随着人民银行信息化的迅速发展,利用国际互联网向社会机构和公众提供服务的互联网应用需求越来越多,人民银行正在建设的支付信用信息查询系统、应收账款质押登记公示系统均属于这类互联网应用系统。
支付信用信息查询系统(以下简称PCIS)是个人和企业信用信息基础数据库(以下简称征信系统)的重要子系统,是面向社会公众的基于Web模式的公共信息查询系统。
配合《物权法》的实施,作为动产融资主要形式的应收账款登记机构为信贷征信机构,以应收账款出质的,质权自信贷征信机构办理出质登记时发生效力。作为信贷征信机构,在《物权法》实施之日建成能够覆盖全国的、统一的、高效的应收账款质押登记公示系统,通过互联网提供信息查询服务。
鉴于互联网安全环境与风险相对于内部网络应用更为复杂,人民银行新建互联网应用系统也面临多种多样的安全威胁,为确保新建互联网应用系统的安全运行,急需通过对系统进行信息安全风险评估,在深入研究分析的基础上,对新建互联网应用系统安全防范措施提出更高的要求,进行体系化的安全防护建设。
通过对支付信用信息查询系统、应收账款质押登记公示系统信息安全风险评估,分析互联网应用结构风险和配置风险,提出互联网应用安全加固建议,进一步保障互联网应用的安全。
三、项目内容
天融信公司项目实施小组通过对支付信用信息查询系统、应收账款质押登记公示系统的物理脆弱性与威胁评估、网络脆弱性与威胁评估、系统脆弱性与威胁评估、应用脆弱性与威胁评估、渗透性测试,检查了系统的物理安全风险、系统对外网站服务器操作系统、应用程序存在的安全漏洞、统计信息系统对外网站页面是否存在安全漏洞、统计信息系统对外网站后台数据库系统的安全状况、统计信息系统防火墙配置策略是否符合要求及内外网实施逻辑隔离的安全性。
分别完成支付信用信息查询系统、应收账款质押登记公示系统如下成果:
1、 中国人民银行新建互联网应用系统安全风险评估技术报告
2、 中国人民银行新建互联网应用系统安全风险评估工作报告
3、 中国人民银行新建互联网应用系统安全改进方案
4、 中国人民银行新建互联网应用的安全架构设计方案
在以上报告的基础上,人民银行对支付信用信息查询系统、应收账款质押登记公示系统进行了安全加固和改进,使系统的安全性得到极大地提高。