银行业信息安全解决方案

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

广东省电子商务认证中心广东省电子商务认证中心银行业信息安全解决方案广东省电子商务认证中心主要内容银行业目前存在的安全隐患银行业信息安全解决方案成功案例广东省电子商务认证中心客体_被管理的对象(组织、人、事、文件等)业务管理主体领导文秘业务财务……规则标准规范体系和规范数据接口及统一字典业务信息应用体系业务应用系统领导决策秘书文档业务部门业务部门财务管理…标准应用支持平台(Browse)业务其它应用和数据仓库安全监控及处理中心网络逻辑层专用网络公用网络网络物理层有线通信移动无线通信卫星通信信息化运行管理和维护体系信息网络安全保障体系信息网络安全体系示意图广东省电子商务认证中心银行业目前存在的安全隐患信息传递的安全隐患业务系统的安全隐患广东省电子商务认证中心信息传递的安全隐患网络硬件的安全缺陷:如可靠性差、电磁辐射、电磁泄漏等。通信链路的安全缺陷:如电磁辐射、电磁泄漏、搭线、串音等。技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口,不少关键网络设备也依赖于进口。缺乏系统的安全标准引起的安全缺陷:中国虽然已经有了一些网络安全标准,但还是很不完善。广东省电子商务认证中心业务系统的安全隐患据ICSA统计,来自计算机系统内部的安全威胁高达60%非法用户进入系统及合法用户对系统资源的非法使用被非法用户截获敏感数据非法用户对业务数据进行恶意的修改或插入数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据广东省电子商务认证中心主要内容银行业目前存在的安全隐患银行业信息安全解决方案成功案例广东省电子商务认证中心银行业安全解决方案信息传递的安全解决方案业务系统的安全解决方案整体的安全解决方案范例(网上银行)广东省电子商务认证中心信息传递的安全解决方案对于物理层,主要通过制定物理层面的管理规范和措施来提供安全解决方案对于网络接口层,主要通过线路加密机对数据加密保护。它对所有用户数据一起加密,加密后的数据通过通信线路送到另一节点后解密对于网际层,主要通过IP密码机来保证网络层数据传输的安全性对于传输层,主要通过SSL协议和VPN技术来保证传输层安全对于应用层,可以采用节点式密码机来保证应用数据的保密性广东省电子商务认证中心信息传递的安全解决方案某银行总行路由器储蓄所路由器电信网络省、地市分行移动用户ISDN线路加密机线路加密机交换机交换机交换机eKeyATM/DDNATM/DDNADSLIP密码机县级支行VPN接入MODEM节点加密机广东省电子商务认证中心信息传递的安全解决方案对于使用ATM、DDN等方式的主干连接,如在银行总行和省、地市分行之间的连接,建议采用与连接方式对应的线路加密机进行加密保护,加密机对线路中所传送的所有数据进行加密,而与协议无关。同时还有专门用于加密电话网的线路加密机可供配套使用;对于连接方式比较复杂的情况,如县级支行和省、地市以及总行之间的数据传输,可能采用包括ADSL、ISDN或者直接拨号上网等的多种连接方式,建议采用IP密码机进行加密保护,对TCP/IP协议中的IP数据包内容进行加密,能够灵活适应多种的网络连接方式,对基于TCP/IP协议的应用透明;广东省电子商务认证中心信息传递的安全解决方案对于传输敏感数据比较少的连接,如在储蓄所或小型的银行之间的数据传输,建议采用节点加密机进行加密保护,敏感信息加密后,连同普通信息一起通过电信公网传输到目的地;对于需要远程接入的情况,如出差在外的银行工作人员,建议采用基于PKI体系的VPN系统进行加密保护,远程接入方首先连入电信网络,然后通过VPN系统接入,此时传送的数据受数字证书加密保护,同时客户端数字证书采用IC卡或USB电子令牌进行保护。广东省电子商务认证中心线路加密机的技术指标(一)性能指标网络协议严格按照ITU-T和IETF的相关技术标准,其本身不占用网络资源加/解密处理的最高速率为全双工2Mbps当线路传输速率为2Mbps时,密码设备的延时小于3ms,设备的加入几乎不影响网络的性能最大并发用户数为4096个广东省电子商务认证中心线路加密机的技术指标(二)密码算法支持对称密码算法和非对称密码算法对称密码算法密钥长度为128位,支持SSF09算法RSA算法密钥长度1024位HASH算法为MD5广东省电子商务认证中心银行业安全解决方案信息传递的安全解决方案业务系统的安全解决方案整体的安全解决方案范例(网上银行)广东省电子商务认证中心业务系统的安全解决方案数字证书登录表单域签名加密数字时间戳服务文档电子签名与加密安全电子邮件可信站点认证服务软件代码签名广东省电子商务认证中心数字证书登录功能:先进的密码技术,保证登录用户的合法性登录过程对用户透明,无需记忆口令通过数字证书确认用户身份的合法性数字签名技术有效防止用户抵赖行为采用加密通信协议,保护机密信息不被泄漏应用场景:银行客户安全登录银行网站银行员工登录管理系统广东省电子商务认证中心应用数字证书登录广东省电子商务认证中心表单域签名加密功能:确认填写人身份确保网页表单内容真实性确保网页表单内容完整性确保网页表单内容机密性确保网页表单内容不可抵赖应用场景:银行客户在线支付、在线转账等广东省电子商务认证中心应用表单域签名加密表单签名广东省电子商务认证中心数字时间戳服务数字时间戳是对时间信息的数字签名。数字时间戳主要用于实现以下两个功能:确定在某一时间,某个文件确实存在;确定多个文件在时间上的逻辑关系,即:①多个文件在逻辑上的时间先后顺序;②多个文件是否属于逻辑上的同一时间。应用场景:数字支票、在线转账广东省电子商务认证中心数字时间戳服务应用说明对于数字支票之类可以重复出现相同内容的电子数据,通常采用数字时间戳来创建过期标记。时间戳将电子数据的内容和产生时间相关联,相同内容的电子数据由于产生时间不同,时间戳也不会相同。所以当两份相同内容的电子数据出现时,可以根据时间戳判断它们是否出自同一个拷贝。广东省电子商务认证中心文档电子签名与加密功能:采用国际通用的X.509V3证书和PKCS技术标准对文档及签名者的意见进行签名和验证确保签名文档的完整性防止对文档做未经授权的篡改确认签名者真实身份保证签名行为的不可否认性无纸化办公,提高办公效率应用场景:银行内部无纸化办公,客户账单电子签收等广东省电子商务认证中心应用文档电子签名与加密广东省电子商务认证中心安全电子邮件功能:确认电子邮件发送者身份确保电子邮件内容真实性确保电子邮件内容完整性确保电子邮件内容机密性确保电子邮件内容不可抵赖应用场景:银行内部无纸化办公,客户账单安全发送广东省电子商务认证中心应用安全电子邮件广东省电子商务认证中心可信站点认证服务功能:访问者向银行网站发送敏感信息时,确信其信息被发送到真实的目标站点防止第三方站点仿冒银行网站,骗取访问者向该站点提交的敏感数据(比如:信用卡号码、密码等)应用场景:防止克隆银行网站骗取银行客户信息广东省电子商务认证中心应用可信站点认证服务通过安全连接发送信息当站点信息和证书信息不相同时给出警告信息广东省电子商务认证中心软件代码签名功能:银行使用代码签名证书对本行软件进行签名后放到互联网上,使其软件产品更难以被仿造和篡改,增强银行与用户间的信任度和软件商的信誉;用户知道该软件是安全的并且没有被篡改过,用户可以安全地进行下载、使用。优点:有效防止代码的仿冒保证代码的完整性可追踪代码的来源应用场景:银行客户端软件的安全在线安装/更新广东省电子商务认证中心应用软件代码签名广东省电子商务认证中心业务系统安全解决方案银行业务用户身份确认证书登录账单传递安全电子邮件在线支付/转账表单签名加密数字时间戳机要文件发放文档签名加密网上银行软件更新代码签名网站防伪造可信站点广东省电子商务认证中心支持的业界标准加密标准:DES,IDEA,RSA,MD5,SHA-1等证书标准:X.509v3,CRLv2,PKCS系列标准LDAP标准:LDAPv2智能卡标准:ISO7816,PC/SC,PKCS#11安全邮件标准:S/MIMEVPN协议:IP-Sec(RFC1825-1828)电子认证平台体系架构:IntelCDSA广东省电子商务认证中心银行业安全解决方案信息传递的安全解决方案业务系统的安全解决方案整体的安全解决方案范例(网上银行)广东省电子商务认证中心整体的安全解决方案范例(网上银行)安全网上银行用户$分行$总行$分行加密链路银行网站(安全站点)解密账单(节点密码机)银行内部业务$MICROSOFTCORPORATION在线转账(数字时间戳)$$在线支付(表单签名/加密)转账消息反馈(安全电子邮件)付给$电子账单签收(文档电子签名加密)SSL公网部分内网部分广东省电子商务认证中心网上银行安全解决方案说明用户经SSL连接到银行网站,同时使用数字证书登录;用户在银行网站进行在线转账或者在线支付,使用表单签名加密和数字时间戳等方式保护和确认操作;用户指令到达银行内部业务系统,系统采用节点密码机对其进行解密;银行内部业务系统对用户指令进行处理,同时通过加密链路将指令传送到各相关银行;银行内部业务系统反馈指令处理结果,以安全电子邮件或电子账单(采用文档电子签名与加密)方式传递给用户;用户获得反馈,网上银行业务完毕。广东省电子商务认证中心银行业网络安全建议系统要尽量与公网隔离,要有相应的安全连接措施为了提供网络安全服务,各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性等安全机制,并有相应的安全管理远程客户访问重要的应用服务应严格执行鉴别过程和使用访问控制信息传递系统要具有抗侦听、抗截获能力,能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击,保护信息的机密性,保证信息和系统的完整性涉及保密的信息在传输过程中,在保密装置以外不以明文形式出现广东省电子商务认证中心其他需考虑的安全问题风险评估防病毒入侵检测内容过滤(邮件、网站)数据备份与灾难恢复广东省电子商务认证中

1 / 49
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功