指纹柜员安全管理系统2.1银行柜员内控管理背景介绍我国金融事业的迅猛发展,各银行业务蒸蒸日上,银行对内部管理的要求也越来越高。随着计算机技术在金融领域应用的不断深化,银行的金融电子化程度越来越高,银行对计算机系统的依赖性越来越大。与此同时,金融计算机犯罪也出现不断增加的趋势。根据人行有关文件中的统计数字,近年金融计算机犯罪尤为突出,案件以每年30%的速度递增。而其中内部人员利用计算机犯罪,又占有很大的比重,近年来,国内一些银行先后出现了内部人员利用计算机犯罪的事件,不仅给银行造成巨大的经济损失,同时也对银行的声誉有非常恶劣的影响。针对内部人员的计算机犯罪,金融系统已经进行了许多的防范工作,如在管理上,制定有关措施,加强要害岗位管理,严格划分权限,采取有效的相互制约措施,禁止职责交叉、混岗操作。而另一方面,在技术上,使用口令、磁卡、IC卡来验证柜员的身份,对重要的业务要逐笔确认等。但使用过程依然存在使用中的“飞卡现象”和“越权现象”,柜员权限卡易被盗用和仿制、密码易泄漏的问题依然存在。为此,各大银行均制定了严格的管理措施(如:有些银行规定“章随人走,卡不离身”,发现违规处以重罚,检查“柜员权限卡”是否按规定使用和保管,已经成为各级领导的重要工作),但管理制度要求的“严密和规范”与一线工作的“方便与高效”,在客观上存在矛盾,导致某些授权人员在业务繁忙或因事离岗时,放松了对权限卡的管理和使用,造成权限卡使用中的安全隐患。以上这些方式都是基于卡片和密码的安全进行登录,没有和柜员本人生物特征相关联,在技术防范措施都存在明显的不足。在实际的操作中还出现柜员违规操作,在进行柜员授权的时候非法委托它人进行授权,对授权的内容缺乏有效监督,给管理造成不便。2.2指纹银行柜员安全管理系统简介杭州中正推出的指纹银行柜员安全管理系统是一套基于指纹认证技术的银行内部管理系统,本系统的主要目的是取代目前普遍使用的基于密码、磁卡或IC卡的身份认证方案。指纹认证技术有着不容质疑的便利性和可靠性,可以解决绝大部分目前由基于密码、磁卡或IC卡的弱身份认证体系所造成的漏洞和弊病。对于金融业来说,指纹认证技术带来的好处是显而易见的:◆无需再使用密码,不需定期更换,没有记忆负担;◆无需再携带磁卡或IC卡,不会丢失,不会被窃,不可能被复制;◆杜绝了以窃取密码或卡为主要手段的内、外部犯罪的可能性;◆杜绝了乱飞卡、密码共享等违反规定的操作方法;◆解决了身份认证体系中认证到人的难题;◆操作简单,具有防抵赖和可追溯性。由于指纹银行柜员安全管理系统上述的优点,各大金融机构对本系统产生了浓厚的兴趣。目前正在使用的金融机构有中国银行总行、中国建设银行总行、中信银行总行、农业银行浙江省分行、浙江省信用合作系统、工商银行浙江分行、建设银行湖北分行、建设银行浙江分行、建设银行河南分行、建设银行广西分行、建设银行上海分行、建设银行重庆分行、建设银行黑龙江分行、交通银行哈尔滨分行、交通银行芜湖分行、交通银行淮南分行、交通银行镇江分行、交通银行长春分行、交通银行吉林分行、交通银行延边分行、交通银行蚌埠分行、中国银行河北分行、中国银行天津分行、华夏银行杭州分行、华夏银行山西分行、华夏银行重庆分行、浙商银行、呼和浩特商业银行、张家口商业银行、上海浦东发展银行总行等等。2.3指纹银行柜员安全管理方案介绍杭州中正根据目前国内银行的具体情况和不同需求,推出了外挂式系统(分布比对式系统)和嵌入式系统(集中比对式系统),供客户参考选择。2.3.1外挂式系统(分布比对式系统)外挂式系统(分布比对式系统):采用外部接入的方式将指纹身份认证体系切入到银行的业务系统之中,比对在外挂的指纹柜员终端中,比对通过后在网络传输的数据是柜员号和密码数据,服务器的认证方式和原有系统相同,而不必对业务系统进行更改。外挂式系统主要的好处在于对银行的业务系统无影响,方案的实施速度快,见效快。2.3.2外挂式系统框图3.3外挂式系统解决方案外挂式(分布式)指纹柜员管理系统的核心内容就是用户输入指纹信息进行比对,指纹验证成功后,指纹仪将用户信息模拟成刷卡机的信号,将数据返回给业务系统,指纹验证失败后,指纹仪模拟刷卡识别信号。工作流程如下:外挂式(分布式)指纹柜员管理系统根据指纹存储的方式可分为柜员IC卡型(每个柜员一张IC卡,柜员指纹数据存储在柜员卡中)、网点IC卡型(每个网点使用一张IC卡,网点所有柜员的指纹都存储在IC卡中)和网络型(指纹数据直接存放在指纹数据服务器中,柜员数据的通过指纹管理软件下载到指纹仪中)等多种应用模式。2.3.3.1柜员IC卡应用模式本应用模式每个柜员一张指纹柜员卡(类似原有的柜员卡),指纹柜员卡除了存储原有的用户信息数据外还保存了柜员的指纹信息。柜员需要登录业务系统或者进行授权时插入柜员卡,按上指纹,指纹认证终端自动把柜员卡中的指纹和现场指纹进行比对,比对通过输出柜员数据(操作员号和密码),上传服务器进行认证,认证通过后进入业务系统或者授权通过。2.3.3.2网点卡应用模式柜员卡模式在柜员登录和授权过程中需要插入自己的柜员卡,不同柜员的插卡可能影响工作的效率。根据这个情况我们推出了网点卡的应用模式,本应用模式和柜员卡的应用模式的区别在于:我们把一个网点所有的柜员的柜员信息和指纹都保存到一张大容量的网点卡中,第一次使用时首先进行下载,网点卡中的柜员信息全部下载到网点的指纹仪中,同一网点不同柜员的登录和授权只需要按上指纹即可,指纹认证终端自动进行搜索,搜索到相匹配的指纹后输出该柜员的操作员和密码,上传到服务器中进行比对。这样减少了柜员更换柜员卡的流程,提高了工作的效率。网点卡应用模式的缺点是:如果网点人员变化,整个网点的网点卡需要重新发卡并重新下载。2.3.3.3网络应用模式网点卡的应用模式虽然一个网点只有一张网点卡,减少了柜员插卡的次数,但是还是需要有卡的管理,不是非常方便。我们在此基础上进行进一步的改进,推出了无卡的应用模式。具体流程是,我们在银行后台加入指纹数据服务器,并开发柜员指纹管理系统,它和我们的综合业务系统属于同级的系统,采用同样的网络资源。在网点的前置机或者终端中通过B/S或者C/S的不同管理方式,通过本网点的机构号,下载本机构的柜员数据到指纹认证终端中,这样即完成了指纹认证终端的初始化。以后本网点柜员进行登录和授权只要按指纹,指纹认证终端进行指纹搜索,并把相匹配的柜员的操作员号和密码上传服务器进行比对。如果柜员岗位调动,只需人事部门改变本机构的人员档案,重新下载即可,方便了管理和操作。无卡模式的缺点是:需要开发和安装一套专门的柜员指纹管理系统。三种应用模式各有优缺点,典型的认证流程也非常类似,银行可以根据自身具体的需求选择哪种应用模式。2.4嵌入式系统(集中比对式系统)嵌入式系统(集中比对式系统):更加完美的身份认证解决方案,与外挂式系统最大的不同在于采用指纹完全替代了基于密码、磁卡或IC卡的身份认证系(或与之并存)。在嵌入式方案中指纹认证作为第三方案认证服务器存在于业务系统中,后台主机针对身份认证方式进行程序修改,需要进行身份认证时与指纹服务器进行通讯,提出验证指纹的请求,指纹服务器在收到验证请求后,进行指纹验证,指纹验证完毕后将验证信息(成功或失败)直接返回给后台主机。中间不再有密码、磁卡或IC卡信息的存在。它的特点是:安全性高,管理灵活,真正实现指纹技术和银行业务的有机结合;可以完全改变目前的身份认证方式;但需要对银行的服务器软件和业务软件进行修改。2.4.1嵌入式系统框图2.4.2嵌入式系统解决方案银行系统中所有柜员的用户数据和全部指纹数据均存储在后台服务器中。服务器连前置机,前置机通过网络与各网点的终端相连,终端可接密码小键盘、刷卡机、打印机等应用设备。由于中正的指纹仪可在设备内完成指纹处理,处理成指纹特征值上传到中心服务器,指纹终端对系统环境没有特殊要求,它可以直接连接在各终端的辅口上,通过RS232与终端进行通讯,对终端型号无特殊要求,只需按照终端的通讯协议向指纹终端发送指定的命令就可以完成指纹比对功能,因而接入工作非常简单,对银行网络连接和整个网络系统不必进行任何更改。嵌入式系统需要修改银行的业务程序,在前置机上需要加入控制指纹仪的控制函数(与刷卡机类似),后台主机需要对身份认证的函数进行修改,以调用中正公司提供的与指纹服务器的接口函数。嵌入式系统工作流程如下:2.5设备技术指标指标说明产品名称MIAXIS指纹仪指纹识别指纹图像录入时间<1.0秒指纹比对时间<0.3秒安全等级五级可调认假率<0.0004%(公安部实测)拒真率<0.2%(公安部实测)指纹模板大小256字节供电电压5V±5%(采用终端辅口、键盘口取电或者外接电源)通讯接口方式RS-232通讯速率9600Bps(缺省值)、14400Bps、19200Bps、38400Bps、57600Bps数据格式数据位:8Bits。停止位:1Bit。校验位:无工作环境温度-10℃—45℃相对湿度45%RH—85%RH(无凝露)传感器传感器类型电容式、电感式、光电式指纹传感器使用寿命100万次抗静电15KV