1、aaa網(wǎng)上銀行安全評估報告 第十一章系統(tǒng)平臺安全評估結(jié)果第十一章 系統(tǒng)平臺安全評估結(jié)果11.1 系統(tǒng)平臺安全評估結(jié)果匯總與分析首先分別從物理環(huán)境安全、網(wǎng)絡(luò)平臺安全、操作系統(tǒng)/平臺安全、數(shù)據(jù)庫系統(tǒng)安全、應(yīng)用系統(tǒng)安全五個方面進行評估，然后綜合各部分評估結(jié)果形成網(wǎng)上銀行系統(tǒng)平臺安全評估結(jié)果，具體評估結(jié)果見下表：評價內(nèi)容評價結(jié)果權(quán)重加權(quán)值結(jié)果值結(jié)果描述物理環(huán)境安全物理環(huán)境80大部分符合20%16設(shè)備安全80大部分符合40%32介質(zhì)安全80大部分符合40%32物理環(huán)境安全權(quán)重及綜合評價10%80網(wǎng)絡(luò)平臺安全網(wǎng)絡(luò)及邊界安全80大部分符合30%24網(wǎng)絡(luò)系統(tǒng)安全設(shè)計80大部分符合10%8網(wǎng)絡(luò)訪問控制80大部分

2、符合10%8網(wǎng)絡(luò)安全檢測分析80大部分符合10%8網(wǎng)絡(luò)連接80大部分符合10%8網(wǎng)絡(luò)可用性80大部分符合10%8網(wǎng)絡(luò)設(shè)備的安全管理與配置80大部分符合20%16網(wǎng)絡(luò)平臺安全權(quán)重及綜合評價10%80操作系統(tǒng)/平臺安全帳號安全100完全符合20%20文件系統(tǒng)安全80大部分符合10%8網(wǎng)絡(luò)服務(wù)安全80大部分符合10%8系統(tǒng)訪問控制80大部分符合10%8日志及監(jiān)控審計60基本符合10%6拒絕服務(wù)保護80大部分符合10%8補丁管理80大部分符合10%8病毒及惡意代碼防護80大部分符合10%8系統(tǒng)備份與恢復(fù)60基本符合10%6操作系統(tǒng)/平臺安全權(quán)重及綜合評價20%80數(shù)據(jù)庫系統(tǒng)安全數(shù)據(jù)庫帳號安全80大部分

3、符合30%24數(shù)據(jù)庫訪問控制80大部分符合20%16存儲過程安全80大部分符合10%8補丁管理80大部分符合10%8系統(tǒng)備份與恢復(fù)60基本符合20%12日志及監(jiān)控審計80大部分符合10%8數(shù)據(jù)庫系統(tǒng)安全權(quán)重及綜合評價20%76應(yīng)用系統(tǒng)安全身份鑒別100完全符合10%10訪問控制80大部分符合10%8交易的安全性80大部分符合10%8數(shù)據(jù)的安全性80大部分符合10%8密碼支持80大部分符合10%8異常處理80大部分符合10%8輸入輸出合法性60基本符合10%6備份與故障恢復(fù)60基本符合10%6安全審計 80大部分符合5%8資源利用80大部分符合5%8安全管理80大部分符合10%8應(yīng)用系統(tǒng)安全權(quán)重

4、及綜合評價40%72綜合評價結(jié)果76通過網(wǎng)上銀行系統(tǒng)平臺安全評估結(jié)果，aaa網(wǎng)上銀行系統(tǒng)在物理環(huán)境安全、網(wǎng)絡(luò)平臺安全、操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和應(yīng)用系統(tǒng)安全幾個方面都有比較好的設(shè)計、規(guī)劃和實現(xiàn)。好的方面主要表現(xiàn)在以下幾個方面：1) 運行維護方面：建立了完整的日志及審計機制，日志的收集和定期審計對網(wǎng)絡(luò)安全問題的發(fā)現(xiàn)和追查都有重要的意義。在網(wǎng)銀系統(tǒng)的internet入口部署了ids，可以及時監(jiān)測流量突發(fā)事件和事件源頭。目前網(wǎng)絡(luò)管理主要使用加密的ssh和https，加密的數(shù)據(jù)傳輸對嗅探攻擊相對安全。網(wǎng)上銀行技術(shù)支持小組及時了解、分析研究各系統(tǒng)軟件（包括 sun solaris, screense

5、curenet, checkpoint, ita, netprowler, cybercop, os/400等等）最新相關(guān)安全的patch信息以及最新版本信息，如有必要及時安裝相應(yīng)的軟件patch或者進行必須的系統(tǒng)軟件升級，確保系統(tǒng)無安全漏洞。網(wǎng)絡(luò)設(shè)備的os與配置文件有管理員備份和保管。2) 網(wǎng)絡(luò)設(shè)備安全方面：網(wǎng)絡(luò)設(shè)備有統(tǒng)一的安全配置規(guī)范。例如：ios版本版本生機到高版本，設(shè)備口令加密存儲，停止無用服務(wù)等。網(wǎng)絡(luò)設(shè)備的管理制度與執(zhí)行符合安全性要求。3) 安全域劃分方面：劃分了合理的安全域，internet區(qū)、dmz區(qū)、trusted區(qū)、intranet區(qū)、安全管理區(qū)。4) 網(wǎng)絡(luò)安全控制方面：網(wǎng)上

6、銀行在線路、服務(wù)器冗災(zāi)方面做得很好，有完善的訪問控制措施和數(shù)據(jù)加密措施。系統(tǒng)的設(shè)計遵循了多重保護的原則，進行了多層次網(wǎng)絡(luò)安全保護，在鏈路層和網(wǎng)絡(luò)層實施狀態(tài)包檢測，在表示層實施加密傳送，在應(yīng)用層設(shè)置專用程序代碼、運行應(yīng)用層審計軟件，在應(yīng)用層之上啟動代理服務(wù)等。網(wǎng)上銀行網(wǎng)絡(luò)進行分段，通過交換器連接各段，把網(wǎng)絡(luò)分成若干ip子網(wǎng)，各子網(wǎng)通過防火墻連接并控制各子網(wǎng)間的訪問。5) 安全管理方面：機房的物理環(huán)境和管理方面為專業(yè)的機房托管服務(wù)商提供。安全管理的策略建立方面做得比較詳細(xì)，從識別安全風(fēng)險到制定控制框架都考慮的很全面，并且針對各業(yè)務(wù)流程、操作和管理流程都制定了詳細(xì)的控制方法和要求。不足之處主要表現(xiàn)在

7、以下幾個方面：1) 機房管理區(qū)域網(wǎng)絡(luò)接入的控制不夠嚴(yán)格，其他無關(guān)人員可能私自接入到業(yè)務(wù)網(wǎng)絡(luò)中。2) 網(wǎng)上銀行系統(tǒng)網(wǎng)絡(luò)沒有建立統(tǒng)一時鐘服務(wù)，不能保證主機、設(shè)備時鐘同步，在日志分析中會有很多的困擾。3) 網(wǎng)上銀行系統(tǒng)設(shè)備基本為靜態(tài)密碼，因此面臨著暴力破解的危險。4) 沒有部署專業(yè)的備份軟件與磁帶庫設(shè)備，不能完善數(shù)據(jù)的增量備份、差分備份等，備份系統(tǒng)自動化程度低。建議近期重點從如下幾個方面進行改進：1) 嚴(yán)格限制機房管理區(qū)域網(wǎng)絡(luò)接入的控制，嚴(yán)格執(zhí)行aaa銀行的計算機系統(tǒng)管理內(nèi)控制度中的“機房管理”規(guī)范。2) 建立ntp統(tǒng)一時鐘服務(wù)，保證主機、設(shè)備可以通過配置ntp服務(wù)器進行時鐘同步，可以幫助安全事件的

8、分析和作為追蹤事件源的依據(jù)。3) 建議配置動態(tài)口令認(rèn)證機制，降低設(shè)備口令被暴力破解的風(fēng)險。4) 建議部署專業(yè)的備份軟件設(shè)備，完善數(shù)據(jù)的增量備份、差分備份等備份策略。部署磁帶庫這類離線存儲介質(zhì)，使備份系統(tǒng)自動化，確保數(shù)據(jù)的完全恢復(fù)。11.2 系統(tǒng)平臺安全評估結(jié)果詳細(xì)描述11.2.1 物理環(huán)境安全 物理環(huán)境1) aaa網(wǎng)銀系統(tǒng)平臺的運行環(huán)境在萬國數(shù)據(jù)(gds)的機房內(nèi)托管，gds機房的環(huán)境是按照國家a類機房的標(biāo)準(zhǔn)進行建設(shè)的，在防火、防潮、防靜電、防盜、電源安全等方面都能夠滿足國家a類機房的標(biāo)準(zhǔn)。2) 在aaa中國網(wǎng)上銀行系統(tǒng)安全策略和中國資訊科技中心操作規(guī)程中明確制定了對生產(chǎn)環(huán)境和

9、機房物理環(huán)境的安全要求。3) 數(shù)據(jù)中心作為存放銀行所有電子設(shè)備和業(yè)務(wù)數(shù)據(jù)的地點，必須具備足夠的抵抗自然災(zāi)害的能力。4) 為防止火災(zāi)，機房大樓內(nèi)安裝有煙霧探測器和滅火系統(tǒng)。5) 由于電子設(shè)備對環(huán)境溫度要求比較高，機房內(nèi)配備雙重冷暖空調(diào)，確保環(huán)境溫度在18-24攝氏度左右。6) 機房內(nèi)配備兩臺不間斷穩(wěn)壓電源，確保系統(tǒng)在斷電狀態(tài)下繼續(xù)工作24小時以上。7) 機房內(nèi)安裝有視頻監(jiān)視系統(tǒng)，通過cctv監(jiān)控機房入口和機房內(nèi)不同區(qū)域，一旦發(fā)現(xiàn)異常活動立即報警。8) gds萬國數(shù)據(jù)中心能夠提供符合國家標(biāo)準(zhǔn)的機房環(huán)境，包含符合災(zāi)難備份原則的機房選址、具備高抗震指標(biāo)、高承重提升地板的物理建筑，具備多路專線供電線路、

10、長延時冗余ups系統(tǒng)、備用發(fā)電機組、專業(yè)精密空調(diào)系統(tǒng)以及氣體滅火系統(tǒng)等各種基礎(chǔ)設(shè)施，具備7 x 24小時的嚴(yán)格出入授權(quán)控制和7 x 24小時的監(jiān)控錄像措施和嚴(yán)格的管理規(guī)范。9) 對于進入機房的維護工作有嚴(yán)格的申請規(guī)定，并且對訪問時間和人數(shù)進行了控制，在訪問機房的過程中，有專人全程陪同。10) aaa的機房區(qū)域與其他托管公司的機房有獨立的區(qū)域，具備很好的隔離措施。11) 對網(wǎng)銀平臺設(shè)備的維護工作只能在gds的管理區(qū)域進行操作，不能通過遠(yuǎn)程訪問的方式進行維護。問題分析：aaa的網(wǎng)銀系統(tǒng)在機房的物理環(huán)境和管理方面采用了外包托管給專業(yè)服務(wù)商的方式，并且該服務(wù)商在業(yè)內(nèi)擁有較高的聲譽和很好的服務(wù)質(zhì)量，因此

11、在物理環(huán)境管理方面基本可以符合要求。但在維護區(qū)域的網(wǎng)絡(luò)接入控制上仍有提高的空間。80-大部分符合評價結(jié)果：建議措施：建議加強對管理區(qū)域網(wǎng)絡(luò)接入的控制，防止其他無關(guān)人員私自接入到業(yè)務(wù)網(wǎng)絡(luò)中。 設(shè)備安全1) 所有的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和存儲設(shè)備都托管在gds機房中，人員的機房進出有嚴(yán)格的控制，并且有24小時的監(jiān)控錄像，基本能夠保證不會有外來人員對設(shè)備進行破壞。2) 所有的人員訪問，包括外來人員和廠商的維護人員都有專人進行全程陪同，防止外來人員對設(shè)備進行意外的破壞。3) 所有設(shè)備都是安裝在機柜中，機柜要求上鎖，所有的線路都是采用頂棚布線的方式并且有防護罩對線路進行保護。4) 網(wǎng)

12、上銀行安全策略中對設(shè)備的強壯性也進行了要求。5) 所有電子設(shè)備均向信譽卓著的廠商如sun，cisco，ibm等購買，以確保設(shè)備本身性能優(yōu)良。6) 每個關(guān)鍵設(shè)備，如web服務(wù)器等均配備有備份系統(tǒng)。7) 每個關(guān)鍵設(shè)備的關(guān)鍵元件配備冗余元件，如硬盤均配備有鏡像磁盤。問題分析：由于是在專業(yè)的機房托管服務(wù)商處進行管理，并且重要的設(shè)備都配備了冗余或備件，所以對于設(shè)備安全保護工作基本能夠滿足現(xiàn)在的需要。80-大部分符合評價結(jié)果：建議措施：無。 介質(zhì)安全1) aaa網(wǎng)銀系統(tǒng)所使用的介質(zhì)資源主要是用于備份的磁帶，磁帶在做完備份后首先會保存在gds運維區(qū)域的保險柜中，定期有專人將磁帶轉(zhuǎn)移回公司。2

13、) 網(wǎng)上銀行安全策略中規(guī)定每個備份磁帶貼上標(biāo)簽以后仔細(xì)保存在安全的地方。3) 磁帶的保管由安全部門負(fù)責(zé)，所有的磁帶介質(zhì)都將采上海市內(nèi)的取異地存放的方式保存。問題分析：對于磁帶介質(zhì)的安全保管，aaa采取專人、異地、并使用保險箱進行保存，在很大程度上確保了數(shù)據(jù)的安全，但同城存放使抵御災(zāi)難的能力不夠強。80-大部分符合評價結(jié)果：建議措施：1) 網(wǎng)銀系統(tǒng)的客戶數(shù)據(jù)和交易數(shù)據(jù)作為aaa的最重要信息資產(chǎn)，但靠一份磁帶備份很難確保其最大的安全性，建議可以采取遠(yuǎn)距離異地雙重備份的方式提高數(shù)據(jù)介質(zhì)的高可用性。11.2.2 網(wǎng)絡(luò)平臺安全 網(wǎng)絡(luò)及邊界安全1) aaa網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)在各個處理環(huán)節(jié)上充分考

14、慮了可用性和負(fù)載均衡的支持，利用服務(wù)器群集技術(shù)完成ha和lb。2) 網(wǎng)銀系統(tǒng)到internet分別通過電信和網(wǎng)通的鏈路連接，做到了鏈路備份與負(fù)載均衡。3) 系統(tǒng)與internet之間設(shè)置了防火墻，對internet用戶訪問系統(tǒng)實施了訪問控制，減少了來自internet 的威脅。4) 系統(tǒng)在internet出口處部署了ips，對來自internet的網(wǎng)絡(luò)訪問行為進行監(jiān)控和防護。5) 交換機在口令配置、使用協(xié)議和服務(wù)管理等方面進行了一定的安全配置。問題分析：aaa網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)在線路、服務(wù)器冗災(zāi)方面做得很好，有完善的訪問控制措施和數(shù)據(jù)加密措施。但網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)沒有為主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備提供統(tǒng)一的時

15、鐘，保證網(wǎng)銀系統(tǒng)時鐘的統(tǒng)一和正確。統(tǒng)一的時鐘可以保證各設(shè)備的日志是同時產(chǎn)生的，有利于事后追查對時間的定位；缺乏網(wǎng)管系統(tǒng)，在網(wǎng)絡(luò)管理方面主要使用手工登錄的管理方式。80-大部分符合評價結(jié)果：建議措施：l 考慮到各類設(shè)備較多，管理員對設(shè)備的管理采用手工方式效率較低，建議引進網(wǎng)管軟件。l 建議網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)建立統(tǒng)一時鐘服務(wù)，保證主機、設(shè)備可以通過配置ntp服務(wù)器進行時鐘同步。 網(wǎng)絡(luò)系統(tǒng)安全設(shè)計1) 邊緣路由器和防火墻之間的網(wǎng)絡(luò)地址使用internet保留的私有地址，可以保證從internet不可以直接訪問到路由器的對內(nèi)網(wǎng)絡(luò)和防火墻的對外網(wǎng)口。2) 網(wǎng)銀系統(tǒng)各相臨網(wǎng)段之間（直連路由）可以

16、互相訪問，跨網(wǎng)段（非相臨網(wǎng)段）路由不可達(dá)。3) 關(guān)鍵主機部署了主機入侵防護產(chǎn)品,能提供攻擊防護、終端控制和安全事件監(jiān)控和審計等功能以確認(rèn)網(wǎng)銀系統(tǒng)多個服務(wù)器的完整性和策略依從。4) 關(guān)鍵主機部署了一致性管理和漏洞評估產(chǎn)品，主要是確保公司符合嚴(yán)格的使用標(biāo)準(zhǔn)，發(fā)現(xiàn)尚未安裝的補丁等系統(tǒng)漏洞并指導(dǎo)用戶快速修復(fù)，從而避免許多代價昂貴的安全問題。5) 部署了日志審計軟件，便于安全事件的檢測和存儲，可以幫助安全事件的分析和作為追蹤事件源的依據(jù)。問題分析：網(wǎng)上銀行安全系統(tǒng)的設(shè)計遵循了多重保護的原則，進行了多層次網(wǎng)絡(luò)安全保護，在鏈路層和網(wǎng)絡(luò)層實施狀態(tài)包檢測，在表示層實施加密傳送，在應(yīng)用層設(shè)置專用程序代碼、運行應(yīng)用

17、層審計軟件，在應(yīng)用層之上啟動代理服務(wù)等；同時對網(wǎng)絡(luò)進行分段，通過交換器連接各段，把網(wǎng)絡(luò)分成若干ip子網(wǎng)，各子網(wǎng)通過防火墻連接并控制各子網(wǎng)間的訪問。80-大部分符合評價結(jié)果：建議措施：無 網(wǎng)絡(luò)訪問控制1) 網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)劃分了合理的安全域，包括：l internet區(qū)網(wǎng)銀用戶所在區(qū)域；l dmz區(qū)網(wǎng)銀系統(tǒng)web服務(wù)器、短信網(wǎng)關(guān)服務(wù)器、證書服務(wù)器所在區(qū)域；l trusted區(qū)網(wǎng)銀系統(tǒng)核心業(yè)務(wù)區(qū)；l intranet區(qū)用戶的內(nèi)部網(wǎng)絡(luò)，網(wǎng)銀內(nèi)部管理柜員從此網(wǎng)段訪問內(nèi)部管理系統(tǒng)；l 安全管理區(qū)防火墻、日志審計、漏洞掃描等安全管理服務(wù)器所在區(qū)域。2) 各安全域有明確的邊界，各安全域之間采用了

18、合理的控制措施和安全策略。3) 在防火墻的安全規(guī)則中禁止來自邊緣路由器各端口對內(nèi)、外層防火墻各端口的訪問，即使邊緣路由器被攻破，也可以防止來自邊緣路由器的攻擊。問題分析：網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)合理，總體邏輯清晰,各安全域之間的安全策略控制有較好的細(xì)粒度，防火墻策略變更時遵循網(wǎng)上銀行安全策略，可以防止防火墻策略變更時不會產(chǎn)生安全策略限制不嚴(yán)的情況但沒有明確定義常見的蠕蟲端口進行策略限制。80-大部分符合評價結(jié)果：建議措施：定義蠕蟲傳播端口，增加這些端口的deny策略。 網(wǎng)絡(luò)安全檢測分析1) 路由器、交換機和防火墻的帳號與密碼采用了高強度的密碼機制，并且啟用了加密保護機制，配置了強加密的

19、特權(quán)密碼enable secret。2) 網(wǎng)絡(luò)設(shè)置了console 口管理的密碼控制機制，禁用了snmp服務(wù)。3) 路由器、交換機禁止http服務(wù)管理功能，防火墻禁用了外網(wǎng)口的遠(yuǎn)程管理，系統(tǒng)管理登錄連續(xù)失敗4次進行帳號鎖定，系統(tǒng)訪問超時自動退出等安全措施。4) 網(wǎng)絡(luò)設(shè)備均禁用了不必要的系統(tǒng)服務(wù)。5) 對網(wǎng)絡(luò)系統(tǒng)設(shè)備的配置文件進行了完整的備份，由管理員保管。6) 交換機和路由器沒有通過訪問控制列表做防蠕蟲病毒的控制、防ip欺騙攻擊的控制、防ddos攻擊的控制等，通過防火墻來完成這方面的控制。7) 網(wǎng)絡(luò)設(shè)備更改了默認(rèn)的系統(tǒng)日志配置信息，通過專業(yè)的日志分析軟件(rsa intrusion log s

20、erver)進行日志收集與分析。問題分析：網(wǎng)絡(luò)設(shè)備的安全進行了比較全面的安全配置，對日志進行專業(yè)的分析。80-大部分符合評價結(jié)果：建議措施：不能完全依靠管理員來完成配置文件的備份，建議設(shè)置專用的網(wǎng)絡(luò)設(shè)備os和配置文件備份服務(wù)器。 網(wǎng)絡(luò)連接1) aaa網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)在各個處理環(huán)節(jié)上充分考慮了可用性和負(fù)載均衡的支持，利用f5完成了網(wǎng)絡(luò)層面的ha和lb。2) aaa網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)與internet通過電信和網(wǎng)通鏈路聯(lián)接。3) 網(wǎng)銀系統(tǒng)與核心業(yè)務(wù)服務(wù)器通過局域網(wǎng)聯(lián)結(jié)，使用防火墻邏輯隔離。4) 網(wǎng)銀系統(tǒng)與柜員、oa等系統(tǒng)的聯(lián)接為ddn，使用使用防火墻邏輯隔離。5) 網(wǎng)絡(luò)安全管理平臺和其他網(wǎng)絡(luò)

21、之間使用防火墻邏輯隔離。問題分析：aaa網(wǎng)銀系統(tǒng)平臺端的網(wǎng)絡(luò)均為雙鏈路，可以保證網(wǎng)絡(luò)連接的可靠性，防火墻配置了嚴(yán)格的安全策略，可以保證所有網(wǎng)絡(luò)連接數(shù)據(jù)通信的合法性，同時可以防止蠕蟲病毒的泛濫，較好地預(yù)防了可能發(fā)起對網(wǎng)銀系統(tǒng)的dos/ddos攻擊。80-大部分符合評價結(jié)果：建議措施：明確定義蠕蟲傳播端口，增加這些端口在防火墻是上的deny策略。 網(wǎng)絡(luò)可用性1) aaa網(wǎng)銀系統(tǒng)網(wǎng)絡(luò)全為雙鏈路冗于，采用f5-big- ltm-6400- 4gb-rs做負(fù)載均衡與鏈路備份。2) 網(wǎng)絡(luò)設(shè)備采用心跳線同步用戶會話，保證網(wǎng)銀系統(tǒng)在做鏈路切換時對用戶透明。3) 通過防火墻完成防蠕蟲病毒的控制、

22、防ip欺騙攻擊的控制、防ddos攻擊的控制。問題分析： aaa網(wǎng)銀用戶可以通過電信或網(wǎng)通的數(shù)據(jù)鏈路訪問網(wǎng)銀系統(tǒng)，網(wǎng)銀系統(tǒng)的局域網(wǎng)也是雙鏈路到服務(wù)器，確保業(yè)務(wù)的不間斷服務(wù)。80-大部分符合評價結(jié)果：建議措施：無。 網(wǎng)絡(luò)設(shè)備的安全管理與配置1) console口管理的具有密碼控制機制，遠(yuǎn)程管理只能通過固定的網(wǎng)段登陸，而且設(shè)置的密碼足夠強壯。2) 禁止http服務(wù)功能，禁用了snmp服務(wù)。3) 防火墻的管理方式為ssh和https，密碼設(shè)置符合復(fù)雜性要求，防火墻策略的變更有完整的控制機制：l 提前一周將修改后防火墻規(guī)則書面送交安全管理小組；l 網(wǎng)上銀行技術(shù)支援小組負(fù)責(zé)更新規(guī)則；l 防

23、火墻網(wǎng)關(guān)自動檢查規(guī)則文件并記錄進改變?nèi)罩疚募校籰 安全管理員登錄系統(tǒng)檢查日志文件；l 如果日志文件經(jīng)過備份后不再需要，安全管理員定期刪除日志文件。4) 網(wǎng)絡(luò)設(shè)備的os與配置文件由設(shè)備管理員進行了完全的備份。問題分析： 網(wǎng)絡(luò)設(shè)備的管理基本符合安全性要求，但設(shè)備的口令為靜態(tài)口令，存在暴力破解的風(fēng)險。另外網(wǎng)絡(luò)設(shè)備的os與配置沒有專用的備份服務(wù)器。80-大部分符合評價結(jié)果：建議措施：l 建議配置網(wǎng)絡(luò)設(shè)備動態(tài)口令認(rèn)證機制；l 建議設(shè)置專用的os和配置文件備份服務(wù)器。11.2.3 操作系統(tǒng)/平臺安全 帳號安全1) 操作系統(tǒng)的帳號被嚴(yán)格限制，對于系統(tǒng)中默認(rèn)的用戶和安裝應(yīng)用增加無用帳戶采取了

24、鎖定或禁用的方式，僅新建并保留有限的管理帳戶（包括root帳戶）。2) 當(dāng)系統(tǒng)上線后，所有的用戶密碼將使用專用的密碼生成器生成，保證密碼的安全度，防止被有規(guī)律的猜解。3) 系統(tǒng)的遠(yuǎn)程管理使用ssh方式登錄，禁用了系統(tǒng)telnet服務(wù)，確保了登錄過程中數(shù)據(jù)的安全性。4) 系統(tǒng)本身對帳戶密碼的長度、復(fù)雜度和更換時間進行了限制，同時aaa的網(wǎng)上銀行安全策略中對帳戶密碼的安全設(shè)置和管理要求進行了規(guī)定。5) aaa中國網(wǎng)上銀行的unix主機和nt服務(wù)器的超級用戶密碼將由aaa中國網(wǎng)上銀行技術(shù)支援小組和安全管理員共同設(shè)置。密碼長度不少于8位，前4位由技術(shù)支援小組設(shè)置和掌握，后4位由安全管理員設(shè)置和掌握，所

25、有需要使用超級用戶密碼操作權(quán)限的工作都需要由技術(shù)支援小組成員和安全管理員共同輸入密碼后，由技術(shù)支援小組人員進行操作。密碼每個月必須更換一次，2個小組的成員在更改密碼之后分別將自己那部分密碼密封，交由citc經(jīng)理保存，以備緊急之用。問題分析：操作系統(tǒng)平臺的帳戶和口令管理在制度和落實的方面都做得非常詳細(xì)，對帳戶口令的長度、復(fù)雜度、使用期限和安全保護等方面都已經(jīng)完全能夠滿足需要。100-完全符合評價結(jié)果：建議措施：如果能夠?qū)oot用戶的遠(yuǎn)程登錄進行控制，并對那些普通用戶和以su到root用戶的權(quán)限進行控制的話會使增加系統(tǒng)帳號訪問的安全性。 文件系統(tǒng)安全1) solaris操作系統(tǒng)使

26、用ufs系統(tǒng)文件格式。2) 系統(tǒng)的/etc目錄下文件的讀寫權(quán)限進行了嚴(yán)格分配，并且當(dāng)用戶登錄時使用了安全的環(huán)境變量設(shè)置。3) 包括對用戶帳戶、密碼文件，crontab計劃任務(wù)文件等重要系統(tǒng)文件的修改和訪問權(quán)限也進行了嚴(yán)格的控制，防止被惡意入侵者非法讀取或修改。4) 對于安裝的應(yīng)用程序，如oracle的文件安裝目錄的訪問權(quán)限也進行了嚴(yán)格控制。5) 現(xiàn)在并未建立對系統(tǒng)帳號和權(quán)限分配的定期檢查機制。問題分析：由于沒有建立對帳號和權(quán)限的定期檢查機制，對于文件權(quán)限的改變不能及時的發(fā)現(xiàn)，如果在維護的過程中被不小心修改，或當(dāng)有惡意入侵者修改了文件權(quán)限的話就不能及時了解到當(dāng)前所面臨的安全威脅。80-大部分符合

27、評價結(jié)果：建議措施：建議增加對帳號和權(quán)限的定期檢查機制，制定定期的檢查，可以采取人工方式檢查或工具檢查的方式進行。 網(wǎng)絡(luò)服務(wù)安全1) 操作系統(tǒng)關(guān)閉了telnet遠(yuǎn)程管理服務(wù)，使用sshv2的方式進行遠(yuǎn)程管理。2) 禁用了系統(tǒng)自帶的ftp服務(wù)，使用更加安全的sftp服務(wù)提供文件傳輸?shù)姆?wù)。3) 服務(wù)器進行基本的加固服務(wù)，禁用了系統(tǒng)中各種無用而默認(rèn)開啟的網(wǎng)絡(luò)服務(wù)，如snmp、sendmail、name、uucp等服務(wù)。4) 沒有開啟rlogin或rsh等遠(yuǎn)程登錄的訪問訪問服務(wù)。5) 開啟了ntp服務(wù)，設(shè)置統(tǒng)一的ntp服務(wù)器保證系統(tǒng)時間的統(tǒng)一和準(zhǔn)確。6) 禁用了x終端的登錄。問題分析

28、：當(dāng)前的操作系統(tǒng)對無用的網(wǎng)絡(luò)服務(wù)都已關(guān)閉，對于已開啟的網(wǎng)絡(luò)服務(wù)業(yè)都采取了加密的方式傳輸數(shù)據(jù)，即能夠保證數(shù)據(jù)的安全性，有效的降低了開啟無用服務(wù)帶來的潛在安全隱患。80-大部分符合評價結(jié)果：建議措施：無 系統(tǒng)訪問控制1) 系統(tǒng)禁用了x終端的登錄方式，采用ssh的方式進行遠(yuǎn)程管理。2) 對于系統(tǒng)訪問登錄的嘗試次數(shù)和空閑時間都進行限制，多次登錄失敗后會自動斷開連接，或者空閑時間超時也會自動斷開連接。3) 主機沒有對訪問ip的連接進行限制。由于是在封閉的小范圍內(nèi)部網(wǎng)絡(luò)中，不限制訪問ip對系統(tǒng)安全的影響不大。4) 主機本身沒有開啟防火墻，所有的外來訪問控制都是通過外部的專用防火墻進行控制。

29、5) 主機上的文件系統(tǒng)對用戶訪問的權(quán)限也進行了較好的控制，防止其他用戶對重要系統(tǒng)文件的非法訪問。問題分析：采用ssh的加密方式對系統(tǒng)進行遠(yuǎn)程管理可以有效的保證數(shù)據(jù)的安全性，使用防火墻也能夠有效的控制外來的對系統(tǒng)的非法訪問，只是對系統(tǒng)文件訪問的權(quán)限控制要想做到嚴(yán)格的控制還是有一定的難度。80-大部分符合評價結(jié)果：建議措施：建議在系統(tǒng)本身增加對系統(tǒng)訪問ip的控制，雖然現(xiàn)在使用防火墻對外部向內(nèi)部的訪問進行了控制，但無法對本網(wǎng)段設(shè)備的訪問進行控制。 日志及監(jiān)控審計1) 操作系統(tǒng)開啟了基本的日志審計功能，包括記錄登錄行為、告警、認(rèn)證、郵件、通知等日志。2) 所有的日志記錄信息都會存儲在專

30、用的日志服務(wù)器上，采取統(tǒng)一管理的方式確保日志文件的安全，并未使用加密的方式保存日志。3) 對于日志的保存期限尚沒有嚴(yán)格的規(guī)定，現(xiàn)在的情況是如果存儲的空間不足則會根據(jù)需要刪除過去最早的日志文件來釋放磁盤空間。4) 為監(jiān)控可能的入侵活動，安全管理員將會每天分析所有防火墻和unix服務(wù)器上的日志文件。同時，中國總部將會分析應(yīng)用日志報表。管理層將會定期地召開安全會議，一旦發(fā)生跡象明顯的入侵攻擊活動，安全管理員將要求召開安全會議。aaa內(nèi)部稽核部門也會對安全政策實施內(nèi)部稽核，并向管理層遞交稽核報告。5) 系統(tǒng)缺少實時監(jiān)控的手段，沒有網(wǎng)管、系統(tǒng)管理或soc等工具幫助監(jiān)控，只有人工定期會對系統(tǒng)的運行狀態(tài)進行

31、巡檢。問題分析：在日志的記錄方面能夠記錄的比較詳細(xì)，并且采取了集中保存的方式保障的日志文件的安全性，防止篡改；對采集到的安全日志進行分析能夠較早的發(fā)現(xiàn)系統(tǒng)的安全問題和入侵隱患。沒有系統(tǒng)監(jiān)控設(shè)備，無法及時有效的了解系統(tǒng)的運行狀態(tài)和安全現(xiàn)狀，雖然采取了人工或手工方式進行彌補，但效果并不如使用監(jiān)控軟件明顯。60-基本符合評價結(jié)果：建議措施：建議建立soc一類的管理工具加強對審計日志的及時分析和對系統(tǒng)狀態(tài)的實時監(jiān)控，既能有效了解當(dāng)前系統(tǒng)的安全狀態(tài)，也能夠及早的發(fā)現(xiàn)并預(yù)防潛在的安全隱患。 拒絕服務(wù)保護1) 操作系統(tǒng)本身進行了基本的抵御拒絕服務(wù)攻擊的配置，使用solaris的安全增強工具。

32、2) 在對外訪問方面是通過防火墻進行保護dos攻擊，并且部署了ids設(shè)備及時發(fā)現(xiàn)來自外部網(wǎng)絡(luò)的惡意攻擊。3) 無論是web服務(wù)器還是后臺應(yīng)用和數(shù)據(jù)庫服務(wù)器都是使用雙機冗余或2臺設(shè)備同時提供服務(wù)的方式，以降低dos攻擊對業(yè)務(wù)造成的影響。問題分析：無論是在系統(tǒng)本身的防護方面還是在外部的保護方面，對dos的攻擊基本防護都已做到，并且除web設(shè)備之外都是在獨立的內(nèi)部網(wǎng)絡(luò)中運行，dos的影響不大，但畢竟對dos攻擊的防護是很難保證完全抵御的。80-大部分符合評價結(jié)果：建議措施：無 補丁管理1) 目前aaa網(wǎng)銀系統(tǒng)的各平臺主機操作系統(tǒng)都是安裝的最新版本的操作系統(tǒng)和應(yīng)用軟件，并且所有的補丁也

33、都是最新的。2) 在aaa網(wǎng)上銀行安全策略中對軟件補丁的管理做了要求。3) aaa中國網(wǎng)上銀行技術(shù)支持小組應(yīng)及時了解，分析研究各系統(tǒng)軟件（包括 sun solaris, screensecurenet, checkpoint, ita, netprowler, cybercop, os/400等等）最新相關(guān)安全的patch信息以及最新版本信息，如有必要及時安裝相應(yīng)的軟件patch或者進行必須的系統(tǒng)軟件升級，確保系統(tǒng)無安全漏洞。4) 對于新的補丁在已經(jīng)上線運行的主機上通常不會馬上安裝，只有必須更新的補丁才會在進行足夠的安全和穩(wěn)定性測試之后，更新到服務(wù)器上。問題分析：現(xiàn)在的補丁管理策略雖然明確了主

34、要的工作目標(biāo)和要求，但具體的規(guī)定不夠詳細(xì)和具體。并且現(xiàn)在aaa缺少足夠的條件對補丁在更新前進行全面的測試。80-大部分符合評價結(jié)果：建議措施：由于網(wǎng)銀業(yè)務(wù)是需要提供高可用的在線業(yè)務(wù)，系統(tǒng)中斷對業(yè)務(wù)的影響非常大，所以建議在更新系統(tǒng)補丁之前一定要做好全面的兼容性和穩(wěn)定性測試工作。 病毒及惡意代碼防護1) aaa網(wǎng)上銀行系統(tǒng)所使用的服務(wù)器系統(tǒng)現(xiàn)在都是unix系統(tǒng)，遭到病毒侵害的幾率較低，因此服務(wù)器本身沒有安裝防病毒的軟件。2) 在網(wǎng)上銀行安全策略中有針對系統(tǒng)病毒控制方面的說明，其中沒有要求系統(tǒng)安裝防病毒軟件，但要求使用諾頓檢測程序確保服務(wù)器上數(shù)據(jù)的完整性。3) 服務(wù)器管理方面沒有對惡

35、意代碼防護的要求，在外部網(wǎng)絡(luò)接入處使用ids和防火墻對網(wǎng)絡(luò)中傳播的病毒和惡意代碼進行過濾，防止傳播到內(nèi)網(wǎng)。問題分析：基于網(wǎng)銀系統(tǒng)設(shè)備都是部署在有ids和防火墻隔離的單獨網(wǎng)絡(luò)中的現(xiàn)狀，同時使用的是unix操作系統(tǒng)，病毒對系統(tǒng)的危害并不十分嚴(yán)重，因為針對unix病毒的非常少。但現(xiàn)在缺少對惡意代碼的監(jiān)控和防范，惡意代碼可以通過人為或借助系統(tǒng)漏洞的方式傳播到操作系統(tǒng)上，形式更為隱蔽，難于發(fā)現(xiàn)。80-大部分符合評價結(jié)果：建議措施：加強對惡意代碼的監(jiān)控和防范，可以使用一些智能的檢測工具或?qū)ο蛳到y(tǒng)中傳送的代碼進行嚴(yán)格的分析，及時修補系統(tǒng)中存在的漏洞，雖然對惡意代碼的防范比較困難，但應(yīng)盡量降低惡意代碼可能對系

36、統(tǒng)造成的威脅。 系統(tǒng)備份與恢復(fù)1) aaa網(wǎng)上銀行安全策略中在系統(tǒng)運行安全部分專門針對備份和恢復(fù)方面的內(nèi)容做了要求。2) 必須對程序和數(shù)據(jù)按照事先規(guī)定的頻率和周期進行足夠的備份，每個備份磁帶貼上標(biāo)簽以后仔細(xì)保存在安全的地方。3) 所有可能影響到客戶服務(wù)和內(nèi)部運作的關(guān)鍵數(shù)據(jù)必須系統(tǒng)地備份下來，以保證在系統(tǒng)失敗時能夠提供基本服務(wù)。備份數(shù)據(jù)必須保存兩個以上拷貝，其中一個應(yīng)該放在數(shù)據(jù)中心附近以便出現(xiàn)緊急情況時就近恢復(fù)。另外的拷貝放在物理上相距較遠(yuǎn)的地方，禁止將所有拷貝放置于同一地點以免災(zāi)難發(fā)生時損壞所有備份。4) 在網(wǎng)上銀行緊急應(yīng)變計劃、中國資訊科技中心操作規(guī)程和計算機系統(tǒng)備份和恢復(fù)管

37、理制度中指定了詳細(xì)的數(shù)據(jù)備份計劃，內(nèi)容包括對系統(tǒng)數(shù)據(jù)的備份、對日志的備份、對用戶數(shù)據(jù)的備份。并針對各種系統(tǒng)故障制定了不同的應(yīng)對和恢復(fù)計劃。5) 但現(xiàn)在網(wǎng)銀系統(tǒng)缺少對備份數(shù)據(jù)的驗證和恢復(fù)性測試，無法保證備份的可靠性和有效性。問題分析：在操作系統(tǒng)的備份和恢復(fù)的策略制定和執(zhí)行方面aaa做的還是比較全面的，但缺少對策略和數(shù)據(jù)的實質(zhì)可用性測試，因此無法保證當(dāng)故障發(fā)生時能夠有效的進行恢復(fù)。60-基本符合評價結(jié)果：建議措施：建議增加對應(yīng)急計劃的模擬演練，例如，每一年或半年演練一次，同時加強對備份數(shù)據(jù)可用性的測試，應(yīng)當(dāng)定期對備份數(shù)據(jù)進行有效的恢復(fù)性測試。11.2.4 數(shù)據(jù)庫系統(tǒng)安全 數(shù)據(jù)庫帳號

38、安全1) 數(shù)據(jù)庫帳號密碼采用了高強度的密碼機制（長度、復(fù)雜度要求）。2) 數(shù)據(jù)庫dba的密碼設(shè)置了定期更新策略，降低了dba的密碼被暴力破解的風(fēng)險。3) 關(guān)閉了數(shù)據(jù)庫不必要的默認(rèn)帳戶和空口令帳戶，防止無用帳戶的非法連接請求。4) 修改了數(shù)據(jù)庫默認(rèn)帳戶的原始密碼。問題分析：數(shù)據(jù)庫平臺的帳戶和口令管理在制度和執(zhí)行方面都做得非常細(xì)致，對帳戶口令的長度、復(fù)雜度、使用期限和安全保護等方面都可以滿足數(shù)據(jù)庫帳號安全的要求。80-大部分符合評價結(jié)果：建議措施：保證數(shù)據(jù)庫所在操作系統(tǒng)的安全性。 數(shù)據(jù)庫訪問控制1) aaa數(shù)據(jù)庫有詳細(xì)的權(quán)限分配記錄，權(quán)限分配控制在表訪問粒度層面。2) aaa數(shù)據(jù)庫

39、日常維護使用的帳戶為特定的維護帳號，到對數(shù)據(jù)庫的管理只能通過ssh訪問數(shù)據(jù)所在主機來管理，沒有配置數(shù)據(jù)庫客戶端管理工具。3) aaa數(shù)據(jù)庫只有一個數(shù)據(jù)庫實體。4) aaa數(shù)據(jù)庫限制了普通用戶對保存用戶名和口令的數(shù)據(jù)庫連接的訪問,并限制普通用戶對操作軌跡文件的訪問。5) 在應(yīng)用開發(fā)方面明確要求不允許將用戶 id 和口令硬編碼到數(shù)據(jù)庫鏈接中，需要進行加密轉(zhuǎn)換到應(yīng)用程序的編碼中。問題分析： aaa數(shù)據(jù)庫的訪問控制做到了面面俱到，符合安全性的要求。80-大部分符合評價結(jié)果：建議措施：無。 存儲過程安全1) aaa網(wǎng)銀系統(tǒng)數(shù)據(jù)庫修補了dbms_export_extension存儲過程存在

40、的pl/sql注入漏洞，可以防止低權(quán)限用戶以dba權(quán)限執(zhí)行任意sql代碼。問題分析： aaa技術(shù)人員應(yīng)密切重視oracle存儲過程安全問題，預(yù)防存儲過程出現(xiàn)的安全問題。80-大部分符合評價結(jié)果：建議措施：及時更新數(shù)據(jù)庫補丁，防止未打補丁出現(xiàn)的安全問題。 補丁管理1) 數(shù)據(jù)庫為oracle為最新的版本，oracle的補丁也是更新到目前的最新版本。2) 在aaa網(wǎng)上銀行安全策略中對數(shù)據(jù)庫補丁的管理做了明確的要求。問題分析： 根據(jù)aaa網(wǎng)上銀行安全策略要求，aaa中國網(wǎng)上銀行技術(shù)支持小組會及時了解，分析研究各系統(tǒng)軟件（包括 sun solaris, screensecurenet,

41、checkpoint, ita, netprowler, cybercop, os/400，oracle等等）最新相關(guān)安全的patch信息以及最新版本信息，如有必要及時安裝相應(yīng)的軟件patch或者進行必須的系統(tǒng)軟件升級，確保系統(tǒng)的無安全漏洞。80-大部分符合評價結(jié)果：建議措施：l 建立數(shù)據(jù)庫補丁的測試流程，確保補丁對網(wǎng)上銀行系統(tǒng)的兼容性和可用性。l 建立數(shù)據(jù)庫補丁的加載流程，一旦廠商發(fā)布安全補丁并通過測試對系統(tǒng)無影響后，立即進入補丁的加載流程。 系統(tǒng)備份與恢復(fù)1) aaa網(wǎng)銀系統(tǒng)使用stk的磁帶機進行數(shù)據(jù)備份，每周一次全備份。2) 使用磁帶這種離線的備份方式，可以充分保證數(shù)據(jù)備

42、份的安全性。3) 根據(jù)設(shè)計要求，定期對備份數(shù)據(jù)進行恢復(fù)性測試，確保數(shù)據(jù)的可用性與完整性。4) 在網(wǎng)上銀行緊急應(yīng)變計劃、中國資訊科技中心操作規(guī)程和計算機系統(tǒng)備份和恢復(fù)管理制度中指定了詳細(xì)的數(shù)據(jù)備份計劃，內(nèi)容包括對系統(tǒng)數(shù)據(jù)的備份、對日志的備份、對用戶數(shù)據(jù)的備份。并針對各種系統(tǒng)故障制定了不同的應(yīng)對和恢復(fù)計劃。問題分析： aaa網(wǎng)銀系統(tǒng)的備份方式可以充分保證備份數(shù)據(jù)的安全性與可恢復(fù)性；但不能實現(xiàn)數(shù)據(jù)的完全恢復(fù)，備份的自動化程度低，應(yīng)考慮在數(shù)據(jù)全備份的基礎(chǔ)是增加增量備份的備份策略，條件允許的情況下可以考慮異地災(zāi)備系統(tǒng)。60-基本符合評價結(jié)果：建議措施：l 部署專業(yè)的備份軟件設(shè)備，完善數(shù)據(jù)的增量備份、差分

43、備份等備份策略。l 部署磁帶庫這類離線存儲介質(zhì)，使備份系統(tǒng)自動化，確保數(shù)據(jù)的完全恢復(fù)。 日志及監(jiān)控審計1) 在操作系統(tǒng)層面開啟了數(shù)據(jù)庫軟件的日志記錄與審計功能。2) 在數(shù)據(jù)庫層面的日志功能有：l 開啟了操作日志功能；l 記錄各種身份帳戶的登錄日志；l 開啟tns監(jiān)聽器的日志記錄。3) aaa網(wǎng)銀系統(tǒng)有專用的日志服務(wù)器長期保存數(shù)據(jù)庫日志。4) 使用專業(yè)的日志審計軟件進行數(shù)據(jù)庫日志的監(jiān)控和審計。問題分析：日志記錄完整，并有專業(yè)的日志審計軟件，但日志數(shù)據(jù)保存的時間沒有明確的規(guī)定。80-大部分符合評價結(jié)果：建議措施：完善日志數(shù)據(jù)保存的時間安全管理策略，使安全事件的追溯做到有據(jù)可查。11

44、.2.5 應(yīng)用系統(tǒng)安全 身份鑒別aaa網(wǎng)銀系統(tǒng)在客戶的身份鑒別方面采取了多種安全控制手段，防止被他人盜用。1) 唯一身份認(rèn)證：通過唯一的用戶昵稱、唯一的用戶手機號和唯一的證書表示用戶身份，在系統(tǒng)活動過程中，代表用戶身份的會話id也是唯一的。2) 網(wǎng)銀安全問題：安全答案，提供了除密碼之外的又一身份認(rèn)證安全手段。3) 手機動態(tài)密碼驗證：，網(wǎng)上銀行平臺將產(chǎn)生隨機動態(tài)密碼，并將此動態(tài)密碼發(fā)送到用戶的簽約手機號上并用戶在相關(guān)敏感交易頁面輸入正確的手機動態(tài)密碼，交易才能完成。4) u-key證書：每次使用u-key證書進行簽名時，u-key都將提示輸入u-key密碼，從而阻止了u-key被

45、竊導(dǎo)致證書私鑰泄露的可能。5) 使用證書的用戶采用ca中心頒發(fā)的數(shù)字證書作為身份證明，通過網(wǎng)銀的安全代理服務(wù)器進入到網(wǎng)銀系統(tǒng)環(huán)境來。6) 對于證書申請的流程，aaa也制定了較為完善的流程策略保證申請過程的安全可靠。問題分析：aaa的網(wǎng)銀系統(tǒng)在用戶身份鑒別方面的控制做的非常詳細(xì)，無論在身份認(rèn)證還是證書的申請流程，無論是技術(shù)方面的控制還是管理流程上的要求都能夠滿足當(dāng)前網(wǎng)上銀行交易業(yè)務(wù)在身份鑒別方面的安全要求。100-完全符合評價結(jié)果：建議措施：無。 訪問控制aaa網(wǎng)銀系統(tǒng)采取了多種手段對客戶登錄系統(tǒng)進行了訪問控制。1) 防止多人登錄：網(wǎng)上銀行系統(tǒng)針禁止多人用同一用戶昵稱同時登錄，保

46、證了交易數(shù)據(jù)的唯一性。2) 安全代理服務(wù)：aaa網(wǎng)上銀行系統(tǒng)采用安全代理服務(wù)的方式，在客戶端和aaa網(wǎng)上銀行服務(wù)器間建立一個安全的ssl數(shù)據(jù)通道，只有持有證書的用戶（包括商戶客戶和個人簽約客戶)，才能登錄到aaa網(wǎng)上銀行系統(tǒng)進行交易。3) 網(wǎng)銀系統(tǒng)針對不同的客戶類型限制了用戶登錄的界面和登錄后擁有的權(quán)限，同時在系統(tǒng)登錄頁面，會產(chǎn)生圖形格式的隨機附加碼，防止暴力破解。4) 應(yīng)用訪問控制：系統(tǒng)只開放提供用戶訪問的接口，而且通過接口只能完成系統(tǒng)提供的功能，有效防范黑客請求。5) 客戶會話并發(fā)控制：網(wǎng)銀系統(tǒng)能夠控制客戶會話的并發(fā)數(shù)目,當(dāng)會話數(shù)量過大時,將采取排隊的方式進行等候。問題分析：aaa的網(wǎng)銀系

47、統(tǒng)對用戶的訪問控制做了詳細(xì)的策略和部署，既能保證正常用戶的訪問使用，又能在最大程度上防止用戶惡意操作和黑客攻擊對系統(tǒng)造成的影響，基本滿足了安全的要求。80-大部分符合評價結(jié)果：建議措施：無。 交易的安全性aaa網(wǎng)銀系統(tǒng)，為保證客戶交易的安全采取了多種保護措施。1) 針對目前已經(jīng)多次出現(xiàn)的假冒銀行網(wǎng)站騙取客戶賬號和密碼的情況，aaa個人網(wǎng)銀中加入網(wǎng)銀預(yù)留信息，此預(yù)留信息是客戶登錄網(wǎng)銀后留下個性化信息，假冒網(wǎng)站無法獲取此信息，從而對客戶進行了網(wǎng)站身份的標(biāo)示。2) aaa網(wǎng)上銀行安全客戶端控件，能有效的防治像“網(wǎng)銀大盜”等木馬程序與黑客病毒盜取aaa網(wǎng)上銀行用戶敏感信息，保護客戶使用

48、aaa網(wǎng)上銀行的安全。3) aaa網(wǎng)上銀行系統(tǒng)將會通過檢測網(wǎng)銀用戶的預(yù)留信息是否完善，是否有安全問題和安全答案，電子銀行密碼是否是簡單數(shù)字序列，賬戶是否到柜面簽約為更安全的手機認(rèn)證和證書認(rèn)證方式，實現(xiàn)對用戶交易信息安全檢測。4) 采用交易簽名與驗證的的方式保證交易過程的安全，同時建立了完善的交易簽名和驗證流程。問題分析：aaa網(wǎng)銀系統(tǒng)不僅考慮到了，客戶端軟件的安全，同時也考慮到了防止客戶登錄釣魚或虛假網(wǎng)站給客戶帶來的損失。并且網(wǎng)銀系統(tǒng)通過檢查客戶信息的安全有效性來驗證客戶身份的真實可靠。使用電子簽名和證書的交易方式，較好的保證了交易過程的保密性和抗抵賴性。80-大部分符合評價結(jié)果：建議措施：無

49、。 數(shù)據(jù)的安全性1) 安全代理服務(wù)：aaa網(wǎng)上銀行系統(tǒng)采用安全代理服務(wù)的方式，在客戶端和aaa網(wǎng)上銀行服務(wù)器間建立一個安全的ssl數(shù)據(jù)通道。實現(xiàn)用戶的證書身份認(rèn)證和數(shù)據(jù)的簽名和加密。以最大程度的保護交易系統(tǒng)的安全。2) 使用證書的用戶采用ca中心頒發(fā)的數(shù)字證書作為身份證明，通過網(wǎng)銀的安全代理服務(wù)器進入到網(wǎng)銀系統(tǒng)環(huán)境來。3) 網(wǎng)上銀行系統(tǒng)在數(shù)據(jù)傳輸過程中，將使用客戶唯一的私鑰進行加密簽名。4) 全部使用端到端的加密傳輸方式：客戶數(shù)據(jù)通過f5上的ssl模塊建立ssl通道實現(xiàn)數(shù)據(jù)加密；web服務(wù)器上的apache配置服務(wù)器證書，以f5作為client，同樣通過建立f5和apache之

50、間的ssl通道實現(xiàn)數(shù)據(jù)加密；通過weblogic9.2提供的插件mod_wl_ssl.so部署到apache中，app服務(wù)器上配置服務(wù)器證書，實現(xiàn)web與app之間ssl通道加密；網(wǎng)銀應(yīng)用與nds應(yīng)用約定三重des加密算法和密鑰，在app服務(wù)器和nds應(yīng)用的數(shù)據(jù)通路中，將賬號、取款密碼、電子銀行密碼、姓名、證件類型、證件號等信息加密；通過ssh實現(xiàn)與oa lan的數(shù)據(jù)通道加密。5) 只有app服務(wù)器和數(shù)據(jù)庫服務(wù)器之間由于是在同一網(wǎng)段內(nèi)并且是trusted zone，沒有進行傳輸數(shù)據(jù)流加密。6) 系統(tǒng)對所有關(guān)鍵信息（如密碼)，都以加密成密文進行存儲，防止內(nèi)部柜員讀取關(guān)鍵信息明文。問題分析：aaa

51、的網(wǎng)銀系統(tǒng)在整個交易流程中幾乎都采取了加密的方式傳輸數(shù)據(jù)，盡量防止數(shù)據(jù)在傳輸過程中被監(jiān)聽或破譯。同時對于重要的客戶信息數(shù)據(jù)也采取了加密的方式進行保存，一定程度上降低了數(shù)據(jù)被破譯和竊取的風(fēng)險。80-大部分符合評價結(jié)果：建議措施：雖然app服務(wù)器和數(shù)據(jù)庫服務(wù)器同處于可信任的內(nèi)部網(wǎng)絡(luò)中，但仍然存在被內(nèi)部人員獲取交易數(shù)據(jù)的風(fēng)險，建議加強該傳輸部分的加密工作或者嚴(yán)格控制員工對該網(wǎng)絡(luò)的接入。 密碼支持1) 目前aaa電子銀行密碼采用的身份認(rèn)證方式主要包括：卡號賬號+密碼、別名+密碼的方式。2) 密碼強度控制：aaa網(wǎng)上銀行中密碼中不允許出現(xiàn)用戶的身份證件、電話號碼、生日等經(jīng)常使用的信息。3

52、) 密碼輸入失敗次數(shù)控制：在用戶登錄時，輸錯若干次（系統(tǒng)可定義)電子銀行密碼，用戶就會被凍結(jié)，次日系統(tǒng)自動解凍。4) 手機動態(tài)密碼驗證：，網(wǎng)上銀行平臺將產(chǎn)生隨機動態(tài)密碼，并將此動態(tài)密碼發(fā)送到用戶的簽約手機號上并用戶在相關(guān)敏感交易頁面輸入正確的手機動態(tài)密碼，交易才能完成。5) u-key證書：每次使用u-key證書進行簽名時，u-key都將提示輸入u-key密碼，從而阻止了u-key被竊導(dǎo)致證書私鑰泄露的可能。6) 網(wǎng)銀安全問題：aaa個人網(wǎng)銀通過網(wǎng)銀安全問題和安全答案，提供了除密碼之外的又一身份認(rèn)證安全手段，安全問題和答案的認(rèn)證方式更難以被破解，但是便利性也有部分程度下降。問題分析：aaa的網(wǎng)

53、銀系統(tǒng)對于用戶密碼的控制做的比較完善，除普通的密碼驗證外，還支持手機密碼、u-key、提示問題等方式，從多個角度控制登錄密碼驗證的安全性，一定程度上降低了用戶登錄信息被竊取所產(chǎn)生的安全風(fēng)險。80-大部分符合評價結(jié)果：建議措施：無。 異常處理1) 網(wǎng)銀系統(tǒng)的內(nèi)部代碼對于發(fā)生的錯誤有專門的處理模塊防止出現(xiàn)的錯誤和回顯的報錯信息。對于無法處理的錯誤也會防止回顯報錯信息。2) 轉(zhuǎn)賬時間戳：針對國內(nèi)多家網(wǎng)上銀行曾經(jīng)出現(xiàn)過的因為客戶誤操作導(dǎo)致的重復(fù)提交轉(zhuǎn)賬交易請求的問題，aaa個人網(wǎng)銀設(shè)計了轉(zhuǎn)賬時間戳這一安全手段，通過重復(fù)提交的交易，時間戳一定相同這一原理防止客戶誤操作導(dǎo)致重復(fù)提交轉(zhuǎn)賬請求

54、。3) 指定時間服務(wù)器，并且所有網(wǎng)上銀行相關(guān)服務(wù)器將以此時間服務(wù)器的時間為準(zhǔn)，各系統(tǒng)間通過約定協(xié)議獲取時間服務(wù)器時間的方式，實現(xiàn)各服務(wù)器時間統(tǒng)一。防止時間不統(tǒng)一造成的異常故障。4) 對于正常的信息流,網(wǎng)銀系統(tǒng)將正常的進行處理,并且以配置文件定義信息數(shù)據(jù)結(jié)構(gòu)的方式,把網(wǎng)銀可以接收的信息流限制在一個約定的范圍里,對于外界異常的信息流,將以拋棄處理,防止外界異常信息流對網(wǎng)銀系統(tǒng)造成的危害。問題分析：aaa的網(wǎng)銀系統(tǒng)對部分業(yè)務(wù)操作中可能產(chǎn)生的異常故障采取了一些解決手段和控制措施，但對系統(tǒng)本身的運行狀態(tài)和故障缺少有效的監(jiān)控和預(yù)防，沒有對系統(tǒng)本身故障處理的應(yīng)對方法。80-大部分符合評價結(jié)果：建議措施： 建

55、議加強現(xiàn)在對網(wǎng)銀系統(tǒng)本身運行狀態(tài)的監(jiān)控和對可能出現(xiàn)的異常故障的解決能力，如，遇到系統(tǒng)進程死掉，系統(tǒng)自動重啟或雙機切換的方式。 輸入輸出合法性1) 在aaa網(wǎng)銀系統(tǒng)總體架構(gòu)設(shè)計中明確要求對轉(zhuǎn)賬類交易的付款賬號進行交易賬戶校驗，確保用戶使用自己的賬戶進行交易、防止用戶通過偽造表單的方式提交不屬于自己的賬號、防止用戶中木馬后在不知情的情況下被修改交易賬戶。2) aaa網(wǎng)上銀行系統(tǒng)中，對相關(guān)動賬交易中涉及的賬戶都會進行賬戶權(quán)限校驗，包括校驗賬戶是否有相關(guān)交易權(quán)限，校驗用戶是否有操作賬戶的權(quán)限等。3) 通過對帳戶限額控制，控制用戶在進行各種交易時能夠使用金額的額度。問題分析：aaa網(wǎng)銀系統(tǒng)通過對各種帳號有效性的確認(rèn)，權(quán)限控制和額度控制等手段，在一定程度上滿足了控制部分輸入數(shù)據(jù)的合法性。但系統(tǒng)并未發(fā)現(xiàn)對輸出數(shù)據(jù)合法性的的控制和要求，這樣有可能會對用戶或惡意人員泄露重要的系統(tǒng)信息或客戶信息。60-基本符合評價結(jié)果：建議措施：建議在系統(tǒng)中增加對數(shù)據(jù)數(shù)據(jù)合法性的控制手段，如，系統(tǒng)報錯的回顯，用戶查詢結(jié)果的反饋等，應(yīng)當(dāng)確保不會出現(xiàn)泄漏系統(tǒng)信息或額外的數(shù)據(jù)結(jié)果的情況，降低暴露系統(tǒng)漏洞或泄漏客戶信息帶來的安全風(fēng)險