纲上银行30系统的安全策略

公司业务部公司业务部 网上银行处网上银行处 一、物理安全一、物理安全二、网络安全二、网络安全四、应用安全四、应用安全三、系统安全三、系统安全主要内容主要内容一、物理与环境安全1 1、区域安全、区域安全2 2、设备安全、设备安全3 3、安全管理规章、安全管理规章1 1、物理安全界限、物理安全界限-专用电脑中心、密钥管理中心、网络控制中心机房2 2、物理进入控制、物理进入控制-保安、机房门禁3 3、在安全区域内工作、在安全区域内工作-业务操作区与设备区隔离区域安全区域安全1、设备定位与保护设备定位与保护-专用机架、口令保护2、电力供应与电缆安全电力供应与电缆安全-UPS双路电源，互为备份3、设备维护设备维护-购买硬件与软件厂商技术支持、专业维护队伍设备安全设备安全1、人员管理2、系统操作规范3、机房与设备维护规定安全管理安全管理二、网络安全1、防火墙与路由器2、动态入侵检测防火墙与路由器INTERNETINTERNET客户防火墙防火墙网上银行系统分行分行防火墙中国银行安全通道1000兆防火墙兆防火墙 NETSCREEN 总行网络监控中心总行网络监控中心-天阗入侵检测系统，严防黑天阗入侵检测系统，严防黑客入侵客入侵动态入侵检测三、系统安全1 1、操作系统安全、操作系统安全 2 2、系统访问控制、系统访问控制 中国银行网上银行采用了国际中国银行网上银行采用了国际著名厂商（著名厂商（IBMIBM）的安全操作系统，）的安全操作系统，与国际一流商业银行的电子银行服与国际一流商业银行的电子银行服务看齐，足以保证网上银行的系统务看齐，足以保证网上银行的系统安全。安全。1、操作系统安全 1 1、严格的用户访问管理、严格的用户访问管理-用户用户注册口令注册口令5 5次错误锁定、连续次错误锁定、连续3 3天被锁天被锁定则用户死锁定则用户死锁 2 2、系统访问管理、系统访问管理-IP-IP地址识别、地址识别、硬件编码地址识别、系统访问时间控硬件编码地址识别、系统访问时间控制制2、系统访问控制四、应用安全身份管理身份管理通信保护通信保护访问控制访问控制安全审计安全审计认认证证保保密密授授权权完完整整不不可可否否认认 身份管理身份管理 身份证件分发身份证件分发 身份认证身份认证 通信保护通信保护 保密性保密性 完整性完整性 不可否认性不可否认性 访问控制访问控制 授权授权 安全审计安全审计 历史追踪历史追踪 缺陷分析缺陷分析1、可靠的身份管理（1）普通口令）普通口令-两次口令校验 网上银行登录口令、密钥保护口令（2）电子令牌）电子令牌-实体检测 口令保护、数据不可读出（3）数字证书）数字证书-强身份认证 重新建设CA认证中心 三重校验，身份确认三重校验，身份确认USERIDUSERID和密码和密码示例示例电子令牌 USBKEY/IC USBKEY/IC卡卡 USBKEY/ICUSBKEY/IC卡卡通通过产生和识别网上电子交易过产生和识别网上电子交易的数字签名（电子签名或电子图章），达到识别的数字签名（电子签名或电子图章），达到识别交易者身份和验证交易数据真伪交易者身份和验证交易数据真伪的目的，保证网上交易的的目的，保证网上交易的不可否认性不可否认性(Nonrepudiation)(Nonrepudiation)；同时作为身份认证的强力工具同时作为身份认证的强力工具。口令-定期更换口令-定期更换 为配合网上银行安全系统改造，我行重建为配合网上银行安全系统改造，我行重建CACA认证中心。新认证中心。新CACA系统支持本地化的系统支持本地化的128128位对称加位对称加密算法，密算法，10241024位证书签名，同时支持位证书签名，同时支持NetscapeNetscape和和IEIE中英文版本。中英文版本。电子证书载体采用经过国家密码主管机构认电子证书载体采用经过国家密码主管机构认可的可的USBKEY/ICUSBKEY/IC卡，保障密钥和证书安全。卡，保障密钥和证书安全。CA电子证书电子证书与身份证的比较 姓名：王家业 编号：452801197312061538 签发者：北京市公安局 海淀分局 发布时间：2000-04-05 有效期：10年 住址：北京市海淀区学院南路9号颁发给：WANGJIAYE序列号：10E7 D8F3 8078 ADEC 1100 0ED4 8BB2 EEBB签发者：C=CN，S=BEIJING，L=BEIJING，O=BANK OF CHINA，CN=INTERNET BANKING，BANK OF CHINA有效起始时间：2002年12月6日有效终止时间：2005年12月6日Email：wangjybank-of- 公钥：RSA(1024 bits)38ighwejb企业电子证书详细信息-示例2、通信保护-保密性加密解密明文明文密文KK采用采用128128位对称加密算法、位对称加密算法、SSLSSL安全套接层协议，确保交安全套接层协议，确保交易数据的保密性易数据的保密性加密解密KKK的密文B公钥B私钥通信保护-保密性采用采用10241024位的位的RSARSA非对称加密算法，确保交易非对称加密算法，确保交易数据的保密性数据的保密性通信保护-完整性明文摘要A公钥解密加密摘要的密文A私钥明文明文摘要SHA1数字摘要算法SHA1散列算法明文摘要相等？通信保护-数字签名 数字签名：数据完整性中发送方的操作 验证数字签名：接收方的操作 签名目的：信息是由签名者发送的；验签名目的：信息自签发后到收到的过程中，没有被篡改、没有仿冒、不是重发性攻击；发送方信息散列函数摘要私钥加密（签名）数字签名数字签名信息散列函数摘要公钥解密摘要信息被确认比较两者如一致接收方通信保护-数字签名网上银行中的数字签名-示例3、访问控制-登录三重措施1 1、USERID USERID 唯一性，确保有效识唯一性，确保有效识别操作员别操作员2 2、USERIDUSERID与口令、电子令牌的与口令、电子令牌的耦合校验耦合校验3 3、USERIDUSERID与与CACA电子证书的耦电子证书的耦合校验合校验访问控制-应用三重措施1 1、操作员对不同产品、功能的控制、操作员对不同产品、功能的控制2 2、操作员对不同账号的控制、操作员对不同账号的控制3 3、操作员对不同账号的授权级别控制、操作员对不同账号的授权级别控制4、审计-客户操作记录 对对用户每一个操用户每一个操作作,网上银行都做了详网上银行都做了详细的细的LOGLOG记载，方便用记载，方便用户掌握资金汇划过程户掌握资金汇划过程中的相关操作信息中的相关操作信息审计-客户操作记录审计-系统日志记录 对客对客户每一笔交易的处理全过户每一笔交易的处理全过程程,银行系统都做了详细的银行系统都做了详细的LOGLOG记录，记录，方便银行维护和审计人员掌握资金方便银行维护和审计人员掌握资金汇划过程中的相关处理信息汇划过程中的相关处理信息 2001 2001年年2 2月，我行网上银行系统顺利月，我行网上银行系统顺利通过了全球四大咨询评估公司排名第二的通过了全球四大咨询评估公司排名第二的德勤公司的德勤公司的“互联网安全与控制审计互联网安全与控制审计”。我行成为国内同业首家通过安全审计评我行成为国内同业首家通过安全审计评估的商业银行估的商业银行权威结论 9、静夜四无邻，荒居旧业贫。22.10.2122.10.21Friday,October 21,202210、雨中黄叶树，灯下白头人。8:01:278:01:278:0110/21/2022 8:01:27 AM11、以我独沈久，愧君相见频。22.10.218:01:278:01Oct-2221-Oct-2212、故人江海别，几度隔山川。8:01:278:01:278:01Friday,October 21,202213、乍见翻疑梦，相悲各问年。22.10.2122.10.218:01:278:01:27October 21,202214、他乡生白发，旧国见青山。2022年10月21日星期五上午8时1分27秒8:01:2722.10.2115、比不了得就不比，得不到的就不要。2022年10月上午8时1分22.10.218:01October 21,202216、行动出成果，工作出财富。2022年10月21日星期五8时01分27秒8:01:2721 October 202217、做前，能够环视四周；做时，你只能或者最好沿着以脚为起点的射线向前。上午8时1分27秒上午8时1分8:01:2722.10.219、没有失败，只有暂时停止成功！。22.10.2122.10.21Friday,October 21,202210、很多事情努力了未必有结果，但是不努力却什么改变也没有。8:01:278:01:278:0110/21/2022 8:01:27 AM11、成功就是日复一日那一点点小小努力的积累。22.10.218:01:278:01Oct-2221-Oct-2212、世间成事，不求其绝对圆满，留一份不足，可得无限完美。8:01:278:01:278:01Friday,October 21,202213、不知香积寺，数里入云峰。22.10.2122.10.218:01:278:01:27October 21,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年10月21日星期五上午8时1分27秒8:01:2722.10.2115、楚塞三湘接，荆门九派通。2022年10月上午8时1分22.10.218:01October 21,202216、少年十五二十时，步行夺得胡马骑。2022年10月21日星期五8时01分27秒8:01:2721 October 202217、空山新雨后，天气晚来秋。上午8时1分27秒上午8时1分8:01:2722.10.219、杨柳散和风，青山澹吾虑。22.10.2122.10.21Friday,October 21,202210、阅读一切好书如同和过去最杰出的人谈话。8:01:278:01:278:0110/21/2022 8:01:27 AM11、越是没有本领的就越加自命不凡。22.10.218:01:278:01Oct-2221-Oct-2212、越是无能的人，越喜欢挑剔别人的错儿。8:01:278:01:278:01Friday,October 21,202213、知人者智，自知者明。胜人者有力，自胜者强。22.10.2122.10.218:01:278:01:27October 21,202214、意志坚强的人能把世界放在手中像泥块一样任意揉捏。2022年10月21日星期五上午8时1分27秒8:01:2722.10.2115、最具挑战性的挑战莫过于提升自我。2022年10月上午8时1分22.10.218:01October 21,202216、业余生活要有意义，不要越轨。2022年10月21日星期五8时01分27秒8:01:2721 October 202217、一个人即使已登上顶峰，也仍要自强不息。上午8时1分27秒上午8时1分8:01:2722.10.21MOMODA POWERPOINTLorem ipsum dolor sit,eleifend nulla ac,fringilla purus.Nulla iaculis tempor felis amet,consectetur adipiscing elit.Fusce id urna blanditut cursus.感 谢 您 的 下 载 观 看感 谢 您 的 下 载 观 看专家告诉