銀行無線網(wǎng)絡(luò)風(fēng)險(xiǎn)評估分析報(bào)告

XXXX銀行無線網(wǎng)絡(luò)風(fēng)險(xiǎn)評定匯報(bào)XXXX銀行08月21日一、風(fēng)險(xiǎn)評定項(xiàng)目概述（一）、項(xiàng)目概述無線網(wǎng)絡(luò)作為XXXXXXXX銀行股份（以下簡稱XXXX銀行）關(guān)鍵信息系統(tǒng)之一，確保無線網(wǎng)絡(luò)安全、穩(wěn)健運(yùn)行，為用戶提供安全、便捷服務(wù)，是XXXX銀行無線網(wǎng)絡(luò)建設(shè)根本目標(biāo)。為了客觀全方面了解全行無線網(wǎng)絡(luò)信息安全效能，XXXX銀行科技信息部按攝影關(guān)評定程序和實(shí)施標(biāo)準(zhǔn)開展了針對無線網(wǎng)絡(luò)風(fēng)險(xiǎn)評定工作，為該系統(tǒng)以后良好安全運(yùn)行，打下堅(jiān)實(shí)基礎(chǔ)。此次對無線網(wǎng)絡(luò)風(fēng)險(xiǎn)評定目標(biāo)是評定其風(fēng)險(xiǎn)情況，提出風(fēng)險(xiǎn)控制提議，同時(shí)為下一步安全建設(shè)和風(fēng)險(xiǎn)管理提供依據(jù)和提議。（二）、風(fēng)險(xiǎn)評定工作組織為了確保此次風(fēng)險(xiǎn)評定工作順利開展，受XXXX銀行黨委委托，由科技信息部負(fù)責(zé)組織開展此次評定，并成立無線網(wǎng)絡(luò)風(fēng)險(xiǎn)評定工作小組，具體以下：項(xiàng)目組長：XX安全技術(shù)評定人員：XX文檔支持人員：XX項(xiàng)目組長：是風(fēng)險(xiǎn)評定項(xiàng)目中實(shí)施方管理者、責(zé)任人，具體工作職責(zé)包含：（1）依據(jù)項(xiàng)目情況組建評定項(xiàng)目實(shí)施團(tuán)體。（2）依據(jù)項(xiàng)目情況和被評定方一起確定評定目標(biāo)和評定范圍，并組織項(xiàng)目組組員。（3）依據(jù)評定目標(biāo)、評定范圍及系統(tǒng)調(diào)研情況確定評定依據(jù)。（4）組織項(xiàng)目組組員開展風(fēng)險(xiǎn)評定各階段工作，并對實(shí)施過程進(jìn)行監(jiān)督、協(xié)調(diào)和控制，確保各階段工作有效實(shí)施。（5）和被評定組織進(jìn)行立即有效溝通，立即商討項(xiàng)目進(jìn)展情況及可能發(fā)生問題估計(jì)等。（6）組織項(xiàng)目組組員將風(fēng)險(xiǎn)評定各階段工作結(jié)果進(jìn)行匯總，編寫《風(fēng)險(xiǎn)評定匯報(bào)》等項(xiàng)目結(jié)果物。（7）負(fù)責(zé)將項(xiàng)目結(jié)果物移交給被評定組織，向被評定組織匯報(bào)項(xiàng)目結(jié)果，并提請項(xiàng)目驗(yàn)收。安全技術(shù)評定人員：負(fù)責(zé)項(xiàng)目中技術(shù)方面評定工作實(shí)施人員，具體工作職責(zé)包含：（1）依據(jù)評定目標(biāo)和評定范圍確實(shí)定參與系統(tǒng)調(diào)研。（2）實(shí)施各階段具體技術(shù)性評定工作。（3）對評定工作中碰到問題立即向項(xiàng)目組長匯報(bào)，并提出需要協(xié)調(diào)資源。（4）將各階段技術(shù)性評定工作結(jié)果進(jìn)行匯總，參與編寫《風(fēng)險(xiǎn)評定匯報(bào)》等項(xiàng)目結(jié)果物。（5）負(fù)責(zé)向被評定方解答項(xiàng)目結(jié)果物中相關(guān)技術(shù)性細(xì)節(jié)問題。文檔支撐人員：負(fù)責(zé)支撐測評人員出具測評過程文檔校對工作。具體工作職責(zé)包含：依據(jù)項(xiàng)目中要求出具文檔進(jìn)行校對，包含文檔格式是否正確、文檔內(nèi)容是否符合目前實(shí)際情況、是否需要新加其它文檔。提出文檔整改提議而且參與《風(fēng)險(xiǎn)評定匯報(bào)》編寫。二、風(fēng)險(xiǎn)評定范圍（一）風(fēng)險(xiǎn)評定目標(biāo)在信息安全風(fēng)險(xiǎn)評定前首先明確目標(biāo)，為整個(gè)信息安全風(fēng)險(xiǎn)評定過程提供正確導(dǎo)向，也為下一步安全建設(shè)和風(fēng)險(xiǎn)管理提供第一手資料。風(fēng)險(xiǎn)評定應(yīng)全方面、正確了解被評定信息系統(tǒng)安全現(xiàn)實(shí)狀況、發(fā)覺系統(tǒng)可能會(huì)出現(xiàn)安全問題，確保系統(tǒng)處于一個(gè)高度可信任狀態(tài)。（二）風(fēng)險(xiǎn)評定范圍在確定風(fēng)險(xiǎn)評定目標(biāo)后，應(yīng)深入明確風(fēng)險(xiǎn)評定評定范圍，在確定評定范圍時(shí)，應(yīng)結(jié)合已確定評定目標(biāo)和組織實(shí)際信息系統(tǒng)建設(shè)，合理定義被評定對象和評定范圍邊界。XXXX銀行無線網(wǎng)絡(luò)包含以下幾項(xiàng)：1、無線POS機(jī)具，由電子銀行部負(fù)責(zé)管理；2、無線報(bào)警設(shè)備，由安全保衛(wèi)部負(fù)責(zé)管理；3、營業(yè)網(wǎng)點(diǎn)互聯(lián)網(wǎng)WLAN，由科技信息部負(fù)責(zé)管理；4、總行機(jī)關(guān)互聯(lián)網(wǎng)WLAN，由科技信息部負(fù)責(zé)管理。（三）調(diào)查方法采取人員訪談?wù){(diào)查方法和現(xiàn)場勘查相結(jié)合方法進(jìn)行。（四）調(diào)查內(nèi)容調(diào)查內(nèi)容覆蓋XXXX銀行無線網(wǎng)絡(luò)基礎(chǔ)服務(wù)環(huán)境和系統(tǒng)管理制度，具體內(nèi)容以下：1、安全管理制度和日常管理；2、無線網(wǎng)絡(luò)設(shè)備擺放位置及其基線安全性；3、系統(tǒng)功效調(diào)查及現(xiàn)有安全技術(shù)方法調(diào)查；4、外包及滲透測試調(diào)查；5、應(yīng)急管理調(diào)查；6、合規(guī)審計(jì)調(diào)查。三、資產(chǎn)識別經(jīng)調(diào)查，XXXX銀行共有互聯(lián)網(wǎng)WLANXX個(gè)，其中基層網(wǎng)點(diǎn)XX個(gè)，機(jī)關(guān)各部（室）、中心XX個(gè)；共有3G/4G移動(dòng)通訊專網(wǎng)XXXX個(gè)，其中營業(yè)廳110報(bào)警系統(tǒng)使用XX個(gè)，自助區(qū)110報(bào)警系統(tǒng)使用XX個(gè)，金服驛站110報(bào)警系統(tǒng)使用XX個(gè)，商戶POS機(jī)使用XXXX個(gè)。經(jīng)調(diào)查，XXXX銀行無內(nèi)網(wǎng)WLAN。后附《XXXX銀行無線網(wǎng)絡(luò)使用情況統(tǒng)計(jì)表》四、風(fēng)險(xiǎn)評定和威脅識別（一）、安全管理制度和日常管理XXXX銀行秉持“誰主管誰負(fù)責(zé)，誰運(yùn)行誰負(fù)責(zé)”標(biāo)準(zhǔn)進(jìn)行無線網(wǎng)絡(luò)管理工作?？萍夹畔⒉恐朴喠恕禭XXX銀行無線網(wǎng)絡(luò)使用管理措施》和《XXXX銀行互聯(lián)網(wǎng)安全管理措施》對互聯(lián)網(wǎng)WLAN設(shè)備進(jìn)行管理；電子銀行部制訂《銀行卡收單業(yè)務(wù)管理措施》對POS機(jī)具進(jìn)行管理；安全保衛(wèi)部制訂了《安全保衛(wèi)設(shè)施標(biāo)準(zhǔn)化建設(shè)指導(dǎo)》對110報(bào)警系統(tǒng)進(jìn)行管理。XXXX銀行科技信息部、電子銀行部和安全保衛(wèi)部均采取每三個(gè)月全轄全覆蓋檢驗(yàn)方法，對全部設(shè)備進(jìn)行全方面安全檢驗(yàn)，確保設(shè)備安全、可靠。（二）無線網(wǎng)絡(luò)設(shè)備擺放位置及其基線安全性1、110報(bào)警設(shè)備XXXX銀行110報(bào)警設(shè)備均安裝在安全分區(qū)內(nèi)（聯(lián)動(dòng)門內(nèi)），3G卡安裝在設(shè)備內(nèi)，設(shè)備上鎖由網(wǎng)點(diǎn)安全員保管，確保了設(shè)備物理安全。2、無線POS設(shè)備XXXX銀行無線POS設(shè)備均安裝在商戶，并和商戶簽署《特約商戶受理銀聯(lián)卡協(xié)議書》，確保商戶按攝影關(guān)制度要求及協(xié)議約定使用POS設(shè)備，杜絕發(fā)生竊取、泄露用戶身份信息等違規(guī)行為。同時(shí)，XXXX銀行特約商戶管理員均嚴(yán)格根據(jù)《XXXX銀行銀行卡收單業(yè)務(wù)管理措施》相關(guān)要求，按月對商戶進(jìn)行回訪，對POS設(shè)備進(jìn)行巡檢，確保能夠立即發(fā)覺存在問題，隨時(shí)進(jìn)行糾正處理，將各類違規(guī)問題消亡在萌芽狀態(tài)。3、營業(yè)網(wǎng)點(diǎn)無線設(shè)備XXXX銀行互聯(lián)網(wǎng)WLAN為總行統(tǒng)一計(jì)劃、建設(shè)，采取AC+AP建設(shè)方案，AC為TP-LINK企業(yè)VPN路由器TL-XXXX-AC，AP為TP-LINK品牌下TL-XXXX-POE?；ヂ?lián)網(wǎng)WLAN設(shè)備均安裝在營業(yè)室內(nèi)或網(wǎng)絡(luò)機(jī)柜內(nèi)，有良好安全保障。全部網(wǎng)點(diǎn)采取統(tǒng)一SSID（XXXXXX），在營業(yè)廳顯著位置公布無線網(wǎng)絡(luò)使用提醒，以預(yù)防用戶接入假冒無線網(wǎng)絡(luò)。管理人員每日早晨、下午均會(huì)對設(shè)備進(jìn)行巡查，發(fā)覺可疑情況立即處理并向科技信息部匯報(bào)?？萍夹畔⒉拷⒘藷o線設(shè)備管理臺賬，具體登記了全部設(shè)備MAC地址、品牌和型號等信息，預(yù)防設(shè)備私自更換等問題。4、總行機(jī)關(guān)無線設(shè)備XXXX銀行機(jī)關(guān)互聯(lián)網(wǎng)WLAN均由科技信息部搭建并配置，在互聯(lián)網(wǎng)入口處配置有華為企業(yè)級防火墻SecowayXXXXXX，能夠有效防范外部入侵，并初步管理用戶上網(wǎng)行為等，起到一定安全防范作用。機(jī)關(guān)無線設(shè)備功率較小，覆蓋范圍不大，僅能確保機(jī)關(guān)內(nèi)部人員使用?？萍夹畔⒉拷⒘藷o線設(shè)備管理臺賬，具體登記了全部設(shè)備MAC地址、品牌和型號等信息，預(yù)防設(shè)備私自更換等問題。威脅識別：經(jīng)調(diào)查，XXXX銀行互聯(lián)網(wǎng)入口處只有防火墻，而未配置入侵監(jiān)測和防毒墻設(shè)備，存在一定風(fēng)險(xiǎn)隱患。5、內(nèi)網(wǎng)WLAN經(jīng)調(diào)查，XXXX銀行無內(nèi)網(wǎng)WLAN。(三)系統(tǒng)功效調(diào)查及現(xiàn)有安全技術(shù)方法調(diào)查1、110報(bào)警設(shè)備XXXX銀行現(xiàn)用110報(bào)警設(shè)備在高物理安全性基礎(chǔ)上采取了SIM認(rèn)證、專用物聯(lián)網(wǎng)隧道方法保障了設(shè)備、網(wǎng)絡(luò)高安全性。2、無線POS設(shè)備XXXX銀行現(xiàn)用無線POS設(shè)備，采取了SIM卡認(rèn)證、賬號密碼認(rèn)證、數(shù)據(jù)加密、專用物聯(lián)網(wǎng)隧道等方法，充足保障了設(shè)備、網(wǎng)絡(luò)安全性。3、營業(yè)網(wǎng)點(diǎn)無線設(shè)備XXXX銀行營業(yè)網(wǎng)點(diǎn)互聯(lián)網(wǎng)WLAN設(shè)備在確保物理安全并采取安全基線管理方法基礎(chǔ)上，采取了微信實(shí)名認(rèn)證、短期租約方法，管控接入手機(jī)等移動(dòng)端設(shè)備，基礎(chǔ)能夠保障用戶安全。威脅識別：經(jīng)調(diào)查，TL-R473P-AC路由器行為管理能力較微弱，不能夠有效管控用戶上網(wǎng)行為。4、總行機(jī)關(guān)無線設(shè)備XXXX銀行機(jī)關(guān)互聯(lián)網(wǎng)WLAN設(shè)備均連接在防火墻上，經(jīng)過綁定設(shè)備MAC和IP、關(guān)閉DHCP服務(wù)等方法，預(yù)防了設(shè)備私自更換和接入等問題，而且對用戶上網(wǎng)行為有必需管理功效。全部沒有線設(shè)備，每三月更換一次密碼，且均為字母數(shù)字無需組合，確保了無線網(wǎng)絡(luò)使用安全。威脅識別：XXXX銀行總行機(jī)關(guān)未對互聯(lián)網(wǎng)WLAN設(shè)備進(jìn)行統(tǒng)一計(jì)劃管理，設(shè)備和信道較混亂。5、網(wǎng)絡(luò)邊界防護(hù)經(jīng)測試，XXXX銀行不存在內(nèi)外網(wǎng)互聯(lián)情況，未建立開發(fā)測試等環(huán)境，網(wǎng)絡(luò)邊界清楚、安全。（四）外包及滲透測試調(diào)查經(jīng)調(diào)查，XXXX銀行營業(yè)網(wǎng)點(diǎn)互聯(lián)網(wǎng)WLAN為XXXXXXXXXX提供，該行和該企業(yè)簽署了外包服務(wù)協(xié)議，要求了權(quán)責(zé)歸屬、保密義務(wù)、違約責(zé)任、服務(wù)質(zhì)量及售后、款項(xiàng)支付等事項(xiàng)。該企業(yè)每十二個(gè)月對XXXX銀行無線網(wǎng)絡(luò)安全情況開展專題評定并出具匯報(bào)。經(jīng)調(diào)查，XXXX銀行每十二個(gè)月聘用外部專業(yè)機(jī)構(gòu)對網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評定和測試，針對網(wǎng)絡(luò)布署架構(gòu)、設(shè)備及系統(tǒng)，主動(dòng)采取配置監(jiān)測、漏洞掃描、滲透測試等技術(shù)服務(wù)。為XXXXXX，為XXXX省信息化和信息安全評測中心。該行針對測試發(fā)覺問題，主動(dòng)進(jìn)行了整改，切實(shí)預(yù)防網(wǎng)絡(luò)安全事件發(fā)生。威脅識別：聘用外部專業(yè)機(jī)構(gòu)開展風(fēng)險(xiǎn)評定和測試工作中未包含互聯(lián)網(wǎng)WLAN項(xiàng)目。（五）應(yīng)急管理調(diào)查XXXX銀行成立了網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)組和突發(fā)事件應(yīng)急領(lǐng)導(dǎo)組，均由董事長任組長，并制訂了《XXXX銀行網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件處理和匯報(bào)管理措施》、《XXXX銀行計(jì)算機(jī)及網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《XXXX銀行營業(yè)場所突發(fā)事件應(yīng)急處理預(yù)案》和《XXXX銀行特約商戶緊急事件應(yīng)急預(yù)案》，明確了網(wǎng)絡(luò)和信息系統(tǒng)突發(fā)事件處理和匯報(bào)步驟，建立了網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制，制訂了專題應(yīng)急預(yù)案和處理方案，確保了網(wǎng)絡(luò)安全事件得到有效處理。XXXX銀行每三個(gè)月組織全轄開展應(yīng)急演練，出具演練匯報(bào)，針對發(fā)覺問題立即整改。（六）合規(guī)審計(jì)調(diào)查XXXX銀行合規(guī)風(fēng)險(xiǎn)部和稽核審計(jì)部每十二個(gè)月針對信息科技風(fēng)險(xiǎn)情況進(jìn)行專題檢驗(yàn)和審計(jì)工作，出具年度科技信息工作評定匯報(bào)和年度科技信息工作審計(jì)匯報(bào)。匯報(bào)涵蓋了制度建設(shè)、突發(fā)事件處理、網(wǎng)絡(luò)防護(hù)、業(yè)務(wù)連續(xù)性、運(yùn)維管理、軟件正版化、外包管理和宣傳教育等各個(gè)方面，能夠全方面評定信息科技存在不足和風(fēng)險(xiǎn)情況。威脅識別：匯報(bào)中未針對互聯(lián)網(wǎng)WLAN情況開展專題評定。五、風(fēng)險(xiǎn)處理（一）現(xiàn)有風(fēng)險(xiǎn)分類1、基礎(chǔ)建設(shè)方面XXXX銀行營業(yè)網(wǎng)點(diǎn)TP-LINK路由器行為管理等管理能力微弱，不能有效管理用戶訪問等行為；總行互聯(lián)網(wǎng)入口處僅配置