第十一章系统平台安全评估结果11.1系统平台安全评估结果汇总与分析首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估,然后综合各部分评估结果形成网上银行系统平台安全评估结果,具体评估结果见下表:评价内容评价结果权重加权值结果值结果描述物理环境安全物理环境80大部分符合20%16设备安全80大部分符合40%32介质安全80大部分符合40%32物理环境安全权重及综合评价10%80网络平台安全网络及边界安全80大部分符合30%24网络系统安全设计80大部分符合10%8网络访问控制80大部分符合10%8网络安全检测分析80大部分符合10%8网络连接80大部分符合10%8网络可用性80大部分符合10%8网络设备的安全管理与配置80大部分符合20%16网络平台安全权重及综合评价10%80操作系统/平台安全帐号安全100完全符合20%20文件系统安全80大部分符合10%8网络服务安全80大部分符合10%8系统访问控制80大部分符合10%8日志及监控审计60基本符合10%6拒绝服务保护80大部分符合10%8补丁管理80大部分符合10%8病毒及恶意代码防护80大部分符合10%8系统备份与恢复60基本符合10%6操作系统/平台安全权重及综合评价20%80数据库系统安全数据库帐号安全80大部分符合30%24数据库访问控制80大部分符合20%16存储过程安全80大部分符合10%8补丁管理80大部分符合10%8系统备份与恢复60基本符合20%12日志及监控审计80大部分符合10%8数据库系统安全权重及综合评价20%76应用系统安全身份鉴别100完全符合10%10访问控制80大部分符合10%8交易的安全性80大部分符合10%8数据的安全性80大部分符合10%8密码支持80大部分符合10%8异常处理80大部分符合10%8输入输出合法性60基本符合10%6备份与故障恢复60基本符合10%6安全审计80大部分符合5%8资源利用80大部分符合5%8安全管理80大部分符合10%8应用系统安全权重及综合评价40%72综合评价结果76通过网上银行系统平台安全评估结果,AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。好的方面主要表现在以下几个方面:1)运行维护方面:建立了完整的日志及审计机制,日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。在网银系统的Internet入口部署了IDS,可以及时监测流量突发事件和事件源头。目前网络管理主要使用加密的SSH和HTTPS,加密的数据传输对嗅探攻击相对安全。网上银行技术支持小组及时了解、分析研究各系统软件(包括SunSolaris,ScreenSecureNet,CheckPoint,ITA,NetProwler,Cybercop,OS/400等等)最新相关安全的Patch信息以及最新版本信息,如有必要及时安装相应的软件Patch或者进行必须的系统软件升级,确保系统无安全漏洞。网络设备的OS与配置文件有管理员备份和保管。2)网络设备安全方面:网络设备有统一的安全配置规范。例如:IOS版本版本生机到高版本,设备口令加密存储,停止无用服务等。网络设备的管理制度与执行符合安全性要求。3)安全域划分方面:划分了合理的安全域,Internet区、DMZ区、Trusted区、Intranet区、安全管理区。4)网络安全控制方面:网上银行在线路、服务器冗灾方面做得很好,有完善的访问控制措施和数据加密措施。系统的设计遵循了多重保护的原则,进行了多层次网络安全保护,在链路层和网络层实施状态包检测,在表示层实施加密传送,在应用层设置专用程序代码、运行应用层审计软件,在应用层之上启动代理服务等。网上银行网络进行分段,通过交换器连接各段,把网络分成若干IP子网,各子网通过防火墙连接并控制各子网间的访问。5)安全管理方面:机房的物理环境和管理方面为专业的机房托管服务商提供。安全管理的策略建立方面做得比较详细,从识别安全风险到制定控制框架都考虑的很全面,并且针对各业务流程、操作和管理流程都制定了详细的控制方法和要求。不足之处主要表现在以下几个方面:1)机房管理区域网络接入的控制不够严格,其他无关人员可能私自接入到业务网络中。2)网上银行系统网络没有建立统一时钟服务,不能保证主机设备时钟同步,在日志分析中会有很多的困扰。3)网上银行系统设备基本为静态密码,因...
