金融事业部风险与安全改进建议-安全部分.pptVIP

金融事业部支付风险与安全改进建议;主要内容;基于现有风险与安全管控现状，结合银行模式，提出改进建议;主要内容; 金融支付相关的安全及风险现状已初成体系; 金融支付相关的安全及风险现状已初成体系;主要内容;银行的支付安全模式是基于国际国内规范的体系化成熟模型;主要内容;其中PCI DSS是国际公认的卡支付安全规范，被银行业广泛应用;PCI DSS中规定了12项安全要求;要求1：安装并维护防火墙配置，以保护持卡人数据的详细规定及分析;要求1：安装并维护防火墙配置，以保护持卡人数据的详细规定及分析（2）;要求2：系统密码和其他安全参数不使用供应商提供的默认设置的详细规定及分析;要求3：保护存储持卡人的数据的详细规定及分析;要求3：保护存储持卡人的数据的详细规定及分析 （2）;要求3：保护存储持卡人的数据的详细规定及分析 （3）;要求4：在开放型的公共网络中传输持卡人数据时会加密的详细规定及分析 ;要求5：使用并定期更新杀毒软件或程序的详细规定及分析 ;要求6：开发、维护安全系统和应用程序的详细规定及分析 ;要求6：开发、维护安全系统和应用程序的详细规定及分析 （2）;要求6：开发、维护安全系统和应用程序的详细规定及分析 （3）;要求7：限制为只有业务需要知道的人才能访问持卡人数据的详细规定及分析 ;要求8：为每位拥有计算机访问权限的用户分配唯一的 ID的详细规定及分析 ;要求8：为每位拥有计算机访问权限的用户分配唯一的 ID的详细规定及分析（2） ;要求9：限制对持卡人数据的物理访问的详细规定及分析 ;要求9：限制对持卡人数据的物理访问的详细规定及分析(2) ;要求10：跟踪和监控访问网络资源和持卡人数据的所有操作的详细规定及分析;要求10：跟踪和监控访问网络资源和持卡人数据的所有操作的详细规定及分析(2);要求11：定期测试安全系统和流程的详细规定及分析;要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析;要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析（2）;要求12：维护针对雇员和承包商信息安全的政策的详细规定及分析（3）;要求12：维护针对雇员和承包商信息安全的政策的详???规定及分析（4）;主要内容;CUPSecure是银联制定的网上交易支付安全标准;由于CUPSecure处理逻辑复杂，其基本原理可以通过Visa 3DSecure说明;CUPSecure支付流程符合3DSecure的基本原理，并提供发卡机构代理服务（SC模式，银联安全输入模式）;基于 的实际情况，不会照搬银行的做法，但是可以参考银行网上支付安全体系适当修正。;主要内容;在多年的实践过程中，网上银行遇到了一些安全问题 ，同时也采取了众多的安全措施。;网银的安全重点在身份认证和网络传输。;人民银行的网银安全规范可以作为 的参考;可以分析一下网银比较成功的几个大银行的网银系统安全：工商银行、建设银行、中国银行、农业银行、招商银行。;基于以上分析， 可以借鉴其中的一些做法;主要内容;银行常用密钥体系分为两大类：对称密钥体系，非对程密钥体系;对称算法简介;对称密钥体系安全管理基本概念;硬件加密机相关的安全管理;对称密钥体系密钥的管理;非对称算法简介;非对称密钥体系离不开CA证书申请，在中国金融机构的证书申请单位为CFCA;SSL是非对称密钥体系的一种，常用于Web应用;数字签名是非对称密钥体系的另一种应用，用于防抵赖性;主要内容;;*;PKI安全体系;业务操作控制—以角色基础单元实现对不同资源的管理权限;业务操作控制—实现集中管理，分散操作;备份与灾备;软硬件平台的安全考虑;主要内容;IC卡标准体系;3) MSI Mag-stripe image磁条信息 4) 在线卡 / 发卡行认证;EMV交易流;ARQC 数据项 ;Issuer;Certificate Authority;;SDA 处理要求;Issuer;Issuer;;;DDA 处理要求;主要内容;基于 现状并集合先进实践，制定 安全模型，将随着业务开展而逐步完善; 安全模型包含组织架构、管理规范、评定指标、监控体系、技术平台、安全层级和安全类别几个方面。;初步建议 个安全层级所管理的内容如下，其将随着业务的发展而发展，随着管理的深入而丰富。