账户远程核准影像管理系统风险评估报告.doc

1、人民币银行结算账户核准影像管理系统风险评估报告项 目 名 称：人民币银行结算账户核准影像管理系统风险评估单位： 2008年8 月28日目 录1、风险评估项目概述11.1 工程项目概况11.1.1 建设项目基本信息11.1.2 建设单位基本信息11.1.3承建单位基本信息21.2 风险评估实施单位基本情况22、风险评估活动概述42.1 风险评估工作组织管理42.2 风险评估工作过程52.3 依据的技术标准及相关法规文件62.4 保障与限制条件73、评估对象83.1 评估对象构成与定级83.1.1 网络结构83.1.2 业务应用93.2 评估对象等级保护措施104、资产识别与分析124.1 资产类

2、型与赋值124.2 关键资产说明125、威胁识别与分析136、脆弱性识别与分析167、风险分析167.1 关键资产的风险计算结果167.2 关键资产的风险等级167.2.1 风险等级列表167.2.2 风险等级统计177.2.3 基于脆弱性的风险排名177.2.4 风险结果分析188、综合分析与评价189、整改意见20附件1：管理措施表21附件2：技术措施表23附件3：资产类型与赋值表25附件4：脆弱性赋值表271、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息工程项目名称人民币银行结算账户远程核准影像管理系统工程项目批复的建设内容非涉密信息系统部分的建设内容在不改变现有账户

3、管理系统操作流程的前提下，通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理，实现远程核准银行结算账户和账户资料档案影像化管理。相应的信息安全保护系统建设内容以WIN2003 Server做为服务器平台；数据库使用MYSQL网络数据库；以人行省会中支网间互联平台为基础；与人民币银行结算账户管理系统共享客户端硬件资源。项目完成时间2011年8月3日项目试运行时间2011年8月8日1.1.2 建设单位基本信息工程建设牵头部门部门名称中国人民银行工程责任人通信地址联系电话电子邮件工程建设参与部门部门名称工程责任人通信地址联系电话电子邮件工程建设参与部门部门名称工程责任人通信地址联系电话电

4、子邮件1.1.3承建单位基本信息单位名称单位性质法人代表通信地址联系电话电子邮件1.2 风险评估实施单位基本情况评估单位名称法人代表通信地址联系电话电子邮件二、风险评估活动概述2.1 风险评估工作组织管理1建立评估领导小组领导小组的工作职责是：在中支计算机信息安全工作领导小组的领导下，确定评估的范围和目的、组织结构和任务分工，并对最终评估结果进行评审。信息安全评估领导小组人员组成及分工如下：办公室的主要职责是：编写评估方案，组织宣传培训，围绕关键业务威胁、风险的技术分析，评估各阶段的具体实施工作，及时向领导小组反馈问题，提交最终评估报告。2、原则 （1）保密原则 在风险评估过程中，将严格遵循保

5、密原则，对评估过程中涉及到的任何信息未允许不向其他任何第三方泄露。 （2）互动原则 在整个风险评估过程中，将强调员工的互动参与，进而更好地进行风险评估工作。 （3）最小影响原则 风险评估工作应尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响，如无法避免，则应做出说明。 （4）规范性原则 信息安全风险评估的实施必须依照规范的操作流程进行，对操作过程和结果要有相应的记录。 （5）质量保障原则 在整个风险评估过程中，将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由评估领导小组从中监督，控制项目的进度和质量。2.2 风险评估工作过程本次评估的重点范围是：制

6、度建设和管理情况、设备和人员的单点运行风险、冗余备份设备与数据的可用性、设备运行的可靠性、运行监控和安全审计系统的有效性、安全防护设施的有效性、系统配置的合理性与安全性。检查评估的具体内容：1、管理脆弱性。检查制度、操作规程、岗位设置与职责分工、执行监督等。2、技术脆弱性。检查通信网络的线路、设备备份有效性，网络设备配置参数、子网划分以及子网间访问控制措施的合理性与安全性；检查机房基础设施的安全性，有效性；检查生产系统资源冗余度，进行业务系统压力测试；对服务器进行健康检查（包括补丁更新情况）；检查运行维护监控系统的有效性；检查安全防护设施的有效性；检查不必要端口的关闭情况。本次信息安全评估以自

7、评估的方式进行，按照风险评估的组织方式、内容和流程，评估管理脆弱性与技术脆弱性。1、管理脆弱性评估：以现场调查为主，综合评估检查组织体系、制度体系和管理体系方面存在的问题。2、技术脆弱性评估：以查看设备配置、验证性测试和检测为主，把局部风险与系统性风险评估检查相结合，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性。2.3 依据的技术标准及相关法规文件风险评估参照了以下办法和标准实施：中国人民银行突发事件应急预案管理办法（银发2005 196号）中国人民银行IT系统应急预案指引（银办发2006154号）中国人民银行信息安全管理规定（银办发2005211号）中国人民银行计算机机房规范化工作指

8、引（银办发2006154号）计算机信息系统安全保护等级划分准则GB 178591999信息安全风险评估规范（GB/T20984-2007）2.4 保障与限制条件1、现场查看了以下文档：系统的用户手册、管理员手册、操作维护手册。操作系统的用户手册、管理员手册。所用的网络设备如路由器、交换机等管理员手册。所用的安全设备、系统、软件的管理员手册。系统的安全日志、试运行维护日志等各种日志记录。2、人员准备确定了配合现场评估工作的技术人员：系统的运行维护人员、网络管理员；安全员；应用系统的操作人员，这些人员都能操作每个关键测试点的系统或配置界面。3、评估对象3.1 评估对象构成与定级本次评估范围为人民币

9、银行结算账户远程核准影像管理系统。该系统是一个基于 B/S 架构的办公自动化系统，主要对象是网络结构、业务应用和系统等级保护措施。3.1.1 网络结构为保证安全，服务器放置在人民银行省级数据中心业务网防火墙的DMZ区，人民银行用户通过系统对内映射IP（11.84.17.2）访问系统，商业银行用户通过系统对外映射IP（9.168.45.17）访问系统，同时，通过配置相应的访问规则及限定访问端口以进一步保障系统的访问及使用安全。网络连接拓扑图如下所示：3.1.2 业务应用该系统在不改变现有账户管理系统操作流程的前提下，通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理，实现远程核准银行

10、结算账户和账户资料档案影像化管理，极大方便了农村地区和牧区银行机构和存款人开立、注销和变更银行结算账户等业务，同时也解决了纸质账户资料保管、查询和调阅困难的问题。账户影像系统的建设，构建起了快捷、高效、优质的城乡一体化的银行结算账户网上核准业务处理模式。目前主要取得五方面成效：一简化开户流程，提升金融服务水平，二是节约开户成本，提高社会经济效益，三是提高账户普及率，助推农村经济发展，四是规范账户资料，实现账户档案电子化，五是改善结算环境，提高支付结算业务量3.2系统等级保护措施本系统由于刚建成，正处于试运行阶段，所以还没有进行系统等级定级，我们参照人民银行的有关规定和做法，暂时按三级保护的级别

11、加以保护，采取的保护措施如下：1、管理措施：我们按照国家有关规定，建立、健全了计算机信息系统安全管理制度，成立有中支计算机系统信息安全领导小组，确定安全管理责任人，负责计算机信息系统的安全保护工作。按照规定定期对计算机信息系统开展安全状况、安全管理制度及措施的落实情况进行自查。制定了计算机信息系统重大安全事件报告制度，制定了系统应急预案。建立并执行中支计算机机房安全管理制度、安全责任制度、系统运行维护制度、设备、介质管理制度及数据备份制度；2、安全技术措施：我们采取了下列安全保护技术措施：（一）服务器选用惠普388G7，主频为2.13GHz的双CPU，内存为8GB，双电源，采用RAID0+1磁

12、盘阵列技术；采用总行统一下发的诺顿计算机病毒防治系统；（二）安装补丁、扫描病毒，关闭不必要的服务和端口，删除来历不明的程序。删除非法用户，检查并恢复系统正常的权限设置。修改系统配置，提高安全防御能力，系统运行和用户使用日志记录保存一年以上。（三）网络系统采用双线路、双机热备份处理、故障自动切换模式。电信2M线路与联通线路互备，Huawei Quidway2840与Huawei Quidway4640路由器互为备份， 2台Cisco Catalyst4506互为交换机备份，应用系统服务器部署在省级数据中心的DMZ区。见下图：人民币银行结算账户核准影像管理系统的等级保护管理措施情况见附表一。人民币

13、银行结算账户核准影像管理系统的等级保护技术措施情况见附表二。4、资产识别与分析4.1 资产类型与赋值 见附件3资产类型与赋值表。4.2 关键资产说明在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重点对象，并以清单形式列出如下：关键资产列表资产编号资产名称应用资产权重Zhhzyx_1服务器G7是本系统的载体，是运行合管理的平台4Zhhzyx_8账户影像系统1.0本系统的程序指令3Zhhzyx_9系统操作及维护手册是本系统安装、运行、维护和操作的指南2Zhhzyx_10账户影像数据是本系统运行的最终结果4Zhhzyx_12系统运行维护制度是本系统安全稳定运行的保证。45

14、、威胁识别与分析威胁来源名称影响资产影响值软硬件故障主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据4物理环境主机、网络设备、安全设备、通讯线路、保障设备4无作为或操作失误主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3管理不到位主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员4恶意代码和病毒主机、网络设备、安全设备、通讯线路、应用系统、数据3越权或滥用主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料3网络攻击主机、网络设备、安全设备、通讯线路、应用系统3物理攻击主机、网络设备、安全设备、通讯线路、保障

15、设备、应用系统、数据、3泄密主机、网络设备、应用系统、数据、文档资料3篡改数据、文档资料、应用系统3抵赖数据、文档资料、应用系统3粗心、好奇或培训不足的员工主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3内部人员犯罪主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3恶意第三方主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员2外部计算机犯罪主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员2外部黑客主机、网络设备、安全设备、通讯线路、应用系统、数据、文档资料、人员2不可抗力主机、网络设

16、备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员1恐怖分子主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员1社会工程主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员1威胁影响性赋值威胁来源名称威胁可能性威胁影响威胁值软硬件故障444物理环境242恶意代码和病毒433无作为或操作失误232管理不到位444越权或滥用232网络攻击232物理攻击232泄密232篡改232抵赖232粗心、好奇或培训不足的雇员232内部人员犯罪232恶意第三方221外部计算机犯罪121外部黑客121竞争对手111恐怖分子111社会工程111经过对上

17、面章节的安全威胁进行分析，可发现，对于本系统来说，最严重的威胁来源是：管理不到位、计算机病毒及恶意软件和设备故障因素。六、脆弱性识别与分析 见附件5：脆弱性分析赋值表七、风险分析7.1 关键资产的风险计算结果资产编号资产风险值资产名称Zhhzyx_124系统运行维护制度Zhhzyx_14服务器G7Zhhzyx_104账户影像数据Zhhzyx_83账户影像系统1.0Zhhzyx_92系统操作及维护手册7.2 关键资产的风险等级7.2.1 风险等级列表资产风险等级表资产编号资产风险值资产名称资产风险等级Zhhzyx_124系统运行维护制度3Zhhzyx_14服务器G73Zhhzyx_104账户影像

18、数据3Zhhzyx_83账户影像系统1.02Zhhzyx_92系统操作及维护手册17.2.2 风险等级统计资产风险等级统计表风险等级资产数量所占比例3360%2120%1120%7.2.3 基于脆弱性的风险排名基于脆弱性的风险排名表脆弱性风险值所占比例运行维护管理脆弱性237.5%325%灾备与应急响应脆弱性225%312.5%7.2.4 风险结果分析该系统资产类型主要由硬件、软件、文档、系统所产生的数据和管理制度组成。在硬件设备中，网络设备是共用设备，其风险已经加固；软件系统中，对Windows Server 2003和MYSLQ我们已经严格按照有关技术规定和指引进行了配置，安装了防病毒系统

19、等安全系统，其应用系统在真实的生产环境中已经得到检验；各类文档都有备份并按规定妥善保存。在排除以上情况后，从该系统资产类型分析，能够产生该系统风险的资产就只有用于该系统运行的服务器、系统运行所产生的数据和运行管理制度的制定和执行情况。从风险等级统计得知，服务器、系统运行所产生的数据和运行管理制度的制定和执行情况的风险等级为3的占比达60%；从脆弱性的风险排名可以看出，运行维护管理制度的风险占比达62.5%，因此，该系统主要风险集中于该系统运行维护管理制度的制定和执行情况。八、综合分析与评价本次评估的人民币银行结算账户远程核准影像管理系统，从人民银行昕州市中支引进，以WIN2003 Server

20、做为服务器平台；使用MYSQL网络数据库，账户影像系统的代码以二进制方式运行，与人民币银行结算账户管理系统共享客户端、网络系统、机房等硬件资源，以现有的网络架构为基础，依托人行西宁中支网间互联平台搭建完成。从硬件上来看，服务器选用惠普388G7，主频为2.13GHz的双CPU，内存为8GB，双电源，采用RAID0+1磁盘阵列技术，网络设备共享现有的设备，经过了长时间的检验，并且实现了实时热备份功能。从安全防护上来看，按照了总行统一下发的诺顿计算机病毒防治系统，安装了操作系统、数据库和防病毒补丁，严格按照总行关于系统配置指引的要求，关闭了不必要的服务和端口，删除非必须的用户，配置了权限。设置了系

21、统密码，提高了安全防御能力。从网络架构上来看，网络系统采用双线路、双机热备份处理、故障自动切换模式。电信2M线路与联通线路互备，Huawei Quidway2840与Huawei Quidway4640路由器互为备份， 2台Cisco Catalyst4506互为交换机备份，应用系统服务器部署在省级中心机房的DMZ区。从该系统运行的环境来看，由于该系统部署在省级中心机房，防静电、防雷、防火、防水、温度、湿度等指标达到了标准要求，双路供电，所以该系统的运行环境优良。从该系统的运行维护管理方面来看，我们制订有一系列关于计算机系统的运行、维护及安全制度，但由于服务器部署在省级中心机房，海西中支科技部

22、门派人员前去做运行维护的工作显然不现实，虽然上级部门也指定人员管理，但就承担运行过程中出现的诸如日常维护、数据备份等责任问题没有明确，缺乏制度层面的约束性。从该系统的应急管理来看，由于缺乏相应的管理制度，对运行过程中出现的运维流程不是很明确，所以没有制订出该系统的应急预案，更谈不上进行应急演练工作。结论：该系统的硬件设施、网络配置、安全防护和运行环境方面都达到了优良，但由于缺乏运行维护制度，责任不明确，同时，缺乏相应的应急预案，所以，该系统存在运行维护管理和应急方面的风险。九、整改意见鉴于该系统存在的实际风险问题，建议领导尽快协商，达成共识，将该系统纳入到人民币银行结算账户管理系统的管理体系中

23、，把该系统做为人民币银行结算账户管理系统的一个子系统进行管理，并按照人民币银行结算账户管理系统的管理办法制定处该系统的应急预案。附件1：管理措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用1安全管理制度管理制度2制定和发布3评审和修订4安全管理机构岗位设置5人员配备6授权和审批7审核和检查8人员安全管理 人员离岗9人员考核10安全意识教育和培训11外部人员访问管理12系统建设管理系统定级13安全方案设计14产品采购15自行软件开发16外包软件开发17工程实施18测试验收19系统交付20系统备案21系统运维管理环境管理22资产管理23介质管理24设备管理25监控管理26网络安全管理2

24、7系统安全管理28恶意代码防范管理29密码管理30变更管理31备份与恢复管理32安全事件处置33应急预案管理小计3329103附件2：技术措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用1物理安全物理位置的选择2物理访问控制3防盗窃和防破坏4防雷击5防火6防水和防潮7防静电8温湿度控制9电力供应10电磁防护 11网络安全网络结构安全12网络访问控制13网络安全审计14边界完整性检查15网络入侵防范16恶意代码防范17网络设备防护18主机安全身份鉴别19访问控制20安全审计21入侵防范22恶意代码防范23资源控制24应用安全身份鉴别25访问控制26安全审计27通信完整性28抗抵赖29

25、软件容错30数据安全及备份与恢复数据完整性31数据保密性32备份和恢复小计31001附件3：资产类型与赋值表类别资产编号资产名称资产权重赋值说明硬件资产Zhhzyx_1服务器G74重要， 其安全属性破坏后可能对中支造成比较严重的损失Zhhzyx_2Huawei Quidway28404重要， 其安全属性破坏后可能对中支造成比较严重的损失Zhhzyx_3Huawei Quidway46404重要， 其安全属性破坏后可能对中支造成比较严重的损失Zhhzyx_4Cisco Catalyst45064重要， 其安全属性破坏后可能对中支造成比较严重的损失Zhhzyx_5PC用户终端2不太重要， 其安全属

26、性破坏后可能对中支造成较低的损失软件资产Zhhzyx_6Windos server20033比较重要， 其安全属性破坏后可能对该系统造成中等程度的损失Zhhzyx_7MYSQL5.03比较重要， 其安全属性破坏后可能对该系统造成中等程度的损失Zhhzyx_8账户影像系统1.03比较重要， 其安全属性破坏后可能对该系统造成中等程度的损失文档和数据资产Zhhzyx_9系统操作及维护手册2不太重要， 其安全属性破坏后可能对中支造成较低的损失Zhhzyx_10账户影像数据4重要， 其安全属性破坏后可能对中支造成比较严重的损失制度资产Zhhzyx_11计算机系统信息安全管理制度4重要， 其安全属性破坏后

27、可能对中支造成比较严重的损失Zhhzyx_12系统运行维护制度4重要， 其安全属性破坏后可能对中支造成比较严重的损失Zhhzyx_13机房安全管理制度4重要， 其安全属性破坏后可能对中支造成比较严重的损失Zhhzyx_14账户影像资料管理系统业务处理实施细则4重要， 其安全属性破坏后可能对中支造成比较严重的损失附件4：脆弱性分析赋值表检测项检测子项脆弱性赋值潜在影响整改建议标识运行维护管理脆弱性制度该系统运行维护制度没有明确3系统一旦发生故障,可能出现责任不清的问题建议与科技处协商，制订或明确本系统的运行维护管理办法，包括硬件的维修，明确责任。V1日常维护服务器在西宁，日常维护要依赖科技处2日

28、志不能及时分析，服务器运行状态了解不及时，系统就可能瘫痪等。V2系统漏洞补丁操作系统及数据库安全补丁可能不及时升级2使系统暴露在病毒感染、黑客入侵、拒绝服务攻击以及其它可能的风险面前。V3病毒库升级计算机病毒库可能升级不及时2系统轻则资源耗尽、重则感染病毒、被插木马、客户资料尽泄甚至会产生经济上的损失。V4硬件故障硬盘故障、电源故障、芯片主板故障3硬件会造成死机，蓝屏，无法开机，等很多问题。V5灾备与应急响应脆弱性应急预案应急预案不完整，缺乏与上级的沟通机制和有关责任、义务。2对各类事故应急救援中对潜在事故的负责部门和支持部门、任务要求、应急准备和操作程序等不够明确。完善应急预案，进行必要的应

29、急演练。V6应急演练没有进行该系统的应急演练2应急预案流程是否可行，操作是否合理没有经过实践验证。V7数据备份数据备份在本机硬盘上3一旦遇到天灾人祸出现无法恢复的硬件故障，数据将全部丢失。建议数据进行异地备份。V8 3、通过活动，使学生养成博览群书的好习惯。B比率分析法和比较分析法不能测算出各因素的影响程度。C采用约当产量比例法，分配原材料费用与分配加工费用所用的完工率都是一致的。C采用直接分配法分配辅助生产费用时，应考虑各辅助生产车间之间相互提供产品或劳务的情况。错 C产品的实际生产成本包括废品损失和停工损失。C成本报表是对外报告的会计报表。C成本分析的首要程序是发现问题、分析原因。C成本会

30、计的对象是指成本核算。C成本计算的辅助方法一般应与基本方法结合使用而不单独使用。C成本计算方法中的最基本的方法是分步法。XD当车间生产多种产品时，“废品损失”、“停工损失”的借方余额，月末均直接记入该产品的产品成本 中。D定额法是为了简化成本计算而采用的一种成本计算方法。F“废品损失”账户月末没有余额。F废品损失是指在生产过程中发现和入库后发现的不可修复废品的生产成本和可修复废品的修复费用。F分步法的一个重要特点是各步骤之间要进行成本结转。()G各月末在产品数量变化不大的产品，可不计算月末在产品成本。错G工资费用就是成本项目。()G归集在基本生产车间的制造费用最后均应分配计入产品成本中。对J计

31、算计时工资费用，应以考勤记录中的工作时间记录为依据。()J简化的分批法就是不计算在产品成本的分批法。()J简化分批法是不分批计算在产品成本的方法。对 J加班加点工资既可能是直接计人费用，又可能是间接计人费用。J接生产工艺过程的特点，工业企业的生产可分为大量生产、成批生产和单件生产三种，XK可修复废品是指技术上可以修复使用的废品。错K可修复废品是指经过修理可以使用，而不管修复费用在经济上是否合算的废品。P品种法只适用于大量大批的单步骤生产的企业。Q企业的制造费用一定要通过“制造费用”科目核算。Q企业职工的医药费、医务部门、职工浴室等部门职工的工资，均应通过“应付工资”科目核算。 S生产车间耗用的

32、材料，全部计入“直接材料”成本项目。 S适应生产特点和管理要求，采用适当的成本计算方法，是成本核算的基础工作。()W完工产品费用等于月初在产品费用加本月生产费用减月末在产品费用。对Y“预提费用”可能出现借方余额，其性质属于资产，实际上是待摊费用。对 Y引起资产和负债同时减少的支出是费用性支出。XY以应付票据去偿付购买材料的费用，是成本性支出。XY原材料分工序一次投入与原材料在每道工序陆续投入，其完工率的计算方法是完全一致的。Y运用连环替代法进行分析，即使随意改变各构成因素的替换顺序，各因素的影响结果加总后仍等于指标的总差异，因此更换各因索替换顺序，不会影响分析的结果。()Z在产品品种规格繁多的情况下，应该采用分类法计算产品成本。对Z直接生产费用就是直接计人费用。XZ逐步结转分步法也称为计列半成品分步法。A按年度计划分配率分配制造费用，“制造费用”账户月末(可能有月末余额/可能有借方余额/可能有贷方余额/可能无月末余额)。A按年度计划分配率分配制造费用的方法适用于(季节性生产企业)