点TP-LINK路由器行为管理等管理能力微弱，不能有效管理用户访问等行为；总行互联网入口处仅配置