银行业网络安全建议.PPT

* 应用软件代码签名 * 业务系统安全解决方案 银行业务 用户身份确认证书登录 账单传递安全电子邮件 在线支付/转账表单签名加密数字时间戳 机要文件发放文档签名加密 网上银行软件更新代码签名 网站防伪造可信站点 * 支持的业界标准 加密标准： DES, IDEA, RSA, MD5, SHA-1 等 证书标准： X.509v3, CRLv2, PKCS系列标准 LDAP标准： LDAPv2 智能卡标准： ISO7816, PC/SC, PKCS#11 安全邮件标准： S/MIME VPN协议： IP-Sec （RFC1825-1828） 电子认证平台体系架构： Intel CDSA * 银行业安全解决方案 信息传递的安全解决方案 业务系统的安全解决方案 整体的安全解决方案范例 （网上银行） * 整体的安全解决方案范例（网上银行） 安全网上银行 公网部分 内网部分 * 网上银行安全解决方案说明 用户经SSL连接到银行网站，同时使用数字证书登录； 用户在银行网站进行在线转账或者在线支付，使用表单签名加密和数字时间戳等方式保护和确认操作； 用户指令到达银行内部业务系统，系统采用节点密码机对其进行解密； 银行内部业务系统对用户指令进行处理，同时通过加密链路将指令传送到各相关银行； 银行内部业务系统反馈指令处理结果，以安全电子邮件或电子账单（采用文档电子签名与加密）方式传递给用户； 用户获得反馈，网上银行业务完毕。 * 银行业网络安全建议 系统要尽量与公网隔离，要有相应的安全连接措施 为了提供网络安全服务，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性等安全机制，并有相应的安全管理 远程客户访问重要的应用服务应严格执行鉴别过程和使用访问控制 信息传递系统要具有抗侦听、抗截获能力，能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击，保护信息的机密性，保证信息和系统的完整性 涉及保密的信息在传输过程中，在保密装置以外不以明文形式出现 * 其他需考虑的安全问题 风险评估 防病毒 入侵检测 内容过滤（邮件、网站） 数据备份与灾难恢复 * 主要内容 银行业目前存在的安全隐患 银行业安全解决方案 成功案例 * 成功应用案例 网证通认证体系 海南CA 湖北CA 重庆CA 电子政务 广东商检 国家审计署广州办网上办公 广州市农委岭南农业网 广州市政府信息工程网上招投标 厦门市政府采购网 深圳贸易发展局 电子商务 九运会网上注册系统 赢时通证券网 中衡网上报关 广东省数据局计费帐单发送 21CN安全电子邮件 广东移动网上招投标 成功应用案例 * 成功应用案例 成功应用案例 广州工商 广州农委 九运会 * * 广东省电子商务认证中心 * 广东省电子商务认证中心 * 广东省电子商务认证中心 银行业信息安全解决方案 * 主要内容 银行业目前存在的安全隐患 银行业信息安全解决方案 成功案例 * 客体＿被管理的对象(组织、人、事、文件等) 业务 管理主体 领导 文秘 业务 财务 …… 规则 标准规范体系和规范数据接口及统一字典 业务信息应用体系 业务应用系统 领导决策 秘书文档 业务部门 业务部门 财务管理 … 标准应用支持平台(Browse) 业务其它应用 和数据仓库 安全监控及处理中心 网络逻辑层 专用网络 公用网络 网络物理层 有线通信 移动无线通信 卫星通信 信息化运行管理和维护体系 信息网络安全保障体系 信息网络安全体系示意图 * 银行业目前存在的安全隐患 信息传递的安全隐患 业务系统的安全隐患 * 信息传递的安全隐患 网络硬件的安全缺陷：如可靠性差、电磁辐射、电磁泄漏等。 通信链路的安全缺陷：如电磁辐射、电磁泄漏、搭线、串音等。 技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口，不少关键网络设备也依赖于进口。 缺乏系统的安全标准引起的安全缺陷：中国虽然已经有了一些网络安全标准，但还是很不完善。 * 业务系统的安全隐患 据ICSA统计，来自计算机系统内部的安全威胁高达60％ 非法用户进入系统及合法用户对系统资源的非法使用 被非法用户截获敏感数据 非法用户对业务数据进行恶意的修改或插入 数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据 * 主要内容 银行业目前存在的安全隐患 银行业信息安全解决方案 成功案例 * 银行业安全解决方案 信息传递的安全解决方案 业务系统的安全解决方案 整体的安全解决方案范例 （网上银行） * 信息传递的安全解决方案 对于物理层