银行新一代核心业务系统应用安全方案样本

华夏银行新一代关键业务系统应用安全方案版本统计版本版本日期修改者说明V0.1/9/5中国惠普企业初稿V0.5/10/20中国惠普企业依据华夏银行提议，更改交易信息安全方案V1.0/11/11中国惠普企业依据华夏银行提议，更改文档章节结构

目录TOC\o"1-4"\h\z\u1. 整体安全方案概论 61.1. 此分文档目标 61.2. 整体安全方案概论 72. 现在关键系统安全现况及新一代关键业务系统应用安全需求 82.1. 现在关键系统安全现况 82.1.1. 业务范围 82.1.2. 系统架构 82.1.3. 系统应用安全现况 82.2. 新一代关键业务系统应用安全需求 92.2.1. 遵照华夏安全准则需求 92.2.2. 业务范围 92.2.3. 系统架构 92.2.4. 应用安全需求及处理 102.2.5. 安全标准、标准及需求 11. 安全标准 11. 安全标准 11. 安全需求 113. 身份验证 143.1. 身份验证方法 143.1.1. 动态口令验证方案 143.1.2. USB-Key验证方案 153.1.3. 身份验证方案提议实施方法和实施阶段 163.2. 身份验证系统架构方案 173.2.1. 单一入口服务系统(Portal)架构方案 174. 授权控制 204.1. 授权管理架构 214.1.1. 授权组织架构方案 214.1.2. 授权管理步骤 224.2. 授权系统架构方案 254.2.1. SSO系统架构方案 254.2.2. 独立授权服务器架构方案 265. 传输安全 285.1. 网络安全 285.1.1. 链路加密机加密处理 285.1.2. 现在所了解BANCS系统处理方法 285.1.3. 终端用户和BANCSLink间网络安全 295.1.4. BANCSLink和BANCS间网络安全 305.1.5. BANCSLink和综合前置间网络安全(组合交易) 305.1.6. 外围系统和综合前置间网络安全 315.1.7. 综合前置和BANCS间网络安全 315.2. 应用安全 325.2.1. 应用安全方案 325.2.2. 点对点加密方案 325.2.3. 选择性金融交易加密方案 335.2.4. 交易信息敏感性数据加密方案 335.2.5. 交易数据完整性方案 375.2.6. 服务器间验证方案 376. 存放安全 406.1. 交易数据安全存放方案 406.1.1. 交易敏感性数据加密存放方案 406.2. 密码安全存放方案 416.2.1. 动态口令登入密码存放方案 416.2.2. USB-Key登入密码存放方案 416.2.3. 用户口令加密存放方案 426.2.4. 用户口令不可逆存放方案 436.3. 新旧系统密码移转方案 436.3.1. 用户登入口令移转 446.3.2. 用户支付口令移转 447. 安全管理 467.1. 密钥管理方案 467.1.1. 密钥生命周期管理方案 467.1.2. 密钥更换管理方案 557.2. 防病毒管理 577.2.1. 病毒传输路径 577.2.2. 防堵病毒传输方法 577.2.3. 防治病毒处理方案 588. 推荐方案 608.1. 身份验证方案提议 608.1.1. 提议方案优/缺点分析 608.1.2. 提议实施方案 618.2. 授权控制方案提议 628.2.1. 提议方案优/缺点分析 628.2.2. 提议实施方案 628.3. 传输安全方案提议 638.3.1. 提议方案优/缺点分析 638.3.2. 提议实施方案 638.4. 存放安全方案提议 648.4.1. 提议方案优/缺点分析 648.4.2. 提议实施方案 64附件一：第二级信息系统安全等级 65附件二：第三级信息系统安全等级 71

整体安全方案概论在现在网络发达、网上交易盛行、网络诈欺事件及智慧型网络偷窃犯罪层出不绝状态下，银行业务处理面临前所未有挑战；既要维护银行信誉和保障用户数据不外泄，同时又要能即时无误处理用户业务需求，让用户无安全上顾虑(不管是柜面交易或是从渠道进来交易)，业务交易处理安全上考量变得很关键。计划一套业务应用安全机制及建设交易应用安全系统是当务之急关键工作，尤其是对新一代关键业务系统更是关键。建设这种交易安全机制并不影响现行系统运作，透过应用安全机制建设，保护用户及银行数据和资产，让业务交易处理安全性及信息保护愈加完善，更是时时刻不容缓工作。此分文档目标信息安全是金融机构处理日常工作最关键指标，保护用户资产及银行资本关键性，是银行业务处理重心，关键系统应用安全是此文档要说明/表示目标。文档读者华夏银行大集中办管理层领导、华夏银行信息技术部领导、华夏银行大集中办项目管理办公室人员、华夏银行信息技术部项目管理办公室人员、华夏银行大集中项目监督委员会组员、华夏银行大集中项目管理委员会组员、华夏银行大集中工程在建项目经理、组长等。涵盖范围本文档用于描述华夏银行新一代关键业务系统（NGCBS）项目中相关关键系统应用安全，由总体架构组(OSA)依华夏银行新关键系统应用安全需求，整理后整体设计方案。新一代关键业务系统(NGCBS)项目应用安全范围包含：交易数据安全需求数据传输安全需求（广域网及局域网）数据库中数据安全需求柜员登录方法和授权管理

整体安全方案概论本方案内容包含了以下多个面向：身份验证安全方案身份验证安全方案描述新一代关键系统应采取何种方案，确保终端用户登入系统身份，避免使用假冒身份。新一代关键系统终端用户包含支行用户﹑分行用户﹑系统管理用户。此方案具体内容请参考第3章。授权控制(访问控制)安全方案授权控制安全方案描述新一代关键系统应采取何种方案，确保每一位用户在系统上实施作业或是系统功效均为正当。避免因用户非法操作造成业务上损失。此方案具体内容请参考第4章。传输上安全方案传输上安全方案分为网络层安全和应用层安全。网络层安全是确保数据在网络上传输时，确保数据私密性和完整性。应用层安全是确保数据在输入终端至处理终端间传输过程中，确保数据对中间处理系统私密性和完整性。此方案具体内容请参考第5章。存放数据安全方案存放数据安全方案描述新一代关键系统应采取何种方案，确保数据存放于数据库中安全，包含数据私密性安全和完整性安全。此方案具体内容请参考第6章。安全管理方案安全管理方案包含两个部分，分别为密钥安全管理和防病毒安全管理。密钥安全管理是描述密钥在生成﹑公布﹑备份﹑删除上安全管理方法。防病毒安全管理是描述服务器和终端设备上预防病毒感染和病毒散步安全管理方法。此方案具体内容请参考第7章。本方案所涵盖安区方案对应于OSA安全架构，可用下表说明：安全标准对应章节1对应章节2对应章节3身份验证3.身份验证访问控制4.授权控制私密性5.1网络安全5.2.1.交易信息敏感性数据加密6.存放安全完整性5.2.2.交易数据完整性辨识性5.2.4服务器间验证不可否认性5.2应用安全在本方案最终，针对各章所提出多种方案，依据各个方案优劣点，提出提议实施内容，作为新一代关键系统安全方案实施上考量。

现在关键系统安全现况及新一代关键业务系统应用安全需求现在关键系统安全现况业务范围现在华夏银行2K版关键系统是采取各个分行分散式作业方法，华夏银行有28个分行，下辖大约总共300个支行；28个分行分布于全国各地，北从沈阳分行，南到深圳分行，西起乌鲁木齐分行，东达上海分行，幅员分布宽广。2K版关键系统业务包含存款、放款等业务系统；其它相关业务系统和管理系统皆各自建设在不一样外围系统上；每个分行有各自外围系统，透过分行前置系统和2K版关键系统连接；各个分行有各自中间特色业务系统，分行间中间特色业务不尽全部相同；各个分行有各自分行前置系统负责分行/支行间业务交易处理。系统架构华夏银行现在正进行大前置系统项目，要将全部分行前置系统整合为一个集中式总行综合前置系统及分行前置系统；同时将中间特色业务系统全部整合在总行综合前置系统和分行前置系统上。现有2K版关键系统后台操作系统是AIX，前台VOST柜面系统服务器操作系统是SCOUnix，前台柜面终端机操作系统是SCOUnix。前台VOST柜面系统服务器放置在支行负责连接支行柜面交易和分行间处理；有部分分行将前台VOST柜面系统服务器上收到分行端，有分行统一管理前端柜面系统。系统应用安全现况现在2K系统交易处理是由各个支行柜面服务器到分行2K版关键系统，交易处理上是除了用户密码是以软件加密方法处理外，其它交易数据是没经过加密处理，完全是以明码方法传送。这种处理方法，对於交易信息安全是无任何保障；不安全影响所及范围涵盖分行及下辖支行职员和用户，对於用户资产及银行数据是完全没有任何保护。

新一代关键业务系统应用安全需求遵照华夏安全准则需求依”华夏银行大集中项目信息系统信息安全等级保护要求1103.doc”文档规范，关键是着重在安全基础要求上技术类安全要求，对於管理类安全要求，需依据华夏银行安全管理规范或安全管理措施等条款办理。新一代关键业务系统应用安全需求，是以基础技术要求中应用安全和数据安全等两方面安全要求来计划。技术类安全上，则是侧重在业务信息安全类，关键是保护数据在存放、传输、处理过程中不被泄漏、破坏和免受未授权修改。业务服务确保类和通用安全保护类安全需求，对保护系统连续正常运行及保护系统连续可用性需由新一代关键业务系统主机厂商对硬件及操作系统相关建设和实施，同时华夏银行负责运行部门需订定相关安全管理规范来确保系统正常连续运作。相关主机系统安全规范，需由新一代关键业务系统主机厂商来提供硬件及操作系统相关安全数据；数据库系统安全需由数据库厂商提供相关安全数据。网络安全需由相关路由器、交换机、通信线路等在内厂商提供相关信息系统网络环境安全数据。具体相关安全需求等级规范对照，请详如本文档附件章节。业务范围新一代关键系统业务范围包含：存款、放款、华夏卡、支付结算等，全部银行用户业务交易信息，皆和关键系统息息相关，是银行业务处理中最关键部分。系统架构新一代关键系统是采取集中式作业方法处理，全国各地分行全部交易全部全部经由全行网络送到总行新关键系统处理。新一代关键业务系统，除了新一代关键系统外，还有总帐系统、总行综合前置系统、55个(和新一代关键系统有接口关系)外围系统、关键配套外围系统(从2K系统独立出来系统，如:人行大/小额系统、理财系统、卡记点积分系统等)及其它系统等(和新一代关键系统无接口关系，如:人力资源系统、稽核系统等)。新一代关键系统负责面向用户管理交易处理作业；总帐系统负责面向华夏内部管理后勤处理作业；综合前置系统负责华夏银行总行面向外部交易处理(如对分行/支行交易处理、外围系统交易处理、中间特色业务系统交易处理、面向多种渠道交易处理、银联中心/银关通/银证通/财税库行/人民银行等外围金融机构交易处理)，是华夏银行业务处理关键把关门户。新一代关键系统(BANCS)、前端柜面系统(BANCSLink)及柜员终端机交易处理是采取集中式作业方法，新一代关键系统产品并未有应用信息安全处理机制；现在华夏银行使用对用户密码采取软件加密方法，对於最关键新一代关键业务系统是无法满足应用信息安全需要；加上现在外在环境改变和智慧型网络犯罪盛行，无法防范这些种种威胁，对华夏银行及全部用户整体影响更是深远。应用安全需求及处理应用安全计划，将从国际上应用数据安全标准(应用安全及传输安全)、安全标准(数据真实性(私密性)、完整性(唯一性)、机密性(身份认证)和不可抵赖性(不可否认性))及安全需求，来逐步说明。同时，在应用安全上需要搭配相关硬件/软件加密设备来进行敏感性数据加密；在网络上需要采取链路加密设备，来处理网络层传输安全需求。

安全标准、标准及需求安全标准应用安全标准安全上标准关键有两种：数据加密标准(DES:DataEncryptionStandard)和公开密钥法则(PKI:PublicKeyAlgorithm)。数据加密标准(DES):需要产生一对密钥，必需要将自己产生另一个密钥发送给对方，本身端用自己密钥加密，对方端用所送密钥去解密。通常应用在数据端对端加密/解密使用，普遍用於金融机构数据加密/解密。另外对数据加密强化，采取TripleDES加密方法。公开密钥法则(PKI):需要产生一对钥值，分为公钥及密钥，自己保留密钥，公钥发送给对方。本身用密钥对数据加密，对方用所送公钥验证数据正确性。通常应用在网络电子交易加密/解密处理。传输安全标准网络层传输安全标准，关键有多个，如：SSL(SecureSocketLayer)、VPN(VirtualPrivateNetwork)等来防护数据传输安全。通常应用在网络层数据传输加密/解密使用。业界通常常见方法是SSL，但VPN安全性较SSL安全性高。安全标准参考国际安全准则要求及现在相关安全处理方案，不管是动态口令、USB-Key或数字证书(Certificate)方案，应用上安全或是传输过程中安全要求，皆能实现数据真实性(私密性)、完整性(唯一性)、机密性(身份认证)和不可抵赖性(不可否认性)。安全需求安全需求，不管是应用安全需求或是传输安全需求，从安全要求四大要素真实性(私密性)、完整性(唯一性)、机密性(身份认证)和不可抵赖性(不可否认性)，来进行应用安全处理。私密/真实性：确定数据输入私密/真实性关键是确保数据是由发送方所发送原始数据。为了达成真实性需求，必需对输入数据进行加工，保持原始数据於传输过程中和原来是一样。数据加工方法之一既是对数据进行加密处理，确保送达是原始数据。加密处理可采取DES或PKI方法加密，对於数据量大或是加密频繁交易，采取DES加密方法会比用PKI加密方法效率很好。PKI加密方法较适合於数据量小或是加密频繁性低交易。完整/唯一性：确定数据在传输过程中不至於被篡改关键是确保数据於传输过程中，不会被内部/外部人员篡改，确保原来数据值。为了达成完整性需求，必需保障数据完整性及不会於传输过程中被人篡改。做法上是采取发送者密钥对整个数据验算出一个MAC值，连同数据一起发送给收信方；若数据於传输过程中被篡改，受信方於受到数据后，用发送方所给密钥(DES)/公钥(PKI)对整个数据验算出一个MAC值，进行验证时，所验算出来MAC值和发送者发送时所产生MAC值不相同，即可确定数据被篡改。机密性/身份确定：确定数据发送者身份正确性关键是确定数据发送者身份是正确，不是由其它人发送或有些人假冒身份发送数据。机密性确实定，做法上采取发送者所提供密钥(DES)/公钥(PKI)对整个数据进行验算出一个MAC值，所验算出来MAC值和发送者发送时所产生MAC值相同，即可确定数据发送者身份正确性。不可否認/不可抵赖性：确定数据正确及完整性关键是确定整个数据完整性及正确性和由发送者发送数据是相同，发送者无法否定此份数据不是由发送者所发送。不可否認性确实定，做法上采取发送者所提供密钥(DES)/公钥(PKI)对整个数据进行验算一个MAC值，所验算出来MAC值和发送者发送时所产生MAC值相同，即可确定数据正确及完整性。网络传输安全需求网络传输内部安全需求由於新一代关键系统才集中式作业处理，从华夏银行支行/分行所发送交易，全部经由网络传送到总行处理。除了上述四点安全上需求外，尚需要加入内部网络传输安全部署(内部系统安全控制管理，如VPN/SSL/加密处理)才能完整防护数据安全。支行/分行网络传输应用安全需求，是华夏银行内部网络交易，是固定/静态交易处理；安全需求及防护上处理需要和外部不一样。尤其内部安全威胁及安全被破坏性大於外部。(内贼难防)网络传输外部安全需求由於新一代关键系统才集中式作业处理，从不一样渠道交易也会经由网络传送到总行处理。除了上述四点安全上需求外，尚需要加入外部网络传输安全部署(如动态口令)才能完整防护数据安全。渠道网络交易安全需求，是华夏银行外部网络交易，是不固定/动态交易处理；安全需求及防护上处理需要和内部不一样。外部安全威胁及安全被破坏性小於内部，但若是内部连同外部进行安全破坏，更是难防护。(外贼难防，内贼更难防)

身份验证身份验证方法新一代关键系统用户包含了分行或支行行员。分行和支行行员全部是透过BANCSLink登入到关键系统(BANCS)或是其它外围系统。所以，不管关键系统(BANCS)或是外围系统全部需要对登入用户进行身份核验工作，确定登入者身份，以利控管系统操作存取权限。本提议书中，对于身份验证机制，提供两个方案选择，分别是动态口令验证和USB-Key验证方案。动态口令验证方案动态口令验证方法是设置并发放给每一个用户一个动态口令盘。用户登入系统时，采取以下步骤：用户利用动态口令盘产生动态口令。用户再将动态口令输入登入页面口令空格。应用系统服务端透过动态口令服务系统验证动态口令是否正确，均定是否许可用户登入。动态口令验证方案提议采取市面上成熟动态口令系统，整合现有应用系统实现用户统一登入身份验证方法。动态口令系统建置通常包含下列步骤：引进并建置动态密码服务器系统。计划用户基础信息和动态口令数据间关系结构。计划动态口令盘设置﹑发放﹑回收等作业程序和管理方法。依据动态口令盘作业程序和管理方法，开发或用户化修改动态口令盘管理应用系统。应用系统配合动态口令服务系统登入验证程序修改。动态口令验证方案有下列优点：使用方便。用户只需使用动态口令盘在每次登入时产生口令即可。用户终端设备无需安装任何控制软件和提供任何额外接口。应用系统整合轻易。应用系统只需于登入时调用动态口令系统提供接口。动态口令验证方案有下列缺点：通常动态口令无法使用于交易数据署名。因为动态口令盘大多是采取离线作业方法，所以无法以连线侦测方法，侦测用户是否离席。USB-Key验证方案USB-Key验证方法是在USB-Key或IC卡上设置用户基础信息和登入密钥，并发放给用户使用。用户登入系统时，采取以下步骤：将USB-Key插入终端设备或是将IC卡插入IC读卡机内。用户输入USB-Key或IC卡开启口令后，由登入页面自动读取USB-Key内用户识别信息，并以登入密钥产生登入验证码。应用服务端利用密钥验证技术验证用户识别信息和验证码是否相符，决定是否许可登入系统。USB-Key验证方案提议由有经验安全系统开发商，依银行需求计划建制一套符合需求验证系统。USB-Key验证系统建置通常包含下列步骤：计划USB-Key内用户验证信息和验证密钥结构和产生方法。计划USB-Key设置﹑发放﹑回收等作业程序和管理方法。依据USB-Key作业程序和管理方法，开发USB-Key管理应用系统，和验证服务系统。应用系统配合USB-Key验证服务系统登入验证程序修改。和登入页面配合USB-Key登入验证控件验证程序修改。USB-Key验证方案有以下优点：采取双原因强验证(包含USB-Key和USB-Key开启口令)。USB-Key和终端设备采取连线方法，可随时验证用户是否离席。USB-Key可采取双芯片(有线和无线)设计，于门禁系统结合。USB-Key可扩充加载数字证书，提供关键交易数字署名功效。USB-Key验证方法有以下缺点：市场上无统一标准产品，需要开发建置。用户终端设备上需提供USB接口(采取USB-Key)或是IC读卡机(采取IC卡)。用户终端设备上需安装USB-Key相关控件(可由登入页面自动下载安装)。应用系统整合较为复杂，登入页面需依据USB-Key登入验证程序修改。身份验证方案提议实施方法和实施阶段因为新一代关键系统整体系统架构复杂，而且有很多外围系统。所以实施方案上，提议分为早期实施范围和后续阶段实施范围。在实施方法上，提议采取以下实施方法：由BANCSLink提供统一登入页面，让用户登入。BANCSLink将用户提交身份验证数据，转发给关键服务系统(BANCS)或外围系统。关键服务系统和外围系统，各自透过统一身份验证服务系统验证用户提交身份验证数据是否符合，决定是否许可登入系统。在实施阶段范围上，提议采取以下方法：在早期阶段实施范围，提议只相关键服务系统(BANCS)。其它各外围系统仍保留原有身份验证方法。后续阶段再逐一修给各个外围系统，将身份验证机制转移至统一身份验证服务系统上。身份验证系统架构方案单一入口服务系统(Portal)架构方案为了让用户有一个统一入口和统一身份验证机制，能够采取方案之一是建置一套单一入口服务系统（PortalServer），负责提供用户单一入口验证和用户权限管理机制。由单一入口系统提供全部系统，包含新关键系统﹑外围系统，统一服务入口。单一入口系统所提供功效不仅只是单一登入入口(Single-Sign-On)，还包含整适用户和应用系统间Session控管，和用户对业务功效权限管理等。单一入口系统方案实施，必需经过下列步骤：引进并建置一套单一入口服务系统。计划单一入口系统身份验证方案和业务权限控管方案。计划各业务系统，包含关键系统﹑外围系统和单一入口系统间Session控制步骤。计划单一入口系统上，各业务系统业务和功效架构。依据计划方案用户化单一入口系统。依据计划方案修改或改造应用系统Session控管机制和业务权限控管机制。依据计划方案修改或改造应用系统业务和功效架构。单一入口系统方案即使可提供全方面用户单一服务入口，不过在实施上见面临下列问题：单一入口系统架构所考虑不仅是统一登入入口实施，更应该考虑全部业务架构统一性和整合性。单一入口系统对于各应用系统将整合有一定规范和标准(如JSR168)。各应用系统必需依据规范和标准进行大幅度修改或是改造。BANCS和BANCSLink间协定是采取新一代关键系统自有协定，对采取单一入口标准(如JSR168)，有实施上极大困难。各分行入口实际上是透过各分行所配置BANCSLink服务器登入，并非直接在单一入口系统(Portal)上登入。所以在系统架构上配置会有困难度。在面临以上困难情况下，对于单一服务入口系统实现，提议采取下列方案：系统架构BANCS和BANCSLink间仍采取原有架构和协定。BANCSLink透过单一入口服务系统验证用户身份，并登入。BANCSLink以单一入口服务系统回应登入识别码，发送登入信息给BANCS，由BANCS在透过单一入口服务系统登入识别码验证机制进行虚拟身份验证。BANCS提供业务功效，不透过单一入口服务系统，由BANCS自行管理用户权限。其它外围系统，均必需依据JSR168标准，修改或改造应用系统，和单一入口服务系统整合，透过但一入口服务系统调用业务应用服务。单一入口服务系统方案有以下列优点：可达成用户单一服务入口。可提供用户统一业务权限管理。单一入口服务系统方案也有下列缺点：系统复杂度高，需要具体计划。现有系统(包含关键系统和外围系统)配合实施难度高。因为新一代关键系统BANCS和BANCSLink间采取自有协定，对于单一入口服务协定标准配合可行性有待商榷。

独立身份验证服务器架构方案另一个比较单纯方案是建立一套独立身份验证服务系统，提供新关键系统(BANCS)和外围系统统一身份验证机制。此种方案实施必需有下列步骤：开发建置一套独立身份验证服务系统。独立身份验证服务系统搭配选定身份验证机制(动态口令或USB-Key)，实现身份验证功效。BANCS和外围系统登入功效依据独立身份验证服务系统提供身份验证接口，修改登入验证程序。此方案系统架构图以下图：此方案有以下优点：系统架构较为单纯，实施较为轻易﹑省时。可提供统一用户身份验证，用户不需针对不一样应用系统使用不一样登入代码﹑密码，甚至登入方法。应用系统(包含关键系统和外围系统)修改幅度较小，轻易整合。此方案也有以下缺点：无法达成单一登入入口服务水平，用户仍要在各个应用系统(包含关键系统和外围系统)实施登入动作。授权控制现在华夏银行新一代关键系统项目，除了新关键系统、总帐系统及综合前置系统外，和新关键系统相关外围系统约有55个系统。於现在时空环境下，也无法将全部外围系统前台柜面界面全部转换为BANCSLink前台柜面界面；部分外围系统前台柜面环境将使用原来前台柜面系统处理交易。同时，外围系统后台应用处理也是和新一代关键系统分开，各自处理各自交易；关键系统及各个外围系统各自处理各个系统交易授权。於此情况下，对於柜员业务处理授权可能无一致性授权方法，每个系统必需自行处理交易授权。考虑现实状态及可行性做法，相关授权控制将从建立一套完整安全管理步骤开始，再依现在状态，建立一个授权系统架构，来建设整体授权控制管理。

授权管理架构授权控制从系统建设时开始，订定一套完整安全管理步骤；从系统安全组织建立开始，先建立系统原始安全控管人员，再由原始安全控管人员建立系统安全控制人员，再由系统安全控制人员建立业务交易授权安全管理。授权控制说明以下：授权组织架构方案授权组织架构授权管理提议依业务别和工作职责划分，分别建立部分群组授权，比如：依工作职责划分群组权限，将每个职员分为不一样群组，每个群组授权依其工作职责给和不一样权限；每个职员可能属於一个以上群组。主管有核准权限，但没有实施交易权限经办/柜员有实施交易权限，但没有核准权限每个单位皆有自己职责不一样权限建立安全管理群组经办，负责建立每个职员/主管代号及授权建立安全管理群组主管，负责核准新建立职员/主管及授权

授权管理步骤系统建置安全控制步骤管系统建置时，由厂商或华夏银行安全人员建立两位系统原始安全控管人员(一位为经办，一位为主管).此两位原始安全控管人员，只限制在新增本系统所需要使用安全控管人员安全控管人员先建立每个群组交易权限(登录/核准)再建立每个使用者数据（信息）定义每个使用者所属分行代号及群组权限，并付予密码初始值(登录/核准)使用者使用者於前端柜面登入系统(使用者第一次登入系统时，需要更改初始密码)登入系统检验使用者状态及使用者密码无误后，即可进入xxxxxxxxxxx系统.(此时会依使用者交易权限显示交易功效清单画面)

安全管理步骤安全管理群组经办员，依其权限能够登录使用者数据维护及群组数据维护安全管理群组主管，依其权限能够放行登录使用者数据异动及群组数据异动各项参数维护、使用者数据查询、群组数据查询、使用者/群组数据明细表、使用者异动报表等，皆由安全管理群组人员负责维护

使用者数据管理步骤使用者数据建立及维护由安全管理人员负责。使用者数据包含使用者所属分行/支行数据、所属权限群组、使用者名称及密码等，同时使用者登录统计及密码错误次数等数据，皆保留/存放，作为安控稽核凭证。

授权系统架构方案SSO系统架构方案SSO授权系统架构是采取单一授权方法，经由对使用者一次授权，使用者可依授权於各个业务系统进行业务操作处理。SSO授权系统架构SSO系统授权步骤以下：使用者登入时，经由单一登入(SSO)登入单一登入网页(PortalService)由单一登入网页(PortalService)经由登入服务器(AccessControlServer)，对使用者代号和密码进行单一控管及验证，登入服务器(AccessControlServer)会将使用者代号及密码，一一转换为后台每个系统使用者对应代号及密码，建立信任机制，登入每个系统；对使用者只要登入系统一次单一登入网页(PortalService)会经由授权服务器(AuthorityControlServer)取得使用者所属群组於每个系统中授权使用者於一次登入后，可进入不一样系统实施被授权交易处理授权服务器(AuthorityControlServer)中有使用者於每个系统授权数据，达成单一(SSO)授权目标；授权服务器(AuthorityControlServer)需先建立和每个系统授权信任机制。使用SSO系统架构方案优点：单一/统一授权管理方法，对未来新增业务系统或新增业务交易处理，依循此标准授权方法，建设很方便/快速方便/简化系统授权管理简化系统交易处理步骤使用SSO系统架构方案缺点：早期系统建置很复杂，相关系统必需配合更改交易登入及交易授权建置成本较高独立授权服务器架构方案独立授权服务器授权方法，是在没有建立单一签入(SSO)架构下，建置一套独立授权机制，处理使用者业务交易授权。独立授权系统架构独立授权服务器授权步骤以下：独立授权服务器建立使用者群组授权权限，和每个系统建立信任机制使用者登入系统完成后，由业务交易系统向独立授权服务器发送验证信息，经独立授权服务器确定后，使用者得进行业务交易处理使用独立授权服务器架构方案优点：建置成本较低早期系统建置复杂性小，相关应用系统更改幅度较小使用独立授权服务器架构方案缺点：只能简化一部分系统授权管理对未来新增业务系统或新增业务交易处理，各个业务系统改动量较大无法简化系统交易处理步骤

传输安全传输安全包含两个部分，网络安全及应用安全；网络安全卓重在数据於网络中传输时安全防护，应用安全重视於数据加密处理，以预防数据被篡改。网络安全应用数据於广域网络或局网中传输时，若采取明码传输方法会有安全上顾虑，轻易引发外部或内部有意人数据截取和篡改，造成安全上问题。数据传输安全性考量，从整体网络及地理区域上分为下列几项：支行到分行传输分行到总行传输总行服务器间传输外部网络渠道传输对外机构传输链路加密机加密处理对於上述数据传输安全需求，第一个考虑关键是在网络层加上网络传输加密处理，提议於每个路由器前皆需要加一套链路加密机，负责网络层加密/解密处理。从支行路由器开始到分行/总行路由器，皆需增加一套链路加密机。外围系统间网络传输、外围系统和关键系统间网络传输等，皆需要加一套链路加密机。以下分为现在BANCS系统处理方法及从地理区域考量说明以下：现在所了解BANCS系统处理方法新关键系统产品(BANCS及BANCSLink)后台/前台安全处理方法为：前端柜面机和BANCSLink间(BANCS传输安全示意图中红色线条部分)BANCS系统中相关前台柜面终端机和BANCSLink间，数据传输时，没有对数据进行加密处理。新关键系统厂商提议前端柜面终端机和BANCSLink间数据传输，采取SSL加密处理；由於SSL加密只负责通信层在网络传输时加密，对於关键数据/报文并未加密处理，安全上仍然有漏洞，需要有完善补强方法。BANCSLink和BANCS间(BANCS传输安全示意图中红色线条部分)BANCS系统中相关BANCSLink和BANCS间，数据传输时，没有对数据进行加密处理。新关键系统厂商提议由华夏订定安全策略及处理方法办理。BANCS传输安全示意图终端用户和BANCSLink间网络安全由於华夏银行28个分行分布宽广，每个分行下约有10~12个支行，每个支行不配置BANCSLink柜面服务器，每个支行柜面终端机需直接连结到分行BANCSLink柜面服务器，经由BANCSLink柜面服务器连接到总行关键系统。现在华夏银行已经开启网络建设项目，网络安全上，已经将总行和分行间网络安全采取VPN方法处理，保护总行和分行间网络安全。分行和支行间还未建置网络安全处理。分行和支行间网络传输安全示意图BANCSLink和BANCS间网络安全由於BANCS系统中相关BANCSLink和BANCS间，数据传输时，没有对数据进行加密处理，必需完善分行和总行间网络(数据传输)安全。网络传输安全处理：於分行服务器（BANCSLinkServer）将数据传输到总行前，采取链路加密机来对网络传输数据进行加密处理后，传送到总行。总行交易处理完成后，透过链路加密机进行网络层加密处理，送回分行服务器分行服务器先由链路加密机将数据进行网络层解密，再由加密机进行交易数据3DES解密处理后，传送到柜员端显现於柜面终端机页面上链路加密机接入对应用系统来讲是透明，即和应用系统无关，不需要更改任何应用系统程序。分行和总行间网络传输安全示意图BANCSLink和综合前置间网络安全(组合交易)综合前置系统关键负责进出总行后台业务应用软件系统桥梁，处理交易数量众多及对处理效率需求要能良好，若要考量安全上需要，可能会对综合前置系统处理交易量及效率会有影响；要兼顾安全需要，同时要确保处理效率，不是件轻易事，可能无法二者兼顾。考量综合前置系统交易处理类型及方法，除了组合型交易及中间特色业务外，其它业务处理对综合前置系统来说全部只是过路财神左近右出或右近左出，对於这类交易，不需要在综合前置系统进行解密后再加密送出，直接直转送出即可；即进出皆由链路加密机处理。网络传输安全处理：於分行服务器(BANCSLinkServer)将数据传输到综合前置系统前，采取链路加密机来对网络传输数据进行加密处理后传送综合前置系统收到其它系统送到分行服务器(BANCSLinkServer)交易，透过链路加密机进行网络层加密处理，送回分行服务器外围系统和综合前置间网络安全网络传输安全处理：於外围系统将数据传输到综合前置系统前，采取链路加密机来对网络传输数据进行加密处理后传送综合前置系统收到其它系统送到外围系统交易，透过链路加密机进行网络层加密处理，送回外围系统综合前置和BANCS间网络安全网络传输安全处理：於综合前置系统将数据传输到关键系统(BANCS)前，采取链路加密机来对网络传输数据进行加密处理后传送关键系统(BANCS)透过链路加密机进行网络层加密处理，送到综合前置系统

应用安全应用安全方案在网络安全方案中对于网络层均提供了链路加密机制。所以基础上，交易信息在网络传输过程中均属据加密状态。点对点加密方案所以，在这里要考虑应用信息加密关键是针对点对点交易数据加密需求。这些点对点包含：用户对BANCSLink。用户对BANCS。用户对外围系统。外围系统对BANCS。点对点间交易数据加密需求，着重在关键系统(BANCS)、综合前置系统及分行服务器(BANCSLink)间应用加密处理，此三个系统前需要增加一套应用加密机来处理交易数据加密；对於外围系统不提议采取应用加密处理。点对点应用加密架构图在整个新一代关键系统交易信息需求分析上，发觉并无需要整个信息实施点对点信息加密需求。只有针对部分敏感性交易数据需关键点对点加密需求。敏感性数据加密需求将在下一个章节提供具体方案。选择性金融交易加密方案考虑交易风险性及网络交易便利性，提议华夏银行对全部金融交易皆进行应用加密处理；华夏银行可考虑实际上交易处理效率需要，选择一些类别金融交易进行应用加密处理。比如：跨银行/跨分行取款交易、跨银行/跨分行汇款交易、跨分行通存交易、变更密码交易、变更用户名称/ID/地址交易等。国外经验通常采取全部金融交易全部需要做应用加密处理；即使有些金融机构采取选择性金融交易做应用加密处理，未来产生风险要由提议单位/人负责负担。关键系统开发商建置用户中，台新银行选择了四种金融交易进行应用数据加密处理： 7–优异汇款remittancebycash21016–汇出汇款(专帐交易)remittancebytransfer55032–汇出登录remittancedataentry(supplementarydataentry)55040–汇出放行remittanceapproval交易信息敏感性数据加密方案交易敏感性数据加密需求是针对部分交易数据，必需从交易发动源头进行加密，直到交易终点处理是方可解开或是进行验证。这部分方案关键是针对用户支付口令绝对私密性，不得在交易过程中有任何泄漏风险。对于用户口令加密方案能够分成多个情形说明：大前置系统和关键系统(BANCS)大前置系统和关键系统间交易数据加密，提议采取Triple-DES加密方法，以下列标准实施：由交易提议端对用户口令，以关键系统产生「口令加密密钥」加密后(加密方法提议遵照ANSX9.8规范)，再放入交易信息内发送。交易接收端接收到交易信息后，将信息内以「口令加密密钥」加密用户口令和数据库内加密用户口令直接提交给加密机进行比对，确定是否符合。用户口令加密比对必需在加密机内一次完成，不得语应用系统中解开。「口令加密密钥」由关键系统透过加密机产生，再利用密钥同时信息交换机制，和外围系统进行同时。用户和关键系统(BANCS)–点对点加密因为用户终端设备并无任何加密设备。所以用户终端加密必需考虑采取加密密钥可公开加密方法。此方案是利用非对称密钥公钥可公开技术，直接在用户终端备上一软件方法加密，再和关键系统端解开比对。此种方法采取以下实施标准：关键系统透过加密机产生加密用交易加密非对称密钥(RSAkeypair)，并取出公钥(Publickey)，称为「交易加密公钥」。关键系统将「交易加密公钥」公布给全部BANCSLinks。用户在BANCSLinks上提交交易数据时，交易页面动态产生对称(Triple-DES)「动态口令加密密钥」，对用户口令进行加密。(口令加密提议遵照ANSX9.8标准)。交易页面在将「动态口令加密密钥」以「交易加密公钥」加密后，连同交易数据提交BANCSLink。BANCSLinks将加密后交易数据，和加密后「动态口令加密密钥」一并以交易信息送交关键系统(BANCS)。关键系统(BANCS)受到交易信息后，先利用「交易加密私钥」(Privatekey)解开「动态口令加密密钥」，再以「动态口令加密密钥」比对用户口令。关键系统(BANCS)对于「动态口令加密密钥」解开，和用户口令加密比正确动作，应该透过加密机一次性完成。用户和关键系统(BANCS)–BANCSLink加密另一个方案是基于用户终端和BANCSLink间采取SSL或VPN网络加密方法，认定其交易信息泄露几率极小前提下。只在BANCSLinks和BANCS间对口令加密。采取以下实施标准：关键系统透过加密机产生加密用「口令加密密钥」(Triple-DESkeys)，并利用密钥同时信息交换机制，和BANCSLinks进行同时。用户和安全页面上提交交易数据，包含用户口令。交易数据透过安全网络(VPN或是SSL)，送到BANCSLink。BANCSLink收到用户提交交易数据后，利用「口令加密密钥」对用户口令加密后，放入交易信息内送交关键系统(BANCS)。关键系统(BANCS)受到交易信息后，利用「口令加密密钥」解开并比对用户支付口令。关键系统(BANCS)对于以「口令加密密钥」解开并比对用户支付口令动作，应该透过加密机一次性完成。用户终端和外围系统用户和外围系统间对于用户口令加密沿用各外围系统现在做法，提议不予改变。

交易数据完整性方案因为本提议方案中对于服务器间网络，均以网络层加密机制保护。交易信息在网络上传输时，保持加密状态。所以就整体安全需求上，比较没有交易数据完整性上需求。服务器间验证方案各服务器间验证目标是在预防内部人员利用假服务器发动假交易，造成交易纠纷和金额上损失。服务器间验证依据连线模式不一样而必需有不一样设计方案。在这里，我们假设服务器间交易连接方法是采取非固定连接方法(Connectionless)。在此总连接方法下，服务器必需对每一笔交易信息均验证该交易发送方是否为正当服务器。验证方法有下列两种：IP验证法IP验证法是针对没每一个交易信息验证信息发送方IP是否为对应正当IP。此种验证法必需采取下列实施步骤:每一部服务器必需设置一个固定对外IP。应用系统中须设置每一个交易方服务器正确IP。当应用系统收到交易信息时，透过网络层取得发送方IP，再验证发送方IP和设置中正当交易信息发送方IP是否一致。此种验证法有以下优点：不须改变交易信息格式和交易步骤。透过交易信息收发网络层信息即可取得验证数据。此种验证法有以下缺点：每一个服务器在网络层必需有固定IP，对于使用VPN或是虚拟IP交换器网络并不适用。只用IP验证方法在安全上比较微弱。有可能假服务器临时替换正当服务器IP而不会被觉察。当服务器因为网络位置变更，而更改IP时，必需更该其它应用系统上IP设置。信息押码验证法信息押码验证法是在交易信息中，将部分交易数据以密钥加密方法，产生验证码，再将验证法放入交易信息中一起发送。交易接收方再以一样方法﹑一样密钥检核验证码是否正确。产生验证码密钥通常使用Triple-DES密钥和加密算法(提议采取CBC加密模式)。此种验证法必需采取下列步骤：交易信息必需增设交易验证码字段。定义每一个交易信息内，用以产生验证码交易数据字段。计划验证码密钥产生规则和变更同时交换规则。依据计划验证码产生/验证规则，修改应用系统信息收送机制。开发个服务系统间密钥变更同时交换功效。此种验证法有以下优点:此种验证方法，可使用和任何网络环境。不锁定服务器网络地址和实体位置，服务器网络位置变更不影响任何设置。较高安全强度，必需有存取密钥权限才能产生验证码。此种验证法有以下缺点：此种方法必需配合加密机使用，成本较高。次种方法必需变更交易信息格式，增加验证码字段。应用系统配合修改幅度较大。

存放安全数据安全方案，关键以保护数据不被任意更改/篡改，确保数据完整性为主。交易数据中包含很多个信息，无法对全部交易及将整个交易报文数据加/解密，可能会影响交易处理效率，提议只对报文敏感性数据进行加/解密处理，同时要考量交易数据存放安全。交易数据安全存放方案交易敏感性数据加密存放方案敏感性交易数据由於关键系统是整体系统交易重心，对於交易数据安全处理尤其关键，尤其是用户交易数据安全。交易报文中，包含很多敏感性数据，如：用户帐号/卡号用户密码交易金额交易时间(含:年月日时分秒)敏感性交易数据加密处理方法对於敏感性交易数据，必需要加密处理，以确保数据完整性、正确性及不可否认性。敏感性交易数据加密方法，提议采取以3DES密钥加密处理外，同时视需要，对整个报文/关键字段以MAC生成校验值。(不提议采取PKI加密方法，关键是PKI加密速度较费时。)敏感性交易数据交易传输步骤中，需经硬件应用及链路加密处理，尤其是用户密码需全程以乱码方法传输加密/解密处理，需经由硬件加密/解密机处理；严禁使用软件加/解密处理对於上述敏感性交易数据，由应用软件系统透过API呼叫方法，连接外接加密机进行加密处理，采取以3DES密钥方法加密处理，同时生成MAC校验值，透过网络传送后台应用软件。关键系统对敏感性交易数据处理步骤为了降低关键系统复杂性及降低关键系统更改量，以免影响项目进度立即程，提议关键系统对交易数据安全处理以下：BANCSLink於收到支行/分行交易数据时，发送到关键系统前，先呼叫应用加密机对报文数据中敏感性交易数据加密处理，同时要求加密机对整个报文/关键字段以MAC生成校验值。关键系统收到敏感性交易数据时，先呼叫应用加密机对报文数据中敏感性交易数据解密处理，同时要求加密机对整个报文/关键字段MAC校验值验证正确性后，才进行相关交易程序处理。敏感性交易数据存放除了加密处理外，对於敏感性交易数据存放安全，也很需要加以尤其重视，以免敏感性交易数据被有心人窃取、窥视。相关敏感性交易数据存放安全，提议处理方法以下：用户密码於柜员终端输入时，以乱码展现；关敏感性交易数据输入后，传送前，需经硬件加密机进行应用加密处理；传输过程中，全程以乱码传送；应用软件系统后台以API呼叫方法，呼叫硬件加密机验证用户密码正确性及将其它敏感性交易数据解密处理用户密码存放於数据库时，是以乱码方法存放。密码安全存放方案密码包含用户登入密码﹑用户密码两种。两种密码存放各有不一样提议方案。动态口令登入密码存放方案采取动态口令盘身份验证方法，用户动态口令是依着时间不停演变。而密码验证方法是由动态口令服务系统于系统内部自行验证。所以用户密码存放是由动态口令服务系统本身含有密码保护安全机制负责。所以，用户登入密码(口令)不需要另行存放。USB-Key登入密码存放方案采取USB-Key身份验证方法，用户口令是打开USB-Key存放口令，直接存放于USB-Key中，以USB-Key本身安全机制保护。USB-Key内登入验证密钥，是由加密机依据用户代码以验证主密码利用多样化演算法(Diverse)产生。而验证主密钥直接存放于加密机中。所以，用户USB-Key口令和USB-Key内验证密钥均不需要另行存放。用户口令加密存放方案用户口令是伴随交易信息传送和服务期间。所以透过交易信息用户口令点对点加密机制，全部交易信息内用户口令均为加密状态。唯一会存放用户口令系统应该是新关键系统(BANCS)。因为用户数量庞大，通常不可能直接存放于加密机中，而存放于数据库中。为了避免用户口令泄漏，必需以加密方法存放于数据库中。提议采取以下方法：利用加密机产生或是采取指定方法产生用户口令。用户口令产生后，直接以加密机用户口令存放加密密钥加密后(提议采取ANSX9.8规范)，存放和数据库内。用户口令存放加密密钥提议使用Triple-DES。用户口令比对时，直接将交易信息内加密用户口令和数据库加密用户口令提交给加密机，由加密机解密比对后，送回结果。当加密机内用户口令加密密钥变更时，必需对数据库内全部用户用户密钥进行重行加密处理(解密再加密)后再存放。此种用户口令加密存放方法有下列优点：加密强度较强，不易泄漏。但此种用户口令加密存放方法也有下了缺点：加密密钥更换时，必需重行加密全部口令，处理费时繁复。假如加密密钥遗失，全部用户口令皆失效，必需请用户从刑设置，可能造成重大损失。用户口令不可逆存放方案另一个存放用户口令方法是采取不可逆运算，将用户口令转换成不可还原数字，直接存放于数据库中。此种方法采取下了方法：利用加密机产生或是采取指定方法产生用户口令。用户口令产生后，直接以不可逆运算将用户口令转换成一组不可还原口令数字存放和数据库内。用户口令不可逆运算，提议可使用SHA-256。用户口令比对时，直接将交易信息内加密用户口令和数据库口令数字提交给加密机，由加密机解密比对后，送回结果。此种用户口令不可逆存放方法有下列优点：理论上无法利用口令数字还原正确口令。不需使用密钥，维护上比较简单，依不需考虑密钥变更问题。但此种用户口令不可逆存放方法也有下了缺点：不可逆运算理论上造成反复几率不等于零，有可能不一样口令会产生相同口令数字。所以猜中几率并非完全没有。新旧系统密码移转方案于本提议方案中，对于新旧系统间密码已转问题，可从下列几方面说明：用户登入口令移转因为新系统于旧系统间使用身份验证方法不一样。不管新系统采取动态口令盘或是USB-Key那一个方案，用户登入口令全部必需换新。所以，提议采取下列步骤：预先制作全部用户登入使用动态口令盘或是USB-Key。先行发放动态口令盘或是USB-Key给用户，并于新系统上设置每一个用户使用动态口令盘编号或是USB-Key编号。当业务由旧系统切换为新系统时，要求全部用户开始使用动态口令或USB-Key登入系统。原有旧系统上登入口令立即作废。用户支付口令移转对于用户口令，基于用户方便性，不能因系统转换而更换用户口令。若新系统采取用户口令加密存放方案，则提议采取下列步骤：利用加密机产生新用户口令加密密钥。将原有旧系统用户口令加密密钥，汇入/输入加密机内。开发一个程序，将原有旧系统全部用户口令利用加密机重新加密(用旧密钥解密再用新密钥加密)。将新密钥加密后用户口令存放到新系统数据库内用户信息表内。若新系统采取用户口令不可逆存放方案，则提议采取下列步骤：将原有旧系统用户口令加密密钥，汇入/输入加密机内。开发一个程序，将原有旧系统全部用户口令利用加密机解密并产生口令数字(用旧密钥解密再用不可逆运算产生口令数字)。将用户口令数字存放到新系统数据库内用户信息表内。

安全管理安全管理包含两个部分，分别是密钥管理及防病毒管理，分别於下列章节中说明。密钥管理方案密钥管理方案影响整个系统安全作业，华夏银行必需订定相关密钥管理策略，由安全设备厂商依据华夏密钥管理策略，实施密钥安全管理及运行。密钥生命周期管理方案密钥区分为三种，分为当地主密钥、区域主密钥及数据密钥。此三种密钥层次、等级和管理方法(遵照ANSIX9.17标准)，其密钥层次以下图：三种密钥层次图多种密钥在密钥层次中作用当地主密钥(LocalMasterKey)又称主机主密钥(MasterKey)，关键用来保护它下一级区域主密钥(ZoneMasterKey)(银行主密钥(BankMasterKey)、终端主密钥(TerminalMasterKey))。当区域主密钥需要导出或保留到加密机以外时，通常需要用当地主密钥(或衍生密钥对)加密区域主密钥。区域主密钥中关键有两种，一个是金卡中心和组员行之间传输密钥(通常称为银行主密钥)，另一个是组员行主机和ATM或POS之间传输密钥(通常称为终端主密钥)。它关键用来加密下一层次数据密钥(如：PIK、MAK)。数据加密密钥(DateEncryptKey)又称工作密钥(WorkingKey)，是最终用于加密传输数据密钥，其上层两种密钥能够称为密钥加密/交换密钥(KeyEncrypt/ExchangeKey，简称KEK)。数据密钥通常分为两种，一个是用来加密PIN密钥称为PIK(PinKey)，另一个是用来计算MAC密钥称为MAK(MacKey)。密钥产生当地主密钥通常由各组员行(或下属机构)采取加密机前面板上键盘或直接经过IC卡注入到加密机中，各组员行当地主密钥各不相同。通常当地主密钥注入全部由组员行三位高层领导注入，三人分别保留一部分密钥(密钥分量,Component)，三部分密钥能够在加密机中以一定算法(异或)合成为最终当地主密钥(或经过衍生(Derive)生成密钥对)。区域主密钥(银行主密钥)通常由上级机构(金卡中心)产生并分发。上级机构(金卡中心)产生并保留下属机构(各组员行)区域主密钥(银行主密钥)，同时将密码分量明文或IC卡形式将区域主密钥(银行主密钥)下发给下属机构(各组员行)。下属机构（组员行）将密钥分量注入到加密机内，假如区域主密钥（银行主密钥）是保留到本机构主机数据库中，则将区域主密钥（银行主密钥）注入到加密机后，加密机显示当地主密钥加密区域主密钥（银行主密钥）密文，由银行工作人员将其录入主机数据库。银行主密钥通常由两人注入，各自保留一部分。区域主密钥中终端主密钥由各组员行自己注入到加密机中，同时下装到ATM和POS中，因为各组员行ATM和POS数量全部较大，通常是全部ATM和POS共用一个终端主密钥或是一组ATM和POS共用一个终端主密钥。数据密钥分为两种，通常不在加密机中保留。一个是金卡中心和组员行之间数据密钥，一个是组员行主机和ATM或POS之间数据密钥。前一个数据密钥能够由金卡中心主动向下分发，也能够由组员行主动向上申请。数据密钥在传输过程中由金卡中心和组员行之间共享银行主密钥加密，组员行接收到数据密钥后全部需要验证其正确性后才会启用新数据密钥。后一个数据密钥天天由ATM或POS签到申请，由加密机随机产生，并由终端主密钥加密传送。

金卡中心和组员行及其终端(ATM、POS)之间密钥关系以下图：金卡中心和组员行及其终端(ATM、POS)之间密钥关系图上图中各个符号含义以下：BMK:银行主密钥TMK:终端主密钥PIK1:金卡中心和组员行之间PIKMAK1:金卡中心和组员行之间MAKPIK2:组员行和终端(ATM、POS)之间PIKMAK2:组员行和终端(ATM、POS)之间MAKDATA:传输数据（PIK1）BMK:被BMK加密PIK1说明:当地主密钥LMK：LocalMasterKey，当地主密钥，又称为文件主密钥(MDS)、加密机主密钥、主机主密钥，在密钥体系中处于最上层，以明文存放在加密机中，加密保护存放在加密机外其它密钥。LMK通常为双长度密钥，也有三倍长度密钥。区域主密钥ZMK：ZoneMasterKey，区域主密钥，在RACAL加密机中，指主机和主机间传输主密钥。在密钥体系中处于中间层，能够经过LMK加密后存放在主机数据库中，也可直接存放在加密机中，通常为双长度，也有单长度和三倍长度密钥。用于主机间动态分发工作密钥时对其进行加密保护BMK：BankMasterKey，银行主密钥，同ZMK，多用于金卡联网，在金卡联网中，有时POS和银行主机之间也使用BMK。MMK：MemberMasterKey，组员行主密钥，同ZMK。多用于金卡联网SMK：SharedMasterKey，共享主密钥，同ZMK.数据加密密钥TMK：TerminalMasterKey，终端主密钥，在RACAL加密机中，指主机和终端ATM/POS间传输主密钥，在密钥体系中处于中间层，能够经过LMK加密后存放在主机数据库中，也可直接存放在加密机中，现在通常为单长度，也有双长度和三倍长度。PIK：PInKey，PIN密钥，专用于加密保护PIN工作密钥，在密钥体系中处于最下层，通常经过LMK和ZMK/TMK加密后存放在数据库中，也有直接存放在加密机中，密钥长度有单长度、双倍长度和三倍长度。在MDS中，当采取动态密钥时，PIK每12小时或每2500笔交易就必需更换一次（两个条件满足任何一个时更换）PEK：PinEncryptKey，PIN加密密钥，同PIK。ZPK：ZonePinKey，区域PIN密钥，PIK一个，专指主机和主机间PIK。TPK：TerminalPinKey，终端PIN密钥，PIK一个，专指主机和终端间PIK。MAK：MacKey，Mac密钥，专用于计算MAC工作密钥，在密钥体系中处于最下层，通常经过LMK和ZMK/TMK加密后存放在数据库中，也有直接存放在加密机中，密钥长度有单长度、双倍长度和三倍长度。在MDS中，当采取动态密钥时，PIK每12小时或每2500笔交易就必需更换一次（两个条件满足任何一个时更换）DEK：DataEncryptKey，数据加密密钥，专用于加密数据密钥，在密钥体系中处于最下层，通常经过LMK和ZMK/TMK加密后存放在数据库中，也有直接存放在加密机中，密钥长度有单长度、双倍长度和三倍长度。在MDS中，当采取动态密钥时，PIK每12小时或每2500笔交易就必需更换一次（两个条件满足任何一个时更换）

为了确保密钥安全分发，依据国际金融界通例，银行新一代关键业务系统密钥管理应遵照ANSIX9.17标准，采取三层密钥体系结构。其体系结构图4所表示。关键业务系统密钥体系结构图在上图中，密钥由上自下逐层提供保护，其中，主机主密钥（MasterKey，简称MK）和区域主密钥（ZMK：ZoomMasterKey），属于密钥保护密钥。第一级是主机主密钥（MK），它用来保护区域主密钥（ZMK）。第二级是区域主密钥（ZMK），它用来保护总行和省分行之间数据加密密钥；在第二级，还能够引入终端主密钥（TerminalMasterKey，简称TMK），用来保护本中心管理终端设备（如POS或ATM等）数据加密密钥。第三级为数据加密密钥DTK，也称工作密钥WK，用来对数据进行加密。

密钥存放总行密钥存放方法总行加密机中存放有本身主密钥MK、各分行区域主密钥（包含总行大前置区域主密钥）ZMK，和PIN加密存放在主机数据库中PIN保留密钥。综合前置密钥存放方法总行大前置加密机中存放有本身主密钥MK、和总行之间ZMK、和分行大前置之间ZMK、下属全部终端主密钥TMK，和和外部机构（如中国银联）进行信息交换所需密钥。分行密钥存放方法分行加密机中存放有本身主密钥MK、和总行之间ZMK、和总行大前置之间ZMK、下属全部终端主密钥TMK，和和外部机构（如中国银联）进行信息交换所需密钥。前端硬件加密设备中存放有终端和前置间PINKEY、MACKEY和PINKEY、MACKEY更换过程中保护密钥。总行和全部分行配置加密机全部有独立主机主密钥（MK），MK以明文形式存放在硬件加密机中，用来加密ZMK和TMK等第二层密钥，MK本身不能以任何形式输出到加密机以外。MK通常由当地决定其生存周期。总行和各分行、总行大前置和各分行之间各共享一个区域主密钥（ZMK），ZMK既能够以密文形式（经过当地MK加密保护）保留在当地主机数据库中，也能够以明文形式保留在当地硬件加密机中。以确保ZMK不会在硬件加密机之外地方出现明文。ZMK用来保护数据加密密钥DTK，确保各分行和总行之间、各分行和总行大前置之间进行数据交换时安全地分发数据密钥，不一样分行和总行、不一样分行和总行大前置之间区域主密钥（ZMK）各不相同。ZMK生存周期相对较长，在使用一段时间后可经过人工方法更新。在全行全部自助终端全部有各自独立终端主密钥（TMK），尤其是ATM柜员机，根据外卡国际组织要求，全部ATM机全部必需有独立终端主密钥，TMK既能够以密文形式保留在当地主机数据库中，也能够明文形式保留在当地硬件加密机中。TMK用来确保终端设备（ATM/POS）和其直连管理机构（分行/支行）之间安全地分发数据加密密钥DTK或工作密钥WK，TMK通常由当地决定其生存周期。DTK由硬件加密机随机产生，关键有用于对PIN提供加密保护PinKey和MAC数据生成/验证MacKey，DTK能够采取一次一密方法进行分发（经过TMK保护），即一个DTK只参与一次交易，也能够经过一定量交易笔数（如笔）或一定时间间隔周期（如2小时）后更新。应用系统需开发功效在整个应用系统中，加密机除了本身提供主机主密钥MK和区域主密钥ZMK输入外，对应用系统来讲关键是提供经主密钥（包含主机主密钥、区域主密钥和终端主密钥）加密函数接口，用于将加密后密文保留在当地主机中。包含关键函数有：经主机主密钥MK加密区域主密钥ZMK后，将密文保留在当地主机中；经主机主密钥MK加密终端主密钥TMK后，将密文保留在当地主机中；经区域主密钥ZMK加密工作密钥WK后，将密文保留在当地主机中；经终端主密钥TMK加密工作密钥WK后，将密文保留在当地主机中；保留经过ZMK加密工作密钥PinKey和MacKey；保留经过TMK加密工作密钥PinKey和MacKey；在ATM/POS终端上存放PinKey和MacKey；H、主密钥产生，如ZMK和TMK，而且经过加密机提供串口，连接串口打印机直接打印成密码黑信封；根据指定要求产生工作密钥，如PinKey和MacKey。以上关键是加密机向应用系统提供相关密钥保留函数接口，也即是应用系统所需要开发功效。

密钥公布和同时密钥公布和同时总行及各分行主机主密钥MK各地自行产生并保留在加密机中，全行不采取相同MK，关键是为了降低整个系统风险，假如全行采取一个相同主机主密钥，一旦某个地方主机主密钥发生泄露，则整个系统主机主密钥全部要全部重新更换，代价太大。区域主密钥ZMK通常由上级机构产生，并经过人工方法分发，并保留在当地加密机中，如总行有各个分行ZMK，各个分行只有自己ZMK，关键用于加密分发工作密钥PinKey和MacKey。终端主密钥TMK通常由分行自行产生，分行保留有所管辖全部ATM/POS终端主密钥，各个终端仅由自己终端主密钥，关键用于分发和保留工作密钥PinKey和MacKey。工作密钥WK（PinKey和MacKey）全部经过相邻上级机构产生并分发，关键用于对交易数据提供加密保护和交易数据完整性保护。应用系统需开发功效加密机提供了全部相关密钥函数接口，应用系统仅需调用加密机接口就能够实现密钥同时功效。包含到关键函数只有两大类，即密钥产生和密钥存放。密钥产生关键有终端主密钥产生、工作密钥PinKey和MacKey产生；密钥存放关键有终端主密钥存放、工作密钥PinKey和MacKey存放。密钥注销密钥注销关键是经过产生新密钥来替换旧密钥，同时将新密钥经过密钥传输步骤，传送到相关往来机构及加密服务器，验证后，依据约定日期/时间启用新密钥。数据密钥在传输过程中由金卡中心和组员行之间共享银行主密钥加密，组员行接收到数据密钥后全部需要验证其正确性后才会启用新数据密钥。组员行主机和ATM或POS之间数据密钥，天天由ATM或POS签到申请，由加密机随机产生，并由终端主密钥加密传送。密钥备份当地主密钥在注入加密机时经过IC卡进行备份，当加密机密钥丢失时可用IC卡来恢复。区域主密钥中银行主密钥及终端主密钥，也可经过IC卡进行备份，当密钥丢失时可用IC卡来恢复。

密钥更换管理方案服务器密钥同时密钥同时是指服务器间共用密钥(尤其是同时型密钥)怎样有效而且安全交换。通常来说，能够使用密钥同时信息交换方法进行密钥交换。以BANCS和BANCSLink间共用密钥(口令加密密钥)更换同时为例，做法以下：首先产生区域主密钥，并存放于密钥IC卡内。再将密钥IC卡内区域主密钥分别汇入BANCS系统加密机和BANCSLink系统加密机内，作为密钥交换时交换密钥加密密钥。由BANCS系统定时产生新共用密钥(服务器间信息应用加密密钥)，并发送密钥更换通知信息给BANCSLink系统。此信息中存放以区域主密钥加密过共用密钥。BANCSLink系统收到密钥更换通知信息后，将信息内共用密钥以加密机内区域主密钥解开，并同时存放和加密机内。再发回密钥更换确定信息给BANCS系统。BANCS系统收到密钥更换确定信息后，确定双方密钥更换同时完成，即可开始使用新共用密钥加密。加密存放数据移转方案当用户加密存放于数据库内敏感性数据密钥需要变更时，除了变更密钥外，尚必需对数据库内密钥加以转换，才能维持数据库内加密数据可读性。通常做法以下：首先在加密机内产生新密钥。利用密钥更换移转程序，将数据库内加密数据以旧加密密钥解开，再以新加密密钥加密。此解密再加密动作，必需在加密机上一次完成。将新密钥加密后加密数据更新到数据库中。确定完成全部加密数据移转后，将加密机内旧密钥删除。

防病毒管理网络发达便利性，数据传输已无国界和时间分别；拜网络快速便利，病毒传输很快速，很轻易因为文档交换或收发邮件而感染病毒，造成重大损害，防病毒管理变为安全上关键步骤。病毒传输路径应用服务器、分行服务器、柜员终端机及笔记本等电脑设备微软Windows操作系统常常因收送邮件、交换/复印文档、上网查询或上未知网站，造成被病毒感染硬盘，破坏文档数据，传输病毒到其它人电脑，造成重大损害；病毒感染造成破坏，对金融机构影响深远，对银行及用户损害可能无法估量。防堵病毒传输方法为了预防病毒感染及传输，必需对病毒传输方法和路径进行防堵，降低感染病毒机会；柜员终端机及笔记本电脑是最轻易被病毒感染及传输病毒设备，关键是上网及交换/复印文档造成；为了防堵最轻易感染病毒设备，提议对柜员终端机及笔记本电脑防堵病毒方法以下：柜员终端机柜员终端机不配置硬盘及操作系统，柜员终端机共用分行服务器营盘及操作系统U盘、光盘及USB埠设定成无法使用(Disable)改造操作系统，设定无法连接外部网络(上网)设定无法使用无线上网只能收发内部邮件笔记本电脑办公室内设定为无法连接外部网络(上网)办公室内设定为无法使用无线上网办公室内只能收发内部邮件分行服务器网段设定和外部隔离

防治病毒处理方案为了降低因病毒所带来风险及损害，提议华夏银行建设企业级安全防护中心；安全防护中心关键任务为：防范病毒入侵及病毒感染和扩散防堵/隔离垃圾邮件造成系统瘫痪侦测/扫描邮件病毒建设企业防病毒管理中心，即时线上扫毒/隔离/清除病毒强制安装扫毒套件於用户电脑，定时/定时自动开启扫毒线上病毒定义裆即时更新/解毒强制/自动更新病毒定义裆(签入系统时)现在市场上有多家厂商提供企业级安全防护中心服务，关键功效为：步骤处理方案监控处理方案实时检测已知和未知威胁识别威胁起源启发式检测：保护单个用户免受未知威胁正确实时检测：正确并实时检测潜在威胁正确确实定出未知威胁确实切起源主动检测威胁：远程控制企业威胁，24x7连续运转强制网络病毒墙网络准入控制设备网络准入控制框架安全策略强制实施支持预定义128条安全策略可针对设定条件定义安全策略检验内容支持超出20种品牌防毒软件安装，更新情况进行检验和管理支持对网络接入设备补丁程序安装情况进行检验和管理风险隔离和自动修复对违反安全策略设备，隔离至预定义VLAN中对发觉恶意代码和间谍软件设备，自动分发工具和开启修复操作当设备能够满足安全策略要求时，许可其正常接入网络网络蠕虫防护在网络层分析数据包，阻止网络蠕虫(Worm)和僵尸(Bot)传输防护针对应用层科技安全体系保护网络易於管理和布署桌面防护，服务器防护，网关防护，存放安全等集成网络安全策略经过HTTP和FTP扫描，来阻止间谍软件和灰色软件下载拦截对恶意间谍软件网站访问，预防把数据发送给已知和网络钓鱼相关网站封堵间谍软件”Phone-home”企图，提供损害清除服务，对含有间谍软件用户端和服务器进行主动清除能够验证Acti