一����、信息系統(tǒng)現(xiàn)狀
隨著人民銀行信息化的迅速發(fā)展��,利用國際互聯(lián)網(wǎng)向社會機構(gòu)和公眾提供服務(wù)的互聯(lián)網(wǎng)應(yīng)用需求越來越多���,人民銀行正在建設(shè)的支付信用信息查詢系統(tǒng)�����、應(yīng)收賬款質(zhì)押登記公示系統(tǒng)均屬于這類互聯(lián)網(wǎng)應(yīng)用系統(tǒng)�。
支付信用信息查詢系統(tǒng)(以下簡稱PCIS)是個人和企業(yè)信用信息基礎(chǔ)數(shù)據(jù)庫(以下簡稱征信系統(tǒng))的重要子系統(tǒng)��,是面向社會公眾的基于Web模式的公共信息查詢系統(tǒng)��。
配合《物權(quán)法》的實施��,作為動產(chǎn)融資主要形式的應(yīng)收賬款登記機構(gòu)為信貸征信機構(gòu)�,以應(yīng)收賬款出質(zhì)的,質(zhì)權(quán)自信貸征信機構(gòu)辦理出質(zhì)登記時發(fā)生效力�。作為信貸征信機構(gòu)����,在《物權(quán)法》實施之日建成能夠覆蓋全國的、統(tǒng)一的�����、高效的應(yīng)收賬款質(zhì)押登記公示系統(tǒng),通過互聯(lián)網(wǎng)提供信息查詢服務(wù)���。
鑒于互聯(lián)網(wǎng)安全環(huán)境與風險相對于內(nèi)部網(wǎng)絡(luò)應(yīng)用更為復雜��,人民銀行新建互聯(lián)網(wǎng)應(yīng)用系統(tǒng)也面臨多種多樣的安全威脅�,為確保新建互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全運行���,急需通過對系統(tǒng)進行信息安全風險評估�����,在深入研究分析的基礎(chǔ)上�����,對新建互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防范措施提出更高的要求����,進行體系化的安全防護建設(shè)�。
二、信息系統(tǒng)安全目標
通過對支付信用信息查詢系統(tǒng)�、應(yīng)收賬款質(zhì)押登記公示系統(tǒng)信息安全風險評估,分析互聯(lián)網(wǎng)應(yīng)用結(jié)構(gòu)風險和配置風險�,提出互聯(lián)網(wǎng)應(yīng)用安全加固建議���,進一步保障互聯(lián)網(wǎng)應(yīng)用的安全。
三����、項目內(nèi)容
天融信公司項目實施小組通過對支付信用信息查詢系統(tǒng)、應(yīng)收賬款質(zhì)押登記公示系統(tǒng)的物理脆弱性與威脅評估���、網(wǎng)絡(luò)脆弱性與威脅評估�����、系統(tǒng)脆弱性與威脅評估�����、應(yīng)用脆弱性與威脅評估�����、滲透性測試,檢查了系統(tǒng)的物理安全風險���、系統(tǒng)對外網(wǎng)站服務(wù)器操作系統(tǒng)����、應(yīng)用程序存在的安全漏洞、統(tǒng)計信息系統(tǒng)對外網(wǎng)站頁面是否存在安全漏洞�、統(tǒng)計信息系統(tǒng)對外網(wǎng)站后臺數(shù)據(jù)庫系統(tǒng)的安全狀況、統(tǒng)計信息系統(tǒng)防火墻配置策略是否符合要求及內(nèi)外網(wǎng)實施邏輯隔離的安全性��。
四�、系統(tǒng)建設(shè)效果
分別完成支付信用信息查詢系統(tǒng)、應(yīng)收賬款質(zhì)押登記公示系統(tǒng)如下成果:
1���、
中國人民銀行新建互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風險評估技術(shù)報告
2����、
中國人民銀行新建互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全風險評估工作報告
3��、
中國人民銀行新建互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全改進方案
4�、
中國人民銀行新建互聯(lián)網(wǎng)應(yīng)用的安全架構(gòu)設(shè)計方案
在以上報告的基礎(chǔ)上,人民銀行對支付信用信息查詢系統(tǒng)�、應(yīng)收賬款質(zhì)押登記公示系統(tǒng)進行了安全加固和改進,使系統(tǒng)的安全性得到極大地提高�。
