安保平台培训教材课件.ppt

安保平台培训 二O一O年十二月三日 民生银行银行系统再造项目 培训大纲 培训目标 管理内容及分行岗位职责流程 安保平台机制简介 下分行具体工作 操作培训及操作常见问题描述和解决方案 本次信息收集汇总及技术验证 一、培训目标 培训目标 了解安保平台的岗位职责 了解安保平台的管理流程 了解安保平台运行的基本机制 明确下分行的相关工作 掌握安保平台的基本操作 具备基本的错误排查知识,尽快定位问题 掌握下分行技术验证的方法 二、管理内容与分行岗位职责流程 分行岗位设置的管理目标 指定专人负责科技条线的工作职责，严格执行技术控制措施，避免科技风险； 负责所有安全（涉及密码）相关设备建档管理，统计设备的库存量、使用者、使用状态、报修、报失、报废等情况，上报总行设备操作岗； 对所辖设备进行定期检查，纠正违规使用，上报分行领导和总行设备操作岗；尤其是可移动设备（如POS，EPOS等）； 负责分行及所辖支行的设备注册、维护和日常问题解决等,负责分行的证书管理。 分行岗位设置 岗位名称 职责 分行安保系统管理岗 负责履行总行的系统管理岗下达的分行安保系统管理维护工作；负责指派所辖支行的设备维护岗人员；负责对所辖支行的设备维护岗人员进行管理和信息维护。 分行安保系统审核岗 负责履行总行的系统管理岗下达的分行安保系统管理维护工作；负责审核分行系统管理员所做的录入和操作活动。 分/支行安全设备维护岗 负责各自分支行的加密模块、PinPad、U-KEY、指纹仪以及POS/EPOS设备的注册和密钥证书下载；对各自分行所使用设备进行统计管理和信息维护；解决各分支行设备相关技术问题。 分/支行用户管理岗 负责履行总行用户管理岗下达的用户管理维护工作；分行用户管理岗负责指派支行用户管理岗和审核岗人员；负责按照申请设置（变更）用户及其可操作应用、机构、角色、身份鉴别方式（指纹录入、U-KEY发放、口令发放）等；对值班的时间、岗位进行设置和管理；对委托授权的岗位进行设置；对所设置和维护的用户信息进行维护管理。 分/支行用户审核岗 负责履行总行用户管理岗下达的用户管理维护工作；负责审核用户及其可操作应用、机构、角色、身份鉴别方式等；负责审核值班设置；负责审核委托授权设置。 分行岗位/角色设置示意图 分行设备管理员管理流程 分行科技统一向总行发出设备管理员申请（申请表） 必须要有业务部门和科技部门的签字盖章 把签字后的表格传真到010申请包括新增,修改,删除 同时,发送excel表格给总行相关人员 分行Ukey申请管理流程 分行科技统一向总行申请领用(申请表),申请时按柜员数的20%申请 申请时按柜员数的20%申请 必须要有业务部门和科技部门的签字盖章 把签字后的表格传真到010总行发放以传真为依据 分行科技统一管理本分行所有UKey(管理流程,管理表格),做好领用登记工作 柜员指纹不可用 证书管理(分行制卡和保险公司) 分行证书管理流程 分行科技统一进行证书注册发放，并做好登记工作 业务部门提出证书申请（业务部门要有相关流程） 必须要有业务部门的签字盖章 科技部门主管批准 科技部通过安保制作证书并发放 登记发放情况 三、安保平台机制简介 安保平台机制简介 渠道/通道系统安全保护机制 POS/EPOS安全保护机制 证书文件加密机制 统一用户权限管理机制 应用系统安全机制-边界防护 渠道设备和密钥统一管理：注册、密钥管理; 渠道密钥统一管理：生成、更新; 通道密钥统一管理：生成、更新; 行外密钥统一管理：导入或发放; 四个统一： 渠道系统安全机制 渠道系统 安全设备 功能 安全机制 柜面系统 HSM硬件模块 柜面终端合法性认证、交易完整性保护 一机一密、CPK标识密钥 PINPAD PIN保护 一机一密 UKEY 柜员身份认证 一机一密、CPK标识密钥 FP指纹 柜员身份认证 生物特征 网上银行 UKEY 用户身份认证、交易签名、交易加密 PKI/CA数字证书 密码控件 交易密码保护 1）防木马技术；2）端到端加密；3）交易完整性保护； 动态令牌 动态口令 动态口令 自助查询机 EPP PIN保护 一机一密 动态令牌 动态口令 动态口令 ATM EPP PIN保护 一机一密 动态令牌 动态口令 动态口令 POS/EPOS PINPAD PIN保护 一机一密 电话银行 动态令牌 动态口令 动态口令 手机银行 … …. *备注：红色表示尚未完成 柜面安全保护机制 HSM硬件模块：对终端设备的合法性认证、XBANK交易数据完整性保护； PINPAD：PIN密码保护； UKEY:柜员身份认证； FP指纹仪：柜员身份认证，对公客户指纹识别； POS/EPOS安全机制 POS密钥管理机制说明： 1：分行POS管理员通