收藏
下载资源

银行业信息安全解决方案

上传人:jiups****uk12 文档编号:56902153 上传时间:2018-10-17 格式:PPT 页数:50 大小:2.17MB
返回 下载 相关 举报
银行业信息安全解决方案_第1页
第1页 / 共50页
银行业信息安全解决方案_第2页
第2页 / 共50页
银行业信息安全解决方案_第3页
第3页 / 共50页
银行业信息安全解决方案_第4页
第4页 / 共50页
银行业信息安全解决方案_第5页
第5页 / 共50页
点击查看更多>>
资源描述

《银行业信息安全解决方案》由会员分享,可在线阅读,更多相关《银行业信息安全解决方案(50页珍藏版)》请在金锄头文库上搜索。

1、银行业信息安全解决方案,2,主要内容,银行业目前存在的安全隐患 银行业信息安全解决方案 成功案例,3,信息网络安全体系示意图,4,银行业目前存在的安全隐患,信息传递的安全隐患,业务系统的安全隐患,5,信息传递的安全隐患,网络硬件的安全缺陷:如可靠性差、电磁辐射、电磁泄漏等。 通信链路的安全缺陷:如电磁辐射、电磁泄漏、搭线、串音等。 技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口,不少关键网络设备也依赖于进口。 缺乏系统的安全标准引起的安全缺陷:中国虽然已经有了一些网络安全标准,但还是很不完善。,6,业务系统的安全隐患,据ICSA统计,来自计算机系统内部的安全威胁高达60 非法用户进入

2、系统及合法用户对系统资源的非法使用 被非法用户截获敏感数据 非法用户对业务数据进行恶意的修改或插入 数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据,在不可信的计算机基础上建立可信点,7,主要内容,银行业目前存在的安全隐患 银行业信息安全解决方案 成功案例,8,银行业安全解决方案,信息传递的安全解决方案,业务系统的安全解决方案,整体的安全解决方案范例 (网上银行),9,信息传递的安全解决方案,对于物理层,主要通过制定物理层面的管理规范和措施来提供安全解决方案 对于网络接口层,主要通过线路加密机对数据加密保护。它对所有用户数据一起加密,加密后的数据通过通信线路送到另一节点后解密 对于网

3、际层,主要通过IP密码机来保证网络层数据传输的安全性 对于传输层,主要通过SSL协议和VPN技术来保证传输层安全 对于应用层,可以采用节点式密码机来保证应用数据的保密性,10,信息传递的安全解决方案,11,信息传递的安全解决方案,对于使用ATM、DDN等方式的主干连接,如在银行总行和省、地市分行之间的连接,建议采用与连接方式对应的线路加密机进行加密保护,加密机对线路中所传送的所有数据进行加密,而与协议无关。同时还有专门用于加密电话网的线路加密机可供配套使用; 对于连接方式比较复杂的情况,如县级支行和省、地市以及总行之间的数据传输,可能采用包括ADSL、ISDN或者直接拨号上网等的多种连接方式,

4、建议采用IP密码机进行加密保护,对TCP/IP协议中的IP数据包内容进行加密,能够灵活适应多种的网络连接方式,对基于TCP/IP协议的应用透明;,12,信息传递的安全解决方案,对于传输敏感数据比较少的连接,如在储蓄所或小型的银行之间的数据传输,建议采用节点加密机进行加密保护,敏感信息加密后,连同普通信息一起通过电信公网传输到目的地; 对于需要远程接入的情况,如出差在外的银行工作人员,建议采用基于PKI体系的VPN系统进行加密保护,远程接入方首先连入电信网络,然后通过VPN系统接入,此时传送的数据受数字证书加密保护,同时客户端数字证书采用IC卡或USB电子令牌进行保护。,13,DDN线路加密机的

5、技术指标(一),性能指标 网络协议严格按照ITU-T和IETF的相关技术标准,其本身不占用网络资源 加/解密处理的最高速率为全双工2Mbps 当线路传输速率为2Mbps时,密码设备的延时小于3ms,设备的加入几乎不影响网络的性能 最大并发用户数为4096个,14,DDN线路加密机的技术指标(二),密码算法 支持对称密码算法和非对称密码算法 对称密码算法密钥长度为128位,支持SSF09算法 RSA算法密钥长度1024位 HASH算法为MD5,15,银行业安全解决方案,信息传递的安全解决方案,业务系统的安全解决方案,整体的安全解决方案范例 (网上银行),16,业务系统的安全解决方案,数字证书登录

6、 表单域签名加密 数字时间戳服务 文档电子签名与加密 安全电子邮件 可信站点认证服务 软件代码签名,17,数字证书登录,功能: 先进的密码技术,保证登录用户的合法性 登录过程对用户透明,无需记忆口令 通过数字证书确认用户身份的合法性 数字签名技术有效防止用户抵赖行为 采用加密通信协议,保护机密信息不被泄漏应用场景:银行客户安全登录银行网站银行员工登录管理系统,18,应用数字证书登录,19,表单域签名加密,功能: 确认填写人身份 确保网页表单内容真实性 确保网页表单内容完整性 确保网页表单内容机密性 确保网页表单内容不可抵赖应用场景:银行客户在线支付、在线转账等,20,应用表单域签名加密,表单签

7、名,21,数字时间戳服务,数字时间戳是对时间信息的数字签名。 数字时间戳主要用于实现以下两个功能: 确定在某一时间,某个文件确实存在; 确定多个文件在时间上的逻辑关系,即: 多个文件在逻辑上的时间先后顺序; 多个文件是否属于逻辑上的同一时间。应用场景:数字支票、在线转账,22,应用数字时间戳服务,23,数字时间戳服务应用说明,对于数字支票之类可以重复出现相同内容的电子数据,通常采用数字时间戳来创建过期标记。时间戳将电子数据的内容和产生时间相关联,相同内容的电子数据由于产生时间不同,时间戳也不会相同。所以当两份相同内容的电子数据出现时,可以根据时间戳判断它们是否出自同一个拷贝。,24,文档电子签

8、名与加密,功能: 采用国际通用的X.509 V3证书和PKCS技术标准对文档及签名者的意见进行签名和验证 确保签名文档的完整性 防止对文档做未经授权的篡改 确认签名者真实身份 保证签名行为的不可否认性 无纸化办公,提高办公效率 应用场景:银行内部无纸化办公,客户账单电子签收等,25,应用文档电子签名与加密,26,安全电子邮件,功能: 确认电子邮件发送者身份 确保电子邮件内容真实性 确保电子邮件内容完整性 确保电子邮件内容机密性 确保电子邮件内容不可抵赖应用场景:银行内部无纸化办公,客户账单安全发送,27,应用安全电子邮件,28,可信站点认证服务,功能: 访问者向银行网站发送敏感信息时,确信其信

9、息被发送到真实的目标站点 防止第三方站点仿冒银行网站,骗取访问者向该站点提交的敏感数据(比如:信用卡号码、密码等)应用场景:防止克隆银行网站骗取银行客户信息,29,应用可信站点认证服务,通过安全连接发送信息,当站点信息和证书信息不相同时给出警告信息,30,软件代码签名,功能:银行使用代码签名证书对本行软件进行签名后放到互联网上,使其软件产品更难以被仿造和篡改,增强银行与用户间的信任度和软件商的信誉;用户知道该软件是安全的并且没有被篡改过,用户可以安全地进行下载、使用。 优点: 有效防止代码的仿冒 保证代码的完整性 可追踪代码的来源 应用场景:银行客户端软件的安全在线安装/更新,31,应用软件代

10、码签名,32,业务系统安全解决方案,银行业务,用户身份确认 证书登录,账单传递 安全电子邮件,在线支付/转账 表单签名加密 数字时间戳,机要文件发放 文档签名加密,网上银行 软件更新 代码签名,网站防伪造 可信站点,33,支持的业界标准,加密标准: DES, IDEA, RSA, MD5, SHA-1 等 证书标准: X.509v3, CRLv2, PKCS系列标准 LDAP标准: LDAPv2 智能卡标准: ISO7816, PC/SC, PKCS#11 安全邮件标准: S/MIME VPN协议: IP-Sec (RFC1825-1828) 电子认证平台体系架构: Intel CDSA,34

11、,银行业安全解决方案,信息传递的安全解决方案,业务系统的安全解决方案,整体的安全解决方案范例 (网上银行),35,整体的安全解决方案范例(网上银行),安全网上银行,公网部分,内网部分,36,网上银行安全解决方案说明,用户经SSL连接到银行网站,同时使用数字证书登录; 用户在银行网站进行在线转账或者在线支付,使用表单签名加密和数字时间戳等方式保护和确认操作; 用户指令到达银行内部业务系统,系统采用节点密码机对其进行解密; 银行内部业务系统对用户指令进行处理,同时通过加密链路将指令传送到各相关银行; 银行内部业务系统反馈指令处理结果,以安全电子邮件或电子账单(采用文档电子签名与加密)方式传递给用户

12、; 用户获得反馈,网上银行业务完毕。,37,银行业网络安全建议,系统要尽量与公网隔离,要有相应的安全连接措施 为了提供网络安全服务,各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性等安全机制,并有相应的安全管理 远程客户访问重要的应用服务应严格执行鉴别过程和使用访问控制 信息传递系统要具有抗侦听、抗截获能力,能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击,保护信息的机密性,保证信息和系统的完整性 涉及保密的信息在传输过程中,在保密装置以外不以明文形式出现,38,其他需考虑的安全问题,风险评估 防病毒 入侵检测 内容过滤(邮件、网站) 数据

13、备份与灾难恢复,39,主要内容,银行业目前存在的安全隐患 银行业安全解决方案 成功案例,40,成功应用案例,网证通认证体系 海南CA 湖北CA 重庆CA,电子政务广东商检 国家审计署广州办网上办公广州市农委岭南农业网广州市政府信息工程网上招投标厦门市政府采购网深圳贸易发展局,电子商务九运会网上注册系统赢时通证券网中衡网上报关广东省数据局计费帐单发送21CN安全电子邮件广东移动网上招投标,成功应用案例,41,成功应用案例,成功应用案例,广州工商,广州农委,九运会,42,感谢您的参与!,网证通为您e路护航,43,导致安全漏洞 七大管理问题,1850位信息安全专家的总结 SANS 99,44,7 安

14、全无用论,忽略安全问题,假装它并不存在,45,6 头痛医头、脚痛医脚,采用反复、短期的措施 相同安全问题一再迅速重现,46,5 忽视声誉,没有认识到信息与组织声誉的价值在数字化社会中 信息系统被破坏会对企业的形象与业务产生巨大的影响,47,4 完全依靠防火墙,内部网也用TCP/IP协议 存在与Internet相同的安全问题 不能防内 安全事件6080%由内部人员造成 安全隔离做不到绝对分离 内部网 之间的互连互通,48,3 不规范的实施安全操作,没有明确的安全目标与安全措施 如: 仅打补丁 没有完整的安全政策 不全面检查安全问题,49,2 错误地理解信息安全与业务问题的关系,物理安全 铁门、铁窗 保险箱 保安 信息安全 信息的价值,50,1 错误的人事安排,指派未经训练的人员维护安全 缺乏充分的时间与培训,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号