企金网银–安控机制范例(续).ppt

* 密碼安全原則設定(Password Composition with Security Anlagen) 1 使用者於第一次登入時必須重設密碼。 使用者第一次登入時，系統須自動強制使用者變更密碼，並符合各項密碼安全原則，以及變更紀錄 2 密碼長度是否設定大於6碼(含)以上。 密碼長度須至少6碼（含）以上，但不包括半形或全形“空白” 3 密碼變更時間設定為90~180天。 變更密碼期限為90至180天，且於到期前系統自動通知使用者，並到期後則為強制變更密碼 4 密碼設定為不可與前三代重複。 於變更密碼時，不得於前三代密碼相同 5 密碼設定為錯誤五次以上，便鎖定帳號。 應符合下列事項要求： 於登入系統時，密碼輸入錯誤達五次（含），須將帳號鎖定，並透過系統畫面知告使用者 須透過申請程序，始能解除密碼鎖定 如各子公司之主管機關對次數另有規定時，則須遵循主管機關要求。 6 密碼不得與使用者代號相同。 密碼不得與使用者代號（帳號）相同，亦為初始密碼也在此範圍內 7 密碼不得為易猜知內容(如：1111、1234等)。 密碼不允許為易猜資訊，如相同文數字連續達四次（含）以上(例:1111、AAAA)、有連續性之文數字達四次（含）以上(例:1234、ABCD) 8 密碼內容須為文數字夾雜。 密碼不內容不能為全是文字或數字，須文數字夾雜 9 密碼安全原則設定非寫在程式中(透過程式介面或檔案設定)。 密碼安全原則，應透過程式介面方式或檔案（僅限作業系統）執行設定作業 10 密碼之傳輸、儲存，應使用公認足夠安全強度之加密演算法。 密碼於傳輸過程、儲存在檔案／資料庫內，須使用公認之安全強度加密演算法 11 不可將特定帳號密碼及IP寫入應用程式之原始碼中。 在應用系統程式碼中，不可存在特定的存取帳號及IP，如有需要使用特定存取帳號、IP，則須透過程式介面或檔案（僅限作業系統）執行設定作業 * 以IC金融卡登入網銀之身份辦識 在網路銀行的平台上以IC晶片金融卡Login 以驗証持卡人身份，交易的權限及交易資訊之加密，以防止駭客在網路上竊取或竄改交易資料之內容，確保客戶使用綱路交易之安全與信心，以提昇銀行的服務品質並提高獲利。 以IC卡登入網銀之目的 二代晶片金融卡己普遍發行，每人皆時常隨身攜帶，配合IC card reader 普遍流行，顧客以IC 晶片卡登入網銀是最方便安全的機制，對銀行而言，除可節省建構網銀身份辨識的成本，又可降低維護成本。另外還可達到下列安全機制： 加強防止 ： 　偽造網站 (網頁/元件) 　偽造DNS 　客戶端PC被植入木馬程式 　偽造合法訊息送入本行 　 防止盜版使用：元件可設定僅提供某一URL使用 加強加密驗証：元件內使用AES加密，確認交易 * 每次產的動態鍵盤，其英數字的位置都不一樣，當按鍵盤上的某一個鍵時， 放到輸入欄位時，僅是一個代號，應用程式將代號送到後瑞主機後，再依 這次的鍵盤的碼表(mapping table)中找出代號真正代表的英數字，即為真正 的密碼。 * 簽入企金網系統作業/畫面說明 按簽入則做密碼檢核，如錯誤，則將畫面上資料清空並在此畫面顯示錯誤訊息。如正確，若為首次登入且身分是安控主管，則至安控主管首次登入密碼變更畫面；若為首次登入且身分是一般使用者，則至一般使用者首次登入密碼變更畫面。若非首次登入，則至企業金融網首頁。 按重設則清空畫面上欄位資料。 企業網路銀行公佈欄以跑馬燈方式出現公佈標題，點選標題則跳出說明的靜態網頁。 開戶申請書下載、各類約定書下載、使用手冊下載、交通銀行客服信箱各別會跳出靜態網頁或功能鏈結。 簽入檢核流程: (1) 登入 (2)密碼認證 (3)重複登入檢核 (4)密碼輸入三次錯誤即暫時停用 (5)連續三次錯誤時會發通知給使用者，第二十次錯誤時也會通知系統管理者。 6. 且逾時會自動簽出,簽出/入皆會有記錄 * 身份為主管或經辦其能操作的項目不同，經辦可以編輯、查詢，主管可以審核與查詢。 * * 幾乎所的企業、大多數的政府單位，以及很多人都有自己專屬的網站。存取網際網路的個人與公司愈來愈多，而且他們都有圖形介面的網頁瀏覽器，因此很多企業都熱衷於架設電子商務網站，但是網際網路和網站其實很容易受到各種惡意的攻擊，近年來企業開始了解這個事實，對網站安全的需求也開始增加、重視。 * * 幾乎所的企業、大多數的政府單位，以及很多人都有自己專屬的網站。存取網際網路的個人與公司愈來愈多，而且他們都有圖形介面的網頁瀏覽器，因此很多企業都熱衷於架設電子商務網站，但是網際網路和網站其實很容易受到各種惡意的攻擊，近年來企業開始了解這個事實，對網站安全的需求也開始增加、重視。 * * 幾乎所的企業、大多數的政府單位，以及很多人都有自己專屬的網站。存取網際網路的個