銀行業(yè)信息安全解決方案ppt課件

1、廣東省電子商務(wù)認(rèn)證中心銀行業(yè)信息平安處理方案主要內(nèi)容銀行業(yè)目前存在的平安隱患銀行業(yè)信息平安處理方案勝利案例2客體被管理的對象(組織、人、事、文件等)業(yè)務(wù)管理主體指點(diǎn)文秘業(yè)務(wù)財(cái)務(wù)規(guī)那么規(guī)范規(guī)范體系和規(guī)范數(shù)據(jù)接口及一致字典業(yè)務(wù)信息運(yùn)用體系業(yè)務(wù)運(yùn)用系統(tǒng)指點(diǎn)決策秘書文檔業(yè)務(wù)部門業(yè)務(wù)部門財(cái)務(wù)管理規(guī)范運(yùn)用支持平臺(Browse)業(yè)務(wù)其它運(yùn)用和數(shù)據(jù)倉庫平安監(jiān)控及處置中心網(wǎng)絡(luò)邏輯層公用網(wǎng)絡(luò)公用網(wǎng)絡(luò)網(wǎng)絡(luò)物理層有線通訊挪動無線通訊衛(wèi)星通訊信息化運(yùn)轉(zhuǎn)管理和維護(hù)體系信息網(wǎng)絡(luò)平安保證體系信息網(wǎng)絡(luò)平安體系表示圖3銀行業(yè)目前存在的平安隱患信息傳送的平安隱患業(yè)務(wù)系統(tǒng)的平安隱患4信息傳送的平安隱患網(wǎng)絡(luò)硬件的平安缺陷：如可靠性差

2、、電磁輻射、電磁走漏等。 通訊鏈路的平安缺陷：如電磁輻射、電磁走漏、搭線、串音等。技術(shù)被動引起的網(wǎng)絡(luò)平安缺陷:計(jì)算機(jī)的中心芯片多依賴于進(jìn)口，不少關(guān)鍵網(wǎng)絡(luò)設(shè)備也依賴于進(jìn)口。 缺乏系統(tǒng)的平安規(guī)范引起的平安缺陷：中國雖然曾經(jīng)有了一些網(wǎng)絡(luò)平安規(guī)范，但還是很不完善。 5業(yè)務(wù)系統(tǒng)的平安隱患據(jù)ICSA統(tǒng)計(jì)，來自計(jì)算機(jī)系統(tǒng)內(nèi)部的平安要挾高達(dá)60非法用戶進(jìn)入系統(tǒng)及合法用戶對系統(tǒng)資源的非法運(yùn)用被非法用戶截獲敏感數(shù)據(jù)非法用戶對業(yè)務(wù)數(shù)據(jù)進(jìn)展惡意的修正或插入數(shù)據(jù)發(fā)送方在發(fā)出數(shù)據(jù)后加以否認(rèn)或接納方在收到數(shù)據(jù)后篡改數(shù)據(jù)在不可信的計(jì)算機(jī)根底上建立可信點(diǎn)6主要內(nèi)容銀行業(yè)目前存在的平安隱患銀行業(yè)信息平安處理方案勝利案例7銀行業(yè)平

3、安處理方案信息傳送的平安處理方案業(yè)務(wù)系統(tǒng)的平安處理方案整體的平安處理方案范例網(wǎng)上銀行8信息傳送的平安處理方案對于物理層，主要經(jīng)過制定物理層面的管理規(guī)范和措施來提供平安處理方案對于網(wǎng)絡(luò)接口層，主要經(jīng)過線路加密機(jī)對數(shù)據(jù)加密維護(hù)。它對一切用戶數(shù)據(jù)一同加密，加密后的數(shù)據(jù)經(jīng)過通訊線路送到另一節(jié)點(diǎn)后解密對于網(wǎng)際層，主要經(jīng)過IP密碼機(jī)來保證網(wǎng)絡(luò)層數(shù)據(jù)傳輸?shù)钠桨残詫τ趥鬏攲?，主要?jīng)過SSL協(xié)議和VPN技術(shù)來保證傳輸層平安對于運(yùn)用層，可以采用節(jié)點(diǎn)式密碼機(jī)來保證運(yùn)用數(shù)據(jù)的嚴(yán)密性9信息傳送的平安處理方案10信息傳送的平安處理方案對于運(yùn)用ATM、DDN等方式的主干銜接，如在銀行總行和省、地市分行之間的銜接，建議采用與

4、銜接方式對應(yīng)的線路加密機(jī)進(jìn)展加密維護(hù)，加密機(jī)對線路中所傳送的一切數(shù)據(jù)進(jìn)展加密，而與協(xié)議無關(guān)。同時還有專門用于加密網(wǎng)的線路加密機(jī)可供配套運(yùn)用；對于銜接方式比較復(fù)雜的情況，如縣級支行和省、地市以及總行之間的數(shù)據(jù)傳輸，能夠采用包括ADSL、ISDN或者直接撥號上網(wǎng)等的多種銜接方式，建議采用IP密碼機(jī)進(jìn)展加密維護(hù)，對TCP/IP協(xié)議中的IP數(shù)據(jù)包內(nèi)容進(jìn)展加密，可以靈敏順應(yīng)多種的網(wǎng)絡(luò)銜接方式，對基于TCP/IP協(xié)議的運(yùn)用透明；11信息傳送的平安處理方案對于傳輸敏感數(shù)據(jù)比較少的銜接，如在儲蓄所或小型的銀行之間的數(shù)據(jù)傳輸，建議采用節(jié)點(diǎn)加密機(jī)進(jìn)展加密維護(hù)，敏感信息加密后，連同普通訊息一同經(jīng)過電信公網(wǎng)傳輸?shù)侥康?/p>

5、地；對于需求遠(yuǎn)程接入的情況，如出差在外的銀行任務(wù)人員，建議采用基于PKI體系的VPN系統(tǒng)進(jìn)展加密維護(hù)，遠(yuǎn)程接入方首先連入電信網(wǎng)絡(luò)，然后經(jīng)過VPN系統(tǒng)接入，此時傳送的數(shù)據(jù)受數(shù)字證書加密維護(hù)，同時客戶端數(shù)字證書采用IC卡或USB電子令牌進(jìn)展維護(hù)。12DDN線路加密機(jī)的技術(shù)目的一性能目的網(wǎng)絡(luò)協(xié)議嚴(yán)厲按照ITU-T和IETF的相關(guān)技術(shù)規(guī)范，其本身不占用網(wǎng)絡(luò)資源加/解密處置的最高速率為全雙工2Mbps當(dāng)線路傳輸速率為2Mbps時，密碼設(shè)備的延時小于3ms，設(shè)備的參與幾乎不影響網(wǎng)絡(luò)的性能最大并發(fā)用戶數(shù)為4096個13DDN線路加密機(jī)的技術(shù)目的二密碼算法支持對稱密碼算法和非對稱密碼算法對稱密碼算法密鑰長度為

6、128位，支持SSF09算法RSA算法密鑰長度1024位HASH算法為MD514銀行業(yè)平安處理方案信息傳送的平安處理方案業(yè)務(wù)系統(tǒng)的平安處理方案整體的平安處理方案范例網(wǎng)上銀行15業(yè)務(wù)系統(tǒng)的平安處理方案數(shù)字證書登錄表單域簽名加密數(shù)字時間戳效力文檔電子簽名與加密平安電子郵件可信站點(diǎn)認(rèn)證效力軟件代碼簽名16數(shù)字證書登錄功能：先進(jìn)的密碼技術(shù)，保證登錄用戶的合法性登錄過程對用戶透明，無需記憶口令經(jīng)過數(shù)字證書確認(rèn)用戶身份的合法性數(shù)字簽名技術(shù)有效防止用戶抵賴行為采用加密通訊協(xié)議，維護(hù)信息不被走漏運(yùn)用場景：銀行客戶平安登錄銀行網(wǎng)站 銀行員工登錄管理系統(tǒng)17運(yùn)用數(shù)字證書登錄18表單域簽名加密功能：確認(rèn)填寫人身份確

7、保網(wǎng)頁表單內(nèi)容真實(shí)性確保網(wǎng)頁表單內(nèi)容完好性確保網(wǎng)頁表單內(nèi)容性確保網(wǎng)頁表單內(nèi)容不可抵賴運(yùn)用場景：銀行客戶在線支付、在線轉(zhuǎn)賬等19運(yùn)用表單域簽名加密表單簽名20數(shù)字時間戳效力數(shù)字時間戳是對時間信息的數(shù)字簽名。數(shù)字時間戳主要用于實(shí)現(xiàn)以下兩個功能：確定在某一時間，某個文件確實(shí)存在；確定多個文件在時間上的邏輯關(guān)系，即：多個文件在邏輯上的時間先后順序； 多個文件能否屬于邏輯上的同一時間。運(yùn)用場景：數(shù)字支票、在線轉(zhuǎn)賬21運(yùn)用數(shù)字時間戳效力22數(shù)字時間戳效力運(yùn)用闡明 對于數(shù)字支票之類可以反復(fù)出現(xiàn)一樣內(nèi)容的電子數(shù)據(jù)，通常采用數(shù)字時間戳來創(chuàng)建過期標(biāo)志。時間戳將電子數(shù)據(jù)的內(nèi)容和產(chǎn)生時間相關(guān)聯(lián)，一樣內(nèi)容的電子數(shù)據(jù)由于

8、產(chǎn)生時間不同，時間戳也不會一樣。所以當(dāng)兩份一樣內(nèi)容的電子數(shù)據(jù)出現(xiàn)時，可以根據(jù)時間戳判別它們能否出自同一個拷貝。23文檔電子簽名與加密功能：采用國際通用的X.509 V3證書和PKCS技術(shù)規(guī)范對文檔及簽名者的意見進(jìn)展簽名和驗(yàn)證確保簽名文檔的完好性防止對文檔做未經(jīng)授權(quán)的篡改確認(rèn)簽名者真實(shí)身份保證簽名行為的不可否認(rèn)性無紙化辦公，提高辦公效率運(yùn)用場景：銀行內(nèi)部無紙化辦公，客戶賬單電子簽收等24運(yùn)用文檔電子簽名與加密25平安電子郵件功能：確認(rèn)電子郵件發(fā)送者身份確保電子郵件內(nèi)容真實(shí)性確保電子郵件內(nèi)容完好性確保電子郵件內(nèi)容性確保電子郵件內(nèi)容不可抵賴運(yùn)用場景：銀行內(nèi)部無紙化辦公，客戶賬單平安發(fā)送26運(yùn)用平安電

9、子郵件27可信站點(diǎn)認(rèn)證效力功能：訪問者向銀行網(wǎng)站發(fā)送敏感信息時，確信其信息被發(fā)送到真實(shí)的目的站點(diǎn)防止第三方站點(diǎn)仿冒銀行網(wǎng)站，騙取訪問者向該站點(diǎn)提交的敏感數(shù)據(jù)比如：信譽(yù)卡號碼、密碼等運(yùn)用場景：防止克隆銀行網(wǎng)站騙取銀行客戶信息28運(yùn)用可信站點(diǎn)認(rèn)證效力經(jīng)過平安銜接發(fā)送信息當(dāng)站點(diǎn)信息和證書信息不一樣時給出警告信息29軟件代碼簽名功能： 銀行運(yùn)用代碼簽名證書對本行軟件進(jìn)展簽名后放到互聯(lián)網(wǎng)上，使其軟件產(chǎn)品更難以被仿造和篡改，加強(qiáng)銀行與用戶間的信任度和軟件商的信譽(yù)；用戶知道該軟件是平安的并且沒有被篡矯正，用戶可以平安地進(jìn)展下載、運(yùn)用。優(yōu)點(diǎn)：有效防止代碼的仿冒保證代碼的完好性可追蹤代碼的來源運(yùn)用場景：銀行客戶

10、端軟件的平安在線安裝/更新30運(yùn)用軟件代碼簽名31業(yè)務(wù)系統(tǒng)平安處理方案銀行業(yè)務(wù)用戶身份確認(rèn)證書登錄賬單傳送平安電子郵件在線支付/轉(zhuǎn)賬表單簽名加密數(shù)字時間戳機(jī)要文件發(fā)放文檔簽名加密網(wǎng)上銀行軟件更新代碼簽名網(wǎng)站防偽造可信站點(diǎn)32支持的業(yè)界規(guī)范加密規(guī)范： DES, IDEA, RSA, MD5, SHA-1 等證書規(guī)范： X.509v3, CRLv2, PKCS系列規(guī)范LDAP規(guī)范： LDAPv2 智能卡規(guī)范： ISO7816, PC/SC, PKCS#11平安郵件規(guī)范： S/MIMEVPN協(xié)議： IP-Sec RFC1825-1828電子認(rèn)證平臺體系架構(gòu)： Intel CDSA33銀行業(yè)平安處理方

11、案信息傳送的平安處理方案業(yè)務(wù)系統(tǒng)的平安處理方案整體的平安處理方案范例網(wǎng)上銀行34整體的平安處理方案范例網(wǎng)上銀行平安網(wǎng)上銀行公網(wǎng)部分內(nèi)網(wǎng)部分35網(wǎng)上銀行平安處理方案闡明用戶經(jīng)SSL銜接到銀行網(wǎng)站，同時運(yùn)用數(shù)字證書登錄；用戶在銀行網(wǎng)站進(jìn)展在線轉(zhuǎn)賬或者在線支付，運(yùn)用表單簽名加密和數(shù)字時間戳等方式維護(hù)和確認(rèn)操作；用戶指令到達(dá)銀行內(nèi)部業(yè)務(wù)系統(tǒng)，系統(tǒng)采用節(jié)點(diǎn)密碼機(jī)對其進(jìn)展解密；銀行內(nèi)部業(yè)務(wù)系統(tǒng)對用戶指令進(jìn)展處置，同時經(jīng)過加密鏈路將指令傳送到各相關(guān)銀行；銀行內(nèi)部業(yè)務(wù)系統(tǒng)反響指令處置結(jié)果，以平安電子郵件或電子賬單采用文檔電子簽名與加密方式傳送給用戶；用戶獲得反響，網(wǎng)上銀行業(yè)務(wù)終了。36銀行業(yè)網(wǎng)絡(luò)平安建議系統(tǒng)要

12、盡量與公網(wǎng)隔離，要有相應(yīng)的平安銜接措施為了提供網(wǎng)絡(luò)平安效力，各相應(yīng)的環(huán)節(jié)應(yīng)根據(jù)需求配置可單獨(dú)評價的加密、數(shù)字簽名、訪問控制、數(shù)據(jù)完好性等平安機(jī)制，并有相應(yīng)的平安管理遠(yuǎn)程客戶訪問重要的運(yùn)用效力應(yīng)嚴(yán)厲執(zhí)行鑒別過程和運(yùn)用訪問控制信息傳送系統(tǒng)要具有抗偵聽、抗截獲才干，能對抗傳輸信息的纂改、刪除、插入、重放、選取明文密碼破譯等自動攻擊和被動攻擊，維護(hù)信息的性，保證信息和系統(tǒng)的完好性 涉及嚴(yán)密的信息在傳輸過程中，在嚴(yán)密安裝以外不以明文方式出現(xiàn)37其他需思索的平安問題風(fēng)險評價防病毒入侵檢測內(nèi)容過濾郵件、網(wǎng)站數(shù)據(jù)備份與災(zāi)難恢復(fù)38主要內(nèi)容銀行業(yè)目前存在的平安隱患銀行業(yè)平安處理方案勝利案例39勝利運(yùn)用案例 網(wǎng)證

13、通認(rèn)證體系海南CA湖北CA重慶CA 電子政務(wù) 廣東商檢 國家審計(jì)署廣州辦網(wǎng)上辦公 廣州市農(nóng)委嶺南農(nóng)業(yè)網(wǎng) 廣州市政府信息工程網(wǎng)上招招標(biāo) 廈門市政府采購網(wǎng) 深圳貿(mào)易開展局 電子商務(wù) 九運(yùn)會網(wǎng)上注冊系統(tǒng) 贏時通證券網(wǎng) 中衡網(wǎng)上報(bào)關(guān) 廣東省數(shù)據(jù)局計(jì)費(fèi)帳單發(fā)送 21CN平安電子郵件 廣東挪動網(wǎng)上招招標(biāo)勝利運(yùn)用案例40勝利運(yùn)用案例勝利運(yùn)用案例廣州工商廣州農(nóng)委九運(yùn)會41贊賞您的參與！ 網(wǎng)證通為您e路護(hù)航42導(dǎo)致平安破綻 七大管理問題1850位信息平安專家的總結(jié)SANS 99.7 平安無用論忽略平安問題，偽裝它并不存在.6 頭痛醫(yī)頭、腳痛醫(yī)腳采用反復(fù)、短期的措施一樣平安問題一再迅速重現(xiàn).5 忽視聲譽(yù)沒有認(rèn)識到信息與組織聲譽(yù)的價值在數(shù)字化社會中信息系統(tǒng)被破壞會對企業(yè)的籠統(tǒng)與業(yè)務(wù)產(chǎn)生宏大的影響.4 完