银行新一代核心业务系统应用安全方案

HUAXIABANK

G华夏银行

中原银行新一代核心业务系统

应用宁静方案

invent

华夏银行

新一代核心业务系统应用安全方案

版本记录

版本版本日期修改者说明

V0.12006/9/5中国惠普公司初稿

V0.52006/10/20中国惠普公司依照中原银行的发起，变动生意业务信息宁静方案

V1.02006/11/11中国惠普公司依照中原银行的发起，变动文档章节结构

第2页

华夏银行

新一代核心业务系统应用安全方案

1.整体宁静方案概论............................................................................6

1.1.此分文档的目的.........................................................................6

1.2.整体宁静方案概论.......................................................................7

2.目前核心系统宁静现况及新一代核心业务系统应用宁静需求.......................................8

2.1.目前核心系统宁静现况...................................................................8

2.1.1.业务范畴............8

2.1.2.系统架构............8

2.1.3.系统应用宁静现况.......................................................................8

22新一代核心业务系统应用宁静需求.........................................................9

2.2.1.遵循中原宁静准则需求...........................9

2.2.2.业务范畴............9

2.2.3.系统架构............9

2.2.4.应用宁静需求及处理惩罚................................................................10

2.2.5.宁静标准、原则及需求...........................11

.宁静标准...................................................................11

2.2.52.宁静原则....................................................................11

.宁静需求...............................................................................11

3.身份验证...................................................................................14

3.1.身份验证方法..........................................................................14

3.1.1.动态口令验证方案..............................14

3.1.2.USB-Key验证方案..............................15

3.1.3.身份验证方案发起实施方法与实施阶段.....................................................16

3.2.身份验证系统架构方案..................................................................17

3.2.1.单一入口办事系统(Portal)架构方案...............17

4.授权控制...................................................................................20

4.1.授权治理架构..........................................................................21

4.1.1.授权组织架构方案......................................................................21

4.1.2.授权治理流程..................................22

4.2.授权系统架构方案......................................................................25

4.2.1.SSO系统架构方案..............................25

4.2.2.独立授权办事器架构方案................................................................26

5.传输宁静...................................................................................28

第3页

华夏银行

新一代核心业务系统应用安全方案

5.1.网络宁静..............................................................................28

5.1.1.链路加密机加密处理惩罚........................28

5.1.2.日前所了解BANCS系统的处理惩罚方法..........28

5.1.3.终端用户与BANCSLink间网络宁静......................................................29

5.1.4.BANCSLink与BANCS间网络宁静...............30

5.1.5.BANCSLink与综合前置间网络宁静（组合生意业务）….......................................30

5.1.6.外围系统与综合前罟间网络宁静..........................................................31

5.1.7.综合前置与BANCS间网络宁静...........................................................31

5.2.应用宁静..............................................................................32

5.2.1.应用宁静方案..................................32

5.22点对..............点的加密方案................32

5.2.3.选择性的金融生意业务加密方案......................................................33

5.2.4.生意业务信息敏感性数据加密方案....................................................33

5.2.5.先青业务数据完整性方案....................37

5.2.6.办事器间验证方案..........................37

6.存储宁静...................................................................................40

6.1.生意业务数据宁静存储方案..............................................................40

6.1.1.生意业务敏感性数据加密存储方案.................40

6.2.密码宁静存储方案......................................................................41

6.2.1.动态口令登入密码存储方案..............................................................41

6.2.2.USB-Key浮入密码存错方案.....................41

6.2.3.客户口令加密存储方案...................................................................42

6.2.4.客户口令不可逆存储方案........................43

6.3.新旧系统密码移转方案..................................................................44

6.3.1.用户登入口令的移转一..................................................................44

6.3.2.客户支付口令的移转…..................................................................44

7.宁静治理...................................................................................46

7.1.密钥治理方案..........................................................................46

7.1.1.密钥生命周期治理方案...................................................................46

7.1.2.密钥调换治理方案......................................................55

7.2.防病毒治理............................................................................57

7.2.1.病毒流传路径..............................................................57

7.2.2.防堵病毒流传要领...............................................................................................................................57

7.2.3.防治病毒的解决方案...................................................................58

8.推荐方案...................................................................................60

第4页

华夏银行

新一代核心业务系统应用安全方案

8.1.身份验证方案发起......................................................................60

8.1.1.发起方案的优J缺点阐发..........................60

8.1.2.发起实施方案..................................61

8.2.授权控制方案发起......................................................................62

8.2.1.发起方案的优/缺点阐发..........................62

8.2.2.发起实施方案..................................62

8.3.传输宁静方案发起......................................................................63

8.3.1.发起方案的优/缺点阐发..................................................................63

8.3.2.发起实施方案..................................63

8.4.存储宁静方案发起......................................................................64

8.4.1.发起方案的优J缺点阐发..........................64

8.4.2.发起实施方案..........................................................................64

附件一：第二级信息系统宁静品级..................................................................65

附件二：第三级信息系统宁静晶纺..................................................................71

第5页

华夏银行

新一代核心业务系统应用安全方案

1.整体宁静方案概论

在目前网络发达、网上生意业务盛行、网络诈欺事件及智慧型网络偷窃犯法层出不绝的

状态下，银行业务处理惩罚面临前所未有的挑战；既要维护银行的信誉与保障客户数据

不外泄，同时又要能即时无误的处理惩罚客户业务需求，让客户无宁静上的顾虑（无论

是柜面生意业务或是从渠道进来的生意业务），业务生意业务处理惩罚宁静上的考量变

得非常重要。

筹划一套业务应用宁静机制及建立生意业务应用宁静系统是当务之急的重要事情，尤其

是对新一代核心业务系统更是重要。建立这种生意业务宁静机制并不影响现行系统的运

作，透过应用宁静机制的建立，掩护客户及银行的数据与资产，让业务生意业务处理惩

罚的宁静性及信息的掩护越发完善，更是时时刻不容缓的事情。

1.1.此分文档的目的

信息宁静是金融机构处理惩罚日常事情的最重要的指标，掩护客户的资产及银行的资木

重要性，是银行业务处理惩罚的重心，核心系统应用宁静是此文档要说明/表达的目

的。

•文档读者

中原银行大会合办治理层领导、中原银行信息技能部领导、中原银行大会合办项目治理

办公室人员、中原银行信息技能部项目治理办公室人员、中原银行大会合项目监督委员

会成员、中原银行大会合项目治理委员会成员、中原银行大会合工程在建项目经理、组

长等C

•涵盖范畴

本文档用于描述中原银行新一代核心业务系统（NGCBS）项目中有关核心系统应用宁

静，由总体架构组（OSA）依中原银行新核心系统应用宁静需求，整理后的整体设计方

案。

新一代核心业务系统（NGCBS）项目应用宁静的范畴包罗:

•生意业务数据的宁静需求

•数据传输的宁静需求（广域网及局域网）

•数据库中数据的宁静需求

•柜员的登录方法与授权治理

第6页

华夏银行

新一代核心业务系统应用安全方案

1.2.整体宁静方案概论

本方案的内容包罗了以下几个面向：

•身份验证的宁静方案

身份验证的宁静方案描述新一代核心系统应采取何种方案，确保终端用户登入系

统的身份，制止使用冒充的身份。新一代核心系统的终端用户包罗支行用户、分

行用户、系统治理用户。此方案的详细内容请参考第3章。

•授权控制（访问控制）的宁静方案

授权控制的宁静方案描述新一代核心系统应采取何种方案，确保每一位用户在系

统上执行的作业或是系统成果均为正当的，制止因用户非法的操纵造成业务上的

损失。此方案的详细内容请参考第4章。

•传输上的宁静方案

传输上的宁静方案分为网络层的宁静与应用层的宁静。网络层的宁静是确保数据

在网络上传输时，确保数据的私密性与完整性。应用层的宁静是确保数据在输入

终端至处理惩罚终端间的传输历程中，确保数据时中间处理惩罚系统的私密性与

完整性。此方案的详细内容请参考笫5章（：

•存储数据的宁静方案

存储数据的宁静方案描述新一代核心系统应采取何种方案，确保数据存储于数据

库中的宁静，包罗数据的私密性宁静与完整性宁静。此方案的详细内容请参考第

6早«°

•宁静治理的方案

宁静治理的方案包罗两个部分，分别为密钥的宁静治理与防病毒的宁静治理。密

钥的宁静治理是描述密钥在生成、宣布、备份、删除上的宁静治理步伐。防病毒

宁静治理是描述办事器与终端设备上防备病毒熏染与病毒散步的宁静治理步伐。

此方案的详细内容请参考第7章。

本方案所涵盖的安区方案对应于OSA的宁静架构，可用下表说明：

宁静标准对应章节1对应章节2对应章节3

身份验证3.身份验证

访问控制4.授权控制

私密性5.1网络宁静5.2.1.生意业务信息敏感性数据6.存储宁静

加密

完整性5.22生意业务数据完整性

辨识性5.2.4办事器间验证

不可否定性5.2应用宁静

在本方案的最后，针对各章所提出的种种方案，依据各个方案的优劣点，提出发起实

施的内容，作为新一代核心系统宁静方案实施上的考量。

第7页

华夏银行

新一代核心业务系统应用安全方案

2.目前核心系统宁静现况及新一代核心业务系统应用宁静需求

2.1.目前核心系统宁静现况

2.1.1.业务范畴

目前中原银行的2K版核心系统是采取各个分行疏散式作业方法，中原银行有28个分

行，下辖约莫总共300个支行；28个分行漫衍干全国各地，北从沈阳分行，南到深圳

分行，西起乌鲁木齐分行，东达上海分行，幅员漫衍辽阔。

2K版核心系统业务包罗存款、放款等业务系统；其他的相关业务系统与治理系统皆各

自建立在差别的外围系统上；每个分行有各自的外围系统，透太过行前置系统与2K版

核心系统连接；各个分行有各自的中间特色业务系统，分行间的中间特色业务不尽全部

相同；各个分行有各自的分行前置系统卖力分行/支行间的业务生意业务处理惩罚。

2.1.2.系统架构

中原银行目前正进行大前置系统项目，要将所有分行前置系统整合为一个会合式的总行

综合前置系统及分行前置系统；同时将中间特色业务系统全部整合在总行综合前置系统

与分行前置系统上。

现有2K版核心系统背景的操纵系统是AIX,前台VOST柜面系统办事器的操纵系统是

SCOUnix,前台柜面终端机的操纵系统是SCOUnix。前台VOST柜面系统办事器安

排在支行卖力连接支行柜面生意业务与分行间的处理惩罚；有部分分行将前台VOST

柜面系统办事器上收到分行端，有分行统一治理前端柜面系统。

2.1.3.系统应用宁静现况

目前2K系统的生意业务处理惩罚是由各个支行的柜面办事器到分行2K版核心系统，

生意业务处理惩罚上是除了客户密码是以软件加密方法处理惩罚外，其他的生意业务数

据是没经过加密处理惩罚，完全是以明码方法传送。

这种处理惩罚方法，对於生意业务信息的宁静是无任何的保障；不宁静影响所及的范畴

涵盖分行及下辖的支行员工与客户，对於客户资产及银行数据是完全没有任何的掩护。

第8页

华夏银行

新一代核心业务系统应用安全方案

2.2.新一代核心业务系统应用宁静需求

2.2.1.遵循中原宁静准则需求

依”中原银行大会合项目信息系统信息宁静品级掩护要求1103.doc”文档的范例，主要

是着重在宁静根本要求上的技能类宁静要求，对於治理类宁静要求，需依照中原银行的

宁静治理范例或宁静治理步伐等条款治理。

新一代核心业务系统应用宁静需求，是以根本技能要求中的应用宁静和数据宁静等两方

面的宁静要求来筹划c技能类宁静上，则是偏重在业务信息宁静类，主要是掩护数据在

存储、传输、处理惩罚历程中不被泄漏、破坏不免受未授权的修改。业务办事包管类与

通用宁静掩护类的宁静需求，对掩护系统连续正常的运行及掩护系统的连续可用性需由

新一代核心业务系统主机厂商对硬件及操纵系统相关的建立与实施，同时中原银行卖力

运行部分需订定相关的宁静治理范例来包管系统的正常连续运作。

有关主机系统宁静的范例，需由新一代核心业务系统主机厂商来提供硬件及操纵系统相

关的宁静数据；数据库系统的宁静需由数据库厂商提供相关的宁静数据。

网络宁静需由相关的路由器、互换机、通信线路等在内的厂商提供相关的信息系统网络

情况的宁静数据。

详细有关宁静需求品级的范例比较，请详如本文档的附件章节。

2.2.2.业务范畴

新一代核心系统业务范畴包罗：存款、放款、中原卡、支付结算等，所有的银行客户业

务生意业务信息，皆与核心系统息息相关，是银行业务处理惩罚中最重要的部分。

2.2.3.系统架构

新一代核心系统是采取会合式的作业方法处理惩罚，全国各地分行所有的生意业务全部

都经由全行网络送到总行的新核心系统处理惩罚。

新一代核心业务系统，除了新一代核心系统外，尚有总帐系统、总行综合前置系统、55

个（与新一代核心系统有接口干系的）外围系统、核心配套外围系统（从2K系统独立出来

的系统，如:人行大/小额系统、理财系统、卡记点积分系统等）及其他系统等（与新一代

核心系统无接口干系，如:人力资源系统、考核系统等）。

新一代核心系统卖力面向客户治理的生意业务处理惩罚作业；总帐系统卖力面向中原内

部治理的后勤处理惩罚作业：综合前置系统卖力中原银行总行面向外部的生意业务处理

惩罚（如对分行/支行生意业务处理惩罚、外围系统生意业务处理惩罚、中间特色业务系

第9页

华夏银行

新一代核心业务系统应用安全方案

统生意业务处理惩罚、面向种种渠道生意业务处理惩罚、银联中心/银关通，银证通/财税

库行/人民银行等外围金融机构的生意业务处理惩罚），是中原银行业务处理惩罚的重要

把关门户。

新一代核心系统（BANCS）、前端柜面系统（BANCSLink）及柜员终端机的生意业务处理

惩罚是采取会合式的作业方法，新一代核心系统产物并未有应用信息宁静处理惩罚机

制；目前中原银行使用对客户密码采取软件加密的方法，对於最重要的新一代核心业务

系统是无法满足应用信息宁静的需要；加上目前外在情况的变革与智慧型网络犯法的盛

行，无法防备这些种种的威胁，对中原银行及所有客户的整体影响更是深远。

2.2.4.应用宁静需求及处理惩罚

应用宁静的筹划，将从国际上的应用数据的宁静标准（应用宁静及传输宁静）、宁静原则

（数据的真实性（私密性）、完整性（唯一性）、秘密性（身份认证）和不可诡辩性（不可否定性））

及宁静需求，来逐步说明。

同时，在应用宁静上需要搭配相关的硬件/软件加密设备来进行敏感性数据加密；在网

络上需要采取链路加密设备，来处理惩罚网络层的传输宁静需求。

第10页

华夏银行

新一代核心业务系统应用安全方案

2.2.5.宁静标准、原则及需求

2.2.5.1.宁静标准

•应用的宁静标准

宁静上的标准主要有两种：数据加密标准（DES:DataEncryptionStandard）与公然

密钥规矩（PKI:PublicKeyAlgorithm）o

数据加密标准（DES）:需要产生一对密钥，必须要将自己产生的另一个密钥发送给对

方，自己端用自己的密钥加密，对方端用所送的密钥去解密。一般应用在数据的端

对端的加密/解密使用，普遍用於金融机构的数据加密/解密。另外对数据加密的强

化，采取TripleDES的加密方法。

公然密钥规矩（PKI）:需要产生一对钥值，分为公钥及密钥，自己保存密钥，公钥发

送给对方。自己用密钥对数据加密，对方用所送的公钥验证数据的正确性。一般应

用在网络电子生意业务的加密/解密处理惩罚。

•传输的宁静标准

网络层传输的宁静标准，主要有几种，如：SSL（SecureSocketLayer）.VPN

（VirtualPrivateNetwork）等来防护数据传输的宁静。一般应用在网露层的数据传输

加密/解密使用。业界一般常用的方法是SSL,但VPN的宁静性较SSL的宁静性

高。

2252宁静原则

参考国际的宁静准则要求及目前相关的宁静解决方案，无论是动态口令、USB-Key或

数字证书（Cert币cate）方案，应用上的宁静或是传输历程中的宁静要求，皆能实现数据

的真实性（私密性）、完整性（唯一性）、秘密性（身份认证）和不可诡辩性（不可否定性）。

2.253.宁静需求

宁静需求，无论是应用的宁静需求或是传输的宁静需求，从宁静要求的四大要素…真实

性（私密性）、完整性（唯一性）、秘密性（身份认证）和不可诡辩性（不可否定性），来进行应

用宁静的处理惩罚。

•私密/真实性：确认数据输入的私密/真实性

主要是包管数据是由发送方所发送的原始数据。

第11页

华夏银行

新一代核心业务系统应用安全方案

为了到达真实性的需求，必须对输入的数据进行加工，保持原始数据於传输历程中

与原来是一样的。数据加工的要领之一既是对数据进行加密处理惩罚，包管送达的

是原始数据。

加密处理惩罚可采取DES或PKI方法加密，对於数据量大或是加密频繁的生意业

务，采取DES加密方法会比用PKI加密方法效率较好。PKI加密方法较适合於数

据量小或是加密频繁性低的生意业务。

•完整/唯一性：确认数据在传输的历程中不至於被窜改

主要是包管数据於传输历程中，不会被内部/外部人员窜改，包管原来的数据值。

为了到达完整性的需求，必须保障数据的完整性及不会於传输历程中被人窜改。

做法上是采取发送者的密钥对整个数据验算出一个MAC值，连同数据一起发送给

收信方；若数据於传输历程中被窜改，受信方於受到数据后，用发送方所赐与的密

钥(DES)/公钥(PKI)对整个数据验算出一个MAC值，进行验证时，所验算出来的

MAC值与发送者发送时所产生的MAC值不相同，即可确定命据被窜改。

•秘密性/身份确认：确认数据发送者的身份正确性

主要是确认数据发送者的身份是正确的，不是由其他人发送或有人假冒身份发送数

据。

秘密性简直认，做法上采取发送者所提供的密钥(DES)/公钥(PKI)对整个数据进行

验算出一个MAC值，所验算出来的MAC值与发送者发送时所产生的MAC值相

同，即可确认数据发送者的身份正确性。

•不可否思,/不可诡辩性：确认数据的正确及完整性

主要是确认整个数据的完整性及正确性与由发送者发送的数据是相同的，发送者无

法否定此份数据不是由发送者所发送。

不可否言忍性简直认，做法上采取发送者所提供的密钥(DES)/公钥(PKI)对整个数据

进行验算一个MAC值，所验算出来的MAC值与发送者发送时所产生的MAC值

相同，即可确认数据的正确及完整性。

•网络传输的宁静需求

＞网络传输的内部宁静需求

由於新一代核心系统才会合式作业处理惩罚，从中原银行的支行/分行所发送的生

意业务，全部经由网络传送到总行处理惩罚。除了上述的四点宁静上的需求外，尚

需要参加内部网络的传输宁静摆设(内部系统宁静控制治理，如VPN/SSL/加密处

理惩罚)才华完整的防护数据的宁静。

支行/分行的网络传输应用宁静需求，是中原银行内部网络的生意业务，是牢固/静

态的生意业务处理惩罚；宁静需求及防护上处理惩罚需要与外部差别。尤其内部的

宁静威胁及宁静被破坏性大於外部。(内贼难防)

第12页

华夏银行

新一代核心业务系统应用安全方案

＞网络传输的外部宁静需求

由於新一代核心系统才会合式作业处理惩罚，从差别渠道的生意业务也会经由网络

传送到总行处理惩罚。除了上述的四点宁静上的需求外，尚需要参加外部的网络传

输宁静摆设（如动态口令）才华完整的防护数据的宁静。

渠道的网络生意业务宁静需求，是中原银行外部网络的生意业务，是不牢固/动态的

生意业务处理惩罚；宁静需求及防护上处理惩罚需要与内部差别.外部的宁静威胁

及宁静被破坏性小於内部，但若是内部连同外部进行宁静破坏，更是建防护。（外贼

难防，内贼更难防）

第13页

华夏银行

新一代核心业务系统应用安全方案

3.身份验证

3.1.身份验证方法

新一代核心系统的用户包罗了分行或支行的行员。分行与支行的行员都是透过BANCS

Link登入到核心系统(BANCS)或是其他的外围系统。因此，岂论核心系统(BANCS)或

是外围系统都需要对登入的用户进行身份的核验事情，确认登入者的身份，以利控管系

统操纵存取的权限。

本发起书中，对付身份验证的机制，提供两个方案的选择，分别是动态口令验证与

USB-Key验证方案。

3.1.1.动态口令验证方案

Intranet■BB

外国系统

新核心系陵

动态口令验证动态口令验证

人前置系统

WAN

分打朋务推

vQ5isi^3

^0®5柜面柜面柜的

柜面

柜阖机的柜面柜面柜而分行柜面终端机

支行柜面终端机支行柜面终端机

动态口令验证的方法是设置并发放给每一个用户一个动态口令盘。用户登入系统时，采

取以下的步调：

(a)用户利用动态口令盘产生动态口令。

(b)用户再将动态口令输入登入页面的口令空格。

(c)应用系统办事端透过动态口令办事系统验证动态口令是否正确，均定是否允

许用户登入。

动态口令验证方案发起采取市面上成熟的动态口令系统，整合现有的应用系统实现用户

统一的登入身份验证要领。动态口令系统建置一般包罗下列的步调：

第14页

华夏银行

新一代核心业务系统应用安全方案

(d)引进并建置动态密码办事器系统。

(e)筹划用户根本信息与动态口令数据间的干系结构。

(f)筹划动态口令盘的设置、发放、采取等作业步伐与治理步伐。

(g)依据动态口令盘的作业步伐与治理步伐，开发或客户化修窜改态口令盘的治

理应用系统。

(h)应用系统配合动态口令办事系统的登入验证步伐修改。

动态口令验证方案有下列的优点：

(a)使用方便。用户只需使用动态口令盘在每次登入时产生口令即可。

(b)用户终端设备无需安装任何的控制软件与提供任何特别的接口。

(c)应用系统整合容易。应用系统只需于登入时调用动态口令系统提供的接口。

动态口令验证方案有下列的缺点：

(a)一般的动态口令无法使用于生意业务数据的签名。

(b)由于动态口令盘大多是采取离线作业方法，因此无法以连线侦测方法，侦测

用户是否离席。

3.1.2.USB-Key验证方案

外国系统

新核心系境

USB-Key验证

大前置系统USB-Key验证

分h服务典

柜血机面柜面柜面分行柜面终端机

支行柜面终端机支行柜面终端机

USB-Key验证方法是在USB-Key或IC卡上设置用户根本信息以及登入密钥，并发放

给用户使用。用户登入系统时，采取以下的步调：

(a)将USB-Key插入终端设备或是将IC卡插入IC读卡机内。

(b)用户输入USB-Key或IC卡的开启口令后，由登入页面自动读取USB-Key

内的用户识别信息，并以登入密钥产生登入验证码。

(c)应用办事端利用密钥验证技能验证用户的识别信息与验证码是否相符，决定

是否允许登入系统。

第15页

华夏银行

新一代核心业务系统应用安全方案

USB-Key验证方案发起由有经验的宁静系统开发商，依银行的需求筹划建制一套切合

需求的验证系统。USB-Key验证系统建置一般包罗下列的步调：

(a)筹划USB-Key内的用户验证信息与验证密钥结构与产生要领。

(b)筹划USB-Key的设置、发放、采取笔作业步伐与治理步伐。

(c)依据USB-Key的作业步伐与治理步伐，开发USB-Key的治理应用系统，与

验证办事系统。

(d)应用系统配合USB-Key验证办事系统的登入验证步伐修改。以及登入页面

配合USB-Key登入验证控件验证步伐修改。

USB-Key验证方案有以下的优点：

(a)采取双因素强验证(包罗USB-Key以及USB-Key的开启口令)。

(b)USB-Key与终端设备采取连线方法，可随时验证用户是否离席。

(c)USB-Key可采取双芯片(有线与无线)设计，于门禁系统结合。

(d)USB-Key可扩充加载数字证书，提供重要生意业务的数字签名成果。

USB-Key验证方法有以下的缺点：

(a)市场上无统一标准的产物，需要开发建置。

(b)用户终端设备上需提供USB接口保取USB-Key)或是IC读卡机(采取IC

卡)。

(c)用户终端设备上需安装USB-Key的相关控件(可由登入页面自动下载安装)。

(d)应用系统整合较为庞大，登入页面需依照USB-Key登入验证步伐修改。

3.1.3.身份验证方案发起实施方法与实施阶段

由于新一代核心系统的整体系统架构庞大，并且有许多的外围系统。因此实施方案上，

发起分为初期实施范畴与后续阶段实施范畴。

在实施方法上，发起采取以下的实施方法：

(a)由BANCSLink提供统一的登入页面，让用户登入。

(b)BANCSLink将用户提交的身份验证数据，转发给核心办事系统(BANCS)或外

围系统。

(c)核心办事系统与外围系统，各自透过统一的身份验证办事系统验证用户提交的

身份验证数据是否切合，决定是否允许登入系统。

在实施阶段范畴上，发起采取以下的方法：

(a)在初期阶段的实施范畴，发起只有核心办事系统(BANCS)。其它各外围系统

仍保存原有的身份验证方法。

(b)后续阶段再逐一修给各个外围系统，将身份验证机制转移至统一的身份验证

办事系统上。

第16页

华夏银行

新一代核心业务系统应用安全方案

3.2.身份验证系统架构方案

3.2.1,单一入口办事系统(Portal)架构方案

为了让用户有一个统一的入口与统一的身份验证机制，可以采取的方案之一是建置一套

单一入口办事系统(PortalServer),卖力提供用户的单一入口验证与用户权限治理机

制。由单一入口系统提供所有系统，包罗新核心系统、外围系统，统一的办事入口。单

入口系统所提供的成果不但只是单的登入入口629©-$19(1-0|),还包罗整适用户

与应用系统间的Session控管，以及用户对业务成果的权限治理等。

单一入口系统方案的实施，必须经过下列的步调：

(a)引进并建笆一套单一入口办事系统。

(b)筹划单一入口系统的身份验证方案与业务权限控管方案。

(c)筹划各业务系统，包罗核心系统、外围系统与单一入口系统间的Session控

制流程。

(d)筹划单一入口系统上，各业务系统的业务与成果架构。

(e)依昭笄划方案客户住单一入口系纺。

(f)依窗筹划方案修改或改革应用系统的Session控管机制与业务权限控管机

制。

(g)依照筹划方案修改或改革应用系统的业务与成果架构。

单一入口系统方案虽然可提供全面的用户单一办事入口，但是在实施上碰面临下列的问

题：

(a)单一入口系统的架构所考虑的不但是统一登入入口的实施，更应该考虑所有

业务架构的统一性与整合性。

(b)单一入口系统对付各应用系统将的整合有一定的范例与标准(如JSR168)o

各应用系统必须依照范例与标准进行大幅度的修改或是改革。

(c)BANCS与BANCSLink间的协定是采取新一代核心系统自有的协定，对采

取单一-入口的标准(如JSR168),有实施上的极大困难。

(d)各分行的人口实际上是透过各分行所配置的BANCSLink办事器登入，并非

直接的在单一入口系统(Portal)上登入。因此在系统架构上的配置会有困难

度。

在面临以上困难的状况下，对付单一办事入口系统的实现，发起采取下列的方案：

(a)系统架构

第17页

华夏银行

新一代核心业务系统应用安全方案

新核心系统

业务调用

Intranet

单•入口系统(Portal)

登入人前置系境

|(WANJ-------------、

田加旬始加由8山

柜面柜面m柜面

柜面柜面柜面柜面柜面柜面

分行柜面终端机

支行柜面终端机支行柜面终端机

(b)BANCS与BANCSLink间仍采取原有架构与协定。

(c)BANCSLink透过单一入口办事系统验证用户身份，并登入。

(d)BANCSLink以单一入口办事系统回应的登入识别码，发送登入信息给

BANCS,由BANCS在透过单一入口办事系统的登入识别码验证机制进行虚

拟身份验证。

(e)BANCS提供的业务成果，不透过单一入口办事系统，由BANCS自行治理

用户的权限。

⑴其它的外围系统，均必须依据JSR168标准，修改或改革应用系统，与单一

入口办事系统整合，透过但一入口办事系统调用业务应用办事。

单一入口办事系统方案有以下列的优点：

(a)可到达用户单一的办事入口。

(b)可提供用户统一的业务权限治理。

单一入口办事系统方案也有下列的缺点：

(a)系统庞大度高，需要详细的筹划。

(b)现有系统(包罗核心系统与外围系统)的配合实施难度高。

(c)由于新一代核心系统的BANCS与BANCSLink间采取自有的协定，对付单

一入口办事协定标准的配合可行性有待商榷。

第18页

华夏银行

新一代核心业务系统应用安全方案

独立身份验证办事器架构方案

另一种比力单纯的方案是创建一套独立的身份险证办事系统，提供新核心系统(BANCS)

以及外围系统统一的身份验证机制。

此种方案的实施必须有下列的步调：

(a)开发建置一套独立的身份验证办事系统。

(b)独立身份验证办事系统搭配选定的身份脸证机制(动态口令或USB-Key),实

现身份验证成果。

(c)BANCS以及外围系统的登入成果依照独立身份验证办事系统提供的身份验证

接口，修改登入验证步伐。

此方案的系统架构图如下图：

身份验证身份验证

外闺系就

柜面桁血柜面

分行柜面终端机

支行柜面终端机支行柜面终端机

此方案有以下的优占：

、(a)系统架构羲为单纯，实施较为容易、省时。

(b)可提供统一的用户身份验证，用户不需针对差别的应用系统使用差别的登入

代码、密码，甚至登入方法。

(c)应用系统(包罗核心系统与外围系统)的修改幅度较小，容易整合。

此方案也有以下的缺点：

(a)无法到达单一登入入口的办事水平，用户仍要在各个应用系统(包罗核心系统

与外围系统)执行登入行动。

第19页

华夏银行

新一代核心业务系统应用安全方案

4.授权控制

目前中原银行新一代核心系统项目，除了新核心系统、总帐系统及综合前置系统外，与

新核心系统相关的外围系统约有55个系统。

於目前的时空情况下，也无法将所有的外围系统前台柜面界面全部转换为BANCSLink

前台柜面界面；部分的外围系统前台柜面情况招使用原来的前台柜面系统处理惩罚生意

业务。同时，外围系统背景应用处理惩罚也是与新一代核心系统高开，各自处理惩罚各

自的生意业务；核心系统及各个外围系统各自处理惩罚各个系统的生意业务授权。

於此情况卜.，对於柜员的业务处理惩罚授权可能无一致性的授权方法，每个系统必须自

行处理惩罚生意业务授权。

考虑现实的状态及可行性的做法，有关授权控制将从创建一套完整的宁静治理流程开

始，再依目前状态，创建一个授权系统架构，来建立整体的授权控制治理。

第20页

华夏银行

新一代核心业务系统应用安全方案

4.1.授权治理架构

授权控制从系统建立时开始，订定一套完整的宁静治理流程；从系统宁静组织创建开

始，先创建系统原始宁静控管人员，再由原始宁静控管人员创建系统宁静控制人员，再

由系统宁静控制人员创建业务生意业务的授权宁静治理。授权控制说明如下：

4.1.1.授权组织架构方案

/授权组织架构

授权治理发起依业务别与事情职责的分别，分别创建个别的群组授权，例如：

•依事情职责分别的群组权限，将每个员工分为差别的群组，每个群组的授权

依其事情炽责给与差别的权限；每个员工可能属於一个以上的群组。

•主管有批准的权限，但没有执行生意业务的权限

・经办/柜员有执行生意业务的权限，但没有批准的权限

•每个单位皆有自己职责的差别权限

•创建宁静治理群组经办，卖力创建每个员工/主管代号及授权

•创建宁静治理群组主管，卖力批准新创建的员工/主管及授权

群组权限

群组权限

I

帐务类申请

交曷代号

第21页

华夏银行

新一代核心业务系统应用安全方案

4.1.2.授权治理流程

/系统建置宁静控制流程管

•