安保平台培训

安保平台培训二O一O年十二月三日民生银行银行系统再造项目培训大纲•培训目标•管理内容及分行岗位职责流程•安保平台机制简介•下分行具体工作•操作培训及操作常见问题描述和解决方案•本次信息收集汇总及技术验证一、培训目标培训目标了解安保平台的岗位职责了解安保平台的管理流程了解安保平台运行的基本机制明确下分行的相关工作掌握安保平台的基本操作具备基本的错误排查知识,尽快定位问题掌握下分行技术验证的方法二、管理内容与分行岗位职责流程分行岗位设置的管理目标•指定专人负责科技条线的工作职责，严格执行技术控制措施，避免科技风险；•负责所有安全（涉及密码）相关设备建档管理，统计设备的库存量、使用者、使用状态、报修、报失、报废等情况，上报总行设备操作岗；•对所辖设备进行定期检查，纠正违规使用，上报分行领导和总行设备操作岗；尤其是可移动设备（如POS，EPOS等）；•负责分行及所辖支行的设备注册、维护和日常问题解决等,负责分行的证书管理。分行岗位设置岗位名称职责分行安保系统管理岗负责履行总行的系统管理岗下达的分行安保系统管理维护工作；负责指派所辖支行的设备维护岗人员；负责对所辖支行的设备维护岗人员进行管理和信息维护。分行安保系统审核岗负责履行总行的系统管理岗下达的分行安保系统管理维护工作；负责审核分行系统管理员所做的录入和操作活动。分/支行安全设备维护岗负责各自分支行的加密模块、PinPad、U-KEY、指纹仪以及POS/EPOS设备的注册和密钥证书下载；对各自分行所使用设备进行统计管理和信息维护；解决各分支行设备相关技术问题。分/支行用户管理岗负责履行总行用户管理岗下达的用户管理维护工作；分行用户管理岗负责指派支行用户管理岗和审核岗人员；负责按照申请设置（变更）用户及其可操作应用、机构、角色、身份鉴别方式（指纹录入、U-KEY发放、口令发放）等；对值班的时间、岗位进行设置和管理；对委托授权的岗位进行设置；对所设置和维护的用户信息进行维护管理。分/支行用户审核岗负责履行总行用户管理岗下达的用户管理维护工作；负责审核用户及其可操作应用、机构、角色、身份鉴别方式等；负责审核值班设置；负责审核委托授权设置。分行岗位/角色设置示意图分行设备管理员管理流程•分行科技统一向总行发出设备管理员申请（申请表）•必须要有业务部门和科技部门的签字盖章•把签字后的表格传真到010-84127611•申请包括新增,修改,删除•同时,发送excel表格给总行相关人员分行Ukey申请管理流程•分行科技统一向总行申请领用(申请表),申请时按柜员数的20%申请•申请时按柜员数的20%申请•必须要有业务部门和科技部门的签字盖章•把签字后的表格传真到010-84127611•总行发放以传真为依据•分行科技统一管理本分行所有UKey(管理流程,管理表格),做好领用登记工作•柜员指纹不可用•证书管理(分行制卡和保险公司)分行证书管理流程•分行科技统一进行证书注册发放，并做好登记工作•业务部门提出证书申请（业务部门要有相关流程）•必须要有业务部门的签字盖章•科技部门主管批准•科技部通过安保制作证书并发放•登记发放情况三、安保平台机制简介安保平台机制简介渠道/通道系统安全保护机制POS/EPOS安全保护机制证书文件加密机制统一用户权限管理机制应用系统安全机制-边界防护渠道设备和密钥统一管理：注册、密钥管理;渠道密钥统一管理：生成、更新;通道密钥统一管理：生成、更新;行外密钥统一管理：导入或发放;四个统一：渠道系统安全机制渠道系统安全设备功能安全机制柜面系统HSM硬件模块柜面终端合法性认证、交易完整性保护一机一密、CPK标识密钥PINPADPIN保护一机一密UKEY柜员身份认证一机一密、CPK标识密钥FP指纹柜员身份认证生物特征网上银行UKEY用户身份认证、交易签名、交易加密PKI/CA数字证书密码控件交易密码保护1）防木马技术；2）端到端加密；3）交易完整性保护；动态令牌动态口令动态口令自助查询机EPPPIN保护一机一密动态令牌动态口令动态口令ATMEPPPIN保护一机一密动态令牌动态口令动态口令POS/EPOSPINPADPIN保护一机一密电话银行动态令牌动态口令动态口令手机银行…….*备注：红色表示尚未完成柜面安全保护机制HSM硬件模块：对终端设备的合法性认证、XBANK交易数据完整性保护；PINPAD：PIN密码保护；UKEY:柜员身份认证；FP指纹仪：柜员身份认证，对公客户指纹识别；POS/EPOS安全机制POS密钥管理机制说明：1：分行POS管理员通过安保管理平台注册设备2：移动POS到POSP签到时通过POSP更新工作密钥“本代他”交易安全保护机制：1、POSP商户刷卡；完成PIN加密，交易MAC校验保护；2、提交到POSP;3、MAC校验，交易完整性校验；4、转到行内金卡系统；5、PIN转密（从POSP渠道加密转成银联通道密钥加密）6、发送到银联；制卡文件加密机制制卡文件加密应用场景场景编号安全应用场景安全应用场景描述备注1安全管理1.如图所示，制卡管理员登陆安保管理平台安全设备及密钥管理模块，为制卡模块生成文件加解密CPK私钥（标识为301001），并下载私钥文件，分发给制卡模块2.制卡管理员登陆安保管理平台安全设备及密钥管理模块，为制卡商制作U-EKY证书，并把U-KEY分发给卡商。3.如果在分行制卡，则制卡管理员登陆安保管理平台用户与权限管理模块，为分行制卡操作人员制作U-KEY证书（如果该制卡操作人员已有用于登录XBANK2.0的U-KEY证书，则不需要此步骤，因为U-KEY既具有登陆XBANK2.0功能，又具有文件加解密功能）2制卡文件加解密如图所示，1.制卡模块从EUSP或CDM获取制卡参数文件。2.制卡模块调用批量CVV服务生成卡磁道数据3.制卡模块本地调用安保服务端文件加密包签名并加密制卡文件，得到制卡文件密文。（制卡模块具有卡商及分行U-KEY用户标识信息管理功能，加密文件时使用预先设置的卡商或分行U-KEY用户证书标识）4.制卡模块把制卡文件密文推送下发给卡商、分行。5.制卡商或分行使用安保客户端文件加密工具和U-KEY解密制卡文件，得到制卡文件明文。6.制卡商或分行使用制卡数据制卡。保险公司文件加密机制保险公司文件加密应用场景场景编号安全应用场景安全应用场景描述备注1安全管理1.如图所示，管理员登陆安保管理平台安全设备及密钥管理模块，为BPM生成文件加解密CPK私钥（标识为805000），并下载私钥文件，分发给BPM。2.管理员登陆安保管理平台安全设备及密钥管理模块，为保险公司制作U-EKY证书，并把U-KEY分发给保险公司。2文件加解密如图所示，1.保险公司使用安保客户端工具及U-KEY签名并加密文件。2.保险公司把文件密文以EMAIL或FTP等方式传送给民生文件操作员。3.文件操作员上传文件密文到BPM。4.BPM调用安保文件加密包解密并验签文件，得到文件明文。5.BPM把文件明文上传FTP服务器，并通知银保通，银保通获取文件明文。6.银保通处理文件，并返回回执文件明文给BPM。7.文件操作员登录BPM，选择保险分公司标识，下载回执文件。8.BPM调用安保文件加密包签名并加密文件，得到文件密文，文件操作员下载得到文件密文。9.文件操作员把回执文件密文返回给保险公司。10.保险公司使用安保客户端文件加密工具及U-KEY解密并验签文件，得到文件明文。新核心应用系统用户权限管理机制SAPECCSAPBPPSAPBI中央用户管理(CUA)LDAPLDAP用户主数据组织架构SAPECC角色SAPBPP角色SAPBI角色发布组织架构发布用户和角色到组织架构的职位安保平台发布BPP用户主数据授予用户的角色，和组织架构一致授予用户的角色，和组织架构一致赋予用户的角色授予角色和用户到组织架构的职位赋予角色到用户授予用户的角色授予用户的角色发布BPP到角色到用户应用分类与用户分类•应用分类与用户分类–SAP应用，用户通过portal登录，该类应用的用户定义为域用户–非SAP应用，用户不通过portal登录，该类应用的用户定义为非域用户应用系统岗位角色数据应用系统名称系统编码应用系统分类岗位角色数据应用系统功能描述安保平台85001非SAP应用柜员前台系统301非SAP应用权限与角色v1.0.13.rar身份核查852非SAP应用852_身份核查_auth_20091020.xls联网公安部核实客户身份信息信贷管理平台709非SAP应用709_信贷管理系统角色20100915.xls需要进行表外业务，个人委托贷款、对公委托贷款相关业务，授权用户配置全国支票影像模块804非SAP应用804集中提回角色(带角色编码)_20101029.xls支票影像和集中提回MDS主数据存储系统761非SAP应用761_主存储系统_auth_20091020.xlsMDS主数据存储后台运营处理系统805SAPCUA805_BPM_岗位类别_20101111.xls反洗钱系统854SAPCUA854_反洗钱_岗位类别_20101029.xls报送人民银行大额可疑交易案例SAPLM系统702SAPCUA702_LM_岗位类别_20100913.xlsLOS创建合同到LM系统，在SAPLM系统进行个人贷款或对公贷款的合同查询变更、放款、还款、冲销、报表等的审批录入复核。押品管理CMS系统606SAPCUA606_CMS_岗位类别_20101013.xlsLOS创建创建贷款合同的时候创建抵质押物，在ＣＭＳ系统进行个人贷款抵质押物查询，追加变更抵质押物，涉及个人贷款抵质押业务相关的用户配置在该系统进行，对公的用户配置在风控配置CE金融报表平台856SAPCUA856_FRP_岗位类别_20101111.xls报送所有监管部门的报表，包括银监会，人民银行，外管局，公积金中心CE贷款UI系统610SAPCUA610_CE_岗位类别_20100922.xlsCE贷款UI系统包括信贷管理平台、额度管理、资金监管的前台操作界面。PRP产品报表平台859SAPCUA859_PRP_岗位类别_20100913.xls新核心各模块报表，包括11个模块柜面业务清单查询平台858SAPCUA858_BQP_岗位类别_20100913.xls目前只提供PE的业务交易查询，提供交易明细查询BW存款数据分析平台857SAPCUA857_BW存款_岗位类别_20101201.xlsx存款报表查询BW－FDM报表平台860SAPCUA860_FDM报表平台（BO）_岗位类别_20101201.xlsＦＤＭ平衡表BW贷款数据分析平台861SAPCUA861_贷款数据_岗位类别_20101201.xls对公对私贷款BW总帐数据分析平台862SAPCUA862_总帐数据_岗位类别_20101201.xls押品报表查询SAPGL总帐760SAPCUA四、下分行具体工作本节概览•安保环境介绍–生产环境(已投产环境)–下分行环境•已投产环境及已完成工作介绍•下分行环境介绍•下分行相关任务安保已投产功能投产情况：分行管理员：设备管理员、用户管理员；POS/EPOS设备注册，应用支撑；柜面设备注册(HSM、PINPAD、指纹仪)安全设备注册情况分行设备注册情况机构名称加密模块密码键盘指纹仪UkeyPOSEPOS机构名称加密模块密码键盘指纹仪UkeyPOSEPOS长春分行191116200大连分行14975118200长沙分行563453301518成都分行16586145200杭州分行178125145200济南分行18289132250合肥分行15714200武汉分行301142224200南昌分行34243010150青岛分行946783500宁波分行826579200福州分行12480112340汕头分行553043200天津分行169116104400石家庄分行168136167320西安分行166125126131733苏州分行10774101200泉州分行794873100太原