XXXX银行无线网络风险评估报告2018821.docx

1、 XXXX银行 无线网络风险评估报告 XXXX银行 2018年08月21日 一、风险评估项目概述 （一）、项目概述 无线网络作为XXXXXXXX银行股份有限公司（以下简称XXXX银行）重要的信息系统之一，保证无线网络的安全、稳健运行，为客户提供安全、便捷的服务，是XXXX银行无线网络建设的根本目标。为了客观全面了解全行无线网络的信息安全效能，XXXX银行科技信息部按照相关评估程序和执行标准开展了针对无线网络的风险评估工作，为该系统日后的良好安全运行，打下坚实的基础。 本次对无线网络风险评估的目

2、的是评估其风险状况，提出风险控制建议，同时为下一步的安全建设和风险管理提供依据和建议。 （二）、风险评估工作组织 为了确保本次风险评估工作的顺利开展，受XXXX银行党委委托，由科技信息部负责组织开展此次评估，并成立无线网络风险评估工作小组，具体如下： 项目组长：XX 安全技术评估人员：XX 文档支持人员：XX 项目组长：是风险评估项目中实施方的管理者、责任人，具体工作职责包括： （1）根据项目情况组建评估项目实施团队。 （2）根据项目情况与被评估方一起确定评估目标和评估范围，并组织项目组成员。 （3）根据评估目标、评估范围及系统调研的情况确定评估依据。 （4）组织项目组成员

3、开展风险评估各阶段的工作，并对实施过程进行监督、协调和控制，确保各阶段工作的有效实施。 （5）与被评估组织进行及时有效的沟通，及时商讨项目进展状况及可能发生问题的预测等。 （6）组织项目组成员将风险评估各阶段的工作成果进行汇总，编写《风险评估报告》等项目成果物。 （7）负责将项目成果物移交给被评估组织，向被评估组织汇报项目成果，并提请项目验收。 安全技术评估人员 ：负责项目中技术方面评估工作的实施人员，具体工作职责包括： （1）根据评估目标与评估范围的确定参与系统调研。 （2）实施各阶段具体的技术性评估工作。 （3）对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源。

4、 （4）将各阶段的技术性评估工作成果进行汇总，参与编写《风险评估报告》等项目成果物。 （5）负责向被评估方解答项目成果物中有关技术性细节问题。 文档支撑人员：负责支撑测评人员出具的测评过程文档校对工作。具体工作职责包括： 根据项目中要求出具的文档进行校对，包括文档格式是否正确、文档内容是否符合当前实际情况、是否需要新加其它文档。提出文档整改建议并且参与《风险评估报告》的编写。 二、风险评估范围 （一）风险评估目标 在信息安全风险评估前首先明确目标，为整个信息安全风险评估的过程提供正确的导向，也为下一步的安全建设和风险管理提供第一手资料。 风险评估应全面、准确的了解被评估信息系统

5、的安全现状、发现系统可能会出现的安全问题，保证系统处于一个高度可信任的状态。 （二）风险评估范围 在确定风险评估的目标后，应进一步明确风险评估的评估范围，在确定评估范围时，应结合已确定的评估目标和组织的实际信息系统建设，合理定义被评估对象和评估范围边界。 XXXX银行无线网络包括以下几项： 1、无线POS机具，由电子银行部负责管理； 2、无线报警设备，由安全保卫部负责管理； 3、营业网点互联网WLAN，由科技信息部负责管理； 4、总行机关互联网WLAN，由科技信息部负责管理。 （三）调查方式 采用人员访谈调查方式和现场勘查相结合的方式进行。 （四）调查内容 调查内

6、容覆盖XXXX银行无线网络的基础服务环境和系统的管理制度，具体内容如下： 1、安全管理制度和日常管理； 2、无线网络设备的摆放位置及其基线的安全性； 3、系统功能调查及现有安全技术措施调查； 4、外包及渗透测试调查； 5、应急管理调查； 6、合规审计调查。 三、资产识别 经调查，XXXX银行共有互联网WLANXX个，其中基层网点XX个，机关各部（室）、中心XX个；共有3G/4G移动通讯专网XXXX个，其中营业厅110报警系统使用XX个，自助区110报警系统使用XX个，金服驿站110报警系统使用XX个，商户POS机使用XXXX个。 经调查，XXXX银行无内网WLAN。 后附《

7、XXXX银行无线网络使用情况统计表》 四、风险评估和威胁识别 （一）、安全管理制度和日常管理 XXXX银行秉持“谁主管谁负责，谁运营谁负责”的原则进行无线网络管理工作。科技信息部制定了《XXXX银行无线网络使用管理办法》和《XXXX银行互联网安全管理办法》对互联网WLAN设备进行管理；电子银行部制定《银行卡收单业务管理办法》对POS机具进行管理；安全保卫部制定了《安全保卫设施标准化建设指引》对110报警系统进行管理。 XXXX银行科技信息部、电子银行部和安全保卫部均采用每季度全辖全覆盖检查的方式，对所有设备进行全面的安全检查，确保设备的安全、可靠。 （二）无线网络设备的摆放位

8、置及其基线的安全性 1、110报警设备 XXXX银行的110报警设备均安装在安全分区内（联动门内），3G卡安装在设备内，设备上锁由网点安全员保管，保证了设备的物理安全。 2、无线POS设备 XXXX银行无线POS设备均安装在商户，并与商户签订《特约商户受理银联卡协议书》，保证商户按照相关制度规定及协议约定使用POS设备，杜绝发生窃取、泄露客户身份信息等违规行为。同时，XXXX银行特约商户管理员均严格按照《XXXX银行银行卡收单业务管理办法》的相关规定，按月对商户进行回访，对POS设备进行巡检，确保能够及时发现存在的问题，随时进行纠正处理，将各类违规问题消灭在萌芽状态。 3、营业网点无

9、线设备 XXXX银行互联网WLAN为总行统一规划、建设，采用AC+AP建设方案，AC为TP-LINK企业VPN路由器TL-XXXX-AC，AP为TP-LINK品牌下的TL-XXXX-POE。互联网WLAN设备均安装在营业室内或网络机柜内，有良好的安全保障。所有网点采用统一的SSID（XXXXXX），在营业厅显著位置发布无线网络的使用提示，以防止用户接入假冒无线网络。管理人员每日上午、下午均会对设备进行巡查，发现可疑情况及时处理并向科技信息部汇报。科技信息部建立了无线设备管理台账，详细登记了所有设备的MAC地址、品牌和型号等信息，防止设备的私自更换等问题。 4、总行机关无线设备 XXXX银

10、行机关互联网WLAN均由科技信息部搭建并配置，在互联网入口处配置有华为企业级防火墙Secoway XXXXXX，能够有效防范外部入侵，并初步管理用户的上网行为等，起到一定的安全防范作用。机关无线设备功率较小，覆盖范围不大，仅能保证机关内部人员的使用。科技信息部建立了无线设备管理台账，详细登记了所有设备的MAC地址、品牌和型号等信息，防止设备的私自更换等问题。 威胁识别：经调查，XXXX银行互联网入口处只有防火墙，而未配备入侵监测和防毒墙设备，存在一定的风险隐患。 5、内网WLAN 经调查，XXXX银行无内网WLAN。 (三) 系统功能调查及现有安全技术措施调查 1、110报警设备

11、XXXX银行现用的110报警设备在高物理安全性的基础上采用了SIM认证、专用物联网隧道的方式保障了设备、网络的高安全性。 2、无线POS设备 XXXX银行现用的无线POS设备，采用了SIM卡认证、账号密码认证、数据加密、专用物联网隧道等方式，充分保障了设备、网络的安全性。 3、营业网点无线设备 XXXX银行营业网点互联网WLAN设备在确保物理安全并采取安全基线管理措施的基础上，采用了微信实名认证、短期租约的方式，管控接入的手机等移动端设备，基本能够保障用户的安全。 威胁识别：经调查，TL-R473P-AC路由器行为管理能力较薄弱，不能够有效管控用户的上网行为。 4、总行机关无线设备

12、 XXXX银行机关互联网WLAN设备均连接在防火墙上，通过绑定设备MAC和IP、关闭DHCP服务等方式，防止了设备的私自更换和接入等问题，并且对用户的上网行为有必要的管理功能。所有无线设备，每三月更换一次密码，且均为字母数字无需组合，确保了无线网络的使用安全。 威胁识别：XXXX银行总行机关未对互联网WLAN设备进行统一规划管理，设备和信道较混乱。 5、网络边界防护 经测试，XXXX银行不存在内外网互联情况，未建立开发测试等环境，网络边界清晰、安全。 （四）外包及渗透测试调查 经调查，XXXX银行营业网点互联网WLAN为XXXXXXXXXX有限公司提供，该行与该公司签订了外包服务合

13、同，规定了权责归属、保密义务、违约责任、服务质量及售后、款项支付等事项。该公司每年对XXXX银行的无线网络安全情况开展专项评估并出具报告。 经调查，XXXX银行每年聘请外部专业机构对网络安全进行风险评估和测试，针对网络部署架构、设备及系统，积极采取配置监测、漏洞扫描、渗透测试等技术服务。2017年为XXXXXX有限公司，2018年为XXXX省信息化和信息安全评测中心。该行针对测试发现的问题，积极进行了整改，切实防止网络安全事件的发生。 威胁识别：聘请的外部专业机构开展的风险评估和测试工作中未包含互联网WLAN项目。 （五）应急管理调查 XXXX银行成立了网络安全和信息化领导组

14、和突发事件应急领导组，均由董事长任组长，并制定了《XXXX银行网络与信息系统突发事件处置与报告管理办法》、《XXXX银行计算机及网络安全应急预案》、《XXXX银行营业场所突发事件应急处置预案》和《XXXX银行特约商户紧急事件应急预案》，明确了网络与信息系统突发事件处置与报告流程，建立了网络安全事件应急响应机制，制定了专项应急预案和处置方案，确保了网络安全事件得到有效处置。 XXXX银行每季度组织全辖开展应急演练，出具演练报告，针对发现的问题及时整改。 （六）合规审计调查 XXXX银行合规风险部和稽核审计部每年针对信息科技风险情况进行专项检查和审计工作，出具年度科技信息工作评估报告和年度科

15、技信息工作的审计报告。报告涵盖了制度建设、突发事件处置、网络防护、业务连续性、运维管理、软件正版化、外包管理以及宣传教育等各个方面，能够全面评估信息科技存在的不足和风险情况。 威胁识别：报告中未针对互联网WLAN情况开展专项评估。 五、风险处置 （一）现有风险分类 1、基础建设方面 XXXX银行营业网点TP-LINK路由器行为管理等管理能力薄弱，不能有效管理用户的访问等行为；总行互联网入口处仅配置有防火墙，缺乏入侵检测和防毒墙等设备，虽能防范大部分风险，但仍存在一定的安全隐患；总行互联网WLAN未统一规划、建设，较为混乱。 2、服务支持方面 XXXX银行聘请的外部专业机构开展的风险评估和测试工作中未包含互联网WLAN项目；合规和审计报告中未针对互联网WLAN情况开展专项评估。 （二）风险控制措施 XXXX银行应加强基础设施建设，统一规划、部署，加强互联网入口及行为管理等风险控制措施，完善合规风险部、稽核审计部提供的评估工作。