第03章电子银行的安全.pptVIP

* 第三章 电子银行的安全 张卓其2005年11月制作 * * 第一页，共二十二页。 第一节 电子银行安全概述 一、电子银行安全的重要性 电子银行的安全是电子银行的生命线 银行实现电子后在金融安全上出现的新情况 接触银行业务系统的人员，从银行内部扩展到社会各界 传统银行若出现安全问题只影响局部；而电子银行安全的影响却要严重得多，局部事件可产生全局性影响 电子银行安全的难度大 电子银行系统的缺陷和失效，可能给国民经济带来巨大损失 需从国防建设的高度出发，以保守国家金融信息秘密、保护银行资产、维护客户利益和隐私、严防金融信息犯罪等目标进行电子银行安全建设 张卓其2005年11月制作 * * 第二页，共二十二页。 二、电子银行安全的特点 安全性要求很高 抗攻击能力要很强 安全难度很大 高科技犯罪比重大 三、电子银行的资源 物理设备 软件 数据 人才 四、电子银行安全的基本条件 可靠性 可用性 可维护性 张卓其2005年11月制作 * * 第三页，共二十二页。 五、电子银行的业务需求 客户能向银行提交电子支付指令 银行能鉴别收到的电子指令的真伪和完整性 电子支付处理过程完整无误 电子支付过程的行为信息需存档 因故中断电子支付过程时不会产生不良影响 六、电子银行的信息安全需求 身份识别 交易认证 访问控制 信息的不可否认性 提供冲正过程 审计跟踪 张卓其2005年11月制作 * * 第四页，共二十二页。 第二节 影响电子银行安全的因素 一、自然灾害 水灾、火灾、地震、雷击、暴风雪、飓风、沙尘暴等自然灾害都可能毁坏电子银行系统 二、环境因素 战争破坏、掉电、电力波动过大、工作环境温度和湿度过高或过低等，都可能对电子银行构成安全威胁 三、软硬件质量及其安全漏洞 操作系统、数据库管理系统、网络管理系统和应用系统都可能存在不同程度的安全漏洞 四、误操作 五、人为破坏 物理破坏 网络病毒破坏 六、非授权存取 有被动攻击和主动攻击之分 防止非授权用户访问系统和越权使用系统资源 张卓其2005年11月制作 * * 第五页，共二十二页。 第三节 电子银行的入侵探测与安全控制 一、攻击类型（图3-1） 中断 截取 修改 伪造 否认服务 二、安全威胁来源（图3-2） 对公司不满的员工 黑客 竞争对手 外国政府 三、入侵探测方法 模式匹配 统计分析 完整性分析 四、入侵探测系统 基于事后审核分析 基于实时数据包分析（图3-3 ） 基于实时活动监视（图3-4）  正常数据流 中断 截取 修改 伪造 图3-1 对计算机系统实施攻击的类型 否认服务 × 外国政府 竞争对手 黑客 对公司不满的员工 0 10 20 30 40 50 60 70 80 图3-2 安全威胁来源 张卓其2005年11月制作 * * 第六页，共二十二页。 图3-3 基于实时数据包分析的入侵探测系统 UNIX HP-UX ID智能代理 Netware 3x, 4x ID智能代理 Windows NT ID智能代理 UNIX (Solaris等) ID智能代理 Web Server ID智能代理 图3-4 管理器/代理结构的入侵探测系统 张卓其2005年11月制作 * * 第七页，共二十二页。 五 、电子银行的安全层次 需从安全立法、安全管理和安全技术等领域实施综合治理，才能保障电子银行体系安全 电子银行网络的组成（图3-6） 网络。由物理电路、路由器、交换机、网管软件、防火墙、加密机、网络监测器等构成 主机系统。由主机、操作系统、数据库、工具软件等构成 应用软件。由不同业务所需的业务软件组成 主体 主机系统 客体 应用软件 网络 图3-6 计算机的安全层次  张卓其2005年11月制作 * * 第八页，共二十二页。 上述三个层次都需采取安全控制措施 网络安全 网络设备的安全性 验证使用网络的用户 阻止非法流量 了解黑客的最新入侵手段，抵御来自网络的威胁 检测、弥补网络安全漏洞 主机系统安全 操作系统等系统软件安全 统一管理账户，防止入侵和破坏 防止用户登录系统后获取ROOT口令（或系统管理员口令） 监视用户对数据库的操作 防止系统管理员滥用特权 应用软件安全 防止非法用户存取电子银行数据 防止合法用户越权存取电子银行数据 张卓其2005年11月制作 * * 第九页，共二十二页。 六、电子银行的安全控制 数据加密 密码技术是信息安全的核心技术，是各种安全技术的基础 数据保密的核心是密钥的保密和安全 数字签名和电文识别技术 数字签名用于保护电文传输安全 电文识别码技术使通信双方能显式识别传输电文的完整性 身份识别技术 不同网络环境需采用不同的身份识别技术 身份识别技术用以防止非授权用