网上银行系统的安全策略.pptVIP

网上银行3.0系统的安全策略 总行网络监控中心--天阗入侵检测系统，严防黑客入侵 中国银行网上银行采用了国际著名厂商（IBM）的安全操作系统，与国际一流商业银行的电子银行服务看齐，足以保证网上银行的系统安全。 1、严格的用户访问管理---用户注册口令5次错误锁定、连续3天被锁定则用户死锁 2、系统访问管理---IP地址识别、硬件编码地址识别、系统访问时间控制 身份管理 身份证件分发 身份认证 通信保护 保密性 完整性 不可否认性 访问控制 授权 安全审计 历史追踪 缺陷分析 USBKEY/IC卡 USBKEY/IC卡通过产生和识别网上电子交易 的数字签名（电子签名或电子图章），达到识别 交易者身份和验证交易数据真伪 的目的，保证网上交易的 不可否认性(Nonrepudiation)； 同时作为身份认证的强力工具。 2001年2月，我行网上银行系统顺利通过了全球四大咨询评估公司排名第二的德勤公司的“互联网安全与控制审计” 。 我行成为国内同业首家通过安全审计评估的商业银行 审计---客户操作记录 审计---系统日志记录 对客户每一笔交易的处理全过程,银行系统都做了详细的LOG记录，方便银行维护和审计人员掌握资金汇划过程中的相关处理信息 权威结论  * * 财务管理 路安全 公司业务部 网上银行处 一、物理安全 二、网络安全 四、应用安全 三、系统安全 主要内容 一、物理与环境安全 1、区域安全 2、设备安全 3、安全管理规章 1、物理安全界限--- 专用电脑中心、密钥管理中心、网络控制中心机房 2、物理进入控制--- 保安、机房门禁 3、在安全区域内工作--- 业务操作区与设备区隔离 区域安全 1、设备定位与保护--- 专用机架、口令保护 2、电力供应与电缆安全--- UPS双路电源，互为备份 3、设备维护--- 购买硬件与软件厂商技术支持、专业维护队伍 设备安全 1、人员管理 2、系统操作规范 3、机房与设备维护规定 安全管理 二、网络安全 1、防火墙与路由器 2、动态入侵检测 防火墙与路由器 INTERNET 客户 防火墙 防火墙 网上银行系统 分行 分行 防火墙 中国银行 安全通道 1000兆防火墙 NETSCREEN 动态入侵检测 三、系统安全 1、操作系统安全 2、系统访问控制 1、操作系统安全 2、系统访问控制 四、应用安全 1、可靠的身份管理 （1）普通口令---两次口令校验 网上银行登录口令、密钥保护口令 （2）电子令牌---实体检测 口令保护、数据不可读出 （3）数字证书---强身份认证 重新建设CA认证中心 三重校验，身份确认 USERID和密码—示例 电子令牌 口令---定期更换 口令---定期更换 为配合网上银行安全系统改造，我行重建CA认证中心。新CA系统支持本地化的128位对称加密算法，1024位证书签名，同时支持Netscape和IE中英文版本。 电子证书载体采用经过国家密码主管机构认可的USBKEY/IC卡，保障密钥和证书安全。 CA电子证书 电子证书与身份证的比较 姓名：王家业 编号签发者：北京市公安局 海淀分局 发布时间：2000-04-05 有效期：10年 住址：北京市海淀区学院南路9号 颁发给：WANGJIAYE 序列号：10E7 D8F3 8078 ADEC 1100 0ED4 8BB2 EEBB签发者：C = CN，S = BEIJING， L = BEIJING， O = BANK OF CHINA， CN = INTERNET BANKING ，BANK OF CHINA 有效起始时间：2002年12月6日 有效终止时间：2005年12月6日 Email：wangjy@ 公钥：RSA (1024 bits) 38ighwejb …… 企业电子证书详细信息-示例 2、通信保护-保密性 加密 解密 明文 明文 密文 K K 采用128位对称加密算法、SSL安全套接层协议，确保交易数据的保密性 加密 解密 K K K的密文 B公钥 B私钥 通信保护-保密性 采用1024位的RSA非对称加密算法，确保交易 数据的保密性 通信保护-完整性 明文摘要 A公钥 解密 加密 摘要的密文 A私钥 明文 明文摘要 SHA1数字摘要算法 SHA1散