1、网上银行安全评估报告_系统平台安全评估结果472020年5月29日文档仅供参考第十一章 系统平台安全评估结果11.1 系统平台安全评估结果汇总与分析首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估,然后综合各部分评估结果形成网上银行系统平台安全评估结果,具体评估结果见下表:评价内容评价结果权重加权值结果值结果描述物理环境安全物理环境80大部分符合20%16设备安全80大部分符合40%32介质安全80大部分符合40%32物理环境安全权重及综合评价10%80网络平台安全网络及边界安全80大部分符合30%24网络系统安全设计80大部分符合10%8
2、网络访问控制80大部分符合10%8网络安全检测分析80大部分符合10%8网络连接80大部分符合10%8网络可用性80大部分符合10%8网络设备的安全管理与配置80大部分符合20%16网络平台安全权重及综合评价10%80操作系统/平台安全帐号安全100完全符合20%20文件系统安全80大部分符合10%8网络服务安全80大部分符合10%8系统访问控制80大部分符合10%8日志及监控审计60基本符合10%6拒绝服务保护80大部分符合10%8补丁管理80大部分符合10%8病毒及恶意代码防护80大部分符合10%8系统备份与恢复60基本符合10%6操作系统/平台安全权重及综合评价20%80数据库系统安全数
3、据库帐号安全80大部分符合30%24数据库访问控制80大部分符合20%16存储过程安全80大部分符合10%8补丁管理80大部分符合10%8系统备份与恢复60基本符合20%12日志及监控审计80大部分符合10%8数据库系统安全权重及综合评价20%76应用系统安全身份鉴别100完全符合10%10访问控制80大部分符合10%8交易的安全性80大部分符合10%8数据的安全性80大部分符合10%8密码支持80大部分符合10%8异常处理80大部分符合10%8输入输出合法性60基本符合10%6备份与故障恢复60基本符合10%6安全审计 80大部分符合5%8资源利用80大部分符合5%8安全管理80大部分符合1
4、0%8应用系统安全权重及综合评价40%72综合评价结果76经过网上银行系统平台安全评估结果,AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。好的方面主要表现在以下几个方面:1) 运行维护方面:建立了完整的日志及审计机制,日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。在网银系统的Internet入口部署了IDS,能够及时监测流量突发事件和事件源头。当前网络管理主要使用加密的SSH和HTTPS,加密的数据传输对嗅探攻击相对安全。网上银行技术支持小组及时了解、分析研究各系统软件(包括 Sun Solari
5、s, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。网络设备的OS与配置文件有管理员备份和保管。2) 网络设备安全方面:网络设备有统一的安全配置规范。例如:IOS版本版本生机到高版本,设备口令加密存储,停止无用服务等。网络设备的管理制度与执行符合安全性要求。3) 安全域划分方面:划分了合理的安全域,Internet区、DMZ区、Trusted区、Intranet区、安全管理区。4)
6、网络安全控制方面:网上银行在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等。网上银行网络进行分段,经过交换器连接各段,把网络分成若干IP子网,各子网经过防火墙连接并控制各子网间的访问。5) 安全管理方面:机房的物理环境和管理方面为专业的机房托管服务商提供。安全管理的策略建立方面做得比较详细,从识别安全风险到制定控制框架都考虑的很全面,而且针对各业务流程、操作和管理流程都制定了详细的控制方法和要
7、求。不足之处主要表现在以下几个方面:1) 机房管理区域网络接入的控制不够严格,其它无关人员可能私自接入到业务网络中。2) 网上银行系统网络没有建立统一时钟服务,不能保证主机、设备时钟同步,在日志分析中会有很多的困扰。3) 网上银行系统设备基本为静态密码,因此面临着暴力破解的危险。4) 没有部署专业的备份软件与磁带库设备,不能完善数据的增量备份、差分备份等,备份系统自动化程度低。建议近期重点从如下几个方面进行改进:1) 严格限制机房管理区域网络接入的控制,严格执行AAA银行的中的”机房管理”规范。2) 建立NTP统一时钟服务,保证主机、设备能够经过配置NTP服务器进行时钟同步,能够帮助安全事件的
8、分析和作为追踪事件源的依据。3) 建议配置动态口令认证机制,降低设备口令被暴力破解的风险。4) 建议部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。11.2 系统平台安全评估结果详细描述11.2.1 物理环境安全11.2.1.1 物理环境1) AAA网银系统平台的运行环境在万国数据(GDS)的机房内托管,GDS机房的环境是按照国家A类机房的标准进行建设的,在防火、防潮、防静电、防盗、电源安全等方面都能够满足国家A类机房的标准。2) 在和中明确制定了对生产环境和机房物理环境的安全要求。3) 数据中心作为存放银行所有
9、电子设备和业务数据的地点,必须具备足够的抵抗自然灾害的能力。4) 为防止火灾,机房大楼内安装有烟雾探测器和灭火系统。5) 由于电子设备对环境温度要求比较高,机房内配备双重冷暖空调,确保环境温度在18-24摄氏度左右。6) 机房内配备两台不间断稳压电源,确保系统在断电状态下继续工作24小时以上。7) 机房内安装有视频监视系统,经过CCTV监控机房入口和机房内不同区域,一旦发现异常活动立即报警。8) GDS万国数据中心能够提供符合国家标准的机房环境,包含符合灾难备份原则的机房选址、具备高抗震指标、高承重提升地板的物理建筑,具备多路专线供电线路、长延时冗余UPS系统、备用发电机组、专业精密空调系统以
10、及气体灭火系统等各种基础设施,具备7 x 24小时的严格出入授权控制和7 x 24小时的监控录像措施和严格的管理规范。9) 对于进入机房的维护工作有严格的申请规定,而且对访问时间和人数进行了控制,在访问机房的过程中,有专人全程陪同。10) AAA的机房区域与其它托管公司的机房有独立的区域,具备很好的隔离措施。11) 对网银平台设备的维护工作只能在GDS的管理区域进行操作,不能经过远程访问的方式进行维护。问题分析:AAA的网银系统在机房的物理环境和管理方面采用了外包托管给专业服务商的方式,而且该服务商在业内拥有较高的声誉和很好的服务质量,因此在物理环境管理方面基本能够符合要求。但在维护区域的网络
11、接入控制上仍有提高的空间。80-大部分符合评价结果:建议措施:建议加强对管理区域网络接入的控制,防止其它无关人员私自接入到业务网络中。11.2.1.2 设备安全1) 所有的服务器、网络设备、安全设备和存储设备都托管在GDS机房中,人员的机房进出有严格的控制,而且有24小时的监控录像,基本能够保证不会有外来人员对设备进行破坏。2) 所有的人员访问,包括外来人员和厂商的维护人员都有专人进行全程陪同,防止外来人员对设备进行意外的破坏。3) 所有设备都是安装在机柜中,机柜要求上锁,所有的线路都是采用顶棚布线的方式而且有防护罩对线路进行保护。4) 中对设备的强壮性也进行了要求。5) 所有电子设备均向信誉
12、卓著的厂商如SUN,CISCO,IBM等购买,以确保设备本身性能优良。6) 每个关键设备,如WEB服务器等均配备有备份系统。7) 每个关键设备的关键元件配备冗余元件,如硬盘均配备有镜像磁盘。问题分析:由于是在专业的机房托管服务商处进行管理,而且重要的设备都配备了冗余或备件,因此对于设备安全保护工作基本能够满足现在的需要。80-大部分符合评价结果:建议措施:无。11.2.1.3 介质安全1) AAA网银系统所使用的介质资源主要是用于备份的磁带,磁带在做完备份后首先会保存在GDS运维区域的保险柜中,定期有专人将磁带转移回公司。2) 中规定每个备份磁带贴上标签以后仔细保存在安全的地方。3) 磁带的保
13、管由安全部门负责,所有的磁带介质都将采上海市内的取异地存放的方式保存。问题分析:对于磁带介质的安全保管,AAA采取专人、异地、并使用保险箱进行保存,在很大程度上确保了数据的安全,但同城存放使抵御灾难的能力不够强。80-大部分符合评价结果:建议措施:1) 网银系统的客户数据和交易数据作为AAA的最重要信息资产,但靠一份磁带备份很难确保其最大的安全性,建议能够采取远距离异地双重备份的方式提高数据介质的高可用性。11.2.2 网络平台安全11.2.2.1 网络及边界安全1) AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持,利用服务器群集技术完成HA和LB。2) 网银系统到Inte
14、rnet分别经过电信和网通的链路连接,做到了链路备份与负载均衡。3) 系统与Internet之间设置了防火墙,对Internet用户访问系统实施了访问控制,减少了来自Internet 的威胁。4) 系统在Internet出口处部署了IPS,对来自Internet的网络访问行为进行监控和防护。5) 交换机在口令配置、使用协议和服务管理等方面进行了一定的安全配置。问题分析:AAA网银系统网络在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。但网银系统网络没有为主机、网络设备、安全设备提供统一的时钟,保证网银系统时钟的统一和正确。统一的时钟能够保证各设备的日志是同时产生的,有利于事
15、后追查对时间的定位;缺乏网管系统,在网络管理方面主要使用手工登录的管理方式。80-大部分符合评价结果:建议措施:l 考虑到各类设备较多,管理员对设备的管理采用手工方式效率较低,建议引进网管软件。l 建议网银系统网络建立统一时钟服务,保证主机、设备能够经过配置NTP服务器进行时钟同步。11.2.2.2 网络系统安全设计1) 边缘路由器和防火墙之间的网络地址使用Internet保留的私有地址,能够保证从Internet不能够直接访问到路由器的对内网络和防火墙的对外网口。2) 网银系统各相临网段之间(直连路由)能够互相访问,跨网段(非相临网段)路由不可达。3) 关键主机部署了主机入侵防护产品,能提供
16、攻击防护、终端控制和安全事件监控和审计等功能以确认网银系统多个服务器的完整性和策略依从。4) 关键主机部署了一致性管理和漏洞评估产品,主要是确保公司符合严格的使用标准,发现尚未安装的补丁等系统漏洞并指导用户快速修复,从而避免许多代价昂贵的安全问题。5) 部署了日志审计软件,便于安全事件的检测和存储,能够帮助安全事件的分析和作为追踪事件源的依据。问题分析:网上银行安全系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等;同时对网络进行分段,经过交换器连接各段,把网络
17、分成若干IP子网,各子网经过防火墙连接并控制各子网间的访问。80-大部分符合评价结果:建议措施:无11.2.2.3 网络访问控制1) 网银系统网络划分了合理的安全域,包括:l Internet区网银用户所在区域;l DMZ区网银系统WEB服务器、短信网关服务器、证书服务器所在区域;l Trusted区网银系统核心业务区;l Intranet区用户的内部网络,网银内部管理柜员从此网段访问内部管理系统;l 安全管理区防火墙、日志审计、漏洞扫描等安全管理服务器所在区域。2) 各安全域有明确的边界,各安全域之间采用了合理的控制措施和安全策略。3) 在防火墙的安全规则中禁止来自边缘路由器各端口对内、外层
18、防火墙各端口的访问,即使边缘路由器被攻破,也能够防止来自边缘路由器的攻击。问题分析:网银系统网络结构合理,总体逻辑清晰,各安全域之间的安全策略控制有较好的细粒度,防火墙策略变更时遵循,能够防止防火墙策略变更时不会产生安全策略限制不严的情况但没有明确定义常见的蠕虫端口进行策略限制。80-大部分符合评价结果:建议措施:定义蠕虫传播端口,增加这些端口的Deny策略。11.2.2.4 网络安全检测分析1) 路由器、交换机和防火墙的帐号与密码采用了高强度的密码机制,而且启用了加密保护机制,配置了强加密的特权密码enable secret。2) 网络设置了CONSOLE 口管理的密码控制机制,禁用了SNM
19、P服务。3) 路由器、交换机禁止HTTP服务管理功能,防火墙禁用了外网口的远程管理,系统管理登录连续失败4次进行帐号锁定,系统访问超时自动退出等安全措施。4) 网络设备均禁用了不必要的系统服务。5) 对网络系统设备的配置文件进行了完整的备份,由管理员保管。6) 交换机和路由器没有经过访问控制列表做防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制等,经过防火墙来完成这方面的控制。7) 网络设备更改了默认的系统日志配置信息,经过专业的日志分析软件(RSA Intrusion Log Server)进行日志收集与分析。问题分析:网络设备的安全进行了比较全面的安全配置,对日志进行专业的分析
20、。80-大部分符合评价结果:建议措施:不能完全依靠管理员来完成配置文件的备份,建议设置专用的网络设备OS和配置文件备份服务器。11.2.2.5 网络连接1) AAA网银系统网络在各个处理环节上充分考虑了可用性和负载均衡的支持,利用F5完成了网络层面的HA和LB。2) AAA网银系统网络与Internet经过电信和网通链路联接。3) 网银系统与核心业务服务器经过局域网联结,使用防火墙逻辑隔离。4) 网银系统与柜员、OA等系统的联接为DDN,使用使用防火墙逻辑隔离。5) 网络安全管理平台和其它网络之间使用防火墙逻辑隔离。问题分析:AAA网银系统平台端的网络均为双链路,能够保证网络连接的可靠性,防火
21、墙配置了严格的安全策略,能够保证所有网络连接数据通信的合法性,同时能够防止蠕虫病毒的泛滥,较好地预防了可能发起对网银系统的DOS/DDOS攻击。80-大部分符合评价结果:建议措施:明确定义蠕虫传播端口,增加这些端口在防火墙是上的Deny策略。11.2.2.6 网络可用性1) AAA网银系统网络全为双链路冗于,采用F5-BIG- LTM-6400- 4GB-RS做负载均衡与链路备份。2) 网络设备采用心跳线同步用户会话,保证网银系统在做链路切换时对用户透明。3) 经过防火墙完成防蠕虫病毒的控制、防IP欺骗攻击的控制、防DDOS攻击的控制。问题分析: AAA网银用户能够经过电信或网通的数据链路访问
22、网银系统,网银系统的局域网也是双链路到服务器,确保业务的不间断服务。80-大部分符合评价结果:建议措施:无。11.2.2.7 网络设备的安全管理与配置1) CONSOLE口管理的具有密码控制机制,远程管理只能经过固定的网段登陆,而且设置的密码足够强壮。2) 禁止HTTP服务功能,禁用了SNMP服务。3) 防火墙的管理方式为SSH和HTTPS,密码设置符合复杂性要求,防火墙策略的变更有完整的控制机制:l 提前一周将修改后防火墙规则书面送交安全管理小组;l 网上银行技术支援小组负责更新规则;l 防火墙网关自动检查规则文件并记录进改变日志文件中;l 安全管理员登录系统检查日志文件;l 如果日志文件经
23、过备份后不再需要,安全管理员定期删除日志文件。4) 网络设备的OS与配置文件由设备管理员进行了完全的备份。问题分析: 网络设备的管理基本符合安全性要求,但设备的口令为静态口令,存在暴力破解的风险。另外网络设备的OS与配置没有专用的备份服务器。80-大部分符合评价结果:建议措施:l 建议配置网络设备动态口令认证机制;l 建议设置专用的OS和配置文件备份服务器。11.2.3 操作系统/平台安全11.2.3.1 帐号安全1) 操作系统的帐号被严格限制,对于系统中默认的用户和安装应用增加无用帐户采取了锁定或禁用的方式,仅新建并保留有限的管理帐户(包括root帐户)。2) 当系统上线后,所有的用户密码将
24、使用专用的密码生成器生成,保证密码的安全度,防止被有规律的猜解。3) 系统的远程管理使用SSH方式登录,禁用了系统telnet服务,确保了登录过程中数据的安全性。4) 系统本身对帐户密码的长度、复杂度和更换时间进行了限制,同时AAA的中对帐户密码的安全设置和管理要求进行了规定。5) AAA中国网上银行的UNIX主机和NT服务器的超级用户密码将由AAA中国网上银行技术支援小组和安全管理员共同设置。密码长度不少于8位,前4位由技术支援小组设置和掌握,后4位由安全管理员设置和掌握,所有需要使用超级用户密码操作权限的工作都需要由技术支援小组成员和安全管理员共同输入密码后,由技术支援小组人员进行操作。密
25、码每个月必须更换一次,2个小组的成员在更改密码之后分别将自己那部分密码密封,交由CITC经理保存,以备紧急之用。问题分析:操作系统平台的帐户和口令管理在制度和落实的方面都做得非常详细,对帐户口令的长度、复杂度、使用期限和安全保护等方面都已经完全能够满足需要。100-完全符合评价结果:建议措施:如果能够对root用户的远程登录进行控制,并对那些普通用户和以su到root用户的权限进行控制的话会使增加系统帐号访问的安全性。11.2.3.2 文件系统安全1) Solaris操作系统使用UFS系统文件格式。2) 系统的/etc目录下文件的读写权限进行了严格分配,而且当用户登录时使用了安全的环境变量设置
26、。3) 包括对用户帐户、密码文件,crontab计划任务文件等重要系统文件的修改和访问权限也进行了严格的控制,防止被恶意入侵者非法读取或修改。4) 对于安装的应用程序,如Oracle的文件安装目录的访问权限也进行了严格控制。5) 现在并未建立对系统帐号和权限分配的定期检查机制。问题分析:由于没有建立对帐号和权限的定期检查机制,对于文件权限的改变不能及时的发现,如果在维护的过程中被不小心修改,或当有恶意入侵者修改了文件权限的话就不能及时了解到当前所面临的安全威胁。80-大部分符合评价结果:建议措施:建议增加对帐号和权限的定期检查机制,制定定期的检查,能够采取人工方式检查或工具检查的方式进行。11
27、.2.3.3 网络服务安全1) 操作系统关闭了Telnet远程管理服务,使用SSHv2的方式进行远程管理。2) 禁用了系统自带的FTP服务,使用更加安全的SFTP服务提供文件传输的服务。3) 服务器进行基本的加固服务,禁用了系统中各种无用而默认开启的网络服务,如SNMP、Sendmail、name、uucp等服务。4) 没有开启rlogin或rsh等远程登录的访问访问服务。5) 开启了NTP服务,设置统一的NTP服务器保证系统时间的统一和准确。6) 禁用了X终端的登录。问题分析:当前的操作系统对无用的网络服务都已关闭,对于已开启的网络服务业都采取了加密的方式传输数据,即能够保证数据的安全性,有
28、效的降低了开启无用服务带来的潜在安全隐患。80-大部分符合评价结果:建议措施:无11.2.3.4 系统访问控制1) 系统禁用了X终端的登录方式,采用SSH的方式进行远程管理。2) 对于系统访问登录的尝试次数和空闲时间都进行限制,多次登录失败后会自动断开连接,或者空闲时间超时也会自动断开连接。3) 主机没有对访问IP的连接进行限制。由于是在封闭的小范围内部网络中,不限制访问IP对系统安全的影响不大。4) 主机本身没有开启防火墙,所有的外来访问控制都是经过外部的专用防火墙进行控制。5) 主机上的文件系统对用户访问的权限也进行了较好的控制,防止其它用户对重要系统文件的非法访问。问题分析:采用SSH的
29、加密方式对系统进行远程管理能够有效的保证数据的安全性,使用防火墙也能够有效的控制外来的对系统的非法访问,只是对系统文件访问的权限控制要想做到严格的控制还是有一定的难度。80-大部分符合评价结果:建议措施:建议在系统本身增加对系统访问IP的控制,虽然现在使用防火墙对外部向内部的访问进行了控制,但无法对本网段设备的访问进行控制。11.2.3.5 日志及监控审计1) 操作系统开启了基本的日志审计功能,包括记录登录行为、告警、认证、邮件、通知等日志。2) 所有的日志记录信息都会存储在专用的日志服务器上,采取统一管理的方式确保日志文件的安全,并未使用加密的方式保存日志。3) 对于日志的保存期限尚没有严格
30、的规定,现在的情况是如果存储的空间不足则会根据需要删除过去最早的日志文件来释放磁盘空间。4) 为监控可能的入侵活动,安全管理员将会每天分析所有防火墙和UNIX服务器上的日志文件。同时,中国总部将会分析应用日志报表。管理层将会定期地召开安全会议,一旦发生迹象明显的入侵攻击活动,安全管理员将要求召开安全会议。AAA内部稽核部门也会对安全政策实施内部稽核,并向管理层递交稽核报告。5) 系统缺少实时监控的手段,没有网管、系统管理或SOC等工具帮助监控,只有人工定期会对系统的运行状态进行巡检。问题分析:在日志的记录方面能够记录的比较详细,而且采取了集中保存的方式保障的日志文件的安全性,防止篡改;对采集到
31、的安全日志进行分析能够较早的发现系统的安全问题和入侵隐患。没有系统监控设备,无法及时有效的了解系统的运行状态和安全现状,虽然采取了人工或手工方式进行弥补,但效果并不如使用监控软件明显。60-基本符合评价结果:建议措施:建议建立SOC一类的管理工具加强对审计日志的及时分析和对系统状态的实时监控,既能有效了解当前系统的安全状态,也能够及早的发现并预防潜在的安全隐患。11.2.3.6 拒绝服务保护1) 操作系统本身进行了基本的抵御拒绝服务攻击的配置,使用Solaris的安全增强工具。2) 在对外访问方面是经过防火墙进行保护DOS攻击,而且部署了IDS设备及时发现来自外部网络的恶意攻击。3) 无论是W
32、EB服务器还是后台应用和数据库服务器都是使用双机冗余或2台设备同时提供服务的方式,以降低DOS攻击对业务造成的影响。问题分析:无论是在系统本身的防护方面还是在外部的保护方面,对DOS的攻击基本防护都已做到,而且除WEB设备之外都是在独立的内部网络中运行,DOS的影响不大,但毕竟对DOS攻击的防护是很难保证完全抵御的。80-大部分符合评价结果:建议措施:无11.2.3.7 补丁管理1) 当前AAA网银系统的各平台主机操作系统都是安装的最新版本的操作系统和应用软件,而且所有的补丁也都是最新的。2) 在AAA中对软件补丁的管理做了要求。3) AAA中国网上银行技术支持小组应及时了解,分析研究各系统软
33、件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。4) 对于新的补丁在已经上线运行的主机上一般不会马上安装,只有必须更新的补丁才会在进行足够的安全和稳定性测试之后,更新到服务器上。问题分析:现在的补丁管理策略虽然明确了主要的工作目标和要求,但具体的规定不够详细和具体。而且现在AAA缺少足够的条件对补丁在更新前进行全面的测试。80-大部分符合评价结果:建
34、议措施:由于网银业务是需要提供高可用的在线业务,系统中断对业务的影响非常大,因此建议在更新系统补丁之前一定要做好全面的兼容性和稳定性测试工作。11.2.3.8 病毒及恶意代码防护1) AAA网上银行系统所使用的服务器系统现在都是UNIX系统,遭到病毒侵害的几率较低,因此服务器本身没有安装防病毒的软件。2) 在中有针对系统病毒控制方面的说明,其中没有要求系统安装防病毒软件,但要求使用诺顿检测程序确保服务器上数据的完整性。3) 服务器管理方面没有对恶意代码防护的要求,在外部网络接入处使用IDS和防火墙对网络中传播的病毒和恶意代码进行过滤,防止传播到内网。问题分析:基于网银系统设备都是部署在有IDS
35、和防火墙隔离的单独网络中的现状,同时使用的是UNIX操作系统,病毒对系统的危害并不十分严重,因为针对UNIX病毒的非常少。但现在缺少对恶意代码的监控和防范,恶意代码能够经过人为或借助系统漏洞的方式传播到操作系统上,形式更为隐蔽,难于发现。80-大部分符合评价结果:建议措施:加强对恶意代码的监控和防范,能够使用一些智能的检测工具或对向系统中传送的代码进行严格的分析,及时修补系统中存在的漏洞,虽然对恶意代码的防范比较困难,但应尽量降低恶意代码可能对系统造成的威胁。11.2.3.9 系统备份与恢复1) AAA中在系统运行安全部分专门针对备份和恢复方面的内容做了要求。2) 必须对程序和数据按照事先规定
36、的频率和周期进行足够的备份,每个备份磁带贴上标签以后仔细保存在安全的地方。3) 所有可能影响到客户服务和内部运作的关键数据必须系统地备份下来,以保证在系统失败时能够提供基本服务。备份数据必须保存两个以上拷贝,其中一个应该放在数据中心附近以便出现紧急情况时就近恢复。另外的拷贝放在物理上相距较远的地方,禁止将所有拷贝放置于同一地点以免灾难发生时损坏所有备份。4) 在、和中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。5) 但现在网银系统缺少对备份数据的验证和恢复性测试,无法保证备份的可靠性和有效性。问题分析:在操作
37、系统的备份和恢复的策略制定和执行方面AAA做的还是比较全面的,但缺少对策略和数据的实质可用性测试,因此无法保证当故障发生时能够有效的进行恢复。60-基本符合评价结果:建议措施:建议增加对应急计划的模拟演练,例如,每一年或半年演练一次,同时加强对备份数据可用性的测试,应当定期对备份数据进行有效的恢复性测试。11.2.4 数据库系统安全11.2.4.1 数据库帐号安全1) 数据库帐号密码采用了高强度的密码机制(长度、复杂度要求)。2) 数据库DBA的密码设置了定期更新策略,降低了DBA的密码被暴力破解的风险。3) 关闭了数据库不必要的默认帐户和空口令帐户,防止无用帐户的非法连接请求。4) 修改了数
38、据库默认帐户的原始密码。问题分析:数据库平台的帐户和口令管理在制度和执行方面都做得非常细致,对帐户口令的长度、复杂度、使用期限和安全保护等方面都能够满足数据库帐号安全的要求。80-大部分符合评价结果:建议措施:保证数据库所在操作系统的安全性。11.2.4.2 数据库访问控制1) AAA数据库有详细的权限分配记录,权限分配控制在表访问粒度层面。2) AAA数据库日常维护使用的帐户为特定的维护帐号,到对数据库的管理只能经过SSH访问数据所在主机来管理,没有配置数据库客户端管理工具。3) AAA数据库只有一个数据库实体。4) AAA数据库限制了普通用户对保存用户名和口令的数据库连接的访问,并限制普通
39、用户对操作轨迹文件的访问。5) 在应用开发方面明确要求不允许将用户 ID 和口令硬编码到数据库链接中,需要进行加密转换到应用程序的编码中。问题分析: AAA数据库的访问控制做到了面面俱到,符合安全性的要求。80-大部分符合评价结果:建议措施:无。11.2.4.3 存储过程安全1) AAA网银系统数据库修补了DBMS_EXPORT_EXTENSION存储过程存在的PL/SQL注入漏洞,能够防止低权限用户以DBA权限执行任意SQL代码。问题分析: AAA技术人员应密切重视Oracle存储过程安全问题,预防存储过程出现的安全问题。80-大部分符合评价结果:建议措施:及时更新数据库补丁,防止未打补丁出
40、现的安全问题。11.2.4.4 补丁管理1) 数据库为Oracle为最新的版本,Oracle的补丁也是更新到当前的最新版本。2) 在AAA中对数据库补丁的管理做了明确的要求。问题分析: 根据AAA要求,AAA中国网上银行技术支持小组会及时了解,分析研究各系统软件(包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400,Oracle等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统的无安全漏洞。80-大部分符合评价结果:建
41、议措施:l 建立数据库补丁的测试流程,确保补丁对网上银行系统的兼容性和可用性。l 建立数据库补丁的加载流程,一旦厂商发布安全补丁并经过测试对系统无影响后,立即进入补丁的加载流程。11.2.4.5 系统备份与恢复1) AAA网银系统使用STK的磁带机进行数据备份,每周一次全备份。2) 使用磁带这种离线的备份方式,能够充分保证数据备份的安全性。3) 根据设计要求,定期对备份数据进行恢复性测试,确保数据的可用性与完整性。4) 在、和中指定了详细的数据备份计划,内容包括对系统数据的备份、对日志的备份、对用户数据的备份。并针对各种系统故障制定了不同的应对和恢复计划。问题分析: AAA网银系统的备份方式能
42、够充分保证备份数据的安全性与可恢复性;但不能实现数据的完全恢复,备份的自动化程度低,应考虑在数据全备份的基础是增加增量备份的备份策略,条件允许的情况下能够考虑异地灾备系统。60-基本符合评价结果:建议措施:l 部署专业的备份软件设备,完善数据的增量备份、差分备份等备份策略。l 部署磁带库这类离线存储介质,使备份系统自动化,确保数据的完全恢复。11.2.4.6 日志及监控审计1) 在操作系统层面开启了数据库软件的日志记录与审计功能。2) 在数据库层面的日志功能有:l 开启了操作日志功能;l 记录各种身份帐户的登录日志;l 开启TNS监听器的日志记录。3) AAA网银系统有专用的日志服务器长期保存
43、数据库日志。4) 使用专业的日志审计软件进行数据库日志的监控和审计。问题分析:日志记录完整,并有专业的日志审计软件,但日志数据保存的时间没有明确的规定。80-大部分符合评价结果:建议措施:完善日志数据保存的时间安全管理策略,使安全事件的追溯做到有据可查。11.2.5 应用系统安全11.2.5.1 身份鉴别AAA网银系统在客户的身份鉴别方面采取了多种安全控制手段,防止被她人盗用。1) 唯一身份认证:经过唯一的用户昵称、唯一的用户手机号和唯一的证书表示用户身份,在系统活动过程中,代表用户身份的会话ID也是唯一的。2) 网银安全问题:安全答案,提供了除密码之外的又一身份认证安全手段。3) 手机动态密
44、码验证:,网上银行平台将产生随机动态密码,并将此动态密码发送到用户的签约手机号上并用户在相关敏感交易页面输入正确的手机动态密码,交易才能完成。4) U-KEY证书:每次使用U-KEY证书进行签名时,U-KEY都将提示输入U-KEY密码,从而阻止了U-KEY被窃导致证书私钥泄露的可能。5) 使用证书的用户采用CA中心颁发的数字证书作为身份证明,经过网银的安全代理服务器进入到网银系统环境来。6) 对于证书申请的流程,AAA也制定了较为完善的流程策略保证申请过程的安全可靠。问题分析:AAA的网银系统在用户身份鉴别方面的控制做的非常详细,无论在身份认证还是证书的申请流程,无论是技术方面的控制还是管理流
45、程上的要求都能够满足当前网上银行交易业务在身份鉴别方面的安全要求。100-完全符合评价结果:建议措施:无。11.2.5.2 访问控制AAA网银系统采取了多种手段对客户登录系统进行了访问控制。1) 防止多人登录:网上银行系统针禁止多人用同一用户昵称同时登录,保证了交易数据的唯一性。2) 安全代理服务:AAA网上银行系统采用安全代理服务的方式,在客户端和AAA网上银行服务器间建立一个安全的SSL数据通道,只有持有证书的用户(包括商户客户和个人签约客户),才能登录到AAA网上银行系统进行交易。3) 网银系统针对不同的客户类型限制了用户登录的界面和登录后拥有的权限,同时在系统登录页面,会产生图形格式的随机附加码,防止暴力破解。4) 应用访问控制:系统只开放提供用户访问的接口,而且经过接口只能完成系统提供的功能,有效防范黑客请求。5) 客户会话并发控制:网银系统能够控制客户会话的并发数目,当会话数量过大时,将采取排队的方式进行等候。