资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网上银行安全建设交流,身份认证,登录密码,数字证书,IC,卡及,USB Token,动态密码,电子口令卡、刮刮卡、手机短信动态密码,安全协议,TLS/SSL,软实现,/,硬实现,SPKM,国内网银的安全现状,防火墙,品牌较杂,防病毒及入侵检测,服务端防护为主,实际效果一般,国内网银的安全现状,安全事故多来自,内部作案,应用缺陷,木马,钓鱼网站,人为因素,国内网银的安全现状,网银的关键,网银是什么?,成功网银的关键及难度?,安全? 应用安全,功能? 开发框架,技术? 应用快速开发,营销? 营销机制,网银安全,重要性,网上银行带来的便利,减少了提供服务的地域、时间限制,副产品是增加了暴露面及风险。,媒体渲染,使一般用户谈虎色变,不敢使用网银。,目的,保护客户及银行自身的利益,规避、降低金融风险。,网银安全,安全三要素,保密性(,confidentiality,):敏感信息不外泄。,完整性(,integrity,):信息不被篡改。,实用性(,availability,):系统持续提供服务的能力。,PKI,数字证书的作用,身份确认(,authentication,)的重要技术;,授权(,authorization,)的基础;,并不能解决所有的安全问题。,手段,在各个层面采用管理、技术手段,网银安全,网络安全,主机安全,入侵检测,病毒防范,备份恢复,系统层,管理层,应用层,身份识别,证书使用,数据签名,信息加密,权限控制,管理规定,安全条例,操作规范,安全审计,监测预警,网银安全手段是全方位、多层次的。从系统层、应用层、管理层保障。,系统层防护,应用层防护,网银安全建设的设计原则,安全与方便,相对性,平衡点,风险承受度,强化薄弱环节,应用安全,内部管理,用户认证手段(一),客户号,/,卡号,/,账号,+,密码,简便易用,用户认证手段(二),双因素认证,-,用户密码,+,动态密码,实现手段丰富,硬件,Token,软件,OTP,短信,OTP,口令卡等,用户认证手段(三),数字证书,硬件,Token,IC,卡,软存储,使用方式,客户端认证,数字签名,应用安全组件,安全产品,监控、预警及管理,监控、预警及管理,基于分布事件模型,应用系统与监控系统分离,管理界面,Web,界面,终端,交流及问题解答,谢谢!,
展开阅读全文