XXXX銀行無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告(2018.8.21).doc

XXXX銀行無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估報(bào)告 XXXX銀行2018年08月21日一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述（一）、項(xiàng)目概述無(wú)線網(wǎng)絡(luò)作為XXXXXXXX銀行股份有限公司（以下簡(jiǎn)稱XXXX銀行）重要的信息系統(tǒng)之一，保證無(wú)線網(wǎng)絡(luò)的安全、穩(wěn)健運(yùn)行，為客戶提供安全、便捷的服務(wù)，是XXXX銀行無(wú)線網(wǎng)絡(luò)建設(shè)的根本目標(biāo)。為了客觀全面了解全行無(wú)線網(wǎng)絡(luò)的信息安全效能，XXXX銀行科技信息部按照相關(guān)評(píng)估程序和執(zhí)行標(biāo)準(zhǔn)開(kāi)展了針對(duì)無(wú)線網(wǎng)絡(luò)的風(fēng)險(xiǎn)評(píng)估工作，為該系統(tǒng)日后的良好安全運(yùn)行，打下堅(jiān)實(shí)的基礎(chǔ)。本次對(duì)無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的目的是評(píng)估其風(fēng)險(xiǎn)狀況，提出風(fēng)險(xiǎn)控制建議，同時(shí)為下一步的安全建設(shè)和風(fēng)險(xiǎn)管理提供依據(jù)和建議。（二）、風(fēng)險(xiǎn)評(píng)估工作組織為了確保本次風(fēng)險(xiǎn)評(píng)估工作的順利開(kāi)展，受XXXX銀行黨委委托，由科技信息部負(fù)責(zé)組織開(kāi)展此次評(píng)估，并成立無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估工作小組，具體如下：項(xiàng)目組長(zhǎng)：XX安全技術(shù)評(píng)估人員：XX文檔支持人員：XX項(xiàng)目組長(zhǎng)：是風(fēng)險(xiǎn)評(píng)估項(xiàng)目中實(shí)施方的管理者、責(zé)任人，具體工作職責(zé)包括：（1）根據(jù)項(xiàng)目情況組建評(píng)估項(xiàng)目實(shí)施團(tuán)隊(duì)。（2）根據(jù)項(xiàng)目情況與被評(píng)估方一起確定評(píng)估目標(biāo)和評(píng)估范圍，并組織項(xiàng)目組成員。（3）根據(jù)評(píng)估目標(biāo)、評(píng)估范圍及系統(tǒng)調(diào)研的情況確定評(píng)估依據(jù)。（4）組織項(xiàng)目組成員開(kāi)展風(fēng)險(xiǎn)評(píng)估各階段的工作，并對(duì)實(shí)施過(guò)程進(jìn)行監(jiān)督、協(xié)調(diào)和控制，確保各階段工作的有效實(shí)施。（5）與被評(píng)估組織進(jìn)行及時(shí)有效的溝通，及時(shí)商討項(xiàng)目進(jìn)展?fàn)顩r及可能發(fā)生問(wèn)題的預(yù)測(cè)等。（6）組織項(xiàng)目組成員將風(fēng)險(xiǎn)評(píng)估各階段的工作成果進(jìn)行匯總，編寫風(fēng)險(xiǎn)評(píng)估報(bào)告等項(xiàng)目成果物。（7）負(fù)責(zé)將項(xiàng)目成果物移交給被評(píng)估組織，向被評(píng)估組織匯報(bào)項(xiàng)目成果，并提請(qǐng)項(xiàng)目驗(yàn)收。安全技術(shù)評(píng)估人員 ：負(fù)責(zé)項(xiàng)目中技術(shù)方面評(píng)估工作的實(shí)施人員，具體工作職責(zé)包括：（1）根據(jù)評(píng)估目標(biāo)與評(píng)估范圍的確定參與系統(tǒng)調(diào)研。（2）實(shí)施各階段具體的技術(shù)性評(píng)估工作。（3）對(duì)評(píng)估工作中遇到的問(wèn)題及時(shí)向項(xiàng)目組長(zhǎng)匯報(bào)，并提出需要協(xié)調(diào)的資源。（4）將各階段的技術(shù)性評(píng)估工作成果進(jìn)行匯總，參與編寫風(fēng)險(xiǎn)評(píng)估報(bào)告等項(xiàng)目成果物。（5）負(fù)責(zé)向被評(píng)估方解答項(xiàng)目成果物中有關(guān)技術(shù)性細(xì)節(jié)問(wèn)題。文檔支撐人員：負(fù)責(zé)支撐測(cè)評(píng)人員出具的測(cè)評(píng)過(guò)程文檔校對(duì)工作。具體工作職責(zé)包括：根據(jù)項(xiàng)目中要求出具的文檔進(jìn)行校對(duì)，包括文檔格式是否正確、文檔內(nèi)容是否符合當(dāng)前實(shí)際情況、是否需要新加其它文檔。提出文檔整改建議并且參與風(fēng)險(xiǎn)評(píng)估報(bào)告的編寫。二、風(fēng)險(xiǎn)評(píng)估范圍（一）風(fēng)險(xiǎn)評(píng)估目標(biāo)在信息安全風(fēng)險(xiǎn)評(píng)估前首先明確目標(biāo)，為整個(gè)信息安全風(fēng)險(xiǎn)評(píng)估的過(guò)程提供正確的導(dǎo)向，也為下一步的安全建設(shè)和風(fēng)險(xiǎn)管理提供第一手資料。風(fēng)險(xiǎn)評(píng)估應(yīng)全面、準(zhǔn)確的了解被評(píng)估信息系統(tǒng)的安全現(xiàn)狀、發(fā)現(xiàn)系統(tǒng)可能會(huì)出現(xiàn)的安全問(wèn)題，保證系統(tǒng)處于一個(gè)高度可信任的狀態(tài)。（二）風(fēng)險(xiǎn)評(píng)估范圍在確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)后，應(yīng)進(jìn)一步明確風(fēng)險(xiǎn)評(píng)估的評(píng)估范圍，在確定評(píng)估范圍時(shí)，應(yīng)結(jié)合已確定的評(píng)估目標(biāo)和組織的實(shí)際信息系統(tǒng)建設(shè)，合理定義被評(píng)估對(duì)象和評(píng)估范圍邊界。 XXXX銀行無(wú)線網(wǎng)絡(luò)包括以下幾項(xiàng)：1、無(wú)線POS機(jī)具，由電子銀行部負(fù)責(zé)管理；2、無(wú)線報(bào)警設(shè)備，由安全保衛(wèi)部負(fù)責(zé)管理；3、營(yíng)業(yè)網(wǎng)點(diǎn)互聯(lián)網(wǎng)WLAN，由科技信息部負(fù)責(zé)管理；4、總行機(jī)關(guān)互聯(lián)網(wǎng)WLAN，由科技信息部負(fù)責(zé)管理。（三）調(diào)查方式采用人員訪談?wù){(diào)查方式和現(xiàn)場(chǎng)勘查相結(jié)合的方式進(jìn)行。（四）調(diào)查內(nèi)容調(diào)查內(nèi)容覆蓋XXXX銀行無(wú)線網(wǎng)絡(luò)的基礎(chǔ)服務(wù)環(huán)境和系統(tǒng)的管理制度，具體內(nèi)容如下：1、安全管理制度和日常管理；2、無(wú)線網(wǎng)絡(luò)設(shè)備的擺放位置及其基線的安全性；3、系統(tǒng)功能調(diào)查及現(xiàn)有安全技術(shù)措施調(diào)查；4、外包及滲透測(cè)試調(diào)查；5、應(yīng)急管理調(diào)查；6、合規(guī)審計(jì)調(diào)查。三、資產(chǎn)識(shí)別經(jīng)調(diào)查，XXXX銀行共有互聯(lián)網(wǎng)WLANXX個(gè)，其中基層網(wǎng)點(diǎn)XX個(gè)，機(jī)關(guān)各部（室）、中心XX個(gè)；共有3G/4G移動(dòng)通訊專網(wǎng)XXXX個(gè)，其中營(yíng)業(yè)廳110報(bào)警系統(tǒng)使用XX個(gè)，自助區(qū)110報(bào)警系統(tǒng)使用XX個(gè)，金服驛站110報(bào)警系統(tǒng)使用XX個(gè)，商戶POS機(jī)使用XXXX個(gè)。經(jīng)調(diào)查，XXXX銀行無(wú)內(nèi)網(wǎng)WLAN。后附XXXX銀行無(wú)線網(wǎng)絡(luò)使用情況統(tǒng)計(jì)表四、風(fēng)險(xiǎn)評(píng)估和威脅識(shí)別（一）、安全管理制度和日常管理XXXX銀行秉持“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則進(jìn)行無(wú)線網(wǎng)絡(luò)管理工作?？萍夹畔⒉恐贫薠XXX銀行無(wú)線網(wǎng)絡(luò)使用管理辦法和XXXX銀行互聯(lián)網(wǎng)安全管理辦法對(duì)互聯(lián)網(wǎng)WLAN設(shè)備進(jìn)行管理；電子銀行部制定銀行卡收單業(yè)務(wù)管理辦法對(duì)POS機(jī)具進(jìn)行管理；安全保衛(wèi)部制定了安全保衛(wèi)設(shè)施標(biāo)準(zhǔn)化建設(shè)指引對(duì)110報(bào)警系統(tǒng)進(jìn)行管理。 XXXX銀行科技信息部、電子銀行部和安全保衛(wèi)部均采用每季度全轄全覆蓋檢查的方式，對(duì)所有設(shè)備進(jìn)行全面的安全檢查，確保設(shè)備的安全、可靠。（二）無(wú)線網(wǎng)絡(luò)設(shè)備的擺放位置及其基線的安全性1、110報(bào)警設(shè)備XXXX銀行的110報(bào)警設(shè)備均安裝在安全分區(qū)內(nèi)（聯(lián)動(dòng)門內(nèi)），3G卡安裝在設(shè)備內(nèi)，設(shè)備上鎖由網(wǎng)點(diǎn)安全員保管，保證了設(shè)備的物理安全。2、無(wú)線POS設(shè)備XXXX銀行無(wú)線POS設(shè)備均安裝在商戶，并與商戶簽訂特約商戶受理銀聯(lián)卡協(xié)議書，保證商戶按照相關(guān)制度規(guī)定及協(xié)議約定使用POS設(shè)備，杜絕發(fā)生竊取、泄露客戶身份信息等違規(guī)行為。同時(shí)，XXXX銀行特約商戶管理員均嚴(yán)格按照XXXX銀行銀行卡收單業(yè)務(wù)管理辦法的相關(guān)規(guī)定，按月對(duì)商戶進(jìn)行回訪，對(duì)POS設(shè)備進(jìn)行巡檢，確保能夠及時(shí)發(fā)現(xiàn)存在的問(wèn)題，隨時(shí)進(jìn)行糾正處理，將各類違規(guī)問(wèn)題消滅在萌芽狀態(tài)。3、營(yíng)業(yè)網(wǎng)點(diǎn)無(wú)線設(shè)備XXXX銀行互聯(lián)網(wǎng)WLAN為總行統(tǒng)一規(guī)劃、建設(shè)，采用AC+AP建設(shè)方案，AC為TP-LINK企業(yè)VPN路由器TL-XXXX-AC，AP為TP-LINK品牌下的TL-XXXX-POE?；ヂ?lián)網(wǎng)WLAN設(shè)備均安裝在營(yíng)業(yè)室內(nèi)或網(wǎng)絡(luò)機(jī)柜內(nèi)，有良好的安全保障。所有網(wǎng)點(diǎn)采用統(tǒng)一的SSID（XXXXXX），在營(yíng)業(yè)廳顯著位置發(fā)布無(wú)線網(wǎng)絡(luò)的使用提示，以防止用戶接入假冒無(wú)線網(wǎng)絡(luò)。管理人員每日上午、下午均會(huì)對(duì)設(shè)備進(jìn)行巡查，發(fā)現(xiàn)可疑情況及時(shí)處理并向科技信息部匯報(bào)。科技信息部建立了無(wú)線設(shè)備管理臺(tái)賬，詳細(xì)登記了所有設(shè)備的MAC地址、品牌和型號(hào)等信息，防止設(shè)備的私自更換等問(wèn)題。4、總行機(jī)關(guān)無(wú)線設(shè)備XXXX銀行機(jī)關(guān)互聯(lián)網(wǎng)WLAN均由科技信息部搭建并配置，在互聯(lián)網(wǎng)入口處配置有華為企業(yè)級(jí)防火墻Secoway XXXXXX，能夠有效防范外部入侵，并初步管理用戶的上網(wǎng)行為等，起到一定的安全防范作用。機(jī)關(guān)無(wú)線設(shè)備功率較小，覆蓋范圍不大，僅能保證機(jī)關(guān)內(nèi)部人員的使用?？萍夹畔⒉拷⒘藷o(wú)線設(shè)備管理臺(tái)賬，詳細(xì)登記了所有設(shè)備的MAC地址、品牌和型號(hào)等信息，防止設(shè)備的私自更換等問(wèn)題。威脅識(shí)別：經(jīng)調(diào)查，XXXX銀行互聯(lián)網(wǎng)入口處只有防火墻，而未配備入侵監(jiān)測(cè)和防毒墻設(shè)備，存在一定的風(fēng)險(xiǎn)隱患。5、內(nèi)網(wǎng)WLAN經(jīng)調(diào)查，XXXX銀行無(wú)內(nèi)網(wǎng)WLAN。(三) 系統(tǒng)功能調(diào)查及現(xiàn)有安全技術(shù)措施調(diào)查1、110報(bào)警設(shè)備XXXX銀行現(xiàn)用的110報(bào)警設(shè)備在高物理安全性的基礎(chǔ)上采用了SIM認(rèn)證、專用物聯(lián)網(wǎng)隧道的方式保障了設(shè)備、網(wǎng)絡(luò)的高安全性。2、無(wú)線POS設(shè)備XXXX銀行現(xiàn)用的無(wú)線POS設(shè)備，采用了SIM卡認(rèn)證、賬號(hào)密碼認(rèn)證、數(shù)據(jù)加密、專用物聯(lián)網(wǎng)隧道等方式，充分保障了設(shè)備、網(wǎng)絡(luò)的安全性。3、營(yíng)業(yè)網(wǎng)點(diǎn)無(wú)線設(shè)備XXXX銀行營(yíng)業(yè)網(wǎng)點(diǎn)互聯(lián)網(wǎng)WLAN設(shè)備在確保物理安全并采取安全基線管理措施的基礎(chǔ)上，采用了微信實(shí)名認(rèn)證、短期租約的方式，管控接入的手機(jī)等移動(dòng)端設(shè)備，基本能夠保障用戶的安全。威脅識(shí)別：經(jīng)調(diào)查，TL-R473P-AC路由器行為管理能力較薄弱，不能夠有效管控用戶的上網(wǎng)行為。4、總行機(jī)關(guān)無(wú)線設(shè)備XXXX銀行機(jī)關(guān)互聯(lián)網(wǎng)WLAN設(shè)備均連接在防火墻上，通過(guò)綁定設(shè)備MAC和IP、關(guān)閉DHCP服務(wù)等方式，防止了設(shè)備的私自更換和接入等問(wèn)題，并且對(duì)用戶的上網(wǎng)行為有必要的管理功能。所有無(wú)線設(shè)備，每三月更換一次密碼，且均為字母數(shù)字無(wú)需組合，確保了無(wú)線網(wǎng)絡(luò)的使用安全。威脅識(shí)別：XXXX銀行總行機(jī)關(guān)未對(duì)互聯(lián)網(wǎng)WLAN設(shè)備進(jìn)行統(tǒng)一規(guī)劃管理，設(shè)備和信道較混亂。5、網(wǎng)絡(luò)邊界防護(hù)經(jīng)測(cè)試，XXXX銀行不存在內(nèi)外網(wǎng)互聯(lián)情況，未建立開(kāi)發(fā)測(cè)試等環(huán)境，網(wǎng)絡(luò)邊界清晰、安全。（四）外包及滲透測(cè)試調(diào)查經(jīng)調(diào)查，XXXX銀行營(yíng)業(yè)網(wǎng)點(diǎn)互聯(lián)網(wǎng)WLAN為XXXXXXXXXX有限公司提供，該行與該公司簽訂了外包服務(wù)合同，規(guī)定了權(quán)責(zé)歸屬、保密義務(wù)、違約責(zé)任、服務(wù)質(zhì)量及售后、款項(xiàng)支付等事項(xiàng)。該公司每年對(duì)XXXX銀行的無(wú)線網(wǎng)絡(luò)安全情況開(kāi)展專項(xiàng)評(píng)估并出具報(bào)告。經(jīng)調(diào)查，XXXX銀行每年聘請(qǐng)外部專業(yè)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估和測(cè)試，針對(duì)網(wǎng)絡(luò)部署架構(gòu)、設(shè)備及系統(tǒng)，積極采取配置監(jiān)測(cè)、漏洞掃描、滲透測(cè)試等技術(shù)服務(wù)。2017年為XXXXXX有限公司，2018年為XXXX省信息化和信息安全評(píng)測(cè)中心。該行針對(duì)測(cè)試發(fā)現(xiàn)的問(wèn)題，積極進(jìn)行了整改，切實(shí)防止網(wǎng)絡(luò)安全事件的發(fā)生。 威脅識(shí)別：聘請(qǐng)的外部專業(yè)機(jī)構(gòu)開(kāi)展的風(fēng)險(xiǎn)評(píng)估和測(cè)試工作中未包含互聯(lián)網(wǎng)WLAN項(xiàng)目。 （五）應(yīng)急管理調(diào)查XXXX銀行成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)組和突發(fā)事件應(yīng)急領(lǐng)導(dǎo)組，均由董事長(zhǎng)任組長(zhǎng)，并制定了XXXX銀行網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件處置與報(bào)告管理辦法、XXXX銀行計(jì)算機(jī)及網(wǎng)絡(luò)安全應(yīng)急預(yù)案、XXXX銀行營(yíng)業(yè)場(chǎng)所突發(fā)事件應(yīng)急處置預(yù)案和XXXX銀行特約商戶緊急事件應(yīng)急預(yù)案，明確了網(wǎng)絡(luò)與信息系統(tǒng)突發(fā)事件處置與報(bào)告流程，建立了網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制，制定了專項(xiàng)應(yīng)急預(yù)案和處置方案，確保了網(wǎng)絡(luò)安全事件得到有效處置。XXXX銀行每季度組織全轄開(kāi)展應(yīng)急演練，出具演練報(bào)告，針對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)整改。（六）合規(guī)審計(jì)調(diào)查XXXX銀行合規(guī)風(fēng)險(xiǎn)部和稽核審計(jì)部每年針對(duì)信息科技風(fēng)險(xiǎn)情況進(jìn)行專項(xiàng)檢查和審計(jì)工作，出具年度科技信息工作評(píng)估報(bào)告和年度科技信息工作的審計(jì)報(bào)告。報(bào)告涵蓋了制度建設(shè)、突發(fā)事件處置、網(wǎng)絡(luò)防護(hù)、業(yè)務(wù)連續(xù)性、運(yùn)維管理、軟件正版化、外包管理以及宣傳教育等各個(gè)方面，能夠全面評(píng)估信息科技存在的不足和風(fēng)險(xiǎn)情況。威脅識(shí)別：報(bào)告中未針對(duì)互聯(lián)網(wǎng)WLAN情況開(kāi)展專項(xiàng)評(píng)估。五、風(fēng)險(xiǎn)處置（一）現(xiàn)有風(fēng)險(xiǎn)分類1、基礎(chǔ)建設(shè)方面XXXX銀行營(yíng)業(yè)網(wǎng)點(diǎn)TP-LINK路由器行為管理等管理能力薄弱，不能有效管理用戶的訪問(wèn)等行為；總行互聯(lián)網(wǎng)入口處僅