銀行無線網(wǎng)絡(luò)風(fēng)險評估分析報告

XXXX銀行無線網(wǎng)絡(luò)風(fēng)險評定匯報XXXX銀行08月21日一、風(fēng)險評定項目概述（一）、項目概述無線網(wǎng)絡(luò)作為XXXXXXXX銀行股份（以下簡稱XXXX銀行）關(guān)鍵信息系統(tǒng)之一，確保無線網(wǎng)絡(luò)安全、穩(wěn)健運行，為用戶提供安全、便捷服務(wù)，是XXXX銀行無線網(wǎng)絡(luò)建設(shè)根本目標(biāo)。為了客觀全方面了解全行無線網(wǎng)絡(luò)信息安全效能，XXXX銀行科技信息部按攝影關(guān)評定程序和實施標(biāo)準(zhǔn)開展了針對無線網(wǎng)絡(luò)風(fēng)險評定工作，為該系統(tǒng)以后良好安全運行，打下堅實基礎(chǔ)。此次對無線網(wǎng)絡(luò)風(fēng)險評定目標(biāo)是評定其風(fēng)險情況，提出風(fēng)險控制提議，同時為下一步安全建設(shè)和風(fēng)險管理提供依據(jù)和提議。（二）、風(fēng)險評定工作組織為了確保此次風(fēng)險評定工作順利開展，受XXXX銀行黨委委托，由科技信息部負(fù)責(zé)組織開展此次評定，并成立無線網(wǎng)絡(luò)風(fēng)險評定工作小組，具體以下：項目組長：XX安全技術(shù)評定人員：XX文檔支持人員：XX項目組長：是風(fēng)險評定項目中實施方管理者、責(zé)任人，具體工作職責(zé)包含：（1）依據(jù)項目情況組建評定項目實施團體。（2）依據(jù)項目情況和被評定方一起確定評定目標(biāo)和評定范圍，并組織項目組組員。（3）依據(jù)評定目標(biāo)、評定范圍及系統(tǒng)調(diào)研情況確定評定依據(jù)。（4）組織項目組組員開展風(fēng)險評定各階段工作，并對實施過程進行監(jiān)督、協(xié)調(diào)和控制，確保各階段工作有效實施。（5）和被評定組織進行立即有效溝通，立即商討項目進展情況及可能發(fā)生問題估計等。（6）組織項目組組員將風(fēng)險評定各階段工作結(jié)果進行匯總，編寫《風(fēng)險評定匯報》等項目結(jié)果物。（7）負(fù)責(zé)將項目結(jié)果物移交給被評定組織，向被評定組織匯報項目結(jié)果，并提請項目驗收。安全技術(shù)評定人員：負(fù)責(zé)項目中技術(shù)方面評定工作實施人員，具體工作職責(zé)包含：（1）依據(jù)評定目標(biāo)和評定范圍確實定參與系統(tǒng)調(diào)研。（2）實施各階段具體技術(shù)性評定工作。（3）對評定工作中碰到問題立即向項目組長匯報，并提出需要協(xié)調(diào)資源。（4）將各階段技術(shù)性評定工作結(jié)果進行匯總，參與編寫《風(fēng)險評定匯報》等項目結(jié)果物。（5）負(fù)責(zé)向被評定方解答項目結(jié)果物中相關(guān)技術(shù)性細節(jié)問題。文檔支撐人員：負(fù)責(zé)支撐測評人員出具測評過程文檔校對工作。具體工作職責(zé)包含：依據(jù)項目中要求出具文檔進行校對，包含文檔格式是否正確、文檔內(nèi)容是否符合目前實際情況、是否需要新加其它文檔。提出文檔整改提議而且參與《風(fēng)險評定匯報》編寫。二、風(fēng)險評定范圍（一）風(fēng)險評定目標(biāo)在信息安全風(fēng)險評定前首先明確目標(biāo)，為整個信息安全風(fēng)險評定過程提供正確導(dǎo)向，也為下一步安全建設(shè)和風(fēng)險管理提供第一手資料。風(fēng)險評定應(yīng)全方面、正確了解被評定信息系統(tǒng)安全現(xiàn)實狀況、發(fā)覺系統(tǒng)可能會出現(xiàn)安全問題，確保系統(tǒng)處于一個高度可信任狀態(tài)。（二）風(fēng)險評定范圍在確定風(fēng)險評定目標(biāo)后，應(yīng)深入明確風(fēng)險評定評定范圍，在確定評定范圍時，應(yīng)結(jié)合已確定評定目標(biāo)和組織實際信息系統(tǒng)建設(shè)，合理定義被評定對象和評定范圍邊界。XXXX銀行無線網(wǎng)絡(luò)包含以下幾項：1、無線POS機具，由電子銀行部負(fù)責(zé)管理；2、無線報警設(shè)備，由安全保衛(wèi)部負(fù)責(zé)管理；3、營業(yè)網(wǎng)點互聯(lián)網(wǎng)WLAN，由科技信息部負(fù)責(zé)管理；4、總行機關(guān)互聯(lián)網(wǎng)WLAN，由科技信息部負(fù)責(zé)管理。（三）調(diào)查方法采取人員訪談?wù){(diào)查方法和現(xiàn)場勘查相結(jié)合方法進行。（四）調(diào)查內(nèi)容調(diào)查內(nèi)容覆蓋XXXX銀行無線網(wǎng)絡(luò)基礎(chǔ)服務(wù)環(huán)境和系統(tǒng)管理制度，具體內(nèi)容以下：1、安全管理制度和日常管理；2、無線網(wǎng)絡(luò)設(shè)備擺放位置及其基線安全性；3、系統(tǒng)功效調(diào)查及現(xiàn)有安全技術(shù)方法調(diào)查；4、外包及滲透測試調(diào)查；5、應(yīng)急管理調(diào)查；6、合規(guī)審計調(diào)查。三、資產(chǎn)識別經(jīng)調(diào)查，XXXX銀行共有互聯(lián)網(wǎng)WLANXX個，其中基層網(wǎng)點XX個，機關(guān)各部（室）、中心XX個；共有3G/4G移動通訊專網(wǎng)XXXX個，其中營業(yè)廳110報警系統(tǒng)使用XX個，自助區(qū)110報警系統(tǒng)使用XX個，金服驛站110報警系統(tǒng)使用XX個，商戶POS機使用XXXX個。經(jīng)調(diào)查，XXXX銀行無內(nèi)網(wǎng)WLAN。后附《XXXX銀行無線網(wǎng)絡(luò)使用情況統(tǒng)計表》四、風(fēng)險評定和威脅識別（一）、安全管理制度和日常管理XXXX銀行秉持“誰主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)”標(biāo)準(zhǔn)進行無線網(wǎng)絡(luò)管理工作?？萍夹畔⒉恐朴喠恕禭XXX銀行無線網(wǎng)絡(luò)使用管理措施》和《XXXX銀行互聯(lián)網(wǎng)安全管理措施》對互聯(lián)網(wǎng)WLAN設(shè)備進行管理；電子銀行部制訂《銀行卡收單業(yè)務(wù)管理措施》對POS機具進行管理；安全保衛(wèi)部制訂了《安全保衛(wèi)設(shè)施標(biāo)準(zhǔn)化建設(shè)指導(dǎo)》對110報警系統(tǒng)進行管理。XXXX銀行科技信息部、電子銀行部和安全保衛(wèi)部均采取每三個月全轄全覆蓋檢驗方法，對全部設(shè)備進行全方面安全檢驗，確保設(shè)備安全、可靠。（二）無線網(wǎng)絡(luò)設(shè)備擺放位置及其基線安全性1、110報警設(shè)備XXXX銀行110報警設(shè)備均安裝在安全分區(qū)內(nèi)（聯(lián)動門內(nèi)），3G卡安裝在設(shè)備內(nèi)，設(shè)備上鎖由網(wǎng)點安全員保管，確保了設(shè)備物理安全。2、無線POS設(shè)備XXXX銀行無線POS設(shè)備均安裝在商戶，并和商戶簽署《特約商戶受理銀聯(lián)卡協(xié)議書》，確保商戶按攝影關(guān)制度要求及協(xié)議約定使用POS設(shè)備，杜絕發(fā)生竊取、泄露用戶身份信息等違規(guī)行為。同時，XXXX銀行特約商戶管理員均嚴(yán)格根據(jù)《XXXX銀行銀行卡收單業(yè)務(wù)管理措施》相關(guān)要求，按月對商戶進行回訪，對POS設(shè)備進行巡檢，確保能夠立即發(fā)覺存在問題，隨時進行糾正處理，將各類違規(guī)問題消亡在萌芽狀態(tài)。3、營業(yè)網(wǎng)點無線設(shè)備XXXX銀行互聯(lián)網(wǎng)WLAN為總行統(tǒng)一計劃、建設(shè)，采取AC+AP建設(shè)方案，AC為TP-LINK企業(yè)VPN路由器TL-XXXX-AC，AP為TP-LINK品牌下TL-XXXX-POE?；ヂ?lián)網(wǎng)WLAN設(shè)備均安裝在營業(yè)室內(nèi)或網(wǎng)絡(luò)機柜內(nèi)，有良好安全保障。全部網(wǎng)點采取統(tǒng)一SSID（XXXXXX），在營業(yè)廳顯著位置公布無線網(wǎng)絡(luò)使用提醒，以預(yù)防用戶接入假冒無線網(wǎng)絡(luò)。管理人員每日早晨、下午均會對設(shè)備進行巡查，發(fā)覺可疑情況立即處理并向科技信息部匯報?？萍夹畔⒉拷⒘藷o線設(shè)備管理臺賬，具體登記了全部設(shè)備MAC地址、品牌和型號等信息，預(yù)防設(shè)備私自更換等問題。4、總行機關(guān)無線設(shè)備XXXX銀行機關(guān)互聯(lián)網(wǎng)WLAN均由科技信息部搭建并配置，在互聯(lián)網(wǎng)入口處配置有華為企業(yè)級防火墻SecowayXXXXXX，能夠有效防范外部入侵，并初步管理用戶上網(wǎng)行為等，起到一定安全防范作用。機關(guān)無線設(shè)備功率較小，覆蓋范圍不大，僅能確保機關(guān)內(nèi)部人員使用?？萍夹畔⒉拷⒘藷o線設(shè)備管理臺賬，具體登記了全部設(shè)備MAC地址、品牌和型號等信息，預(yù)防設(shè)備私自更換等問題。威脅識別：經(jīng)調(diào)查，XXXX銀行互聯(lián)網(wǎng)入口處只有防火墻，而未配置入侵監(jiān)測和防毒墻設(shè)備，存在一定風(fēng)險隱患。5、內(nèi)網(wǎng)WLAN經(jīng)調(diào)查，XXXX銀行無內(nèi)網(wǎng)WLAN。(三)系統(tǒng)功效調(diào)查及現(xiàn)有安全技術(shù)方法調(diào)查1、110報警設(shè)備XXXX銀行現(xiàn)用110報警設(shè)備在高物理安全性基礎(chǔ)上采取了SIM認(rèn)證、專用物聯(lián)網(wǎng)隧道方法保障了設(shè)備、網(wǎng)絡(luò)高安全性。2、無線POS設(shè)備XXXX銀行現(xiàn)用無線POS設(shè)備，采取了SIM卡認(rèn)證、賬號密碼認(rèn)證、數(shù)據(jù)加密、專用物聯(lián)網(wǎng)隧道等方法，充足保障了設(shè)備、網(wǎng)絡(luò)安全性。3、營業(yè)網(wǎng)點無線設(shè)備XXXX銀行營業(yè)網(wǎng)點互聯(lián)網(wǎng)WLAN設(shè)備在確保物理安全并采取安全基線管理方法基礎(chǔ)上，采取了微信實名認(rèn)證、短期租約方法，管控接入手機等移動端設(shè)備，基礎(chǔ)能夠保障用戶安全。威脅識別：經(jīng)調(diào)查，TL-R473P-AC路由器行為管理能力較微弱，不能夠有效管控用戶上網(wǎng)行為。4、總行機關(guān)無線設(shè)備XXXX銀行機關(guān)互聯(lián)網(wǎng)WLAN設(shè)備均連接在防火墻上，經(jīng)過綁定設(shè)備MAC和IP、關(guān)閉DHCP服務(wù)等方法，預(yù)防了設(shè)備私自更換和接入等問題，而且對用戶上網(wǎng)行為有必需管理功效。全部沒有線設(shè)備，每三月更換一次密碼，且均為字母數(shù)字無需組合，確保了無線網(wǎng)絡(luò)使用安全。威脅識別：XXXX銀行總行機關(guān)未對互聯(lián)網(wǎng)WLAN設(shè)備進行統(tǒng)一計劃管理，設(shè)備和信道較混亂。5、網(wǎng)絡(luò)邊界防護經(jīng)測試，XXXX銀行不存在內(nèi)外網(wǎng)互聯(lián)情況，未建立開發(fā)測試等環(huán)境，網(wǎng)絡(luò)邊界清楚、安全。（四）外包及滲透測試調(diào)查經(jīng)調(diào)查，XXXX銀行營業(yè)網(wǎng)點互聯(lián)網(wǎng)WLAN為XXXXXXXXXX提供，該行和該企業(yè)簽署了外包服務(wù)協(xié)議，要求了權(quán)責(zé)歸屬、保密義務(wù)、違約責(zé)任、服務(wù)質(zhì)量及售后、款項支付等事項。該企業(yè)每十二個月對XXXX銀行無線網(wǎng)絡(luò)安全情況開展專題評定并出具匯報。經(jīng)調(diào)查，XXXX銀行每十二個月聘用外部專業(yè)機構(gòu)對網(wǎng)絡(luò)安全進行風(fēng)險評定和測試，針對網(wǎng)絡(luò)布署架構(gòu)、設(shè)備及系統(tǒng)，主動采取配置監(jiān)測、漏洞掃描、滲透測試等技術(shù)服務(wù)。為XXXXXX，為XXXX省信息化和信息安全評測中心。該行針對測試發(fā)覺問題，主動進行了整改，切實預(yù)防網(wǎng)絡(luò)安全事件發(fā)生。威脅識別：聘用外部專業(yè)機構(gòu)開展風(fēng)險評定和測試工作中未包含互聯(lián)網(wǎng)WLAN項目。（五）應(yīng)急管理調(diào)查XXXX銀行成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)組和突發(fā)事件應(yīng)急領(lǐng)導(dǎo)組，均由董事長任組長，并制訂了《XXXX銀行網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件處理和匯報管理措施》、《XXXX銀行計算機及網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《XXXX銀行營業(yè)場所突發(fā)事件應(yīng)急處理預(yù)案》和《XXXX銀行特約商戶緊急事件應(yīng)急預(yù)案》，明確了網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件處理和匯報步驟，建立了網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制，制訂了專題應(yīng)急預(yù)案和處理方案，確保了網(wǎng)絡(luò)安全事件得到有效處理。XXXX銀行每三個月組織全轄開展應(yīng)急演練，出具演練匯報，針對發(fā)覺問題立即整改。（六）合規(guī)審計調(diào)查XXXX銀行合規(guī)風(fēng)險部和稽核審計部每十二個月針對信息科技風(fēng)險情況進行專題檢驗和審計工作，出具年度科技信息工作評定匯報和年度科技信息工作審計匯報。匯報涵蓋了制度建設(shè)、突發(fā)事件處理、網(wǎng)絡(luò)防護、業(yè)務(wù)連續(xù)性、運維管理、軟件正版化、外包管理和宣傳教育等各個方面，能夠全方面評定信息科技存在不足和風(fēng)險情況。威脅識別：匯報中未針對互聯(lián)網(wǎng)WLAN情況開展專題評定。五、風(fēng)險處理（一）現(xiàn)有風(fēng)險分類1、基礎(chǔ)建設(shè)方面XXXX銀行營業(yè)網(wǎng)點TP-LINK路由器行為管理等管理能力微弱，不能有效管理用戶訪問等行為；總行互聯(lián)網(wǎng)入口處僅配置