网上银行系统的安全策略.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,网上银行3.0系统安全策略,财务管理,路安全,企业业务部 网上银行处,第1页,一、物理安全,二、网络安全,四、应用安全,三、系统安全,主要内容,第2页,一、物理与环境安全,1、区域安全,2、设备安全,3、安全管理规章,第3页,1、物理安全界限,-,专用电脑中心、密钥管理中心、网络控制中心机房,2、物理进入控制,-,保安、机房门禁,3、在安全区域内工作,-,业务操作区与设备区隔离,区域安全,第4页,1、,设备定位与保护,-,专用机架、口令保护,2、,电力供给与电缆安全,-,UPS双路电源，互为备份,3、,设备维护,-,购置硬件与软件厂商技术支持、专业维护队伍,设备安全,第5页,1、人员管理,2、系统操作规范,3、机房与设备维护要求,安全管理,第6页,二、网络安全,1、防火墙与路由器,2、动态入侵检测,第7页,防火墙与路由器,INTERNET,客户,防火墙,防火墙,网上银行系统,分行,分行,防火墙,中国银行,安全通道,1000兆防火墙 NETSCREEN,第8页,总行网络监控中心-天阗入侵检测系统，严防黑客入侵,动态入侵检测,第9页,三、系统安全,1、操作系统安全,2、系统访问控制,第10页,中国银行网上银行采取了国际著名厂商（IBM）安全操作系统，与国际一流商业银行电子银行服务看齐，足以确保网上银行系统安全。,1、操作系统安全,第11页,1、严格用户访问管理-用户注册口令5次错误锁定、连续3天被锁定则用户死锁,2、系统访问管理-IP地址识别、硬件编码地址识别、系统访问时间控制,2、系统访问控制,第12页,四、应用安全,身份管理,身份证件分发,身份认证,通信保护,保密性,完整性,不可否定性,访问控制,授权,安全审计,历史追踪,缺点分析,第13页,1、,可靠身份管理,（1）普通口令,-两次口令校验,网上银行登录口令、密钥保护口令,（2）电子令牌,-实体检测,口令保护、数据不可读出,（3）数字证书,-强身份认证,重新建设CA认证中心,三重校验，身份确认,第14页,USERID和密码示例,第15页,电子令牌,USBKEY/IC卡,USBKEY/IC卡经过产生和识别网上电子交易,数字签名（电子签名或电子图章），达到识别,交易者身份和验证交易数据真伪,目，保证网上交易,不可否定性(Nonrepudiation)；,同时作为身份认证强力工具。,第16页,口令-定时更换,第17页,口令-定时更换,第18页,为配合网上银行安全系统改造，我行重建CA认证中心。新CA系统支持当地化128位对称加密算法，1024位证书署名，同时支持Netscape和IE中英文版本。,电子证书载体采取经过国家密码主管机构认可USBKEY/IC卡，保障密钥和证书安全。,CA电子证书,第19页,电子证书与身份证比较,姓名：王家业,编号：452801197312061538,签发者：北京市公安局,海淀分局,公布时间：-04-05,使用期：,住址：北京市海淀区学院南路9号,颁发给：WANGJIAYE,序列号：10E7 D8F3 8078 ADEC 1100 0ED4 8BB2 EEBB签发者：C=CN，S=BEIJING，L=BEIJING，O=BANK OF CHINA，CN=INTERNET BANKING，BANK OF CHINA,有效起始时间：年12月6日,有效终止时间：2012月6日,Email：wangjybank-of-,公钥：RSA(1024 bits),38ighwejb,第20页,企业电子证书详细信息-示例,第21页,2、通信保护-保密性,加密,解密,明文,明文,密文,K,K,采取128位对称加密算法、SSL安全套接层协议，确保交易数据保密性,第22页,加密,解密,K,K,K密文,B公钥,B私钥,通信保护-保密性,采取1024位RSA非对称加密算法，确保交易,数据保密性,第23页,通信保护-完整性,明文摘要,A公钥,解密,加密,摘要密文,A私钥,明文,明文摘要,SHA1数字摘要算法,SHA1散列算法,明文摘要,相等？,第24页,通信保护-数字署名,数字署名：数据完整性中发送方操作,验证数字署名：接收方操作,署名目标：信息是由署名者发送；,验署名目标：信息自签发后到收到过程中，没有被篡改、没有仿冒、不是重发性攻击；,第25页,发送方,信息,散列函数,摘要,私钥加密（署名）,数字署名,数字署名,信息,散列函数,摘要,公钥解密,摘要,信息,被确认,比较二者如一致,接收方,通信保护-数字署名,第26页,网上银行中数字署名-示例,第27页,3、访问控制-登录三重办法,1、USERID 唯一性，确保有效识别操作员,2、USERID与口令、电子令牌耦合校验,3、USERID与CA电子证书耦合校验,第28页,访问控制-应用三重办法,1、操作员对不一样产品、功效控制,2、操作员对不一样账号控制,3、操作员对不一样账号授权级别控制,第29页,4、审计-客户操作统计,对,用户每一个操作,网上银行都做了详细LOG记载，方便用户掌握资金汇划过程中相关操作信息,第30页,审计-客户操作统计,第31页,审计-系统日志统计,对客,户每一笔交易处理全过程,银行系统都做了详细LOG统计，方便银行维护和审计人员掌握资金汇划过程中相关处理信息,第32页,2月，我行网上银行系统顺利经过了全球四大咨询评定企业排名第二德勤企业“互联网安全与控制审计”。,我行成为国内同业首家经过安全审计评定商业银行,权威结论,第33页,