资源描述
华夏银行新一代关键业务系统
应用安全方案
版本统计
版本
版本日期
修改者
说明
V0.1
/9/5
中国惠普企业
初稿
V0.5
/10/20
中国惠普企业
依据华夏银行提议,更改交易信息安全方案
V1.0
/11/11
中国惠普企业
依据华夏银行提议,更改文档章节结构
目 录
1. 整体安全方案概论 6
1.1. 此分文档目标 6
1.2. 整体安全方案概论 7
2. 现在关键系统安全现况及新一代关键业务系统应用安全需求 8
2.1. 现在关键系统安全现况 8
2.1.1. 业务范围 8
2.1.2. 系统架构 8
2.1.3. 系统应用安全现况 8
2.2. 新一代关键业务系统应用安全需求 9
2.2.1. 遵照华夏安全准则需求 9
2.2.2. 业务范围 9
2.2.3. 系统架构 9
2.2.4. 应用安全需求及处理 10
2.2.5. 安全标准、标准及需求 11
2.2.5.1. 安全标准 11
2.2.5.2. 安全标准 11
2.2.5.3. 安全需求 11
3. 身份验证 14
3.1. 身份验证方法 14
3.1.1. 动态口令验证方案 14
3.1.2. USB-Key验证方案 15
3.1.3. 身份验证方案提议实施方法和实施阶段 16
3.2. 身份验证系统架构方案 17
3.2.1. 单一入口服务系统(Portal)架构方案 17
4. 授权控制 20
4.1. 授权管理架构 21
4.1.1. 授权组织架构方案 21
4.1.2. 授权管理步骤 22
4.2. 授权系统架构方案 25
4.2.1. SSO系统架构方案 25
4.2.2. 独立授权服务器架构方案 26
5. 传输安全 28
5.1. 网络安全 28
5.1.1. 链路加密机加密处理 28
5.1.2. 现在所了解BANCS系统处理方法 28
5.1.3. 终端用户和BANCS Link间网络安全 29
5.1.4. BANCS Link和BANCS间网络安全 30
5.1.5. BANCS Link和综合前置间网络安全(组合交易) 30
5.1.6. 外围系统和综合前置间网络安全 31
5.1.7. 综合前置和BANCS间网络安全 31
5.2. 应用安全 32
5.2.1. 应用安全方案 32
5.2.2. 点对点加密方案 32
5.2.3. 选择性金融交易加密方案 33
5.2.4. 交易信息敏感性数据加密方案 33
5.2.5. 交易数据完整性方案 37
5.2.6. 服务器间验证方案 37
6. 存放安全 40
6.1. 交易数据安全存放方案 40
6.1.1. 交易敏感性数据加密存放方案 40
6.2. 密码安全存放方案 41
6.2.1. 动态口令登入密码存放方案 41
6.2.2. USB-Key登入密码存放方案 41
6.2.3. 用户口令加密存放方案 42
6.2.4. 用户口令不可逆存放方案 43
6.3. 新旧系统密码移转方案 43
6.3.1. 用户登入口令移转 44
6.3.2. 用户支付口令移转 44
7. 安全管理 46
7.1. 密钥管理方案 46
7.1.1. 密钥生命周期管理方案 46
7.1.2. 密钥更换管理方案 55
7.2. 防病毒管理 57
7.2.1. 病毒传输路径 57
7.2.2. 防堵病毒传输方法 57
7.2.3. 防治病毒处理方案 58
8. 推荐方案 60
8.1. 身份验证方案提议 60
8.1.1. 提议方案优/缺点分析 60
8.1.2. 提议实施方案 61
8.2. 授权控制方案提议 62
8.2.1. 提议方案优/缺点分析 62
8.2.2. 提议实施方案 62
8.3. 传输安全方案提议 63
8.3.1. 提议方案优/缺点分析 63
8.3.2. 提议实施方案 63
8.4. 存放安全方案提议 64
8.4.1. 提议方案优/缺点分析 64
8.4.2. 提议实施方案 64
附件一:第二级信息系统安全等级 65
附件二:第三级信息系统安全等级 71
1. 整体安全方案概论
在现在网络发达、网上交易盛行、网络诈欺事件及智慧型网络偷窃犯罪层出不绝状态下,银行业务处理面临前所未有挑战;既要维护银行信誉和保障用户数据不外泄,同时又要能即时无误处理用户业务需求,让用户无安全上顾虑(不管是柜面交易或是从渠道进来交易),业务交易处理安全上考量变得很关键。
计划一套业务应用安全机制及建设交易应用安全系统是当务之急关键工作,尤其是对新一代关键业务系统更是关键。建设这种交易安全机制并不影响现行系统运作,透过应用安全机制建设,保护用户及银行数据和资产,让业务交易处理安全性及信息保护愈加完善,更是时时刻不容缓工作。
1.1. 此分文档目标
信息安全是金融机构处理日常工作最关键指标,保护用户资产及银行资本关键性,是银行业务处理重心,关键系统应用安全是此文档要说明/表示目标。
文档读者
华夏银行大集中办管理层领导、华夏银行信息技术部领导、华夏银行大集中办项目管理办公室人员、华夏银行信息技术部项目管理办公室人员、华夏银行大集中项目监督委员会组员、华夏银行大集中项目管理委员会组员、华夏银行大集中工程在建项目经理、组长等。
涵盖范围
本文档用于描述华夏银行新一代关键业务系统(NGCBS)项目中相关关键系统应用安全,由总体架构组(OSA)依华夏银行新关键系统应用安全需求,整理后整体设计方案。
新一代关键业务系统(NGCBS)项目应用安全范围包含:
交易数据安全需求
数据传输安全需求(广域网及局域网)
数据库中数据安全需求
柜员登录方法和授权管理
1.2. 整体安全方案概论
本方案内容包含了以下多个面向:
身份验证安全方案
身份验证安全方案描述新一代关键系统应采取何种方案,确保终端用户登入系统身份,避免使用假冒身份。新一代关键系统终端用户包含支行用户﹑分行用户﹑系统管理用户。此方案具体内容请参考第3章。
授权控制(访问控制)安全方案
授权控制安全方案描述新一代关键系统应采取何种方案,确保每一位用户在系统上实施作业或是系统功效均为正当。避免因用户非法操作造成业务上损失。此方案具体内容请参考第4章。
传输上安全方案
传输上安全方案分为网络层安全和应用层安全。网络层安全是确保数据在网络上传输时,确保数据私密性和完整性。应用层安全是确保数据在输入终端至处理终端间传输过程中,确保数据对中间处理系统私密性和完整性。此方案具体内容请参考第5章。
存放数据安全方案
存放数据安全方案描述新一代关键系统应采取何种方案,确保数据存放于数据库中安全,包含数据私密性安全和完整性安全。此方案具体内容请参考第6章。
安全管理方案
安全管理方案包含两个部分,分别为密钥安全管理和防病毒安全管理。密钥安全管理是描述密钥在生成﹑公布﹑备份﹑删除上安全管理方法。防病毒安全管理是描述服务器和终端设备上预防病毒感染和病毒散步安全管理方法。此方案具体内容请参考第7章。
本方案所涵盖安区方案对应于OSA安全架构,可用下表说明:
安全标准
对应章节1
对应章节2
对应章节3
身份验证
3.身份验证
访问控制
4.授权控制
私密性
5.1网络安全
5.2.1.交易信息敏感性数据加密
6.存放安全
完整性
5.2.2.交易数据完整性
辨识性
5.2.4服务器间验证
不可否认性
5.2应用安全
在本方案最终,针对各章所提出多种方案,依据各个方案优劣点,提出提议实施内容,作为新一代关键系统安全方案实施上考量。
2. 现在关键系统安全现况及新一代关键业务系统应用安全需求
2.1. 现在关键系统安全现况
2.1.1. 业务范围
现在华夏银行2K版关键系统是采取各个分行分散式作业方法,华夏银行有28个分行,下辖大约总共300个支行;28个分行分布于全国各地,北从沈阳分行,南到深圳分行,西起乌鲁木齐分行,东达上海分行,幅员分布宽广。
2K版关键系统业务包含存款、放款等业务系统;其它相关业务系统和管理系统皆各自建设在不一样外围系统上;每个分行有各自外围系统,透过分行前置系统和2K版关键系统连接;各个分行有各自中间特色业务系统,分行间中间特色业务不尽全部相同;各个分行有各自分行前置系统负责分行/支行间业务交易处理。
2.1.2. 系统架构
华夏银行现在正进行大前置系统项目,要将全部分行前置系统整合为一个集中式总行综合前置系统及分行前置系统;同时将中间特色业务系统全部整合在总行综合前置系统和分行前置系统上。
现有2K版关键系统后台操作系统是AIX,前台VOST柜面系统服务器操作系统是SCO Unix,前台柜面终端机操作系统是SCO Unix。前台VOST柜面系统服务器放置在支行负责连接支行柜面交易和分行间处理;有部分分行将前台VOST柜面系统服务器上收到分行端,有分行统一管理前端柜面系统。
2.1.3. 系统应用安全现况
现在2K系统交易处理是由各个支行柜面服务器到分行2K版关键系统,交易处理上是除了用户密码是以软件加密方法处理外,其它交易数据是没经过加密处理,完全是以明码方法传送。
这种处理方法,对於交易信息安全是无任何保障;不安全影响所及范围涵盖分行及下辖支行职员和用户,对於用户资产及银行数据是完全没有任何保护。
2.2. 新一代关键业务系统应用安全需求
2.2.1. 遵照华夏安全准则需求
依” 华夏银行大集中项目信息系统信息安全等级保护要求1103.doc”文档规范,关键是着重在安全基础要求上技术类安全要求,对於管理类安全要求,需依据华夏银行安全管理规范或安全管理措施等条款办理。
新一代关键业务系统应用安全需求,是以基础技术要求中应用安全和数据安全等两方面安全要求来计划。技术类安全上,则是侧重在业务信息安全类,关键是保护数据在存放、传输、处理过程中不被泄漏、破坏和免受未授权修改。业务服务确保类和通用安全保护类安全需求,对保护系统连续正常运行及保护系统连续可用性需由新一代关键业务系统主机厂商对硬件及操作系统相关建设和实施,同时华夏银行负责运行部门需订定相关安全管理规范来确保系统正常连续运作。
相关主机系统安全规范,需由新一代关键业务系统主机厂商来提供硬件及操作系统相关安全数据;数据库系统安全需由数据库厂商提供相关安全数据。
网络安全需由相关路由器、交换机、通信线路等在内厂商提供相关信息系统网络环境安全数据。
具体相关安全需求等级规范对照,请详如本文档附件章节。
2.2.2. 业务范围
新一代关键系统业务范围包含:存款、放款、华夏卡、支付结算等,全部银行用户业务交易信息,皆和关键系统息息相关,是银行业务处理中最关键部分。
2.2.3. 系统架构
新一代关键系统是采取集中式作业方法处理,全国各地分行全部交易全部全部经由全行网络送到总行新关键系统处理。
新一代关键业务系统,除了新一代关键系统外,还有总帐系统、总行综合前置系统、55个(和新一代关键系统有接口关系)外围系统、关键配套外围系统(从2K系统独立出来系统,如:人行大/小额系统、理财系统、卡记点积分系统等)及其它系统等(和新一代关键系统无接口关系,如:人力资源系统、稽核系统等)。
新一代关键系统负责面向用户管理交易处理作业;总帐系统负责面向华夏内部管理后勤处理作业;综合前置系统负责华夏银行总行面向外部交易处理(如对分行/支行交易处理、外围系统交易处理、中间特色业务系统交易处理、面向多种渠道交易处理、银联中心/银关通/银证通/财税库行/人民银行等外围金融机构交易处理),是华夏银行业务处理关键把关门户。
新一代关键系统(BANCS)、前端柜面系统(BANCS Link)及柜员终端机交易处理是采取集中式作业方法,新一代关键系统产品并未有应用信息安全处理机制;现在华夏银行使用对用户密码采取软件加密方法,对於最关键新一代关键业务系统是无法满足应用信息安全需要;加上现在外在环境改变和智慧型网络犯罪盛行,无法防范这些种种威胁,对华夏银行及全部用户整体影响更是深远。
2.2.4. 应用安全需求及处理
应用安全计划,将从国际上应用数据安全标准(应用安全及传输安全)、安全标准(数据真实性(私密性)、完整性(唯一性)、机密性(身份认证)和不可抵赖性(不可否认性))及安全需求,来逐步说明。
同时,在应用安全上需要搭配相关硬件/软件加密设备来进行敏感性数据加密;在网络上需要采取链路加密设备,来处理网络层传输安全需求。
2.2.5. 安全标准、标准及需求
2.2.5.1. 安全标准
应用安全标准
安全上标准关键有两种:数据加密标准(DES: Data Encryption Standard)和公开密钥法则(PKI: Public Key Algorithm)。
数据加密标准(DES):需要产生一对密钥,必需要将自己产生另一个密钥发送给对方,本身端用自己密钥加密,对方端用所送密钥去解密。通常应用在数据端对端加密/解密使用,普遍用於金融机构数据加密/解密。另外对数据加密强化,采取Triple DES加密方法。
公开密钥法则(PKI):需要产生一对钥值,分为公钥及密钥,自己保留密钥,公钥发送给对方。本身用密钥对数据加密,对方用所送公钥验证数据正确性。通常应用在网络电子交易加密/解密处理。
传输安全标准
网络层传输安全标准,关键有多个,如:SSL (Secure Socket Layer)、VPN (Virtual Private Network)等来防护数据传输安全。通常应用在网络层数据传输加密/解密使用。业界通常常见方法是SSL,但VPN安全性较SSL安全性高。
2.2.5.2. 安全标准
参考国际安全准则要求及现在相关安全处理方案,不管是动态口令、USB-Key或数字证书(Certificate)方案,应用上安全或是传输过程中安全要求,皆能实现数据真实性(私密性)、完整性(唯一性)、机密性(身份认证)和不可抵赖性(不可否认性)。
2.2.5.3. 安全需求
安全需求,不管是应用安全需求或是传输安全需求,从安全要求四大要素---真实性(私密性)、完整性(唯一性)、机密性(身份认证)和不可抵赖性(不可否认性),来进行应用安全处理。
私密/真实性:确定数据输入私密/真实性
关键是确保数据是由发送方所发送原始数据。
为了达成真实性需求,必需对输入数据进行加工,保持原始数据於传输过程中和原来是一样。数据加工方法之一既是对数据进行加密处理,确保送达是原始数据。
加密处理可采取DES或PKI方法加密,对於数据量大或是加密频繁交易,采取DES加密方法会比用PKI加密方法效率很好。PKI加密方法较适合於数据量小或是加密频繁性低交易。
完整/唯一性:确定数据在传输过程中不至於被篡改
关键是确保数据於传输过程中,不会被内部/外部人员篡改,确保原来数据值。
为了达成完整性需求,必需保障数据完整性及不会於传输过程中被人篡改。
做法上是采取发送者密钥对整个数据验算出一个MAC值,连同数据一起发送给收信方;若数据於传输过程中被篡改,受信方於受到数据后,用发送方所给密钥(DES)/公钥(PKI)对整个数据验算出一个MAC值,进行验证时,所验算出来MAC值和发送者发送时所产生MAC值不相同,即可确定数据被篡改。
机密性/身份确定:确定数据发送者身份正确性
关键是确定数据发送者身份是正确,不是由其它人发送或有些人假冒身份发送数据。
机密性确实定,做法上采取发送者所提供密钥(DES)/公钥(PKI)对整个数据进行验算出一个MAC值,所验算出来MAC值和发送者发送时所产生MAC值相同,即可确定数据发送者身份正确性。
不可否認/不可抵赖性:确定数据正确及完整性
关键是确定整个数据完整性及正确性和由发送者发送数据是相同,发送者无法否定此份数据不是由发送者所发送。
不可否認性确实定,做法上采取发送者所提供密钥(DES)/公钥(PKI)对整个数据进行验算一个MAC值,所验算出来MAC值和发送者发送时所产生MAC值相同,即可确定数据正确及完整性。
网络传输安全需求
Ø 网络传输内部安全需求
由於新一代关键系统才集中式作业处理,从华夏银行支行/分行所发送交易,全部经由网络传送到总行处理。除了上述四点安全上需求外,尚需要加入内部网络传输安全部署(内部系统安全控制管理,如VPN/SSL/加密处理)才能完整防护数据安全。
支行/分行网络传输应用安全需求,是华夏银行内部网络交易,是固定/静态交易处理;安全需求及防护上处理需要和外部不一样。尤其内部安全威胁及安全被破坏性大於外部。(内贼难防)
Ø 网络传输外部安全需求
由於新一代关键系统才集中式作业处理,从不一样渠道交易也会经由网络传送到总行处理。除了上述四点安全上需求外,尚需要加入外部网络传输安全部署(如动态口令)才能完整防护数据安全。
渠道网络交易安全需求,是华夏银行外部网络交易,是不固定/动态交易处理;安全需求及防护上处理需要和内部不一样。外部安全威胁及安全被破坏性小於内部,但若是内部连同外部进行安全破坏,更是难防护。(外贼难防,内贼更难防)
3. 身份验证
3.1. 身份验证方法
新一代关键系统用户包含了分行或支行行员。分行和支行行员全部是透过BANCS Link登入到关键系统(BANCS)或是其它外围系统。所以,不管关键系统(BANCS)或是外围系统全部需要对登入用户进行身份核验工作,确定登入者身份,以利控管系统操作存取权限。
本提议书中,对于身份验证机制,提供两个方案选择,分别是动态口令验证和USB-Key验证方案。
3.1.1. 动态口令验证方案
动态口令验证方法是设置并发放给每一个用户一个动态口令盘。用户登入系统时,采取以下步骤:
(a) 用户利用动态口令盘产生动态口令。
(b) 用户再将动态口令输入登入页面口令空格。
(c) 应用系统服务端透过动态口令服务系统验证动态口令是否正确,均定是否许可用户登入。
动态口令验证方案提议采取市面上成熟动态口令系统,整合现有应用系统实现用户统一登入身份验证方法。动态口令系统建置通常包含下列步骤:
(d) 引进并建置动态密码服务器系统。
(e) 计划用户基础信息和动态口令数据间关系结构。
(f) 计划动态口令盘设置﹑发放﹑回收等作业程序和管理方法。
(g) 依据动态口令盘作业程序和管理方法,开发或用户化修改动态口令盘管理应用系统。
(h) 应用系统配合动态口令服务系统登入验证程序修改。
动态口令验证方案有下列优点:
(a) 使用方便。用户只需使用动态口令盘在每次登入时产生口令即可。
(b) 用户终端设备无需安装任何控制软件和提供任何额外接口。
(c) 应用系统整合轻易。应用系统只需于登入时调用动态口令系统提供接口。
动态口令验证方案有下列缺点:
(a) 通常动态口令无法使用于交易数据署名。
(b) 因为动态口令盘大多是采取离线作业方法,所以无法以连线侦测方法,侦测用户是否离席。
3.1.2. USB-Key验证方案
USB-Key验证方法是在USB-Key或IC卡上设置用户基础信息和登入密钥,并发放给用户使用。用户登入系统时,采取以下步骤:
(a) 将USB-Key插入终端设备或是将IC卡插入IC读卡机内。
(b) 用户输入USB-Key或IC卡开启口令后,由登入页面自动读取USB-Key内用户识别信息,并以登入密钥产生登入验证码。
(c) 应用服务端利用密钥验证技术验证用户识别信息和验证码是否相符,决定是否许可登入系统。
USB-Key验证方案提议由有经验安全系统开发商,依银行需求计划建制一套符合需求验证系统。USB-Key验证系统建置通常包含下列步骤:
(a) 计划USB-Key内用户验证信息和验证密钥结构和产生方法。
(b) 计划USB-Key设置﹑发放﹑回收等作业程序和管理方法。
(c) 依据USB-Key作业程序和管理方法,开发USB-Key管理应用系统,和验证服务系统。
(d) 应用系统配合USB-Key验证服务系统登入验证程序修改。和登入页面配合USB-Key登入验证控件验证程序修改。
USB-Key验证方案有以下优点:
(a) 采取双原因强验证 (包含USB-Key和USB-Key开启口令)。
(b) USB-Key和终端设备采取连线方法,可随时验证用户是否离席。
(c) USB-Key可采取双芯片(有线和无线)设计,于门禁系统结合。
(d) USB-Key可扩充加载数字证书,提供关键交易数字署名功效。
USB-Key验证方法有以下缺点:
(a) 市场上无统一标准产品,需要开发建置。
(b) 用户终端设备上需提供USB接口(采取USB-Key)或是IC读卡机(采取IC卡)。
(c) 用户终端设备上需安装USB-Key相关控件(可由登入页面自动下载安装)。
(d) 应用系统整合较为复杂,登入页面需依据USB-Key登入验证程序修改。
3.1.3. 身份验证方案提议实施方法和实施阶段
因为新一代关键系统整体系统架构复杂,而且有很多外围系统。所以实施方案上,提议分为早期实施范围和后续阶段实施范围。
在实施方法上,提议采取以下实施方法:
(a) 由 BANCS Link 提供统一登入页面,让用户登入。
(b) BANCS Link 将用户提交身份验证数据,转发给关键服务系统(BANCS) 或 外围系统。
(c) 关键服务系统和外围系统,各自透过统一身份验证服务系统验证用户提交身份验证数据是否符合,决定是否许可登入系统。
在实施阶段范围上,提议采取以下方法:
(a) 在早期阶段实施范围,提议只相关键服务系统(BANCS)。其它各外围系统仍保留原有身份验证方法。
(b) 后续阶段再逐一修给各个外围系统,将身份验证机制转移至统一身份验证服务系统上。
3.2. 身份验证系统架构方案
3.2.1. 单一入口服务系统(Portal)架构方案
为了让用户有一个统一入口和统一身份验证机制,能够采取方案之一是建置一套单一入口服务系统(Portal Server),负责提供用户单一入口验证和用户权限管理机制。由单一入口系统提供全部系统,包含新关键系统﹑外围系统,统一服务入口。单一入口系统所提供功效不仅只是单一登入入口(Single-Sign-On),还包含整适用户和应用系统间Session控管,和用户对业务功效权限管理等。
单一入口系统方案实施,必需经过下列步骤:
(a) 引进并建置一套单一入口服务系统。
(b) 计划单一入口系统身份验证方案和业务权限控管方案。
(c) 计划各业务系统,包含关键系统﹑外围系统和单一入口系统间Session控制步骤。
(d) 计划单一入口系统上,各业务系统业务和功效架构。
(e) 依据计划方案用户化单一入口系统。
(f) 依据计划方案修改或改造应用系统Session控管机制和业务权限控管机制。
(g) 依据计划方案修改或改造应用系统业务和功效架构。
单一入口系统方案即使可提供全方面用户单一服务入口,不过在实施上见面临下列问题:
(a) 单一入口系统架构所考虑不仅是统一登入入口实施,更应该考虑全部业务架构统一性和整合性。
(b) 单一入口系统对于各应用系统将整合有一定规范和标准(如JSR 168)。各应用系统必需依据规范和标准进行大幅度修改或是改造。
(c) BANCS 和 BANCS Link 间协定是采取新一代关键系统自有协定,对采取单一入口标准(如JSR 168),有实施上极大困难。
(d) 各分行入口实际上是透过各分行所配置BANCS Link服务器登入,并非直接在单一入口系统(Portal)上登入。所以在系统架构上配置会有困难度。
在面临以上困难情况下,对于单一服务入口系统实现,提议采取下列方案:
(a) 系统架构
(b) BANCS和BANCS Link间仍采取原有架构和协定。
(c) BANCS Link 透过单一入口服务系统验证用户身份,并登入。
(d) BANCS Link 以单一入口服务系统回应登入识别码,发送登入信息给 BANCS,由BANCS在透过单一入口服务系统登入识别码验证机制进行虚拟身份验证。
(e) BANCS提供业务功效,不透过单一入口服务系统,由BANCS自行管理用户权限。
(f) 其它外围系统,均必需依据 JSR 168 标准,修改或改造应用系统,和单一入口服务系统整合,透过但一入口服务系统调用业务应用服务。
单一入口服务系统方案有以下列优点:
(a) 可达成用户单一服务入口。
(b) 可提供用户统一业务权限管理。
单一入口服务系统方案也有下列缺点:
(a) 系统复杂度高,需要具体计划。
(b) 现有系统(包含关键系统和外围系统)配合实施难度高。
(c) 因为新一代关键系统BANCS和BANCS Link间采取自有协定,对于单一入口服务协定标准配合可行性有待商榷。
· 独立身份验证服务器架构方案
另一个比较单纯方案是建立一套独立身份验证服务系统,提供新关键系统(BANCS)和外围系统统一身份验证机制。
此种方案实施必需有下列步骤:
(a) 开发建置一套独立身份验证服务系统。
(b) 独立身份验证服务系统搭配选定身份验证机制(动态口令或USB-Key),实现身份验证功效。
(c) BANCS和外围系统登入功效依据独立身份验证服务系统提供身份验证接口,修改登入验证程序。
此方案系统架构图以下图:
此方案有以下优点:
(a) 系统架构较为单纯,实施较为轻易﹑省时。
(b) 可提供统一用户身份验证,用户不需针对不一样应用系统使用不一样登入代码﹑密码,甚至登入方法。
(c) 应用系统(包含关键系统和外围系统)修改幅度较小,轻易整合。
此方案也有以下缺点:
(a) 无法达成单一登入入口服务水平,用户仍要在各个应用系统(包含关键系统和外围系统)实施登入动作。
4. 授权控制
现在华夏银行新一代关键系统项目,除了新关键系统、总帐系统及综合前置系统外,和新关键系统相关外围系统约有55个系统。
於现在时空环境下,也无法将全部外围系统前台柜面界面全部转换为 BANCS Link前台柜面界面;部分外围系统前台柜面环境将使用原来前台柜面系统处理交易。同时,外围系统后台应用处理也是和新一代关键系统分开,各自处理各自交易;关键系统及各个外围系统各自处理各个系统交易授权。
於此情况下,对於柜员业务处理授权可能无一致性授权方法,每个系统必需自行处理交易授权。
考虑现实状态及可行性做法,相关授权控制将从建立一套完整安全管理步骤开始,再依现在状态,建立一个授权系统架构,来建设整体授权控制管理。
4.1. 授权管理架构
授权控制从系统建设时开始,订定一套完整安全管理步骤;从系统安全组织建立开始,先建立系统原始安全控管人员,再由原始安全控管人员建立系统安全控制人员,再由系统安全控制人员建立业务交易授权安全管理。授权控制说明以下:
4.1.1. 授权组织架构方案
ü 授权组织架构
授权管理提议依业务别和工作职责划分,分别建立部分群组授权,比如:
依工作职责划分群组权限,将每个职员分为不一样群组,每个群组授权依其工作职责给和不一样权限;每个职员可能属於一个以上群组。
主管有核准权限,但没有实施交易权限
经办/柜员有实施交易权限,但没有核准权限
每个单位皆有自己职责不一样权限
建立安全管理群组经办,负责建立每个职员/主管代号及授权
建立安全管理群组主管,负责核准新建立职员/主管及授权
4.1.2. 授权管理步骤
ü 系统建置安全控制步骤管
系统建置时,由厂商或华夏银行安全人员建立两位系统原始安全控管人员(一位为经办,一位为主管).
此两位原始安全控管人员,只限制在新增本系统所需要使用安全控管人员
安全控管人员
Ø 先建立每个群组交易权限(登录/核准)
Ø 再建立每个使用者数据(信息)
Ø 定义每个使用者所属分行代号及群组权限,并付予密码初始值(登录/核准)
使用者
Ø 使用者於前端柜面登入系统 (使用者第一次登入系统时,需要更改初始密码)
登入系统
Ø 检验使用者状态及使用者密码无误后,即可进入xxxxxxxxxxx系统.
(此时会依使用者交易权限显示交易功效清单画面)
ü 安全管理步骤
安全管理群组经办员,依其权限能够登录使用者数据维护及群组数据维护
安全管理群组主管,依其权限能够放行登录使用者数据异动及群组数据异动
各项参数维护、使用者数据查询、群组数据查询、使用者/群组数据明细表、使用者异动报表等,皆由安全管理群组人员负责维护
ü 使用者数据管理步骤
使用者数据建立及维护由安全管理人员负责。
使用者数据包含使用者所属分行/支行数据、所属权限群组、使用者名称及密码等,同时使用者登录统计及密码错误次数等数据,皆保留/存放,作为安控稽核凭证。
4.2. 授权系统架构方案
4.2.1. SSO系统架构方案
SSO授权系统架构是采取单一授权方法,经由对使用者一次授权,使用者可依授权於各个业务系统进行业务操作处理。
SSO授权系统架构
SSO系统授权步骤以下:
ü 使用者登入时,经由单一登入(SSO)登入单一登入网页(Portal Service)
ü 由单一登入网页(Portal Service)经由登入服务器(Access Control Server),对使用者代号和密码进行单一控管及验证,
ü 登入服务器(Access Control Server)会将使用者代号及密码,一一转换为后台每个系统使用者对应代号及密码,建立信任机制,登入每个系统;对使用者只要登入系统一次
ü 单一登入网页(Portal Service)会经由授权服务器(Authority Control Server)取得使用者所属群组於每个系统中授权
ü 使用者於一次登入后,可进入不一样系统实施被授权交易处理
ü 授权服务器(Authority Control Server)中有使用者於每个系统授权数据,达成单一(SSO)授权目标;授权服务器(Authority Control Server)需先建立和每个系统授权信任机制。
使用SSO系统架构方案优点:
ü 单一/统一授权管理方法,对未来新增业务系统或新增业务交易处理,依循此标准授权方法,建设很方便/快速
ü 方便/简化系统授权管理
ü 简化系统交易处理步骤
使用SSO系统架构方案缺点:
ü 早期系统建置很复杂,相关系统必需配合更改交易登入及交易授权
ü 建置成本较高
4.2.2. 独立授权服务器架构方案
独立授权服务器授权方法,是在没有建立单一签入(SSO)架构下,建置一套独立授权机制,处理使用者业务交易授权。
独立授权系统架构
独立授权服务器授权步骤以下:
ü 独立授权服务器建立使用者群组授权权限,和每个系统建立信任机制
ü 使用者登入系统完成后,由业务交易系统向独立授权服务器发送验证信息,经独立授权服务器确定后,使用者得进行业务交易处理
使用独立授权服务器架构方案优点:
ü 建置成本较低
ü 早期系统建置复杂性小,相关应用系统更改幅度较小
使用独立授权服务器架构方案缺点:
ü 只能简化一部分系统授权管理
ü 对未来新增业务系统或新增业务交易处理,各个业务系统改动量较大
ü 无法简化系统交易处理步骤
5. 传输安全
传输安全包含两个部分,网络安全及应用安全;网络安全卓重在数据於网络中传输时安全防护,应用安全重视於数据加密处理,以预防数据被篡改。
5.1. 网络安全
应用数据於广域网络或局网中传输时,若采取明码传输方法会有安全上顾虑,轻易引发外部或内部有意人数据截取和篡改,造成安全上问题。
数据传输安全性考量,从整体网络及地理区域上分为下列几项:
支行到分行传输
分行到总行传输
总行服务器间传输
外部网络渠道传输
对外机构传输
5.1.1. 链路加密机加密处理
对於上述数据传输安全需求,第一个考虑关键是在网络层加上网络传输加密处理,提议於每个路由器前皆需要加一套链路加密机,负责网络层加密/解密处理。
从支行路由器开始到分行/总行路由器,皆需增加一套链路加密机。外围系统间网络传输、外围系统和关键系统间网络传输等,皆需要加一套链路加密机。
以下分为现在BANCS系统处理方法及从地理区域考量说明以下:
5.1.2. 现在所了解BANCS系统处理方法
新关键系统产品(BANCS 及 BANCS Link)后台/前台安全处理方法为:
前端柜面机和BANCS Link间(BANCS传输安全示意图中红色线条部分)
BANCS系统中相关前台柜面终端机和BANCS Link间,数据传输时,没有对数据进行加密处理。新关键系统厂商提议前端柜面终端机和BANCS Link间数据传输,采取SSL加密处理;由於SSL加密只负责通信层在网络传输时加密,对於关键数据/报文并未加密处理,安全上仍然有漏洞,需要有完善补强方法。
BANCS Link和BANCS间(BANCS传输安全示意图中红色线条部分)
BANCS系统中相关BANCS Link和BANCS间,数据传输时,没有对数据进行加密处理。新关键系统厂商提议由华夏订定安全策略及处理方法办理。
BANCS传输安全示意图
5.1.3. 终端用户和BANCS Link间网络安全
由於华夏银行28个分行分布宽广,每个分行下约有10~12个支行,每个支行不配置BANCS Link柜面服务器,每个支行柜面终端机需直接连结到分行BANCS Link柜面服务器,经由BANCS Link柜面服务器连接到总行关键系统。
现在华夏银行已经开启网络建设项目,网络安全上,已经将总行和分行间网络安全采取VPN方法处理,保护总行和分行间网络安全。分行和支行间还未建置网络安全处理。
分行和支行间网络传输安全示意图
5.1.4. BANCS Link和BANCS间网络安全
由於BANCS系统中相关BANCS Link和BANCS间,数据传输时,没有对数据进行加密处理,必需完善分行和总行间网络(数据传输)安全。
网络传输安全处理:
ü 於分行服务器(BANCS Link Server)将数据传输到总行前,采取链路加密机来对网络传输数据进行加密处理后,传送到总行。
ü 总行交易处理完成后,透过链路加密机进行网络层加密处理,送回分行服务器
ü 分行服务器先由链路加密机将数据进行网络层解密,再由加密机进行交易数据3DES解密处理后
展开阅读全文