收藏
下载资源

账户远程核准影像管理系统风险评估报告

上传人:壹****1 文档编号:544244752 上传时间:2022-11-12 格式:DOC 页数:24 大小:309KB
返回 下载 相关 举报
账户远程核准影像管理系统风险评估报告_第1页
第1页 / 共24页
账户远程核准影像管理系统风险评估报告_第2页
第2页 / 共24页
账户远程核准影像管理系统风险评估报告_第3页
第3页 / 共24页
账户远程核准影像管理系统风险评估报告_第4页
第4页 / 共24页
账户远程核准影像管理系统风险评估报告_第5页
第5页 / 共24页
点击查看更多>>
资源描述

《账户远程核准影像管理系统风险评估报告》由会员分享,可在线阅读,更多相关《账户远程核准影像管理系统风险评估报告(24页珍藏版)》请在金锄头文库上搜索。

1、人民币银行结算账户核准影像管理系统风险评估报告项 目 名 称:人民币银行结算账户核准影像管理系统风险评估单位: 2008年8 月28日目 录1、风险评估项目概述11.1 工程项目概况11.1.1 建设项目基本信息11.1.2 建设单位基本信息11.1.3承建单位基本信息21.2 风险评估实施单位基本情况22、风险评估活动概述42.1 风险评估工作组织管理42.2 风险评估工作过程52.3 依据的技术标准及相关法规文件62.4 保障与限制条件73、评估对象83.1 评估对象构成与定级83.1.1 网络结构83.1.2 业务应用93.2 评估对象等级保护措施104、资产识别与分析124.1 资产类

2、型与赋值124.2 关键资产说明125、威胁识别与分析136、脆弱性识别与分析167、风险分析167.1 关键资产的风险计算结果167.2 关键资产的风险等级167.2.1 风险等级列表167.2.2 风险等级统计177.2.3 基于脆弱性的风险排名177.2.4 风险结果分析188、综合分析与评价189、整改意见20附件1:管理措施表21附件2:技术措施表23附件3:资产类型与赋值表25附件4:脆弱性赋值表27 / 文档可自由编辑打印1、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息工程项目名称人民币银行结算账户远程核准影像管理系统工程项目批复的建设内容非涉密信息系统部分的

3、建设内容在不改变现有账户管理系统操作流程的前提下,通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理,实现远程核准银行结算账户和账户资料档案影像化管理。相应的信息安全保护系统建设内容以WIN2003 Server做为服务器平台;数据库使用MYSQL网络数据库;以人行省会中支网间互联平台为基础;与人民币银行结算账户管理系统共享客户端硬件资源。项目完成时间2011年8月3日项目试运行时间2011年8月8日1.1.2 建设单位基本信息工程建设牵头部门部门名称中国人民银行工程责任人通信地址联系电话电子邮件工程建设参与部门部门名称工程责任人通信地址联系电话电子邮件工程建设参与部门部门名称工程

4、责任人通信地址联系电话电子邮件1.1.3承建单位基本信息单位名称单位性质法人代表通信地址联系电话电子邮件1.2 风险评估实施单位基本情况评估单位名称法人代表通信地址联系电话电子邮件二、风险评估活动概述2.1 风险评估工作组织管理1建立评估领导小组领导小组的工作职责是:在中支计算机信息安全工作领导小组的领导下,确定评估的范围和目的、组织结构和任务分工,并对最终评估结果进行评审。信息安全评估领导小组人员组成及分工如下:办公室的主要职责是:编写评估方案,组织宣传培训,围绕关键业务威胁、风险的技术分析,评估各阶段的具体实施工作,及时向领导小组反馈问题,提交最终评估报告。2、原则 (1)保密原则 在风险

5、评估过程中,将严格遵循保密原则,对评估过程中涉及到的任何信息未允许不向其他任何第三方泄露。 (2)互动原则 在整个风险评估过程中,将强调员工的互动参与,进而更好地进行风险评估工作。 (3)最小影响原则 风险评估工作应尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响,如无法避免,则应做出说明。 (4)规范性原则 信息安全风险评估的实施必须依照规范的操作流程进行,对操作过程和结果要有相应的记录。 (5)质量保障原则 在整个风险评估过程中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由评估领导小组从中监督,控制项目的进度和质量。2.2 风险评估工作过程

6、本次评估的重点范围是:制度建设和管理情况、设备和人员的单点运行风险、冗余备份设备与数据的可用性、设备运行的可靠性、运行监控和安全审计系统的有效性、安全防护设施的有效性、系统配置的合理性与安全性。检查评估的具体内容:1、管理脆弱性。检查制度、操作规程、岗位设置与职责分工、执行监督等。2、技术脆弱性。检查通信网络的线路、设备备份有效性,网络设备配置参数、子网划分以及子网间访问控制措施的合理性与安全性;检查机房基础设施的安全性,有效性;检查生产系统资源冗余度,进行业务系统压力测试;对服务器进行健康检查(包括补丁更新情况);检查运行维护监控系统的有效性;检查安全防护设施的有效性;检查不必要端口的关闭情

7、况。本次信息安全评估以自评估的方式进行,按照风险评估的组织方式、内容和流程,评估管理脆弱性与技术脆弱性。1、管理脆弱性评估:以现场调查为主,综合评估检查组织体系、制度体系和管理体系方面存在的问题。2、技术脆弱性评估:以查看设备配置、验证性测试和检测为主,把局部风险与系统性风险评估检查相结合,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性。2.3 依据的技术标准及相关法规文件风险评估参照了以下办法和标准实施:中国人民银行突发事件应急预案管理办法(银发2005 196号)中国人民银行IT系统应急预案指引(银办发2006154号)中国人民银行信息安全管理规定(银办发2005211号)中国人民银

8、行计算机机房规范化工作指引(银办发2006154号)计算机信息系统安全保护等级划分准则GB 178591999信息安全风险评估规范(GB/T20984-2007)2.4 保障与限制条件1、现场查看了以下文档:系统的用户手册、管理员手册、操作维护手册。操作系统的用户手册、管理员手册。所用的网络设备如路由器、交换机等管理员手册。所用的安全设备、系统、软件的管理员手册。系统的安全日志、试运行维护日志等各种日志记录。2、人员准备确定了配合现场评估工作的技术人员:系统的运行维护人员、网络管理员;安全员;应用系统的操作人员,这些人员都能操作每个关键测试点的系统或配置界面。3、评估对象3.1 评估对象构成与

9、定级本次评估范围为人民币银行结算账户远程核准影像管理系统。该系统是一个基于 B/S 架构的办公自动化系统,主要对象是网络结构、业务应用和系统等级保护措施。3.1.1 网络结构为保证安全,服务器放置在人民银行省级数据中心业务网防火墙的DMZ区,人民银行用户通过系统对内映射IP(11.84.17.2)访问系统,商业银行用户通过系统对外映射IP(9.168.45.17)访问系统,同时,通过配置相应的访问规则及限定访问端口以进一步保障系统的访问及使用安全。网络连接拓扑图如下所示:3.1.2 业务应用该系统在不改变现有账户管理系统操作流程的前提下,通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅

10、和管理,实现远程核准银行结算账户和账户资料档案影像化管理,极大方便了农村地区和牧区银行机构和存款人开立、注销和变更银行结算账户等业务,同时也解决了纸质账户资料保管、查询和调阅困难的问题。账户影像系统的建设,构建起了快捷、高效、优质的城乡一体化的银行结算账户网上核准业务处理模式。目前主要取得五方面成效:一简化开户流程,提升金融服务水平,二是节约开户成本,提高社会经济效益,三是提高账户普及率,助推农村经济发展,四是规范账户资料,实现账户档案电子化,五是改善结算环境,提高支付结算业务量3.2系统等级保护措施本系统由于刚建成,正处于试运行阶段,所以还没有进行系统等级定级,我们参照人民银行的有关规定和做

11、法,暂时按三级保护的级别加以保护,采取的保护措施如下:1、管理措施:我们按照国家有关规定,建立、健全了计算机信息系统安全管理制度,成立有中支计算机系统信息安全领导小组,确定安全管理责任人,负责计算机信息系统的安全保护工作。按照规定定期对计算机信息系统开展安全状况、安全管理制度及措施的落实情况进行自查。制定了计算机信息系统重大安全事件报告制度,制定了系统应急预案。建立并执行中支计算机机房安全管理制度、安全责任制度、系统运行维护制度、设备、介质管理制度及数据备份制度;2、安全技术措施:我们采取了下列安全保护技术措施:(一)服务器选用惠普388G7,主频为2.13GHz的双CPU,内存为8GB,双电

12、源,采用RAID0+1磁盘阵列技术;采用总行统一下发的诺顿计算机病毒防治系统;(二)安装补丁、扫描病毒,关闭不必要的服务和端口,删除来历不明的程序。删除非法用户,检查并恢复系统正常的权限设置。修改系统配置,提高安全防御能力,系统运行和用户使用日志记录保存一年以上。(三)网络系统采用双线路、双机热备份处理、故障自动切换模式。电信2M线路与联通线路互备,Huawei Quidway2840与Huawei Quidway4640路由器互为备份, 2台Cisco Catalyst4506互为交换机备份,应用系统服务器部署在省级数据中心的DMZ区。见下图:人民币银行结算账户核准影像管理系统的等级保护管理

13、措施情况见附表一。人民币银行结算账户核准影像管理系统的等级保护技术措施情况见附表二。4、资产识别与分析4.1 资产类型与赋值 见附件3资产类型与赋值表。4.2 关键资产说明在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下:关键资产列表资产编号资产名称应用资产权重Zhhzyx_1服务器G7是本系统的载体,是运行合管理的平台4Zhhzyx_8账户影像系统1.0本系统的程序指令3Zhhzyx_9系统操作及维护手册是本系统安装、运行、维护和操作的指南2Zhhzyx_10账户影像数据是本系统运行的最终结果4Zhhzyx_12系统运行维护制度是本系统

14、安全稳定运行的保证。45、威胁识别与分析威胁来源名称影响资产影响值软硬件故障主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据4物理环境主机、网络设备、安全设备、通讯线路、保障设备4无作为或操作失误主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3管理不到位主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员4恶意代码和病毒主机、网络设备、安全设备、通讯线路、应用系统、数据3越权或滥用主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料3网络攻击主机、网络设备、安全设备、通讯线路、应用系统3物理攻击主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、3泄密主机、网络设备、应用系统、数据、文档资料3篡改数据、文档资料、应用系统3抵赖数据、文档资料、应用系统3粗心、好奇或培训不足的员工主机、网络设备、安全设备、通讯线路、保障设备、应用系统、数据、文档资料、人员3内部人员犯罪主机、网络设备、安全设备、通讯线路、保障

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > PPT模板库 > 总结/计划/报告

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号