XXXX银行无线网络风险评估报告(2018.8.21)

XXXX银行

无线网络风险评估报告

X X X X银行

2018年08月21日

一、风险评估项目概述

（一）、项目概述

无线网络作为XXXXXXXX银行股份有限公司（以下简称XXXX银行）重要的信息系统之一，保证无线网络的安全、稳健运行，为客户提供安全、便捷的服务，是XXXX银行无线网络建设的根本目标。为了客观全面了解全行无线网络的信息安全效能，XXXX银行科技信息部按照相关评估程序和执行标准开展了针对无线网络的风险评估工作，为该系统日后的良好安全运行，打下坚实的基础。

本次对无线网络风险评估的目的是评估其风险状况，提出风险控制建议，同时为下一步的安全建设和风险管理提供依据和建议。

（二）、风险评估工作组织

为了确保本次风险评估工作的顺利开展，受XXXX银行党委委托，由科技信息部负责组织开展此次评估，并成立无线网络风险评估工作小组，具体如下：项目组长：XX

安全技术评估人员：XX

文档支持人员：XX

项目组长：是风险评估项目中实施方的管理者、责任人，具体工作职责包括：（1）根据项目情况组建评估项目实施团队。

（2）根据项目情况与被评估方一起确定评估目标和评估范围，并组织项目组成员。

（3）根据评估目标、评估范围及系统调研的情况确定评估依据。

（4）组织项目组成员开展风险评估各阶段的工作，并对实施过程进行监督、协调和控制，确保各阶段工作的有效实施。

（5）与被评估组织进行及时有效的沟通，及时商讨项目进展状况及可能发生问题的预测等。

（6）组织项目组成员将风险评估各阶段的工作成果进行汇总，编写《风险评估报告》等项目成果物。

（7）负责将项目成果物移交给被评估组织，向被评估组织汇报项目成果，并提请项目验收。

安全技术评估人员：负责项目中技术方面评估工作的实施人员，具体工作职责包括：

（1）根据评估目标与评估范围的确定参与系统调研。

（2）实施各阶段具体的技术性评估工作。

（3）对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资源。

（4）将各阶段的技术性评估工作成果进行汇总，参与编写《风险评估报告》等项目成果物。

（5）负责向被评估方解答项目成果物中有关技术性细节问题。

文档支撑人员：负责支撑测评人员出具的测评过程文档校对工作。具体工作职责包括：

根据项目中要求出具的文档进行校对，包括文档格式是否正确、文档内容是

否符合当前实际情况、是否需要新加其它文档。提出文档整改建议并且参与《风险评估报告》的编写。

二、风险评估范围

（一）风险评估目标

在信息安全风险评估前首先明确目标，为整个信息安全风险评估的过程提供正确的导向，也为下一步的安全建设和风险管理提供第一手资料。

风险评估应全面、准确的了解被评估信息系统的安全现状、发现系统可能会出现的安全问题，保证系统处于一个高度可信任的状态。

（二）风险评估范围

在确定风险评估的目标后，应进一步明确风险评估的评估范围，在确定评估范围时，应结合已确定的评估目标和组织的实际信息系统建设，合理定义被评估对象和评估范围边界。

XXXX银行无线网络包括以下几项：

1、无线POS机具，由电子银行部负责管理；

2、无线报警设备，由安全保卫部负责管理；

3、营业网点互联网WLAN，由科技信息部负责管理；

4、总行机关互联网WLAN，由科技信息部负责管理。

（三）调查方式

采用人员访谈调查方式和现场勘查相结合的方式进行。

（四）调查内容

调查内容覆盖XXXX银行无线网络的基础服务环境和系统的管理制度，具体内容如下：

1、安全管理制度和日常管理；

2、无线网络设备的摆放位置及其基线的安全性；

3、系统功能调查及现有安全技术措施调查；

4、外包及渗透测试调查；

5、应急管理调查；

6、合规审计调查。

三、资产识别

经调查，XXXX银行共有互联网WLANXX个，其中基层网点XX个，机关各部（室）、中心XX个；共有3G/4G移动通讯专网XXXX个，其中营业厅110报警系统使用XX个，自助区110报警系统使用XX个，金服驿站110报警系统使用XX 个，商户POS机使用XXXX个。

经调查，XXXX银行无内网WLAN。

后附《XXXX银行无线网络使用情况统计表》

四、风险评估和威胁识别

（一）、安全管理制度和日常管理

XXXX银行秉持“谁主管谁负责，谁运营谁负责”的原则进行无线网络管理工作。科技信息部制定了《XXXX银行无线网络使用管理办法》和《XXXX银行互联网安全管理办法》对互联网WLAN设备进行管理；电子银行部制定《银行卡收单业务管理办法》对POS机具进行管理；安全保卫部制定了《安全保卫设施标准化建设指引》对110报警系统进行管理。

XXXX银行科技信息部、电子银行部和安全保卫部均采用每季度全辖全覆盖检查的方式，对所有设备进行全面的安全检查，确保设备的安全、可靠。（二）无线网络设备的摆放位置及其基线的安全性

1、110报警设备

XXXX银行的110报警设备均安装在安全分区内（联动门内），3G卡安装在设备内，设备上锁由网点安全员保管，保证了设备的物理安全。

2、无线POS设备

XXXX银行无线POS设备均安装在商户，并与商户签订《特约商户受理银联卡协议书》，保证商户按照相关制度规定及协议约定使用POS设备，杜绝发生窃取、泄露客户身份信息等违规行为。同时，XXXX银行特约商户管理员均严格按照《XXXX银行银行卡收单业务管理办法》的相关规定，按月对商户进行回访，对POS设备进行巡检，确保能够及时发现存在的问题，随时进行纠正处理，将各类违规问题消灭在萌芽状态。

3、营业网点无线设备

XXXX银行互联网WLAN为总行统一规划、建设，采用AC+AP建设方案，AC为TP-LINK企业VPN路由器TL-XXXX-AC，AP为TP-LINK品牌下的TL-XXXX-POE。互联网WLAN设备均安装在营业室内或网络机柜内，有良好的安全保障。所有网点采用统一的SSID（XXXXXX），在营业厅显著位置发布无线网络的使用提示，以防止用户接入假冒无线网络。管理人员每日上午、下午均会对设备进行巡查，发现可疑情况及时处理并向科技信息部汇报。科技信息部建立了无线设备管理台账，详细登记了所有设备的MAC地址、品牌和型号等信息，防止设备的私自更换等问题。

4、总行机关无线设备

XXXX银行机关互联网WLAN均由科技信息部搭建并配置，在互联网入口处配置有华为企业级防火墙Secoway XXXXXX，能够有效防范外部入侵，并初步管理用户的上网行为等，起到一定的安全防范作用。机关无线设备功率较小，覆盖范围不大，仅能保证机关内部人员的使用。科技信息部建立了无线设备管理台账，详细登记了所有设备的MAC地址、品牌和型号等信息，防止设备的私自更换等问题。

威胁识别：经调查，XXXX银行互联网入口处只有防火墙，而未配备入侵监测和防毒墙设备，存在一定的风险隐患。

5、内网WLAN

经调查，XXXX银行无内网WLAN。

(三) 系统功能调查及现有安全技术措施调查