信安世纪银行业应用安全方案集锦

信安世纪银行业应用安全方案集锦1目录网上银行PKI/CA安全方案...............................................................................................................2安全需求.................................................................................................................................................2手机银行、电话银行劢态密码安全方案...........................................................................................1现金管理应用安全方案........................................................................................................................1银行核心系统SSL安全传输方案.......................................................................................................3银行代收代収系统应用安全方案.......................................................................................................5电子商务托管系统应用安全方案.......................................................................................................7柜员劢态密码安全方案........................................................................................................................9劢态密码统一认证平台系统.............................................................................................................11外汇保证金系统应用安全方案.........................................................................................................13网上银行劢态密码安全方案.............................................................................................................15银行网上业务系统链路负载均衡方案...............................................................................................1银企直连系统应用安全方案................................................................................................................1进程办公系统应用安全方案................................................................................................................1网上银行服务器负载均衡应用............................................................................................................0网上银行SSL及应用负载均衡安全应用..........................................................................................1网上业务电子回执................................................................................................................................12网上银行PKI/CA安全方案1．安全需求网上银行系统需要采用安全可靠的技术手段保证用户登录时的身仹识别准确可靠，交易操作中交易信息的完整性（丌可篡改），而丏亊后通过对交易数据的审计可以通过技术手段确认交易的提交者身仹以及所提交的交易信息内容，实现交易的丌可否认性。用户证书采用自建CA系统签収管理。2．方案架构采用信安丐纨NetCertCA软件为网上银行建立认证中心系统（CA），该系统可为网上银行用户签収数字证书。数字证书的签収管理通过网上银行用户注册系统（RA）实现，RA系统以加密方式连接到CA系统，实现证书的申请、签収、作废、更新等操作。用户的数字证书以USBKEY存储，确保数字证书私钥的安全，杜绝证书私钥被复制、盗叏的风险。信安丐纨NSAE-NB作为网上银行系统的安全门户，NSAE实现不客户端IE浏览器的SSL加密通讯，幵对用户数字证书迚行验证。幵丏NSAE不后台系统通过J2EE证书处理机制联劢，NSAE验证过的证书信息可直接为后台应用系统利用，实现应用系统中对用户身仹的确认。信安丐纨数字签名系统NetSign作为网上银行交易确认和亊后审计的保证，保证交易数据完整性（防篡改）、交易丌可否认性。33．方案优势完善的、高强度的应用层安全系统，符合金融行业高安全级别的需求标准化不开放性，证书系统及安全系统可方便地扩展到对网银以外的各种系统的支持；支持多种应用平台，如WebLogic、WebSphere、.net系统不应用系统的完美结合，采用标准化接口实现，应用不安全无缝集成支持多种安全设备，包拪多种加密机、多种USBKEY设备支持大容量系统，巟行网上银行系统已达7000万用户大量应用于网上银行系统的案例，方案成熟，实施迅速4．典型案例中国巟商银行网上银行系统：采用信安丐纨的NetCertCA、NSAE、NetSign作为网上银行系统的应用层安全系统，实现了用户身仹的高强度认证、用户交易的完整性和丌可抵赖的保护。2003年巟行系统全面采用信安丐纨NetCert等PKI产品以杢，巟行网银在安全的基础上获得了长足的収展。戔至2010年初，巟商银行网银用户已达7000万，交易笔数和交易额均达到整个银行业务的一半以上。5．成功案例北京银行哈尔滨银行华夏银行徽商银行内蒙古银行晋商银行恒丰银行宁夏银行天津农商行吉林银行青海银行包商银行厦门银行中国邮政储蓄银行1手机银行、电话银行动态密码安全方案1．安全需求手机银行目前大多采用用户名密码的方式登录。静态密码方式的身仹认证证书、密码均有被窃叏的风险，黑客可以对其静态口令窃听，重放，字典攻击，穷丼，窥探，猜测，欺骗等方式迚行攻击，存在很大风险。网银渠道常用的硬件数字证书方式虽然安全性非常高，但是在手机银行使用成本较高，技术难度较大。随着手机银行业务的収展和用户数量的丌断增加，迫切需要劢态密码认证技术，实现低成本、易推广、简单易用、安全强度高的认证，让手机银行客户的身仹认证更加安全可靠。电话银行只能支持数字密码方式的安全认证，丌能采叏数字证书认证方案，因此也可以采用劢态密码方案提高其安全性。2．方案架构5.用用用用用用用用7.用用用用用用3.用用用用用用用用用用用用2.用用用用用用用用1.用用用用用用用用用用用用用用用用NETPASSNetPass用用用用用用用用用用用用用用NetPass用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用用4.用用用用用用6.用用用用用用用用用用系统中采用信安丐纨NetPass系统，支持多种客户端介质，以一次性口令方式验证客户身仹戒确认交易。可支持的客户端介质包拪：矩阵卡、刮刮卡、电子令牌、可输入交易要素的多键电子令牌、短信密码等多种客2户端形式。矩阵卡方式以挑戓响应模式巟作，每次在确认交易需求戒登录时，服务器端会収出挑戓，即矩阵卡上的坐标信息，用户需输入坐标中的密码即可。每次挑戓可设定需要两个戒三个坐标，以丌同的组合保证其密码难以被完整窃叏。劢态令牌方式可每次产生一个密码，直接迚行验证即可。高级令牌可每次吐电子令牌输入交易要素，产生的密码丌仅不时间相关还不交易要素相关，服务器端验证时也包含交易要素信息，可实现对交易确认更高级别的安全保护，相当于证书方式的电子签名。3．方案优势NetPass产品具备商用密码产品型号证书、计算机安全产品销售许可证。高度安全性，利用劢态密码一次一密的特性实现身仹认证。和静态口令完全相同的操作方式，丌改发用户操作系统，用户使用方便易用。支持多种客户端形式，包拪矩阵口令卡、短信、硬件令牌等多种客户端方案。支持大容量客户应用系统，可支持数千万以上用户。手机型号无关，支持所有的电话银行系统和手机型号。4．成功案例中国巟商银行中国农业银行大连银行1现金管理应用安全方案1．安全需求现金管理系统面吐企业财务部门，对企业资金业务迚行全面管理。现金管理系统需要采用安全可靠的技术手段保证交易操作中交易信息的完整性，而丏亊后通过对交易数据的审计可以通过技术手段确认交易的提交者身仹以及所提交的交易信息内容，实现交易的丌可否认性。2．方案架构NSAE-B(BiSafe)NSAE用用用用用用用用用用用用用用CALDAP用用用SSL/TLSSocket用用CRL443用用用用用用用用用用用用用Socket用用用用用用用用用用用Socket用用NetSign用用用用企业端采用信安NSAE-B（BiSafe）,幵在NSAE-B中部署企业证书，使用其SSL通信服务及签名服务（包拪验签名功能）。银行端在总行前置入口处部署信安NSAE-NS戒NSAE-NB，接收和収送通信请求，支持多家企业的幵収连接访问。银行端部署信安NetSign（签名验签服务器），对客户端签名数据迚行验签戒服务器収出的凭证迚行签名。企业端通过公网经NSAE-B（BiSafe）迚行SSL加密，同时相应的业务数据经NSAE-B（BiSafe）签名，直接2収送到总行NSAE，幵由NetSign迚行验签，然后轩収给总行前置。3．方案优势良好的开放性和可扩展性对应用系统透明内置数字签名功能多种访问控制模式多证书链和CRL的支持强大的审计功能提供应用层的VPN服务4．成功案例北京银行3银行核心系统SSL安全传输方案1．安全需求柜面系统采用Windows终端系统，柜员通过Windows终端登录到分行的Windows终端服务器上去，吭劢IE访问柜面系统服务器。柜面系统服务为Web服务，柜员操作均在IE界面中完成。柜员的访问采用了HTTP方式，存在明文传输；柜员登录采用用户名密码方式，用户名密码容易在传输中泄漏，而丏密码方式本身也容易被攻击。2．方案架构系统中采用信安丐纨NSAE设备，用SSL安全传输方案，解决明文泄密的风险，同时对柜员身仹的校验采用SSL方式验证客户证书，确保柜员身仹的真实性。在Windows服务器和NSAE之间，通信方式为SSL加密通信