金融事业部风险与安全改进建议-安全部分

金融事业部支付风险与安全改进建议2011年1月主要内容改进建议制定思路风险与安全现状分析银行支付安全模式分析安全模型设计2基于现有风险与安全管控现状，结合银行模式，提出改进建议32012/01/062011/12/30•确定整体工作思路及方法•制定整体计划•确定资源需求•完成现有系统及运营风险和安全机制分析•基于银行支付安全•分析银行采用的国际国内规范•分析银行现有系统安全措施•提出针对的建议•基于银行风险机制•分析国际国内风险规范•分析银行现有风险措施•提出针对的建议•方法•计划•资源•PCI•CUPSecure•网银•EMV？•电子商务•BASEL•AML•银行应用•系统现状分析•运营现状分析•确定综合考核体系•确定风险安全对象•确定对象的风险安全属性•制定维护策略•风险安全IT系统改进建议•风险安全内部管控改进建议•IT系统改进建议1准备2现状分析4风险最佳实践分析3安全模式对比5安全模型设计6风险改进建议•现有系统风险和安全机制分析•现有运营风险和安全机制分析2012/01/132012/01/20•策略•目标•综合•对象•属性•维护•IT系统改进•内部管控改进•优先级主要内容改进建议制定思路风险与安全现状分析银行支付安全模式分析安全模型设计4金融支付相关的安全及风险现状已初成体系5领域现状描述风险管理•目前风险管理整体建设尚未开始，部分风险管理功能已经进行开展；•尚未建立统一的风险管理部门或类似职能组织，部分风险管理的职能分散在各业务部门之中，目前在筹建风险管理团队；•没有或较少设置专门进行风险管理的岗位，没有或较少专门从事风险管理的人员；•没有或较少制定风险管理相关的制度和管理办法；•没有或较少制定风险管理相关的管理流程，部分流程通过系统实施中进行了梳理和制定并部署于系统之中；•在管理系统中开始实施风险管理模块，实现了少部分风险管理的功能，如实名验证、危险人物名单等，有些业务需求因条件限制尚未得到实现，如交易规则的监控等；•整体上缺少风险管理相关的文档；•尚未建设风险数据集市，目前所需数据直接从生产获取，数据源比较分散；•尚未建立风险监控报表，已在规划当中；安全管理•安全管理已开展，支持目前支付业务的运行；•安全管理很多功能均已系统化，在系统中实现了相关安全管理的流程，但缺乏安全管理的相关制度及相关文档；•在主机的安全管理上，按照Web、应用和DB三类服务器制定了相应权限的管理机制；•根据需求建立了银行接入模块，定义了银行接口规范，一般采用证书加签名方式保证支付请求的安全；金融支付相关的安全及风险现状已初成体系6领域现状描述安全管理•在客户系统的建立了客户门户模块支持外部客户的访问，其安全机制由网站提供证书、对用户权限进行控制和部分需用户属性（如手机激活等）进行控制；•在客户系统的建立了管理门户模块支持内部用户的访问，其安全机制由用户权限进行控制；•在客户系统的建立了开放平台模块支持其他系统的访问，其安全机制签名验证和密钥进行控制；•网络、主机和数据的管理及其安全工作由数据中心负责；•互联网支付安全管理上，使用支付密码，在交易时进行短信提醒，手机校验码网上支付，正在进行安全控件招标工作，手机支付模式和互联网支付类似；•在雨花机房进行了数据同城灾难备份，但未做应用备份，雨花机房主机通过服务器集群实现非单点高可用；•办公网络和生产网络尚未进行隔离，容易通过办公网络访问生产产生安全问题，如网上打款等；•尚未实现应用级的灾难备份；主要内容改进建议制定思路风险与安全现状分析银行支付安全模式分析安全模型设计7银行的支付安全模式是基于国际国内规范的体系化成熟模型8PCIDSS支付安全规范研究安全措施改进建议可能建议网络设置系统管理帐户管理网上支付密钥管理安全措施对比基于银行支付安全框架分析，找到可能借鉴的措施，为最终的风险安全模型及改进建议打基础。网银安全规范研究电子商务安全措施研究EMV安全规范研究CUPSecure安全规范研究银行密钥体系研究主要内容改进建议制定思路风险与安全现状分析银行支付安全模式分析–PCIDSS支付安全规范研究–CUPSecure安全规范研究–网银安全规范研究–银行密钥体系研究–电子商务安全措施研究–EMV安全规范研究安全模型设计9其中PCIDSS是国际公认的卡支付安全规范，被银行业广泛应用10PCIDSS（PaymentCardIndustryDataSecurityStandard）是PCISSC（PaymentCardIndustrySecurityStandardsCouncil）所制定的卡支付行业数据安全标准。由VISA、JCB、MASTERCARD、AMERICANEXPRESS、DISCOVERFINANCIALSERVICE2006年设立的统一的支付卡行业信息安全标准委员会VISA的AIS（AccountInformationSecurity）PROGRAM发展而来VISA的支付卡数据保护最佳实践：例如VISA的PABP(PaymentApplicationBestPractices)，2008年被采纳作为PA-DSS（PaymentApplicationDataSECURITYSTANDARD），PA-DSS已经代替PABP用于VISA的合规项目PCISSC有相关工作组负责各自领域的标准开发和体系维护技术工作：DSS组、PED工作组、QSA（QualifiedSecurityAssessors—合格的安全性评估机构）体系管理、ASV（ApprovedScanningVendors—授权扫描厂商）体系管理、PA（PaymentApplication)体系管理PCIDSS中规定了12项安全要求11高阶概述对比初步建议构建并维护安全网络要求1.－安装防火墙配置并予以维护，以保护持卡人数据好加强正规流程，加强文档工作要求2.－系统密码和其它安全参数不要使用供应商提供的默认设置很好保护持卡人数据要求3－保护存储的持卡人数据好在未来的设计中加强考虑，并建立机制要求4－在开放型的公共网络中对持卡人数据进行加密传输很好维护漏洞管理程序要求5－使用杀毒软件并定期更新很好要求6－开发、维护安全系统和应用程序很好执行严格的访问控制措施要求7－只有具备业务需求的人才能访问持卡人数据好需要健全制度要求8－为每位拥有计算机访问权限的人分配唯一的ID好需要推广单点登录，建立机制要求9—限制对持卡人数据的物理访问好加强对媒介的管理与保护定期监控和测试网络要求10—跟踪和监控访问网络资源和持卡人数据的所有操作差需要建立严格的机制要求11—定期测试安全系统和流程差需要建立正式的流程维护信息安全政策要求12—维护针对信息安全的政策很差需要建立并逐步完善政策、机制要求1：安装并维护防火墙配置，以保护持卡人数据的详细规定及分析12高阶概述对比1.1建立包含以下各项的防火墙和路由器配置标准：1.1.1为批准和测试所有网络连接以及更改防火墙和路由器配置制定正式流程没有正式的流程，建议未来纳入安全体系1.1.2提供当前网络架构图，必须包含所有与持卡人数据的连接，包括所有无线网络符合要求1.1.3明确每个Internet连接处以及非军事化区(DMZ)与内部网络区域之间的防火墙要求正在进行相关工作1.1.4说明网络组件逻辑管理组、角色及其责任符合要求1.1.5书面说明允许的所有服务、协议和端口和业务原因，包括为那些认为不安全的协议实施的安全功能的文档缺乏书面文档，建议未来补充1.1.6设置规则要求至少每6个月检查一次防火墙和路由器目前3个月检查一次，会清理冗余1.2设置防火墙规则，拒绝任何没有受信的网络或主机接触持卡人数据和任何系统组件，只允许授权的协议通过1.2.1根据IP地址限制网络必需的进出信息符合要求1.2.2保护并同步路由器配置文件符合要求1.2.3在任何无线网络和持卡人数据环境之间安装外围防火墙，并且将这些防火墙配置为禁止或控制（如果业务目的需要这样的流量）从无线环境流入持卡人数据环境的信息符合要求要求1：安装并维护防火墙配置，以保护持卡人数据的详细规定及分析（2）13高阶概述对比1.3禁止通过Internet直接访问系统组件和持卡人数据环境1.3.1实施DMZ以限制只允许持卡人数据环境需要的协议的进出信息正在实施1.3.2限制进入DMZ内部IP地址的Internet信息正在实施1.3.3不允许Internet和持卡人数据环境之间进出信息的任何直接路由符合要求1.3.4不允许内部地址从Internet至DMZ通过正在实施1.3.5限制从持卡人数据环境至Internet的传出信息只能访问DMZ内部的IP地址正在实施1.3.6实施状态检测，也即动态包过滤（也就是只有通过“建立”的连接才允许信息传输）符合要求1.3.7在内部网络区域（从DMZ隔离开来的）中使用数据库正在实施1.3.8实施IP伪装以防止内部地址被转译和发布到Internet上，使用RFC1918地址空间或者网络地址转译(NAT)技术，例如端口地址转译(PAT)。符合要求1.4通过至Internet的直接连接在任何移动和/或员工自有计算机上（例如员工使用的笔记本电脑）安装个人防火墙软件，然后才能用于访问机构网络。符合要求要求2：系统密码和其他安全参数不使用供应商提供的默认设置的详细规定及分析14高阶概述对比2.1在网络上安装系统以前，务必更改供应商提供的默认项，包括密码、简单网络管理协议(SNMP)机构字串，并删除不必要的账户。2.1.1对于连接到持卡人数据环境或传输持卡人数据的无线环境，更改无线供应商默认项，包括但不局限于默认无线加密密钥、密码和SNMP机构字串。确保无线设备安全设置已启用，采用了严格的加密技术进行认证和传输基本作到，需要仔细检查现状，未来需要纳入体系要求2.2制定所有系统组件的配置标准，符合行业接受的系统安全标准，并且确保安装所有已知的安全漏洞补丁包2.2.1每台服务器只执行一项主要功能（WebServer，APPServer，DNS，DBServer）符合要求2.2.2禁用所有不必要和不安全的服务和协议（来执行设备特定功能的不必要的服务和协议）符合要求2.2.3配置系统安全参数以防止滥用符合要求2.2.4删除所有不必要的功能，例如脚本、驱动程序、属性、子系统、文件系统和不必要的Web服务器符合要求2.3对所有非控制台管理访问进行加密。对于基于Web的管理和其他非控制台管理访问使用诸如SSH、VPN或SSL/TLS等技术符合要求2.4共享托管提供商必须保护每个机构托管环境和持卡人数据。这些供应商必须满足：针对共享托管提供商的额外PCIDSS要求中详细规定的具体要求N/A要求3：保护存储持卡人的数据的详细规定及分析15高阶概述对比3.1使持卡人数据存储最小化。制定数据保留和处理政策。根据业务、法律和/或法规要求限制存储的大小和保留时间，在数据保留政策中进行记录。在未来的设计中需要采纳3.2不在授权后存储敏感的验证数据（即使已经加密）。敏感验证数据包括下文要求3.2.1至3.2.3中列举的数据：3.2.1不要存储磁条任意磁道上的完整内容（位于卡的背面、芯片上或其他位置）。该数据也可称为全磁道、磁道1、磁道2和磁条数据注：在正常的业务过程中，以下磁条数据元素可能需要保留：􀂃持卡人姓名，􀂃主账户(PAN)，􀂃失效期，以及􀂃服务码为将风险降至最低，只存储业务所需的数据元素。需要考虑此安全思想，但要结合业务实际设计方案3.2.2不要存储用于验证离线交易的卡验证代码或值（印在支付卡正面或背面的三或四位数字）符合要求3.2.3不要存储个人识别码(PIN)或经加密的PIN数据块。符合要求3.3显示PAN时对其进行掩盖（最多可显示的数位包括前六位与后四位）。注：此要求不适用于那些因合法业务需要查看完整的PAN的员工和其他方。此要求不取代显示持卡人数据采用的更严格的要求，例如POS收据。符合要求要求3：保护存储持卡人的数据的详细规定及分析（2）16高阶概述对比3.4通过以下方法尽量使PAN在存储的