关于网络安全风险隐患的自查报告
xxxx:
根据《关于排查整改非银行支付机构网络安全风险隐患的通知》的有关要求,我单位接到通知后,领导高度重视,及时安排部署组织开展自查工作,认真查找我行网络安全风险有关隐患,完善安全管理措施,减少安全风险,提高应急处置能力,确保网络及信息的安全,现将自查情况汇报如下:
1、存在与银联(网联)客结系统(也就是代付业务)之间用于报文签名的私钥保护不到位的问题;
排查结果:XXXXXXXXXXXX网联目前采用CFCA国密证书,私钥口令未写配置文件,使用信安世纪签名服务器进行保护,不存在此问题。
2、中间件安全存在问题,通用中间件未及时修复漏洞;
排查结果:XXXXXXXXXXXX在2019年的排查确认我方使用的中间件Weblogic版本过低,存在漏洞,已整体升级完成。
3、办公网络(包括邮件系统)安全防护措施相对较薄弱,容易成为共计切入点
排查结果:XXXXXXXXXXXX不属于支付机构,且办公网和
生产、研发网、运维网物理隔离。本单位办公网络均部署了IPS、IDS、WAF等安全设备,能够及时发现和阻断异常网络情况。
4、设备登录口令管理不到位
排查结果:XXXXXXXXXXXX部署了运维审计堡垒机,通过双因素认证后方可登录生产环境。且运维审计堡垒机按照不同部门的访问需求设置了单独的访问权限,所有运维人员仅开放了查询权限,变更权限需单独通过特殊流程申请并审批后方可使用。所有生产服务器均按照中国人民银行发布的运维安全管理基线进行了配置,密码复杂度符合管理要求。审计部不定期检查运维终端的使用情况;
本单位机房网络设备的登录口令严格按照我行信息网络安全制度执行存储,不存在将登录口令张贴于终端设备前。我行机房无服务器,存储服务器均托管于西安神舟数码,我行路由器、交换机、防火墙等设备均严格落实定期修改登录口令的要求。
5、日志审计措施不完善
排查结果:XXXXXXXXXXXX在运维生产环境部署了日志审计服务器,专用于手机生产服务器和网联设备的日志,计划在本年度年末部署日志分析系统,完善日志的统一收集、统一分析。
6、部分支付机构人员流动大、系统交接不清,人员经费保障不足
排查结果:XXXXXXXXXXXX非支付机构,且年人员流动率不高
于10%,关键岗位人员流动率不足5%。针对员工入职和离职,指定了专门的人员管理制度和流程,所有人员在入职时需提供由员工户籍所在地派出所提供的无犯罪记录证明。员工离职时,需提前1个月提交离职申请,经由部门经理和人事部门同意后,交还名下资产,交接相关工作,最后经审计部审批通过后,方可离职。本单位员工的入职与离职严格按照我行人事管理要求,在人员变动时,离职员工会提前一个月进行信息梳理与汇总,并一并交给下一任管理岗,不存在人员变动交接不清等情况。
7、部分后台管理系统弱口令账号仍然屡见不鲜。
排查结果:XXXXXXXXXXXX在2019年末,开展了基础设施专项审计工作,发现部分后台管理系统存在弱口令和历史账户未注销的情况,经审计部推动,截止本报告发出时,发现的问题已及时整改完成。本单位自查发现此前存在的弱口令问题,已发现并整改完毕。
通过此次自查,我行发现了在网络安全风险隐患仍存在不足,专业技术人员较少,信息系统安全投入力量有限,下一步将积极整改,完善网络安全应急管理办法,严格防范网络安全风险。
本单位
2020年xx月xx日
