AAA网上银行安评估报告_系统平台安全评估结果.docVIP

系统平台安全评估结果 系统平台安全评估结果汇总与分析 首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估，然后综合各部分评估结果形成网上银行系统平台安全评估结果，具体评估结果见下表： 评价内容 评价结果 权重 加权值 结果值 结果描述 物理环境安全 物理环境 80 大部分符合 20% 16 设备安全 80 大部分符合 40% 32 介质安全 80 大部分符合 40% 32 物理环境安全权重及综合评价 10% 80 网络平台安全 网络及边界安全 80 大部分符合 30% 24 网络系统安全设计 80 大部分符合 10% 8 网络访问控制 80 大部分符合 10% 8 网络安全检测分析 80 大部分符合 10% 8 网络连接 80 大部分符合 10% 8 网络可用性 80 大部分符合 10% 8 网络设备的安全管理与配置 80 大部分符合 20% 16 网络平台安全权重及综合评价 10% 80 操作系统/平台安全 帐号安全 100 完全符合 20% 20 文件系统安全 80 大部分符合 10% 8 网络服务安全 80 大部分符合 10% 8 系统访问控制 80 大部分符合 10% 8 日志及监控审计 60 基本符合 10% 6 拒绝服务保护 80 大部分符合 10% 8 补丁管理 80 大部分符合 10% 8 病毒及恶意代码防护 80 大部分符合 10% 8 系统备份与恢复 60 基本符合 10% 6 操作系统/平台安全权重及综合评价 20% 80 数据库系统安全 数据库帐号安全 80 大部分符合 30% 24 数据库访问控制 80 大部分符合 20% 16 存储过程安全 80 大部分符合 10% 8 补丁管理 80 大部分符合 10% 8 系统备份与恢复 60 基本符合 20% 12 日志及监控审计 80 大部分符合 10% 8 数据库系统安全权重及综合评价 20% 76 应用系统安全 身份鉴别 100 完全符合 10% 10 访问控制 80 大部分符合 10% 8 交易的安全性 80 大部分符合 10% 8 数据的安全性 80 大部分符合 10% 8 密码支持 80 大部分符合 10% 8 异常处理 80 大部分符合 10% 8 输入输出合法性 60 基本符合 10% 6 备份与故障恢复 60 基本符合 10% 6 安全审计 80 大部分符合 5% 8 资源利用 80 大部分符合 5% 8 安全管理 80 大部分符合 10% 8 应用系统安全权重及综合评价 40% 72 综合评价结果 76 通过网上银行系统平台安全评估结果，AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。 好的方面主要表现在以下几个方面： 运行维护方面： 建立了完整的日志及审计机制，日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。 在网银系统的Internet入口部署了IDS，可以及时监测流量突发事件和事件源头。 目前网络管理主要使用加密的SSH和HTTPS，加密的数据传输对嗅探攻击相对安全。 网上银行技术支持小组及时了解、分析研究各系统软件（包括 Sun Solaris, ScreenSecureNet, CheckPoint, ITA, NetProwler, Cybercop, OS/400等等）最新相关安全的Patch信息以及最新版本信息，如有必要及时安装相应的软件Patch或者进行必须的系统软件升级，确保系统无安全漏洞。 网络设备的OS与配置文件有管理员备份和保管。 网络设备安全方面： 网络设备有统一的安全配置规范。例如：IOS版本版本生机到高版本，设备口令加密存储，停止无用服务等。 网络设备的管理制度与执行符合安全性要求。 安全域划分方面： 划分了合理的安全域，Internet区、DMZ区、Trusted区、Intranet区、安全管理区。 网络安全控制方面： 网上银行在线路、服务器冗灾方面做得很好，有完善的访问控制措施和数据加密措施。 系统的设计遵循了多重保护的原则，进行了多层次网络安全保护，在链路层和网络层实施状态包检测，在表示层实施加密传送，在应用层设置专用程序代码、运行应用层审计软件，在应用层之上启动代理服务等。 网上银行网络进行分段，通过交换器连接各段，把网络分成若干IP子网，各子网通过防火墙连接并控制各子网间的访问。 安全管理方面： 机房的物理环境和管理方面为专业的机房托管服务商提供。 安全管理的策略建立方面做得比较详细，从识