银行信息安全检查方法

以主动检测技术，通过评估、检查、测试等方式，全面及时发现银行可能存在的信息安全隐患。典型的信息安全检查的开展形式如下。

1.风险评估

基于风险评估对银行的生产系统进行综合性安全测试，全面发现系统可能存在的安全隐患，用以评价系统的安全现状并指导安全建设工作的开展。

2.渗透测试

模拟真实黑客攻击，对银行互联网服务系统进行安全健壮性测试，发现系统存在的安全漏洞和隐患，并配合网站安全监测项目对银行互联网服务系统进行全方位检测。

3.网站安全监测

对银行互联网服务系统进行实时监测，配合渗透测试项目及时发现系统挂马、被黑及暴露的安全隐患并进行处置。

4.源代码检查

依据银行应用系统安全开发相关标准、规范、指南对系统源代码进行安全测试。

5.漏洞扫描(www.xing528.com)

对生产系统服务器进行安全漏洞情况测试，发现服务器、数据库、中间件等可能存在的安全漏洞，验证“漏洞通报”提交漏洞的补丁情况。

6.安全基线检查

基于银行当前安全基线的配置要求对网络设备、服务器进行检查，识别不符合项并提出整改意见。

7.漏洞定向通报

针对银行使用的软硬件产品提供最新漏洞信息及其修复措施等，以及时发现并排除信息安全漏洞与隐患，降低信息安全事件发生的可能性，提高信息安全威胁应对与风险管理的能力和水平。

8.上线前安全测试

在系统上线前进行漏洞扫描、基线检查及安全规范合规性检查。

9.专项安全检测

针对信息安全的某个特定领域或特定系统进行的专项检测（如手机银行安全测试、弱口令检查等），发现特定领域可能存在的安全漏洞并进行整改，提高该领域的安全防护能力和水平。