网上银行系统的安全策略ppt课件

1、 网上银行3.0系统的平安战略财务管理 路平安.一、物理平安二、网络平安四、运用平安三、系统平安主要内容.一、物理与环境平安1、区域平安2、设备平安3、平安管理规章.1、物理平安界限- 公用电脑中心、密钥管理中心、网络控制中心机房2、物理进入控制- 保安、机房门禁3、在平安区域内任务- 业务操作区与设备区隔离区域平安.1、设备定位与维护- 公用机架、口令维护2、电力供应与电缆平安- UPS双路电源，互为备份3、设备维护- 购买硬件与软件厂商技术支持、专业维护队伍设备平安. 1、人员管理 2、系统操作规范 3、机房与设备维护规定平安管理.二、网络平安 1、防火墙与路由器2、动态入侵检测.防火墙与

2、路由器INTERNET客户防火墙防火墙网上银行系统分行分行防火墙中国银行平安通道1000兆防火墙 NETSCREEN. 总行网络监控中心-天阗入侵检测系统，严防黑客入侵动态入侵检测.三、系统平安1、操作系统平安 2、系统访问控制. 中国银行网上银行采用了国际著名厂商IBM的平安操作系统，与国际一流商业银行的电子银行效力看齐，足以保证网上银行的系统平安。 1、操作系统平安. 1、严厉的用户访问管理-用户注册口令5次错误锁定、延续3天被锁定那么用户死锁 2、系统访问管理-IP地址识别、硬件编码地址识别、系统访问时间控制2、系统访问控制.四、运用平安身份管理身份证件分发身份认证通讯维护严密性完好性不

3、可否认性访问控制授权平安审计历史追踪缺陷分析.1、可靠的身份管理1普通口令-两次口令校验 网上银行登录口令、密钥维护口令2电子令牌-实体检测 口令维护、数据不可读出3数字证书-强身份认证 重新建立CA认证中心 三重校验，身份确认.USERID和密码例如.电子令牌 USBKEY/IC卡 USBKEY/IC卡经过产生和识别网上电子买卖的数字签名电子签名或电子图章，到达识别买卖者身份和验证买卖数据真伪的目的，保证网上买卖的不可否认性(Nonrepudiation)；同时作为身份认证的强力工具。 .口令-定期改换.口令-定期改换. 为配合网上银行平安系统改造，我行重建CA认证中心。新CA系统支持本地化

4、的128位对称加密算法，1024位证书签名，同时支持Netscape和IE中英文版本。 电子证书载体采用经过国家密码主管机构认可的USBKEY/IC卡，保证密钥和证书平安。CA电子证书.电子证书与身份证的比较姓名：王家业编号发者：北京市公安局 海淀分局发布时间：2000-04-05有效期：10年住址：北京市海淀区学院南路9号颁发给：WANGJIAYE序列号：10E7 D8F3 8078 ADEC 1100 0ED4 8BB2 EEBB签发者：C = CN，S = ， L = ， O = BANK OF CHINA， CN = INTERNET BANKI

5、NG ，BANK OF CHINA有效起始时间：2002年12月6日有效终止时间：2005年12月6日：wangjybank-of-china 公钥：RSA (1024 bits) 38ighwejb.企业电子证书详细信息-例如.2、通讯维护-严密性加密解密明文明文密文KK采用128位对称加密算法、SSL平安套接层协议，确保买卖数据的严密性.加密解密KKK的密文B公钥B私钥通讯维护-严密性采用1024位的RSA非对称加密算法，确保买卖数据的严密性.通讯维护-完好性明文摘要A公钥解密加密摘要的密文A私钥明文明文摘要SHA1数字摘要算法SHA1散列算法明文摘要相等？.通讯维护-数字签名数字签名：数

6、据完好性中发送方的操作验证数字签名：接纳方的操作签名目的：信息是由签名者发送的；验签名目的：信息自签发后到收到的过程中，没有被篡改、没有仿冒、不是重发性攻击；.发送方信息散列函数摘要私钥加密签名数字签名数字签名信息散列函数摘要公钥解密摘要信息被确认比较两者如一致接纳方通讯维护-数字签名.网上银行中的数字签名-例如.3、访问控制-登录三重措施1、USERID 独一性，确保有效识别操作员2、USERID与口令、电子令牌的耦合校验3、USERID与CA电子证书的耦合校验.访问控制-运用三重措施1、操作员对不同产品、功能的控制2、操作员对不同账号的控制3、操作员对不同账号的授权级别控制.4、审计-客户操作记录 对用户每一个操作,网上银行都做了详细的LOG记载，方便用户掌握资金汇划过程中的相关操作信息.审计-客户操作记录.审计-系统日志记录 对客户每一笔买卖的处置全过程,银行系统都做了详细的LOG记录，方便银行维护和审计人员掌握