網上銀行3.0系統的安全策略.ppt

总行网络监控中心--天阗入侵检测系统，严防黑客入侵 中国银行网上银行采用了国际著名厂商（IBM）的安全操作系统，与国际一流商业银行的电子银行服务看齐，足以保证网上银行的系统安全。 1、严格的用户访问管理---用户注册口令5次错误锁定、连续3天被锁定则用户死锁 2、系统访问管理---IP地址识别、硬件编码地址识别、系统访问时间控制 身份管理 身份证件分发 身份认证 通信保护 保密性 完整性 不可否认性 访问控制 授权 安全审计 历史追踪 缺陷分析 USBKEY/IC卡 USBKEY/IC卡通过产生和识别网上电子交易 的数字签名（电子签名或电子图章），达到识别 交易者身份和验证交易数据真伪 的目的，保证网上交易的 不可否认性(Nonrepudiation)； 同时作为身份认证的强力工具。 2001年2月，我行网上银行系统顺利通过了全球四大咨询评估公司排名第二的德勤公司的“互联网安全与控制审计” 。 我行成为国内同业首家通过安全审计评估的商业银行 4、审计---客户操作记录 对用户每一个操作,网上银行都做了详细的LOG记载，方便用户掌握资金汇划过程中的相关操作信息 审计---客户操作记录 审计---系统日志记录 对客户每一笔交易的处理全过程,银行系统都做了详细的LOG记录，方便银行维护和审计人员掌握资金汇划过程中的相关处理信息 权威结论  * * 一、物理安全 二、网络安全 四、应用安全 三、系统安全 主要内容 1、人员管理 2、系统操作规范 3、机房与设备维护规定 安全管理 二、网络安全 1、防火墙与路由器 2、动态入侵检测 防火墙与路由器 INTERNET 客户 防火墙 防火墙 网上银行系统 分行 分行 防火墙 中国银行 安全通道 1000兆防火墙 NETSCREEN 动态入侵检测 三、系统安全 1、操作系统安全 2、系统访问控制 1、操作系统安全 2、系统访问控制 四、应用安全 1、可靠的身份管理 （1）普通口令---两次口令校验 网上银行登录口令、密钥保护口令 （2）电子令牌---实体检测 口令保护、数据不可读出 （3）数字证书---强身份认证 重新建设CA认证中心 三重校验，身份确认 USERID和密码—示例 电子令牌 口令---定期更换 企业电子证书详细信息-示例 通信保护-完整性 明文摘要 A公钥 解密 加密 摘要的密文 A私钥 明文 明文摘要 SHA1数字摘要算法 SHA1散列算法 明文摘要◎ 相等？ 通信保护-数字签名 数字签名：数据完整性中发送方的操作 验证数字签名：接收方的操作 签名目的：信息是由签名者发送的； 验签名目的：信息自签发后到收到的过程中，没有被篡改、没有仿冒、不是重发性攻击； 发送方 信息 散列函数 摘要 私钥加密（签名） 数字签名 数字签名 信息 散列函数 摘要 公钥解密 摘要 信息 被确认 比较两者如一致 接收方 通信保护-数字签名 网上银行中的数字签名-示例 *