XXXX银行无线网络风险评估报告(2018.8.21).docx

- -- 银行 无线网络风险评估报告 X X X X 银 行 2018 年 08 月 21 日 一、风险评估项目概述 （一）、项目概述 无线网络作为 XXXXXXXX 银行股份有限公司（以下简称 XXXX 银行）重要的信息系统之一，保证无线网络的安全、稳健运行，为客户提供安全、便捷的服务，是 XXXX 银行无线网络建设的根本目标。为了客观全面了解全行无线网络的信息安全效能， XXXX 银行科技信息部按照相关评估程序和执行标准开展了针对无线网络的风险评估工作， 为该系统日后的良好安全运行， 打下坚实的基础。 本次对无线网络风险评估的目的是评估其风险状况， 提出风险控制建议， 同时为下一步的安全建设和风险管理提供依据和建议。 （二）、风险评估工作组织 为了确保本次风险评估工作的顺利开展，受 XXXX 银行党委委托，由科技信息部负责组织开展此次评估，并成立无线网络风险评估工作小组，具体如下： 项目组长： XX 安全技术评估人员： XX 文档支持人员： XX 项目组长： 是风险评估项目中实施方的管理者、责任人，具体工作职责包括： （1）根据项目情况组建评估项目实施团队。 （2）根据项目情况与被评估方一起确定评估目标和评估范围，并组织项目组成员。 （3）根据评估目标、评估范围及系统调研的情况确定评估依据。 （4）组织项目组成员开展风险评估各阶段的工作， 并对实施过程进行监督、协调和控制，确保各阶段工作的有效实施。 （5）与被评估组织进行及时有效的沟通，及时商讨项目进展状况及可能发生问题的预测等。 （6）组织项目组成员将风险评估各阶段的工作成果进行汇总，编写《风险评估报告》等项目成果物。 （7）负责将项目成果物移交给被评估组织，向被评估组织汇报项目成果，并提请项目验收。 安全技术评估人员 ：负责项目中技术方面评估工作的实施人员，具体工作职责包括： （1）根据评估目标与评估范围的确定参与系统调研。 （2）实施各阶段具体的技术性评估工作。 （3）对评估工作中遇到的问题及时向项目组长汇报，并提出需要协调的资 源。 （4）将各阶段的技术性评估工作成果进行汇总， 参与编写《风险评估报告》等项目成果物。 （5）负责向被评估方解答项目成果物中有关技术性细节问题。 文档支撑人员： 负责支撑测评人员出具的测评过程文档校对工作。 具体工作职责包括： 根据项目中要求出具的文档进行校对， 包括文档格式是否正确、 文档内容是 否符合当前实际情况、 是否需要新加其它文档。 提出文档整改建议并且参与 《风险评估报告》的编写。 二、风险评估范围 （一）风险评估目标 在信息安全风险评估前首先明确目标， 为整个信息安全风险评估的过程提供正确的导向，也为下一步的安全建设和风险管理提供第一手资料。 风险评估应全面、 准确的了解被评估信息系统的安全现状、 发现系统可能会出现的安全问题，保证系统处于一个高度可信任的状态。 （二）风险评估范围 在确定风险评估的目标后， 应进一步明确风险评估的评估范围， 在确定评估范围时，应结合已确定的评估目标和组织的实际信息系统建设， 合理定义被评估对象和评估范围边界。 银行无线网络包括以下几项： 1、无线 POS机具，由电子银行部负责管理； 2、无线报警设备，由安全保卫部负责管理； 3、营业网点互联网 WLAN，由科技信息部负责管理； 4、总行机关互联网 WLAN，由科技信息部负责管理。 （三）调查方式 采用人员访谈调查方式和现场勘查相结合的方式进行。 （四）调查内容 调查内容覆盖 XXXX银行无线网络的基础服务环境和系统的管理制度，具体内容如下： 1、安全管理制度和日常管理； 2、无线网络设备的摆放位置及其基线的安全性； 3、系统功能调查及现有安全技术措施调查； 4、外包及渗透测试调查； 5、应急管理调查； 6、合规审计调查。 三、资产识别 经调查， XXXX银行共有互联网 WLANXX个，其中基层网点 XX个，机关各部（室）、中心 XX个；共有 3G/4G移动通讯专网 XXXX个，其中营业厅 110 报警系统使用 XX个，自助区 110 报警系统使用 XX个，金服驿站 110 报警系统使用 XX 个，商户 POS机使用 XXXX个。 经调查， XXXX银行无内网 WLAN。 后附《 XXXX银行无线网络使用情况统计表》 四、风险评估和威胁识别 （一）、安全管理制度和日常管理 XXXX银行秉持“谁主管谁负责，谁运营谁负责”的原则进行无线网络管理 工作。科技信息部制定了《 XXXX 银行无线网络使用管理办法》和《 XXXX 银行互联网安全管理办法》对互联网 WLAN 设备进行管理；电子银行部制定《银行卡收单业务管理办法》对 POS 机具进行管理；安全保卫部制定了《安全保卫设施标准化建设指引》对 110 报警系统进行管理。 银行科技信息部、电子银