《网上银行系统的安全策略》由会员分享,可在线阅读,更多相关《网上银行系统的安全策略(33页珍藏版)》请在金锄头文库上搜索。
1、 网上银行网上银行3.03.0系统的安全策略系统的安全策略财务管理财务管理财务管理财务管理 1主要内容主要内容2一、物理与环境安全1 1、区域安全、区域安全2 2、设备安全、设备安全3 3、安全管理规章、安全管理规章31 1、物理安全界限、物理安全界限- 专用电脑中心、密钥管理中心、网络控制中心机房2 2、物理进入控制、物理进入控制- 保安、机房门禁3 3、在安全区域内工作、在安全区域内工作- 业务操作区与设备区隔离区域安全区域安全41、设备定位与保护设备定位与保护- 专用机架、口令保护2、电力供应与电缆安全电力供应与电缆安全- UPS双路电源,互为备份3、设备维护设备维护- 购买硬件与软件厂
2、商技术支持、专业维护队伍设备安全设备安全5 1、人员管理 2、系统操作规范 3、机房与设备维护规定安全管理安全管理6二、网络安全7防火墙与路由器INTERNETINTERNET客户防火墙防火墙网上银行系统分行分行防火墙中国银行安全通道1000兆防火墙兆防火墙 NETSCREEN8 总行网络监控中心总行网络监控中心-天阗入侵检测系统,严防黑天阗入侵检测系统,严防黑客入侵客入侵动态入侵检测9三、系统安全10 中中国国银银行行网网上上银银行行采采用用了了国国际际著著名名厂厂商商(IBMIBM)的的安安全全操操作作系系统统,与与国国际际一一流流商商业业银银行行的的电电子子银银行行服服务务看看齐齐,足足
3、以以保保证证网网上上银银行行的的系系统统安全。安全。 1、操作系统安全11 1 1、严格的用户访问管理、严格的用户访问管理-用户用户注册口令注册口令5 5次错误锁定、连续次错误锁定、连续3 3天被锁天被锁定则用户死锁定则用户死锁 2 2、系统访问管理、系统访问管理-IP-IP地址识别、地址识别、硬件编码地址识别、系统访问时间控硬件编码地址识别、系统访问时间控制制2、系统访问控制12四、应用安全身份管理身份管理身份证件分发身份证件分发身份认证身份认证通信保护通信保护保密性保密性完整性完整性不可否认性不可否认性访问控制访问控制授权授权安全审计安全审计历史追踪历史追踪缺陷分析缺陷分析131、可靠的身
4、份管理(1)普通口令)普通口令-两次口令校验 网上银行登录口令、密钥保护口令(2)电子令牌)电子令牌-实体检测 口令保护、数据不可读出(3)数字证书)数字证书-强身份认证 重新建设CA认证中心 三重校验,身份确认三重校验,身份确认14USERIDUSERID和密码和密码示例示例15电子令牌 USBKEY/IC USBKEY/IC卡卡 USBKEY/ICUSBKEY/IC卡卡通通过产生和识别网上电子交易过产生和识别网上电子交易的数字签名(电子签名或电子图章),达到识别的数字签名(电子签名或电子图章),达到识别交易者身份和验证交易数据真伪交易者身份和验证交易数据真伪的目的,保证网上交易的的目的,保
5、证网上交易的不可否认性不可否认性(Nonrepudiation)(Nonrepudiation);同时作为身份认证的强力工具同时作为身份认证的强力工具。 16口令-定期更换17口令-定期更换18 为配合网上银行安全系统改造,我行重建为配合网上银行安全系统改造,我行重建CACA认证中心。新认证中心。新CACA系统支持本地化的系统支持本地化的128128位对称加位对称加密算法,密算法,10241024位证书签名,同时支持位证书签名,同时支持NetscapeNetscape和和IEIE中英文版本。中英文版本。 电子证书载体采用经过国家密码主管机构认电子证书载体采用经过国家密码主管机构认可的可的USB
6、KEY/ICUSBKEY/IC卡,保障密钥和证书安全。卡,保障密钥和证书安全。CA电子证书19电子证书与身份证的比较姓名:王家业编号:4528538签发者:北京市公安局 海淀分局发布时间:2000-04-05有效期:10年住址:北京市海淀区学院南路9号颁发给:WANGJIAYE序列号:10E7 D8F3 8078 ADEC 1100 0ED4 8BB2 EEBB签发者:C = CN,S = BEIJING, L = BEIJING, O = BANK OF CHINA, CN = INTERNET BANKING ,BANK OF CHINA有效起始时间:2002年12月6日有效终止时间:20
7、05年12月6日Email:wangjybank-of- 公钥:RSA (1024 bits) 38ighwejb20企业电子证书详细信息-示例212、通信保护-保密性加密解密明文明文密文KK采用采用128128位对称加密算法、位对称加密算法、SSLSSL安全套接层协议,确保交安全套接层协议,确保交易数据的保密性易数据的保密性22加密解密KKK的密文B公钥B私钥通信保护-保密性采用采用10241024位的位的RSARSA非对称加密算法,确保交易非对称加密算法,确保交易数据的保密性数据的保密性23通信保护-完整性明文摘要A公钥解密加密摘要的密文A私钥明文明文摘要SHA1数字摘要算法SHA1散列算
8、法明文摘要相等?24通信保护-数字签名数字签名:数据完整性中发送方的操作验证数字签名:接收方的操作签名目的:信息是由签名者发送的;验签名目的:信息自签发后到收到的过程中,没有被篡改、没有仿冒、不是重发性攻击;25发送方信息散列函数摘要私钥加密(签名)数字签名数字签名信息散列函数摘要公钥解密摘要信息被确认比较两者如一致接收方通信保护-数字签名26网上银行中的数字签名-示例273、访问控制-登录三重措施1 1、USERID USERID 唯一性,确保有效识唯一性,确保有效识别操作员别操作员2 2、USERIDUSERID与口令、电子令牌的与口令、电子令牌的耦合校验耦合校验3 3、USERIDUSE
9、RID与与CACA电子证书的耦合电子证书的耦合校验校验28访问控制-应用三重措施1 1、操作员对不同产品、功能的控制、操作员对不同产品、功能的控制2 2、操作员对不同账号的控制、操作员对不同账号的控制3 3、操作员对不同账号的授权级别控制、操作员对不同账号的授权级别控制294、审计-客户操作记录 对对用户每一个操用户每一个操作作, ,网上银行都做了详网上银行都做了详细的细的LOGLOG记载,方便用记载,方便用户掌握资金汇划过程户掌握资金汇划过程中的相关操作信息中的相关操作信息30审计-客户操作记录31审计-系统日志记录 对客对客户每一笔交易的处理全过户每一笔交易的处理全过程程, ,银行系统都做了详细的银行系统都做了详细的LOGLOG记录,记录,方便银行维护和审计人员掌握资金方便银行维护和审计人员掌握资金汇划过程中的相关处理信息汇划过程中的相关处理信息32 2001 2001年年2 2月,我行网上银行系统顺利通月,我行网上银行系统顺利通过了全球四大咨询评估公司排名第二的德过了全球四大咨询评估公司排名第二的德勤公司的勤公司的“互联网安全与控制审计互联网安全与控制审计” 。 我行成为国内同业首家通过安全审计评估我行成为国内同业首家通过安全审计评估的商业银行的商业银行权威结论 33
