银行业信息安全解决方案探析课件

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,标题A,标题A,标题B,标题C,标题D,*,广东省电子商务认证中心,2023/9/2,单击此处编辑母版标题样式,*,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,金诺,信心来自安全,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,广东省电子商务认证中心,银行业信息安全解决方案,广东省电子商务认证中心银行业信息安全解决方案,2,主要内容,银行业目前存在的安全隐患,银行业信息安全解决方案,成功案例,2主要内容银行业目前存在的安全隐患,3,客体被管理的对象,(,组织、人、事、文件等,),业务,管理主体,领导,文秘,业务,财务,规则,标准规范体系和规范数据接口及统一字典,业务信息应用体系,业务应用系统,领导决策,秘书文档,业务部门,业务部门,财务管理,标准应用支持平台,(Browse),业务其它应用,和数据仓库,安全监控及处理中心,网络逻辑层,专用网络,公用网络,网络物理层,有线通信,移动无线通信,卫星通信,信息化运行管理和维护体系,信息网络安全保障体系,信息网络安全体系示意图,3客体被管理的对象(组织、人、事、文件等)业务管理主体领导,4,银行业目前存在的安全隐患,信息传递的安全隐患,业务系统的安全隐患,4银行业目前存在的安全隐患信息传递的安全隐患业务系统的安全隐,5,信息传递的安全隐患,网络硬件的安全缺陷：如可靠性差、电磁辐射、电磁泄漏等。,通信链路的安全缺陷：如电磁辐射、电磁泄漏、搭线、串音等。,技术被动引起的网络安全缺陷:计算机的核心芯片多依赖于进口，不少关键网络设备也依赖于进口。,缺乏系统的安全标准引起的安全缺陷：中国虽然已经有了一些网络安全标准，但还是很不完善。,5信息传递的安全隐患,6,业务系统的安全隐患,据,ICSA,统计，来自计算机系统内部的安全威胁高达60,非法用户进入系统及合法用户对系统资源的非法使用,被非法用户截获敏感数据,非法用户对业务数据进行恶意的修改或插入,数据发送方在发出数据后加以否认或接收方在收到数据后篡改数据,在不可信的计算机基础上建立可信点,6业务系统的安全隐患据ICSA统计，来自计算机系统内部的安全,7,主要内容,银行业目前存在的安全隐患,银行业信息安全解决方案,成功案例,7主要内容银行业目前存在的安全隐患,8,银行业安全解决方案,信息传递的安全解决方案,业务系统的安全解决方案,整体的安全解决方案范例,（网上银行）,8银行业安全解决方案信息传递的安全解决方案业务系统的安全解决,9,信息传递的安全解决方案,对于物理层，主要通过制定物理层面的管理规范和措施来提供安全解决方案,对于网络接口层，主要通过线路加密机对数据加密保护。它对所有用户数据一起加密，加密后的数据通过通信线路送到另一节点后解密,对于网际层，主要通过,IP,密码机来保证网络层数据传输的安全性,对于传输层，主要通过,SSL,协议和,VPN,技术来保证传输层安全,对于应用层，可以采用节点式密码机来保证应用数据的保密性,9信息传递的安全解决方案对于物理层，主要通过制定物理层面的管,10,信息传递的安全解决方案,10信息传递的安全解决方案,11,信息传递的安全解决方案,对于使用,ATM,、,DDN,等方式的主干连接，如在银行总行和省、地市分行之间的连接，建议采用与连接方式对应的线路加密机进行加密保护，加密机对线路中所传送的所有数据进行加密，而与协议无关。同时还有专门用于加密电话网的线路加密机可供配套使用；,对于连接方式比较复杂的情况，如县级支行和省、地市以及总行之间的数据传输，可能采用包括,ADSL,、,ISDN,或者直接拨号上网等的多种连接方式，建议采用,IP,密码机进行加密保护，对,TCP/IP,协议中的,IP,数据包内容进行加密，能够灵活适应多种的网络连接方式，对基于,TCP/IP,协议的应用透明；,11信息传递的安全解决方案对于使用ATM、DDN等方式的主干,12,信息传递的安全解决方案,对于传输敏感数据比较少的连接，如在储蓄所或小型的银行之间的数据传输，建议采用节点加密机进行加密保护，敏感信息加密后，连同普通信息一起通过电信公网传输到目的地；,对于需要远程接入的情况，如出差在外的银行工作人员，建议采用基于,PKI,体系的,VPN,系统进行加密保护，远程接入方首先连入电信网络，然后通过,VPN,系统接入，此时传送的数据受数字证书加密保护，同时客户端数字证书采用,IC,卡或,USB,电子令牌进行保护。,12信息传递的安全解决方案对于传输敏感数据比较少的连接，如在,13,DDN,线路加密机的技术指标（一）,性能指标,网络协议严格按照,ITU-T,和,IETF,的相关技术标准，其本身不占用网络资源,加/解密处理的最高速率为全双工2,Mbps,当线路传输速率为2,Mbps,时，密码设备的延时小于3,ms，,设备的加入几乎不影响网络的性能,最大并发用户数为4096个,13DDN线路加密机的技术指标（一）性能指标,14,DDN,线路加密机的技术指标（二）,密码算法,支持对称密码算法和非对称密码算法,对称密码算法密钥长度为128位，支持,SSF09,算法,RSA,算法密钥长度1024位,HASH,算法为,MD5,14DDN线路加密机的技术指标（二）密码算法,15,银行业安全解决方案,信息传递的安全解决方案,业务系统的安全解决方案,整体的安全解决方案范例,（网上银行）,15银行业安全解决方案信息传递的安全解决方案业务系统的安全解,16,业务系统的安全解决方案,数字证书登录,表单域签名加密,数字时间戳服务,文档电子签名与加密,安全电子邮件,可信站点认证服务,软件代码签名,16业务系统的安全解决方案数字证书登录,17,数字证书登录,功能：,先进的密码技术，保证登录用户的合法性,登录过程对用户透明，无需记忆口令,通过数字证书确认用户身份的合法性,数字签名技术有效防止用户抵赖行为,采用加密通信协议，保护机密信息不被泄漏,应用场景：,银行客户安全登录银行网站,银行员工登录管理系统,17数字证书登录功能：,18,应用数字证书登录,18应用数字证书登录,19,表单域签名加密,功能：,确认填写人身份,确保网页表单内容真实性,确保网页表单内容完整性,确保网页表单内容机密性,确保网页表单内容不可抵赖,应用场景：,银行客户在线支付、在线转账等,19表单域签名加密功能：,20,应用表单域签名加密,表单签名,20应用表单域签名加密表单签名,21,数字时间戳服务,数字时间戳,是对时间信息的数字签名。,数字时间戳,主要用于实现以下两个功能：,确定在某一时间，某个文件确实存在；,确定多个文件在时间上的逻辑关系，即：,多个文件在逻辑上的时间先后顺序；,多个文件是否属于逻辑上的同一时间。,应用场景：,数字支票、在线转账,21数字时间戳服务数字时间戳是对时间信息的数字签名。,22,应用数字时间戳服务,22应用数字时间戳服务,23,数字时间戳服务应用说明,对于数字支票之类可以重复出现相同内容的电子数据，通常采用数字时间戳来创建过期标记。时间戳将电子数据的内容和产生时间相关联，相同内容的电子数据由于产生时间不同，时间戳也不会相同。所以当两份相同内容的电子数据出现时，可以根据时间戳判断它们是否出自同一个拷贝。,23数字时间戳服务应用说明 对于数字支票之类可以重复出现,24,文档电子签名与加密,功能：,采用国际通用的,X.509 V3,证书和,PKCS,技术标准对文档及签名者的意见进行签名和验证,确保签名文档的完整性,防止对文档做未经授权的篡改,确认签名者真实身份,保证签名行为的不可否认性,无纸化办公，提高办公效率,应用场景：,银行内部无纸化办公，客户账单电子签收等,24文档电子签名与加密功能：,25,应用文档电子签名与加密,25应用文档电子签名与加密,26,安全电子邮件,功能：,确认电子邮件发送者身份,确保电子邮件内容真实性,确保电子邮件内容完整性,确保电子邮件内容机密性,确保电子邮件内容不可抵赖,应用场景：,银行内部无纸化办公，客户账单安全发送,26安全电子邮件功能：,27,应用安全电子邮件,27应用安全电子邮件,28,可信站点认证服务,功能：,访问者向银行网站发送敏感信息时，确信其信息被发送到真实的目标站点,防止第三方站点仿冒银行网站，骗取访问者向该站点提交的敏感数据（比如：信用卡号码、密码等）,应用场景：,防止克隆银行网站骗取银行客户信息,28可信站点认证服务功能：,29,应用可信站点认证服务,通过安全连接发送信息,当站点信息和证书信息不相同时给出警告信息,29应用可信站点认证服务通过安全连接发送信息当站点信息和证书,30,软件代码签名,功能：,银行使用代码签名证书对本行软件进行签名后放到互联网上，使其软件产品更难以被仿造和篡改，增强银行与用户间的信任度和软件商的信誉；用户知道该软件是安全的并且没有被篡改过，用户可以安全地进行下载、使用。,优点：,有效防止代码的仿冒,保证代码的完整性,可追踪代码的来源,应用场景：,银行客户端软件的安全在线安装,/,更新,30软件代码签名功能：,31,应用软件代码签名,31应用软件代码签名,32,业务系统安全解决方案,银行业务,用户身份确认,证书登录,账单传递,安全电子邮件,在线支付,/,转账,表单签名加密数字时间戳,机要文件发放,文档签名加密,网上银行软件更新,代码签名,网站防伪造,可信站点,32业务系统安全解决方案银行业务用户身份确认证书登录账单传,33,支持的业界标准,加密标准：,DES, IDEA, RSA, MD5, SHA-1,等,证书标准：,X.509v3, CRLv2,PKCS,系列标准,LDAP,标准：,LDAPv2,智能卡标准：,ISO7816, PC/SC, PKCS#11,安全邮件标准：,S/MIME,VPN,协议：,IP-Sec,（,RFC1825-1828,）,电子认证平台体系架构：,Intel CDSA,33支持的业界标准加密标准： DES, IDEA, RSA,34,银行业安全解决方案,信息传递的安全解决方案,业务系统的安全解决方案,整体的安全解决方案范例,（网上银行）,34银行业安全解决方案信息传递的安全解决方案业务系统的安全解,35,整体的安全解决方案范例（网上银行）,安全网上银行,公网部分,内网部分,35整体的安全解决方案范例（网上银行）安全网上银行公网部分内,36,网上银行安全解决方案说明,用户经,SSL,连接到银行网站，同时使用数字证书登录；,用户在银行网站进行在线转账或者在线支付，使用表单签名加密和数字时间戳等方式保护和确认操作；,用户指令到达银行内部业务系统，系统采用节点密码机对其进行解密；,银行内部业务系统对用户指令进行处理，同时通过加密链路将指令传送到各相关银行；,银行内部业务系统反馈指令处理结果，以安全电子邮件或电子账单（采用文档电子签名与加密）方式传递给用户；,用户获得反馈，网上银行业务完毕。,36网上银行安全解决方案说明用户经SSL连接到银行网站，同时,37,银行业网络安全建议,系统要尽量与公网隔离，要有相应的安全连接措施,为了提供网络安全服务，各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性等安全机制，并有相应的安全管理,远程客户访问重要的应用服务应严格执行鉴别过程和使用访问控制,信息传递系统要具有抗侦听、抗截获能力，能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击，保护信息的机密性，保证信息和系统的完整性,涉及保密的信息在传输过程中，在保密装置以外不以明文形式出现,37银行业网络安全建议系统要尽量与公网隔离，要有相应的安全连,38,其他需考虑的安全问题,风险评估,防病毒,入侵检测,内容过滤（邮件、网站）,数据备份与灾难恢复,38其他需考虑的安全问题风险评估,39,主要内容,银行业目前存在的安全隐患,银行业安全解决方案,成功案例,39主要内容银行业目前存在的安全隐患,40,成功应用案例,网证通认证体系,海南CA,湖北CA,重庆CA,电子政务,广东商检,国家审计署广州办网上办公,广州市农委岭南农业网,广州市政府信息工程网上招投标,厦门市政府采购网,深圳贸易发展局,电子商务,九运会网上注册系统,赢时通证券网,中衡网上报关,广东省数据局计费帐单发送,21CN,安全电子邮件,广东移动网上招投标,成功应用案例,40成功应用案例 网证通认证体系,41,成功应用案例,成功应用案例,广州工商,广州农委,九运会,41成功应用案例成功应用案例广州工商广州农委九运会,42,感谢您的参与！,网证通为您,e,路护航,42感谢您的参与！ 网证通为您e路护航,43,导致安全漏洞 七大管理问题,1850,位信息安全专家的总结,SANS 99,43导致安全漏洞 七大管理问题1850位信息安全专家的总结,44,7,安全无用论,忽略安全问题，假装它并不存在,447 安全无用论忽略安全问题，假装它并不存在,45,6,头痛医头、脚痛医脚,采用反复、短期的措施,相同安全问题一再迅速重现,456 头痛医头、脚痛医脚采用反复、短期的措施,46,5,忽视声誉,没有认识到信息与组织声誉的价值,在数字化社会中,信息系统被破坏会对企业的形象与业务产生巨大的影响,465 忽视声誉没有认识到信息与组织声誉的价值,47,4,完全依靠防火墙,内部网也用,TCP/IP,协议,存在与,Internet,相同的安全问题,不能防内,安全事件,6080%,由内部人员造成,安全隔离做不到绝对分离,内部网 之间的互连互通,474 完全依靠防火墙内部网也用TCP/IP协议,48,3,不规范的实施安全操作,没有明确的安全目标与安全措施,如：,仅打补丁,没有完整的安全政策,不全面检查安全问题,483 不规范的实施安全操作没有明确的安全目标与安全措施,49,2,错误地理解信息安全与业务问题的关系,物理安全,铁门、铁窗,保险箱,保安,信息安全,信息的价值,492 错误地理解信息安全与业务问题的关系物理安全,50,1,错误的人事安排,指派未经训练的人员维护安全,缺乏充分的时间与培训,501 错误的人事安排指派未经训练的人员维护安全,1,、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你努力的不够多。,2,、孤单一人的时间使自己变得优秀，给来的人一个惊喜，也给自己一个好的交代。,3,、命运给你一个比别人低的起点是想告诉你，让你用你的一生去奋斗出一个绝地反击的故事，所以有什么理由不努力,!,4,、心中没有过分的贪求，自然苦就少。口里不说多余的话，自然祸就少。腹内的食物能减少，自然病就少。思绪中没有过分欲，自然忧就少。大悲是无泪的，同样大悟无言。缘来尽量要惜，缘尽就放。人生本来就空，对人家笑笑，对自己笑笑，笑着看天下，看日出日落，花谢花开，岂不自在，哪里来的尘埃,!,5,、心情就像衣服，脏了就拿去洗洗，晒晒，阳光自然就会蔓延开来。阳光那么好，何必自寻烦恼，过好每一个当下，一万个美丽的未来抵不过一个温暖的现在。,6,、无论你正遭遇着什么，你都要从落魄中站起来重振旗鼓，要继续保持热忱，要继续保持微笑，就像从未受伤过一样。,7,、生命的美丽，永远展现在她的进取之中,;,就像大树的美丽，是展现在它负势向上高耸入云的蓬勃生机中,;,像雄鹰的美丽，是展现在它搏风击雨如苍天之魂的翱翔中,;,像江河的美丽，是展现在它波涛汹涌一泻千里的奔流中。,8,、有些事，不可避免地发生，阴晴圆缺皆有规律，我们只能坦然地接受,;,有些事，只要你愿意努力，矢志不渝地付出，就能慢慢改变它的轨迹。,9,、与其埋怨世界，不如改变自己。管好自己的心，做好自己的事，比什么都强。人生无完美，曲折亦风景。别把失去看得过重，放弃是另一种拥有,;,不要经常艳羡他人，人做到了，心悟到了，相信属于你的风景就在下一个拐弯处。,10,、有些事想开了，你就会明白，在世上，你就是你，你痛痛你自己，你累累你自己，就算有人同情你，那又怎样，最后收拾残局的还是要靠你自己。,11,、人生的某些障碍，你是逃不掉的。与其费尽周折绕过去，不如勇敢地攀登，或许这会铸就你人生的高点。,12,、有些压力总是得自己扛过去，说出来就成了充满负能量的抱怨。寻求安慰也无济于事，还徒增了别人的烦恼。,13,、认识到我们的所见所闻都是假象，认识到此生都是虚幻，我们才能真正认识到佛法的真相。钱多了会压死你，你承受得了吗,?,带，带不走，放，放不下。时时刻刻发悲心，饶益众生为他人。,14,、梦想总是跑在我的前面。努力追寻它们，为了那一瞬间的同步，这就是动人的生命奇迹。,15,、懒惰不会让你一下子跌倒，但会在不知不觉中减少你的收获,;,勤奋也不会让你一夜成功，但会在不知不觉中积累你的成果。人生需要挑战，更需要坚持和勤奋,!,16,、人生在世：可以缺钱，但不能缺德,;,可以失言，但不能失信,;,可以倒下，但不能跪下,;,可以求名，但不能盗名,;,可以低落，但不能堕落,;,可以放松，但不能放纵,;,可以虚荣，但不能虚伪,;,可以平凡，但不能平庸,;,可以浪漫，但不能浪荡,;,可以生气，但不能生事。,17,、人生没有笔直路，当你感到迷茫、失落时，找几部这种充满正能量的电影，坐下来静静欣赏，去发现生命中真正重要的东西。,18,、在人生的舞台上，当有人愿意在台下陪你度过无数个没有未来的夜时，你就更想展现精彩绝伦的自己。但愿每个被努力支撑的灵魂能吸引更多的人同行。,1、不是井里没有水，而是你挖的不够深。不是成功来得慢，而是你,