表格模板-上海地区非银行支付机构分类评级技术评估报告表最终版 精品.xls
《表格模板-上海地区非银行支付机构分类评级技术评估报告表最终版 精品.xls》由会员分享,可在线阅读,更多相关《表格模板-上海地区非银行支付机构分类评级技术评估报告表最终版 精品.xls(57页珍藏版)》请在第一文库网上搜索。
1、上上海海地地区区非非银银行行支支付付机机构构分分类类评评级级技技术术评评估估报报告告表表非银行支付机构:_ 第三方评估机构:_自评日期:_ 第三方评估日期:_说明:1、自评和第三方评估工作均应在综合评估非银行支付机构支付业务设施整体情况的基础上开展;2、每一指标项的评估结果均应在所给选项中进行选择,并在“情况描述”栏对得出该评估结果的理由进行简明扼要地阐述,如有证明材料等工作底稿,应附后;3、此表应在首页由非银行支付机构和第三方评估机构分别盖章,并由双方对此份报告表加盖骑缝章。分分类类评评级级参参考考指指标标自自评评第第三三方方评评估估情情况况描描述述评评估估结结果果情情况况描描述述一一、采采
2、取取有有效效措措施施落落实实网网络络安安全全要要求求,应应关关注注结结构构安安全全设设计计,配配置置严严格格的的网网络络访访问问控控制制规规则则,检检查查边边界界完完整整性性,具具有有网网络络入入侵侵防防范范和和恶恶意意代代码码防防范范措措施施,配配置置网网络络设设备备防防护护1.网络结构安全设计是否合理合理接入机房的不同链路采用相同入口。双线不同入口否网络存在单链路,单点网络设备。全网使用双设备双链路备份,没有单点网络设备。没有未将办公网络、测试网络、开发网络等与生产网络进行有效隔离。办公、开发、测试网络与生产网络在不同的异地机房,完全有效隔离。完全有效隔离应提供与当前运行情况相符的网络拓扑
3、结构图和设备列表。网络拓扑、和设备列表已提供。符合应将相关设备进行分类摆放并合理标识。设备根据功能分区,放置在不同的机柜。标签纸已经标明设备名和管理IP。分类并且合理标识应保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。设备负载量低于15%,能够应对业务高峰期需要。有冗余并且满足需要第 1 页应保证关键网络设备的双机热备。网络设备都有HA热备全部设备有热备应保证网络各个部分的带宽满足业务高峰期需要。各个部分带宽都是千兆口和光纤口,Internet出口也足够应对业务高峰期。满足2.制定完善的网络访问控制策略,并且实施到位。根据每项业务端口添加控制策略访问控制策略完善且实施到位移动
4、POS通过无线路由器接入方式,无线路由器未禁用SSID,并存在弱加密情况。没有此业务开启了非必要的服务,如:ip source-route、finger、echo、daytime、chargen、discard等服务。没开启其它没必要的杂项配置。未开启SNMP协议设备的community字符串用于设备认证信息。已经修改community字符串用于设备认证信息。否未对未使用的网络设备端口进行有效控制。未使用端口已经关闭,需要时再手动启用。有完善的控制防火墙采用了默认允许策略。所有防火墙都是默认拒绝策略否未设置网络设备登录连接超时。网络设备超过10分钟无操作自动超时否应根据各部门的工作职能、重要性
5、和所涉及信息的重要程度等因素,划分不同的子网或网段按照不同的部门和功能已经划分为不同的网段区域已划分按照方便管理和控制的原则为各子网、网段分配地址段。目前根据不同数据区域(如互联网区、核心区、测试区、商户接入区、机构接入区)等进行子网划分,并为各子网分配了不同的地址段符合应在网络边界部署访问控制设备,启用访问控制功能。目前网络边界双机冗余部署了H3C防火墙进行边界防护,并启用了访问控制功能部署且启用应避免将重要网段部署在网络边界处且直接连接外部信息系统。目前在网络出口边界双机冗余部署了H3C UTM200防火墙,并且在核心区域部署了H3C F1000防火墙,未将重要网段直接部署在网络边界是重要
6、网段与其他网段之间采取可靠的技术隔离手段。目前对生产网络划分了安全域,分别为互联网接入区、系统外围应用区、核心区、远程操作监控区、机构接入区、商户接入区和系统外围测试区等,各区域通过交换机(核心交换机和接入交换机的路由及Vlan划分)和防火墙实现网络隔离隔离应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级。目前通过边界防火墙访问控制列表ACL进行边界访问控制,控制粒度达到了端口级别,仅开放了业务所需的端口有控制力度符合第 2 页应按用户和系统之间的访问控制规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户。目前通过谐润运维堡垒机划分权限,各管理用户只
7、能访问各自管理的目标设备,使用相应权限下的配置命令,控制力度达到了单个用户有控制规则粒度符合应在会话处于非活跃一定时间或会话结束后终止网络连接。目前通过谐润堡垒机进行网络及安全设备的运维管理,并且设置了会话超时断开时间为10min是应对进出网络的信息内容进行过滤,实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制。目前部署的H3C UTM200防火墙只能实现对网络端口级的访问控制,无法实现应用层协议命令级的控制有过滤但非命令级3.网络边界完整性检查,内外网非法连接阻断,准确定位非法连接位置等措施是否完善;目前采用shutdown所有网络及安全设备不用的端口的方式来阻
8、断非法内连,但无其他专门的设备或措施进行非法外联等的阻断和准确定位有措施但不完善应对非授权接入到内网、内网用户接入外网的行为进行管控。目前采用shutdown所有网络及安全设备不用的端口的方式来阻断非法内连,但无其他专门的设备或措施进行非法外联等的阻断和准确定位不管控应在网络边界处对恶意代码进行检测和清除,并维护恶意代码库的升级。目前网络边界处部署了迪普的WAF3000进行网络边界处恶意代码的检测和告警,恶意代码库通过厂商推送进行更新检测但不清除采取网络边界完整性检查措施目前通过部署安全设备如防火墙等以实现网络边界访问控制和拒绝服务攻击等,但无法实现网络边界完整性检查否在网络边界有效阻断非法连
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 表格模板-上海地区非银行支付机构分类评级技术评估报告表最终版 精品 表格 模板 上海地区 银行 支付 机构 分类 评级 技术 评估 报告 最终版