企业管理区企金网银–安控机制范例课件

10-1Module 10-2：網路銀行應用範例10-1Module 10-2：網路銀行應用範例10-2網路銀行應用分類網路銀行應用分類個金網路銀行個金網路銀行提供個人戶客戶使用之銀行網路交易系統依使用者申請分類:網銀用戶、信用卡用戶、VIP存取控制:ID+PW,IC卡、雙向驗証、Challenge/Response企金網路銀行企金網路銀行提供企業用戶客戶使用之銀行網路交易系統使用者為企業戶之財務部、會計人員、高階主管存取控制:ID+PW+IC卡,多重授權、審核,數位憑証(不可否認性)10-2網路銀行應用分類個金網路銀行10-3個金網銀與企金網銀分流個人網路銀行為單一使用者,使用上著重在操作簡易、流程短、個人化、群組化，交易金額較小，服務內容 變化較多樣化。企業網路銀行對一個企業來講為多使用者,交易金額大，企業在乎內部安全控管,故在使用上著重多重控管流程.額度控管.授限管制.主動通知提醒 10-3個金網銀與企金網銀分流個人網路銀行為單一使用者,使用10-4網路銀行功能網路銀行功能-個金網銀範例個金網銀範例10-4網路銀行功能-個金網銀範例10-5網路銀行功能網路銀行功能 企金網銀範例企金網銀範例10-5網路銀行功能 企金網銀範例10-6存取控制存取控制 使用者存取管理主要目的是讓授權的使用者可以依其權限，適當存取資訊系統並防止未經授權之使用者存取資訊系統存存控制的安全保護利用密碼學的技術，使第三方看不懂通信中的內容權限的管理與設定申請變更取消10-6存取控制 使用者存取管理主要目的是讓授權的使用者10-7存取控制存取控制(續)使用者辨識技術通行密碼辨識使用者帳號與通行密碼持卡驗證身份憑證儲存在智慧卡上視覺認知辨識使用者的視覺+動態鍵盤、GOTP等使用者的人為操作來進行身份的驗証10-7存取控制(續)使用者辨識技術10-8存取控制存取控制(續)帳號申請與使用依規定攜帶身份証、印章至已開戶分行辦理申請經辦人員核對身份及申請項目，設定申請人的授權及啟用程序經辦人員提供密封的密碼函，包含使用者代號及密碼使用者第一次登入時必須變更使用者代號及密碼系统將依使用者所具備之身份鑑別因子(factor)，分為一般身分登入與金融IC卡登入兩種，不同的身份，可使用的業務功能不同帳號取消或變更必須依規定攜帶身份証、印章至已開戶分行辦理申請10-8存取控制(續)帳號申請與使用10-9個金網銀個金網銀 -存取控制範例存取控制範例個金網路銀行使用者登入可依照其所持有的鑑別因子(factors)來決定其能執行的交易授權及範圍一般登入:ID+Password+usercode授權業務範圍僅限查詢、約定轉帳持卡驗證:ID+PIN+usercode+IC card (two factors authentication)授權業務範圍:查詢、約定轉帳、非約定轉帳、線上交易授權金額範圍為降低線上交易風險，必需限制每次/每日交易的 限額10-9個金網銀-存取控制範例個金網路銀行使用者登入可依10-10個金網銀個金網銀 -存取控制範例存取控制範例(續續)密碼及使用者代號必須符合安全規則(如代號至少8碼、須中英文夾雜,密碼不得為懶人密碼)密碼輸入方式採用動態鍵盤，避免駭客利用密碼側錄等竊取密碼動態鍵盤10-10個金網銀-存取控制範例(續)密碼及使用者代號必10-11動態鍵盤的每一個英數字僅代表一個location，輸入欄位將各location傳送到Server端時，再依location與字碼轉換table，將location轉換成英數字之密碼字碼密碼登入的資料由PC端傳送到Web server端時，採用SSL加密，確保資料在通訊中的安全動態鍵盤10-11動態鍵盤的每一個英數字僅代表一個location，10-12個金網銀個金網銀 -存取控制範例存取控制範例(續續)以動態鍵盤輸入密碼的過程所需時間T，檢查所花時間是否 T Tmin，若T小於Tmin,則拒絕交易密碼經過雜湊函數及3DES運算，再經由server比對資料庫的資料後，若完全正確，即可取得唯一的特殊session ID，做為往後各交易的通行判別factor登入時間是否在客戶設定的正常使用時區、金額是否在設定的範圍內，若不是,則發出即時警訊通知(簡訊及mail)10-12個金網銀-存取控制範例(續)以動態鍵盤輸入密碼10-13個金網銀個金網銀 -存取控制範例存取控制範例(續續)10-13個金網銀-存取控制範例(續)10-14個金網銀個金網銀 存取控制範例存取控制範例(續續)善用Challenge/responseGraphic OTP動態鍵盤插拔晶片金融卡個人資料對答 (如:交易行為有異常，問:最喜歡運動?家中小孩幾位?等個人存於銀行之資料)交易驗証碼傳至手機,再輸入網頁 交易內容完成後,由網站主機依据交易資料運算產生 驗証碼，並將驗証碼以簡訊或mail傳送給客戶,客戶再將手機上的驗証碼輸入網頁,送至網站主機比對,若驗証碼正確，即完成交易程序。10-14個金網銀 存取控制範例(續)善用Challen10-15個金網銀個金網銀 存取控制範例存取控制範例(續續)動態鍵盤Graphic OTP10-15個金網銀 存取控制範例(續)動態鍵盤Graph10-16個金網銀個金網銀 存取控制範例存取控制範例(續續)插、拔晶片金融卡,確認交易是人為在操作10-16個金網銀 存取控制範例(續)插、拔晶片金融卡,10-17個金網銀個金網銀 存取控制範例存取控制範例(續續)發現異常交易行為時，以簡訊或 mail即時通知10-17個金網銀 存取控制範例(續)發現異常交易行為時10-18企金網銀企金網銀 安控機制範例安控機制範例10-18企金網銀 安控機制範例10-19v企業會員區企金網銀 安控機制範例(續)符合標準安控基準，採用最新技術憑證網路傳輸採128 位元 SSL傳輸加密保護使用電子簽章，保障交易完整性及不可否認性採用FXML憑證新型智慧卡輕巧方便、攜帶保管容易依企業作業流程，採多重授權每一使用者需要訂定權限依交易重要性設定多層審核流程限制每日/每筆最大轉出金額10-19企業會員區企金網銀 安控機制範例(續)符合標準10-20強化安控機制企業採用雙安控 安控經辦，安控主管(編輯)-(送審)-(放行)作業功能可依交易屬性控管制帳號/統編以IC卡做為憑証的載具，安全性高主動性通知服務v企業會員區企金網銀 安控機制範例(續)10-20強化安控機制企業會員區企金網銀 安控機制範例(10-21安全審核放行多重審核 1.編輯-放行 2.編輯-初審-放行 3.編輯-初審-複審-放行 4.編輯-初審-複審-三審-放行審核放行者須有權限及憑証(存於智慧卡)依交易金額大小或交易的重要性，選定一審或多審的審核流程v企業會員區企金網銀 安控機制範例(續)10-21安全審核放行多重審核企業會員區企金網銀 安控機10-22依使用者的屬性設定執行的權限及交易種類v企業管理區企金網銀 安控機制範例(續)10-22依使用者的屬性設定執行的權限及交易種類企業管理區企10-23雙安控人員權限控管機制經辦主管編輯修改刪除送審l審核文件退回重新編輯放行通過v企業會員區企金網銀 安控機制範例(續)10-23雙安控人員權限控管機制經辦主管編輯送審審核文件退回10-24v企業會員區企金網銀 安控機制範例(續)10-24企業會員區企金網銀 安控機制範例(續)10-25企金網路銀行應用系統權限控制角色共分為三部份:資訊管理單位、分行作業管理單位、企業財務管理單位，授權流程說明：IT安控人員及主管 授權分行安控經辦及安控主管 授權分行業務經辦及業務主管 授權企業安控經辦及安控主管 授權企業財務經辦及財務主管 執行網路銀行業務每個流程初次使用時，必須變更密碼、代號及下載憑証並存於IC卡內企金網銀企金網銀 安控機制範例安控機制範例(續續)10-25企金網路銀行應用系統權限控制角色共分為三部份:企金10-26由資訊處作業人員設定分行安控人員分行安控人員首次登入並更改登入密碼及主管授權碼資訊處作業人員安控經辦安控主管安控主管設定該分行作業人員並送審審核放行通過分行作業人員使用者登入並更改登入密碼及主管授權碼IT 單位設定 分行部門作業人員權限企金網銀企金網銀 安控機制範例安控機制範例(續續)10-26由資訊處分行安控人員首次資訊處作業人員安控經辦安控10-27銀行經辦銀行業務主管會員會員臨櫃申請填寫各申請表格登入會員資料戶代理設定交易系統使用約定台幣帳戶約定外幣帳戶約定帳戶查詢約定費用扣款帳號申請登錄會員憑證送審審核文件放行通過產生密碼函三份連同智慧卡及憑證系統光碟交給會員v營業單位作業區分行經辦單位設定新會員登錄作業權限 企金網銀企金網銀 安控機制範例安控機制範例(續續)10-27銀行經辦銀行業務主管會員會員臨櫃登入會員資料戶代理10-28會員安控憑證管理 經辦主管會員會員在會員作業區辦理憑證暫禁時，欲申請憑證解禁或憑證註銷後，欲重申請憑證時，須臨櫃申請編輯送審審核文件放行通過新憑證密碼函註銷後之憑證永久失效憑證解禁次數以兩次為限，第三次後就永久失效企金網銀 安控機制範例(續)10-28會員安控憑證管理 經辦主管會員會員在會員作業區辦理10-29安裝光碟之的驅動程式並且重新開機安控經辦啟用密碼更改原始簽入密碼原始簽入名稱變更基本資料個人化設定安控經辦首次登入安控主管啟用密碼更改原始登入名稱原始登入密碼變更基本資料個人化設定製作金鑰對及申請憑證憑證申請密碼函更改成新密碼安控主管首次登入安裝光碟之的驅動程式並且重新開機v企業會員區企業內部安控人員第一次使用流程企金網銀 安控機制範例(續)10-29安裝光碟之的驅動安控經辦啟用密碼更改原始簽入密碼變10-30安控經辦設定人員的登入名稱及登入密碼由安控主管審核通過，放行變更登入名稱及登入密碼變更基本資料個人化設定使用者首次登入輸入安控經辦設定的登入名稱及登入密碼正確?是開始交易否安控主管檢查及變更企業基本資料查詢台幣約定帳號設定訊息通知設定使用者權限設定作業流程新增使用者安控經辦:編輯/設定/送審安控經辦企流內郊首次授權流程企金網銀安控機制範例(續)10-30安控經辦設定人員的由安控主管變更登入名稱變更基本資10-31變更企業變更內部使用人員及其權限時處理流程使用者資料維護更改使用者權限新增使用者輸入新使用者資料並送審核審核放行設定新權限並送審核使用者查詢否否審核放行退回是是安控經辦安控主管放行放行企金網銀 安控機制範例(續)10-31變更企業變更內部使用人員及其權限時處理流程使用者資10-32由安控主管上企金網完成註銷手續更改密碼客戶憑證遺失臨櫃申請是否將憑證暫禁是否將憑證直接註銷註銷後之憑證將永久失效重新申請憑證需繳交手續費由安控主管上企金網完成暫禁手績要恢復時則須臨櫃申請是否是否v營業單位作業區企金網銀 安控機制範例(續)會員安控憑證管理10-32由安控主管上企金更改密碼客戶憑證是否將憑證是否將憑10-33憑証管理作業名稱作業說明憑證查詢 查詢會員憑證狀況一覽憑證申請登錄 憑證申請 憑證使用登錄 憑證使用範圍設定 憑證暫禁登錄 會員憑證暫禁 憑證解禁登錄 會員憑證解禁 憑證註銷登錄 會員憑證註銷 憑證申請密碼補印 憑證申請密碼列印 憑證費用作業 憑證費用收款查詢和收款處理配備庫存查詢 配備庫存資料查詢 配備消耗登記 登記配備消耗資料 配備申請登記 配備申請配備歷史紀錄查詢 配備狀況與處理變動歷史查詢 v營業單位作業區企金網銀 安控機制範例(續)10-33憑証管理作業名稱作業說明憑證查詢 查詢會員憑證狀況10-34Module 11-3：網路ATM應用範例 10-34Module 11-3：網路ATM應用範例 10-35實務案例網路ATM付款安全機制除了無法提供提款功能外，網路ATM的業務功能和實體ATM的功能完全相同。網路ATM額外功能提供異業結盟網路商店的線上付款機制(如網路商店購物、學雜費繳款、拍賣、遊戲儲值、線上電視付費、繳信用卡費、停車費、電信費)特定實體商店付款(醫院、超市、商店)10-35實務案例網路ATM付款安全機制除了無法提供提款功10-36網路網路ATM功能案例功能案例10-36網路ATM功能案例10-37網路網路ATM可能安全威脅可能安全威脅網路ATM是 client/server架構應用程式 Client 端有Active X元件，負責讀寫卡片資料及與server端交易資料的交換.客戶端的使用環境是銀行無法掌控的風險客戶有可能誤上釣魚網站客戶資訊遭到駭客竊取、冒用、遠端監控客戶交易資料遭到偽造、竄改10-37網路ATM可能安全威脅10-38網路網路ATM可能安全威脅分析可能安全威脅分析經分析網路ATM系統之各個節點弱點，Risk 4,5,6之安全己在網路銀系統Server端建構保全機制Risk 1,2,3則是在客戶PC端上，是銀行端無法控制的風險，所以網路ATM的安全設計將針對Risk1,2,3等因素來防範10-38網路ATM可能安全威脅分析經分析網路ATM系統之各10-39網路網路ATM設計安全規範設計安全規範銀行公會結合各銀行收集相關可能的安全威脅，針對網路ATM系統可能的弱點做分析，並且訂定網路ATM設計安全規範，提高安全程度，降低惡意程式攻擊的風險使用第二代 reader(Reader含PIN 鍵、交易確認按鍵、顯示螢幕)10-39網路ATM設計安全規範10-40網路網路ATM設計安全規範設計安全規範(續續)規規 範範 項項 目目1.網站應採用SSL加密或其他方式加密。2.系統應依每筆交易動態隨機變動端末設備查核碼或以亂碼化保護。3.系統應設計具遮罩功能之圖形驗證碼(GOTP)或隨機按鈕等方式。4.系統動態頁面呈現或限制滑鼠點選，以防止SendKey Control。5.系統應有Session及網頁TimeOut機制。6.於帳務交易時,系統應每次輸入卡片密碼產生TAC (在同一Session下亦相同)。7.若有多網頁設計(同Session)，系統應驗證前一網頁的正確性。10-40網路ATM設計安全規範(續)規 範 項 10-41網路網路ATM設計安全規範設計安全規範(續續)規規 範範 項項 目目8.元件應驗證網站正確性。(如：Challenge/Response,RSA,GOTP方式加強Client/Server雙向驗證)。9.元件應具有防盜用機制，以驗證正確網站 (如：驗證URL方式加強Client驗證Server)。10.元件應經過作業系統被認可之數位憑證簽章(CodeSign)。11.元件應設計存取卡片時限定為獨占模式。12.於帳務交易時,系統應設定需經由人工抽拔卡片動作後才回傳TAC。13.採用經本會審核之確認型讀卡機者，可不執行本注意事項之第 3,7,12 必要項目。10-41網路ATM設計安全規範(續)規 範 項 10-42網路網路ATM設計安全方法設計安全方法於各節點採用對稱式加密，機密性與完整性(參考 網路ATM對稱式加密架構圖)使用動態虛擬鍵盤及 Graphic OTP(GOTP)善用Challenge/Response機制抑制對話盒功能人工插拔卡動作10-42網路ATM設計安全方法10-43Web-ATM系統交易資料對稱加密架構TAC加密模組晶片金融卡SSL加密模組AES加密模組TAC解密模組AES解密模組SSL解密模組個人電腦WebserverAPserver中心主機客戶端銀行端SSL 128 bit 加密(完整性 機密性)AES 加密(完整性 鑑別性)TAC 加密 (完整性)10-43Web-ATM系統交易資料對稱加密架構TAC晶片金10-44網路網路ATM設計安全方法設計安全方法若是第一次使用【銀行網路ATM】，系統會出現安全性警告的視窗之對話框(如下圖所示)。請點選是按鈕，以利於系統自動安裝服務元件。10-44網路ATM設計安全方法若是第一次使用10-45網路ATM設計範例(1/6)應用程式啟動讀取IC卡時，與Reader建立的session必須具有排他性，直到交易結束。在微軟PCSC讀卡機介面規範中，對於IC卡的連線協定採用：SCARD_SHARE_EXCLUSIVE鎖住連線IC卡的Session(occupy session)，拒絕其他程式存取此一讀卡機，避免其他惡意程式乘隙讀取卡片資料，進行偽造資料。10-45網路ATM設計範例(1/6)應用程式啟動讀取IC卡10-46網路ATM設計範例(2/6)網路ATM系統使用Graphic OTP的設計方式，在網頁上會顯示48個之圖形數字，讓客戶以視覺判斷圖行數字,並 輸入OTP數字於欄位，以達到Challenge/response 功效,10-46網路ATM設計範例(2/6)網路ATM系統使用Gr10-47網路ATM設計範例(3/6)網路ATM系統使用動態虛擬鍵盤的設計方式，在網頁上會顯示09的數字圖形按鍵，並予以隨機擺放不同順序的位置，讓客戶僅能以滑鼠點選晶片卡密碼，並將代號放入輸入欄,經送往server時,再依Mapping table轉換成密碼文字避免惡意程式側錄密碼Graphic OTP10-47網路ATM設計範例(3/6)網路ATM系統使用動態10-48網路ATM設計範例(4/6)1.取消視窗右上角關閉按鈕2.取消預設按鈕屬性3.取消按鈕元件的Focus特性4.取消鍵盤事件10-48網路ATM設計範例(4/6)1.取消視窗右上角關10-49網路ATM設計範例(5/6)讓客戶在30秒內拔出卡片後再插入，以確認客戶真正的在線上使用，其主要目的是防止遠端遙控軟體的操弄10-49網路ATM設計範例(5/6)讓客戶在30秒內拔出卡10-50網路ATM設計範例(6/6)10-50網路ATM設計範例(6/6)10-51網路ATM安全管理範例系統使用者管理模組系統使用者管理模組網路網路ATM管理功能管理功能10-51網路ATM安全管理範例系統使用者管理模組網路ATM10-52網路ATM安全管理範例建立系統使用者資料&設定使用者角色 10-52網路ATM安全管理範例建立系統使用者資料&設定10-53網路ATM安全管理範例系統使用者角色資料維護:新增角色資料10-53網路ATM安全管理範例系統使用者角色資料維護:10-54網路ATM安全管理範例10-54網路ATM安全管理範例10-55網路ATM安全管理範例-安控報表10-55網路ATM安全管理範例-安控報表10-56網路ATM安全管理範例-LOG 10-56網路ATM安全管理範例-LOG 10-57網路ATM安全管理範例-EJ log10-57網路ATM安全管理範例-EJ log10-58參考文獻財金資訊股份有限公司，晶片金融卡規格書銀行公會金融機構對晶片金融卡網路應用安全機制處理要點 .tw10-58參考文獻財金資訊股份有限公司，晶片金融卡規格書