支付机构技术评估报告表

上海地区非银行支付机构分类评级技术评估报告表,,,,,

非银行支付机构：____________________________第三方评估机构：____________________________,,,,,

自评日期：____________________________第三方评估日期：____________________________,,,,,

"说明：

1、自评和第三方评估工作均应在综合评估非银行支付机构支付业务设施整体情况的基础上开展；

2、每一指标项的评估结果均应在所给选项中进行选择，并在“情况描述”栏对得出该评估结果的理由进行简明扼要地阐述，如有证明材料等工作底稿，应附后；

3、此表应在首页由非银行支付机构和第三方评估机构分别盖章，并由双方对此份报告表加盖骑缝章。",,,,,

分类评级参考指标,自评,,,第三方评估,

,情况描述,情况描述,评估结果,情况描述,评估结果

一、采取有效措施落实网络安全要求，应关注结构安全设计，配置严格的网络访问控制规则，检查边界完整性，具有网络入侵防范和恶意代码防范措施，配置网络设备防护,,,,,

1.网络结构安全设计是否合理,,,合理,,

接入机房的不同链路采用相同入口。,,双线不同入口,否,,

网络存在单链路，单点网络设备。,,全网使用双设备双链路备份，没有单点网络设备。,没有,,

未将办公网络、测试网络、开发网络等与生产网络进行有效隔离。,,办公、开发、测试网络与生产网络在不同的异地机房，完全有效隔离。,完全有效隔离,,

应提供与当前运行情况相符的网络拓扑结构图和设备列表。,,网络拓扑、和设备列表已提供。,符合,,

应将相关设备进行分类摆放并合理标识。,,设备根据功能分区，放置在不同的机柜。标签纸已经标明设备名和管理IP。,分类并且合理标识,,

应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要。,,设备负载量低于15%，能够应对业务高峰期需要。,有冗余并且满足需要,,

应保证关键网络设备的双机热备。,,网络设备都有HA热备,全部设备有热备,,

应保证网络各个部分的带宽满足业务高峰期需要。,,各个部分带宽都是千兆口和光纤口，Internet出口也足够应对业务高峰期。,满足,,

"2.制定完善的网络访问控制策略,并且实施到位。",,根据每项业务端口添加控制策略,访问控制策略完善且实施到位,,

移动POS通过无线路由器接入方式，无线路由器未禁用SSID，并存在弱加密情况。,,没有此业务,,,

开启了非必要的服务，如：ipsource-route、finger、echo、daytime、chargen、discard等服务。,,没开启其它没必要的杂项配置。,未开启,,

SNMP协议设备的community字符串用于设备认证信息。,,已经修改community字符串用于设备认证信息。,否,,

未对未使用的网络设备端口进行有效控制。,,未使用端口已经关闭，需要时再手动启用。,有完善的控制,,

防火墙采用了默认允许策略。,,所有防火墙都是默认拒绝策略,否,,

未设置网络设备登录连接超时。,,网络设备超过10分钟无操作自动超时,否,,

应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段,,按照不同的部门和功能已经划分为不同的网段区域,已划分,,

按照方便管理和控制的原则为各子网、网段分配地址段。,,目前根据不同数据区域（如互联网区、核心区、测试区、商户接入区、机构接入区）等进行子网划分，并为各子网分配了不同的地址段,符合,,

应在网络边界部署访问控制设备，启用访问控制功能。,,目前网络边界双机冗余部署了H3C防火墙进行边界防护，并启用了访问控制功能,部署且启用,,

应避免将重要网段部署在网络边界处且直接连接外部信息系统。,,目前在网络出口边界双机冗余部署了H3CUTM200防火墙，并且在核心区域部署了H3CF1000防火墙，未将重要网段直接部署在网络边界,是,,

重要网段与其他网段之间采取可靠的技术隔离手段。,,目前对生产网络划分了安全域，分别为互联网接入区、系统外围应用区、核心区、远程操作监控区、机构接入区、商户接入区和系统外围测试区等，各区域通过交换机（核心交换机和接入交换机的路由及Vlan划分）和防火墙实现网络隔离,隔离,,

应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级。,,目前通过边界防火墙访问控制列表ACL进行边界访问控制，控制粒度达到了端口级别，仅开放了业务所需的端口,有控制力度符合,,

应按用户和系统之间的访问控制规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户。,,目前通过谐润运维堡垒机划分权限，各管理用户只能访问各自管理的目标设备，使用相应权限下的配置命令，控制力度达到了单个用户,有控制规则粒度符合,,

应在会话处于非活跃一定时间或会话结束后终止网络连接。,,目前通过谐润堡垒机进行网络及安全设备的运维管理，并且设置了会话超时断开时间为10min,是,,

应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP等协议命令级的控制。,,目前部署的H3CUTM200防火墙只能实现对网络端口级的访问控制，无法实现应用层协议命令级的控制,有过滤但非命令级,,

"3.网络边界完整性检查,内外网非法连接阻断，准确定位非法连接位置等措施是否完善；",,目前采用shutdown所有网络及安全设备不用的端口的方式来阻断非法内连，但无其他专门的设备或措施进行非法外联等的阻断和准确定位,有措施但不完善,,

应对非授权接入到内网、内网用户接入外网的行为进行管控。,,目前采用shutdown所有网络及安全设备不用的端口的方式来阻断非法内连，但无其他专门的设备或措施进行非法外联等的阻断和准确定位,不管控,,

应在网络边界处对恶意代码进行检测和清除，并维护恶意代码库的升级。,,目前网络边界处部署了迪普的WAF3000进行网络边界处恶意代码的检测和告警，恶意代码库通过厂商推送进行更新,检测但不清除,,

采取网络边界完整性检查措施,,目前通过部署安全设备如防火墙等以实现网络边界访问控制和拒绝服务攻击等，但无法实现网络边界完整性检查,否,,

在网络边界有效阻断非法连接,,目前通过部署的防火墙实现网络边界的访问控制功能，能够阻断网络边界的非法连接,是,,

能准确定位非法连接位置,,目前采用shutdown所有网络及安全设备不用的端口的方式来阻断非法内连，但无其他专门的设备或措施进行非法外联等的阻断和准确定位,否,,

4.有效的网络入侵防范措施和入侵防范机制,,目前网络边界处部署有迪普IDS/IPS设备进行网络入侵防范，并且边界H3CUMT200防火墙启用了防DDOS模块,有完善的措施,,

攻击方快速连续地发送连接请求，导致服务器可用的TCP连接队列很快被阻塞，系统可用资源急剧减少，网络可用带宽迅速缩小。,无法防范端口扫描、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击、网络ARP欺骗攻击等行为,目前网络边界处部署了H3CUTM200防火墙，且启用了防DDOS模块，能够有效应对网络边界处的DOS/DDOS攻击,有完善的防范措施,,

"通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,ARP攻击主要是存在于局域网网络中。",未记录入侵行为日志、未能自动报警、未自动更新入侵防范规则库等,现已经绑定静态ARP，并启用防ARP攻击功能。,有完善的防范措施,,

应能够有效防范网络ARP欺骗攻击。,,现已经绑定静态ARP，并启用防ARP攻击功能。,有完善的防范措施,,

应采用防范信息窃取的措施。,,敏感数据加密传输，并用加密机进行加密，通道都是VPN和专线进行对接,有完善的防范措施,,

应具有防DoS/DDoS攻击设备或技术手段。,,防火墙已启用防DDOS模块,有完善的防范措施,,

应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络ARP欺骗攻击和网络蠕虫攻击等。,,防火墙监控,能监控部分攻击行为,,

应建立完善的入侵防范机制，记录入侵行为日志、自动报警、自动更新入侵防范规则库等。,,"迪普IPS,IDS",有部分入侵防范机制,,

5.采取有效的网络恶意代码防范措施，定期更新恶意代码库。,,迪普WAF设备进行防护,有完善的防范措施,,

"6.制定合理的网络设备防护安全配置策略,并实施到位。",,防火墙配置,设备防护策略完善且实施到位,,

目前SSL版本控制,,目前通过SSLVPN进行网络设备的远程维护时采用SSL3.0版本,3.0及以上,,

采用弱加密方式,,全部使用复杂型密码,否,,

SNMP协议的V1和V2版本没有使用加密措施，监控网络流量的攻击者可以侦听到设备的配置信息，包括认证的细节信息等。,,目前未对采用的SNMP协议版本做要求，但通过修改默认community字符串做了认证,是V1、V2版本且不能有效防范攻击,,

Telnet是用来进行远程命令行访问的服务方式，应用广泛，但其并未针对安全进行优化，在数据传输过程中没有采用加密或其它编码方式。,,目前网络及服务器等设备均已关闭telnet服务，远程管理统一采用ssh和https方式进行,已进行安全优化,,

以type-7方式存储的enable密码的密文容易被破解。

,,我公司未使用cisco设备，所使用H3C网络设备均采用cipher方式存储admin密码，且用户远程管理均采用ssh/https加密方式进行，设备对远程管理地址做了限制，因此能够有效防范密码被破解的风险,能有效防范,,

攻击者破解密码进入后，可以获得网络配置信息进行恶意攻击。,,我公司部署的H3C网络设备所采用的cipher加密方式存储admin密码，且用户远程管理均采用ssh/https加密方式进行，设备对远程管理地址做了限制，因此能够有效防范密码被破解的风险,能有效防范,,

攻击者可利用BOOTstrap协议取得网络设备信息。,,我公司网络设备均已关闭了BOOTstrap服务,能有效防范,,

攻击者可以通过网络嗅探器等工具获取设备信息以实施攻击。,,目前网络及安全设备远程维护采用专线和SSLVPN进行管理，设备管理均采用ssh/https等加密方式进行，无法嗅探到有用的设备信息,能有效防范,,

应对登录网络设备的用户进行身份鉴别。,,目前网络及服务器进行远程管理时需要通过管理员自己的堡垒机用户名密码进行用户身份的鉴别和认证,是,,

口令应有复杂度要求并定期更换。,,复杂型密码，每42天更新密码。,复杂度满足且定期更换,,

应具有登录失败处理功能，可采取结束会话、限制非法登录次数等措施。,,通过堡垒机配置来实现,是,,

当网络登录连接超时自动退出,,10分钟无操作自动超时退出。,是,,

网络设备应采用最小化服务原则，应关闭不必要的端口和服务。,,网络及安全设备等均采用最小化服务原则，仅开放了实际生产业务所必须的端口，关闭了不必要的端口和服务,全部关闭,,

应对网络设备的管理员登录地址进行限制。,,网络设备的远程管理只有指定IP地址段才能访问,是,,

应实现设备特权用户的权限分离。,,我公司网络设备均配置了多个不同权限的管理账户，但均由同一个人员来进行管理，无法实现设备特权用户的权限分离,否,,

当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。,,我公司网络及服务器等设备远程管理采用专线和SSLVPN登录到谐润堡垒机，然后经由堡垒机跳转，远程管理信息采用ssh/https协议进行加密传输，能够有效防止鉴别信息在网络传输过程中被窃听,是,,

应限制管理用户通过远程拨号对服务器进行远程管理，如必须使用情况，应进行相关详细记录。,,目前无远程拨号对服务器进行远程管理的情况，通过SSLVPN的方式进行远程管理，并且需要通过堡垒机审计才可以进行对服务器的管理,不允许远程管理,,

应对管理人员远程VPN的使用进行管控，建立完善的统一管理机制。,,对VPN用户组有级别划分，可以追查到VPN拨入的使用情况。,允许使用远程VPN且有管控,,

二、采取有效措施落实主机安全要求，根据业务及安全需要配置主机身份鉴别措施，分配访问控制权限，具有系统保护、入侵防范、恶意代码防范和资源控制措施,,,,,

1.是否采取有效的主机系统身份鉴别措施,,采取密码+账号，并限定仅能由堡垒主机发起登陆的方式进行身份鉴别,有措施且完善,,

可能存在弱口令账号被非授权人员猜测，从而登录系统进行非授权的恶意操作。,,所有主机均使用复杂型密码,能有效防范,,

可能会导致管理员用户密码遭破解攻击。,,主机设备中已配置实现登录密码输入错误3次，锁定半小时，无法对管理员用户密码采取暴力破解攻击。且主机不直接与外部进行通讯,能有效防范,,

"应对登录操作系统和数据库系统的用户进行身份标识和鉴别。

",,不同用户，审计平台进行审计,标识且鉴别,,

"应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。

",,服务器操作系统和数据库系统不能添加一个已存在的用户标识；不能成功添加一个已删除的用户标识。,符合，用户名唯一,,

"操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点。

",,系统用户和数据库用户登录名和用户身份标识按照,能有效防止冒用,,

用户登录口令应有复杂度要求并定期更换。,,9位强密码，系统托管更换,有复杂度且定期更换,,

2.是否制定主机系统访问控制权限分配策略且实施到位,,已制定访问控制策略，限定仅能由堡垒主机发起登陆。,策略完善且实施到位,,

root权限过大，若非必要时使用，易被恶意人员利用，对系统安全造成安全威胁。,,使用root用户和Administrator用户。,不限制root使用,,

所有账号均可以通过使用su命令获得root权限，可能造成部分人员的非授权操作。,,密码托管在设备，只有运维管理用户可以使用su命令获取root权限，普通用户无法使用su命令。,限制su到root但不能防止非授权操作,,

是否容易受到外部攻击，造成信息泄露和业务中断等。,,主机不直接与外部进行通讯,有相关措施防范受到外部攻击,,

用户权限是否分明，形成有效制约。,,多用户，各用户不同权限,权限分明，有有效制约,,

是否设置主机登录连接超时。,,10分钟无操作自动超时退出。,是,,

未限制用户挂载可移动文件系统,,只有root有权限,限制用户挂载,,

本地控制台用户拥有对光驱等设备的使用权限，未对用户可挂载的可移动文件系统（如闪存盘、光盘等）进行限制。,,只有root有权限,无使用权限,,

对主机敏感信息的泄漏是否有防范措施,,严格设置了敏感信息的权限，除特定用户其它用户禁止访问。,有防范措施,,

是否启用登录失败处理功能,,锁定账户,启用了相关功能,,

"登录失败后是否采取结束会话、限制非法登录次数和自动退出等措施,并记录登录失败日志。",,堡垒机审计,采用这些措施并记录日志,,

应启用访问控制功能，依据安全策略控制用户对资源的访问。,,不同用户，审计平台进行审计,启用访问控制功能，能限制用户对资源的访问,,

应根据管理用户的角色分配权限，实现不同角色管理用户的权限分离，仅授予管理用户所需的最小权限。,,使用堡垒机对主机设备进行管理，已实现特权用户权限分离，每个特权用户仅分配完成其任务的最小权限，操作系统分配了管理员和系统管理账户、应用管理账户、审核账户，数据库系统分配了管理员用户、RAC管理账户、ORACLE管理账户，实现了不同用户的权限分离。,对管理用户的角色分配了权限且为最小权限,,

应实现操作系统和数据库系统特权用户的权限分离。,,操作系统和数据库系统分配了各自的管理员用户，实现了不同用户的权限分离。,实现了用户权限分离,,

应通过设定终端接入方式、网络地址范围等条件限制终端登录。,,MAC地址绑定,采用这些措施限制终端登录,,

应根据安全策略设置登录终端的操作超时锁定。,,审计平台托管，10分钟,设置了登录终端超时锁定,,

3.是否制定主机系统备份策略且实施到位,,备份服务器,备份策略完善且实施到位,,

4.是否制定主机系统故障恢复机制且落实到位,,主机系统具有《系统应急方案》《中钢银通互联网支付平台应急处置管理方案》，文档包含了对数据库主机、应用主机等故障恢复的操作流程、计划时间、紧急联系人等内容；定期对主机故障恢复策略进行恢复性测试，在应急演练记录中包含主机故障恢复测试记录。,故障恢复机制完善且落实到位,,

5.是否采取主机磁盘空间安全保护措施,,主机系统使用Zabbix对主机磁盘空间进行监控，划分了不同的监控阀值，如设置了磁盘空间为使用80%进行预警警告，使用短信进行报警通告管理员；对web区和应用服务区的主机使用磁盘阵列RAID5实现冗余，对数据库区关键数据的存储使用使用存储厂商的DELLSCV2020存储系统，防止在单磁盘出现问题时影响服务。,有主机磁盘空间安全保护措施且有效完善,,

若恶意人员获取到系统用户名密码，可通过默认共享对系统文件进行恶意操作。,,关闭默认共享,有措施防范系统文件被人进行恶意操作,,

攻击者有可能在全局可写目录中创建恶意脚本程序，并诱使其它用户运行，以获取敏感信息。,,发现恶意脚本后，能够及时识别并删除恶意脚本。,有措施防范攻击者通过创建恶意脚本获取敏感信息,,

6.是否制定主机系统安全加固策略且落实到位,,具有《主机安全检查和加固》，进行过主机加固并具有主机加固记录；主机已依照主机加固策略进行了加固，主机加固记录中包含有操作时间、操作系统版本、操作人、加固记录、问题分析、审核人等。,主机系统安全加固策略完善且落实到位,,

低版本OpenSSL的TLS和DTLS实现中，不能正确处理心跳扩展包。,,目前版本的openssl能够正确处理心跳扩展包,能正确处理心跳扩展包,,

安装在远程主机系统上OpenSSH的版本过低或系统未禁用低版本支持配置。,,系统使用openssh5.3,OpenSSH版本较高,,

安装在远程Windows主机系统上RemoteDesktopProtocol(RDP)远程桌面协议中存在多个安全漏洞，如：Windows在处理某些对象时存在错误，可通过特制的RDP报文访问未初始化的或已经删除的对象。,,目前存在在内网通过堡垒机远程操作，使用RDP协议的服务器。,RDP不存在此类漏洞,,

在/etc/inittab中设置ctrl-alt-del三键组合对应的命令为/sbin/shutdown-t3-rnow。,,操作系统配置文件中禁用组合键重启功能。,存在该项设置,,

连续错误登录多次未自动锁定账户。,,登录失败三次后，将锁定账户10分钟。,设置多次错误登录自动锁定,,

使用了extproc组件，并且没有对IPC协议或者TCP地址进行限制。,,禁用了extproc组件。,未使用extproc,,

未及时安装最新补丁。,,补丁的升级安装由系统管理员按照《操作系统补丁管理制度》对主机升级/补丁更新的策略要求进行实施，先测试再升级；系统中补丁号为较新版本。,安装了最新补丁,,

系统中存在文件具有同组用户可写权限。,,不存在同组用户可写权限。,不存在文件具有同组用户可写权限,,

系统中运行了不必要的系统服务。,,用chkconfig关闭了不必要的服务。,不必要服务已禁用,,

未配置使用专用的日志服务器。,,目前已经搭建了ELK日志分析服务器。,配置了专用的日志服务器,,

本地安全策略未开启审计功能。例如：未开启账号登录事件审计功能，该功能可记录本地用户登录信息，包括登录成功与否、登录时间、账号等。,,本地安全策略已开启审计功能，并开启了审计功能下属菜单中的内容。,本地策略开启了审计功能,,

未正确配置服务器安全防范措施。,,服务器按照《主机安全检查和加固》，进行过主机加固。,正确配置了服务器安全防范措施,,

"应及时删除多余的、过期的用户，避免共享用户的存在。

",,系统目前不存在多余、过期的用户，当员工岗位进行变动或离职后会提出离职申请表，并对员工账户进行删除。,删除了多余过期用户且没有共享用户,,

应严格限制默认用户的访问权限，修改这些用户的默认口令，,,默认用户已被禁用。,限制了默认用户的访问权限且修改了用户的默认口令,,

Windows操作系统还须重命名系统默认用户。,,操作系统中的无法禁用的默认用户（例如超级管理员）均进行了重命名处理。,重命名,,

应对主机进行安全加固，具有主机安全加固策略和加固记录等文档。,,具有《主机安全检查和加固》，进行过主机加固并具有主机加固记录；主机已依照主机加固策略进行了加固，主机加固记录中包含有操作时间、操作系统版本、操作人、加固记录、问题分析、审核人等。,对主机进行了安全加固且有相关策略和文档,,

应对主机磁盘空间进行合理规划，确保磁盘空间使用安全。,,安装系统时合理分配磁盘空间，并为系统添加备用磁盘。,对主机磁盘空间进行了合理规划,,

应关闭系统不必要的服务和端口。,,定期对系统中的服务和端口进行检查，并关闭了不必要的服务和端口；通过查看和扫描，系统中未发现不必要的服务和端口开启。,关闭了不必要的服务和端口,,

操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序。,,服务器遵循了最小安装的原则；系统中不必要的服务没有启动，不必要的端口没有打开。,操作系统仅安装了需要的组件和应用程序,,

应通过设置升级服务器等方式保持系统补丁及时得到更新。,,补丁的升级安装由系统管理员按照《操作系统补丁管理制度》对主机升级/补丁更新的策略要求进行实施，先测试再升级；系统中补丁号为较新版本。,设置了升级服务器,,

7.是否采取主机系统入侵防范措施,,在网络中部署IDS入侵系统，可以记录入侵的攻击源IP、攻击类型、攻击目的、攻击时间等信息，由网络管理人员对入侵检测进行监控，当发生入侵时系统提供邮件告警通知到维护人员。,采用了有效的主机系统入侵防范措施,,

对服务器进行远程管理时，未采取必要措施，防止鉴别信息在网络传输过程中被窃听。,,SSH加密传输，专线传输，VPN传输,采用了网络传输防窃听措施,,

未定期进行漏洞扫描，或扫描工具漏洞库没有及时更新。,,用漏洞扫描工具nessus进行定期的漏洞扫描，已更新漏洞库版本为最新,定期进行漏洞扫面且漏洞库及时更新,,

低版本BASH创建的环境变量可被用于远程代码执行。,,关键服务器已打补丁,该环境变量能被远程执行,,

应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警。,,迪普IPS/IDS,能够检测到入侵，记录入侵内容但不能提供报警,,

应能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施。,,重要程序完整性受到破坏时，能够检测到，并采取恢复措施。,能够对重要程序的完整性进行检测并有恢复措施,,

8.操作系统主机是否有系统恶意代码防范措施,,使用的服务器操作系统未部署防恶意代码软件。,没有采取主机系统恶意代码防范措施,,

Windows操作系统主机系统恶意代码防范措施,,Windows操作系统主机部署了诺顿防恶意代码软件。,采取主机系统恶意代码防范措施且定期更新恶意代码库,,

类Unix操作系统主机系统恶意代码防范措施,,Linux服务器上未部署防恶意代码软件。,没有采取主机系统恶意代码防范措施,,

windows操作系统未安装杀毒软件。,,Windows操作系统主机部署了诺顿防恶意代码软件。,安装了杀毒软件,,

应至少在生产系统中的服务器安装防恶意代码软件。,,Linux服务器未部署防恶意代码软件。,生产系统服务器安装了防恶意代码软件,,

应及时更新防恶意代码软件版本和恶意代码库,,Linux服务器未部署防恶意代码软件。,及时更新防恶意代码软件版本和恶意代码库,,

9.是否采取主机系统资源控制措施,,主机系统使用zabbix对主机系统资源进行进行监控。,采用了主机系统资源控制措施且措施完善,,

缺少服务器时间同步机制。,,有专用的时间同步服务器，用来同步时间。,有服务器时间同步机制,,

未禁止windows系统的自动播放功能。,,已经禁止不会开机自启动,已禁止系统自动播放,,

登录提示信息中泄露系统信息。,,修改屏蔽系统版本等信息。,登录信息没有泄露系统信息,,

缺乏对服务器的实时监控手段，导致无法对其CPU、内存、硬盘及进程运行状态等情况进行有效监控。,,部署有ZABBIX用来监控设备基础信息，和业务运行状态。并实时报警,对服务器进行实时监控且能对CPU内存等进行有效监控,,

未及时删除无属主文件。,,不存在无属主文件。,删除了无属主文件,,

应对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。,,部署有ZABBIX用来监控设备基础信息，和业务运行状态。并实时报警,监视了重要服务器,,

应限制单个用户对系统资源的最大或最小使用限度。,,主机服务器使用zabbix监控系统资源使用情况，对各监控目标设定了阀值及相应的告警指标。,限制了单个用户对系统资源的最大或最小使用限度,,

应能够对系统的服务水平降低到预先规定的最小值进行检测和报警。,,部署有ZABBIX用来监控设备基础信息，和业务运行状态。并实时报警,能够对系统的服务水平降低到预先规定的最小值进行检测和报警,,

三、采取有效措施落实应用安全要求，具有有效的身份标识和鉴别措施，关注页面安全，根据业务及安全需要分配访问控制权限，具有剩余信息保护、资源控制、应用容错的措施，具有保障报文完整性和保密性的措施，能够实现抗抵赖，注意编码过程的安全，应用第三方电子认证技术,,,,,

1.是否采取有效的应用系统身份标识和鉴别措施,,有，实名认证识别身份（身份证、手机号、卡号）,有措施，且完善,,

中间件控制台弱口令：中间件（Tomcat、Weblogic、Jboss等）控制台存在弱口令。,,采用复杂密码策略，大小写、字母、数字,不存在弱口令,,

应用程序密码框未使用安全控件保护。,,采用jquery控件,有控件保护,,

未配置登录用户密码复杂度策略。,,采用复杂密码策略，大小写、字母、数字,有策略,,

应提供专用的登录控制模块对登录用户进行身份标识和鉴别。,,最终用户是在银联进行验证，内部管理有登录模块对用户身份进行验证,有专用模块,,

应提供系统管理员和普通用户的设置功能，身份标识满足唯一性。,,有用户角色和权限的设置,有设置功能，满足唯一性,,

系统管理与普通用户口令应具有一定的复杂度。,,系统用户和普通用户口令均有一定的复杂度,有一定复杂度,,

应限制系统管理用户的口令有效期并提示客户定期修改口令。,,定期对系统管理用户口令进行修改,有有效期且提示,,

应对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。,,根据卡号、证件号、支付密码对用户身份进行鉴定,有两种或以上鉴别技术,,

应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。,,登录失败直接结束会话,有登录失败处理功能,,

应对客户端认证会话时间进行限制。,,无认证会话时间限制,限制会话时间,,

2.是否有应用系统WEB页面安全防护措施且防护、防控到位,,不具备B/S功能。,有措施且防护、防控能力强,,

无防钓鱼措施：攻击者通过模仿真实网站的URL地址及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。,,不具备B/S功能，无模仿真实网站的URL地址及页面内容可能。,有防钓鱼措施,,

Struts2远程命令执行、重定向等漏洞，建议更新至最新版本,,"不具备B/S功能，系统未使用Struts2开发框架；

互联网支付系统不存在Struts2方法调用远程代码执行漏洞。",已更新至最新版本,,

ElasticSearch远程任意代码执行漏洞：ElasticSearch有脚本执行功能，可以方便的对查询出来的数据进行加工处理，默认配置是打开动态脚本功能，用户可以直接通过http请求执行任意代码。,,不具备B/S功能，系统未使用ElasticSearch搜索服务及ElasticSearch搜索库。,不存在ElasticSearch远程任意代码执行漏洞,,

在URL或网页中直接暴露内部文件名或数据库关键字等信息。,,不具备B/S功能，系统没有暴漏内部文件或数据库关键字信息。,未在URL或网页中直接暴露内部文件名或数据库关键字等信息,,

应用系统没有对参数进行过滤，存在SQL注入漏洞。,,"后台管理系统不存在SQL注入漏洞；

互联网支付系统不存在SQL注入漏洞",不存在SQL注入漏洞,,

应用程序Javascript脚本存在劫持漏洞。,,系统使用统一输入过滤器对提交的非法参数字符进行过滤处理并统一报错。,不存在劫持漏洞,,

应用程序页面存在信息泄露风险，如：详细的应用程序错误信息、备份脚本文件、公开的包含源代码的内部文件、不安全的HTTP方法启用、WebDAV或FrontPage扩展启用、默认的Web服务器上的文件、测试和诊断的页面等。,,"不具备B/S功能，后台管理系统没有启用不安全的http方法；

支付系统没有启用不安全的http方法",不存在信息泄露风险,,

应用程序被植入跨站脚本攻击链接程序。,,不具备B/S功能，后台管理系统及支付系统未被植入跨站脚本攻击链接。,不存在跨站脚本攻击风险,,

暴露站点后台管理地址。,,"后管仅限定特定机器访问，未对外网开放后台管理地址；

支付系统仅使用专线或VPN通讯，外部没有发现后台管理地址。",未暴露后台管理地址,,

应用系统的部分用户交互模块没有对恶意提交进行限制。,,不具备B/S功能，后管系统、支付系统使用同一参数过滤器对提交的非法参数字符进行过来处理并统一报错。,限制恶意提交,,

系统验证机制不完善，提示信息过于具体，或可绕过验证访问系统。,,后台管理系统用户名或密码输错统一提示为用户名或密码错误。,验证机制完善且不可被绕过,,

会话过程中，身份标识应不可预测,,不具备B/S功能，后管系统、支付系统通过唯一身份标识（用户名、卡号）验证身份，不存在猜测可能。,身份标识不可预测,,

会话过程中应维持认证状态，防止信息未经授权访问,,后台管理系统对用户权限进行识别，无权限用户无法访问未经授权的功能。,能维持认证状态,,

会话结束后应及时清除会话信息,,后台管理登陆时即时对账号口令验证，未保留会话信息。,及时清除会话信息,,

应采取措施防止会话令牌在传输、存储过程中被窃取,,支付系统采用专线通道，并对用户输入的敏感信息进行进行非对称密码加密。,采取了防窃取措施,,

当访问系统时被重定向到入侵者控制的一个web站点。,,不具备B/S功能，后台管理系统、支付系统未发现被植入重定向页面。,不存在重定向风险,,

未对ActiveX控件进行源代码审查与安全测试，且给ActiveX控件的所有参数未使用加密签名验证。,,不具备B/S功能，后台管理系统、支付系统未使用ActiveX控件。,进行了审查与安全测试,,

本地缓存未妥善处理，可能造成入侵者绕过安全限制，获得敏感信息或破坏WEB缓存文件。,,不具备B/S功能，后台管理系统、互联网支付系统未使用本地缓存机制。,不存在入侵者绕过安全限制风险,,

服务器上具体文件名、路径或数据库关键字等内部资源被暴露在URL或网页中，攻击者可以此来尝试直接访问其他资源。,,不具备B/S功能，服务器上具体文件名、路径或数据库关键字等内部资源未暴露在URL或界面中,关键信息未被暴露在URL或网页中,,

应用程序被植入跨站脚本攻击链接程序，可以盗取用户信息。,,不具备B/S功能，客户端程序植入数字机顶盒或机具，应用程序不存在被植入跨站脚本攻击链接或程序。,应用程序未被植入跨站脚本攻击链接程序,,

应提供登录防穷举的措施，如图片验证码等。,,"后台管理系统未采用登录失败处理及图片验证码以防穷举；

支付系统未采用登录防穷举的措施。",提供了防穷举措施,,

应使用服务器证书，并在整个生命周期保障令牌的安全。,,未使用服务器证书保障令牌的安全。,未使用服务器证书,,

应提供独立的支付密码和健全的密码找回机制。,,未使用独立的支付密码，使用卡密码直接验证交易合法有效性。,提供独立的支付密码且找回机制健全,,

网站页面应采取防范SQL注入、Path注入和LDAP注入等风险的措施。,,"不具备B/S功能，后台管理系统不存在SQL注入、Path注入和LDAP注入漏洞；

互联网支付系统不存在SQL注入、Path注入和LDAP注入漏洞",采取防范措施,,

网站页面应采取防范跨站脚本攻击风险的措施。,,不具备B/S功能，后台管理系统及支付系统使用同一参数过滤器对提交的非法参数字符进行过来处理并统一报错。,采取防范措施,,

网站页面应采取防范源代码暴露的措施。,,不具备B/S功能，后台管理系统及支付系统不存在源代码暴露漏洞。,采取防范措施,,

应采取防范网站页面黑客挂马的机制和措施。,,不具备B/S功能，无法进行挂马攻击。,采取防范措施,,

应采取网站页面防篡改措施。,,不具备B/S功能，无法进行页面篡改攻击。,采取防范措施,,

网站页面应提供防钓鱼网站的防伪信息验证。,,不具备B/S功能，无法进行钓鱼攻击。,提供防伪信息验证,,

网站页面应采用数字证书。,,不具备B/S功能，未采用数字证书。,未采用数字证书,,

3.是否制定合理的应用系统访问控制权限分配策略且配置到位；,,制定合理的控制权限和策略,策略合理且配置到位,,

未对单个用户的多重并发会话进行限制，同一账号可同时登录操作。,,未控制并发会话,控制并发会话,,

DNS服务器允许区域数据传送。,,无DNS服务器，不适用,不允许区域数据传送,,

服务器IIS配置不当，权限配置里开启了写入权限。,,无IIS配置，不适用,IIS配置恰当，写入权限开启,,

应用系统提供的上传程序未对文件的大小、类型进行校验。,,应用系统无上传程序，不适用,上传程序对文件大小、类型进行校验,,

系统未设置防暴力破解机制。,,系统C/S架构，不对外提供，不适用,设置了防暴力破解机制,,

访问控制不严格，如存在权限旁路或越权等情况。,,系统C/S架构，不对外提供，不适用,不存在权限旁路或越权等情况,,

计算机对接收的输入数据没有进行有效的校验，造成缓冲区溢出漏洞。,,有对数据长度有效性进行校验,对接收的输入数据进行有效性校验,,

登录应使用安全控件，并提供第三方检测机构的检测报告。,,系统C/S架构，不对外提供，不适用,登录使用安全控件，且提供检测报告,,

客户端鉴别信息应不被窃取和冒用。,,客户端鉴别信息传输加密，不会被窃取和冒用,客户鉴别信息不会被窃取和冒用,,

会话结束后应及时清除客户端鉴别信息。,,会话结束后会清空客户端的缓存信息,会话结束后及时清除客户端鉴别信息,,

应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。,,系统C/S架构，不对外提供，不适用,有访问控制功能且控制用户对文件、数据库等的访问,,

应由授权主体配置访问控制策略，并严格限制默认用户的访问权限。,,系统C/S架构，不对外提供，不适用,由授权主体配置访问控制策略，默认用户的访问权限被严格限制,,

应授予不同用户为完成各自承担任务所需的最小权限，并在其间形成互相制约的关系。,,系统C/S架构，不对外提供，不适用,最小权限配置，且用户间形成互相制约的关系,,

应严格控制用户对关键数据的操作，按照“双人控制”原则进行访问或操作权限分配，关键数据包括敏感数据、重要业务数据、系统管理数据等。,,系统C/S架构，不对外提供，不适用,严格控制用户对关键数据的操作,,

4.是否采取有效的应用系统剩余信息保护措施,,采取有效的剩余信息保护措施,有措施，且完善,,

应具有所有业务操作日志。,,"无业务操作日志,有交易日志",有措施，且完善,,

应对无用的过期信息、文档进行完整删除。,,对无用的过期信息、文档定期整理删除,有措施，且完善,,

应保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。,,资源所在的存储空间被释放或重新分配,有措施，且完善,,

5.是否采取有效的主机系统资源控制措施,,采取zabbix监控主机系统资源,有措施，且完善,,

未定期对应用系统进行漏洞扫描，或扫描工具漏洞库没有及时更新。,,迪普SANNER1000进行扫描,定期进行漏洞扫描，且及时更新漏洞库,,

一些第三方软件（包括插件、控件、工具等）存在远程代码执行、文件上传等安全漏洞。,,漏洞扫描未发现部分第三方软件存在远程代码执行漏洞、不存在文件上传漏洞,不存在远程代码执行、文件上传等安全漏洞,,

应通过设定终端接入方式、网络地址范围等条件限制终端登录。,,设置的点对点VPN访问范围仅运维部终端可直接访问，对运维终端MAC-IP进行了绑定,通过设定终端接入方式、网络地址范围等条件限制终端登录,,

应根据安全策略设置登录终端的操作超时锁定。,,审计平台审计，10分钟,根据安全策略设置登录终端的操作超时锁定,,

应能够对一个时间段内可能的并发会话连接数进行限制。,,后台管理系统对一段时间内的并发会话连接数进行了限制，同账号不能在同一时间登陆。,能够对一个时间段内可能的并发会话连接数进行限制,,

当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。,,后台管理系统闲置自动登出。支付系统在商户一侧有空闲超时自动登出功能。,另一方能够自动结束会话,,

应能够对单个账户的多重并发会话进行限制。,,后台管理系统对单个用户多重并发会话进行限制，仅能在专控机器上登陆；,能够对单个账户的多重并发会话进行限制,,

6.是否建立合理的应用容错机制,,支付系统应用具备容错能力，能够针对不同错误进行处理。,已建立机制，且完善,,

由于支付系统的设计缺陷，导致可对同一商品订单重复进行支付，包括客户无意的或者代理操作人员恶意的，对客户造成经济利益损害。建议：对每笔订单进行控制，在进行支付操作时，检查该订单的支付情况，保证支付订单唯一，防止重复支付。,,支付系统使用HTTPS加密通道，无法对订单数据进行获取和重放。,能够防止重复支付,,

用户访问异常中断后，应具有防护手段，保证数据不丢失。,,用户输入数据在机具终端有部分保留，在网络或其他异常后能够按规定恢复。,具有防护手段,,

应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。,,"后台管理系统已对提交的数据有效性进行统一校验；

互联网支付系统已对提交的数据有效性进行统一校验",提供数据有效性检验功能,,

应提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。,,服务器采用双机热备部署，故障发生时自动保存故障前状态并切换自备用服务器，直至原系统恢复。,提供自动保护功能,,

发生故障后，系统应能够及时恢复。,,均采用双机热备切换和快照恢复，确保故障后系统能够及时恢复,系统能够及时恢复,,

应提供回退功能，当故障发生后，能够及时回退到故障发生前的状态。,,在对数据库进行增删改操作时，利用系统备份方式、数据库的回滚机制以及操作回退日志等保证发生故障发生后，能够及时回退到故障发生前的状态,提供回退功能,,

7.是否采取有效的应用报文完整性、保密性和抗抵赖措施,,完整性和保密性措施不完善,完整性和保密性措施完善,,

未对重要信息进行加密存储。,,对密码和敏感信息进行rsa加密传输,对重要信息进行加密存储,,

未对数据进行加密传输。,,对交易报文进行Deflate压缩，并进行Base64编码,对数据进行加密传输,,

应用程序存在空指针异常。,,不存在空指令异常,应用程序不存在空指针异常,,

未对交易过程中数据进行完整性保护。,,通信报文进行HASH校验，确保数据完整性,对交易过程中数据进行完整性保护,,

"通信报文应采用密码技术保证通信过程中交易数据的完整性。

",,"

通信报文通过密钥进行签名

",通信报文采用密码技术保证通信过程中交易数据的完整性,,

在通信时采用安全通道或对报文中敏感信息进行加密。,,通信时通过vpn或专线进行通信，并对报文敏感数据加密,在通信时采用安全通道或对报文中敏感信息进行加密,,

应具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。,,目前的加密是用rsa进行加密，没有验证原发和接收的功能,具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能,,

"

应具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

",,目前的加密是用rsa进行加密，没有验证原发和接收的功能,不具有该功能,,

应采用国家认可的可信时间戳服务。,,支付系统未使用时间戳进行完整性校验。,采用国家认可的可信时间戳服务,,

应安全保存时间戳及相关信息，确保数据的可审计性，实现系统数据处理的抗抵赖性。,,支付系统未使用时间戳进行完整性校验,安全保存时间戳及相关信息,,

8.是否建立有效的应用系统编码安全保障机制,,建立有效的系统编码安全保障机制,审查并有报告,,

应对支付业务系统源代码进行安全性审查，提供源代码审查报告。,,定期对源代码进行安全规范审查,审查并有报告,,

应具有支付业务系统源代码管理制度，具有源代码管理记录。,,通过svn对源代码进行变更管理,有制度且有记录,,

在每次源代码变更时，需填写变更备注信息。,,在代码变更时通过svn填写变更信息,有变更备注信息,,

应具有编码规范约束制度，按照编码规范进行编码。,,针对代码注释，命名规范，编码规则，UI界面规则，输入控制检验有相应的制度文档,有制度并遵照编码,,

应对插件进行安全性审查，提供插件审查报告。,,不适用,有安全性审查并有报告,,

9.应用系统采用的电子认证技术是否符合《金融电子认证规范》,,对商户发送交易响应时使用Entrust证书同对方进行通信，同商户之间连接多使用专线方式完成。,符合,,

关键业务（包括对内和对外业务）应使用电子认证技术。,,对商户发送交易响应时使用Entrust证书同对方进行通信，同商户之间连接多使用专线方式完成。,使用第三方电子签名体系,,

对外业务（非内部业务）处理过程中，应符合《金融电子认证规范》（JR/T0118-2015）。,,对商户发送交易响应时使用Entrust证书同对方进行通信，同商户之间连接多使用专线方式完成。,完全符合,,

对内部业务（仅涉及本机构内人员或设备的业务）处理过程中，可以使用自建的电子签名体系。,,后台管理系统未使用电子签名体系。,内部业务使用自建,,

在条件允许的情况下，建议对所有业务使用经过认证的第三方电子签名体系。,,后台管理系统未使用电子签名体系。对商户发送交易响应时使用Entrust证书同对方进行通信，同商户之间连接多使用专线方式完成。,使用第三方电子签名体系,,

应对所持有的服务器证书私钥进行有效保护。,,只有经过授权的系统管理员才能导入，证书在创建过程中需要配置密码。,保护有效,,

四、采取有效措施落实数据安全要求，确保数据存储、访问、传输、使用、销毁等生命周期的安全性，提供完善的本异地数据备份及恢复机制并落实实施,,,,,

1.是否采取有效的数据存储、访问、传输、使用、销毁等生命周期安全性保护措施,,对数据的存储有一定的要求，对数据访问传输以及销毁需要有变更审批制度。,有措施，且完善,,

日志、数据库等中保存非必须的客户身份认证信息、银行卡信息等敏感信息（如银行卡交易密码、银行卡磁道信息、CVN、CVN2等）。,,数据库中没有保存必须的客户身份认证信息，银行卡信息等敏感信息。,敏感信息分类及保存措施得当,,

开发环境使用生产数据。,,开发环境不使用生产数据，使用模拟数据。,不使用,,

MSSQLServer存在sa账户弱口令。,,没有使用MSSQLServer。,不存在,,

Oracletnslsnr没有设置口令。,,口令已设置为字母，数字，特殊字符混合组成，位数不能少于8个字符。,设置,,

Oracle数据库默认用户存在弱口令。,,口令已设置为字母，数字，特殊字符混合组成，位数不能少于8个字符。,不存在弱口令,,

MySQL存在root账户弱口令。,,口令已设置为字母，数字，特殊字符混合组成，位数不能少于8个字符。,不存在弱口令,,

sa账号密码为空。,,没有使用MSSQLServer。,sa账号不为空,,

数据库样例未删除，造成新弱点被利用等风险。,,数据库不存在样例数据库。,已删除,,

个人信息储存、传输、调用不当，造成信息泄露。,,个人信息在传输过程中采取有效加密手段进行保护，存储在数据库中后只有数据库管理员和相关运维人员有权限查看。,有措施并能有效防范因不当操作造成的信息泄露风险,,

MySQL数据库没用禁用本地加载数据配置（参数local_infile值为1）。,,mysql目前生产没有,已禁用,,

"应具备数据库安全配置手册，对数据库进行安全配置。

",,有数据库安全配置手册，对数据库进行安全配置。,有手册且按手册进行安全设置,,

应按规定妥善保管客户身份及支付业务基本信息。,,不保存客户身份鉴别及支付交易信息。,有规定且按规定妥善保管,,

支付机构对客户身份信息及支付业务信息的保管期限自业务关系结束当年起至少保存5年,,对于数据文件涉及到客户身份信息以及支付业务信息永久保留。,符合,,

不应保存非必须的客户身份认证信息（如银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码、银行卡交易密码、指纹、CVN、CVN2等敏感信息）。,,数据库未对非必须的客户身份认证信息（银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码、银行卡交易密码、指纹、CVN、CVN2）进行保存。,不保存,,

应对客户的其他敏感信息，如卡号、户名、登录口令、证件号、开户手机、贷记卡有效期、电子邮箱等信息采取保护措施，防止未经授权擅自对个人信息进行查看、篡改、泄露和破坏。,,在数据库中存有卡号信息，以访问控制策略限制对数据库的访问，对卡号信息进行保密。,有保护措施且能有效防范未经授权操作,,

应采用加密存储、部分屏蔽显示等技术，对客户的其他敏感信息，如卡号、户名、登录口令、证件号、开户手机、贷记卡有效期、电子邮箱等信息进行保护,,对卡号进行了屏蔽显示的方式进行保护。,采取了相关技术且能有效保护敏感信息,,

应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。,,数据库未对非必须的客户身份认证信息（银行卡磁道信息或芯片信息、卡片验证码、卡片有效期、个人标识码、银行卡交易密码、指纹、CVN、CVN2）进行保存。,采取了措施且能保证重要数据存储保密性,,

应具备重要数据的访问控制措施。,,在数据库中存有卡号信息，以访问控制策略限制对数据库的访问，对卡号信息进行保密。,有重要数据访问措施,,

"应严格控制用户对关键数据的操作，按照“双人控制”原则进行访问或操作权限分配，关键数据包括敏感数据、重要业务数据、系统管理数据等。

",,后台管理系统对商户信息维护实现“双人控制”,有用户访问关键数据的原则且能合理分配操作权限,,

应采用加密或其他有效措施实现数据、鉴别信息、重要业务数据传输保密性。,,采用https及tls实现数据、鉴别信息、重要业务数据传输保密性。,采取了措施且能保证重要数据传输保密性,,

"应在数据传输过程中使用专用通信协议或安全通信协议服务保证数据传输的完整性。

",,采用https及tls实现数据、鉴别信息、重要业务数据传输保密性。,使用专用通信协议或安全通信协议但不能保证数据传输的完整性,,

应能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。,,采用https及tls实现数据、鉴别信息、重要业务数据传输防护，对报文完整性破坏的情况能够发现，并以重新建立安全会话方式回复。,能检测且能进行必要的恢复,,

"应制定重要数据更改流程和管理制度。

",,管理文档中包含《重要数据变更管理制度》，其中规定了数据的修改流程。,制定了有效的流程和制度,,

严格落实数据更改流程和管理制度，应对重要数据的变更进行记录。,,《重要数据变更管理制度》中规定了数据的修改流程。,能严格落实流程和制度,,

应具有数据销毁制度和相关记录并落实到位。,,通过《重要数据变更管理制度》对数据销毁进行规定。,有数据销毁制度和相关记录并落实到位,,

2.是否建立合理的本地、异地数据备份机制且落实到位,,已制定合理的本地、异地数据备份机制。,机制完善，且落实到位,,

未定期执行主备设备、主备机房切换演练以及数据备份恢复演练。,,定期执行主备设备、主备机房切换演练以及数据备份恢复演练。,定期执行要求的各类演练,,

未对重要信息进行保护和备份，重要信息包括：1.交易数据；2.网络设备、安全设备、服务器等配置信息；3.日志等审计信息。,,已对重要信息进行保护和备份，重要信息包括：1.交易数据；2.网络设备、安全设备、服务器等配置信息；3.日志等审计信息。,对重要信息进行保护和备份,,

应提供本地数据备份。,,已提供本地备份和异地备份的数据。,可提供本地数据备份,,

应提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。,,没有异地数据备份功能。,异地数据实时备份,,

3.是否建立合理的数据恢复机制且落实到位,,《生产数据备份管理办法》中要求对备份数据进行恢复测试，但操作手册、要求。,机制完善，且落实到位,,

"应具有备份数据恢复操作手册，并提供恢复功能。

",,没有提供数据库备份配置及恢复操作手册。,有备份恢复操作手册且按手册执行备份恢复操作,,

应根据数据的重要性和数据对系统运行的影响，制定数据的备份和恢复策略，应指明备份数据的备份方式（如增量备份或全备份等）、备份频度（如每日或每周等）、存储介质、保存期、放置场所、文件命名规则、介质替换频率和数据传输方法。,,建立有《生产数据备份管理办法》，但文件中未对备份恢复策略中的细节包括方式方法、频度等细节进行约束。,按照数据的重要性和对系统运行的影响，分类制定备份、恢复策略，且策略有效,,

".应具备数据备份和恢复记录。

",,建立有《生产数据备份管理办法》，但没有对数据备份和恢复记录格式进行规定，现场检测也无数据备份和恢复记录。,无记录,,

五、采取有效措施落实运维安全要求，能够对网络、主机等设备操作日志进行详细的记录并审计，并定期进行漏洞扫描和补丁更新。应关注环境管理、介质管理和设备管理，对运维人员、来访人员等进行管理及限制，监控运行设备及环境，对变更、安全事件进行定义和管理，制定应急预案并定期演练及修订,,,,,

1.应采取有效的网络、主机等设备操作日志记录和审计措施,,采用运维堡垒机进行记录和审计，但对数据库的审计不完善,有措施但不完善,,

应依据操作手册对系统进行维护。,,目前依据《系统维护手册》对系统进行维护,有操作手册且按照执行,,

详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容。,,部分操作日志丢失，但是基本有记录在堡垒机中，计划近期更换堡垒机并调整备份策略,记录操作日志但不完善,,

严禁进行未经授权的操作。,,我公司制定有《我公司运维管理办法》，制度规定有关设备等的关键操作均需要经过批准以及由专人进行,是,,

应定期对运行日志、操作日志和审计数据进行分析，以便及时发现异常行为。,,近期计划更换堡垒机，便于以后定期分析各类运维日志，现阶段人工分析,有定期分析但不完善,,

应对网络设备运行状况、网络流量、用户行为等进行日志记录。,,有监控日志,是,,

网络审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。,,堡垒机中有,有部分审计记录,,

网络审计范围应覆盖到网络设备的所有用户。,,堡垒机已覆盖,有审计且全部覆盖,,

应对主机设备运行状况、用户行为、重要系统命令的使用等进行日志记录。,,堡垒机已记录,是,,

主机审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。,,堡垒机已包括,有完整的审计记录,,

主机审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。,,堡垒机已覆盖,有审计且全部覆盖,,

应具有所有业务操作日志。,,有的,是,,

操作日志审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。,,堡垒机已包括,有完整的审计记录,,

应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。,,堡垒机日志会定义转移到日志服务器并保存,有完善的保护措施,,

应能够根据记录数据进行查询、统计、分析，并生成审计报表。,,近期计划更换堡垒机，便于以后定期分析各类运维日志,有记录数据且可以查询,,

对于发生的故障，应通过日志进行分析，查找原因。,,分析监控日志,通过日志对故障进行分析,,

应形成故障知识库。,,暂无故障知识库,否,,

应具备日志审计工具，对日志进行记录、分析和报告。,,近期计划更换堡垒机，便于以后定期分析各类运维日志,无日志审计工具,,

应具有按照设定对安全和风险事件进行报警的功能。,,目前通过zabbix对网络和主机等设备进行监控，并在发生安全和风险事件时进行报警，包括短信、邮件和微信等方式,有完善的安全风险报警,,

2.建立合理的漏洞扫描和补丁更新机制并落实到位,,目前有《生产网漏洞管理暂行规定》和《系统软件补丁升级管理暂行办法》，制度要求定期对网络和主机等设备进行漏洞扫描和补丁更新,漏扫和补丁更新机制落实到位,,

定期对网络、主机、信息系统等进行漏洞扫描。,,目前制订有《生产网漏洞管理暂行规定》，制度要求定期每6个月对生产网内系统和网络进行一次漏洞扫描,是,,

扫描工具漏洞库应及时更新。,,目前采用迪普SCAN-1000漏洞扫描设备，漏洞库由厂商进行推送更新,是,,

对扫描中发现的安全漏洞进行及时的修补。,,目前制订有《生产网漏洞管理暂行规定》，制度要求由安全岗在漏扫发现漏洞后及时从安全角度分析漏洞的风险和危害程度并制定漏洞加固方案,是,,

应根据厂家提供的软件升级版本进行更新，并在更新前对现有的重要文件进行备份。,,在进行厂家提供的软件升级版本进行更新前，必须对现有的重要文件进行备份，在《系统软件补丁升级管理办法》中体现,更新且更新前备份,,

应具有网络、主机、信息系统等补丁安装管理制度和方案，并根据方案及时更新系统补丁。,,目前制订有《系统软件补丁升级管理暂行办法》，制度要求对于windows补丁每月进行一次评估和集中升级；对于linux、数据库补丁每月进行一次评估和每年进行一次集中升级；对设备微码和其他管理类软件的补丁，根据软件厂家发布的升级信息，要求结合实际情况合理安排补丁升级,有补丁安装管理制度和方案且落实到位,,

在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，方可实施系统补丁程序的安装。,,在安装系统补丁前，首先在测试环境中测试通过，并对重要文件进行备份后，必须通过补丁程序安装的申请，通过审核后，方可实施。,安装前测试且备份,,

3.机房、办公环境管理缺失或不到位；,,有《我公司机房管理条例》管理机房，有《我公司生产安全管理暂行办法》,到位,,

4.介质、设备管理到位；,,目前制订有《生产介质管理》、《存储介质销毁处理规范》、《机房设备管理规范》和《我公司计算机机房安全防护与运行管理暂行办法》等制度，对设备、介质的安全管理进行了相应的规定,到位,,

应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面做出规定。,,目前制订有《生产介质管理》、《存储介质销毁处理规范》等制度，对介质的存放环境、使用、维护和销毁等方面做出了规定,建立完善的介质安全管理制度,,

并确保介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理。,,目前制订有《生产介质管理》制度，要求介质统一进行登记编号，由使用者负责管理，必要时由专人统一管理，介质不得随便乱放,截至存房安全环境且专人管理,,

应对送出维修以及销毁等进行严格的管理，对送出维修或销毁的介质应首先清除介质中的敏感数据,,目前制订有《生产介质管理》、《存储介质销毁处理规范》等制度，对介质的外送维修和销毁等进行了明确规定，要求送外维修和销毁介质时需要有专人在场,未清除敏感数据,,

保密性较高的存储介质未经批准不得自行销毁。,,目前制订有《生产介质管理》、《存储介质销毁处理规范》等制度，要求涉密介质进行销毁前需要相关人员填写《委托书》，然后在保密委员会成员须全程监督的情况下进行销毁处理,须批准,,

应对重要介质中的数据和软件采取加密存储。,,目前不对存储于介质上的数据和软件进行加密处理,不加密,,

根据所承载数据和软件的重要程度对介质进行分类和标识管理。,,数据同一存储在一类介质中,不进行分类标识,,

应对终端计算机、工作站、便携机、系统和网络等设备的操作和使用进行规范化管理.,,目前制订有《生产系统主机标准配置文档》、《网络操作规范暂行规定》，制度对系统和网络等设备的操作和使用进行规范化管理规定,部分有操作规范,,

按操作规程实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等操作，并有完整的设备操作日志。,,目前无相关操作规程以实现主要设备（包括备份和冗余设备）的启动/停止、加电/断电等的规范化操作,没有按照规程操作,,

应建立标准化的设备配置文档。,,目前制订有《生产系统主机标准配置文档》、《网络操作规范暂行规定》等制度，建立了标准化的设备配置文档,有设备配置文档但不规范,,

5.运维、来访等人员管理到位；,,目前制订有《运维人员管理规定》、《银视通计算机机房安全防护与运行管理暂行办法》等制度,有管理制度规范且落实到位,,

应指定或授权专门的部门或人员负责人员录用。,,目前制订有《银视通信息科技有限公司招聘与离职管理办法》，制度中规定由综合管理部统一进行人员的招聘和录用,是,,

严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核。,,目前制订有《银视通信息科技有限公司招聘与离职管理办法》，制度中要求对被录用人的身份、背景、专业资格和资质等进行审查，并且要符合相关关键岗位的基本要求,完整的审查考核,,

应签署岗位安全协议和保密协议。,,目前在员工入职时要求签署保密协议，并提供了保密协议范本,是,,

应严格规范人员离岗过程。,,目前制订有《银视通信息科技有限公司招聘与离职管理办法》，制度中对人员离职程序进行了规定，离职人员需要填写《员工离职申请单》，经过批准后公司与员工签署《劳动合同解除协议书》并办理离职流程和相关交接手续,有相应的管理制度且执行到位,,

应及时终止离岗员工的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备，办理严格的调离手续。,,目前制订有《银视通信息科技有限公司招聘与离职管理办法》，制度要求员工办理完离职手续后需要进行离职移交，包括及时终止离岗员工所有访问权限，取回所有软硬件设备,及时中止离岗员工的全部权限,,

关键岗位人员离岗须承诺调离后的保密义务后方可离开。,,目前与新员工签订的《保密协议》中有要求人员离岗须承诺调离后的保密义务后方可离开的规定,是,,

涉密岗位人员离岗还应遵守国家相关的保密规定要求。,,目前与新员工签订的《保密协议》中有人员离岗应遵守国家相关的保密规定的要求,是,,

应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对定期安全教育和培训进行书面规定。,,目前制订有《银视通培训管理办法》，制度中对新入职员工、在职员工等的培训有做要求，包括制度培训、业务培训和管理培训等内容，并提供了安全意识培训签到表,有完整的教训培训制度且落实到位,,

针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训。,,目前制订有《银视通培训管理办法》，制度中有针对员工的培训计划，但没有针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训的相关内容,有培训计划但不完整,,

对安全责任和惩戒措施进行书面规定并告知相关人员。,,目前制订有《银视通信息科技有限公司业务运行监督管理规范》，制度中对各个岗位员工的安全责任和惩戒措施进行了规定并告知相关人员,有书面规定且告知相关人员,,

对违反违背安全策略和规定的人员进行惩戒。,,目前制订有《银视通信息科技有限公司业务运行监督管理规范》，制度中规定对违背安全策略和规定的人员采取扣罚等措施,是,,

对安全教育和培训的情况和结果进行记录并归档保存。,,目前在对员工进行安全教育和培训后，对《系统及网络安全意识培训登记表》进行归档保存，但记录不完整,有记录但不完整,,

6.应采取有效的运行设备、应用系统及环境监控措施；,,目前通过部署zabbix实现对网络、主机等生产设备以及应用系统进行监控,有完善的监控措施,,

应对通信线路、网络设备的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存。,,目前通过zabbix实现对网络设备的通信线路、运行情况、网络流量、用户行为等进行监控，并存储在zabbix数据库中，日志信息每天定时备份到日志服务器,有完善的监控措施且有记录保存,,

应对主机（包括应用服务器、数据库服务器等）的运行状况、用户行为等进行监测和报警，形成记录并妥善保存。,,目前通过zabbix实现对主机（包括应用服务器、数据库服务器等）的运行状况、用户行为等进行监测和报警，并存储在zabbix数据库中，日志信息每天定时备份到日志服务器,有完善的监控措施且有记录保存,,

应对应用软件的运行状况进行监测和报警，形成记录并妥善保存。,,目前通过zabbix实现对应用软件的运行状况进行监测和报警，并存储在zabbix数据库中，日志信息每天定时备份到日志服务器,有完善的监控措施且有记录保存,,

7.应建立合理的变更管理机制且落实到位,,目前制订有《系统变更管理制度》和《重要数据变更管理制度》，建立了合理的变更管理机制且落实到位,有变更管理机制且落实到位,,

应确认系统中要发生的变更，并制定变更方案。,,目前制订有《系统变更管理制度》、《重要数据变更管理制度》，制度要求再确认系统变更前要编写变更申请方案，并对变更申请方案的内容进行了详细规定,是,,

变更内容中应有变更失败后的回退方案等。,,目前制订有《系统变更管理制度》，制度中在变更实施阶段中要求变更完成后，实施人员应进行相关的技术验证和业务验证，若结果得不到验证，应在限定时间内考虑变更回退，并针对不同类型的变更制订了不同的变更回退方案,是,,

8.应采取有效的安全事件处置措施，及时上报安全事件处置情况；,,目前制定有《安全事件响应管理办法》，制度对安全事件的紧急处理等进行了详细的规定,采取有效处置措施且及时上报,,

应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分。,,目前制订有《安全事件响应管理办法》，制度中对安全事件依照对系统产生的影响等因素划分了A-D四级，其中A级为最高等级,已进行规范的分级,,

应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责。,,目前制订有《安全事件响应管理办法》，制度中对安全事件的判断、紧急响应、现场处理和事后处理等进行了详细的规定,已制定完整的制度,,

应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等，并对造成系统中断和造成信息泄密的安全事件采用不同的处理程序和报告程序。,,目前制订有《安全事件相应管理办法》，制度中对安全事件的报告流程、响应和处置范围、程度，以及处理方法等进行了详细的规定，并且要求造成系统中断和信息泄密的安全事件采用不同的处理和报告程序,已制定完整的程序,,

应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存。,,目前制定有《安全事件响应管理办法》，制度中对安全事件的时候处理包括了调查分析、事后恢复、事件总结和处理通报等过程，强调进行事安全件经验总结，发现在计算机信息安全管理方面的缺陷，完善相应的管理制度和技术规范，并有针对性地加强对有关管理制度和技术规范的实施力度,相关文档收集完整且保存良好,,

9.应建立合理的应急预案管理机制并落实到位,,目前制订有《生产系统应急预案管理流程》、《主机系统应急预案》、《生产网络应急预案》、《我公司系统业务连续性管理规范》，建立