银行业信息安全解决方案(PPT 50页).pptVIP

* 信息传递的安全解决方案 对于使用ATM、DDN等方式的主干连接，如在银行总行和省、地市分行之间的连接，建议采用与连接方式对应的线路加密机进行加密保护，加密机对线路中所传送的所有数据进行加密，而与协议无关。同时还有专门用于加密电话网的线路加密机可供配套使用； 对于连接方式比较复杂的情况，如县级支行和省、地市以及总行之间的数据传输，可能采用包括ADSL、ISDN或者直接拨号上网等的多种连接方式，建议采用IP密码机进行加密保护，对TCP/IP协议中的IP数据包内容进行加密，能够灵活适应多种的网络连接方式，对基于TCP/IP协议的应用透明； * 信息传递的安全解决方案 对于传输敏感数据比较少的连接，如在储蓄所或小型的银行之间的数据传输，建议采用节点加密机进行加密保护，敏感信息加密后，连同普通信息一起通过电信公网传输到目的地； 对于需要远程接入的情况，如出差在外的银行工作人员，建议采用基于PKI体系的VPN系统进行加密保护，远程接入方首先连入电信网络，然后通过VPN系统接入，此时传送的数据受数字证书加密保护，同时客户端数字证书采用IC卡或USB电子令牌进行保护。 * DDN线路加密机的技术指标（一） 性能指标 网络协议严格按照ITU-T和IETF的相关技术标准，其本身不占用网络资源 加/解密处理的最高速率为全双工2Mbps 当线路传输速率为2Mbps时，密码设备的延时小于3ms，设备的加入几乎不影响网络的性能 最大并发用户数为4096个 * DDN线路加密机的技术指标（二） 密码算法 支持对称密码算法和非对称密码算法 对称密码算法密钥长度为128位，支持SSF09算法 RSA算法密钥长度1024位 HASH算法为MD5 * 银行业安全解决方案 信息传递的安全解决方案 业务系统的安全解决方案 整体的安全解决方案范例 （网上银行） * 业务系统的安全解决方案 数字证书登录 表单域签名加密 数字时间戳服务 文档电子签名与加密 安全电子邮件 可信站点认证服务 软件代码签名 * 数字证书登录 功能： 先进的密码技术，保证登录用户的合法性 登录过程对用户透明，无需记忆口令 通过数字证书确认用户身份的合法性 数字签名技术有效防止用户抵赖行为 采用加密通信协议，保护机密信息不被泄漏 应用场景： 银行客户安全登录银行网站 银行员工登录管理系统 * 应用数字证书登录 * 表单域签名加密 功能： 确认填写人身份 确保网页表单内容真实性 确保网页表单内容完整性 确保网页表单内容机密性 确保网页表单内容不可抵赖 应用场景： 银行客户在线支付、在线转账等 * 应用表单域签名加密 表单签名 * 数字时间戳服务 数字时间戳是对时间信息的数字签名。 数字时间戳主要用于实现以下两个功能： 确定在某一时间，某个文件确实存在； 确定多个文件在时间上的逻辑关系，即： ①多个文件在逻辑上的时间先后顺序； ②多个文件是否属于逻辑上的同一时间。 应用场景： 数字支票、在线转账 * 应用数字时间戳服务 * 数字时间戳服务应用说明 对于数字支票之类可以重复出现相同内容的电子数据，通常采用数字时间戳来创建过期标记。时间戳将电子数据的内容和产生时间相关联，相同内容的电子数据由于产生时间不同，时间戳也不会相同。所以当两份相同内容的电子数据出现时，可以根据时间戳判断它们是否出自同一个拷贝。 * 文档电子签名与加密 功能： 采用国际通用的X.509 V3证书和PKCS技术标准对文档及签名者的意见进行签名和验证 确保签名文档的完整性 防止对文档做未经授权的篡改 确认签名者真实身份 保证签名行为的不可否认性 无纸化办公，提高办公效率 应用场景： 银行内部无纸化办公，客户账单电子签收等 * 应用文档电子签名与加密 * 安全电子邮件 功能： 确认电子邮件发送者身份 确保电子邮件内容真实性 确保电子邮件内容完整性 确保电子邮件内容机密性 确保电子邮件内容不可抵赖 应用场景： 银行内部无纸化办公，客户账单安全发送 * 应用安全电子邮件 * 可信站点认证服务 功能： 访问者向银行网站发送敏感信息时，确信其信息被发送到真实的目标站点 防止第三方站点仿冒银行网站，骗取访问者向该站点提交的敏感数据（比如：信用卡号码、密码等） 应用场景： 防止克隆银行网站骗取银行客户信息 * 应用可信站点认证服务 通过安全连接发送信息 当站点信息和证书信息不相同时给出警告信息 * 软件代码签名 功能： 银行使用代码签名证书对本行软件进行签名后放到互联网上，使其软件产品更难以被仿造和篡改，增强银行与用户间的信任度和软件商的信誉；用户知道该软件是安全的并且没有被篡改过，用户可以安全地进行下载、使用。 优点： 有效防止代码的仿冒 保证代码的完整性 可追踪代码的来源 应用场景： 银行客