编辑:[db:作者] 时间:2024-08-25 06:12:51
1 概述
2 审计情形
2.1 物理安全
2.2 网络安全
2.3 主机安全
2.4 运用系统
2.5 数据安全
2.6 管理安全
2.7 应急管理
3 总结
1 概述
信息系统面临多种威胁,可能面临自然、环境和技能故障等非人为成分的威胁,也可能面临职员失落误和恶意攻击等人为成分的威胁,威胁可能引起不肯望的安全事宜,对信息系统的业务信息安全性或业务做事的担保性造成危害。不同的信息系统所承载的业务和处理数据主要程度不同,不同的信息系统所处在的位置和环境有所不同,对信息系统的保护哀求也会不同。企业互联网支付系统因此电子支付系统为主的准金融系统,以是在对信息系统的保护哀求上我们参照金融系统的安全保护等级进行安全评估。
安全报告紧张针对企业互联网支付系统所覆盖的范围进行安全评估,评估通过技能性评估和非技能性评估两种办法产生报告,并在一定范围内对企业现有平台系统的安全培植完善提出建议。
我们将企业互联网支付系统划分为四个实体层面进行评估,即物理层面、网络层面、系统层面、运用层面。物理安全表示为环境安全、设备安全、媒体安全。网络层面紧张包括交流机和路由器。系统层面紧张指做事器上的操作系统与数据库系统。运用层面指实现运用做事的运用软件。
2 审计情形
2.1 物理安全2.1.1 生产机房园地安全现状:生产机房支配在公司的内部,并且和办公园地独立分开;周围无电磁场滋扰,并且阔别易燃、易爆场所等危险区域;具有异地备份机房 ,园地及周围环境安全符合哀求。
改进:无。
2.1.2 物理访问掌握现状:生产机房安装门禁系统,普通员工禁止进入;生产机房职员和物品进出有申请和出入登记;机房24小时监控录像,白天和晚上专人值守。
改进:无。
2.1.3 磨难预防方法和设备现状:机房配备环境监测监控系统,对机房内温湿度、配电系统等进行实时监控,并具有自动气体消防系统,监测火情进行消防预警;机房采取具有耐火等级的建筑材料;机房大楼具有避雷装置,且设置互换电源地线;机房具有防水防潮、防静电、防尘、防鼠方法。
改进:无。
2.1.4 电力供应现状:机房配备双UPS设备供电,并安装电源稳压器,担保机房电源系统稳定运行。具有供电非常报警装置,并且配备了与UPS功率相匹配的发电机设备,设置并行的电缆线路为打算机系统供电,隔离了电源线缆和通信线缆。
改进:无。
2.1.5 温湿度掌握现状:机房配备专用柜式空调,空调系统具有不间断运行能力,机房环境检测系统能进行非常报警,温度范围为232℃,机房湿度范围为40%-55%。
改进:无。
2.1.6 设备安全和管理制度现状:设备或存储介质机房出入,应有监控和记录,公司发布了《企业机房管理规范》《企业网络及安全管理办法》《企业交易监控及管理规定变更流程》《企业机具巡检制度》《企业核心机房电源开启关闭手册》《企业机房巡视流程》《企业电子设备管理办法》
改进:须要进行定期检讨并对制度进行更新。
2.2 网络安全2.2.1 构造安全和网段划分现状:根据不同业务哀求,划分了不同的IP段,并设置了不同的Vlan域,目前前置机、数据库做事器和运维跳板机均位于不同区域。紧张网络设备的业务处理能力和网络各个部分的带宽知足业务高峰期须要;关键的网络设备和通信线路具有冗余备份。
改进:无。
2.2.2 网络访问掌握现状:在网络边界支配了防火墙、UTM等访问掌握设备,并启用访问掌握功能;公司内外网进行了物理隔离,业务办理区禁止访问Internet,外网区域员工可以自由访问Internet,但实时对访问的网站进行了记录;对进出网络的信息内容进行过滤。
改进:网络访问掌握利用白名单。
2.2.3 网络设备防护和网络安全管理现状:网络设备访问通过用户名、密码进行认证,口令知足强密码策略;同时对网络设备访问进行了策略掌握,限定了限问主机。公司发布《网络及安全管理办法》对网络安全配置、日志保存韶光、安全策略、升级与打补丁、口令更新周期等方面做出规定。
改进:对网络设备设置掌握访问的IP地址。
2.2.4 网络入侵戒备现状:公司网络边界支配了防火墙、UTM等访问掌握设备,并建立防火墙日志做事器,启用访问掌握功能;定期对公司内网进行渗透;和Internet漏洞发布平台建立沟通聚到,及时整改Internet漏洞平台白帽子创造的漏洞。
改进:部分戒备策略基于黑名单,黑名单具有漏报,须要进行改进。
2.3 主机安全2.3.1 身份鉴别现状:运用管理账号和操作系统管理账号分别进行管理,本地登录采取用户名密码的认证办法,登录操作系统和数据库系统的口令哀求长度至少6位、口令不即是用户名、口令至少包含数字,字母及分外字符、新口令同原口令至少有三个字符不同、口令的生命周期最长6个月、口令可重复利用间隔韶光至少3个月,新建的个人帐户应设置口令策略。
改进:无。
2.3.2 自主访问掌握现状:公司网络规定中哀求掌握主机的访问权限系统设置打消过期用户,会话超时5分钟自动退出,对用户分配最小权限。
改进:应从技能角度掌握对生产网中主机的访问。
2.3.3 逼迫访问掌握现状:对用户分配最小权限,禁止非root用户写系统主要文件,系统无共享目录,不许可远程上岸。操作系统和数据库系统的匿名、默认用户的访问权限已被禁用;以未授权用户身份、角色访问客体,不能进行访问。
改进:无。
2.3.4 安全审计现状:系统对每个用户的日志进行记录,日志记录的内容包括事宜的日期、韶光、发起者信息、类型、描述和结果等,审计记录设置为仅管理员读写权限,普通用户无法访问,通过人工定期进行剖析,系统日志不许可非root用户删除。
改进:无。
2.3.5 资源掌握现状:只许可管理台进行登录管理,不许可其他造孽终端访问。登录seesion超时时间为5分钟,超时退却撤退出。
改进:无。
2.3.6 入侵和恶意代码戒备现状:每3个月年对相应软件进行升级及更新,定期对系统进行渗透和审计,并对创造的问题进行跟踪整改;在终端上安装了公司的防病毒软件,防火墙对主机进行保护,并进行相应日志记录。
改进:无。
2.4 运用系统2.4.1 身份鉴别现状:登录采取用户名密码的认证办法,密码采取强密码策略,密码长度大于6位,数字与字母组合,密码有效期为3个月。
改进:无
2.4.2 自主访问掌握现状:根据不同的业务须要,不同的职员在控件和数据库具有不同的权限。
改进:无。
2.4.3 代码安全现状:经由防病毒软件检讨,并进行运用做事没有代码上的致命安全漏洞。
改进:无。
2.5 数据安全2.5.1 数据存储和备份现状:每周对业务数据进行全备份,备份数据存储于硬盘和磁带;履行异地灾备机房备份, 定期进行数据规复演习训练。
改进:无
2.5.2 数据存储介质管理现状:采取磁带和硬盘双备份,存储于机房存储设备中,位于机房环境,按照机房设备管理制度管理,存储数据过期后,对数据进行格式化,重复利用。保留介质销毁制度及销毁记录。每月月结备份数据的存储磁带退出流利,于15公里以上的异地永久保存。
改进:无。
2.5.3 数据规复现状: 发布数据规复制度,定期进行规复演习训练,制订演习训练操持,对演习训练进行记录。
改进:无。
2.6 管理安全现状:企业具有完善的安全管理体系和相应的信息安全管理制度。
公司信息安全组织:
图1:公司信息安全组织构造
公司信息技能应急指挥小组:公司信息安全管理事情第一任务人,由公司卖力人担当,主管信息安全业务的体系领导担当第二任务人。指挥小组卖力决策、管理评审、资源供应等。
各体系信息安全管理小组:由部门管理干部指派一名骨干员工担当信息安全接口人,卖力在本部门落实信息安全策略及干系哀求、以及提升本部门信息安全水平,风控部派驻信息安全经理监督、辅导、及帮忙推进体系信息安全事情。管理小组卖力实行公司信息安全管理委员会的决策、实行落实公司信息安全策略及干系哀求、体系管理评审、资源供应等。
公司信息安全文件管理体系:
2.7 应急管理
企业具有《企业技能系统事件戒备及应急处理办法》和《企业网络与信息安全事宜应急预案》,并组织技能职员定期进行演习训练。
2.7.1 应急相应机制在网络与信息安全事宜发生后,信息技能卖力人应立即根据本预案中规定的通报哀求,在规定的韶光内上报事宜情形,首先通过电话报告事宜情形(受话人要做好电话记录),随即填写《网络与信息安全事宜情形报告书》并传真上报。
(1)公司支付系统发生软硬件故障,可能导致或已经造成公司业务中断的事宜发生后:
向公司指挥小组报告:应急值班员必须立即关照公司信息技能卖力人启动应急预案进行应急处理,同时立即报告公司指挥小组应急值班员。
向监管机构报告:指挥小组组长立即安排应急报告人上报辖区干系单位,并每隔30分钟至少上报一次,直至系统规复正常运行;如有主要情形应立即报告。
向外部单位通报:指挥小组值班员应立即关照干系通信运营商、电力运营商、运行环境掩护商、公安机关等外部单位启动应急预案进行应急处理。
(2)公司支付系统发生网络与信息安全事宜后:
向公司指挥小组报告:应急值班员必须立即关照公司信息技能卖力人启动应急预案进行应急处理,同时立即报告公司指挥小组应急值班员。
向监管机构、公安机关报告:指挥小组组长立即安排应急报告人上报辖区干系单位,并每隔30分钟至少上报一次,直至系统规复正常运行。涉及到网络犯罪的事宜,指挥小组组长应安排应急报告人报送当地公安网监部门,同时担保后续信息的持续报告,如有主要情形应立即报告。
向外部单位通报:指挥小组值班员应立即关照干系通信运营商、电力运营商、运行环境掩护商、公安机关等外部单位启动应急预案进行应急处理。
(3)持续报告:持续报告时应填写《网络与信息安全事宜情形报告书》,内容包括事宜发生韶光、地点、简要经由、影响范围初步评估、影响程度初步评估、影响人数初步评估、经济丢失初步评估、后果初步判断、缘故原由初步判断、事宜性子初步判断、已采纳的方法及效果、须要有关部门和单位帮忙处置的有关事宜、报告单位、签发人和报告韶光、联系人与联系办法、其它与本事件有关的内容。
(4)事宜初步定级:合营辖区干系单位和公司指挥小组进行持续评估,按干系规定对事宜进行初步定级。
(5)事宜处置进展报告:在网络与信息安全事宜初步定级为特殊重大或重大事宜时,公司须在事宜发生后1小时内,将事宜处置进展报告书面上报公司指挥小组应急值班员,在事宜发生后2小时内报辖区干系单位。事宜处置进展报告应至少包括持续报告填报的内容。应担保报告要素完备、及时、准确,不得瞒报、缓报、谎报网络与信息安全事宜的情形。
2.7.2 应急处置流程(1)事件发生后,事件现场处理职员须尽可能查明缘故原由,及时办理问题。对付不能办理的问题,要及时与信息技能部值班人协商办理,安排干系职员帮忙事件处理。
(2)对付较重事件或严重事件,应及时向信息技能部和干系的业务部门卖力人报告,以便统一采纳相应的事件处理方法。针对较重事件或严重事件启动应急预案,必须由信息技能部卖力人批准。
(3)严重事件必须及时上报公司领导。
2.7.3 后期处置网络与信息安全事宜应急处置结束、系统规复正常运行后,各部门应尽快肃清事宜造成的影响,规复正常事情,各部门应做好网络与信息安全事宜的剖析与总结事情。信息技能卖力人在事宜应急处置结束、系统规复正常运行后12小时内,将事宜剖析总结上报公司指挥小组应急值班员。事宜总结报告内容应包括但不限于:
事宜概况,包括事宜发生韶光、地点、事宜经由、事宜影响范围、影响程度、影响人数、经济丢失和导致的后果等。
应急处置过程,包括事宜上报过程、采纳的方法及效果。
事宜发生的紧张缘故原由剖析、事宜性子、结论。暂时无法确定事宜缘故原由的,应给失事宜的初步缘故原由,并组织力量尽快查找缘故原由,在找到事宜缘故原由后再提交事宜总结补充报告。
改进:无。
3 总结
经由对企业互联网支付系统的内部安全审计,审计小组同等结论为:企业互联网支付系统整体上达到准金融企业的干系安全哀求标准。
本站所发布的文字与图片素材为非商业目的改编或整理,版权归原作者所有,如侵权或涉及违法,请联系我们删除,如需转载请保留原文地址:http://www.baanla.com/bx/151781.html
下一篇:返回列表
Copyright 2005-20203 www.baidu.com 版权所有 | 琼ICP备2023011765号-4 | 统计代码
声明:本站所有内容均只可用于学习参考,信息与图片素材来源于互联网,如内容侵权与违规,请与本站联系,将在三个工作日内处理,联系邮箱:123456789@qq.com