银行业信息安全解决方案广东省电子商务认证中心

广东省电子商务认证中心2024/7/9广东省电子商务认证中心广东省电子商务认证中心银行业信息平安解决方案银行业信息平安解决方案广东省电子商务认证中心 2024/7/9主要内容主要内容银行业目前存在的平安隐患银行业目前存在的平安隐患银行业信息平安解决方案银行业信息平安解决方案成功案例成功案例2广东省电子商务认证中心 2024/7/9客客体体被被管管理理的的对对象象(组组织织、人人、事事、文文件件等等)业务管理主体管理主体 领导文秘业务财务规规则则标标准准规规范范体体系系和和规规范范数数据据接接口口及及统统一一字字典典业业 务务 信信 息息 应应 用用 体体 系系业务应用系统业务应用系统领导决策秘书文档业务部门业务部门财务管理标准应用支持平台(Browse)业务其它应用和数据仓库安全监控及处理中心网网络络逻逻辑辑层层专用网络公用网络网网络络物物理理层层有线通信移动无线通信卫星通信信信息息化化运运行行管管理理和和维维护护体体系系信信息息网网络络安安全全保保障障体体系系信息网络平安体系示意图信息网络平安体系示意图3广东省电子商务认证中心 2024/7/9银行业目前存在的平安隐患银行业目前存在的平安隐患信息传递的安全隐患信息传递的安全隐患业务系统的安全隐患业务系统的安全隐患4广东省电子商务认证中心 2024/7/9信息传递的平安隐患信息传递的平安隐患网络硬件的平安缺陷：如可靠性差、电磁辐射、电磁泄漏等。网络硬件的平安缺陷：如可靠性差、电磁辐射、电磁泄漏等。通信链路的平安缺陷：如电磁辐射、电磁泄漏、搭线、串音等。通信链路的平安缺陷：如电磁辐射、电磁泄漏、搭线、串音等。技术被动引起的网络平安缺陷技术被动引起的网络平安缺陷:计算机的核心芯片多依赖于进口，不少关键网络设备也依赖于进口。计算机的核心芯片多依赖于进口，不少关键网络设备也依赖于进口。缺乏系统的平安标准引起的平安缺陷：中国虽然已经有了一些网络平安标准，但还是很不完善。缺乏系统的平安标准引起的平安缺陷：中国虽然已经有了一些网络平安标准，但还是很不完善。5广东省电子商务认证中心 2024/7/9业务系统的平安隐患业务系统的平安隐患n据ICSA统计，来自计算机系统内部的安全威胁高达60n非法用户进入系统及合法用户对系统资源的非法使用n被非法用户截获敏感数据n非法用户对业务数据进行恶意的修改或插入n数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据6广东省电子商务认证中心 2024/7/9主要内容主要内容银行业目前存在的平安隐患银行业目前存在的平安隐患银行业信息平安解决方案银行业信息平安解决方案成功案例成功案例7广东省电子商务认证中心 2024/7/9银行业平安解决方案银行业平安解决方案信息传递的安全解决方案信息传递的安全解决方案信息传递的安全解决方案信息传递的安全解决方案业务系统的安全解决方案业务系统的安全解决方案整体的安全解决方案范例整体的安全解决方案范例（网上银行）（网上银行）8广东省电子商务认证中心 2024/7/9信息传递的平安解决方案信息传递的平安解决方案对于物理层，主要通过制定物理层面的管理标准和措施来提供平安解决方案对于网络接口层，主要通过线路加密机对数据加密保护。它对所有用户数据一起加密，加密后的数据通过通信线路送到另一节点后解密对于网际层，主要通过IP密码机来保证网络层数据传输的平安性对于传输层，主要通过SSL协议和VPN技术来保证传输层平安对于应用层，可以采用节点式密码机来保证应用数据的保密性9广东省电子商务认证中心 2024/7/9信息传递的平安解决方案信息传递的平安解决方案10广东省电子商务认证中心 2024/7/9信息传递的平安解决方案信息传递的平安解决方案对于使用ATM、DDN等方式的主干连接，如在银行总行和省、地市分行之间的连接，建议采用与连接方式对应的线路加密机进行加密保护，加密机对线路中所传送的所有数据进行加密，而与协议无关。同时还有专门用于加密 网的线路加密机可供配套使用；对于连接方式比较复杂的情况，如县级支行和省、地市以及总行之间的数据传输，可能采用包括ADSL、ISDN或者直接拨号上网等的多种连接方式，建议采用IP密码机进行加密保护，对TCP/IP协议中的IP数据包内容进行加密，能够灵活适应多种的网络连接方式，对基于TCP/IP协议的应用透明；11广东省电子商务认证中心 2024/7/9信息传递的平安解决方案信息传递的平安解决方案对于传输敏感数据比较少的连接，如在储蓄所或小型的银行之间的数据传输，建议采用节点加密机进行加密保护，敏感信息加密后，连同普通信息一起通过电信公网传输到目的地；对于需要远程接入的情况，如出差在外的银行工作人员，建议采用基于PKI体系的VPN系统进行加密保护，远程接入方首先连入电信网络，然后通过VPN系统接入，此时传送的数据受数字证书加密保护，同时客户端数字证书采用IC卡或USB电子令牌进行保护。12广东省电子商务认证中心 2024/7/9DDNDDN线路加密机的技术指标一线路加密机的技术指标一性能指标网络协议严格按照ITU-T和IETF的相关技术标准，其本身不占用网络资源加/解密处理的最高速率为全双工2Mbps当线路传输速率为2Mbps时，密码设备的延时小于3ms，设备的参加几乎不影响网络的性能最大并发用户数为4096个13广东省电子商务认证中心 2024/7/9DDNDDN线路加密机的技术指标二线路加密机的技术指标二密码算法n支持对称密码算法和非对称密码算法n对称密码算法密钥长度为128位，支持SSF09算法nRSA算法密钥长度1024位nHASH算法为MD514广东省电子商务认证中心 2024/7/9银行业平安解决方案银行业平安解决方案信息传递的安全解决方案信息传递的安全解决方案业务系统的安全解决方案业务系统的安全解决方案业务系统的安全解决方案业务系统的安全解决方案整体的安全解决方案范例整体的安全解决方案范例（网上银行）（网上银行）15广东省电子商务认证中心 2024/7/9业务系统的平安解决方案业务系统的平安解决方案数字证书登录数字证书登录表单域签名加密表单域签名加密数字时间戳效劳数字时间戳效劳文档电子签名与加密文档电子签名与加密平安电子邮件平安电子邮件可信站点认证效劳可信站点认证效劳软件代码签名软件代码签名16广东省电子商务认证中心 2024/7/9数字证书登录数字证书登录功能：功能：先进的密码技术，保证登录用户的合法性先进的密码技术，保证登录用户的合法性登录过程对用户透明，无需记忆口令登录过程对用户透明，无需记忆口令通过数字证书确认用户身份的合法性通过数字证书确认用户身份的合法性数字签名技术有效防止用户抵赖行为数字签名技术有效防止用户抵赖行为采用加密通信协议，保护机密信息不被泄漏采用加密通信协议，保护机密信息不被泄漏应用场景：应用场景：银行客户平安登录银行网站银行客户平安登录银行网站 银行员工登录管理系统银行员工登录管理系统17广东省电子商务认证中心 2024/7/9应用数字证书登录应用数字证书登录18广东省电子商务认证中心 2024/7/9表单域签名加密表单域签名加密功能：功能：n确认填写人身份n确保网页表单内容真实性n确保网页表单内容完整性n确保网页表单内容机密性n确保网页表单内容不可抵赖应用场景：银行客户在线支付、在线转账等19广东省电子商务认证中心 2024/7/9应用表单域签名加密应用表单域签名加密表单签名表单签名20广东省电子商务认证中心 2024/7/9数字时间戳效劳数字时间戳效劳数字时间戳数字时间戳是对时间信息的数字签名。数字时间戳数字时间戳主要用于实现以下两个功能：n确定在某一时间，某个文件确实存在；n确定多个文件在时间上的逻辑关系，即：多个文件在逻辑上的时间先后顺序；多个文件是否属于逻辑上的同一时间。应用场景：数字支票、在线转账21广东省电子商务认证中心 2024/7/9数字时间戳效劳应用说明数字时间戳效劳应用说明 对于数字支票之类可以重复出现相同内容的电子数据，通常采用数字时间戳来创立过期标记。时间戳将电子数据的内容和产生时间相关联，相同内容的电子数据由于产生时间不同，时间戳也不会相同。所以当两份相同内容的电子数据出现时，可以根据时间戳判断它们是否出自同一个拷贝。23广东省电子商务认证中心 2024/7/9文档电子签名与加密文档电子签名与加密功能：功能：n采用国际通用的X.509 V3证书和PKCS技术标准对文档及签名者的意见进行签名和验证n确保签名文档的完整性n防止对文档做未经授权的篡改n确认签名者真实身份n保证签名行为的不可否认性n无纸化办公，提高办公效率应用场景：应用场景：银行内部无纸化办公，客户账单电子签收等24广东省电子商务认证中心 2024/7/9应用文档电子签名与加密应用文档电子签名与加密25广东省电子商务认证中心 2024/7/9平安电子邮件平安电子邮件功能：功能：确认电子邮件发送者身份确认电子邮件发送者身份确保电子邮件内容真实性确保电子邮件内容真实性确保电子邮件内容完整性确保电子邮件内容完整性确保电子邮件内容机密性确保电子邮件内容机密性确保电子邮件内容不可抵赖确保电子邮件内容不可抵赖应用场景：应用场景：银行内部无纸化办公，客户账单平安发送银行内部无纸化办公，客户账单平安发送26广东省电子商务认证中心 2024/7/9应用平安电子邮件应用平安电子邮件27广东省电子商务认证中心 2024/7/9可信站点认证效劳可信站点认证效劳功能：功能：访问者向银行网站发送敏感信息时，确信其信息访问者向银行网站发送敏感信息时，确信其信息被发送到真实的目标站点被发送到真实的目标站点防止第三方站点仿冒银行网站，骗取访问者向该防止第三方站点仿冒银行网站，骗取访问者向该站点提交的敏感数据比方：信用卡号码、密站点提交的敏感数据比方：信用卡号码、密码等码等应用场景：应用场景：防止克隆银行网站骗取银行客户信息防止克隆银行网站骗取银行客户信息28广东省电子商务认证中心 2024/7/9应用可信站点认证效劳应用可信站点认证效劳通过平安连接发送信息通过平安连接发送信息当站点信息和证书信息当站点信息和证书信息不相同时给出警告信息不相同时给出警告信息29广东省电子商务认证中心 2024/7/9软件代码签名软件代码签名功能：功能：银行使用代码签名证书对本行软件进行签银行使用代码签名证书对本行软件进行签名后放到互联网上，使其软件产品更难以被仿名后放到互联网上，使其软件产品更难以被仿造和篡改，增强银行与用户间的信任度和软件造和篡改，增强银行与用户间的信任度和软件商的信誉；用户知道该软件是平安的并且没有商的信誉；用户知道该软件是平安的并且没有被篡改正，用户可以平安地进行下载、使用。被篡改正，用户可以平安地进行下载、使用。优点：优点：有效防止代码的仿冒有效防止代码的仿冒保证代码的完整性保证代码的完整性可追踪代码的来源可追踪代码的来源应用场景：应用场景：银行客户端软件的平安在线安装银行客户端软件的平安在线安装/更新更新30广东省电子商务认证中心 2024/7/9应用软件代码签名应用软件代码签名31广东省电子商务认证中心 2024/7/9业务系统平安解决方案业务系统平安解决方案银行业务银行业务用户身份确认用户身份确认证书登录证书登录账单传递账单传递平安电子邮件平安电子邮件在线支付在线支付/转账转账表单签名加密表单签名加密数字时间戳数字时间戳机要文件发放机要文件发放文档签名加密文档签名加密网上银行网上银行软件更新软件更新代码签名代码签名网站防伪造网站防伪造可信站点可信站点32广东省电子商务认证中心 2024/7/9支持的业界标准支持的业界标准加密标准：加密标准：DES,IDEA,RSA,MD5,SHA-1 DES,IDEA,RSA,MD5,SHA-1 等等证书标准：证书标准：X.509v3,CRLv2,PKCSX.509v3,CRLv2,PKCS系列标准系列标准LDAPLDAP标准：标准：LDAPv2 LDAPv2 智能卡标准：智能卡标准：ISO7816,PC/SC,PKCS#11 ISO7816,PC/SC,PKCS#11平安邮件标准：平安邮件标准：S/MIME S/MIMEVPNVPN协议：协议：IP-Sec IP-Sec RFC1825-1828RFC1825-1828电子认证平台体系架构：电子认证平台体系架构：Intel CDSA Intel CDSA33广东省电子商务认证中心 2024/7/9银行业平安解决方案银行业平安解决方案信息传递的安全解决方案信息传递的安全解决方案业务系统的安全解决方案业务系统的安全解决方案整体的安全解决方案范例整体的安全解决方案范例整体的安全解决方案范例整体的安全解决方案范例（网上银行）（网上银行）（网上银行）（网上银行）34广东省电子商务认证中心 2024/7/9整体的平安解决方案范例网上银行整体的平安解决方案范例网上银行安全网上银行安全网上银行公网局部公网局部内网局部内网局部35广东省电子商务认证中心 2024/7/9网上银行平安解决方案说明网上银行平安解决方案说明用户经SSL连接到银行网站，同时使用数字证书登录；用户在银行网站进行在线转账或者在线支付，使用表单签名加密和数字时间戳等方式保护和确认操作；用户指令到达银行内部业务系统，系统采用节点密码机对其进行解密；银行内部业务系统对用户指令进行处理，同时通过加密链路将指令传送到各相关银行；银行内部业务系统反响指令处理结果，以平安电子邮件或电子账单采用文档电子签名与加密方式传递给用户；用户获得反响，网上银行业务完毕。36广东省电子商务认证中心 2024/7/9银行业网络平安建议银行业网络平安建议系统要尽量与公网隔离，要有相应的平安连接措施为了提供网络平安效劳，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性等平安机制，并有相应的平安管理远程客户访问重要的应用效劳应严格执行鉴别过程和使用访问控制信息传递系统要具有抗侦听、抗截获能力，能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击，保护信息的机密性，保证信息和系统的完整性 涉及保密的信息在传输过程中，在保密装置以外不以明文形式出现37广东省电子商务认证中心 2024/7/9其他需考虑的平安问题其他需考虑的平安问题风险评估防病毒入侵检测内容过滤邮件、网站数据备份与灾难恢复38广东省电子商务认证中心 2024/7/9主要内容主要内容银行业目前存在的平安隐患银行业目前存在的平安隐患银行业平安解决方案银行业平安解决方案成功案例成功案例39广东省电子商务认证中心 2024/7/9成功应用案例成功应用案例n 网证通认证体系网证通认证体系n海南CAn湖北CAn重庆CAn 电子政务电子政务n 广东商检广东商检 n 国家审计署广州办网上办公国家审计署广州办网上办公n 广州市农委岭南农业网广州市农委岭南农业网n 广州市政府信息工程网上招投标广州市政府信息工程网上招投标n 厦门市政府采购网厦门市政府采购网n 深圳贸易开展局深圳贸易开展局n 电子商务电子商务n 九运会网上注册系统九运会网上注册系统n 赢时通证券网赢时通证券网n 中衡网上报关中衡网上报关n 广东省数据局计费帐单发送广东省数据局计费帐单发送n 21CN平安电子邮件平安电子邮件n 广东移动网上招投标广东移动网上招投标成功应用案例成功应用案例40广东省电子商务认证中心 2024/7/9成功应用案例成功应用案例成功应用案例成功应用案例广州工商广州工商广州农委广州农委九运会九运会41广东省电子商务认证中心 2024/7/9感谢您的参与！感谢您的参与！42