信用联社柜员身份识别系统方案.doc

农村信用合作联社柜员授权解决方案一、产品背景：一直以来，柜员业务授权管理一直采用授权卡和密码相结合的方式，由于人员素质和实际操作等因素，存在着授权人员管理不到位、人人能授权、密码不密等突出问题，极易引发案件。目前，在银行的前端业务系统中，大多使用“柜员号口令”的认证和交易授权的方式，部分银行使用磁卡或IC卡，如果使用前者，由于口令的易失窃、泄露等弱点，使得盗用身份的事件时常发生，使用磁卡或IC卡虽然能避免口令的脆弱性问题，但是在实际使用中，由于磁卡和未加读写保护的IC卡可以轻易被复制和盗用，以及柜员未遵守管理制度而存在的“飞卡现象”，所以上述两种身份验证方式都无法有效地完成高安全性的柜员身份认证及交易授权，从而造成在业务系统中经常发生违反业务管理制度的不规范操作、如授权卡随意使用，甚至发生身份盗用相关的金融犯罪，为业务系统带来了很大的风险。 考虑到指纹等利用生物特征识别的身份验证技术已经逐渐成熟，而且已经开始在银行业得到应用，因此在银行前端业务系统中，使用指纹的柜员身份验证方式替代传统的“柜员号密码”及磁卡或IC卡的方式，能够进一步提高身份验证的安全性，从根本上避免不规范操作、身份盗用所带来的业务风险。二、指纹授权的突出特点： 首先，从功能需求方面，银行柜员身份指纹验证系统应当能够实现使用活体指纹技术验证柜员的身份，因此，整个柜员身份指纹验证系统应当包括柜员指纹的登记、柜员指纹信息的查询、柜员指纹信息的比对、银行柜员指纹验证读写器的管理、机构管理、日志管理等一系列功能。 在管理需求方面，银行柜员指纹身份验证系统应当符合银行现行的管理制度，不能因为使用本系统而加大银行管理的难度和增加银行的管理成本。对于已经使用“柜员权限卡密码”柜员身份验证方式的银行，通过使用指纹身份验证系统增加系统安全强度的同时，要简化卡的管理。 在安全需求方面，银行指纹身份验证系统应当能够具有系统安全性、设备安全性、信息安全性、运行安全性的设计。 与现有银行业务系统的无缝融合方面，要根据目前银行综合业务系统的实际情况，做到尽可能不改变现有系统及应用流程，实现柜员身份指纹验证系统和银行综合业务系统的无缝融合。 操作程序简易。目前，日常柜员登录管理主要是通过柜员代码和密码验证的方式登录业务系统，对某一项交易的授权管理按授权代号、密码与省中心后台数据库比对情况来确定该交易是否可以执行。指纹登录、授权管理就是将原来柜员代码或密码登录、授权卡授权增加指纹验证程序，以三者相结合的方式来实现柜员的登录及授权管理，从而改变传统的刷卡登录、密码登录、授权卡授权方式，从源头上扼制代码、密码串用以及授权卡不规范授权现象。会计、信贷指纹授权管理是该社继创新信贷指纹识别管理系统后“指纹”科技的再运用，有效解决了过去“卡管理”、“密码管理”授权管理工作中存在的不规范现象。 防控手段严密。一、严把登录关。过去的会计、信贷工作人员在系统登录时，主要通过个人操作卡配合密码使用，代管理、代班、代操作等行为难以控制，风险防范现实严峻，而在原有基础上增设指纹登录方式，可确保本人到场，规范操作行为，严防操作风险。 二、严把授权关。在过去的授权管理工作中，如授权卡及密码管理不严，对授权业务的真实性等风险行为难以控制，而实行指纹授权管理，授权管理人员必须亲临每笔业务，审查风险环节，严格授权责任，确保需授权业务的合规办理，降低风险。 三、严把交接关。因岗位轮换或周末及节假日调班，会计及信贷人员在岗位交接时，时常存在交接人员、监交人员不到场现象，因业务需要，临时指派或替岗行为难以防控。在指纹授权管理工作中，只有交接双方以“指纹”交接方可经办相应岗位业务，确保了交接行为的规范性和真实性。 四、提高制度执行力。会计、信贷指纹授权管理，严格按照省联社及自身制度流程管理要求，对违反制度或逆程序操作行为坚决抵制，强制要求经办人员执行制度，按流程办理业务，强化了全员的执制意识，规范了执制行为。三方案设计目标 全省联社逻辑集中的指纹身份认证系统，有效降低因员工密码或柜员卡保管不当而引发的员工道德和操作风险，保障核心系统的操作运行安全。 使用指纹进行系统签到，杜绝以往混用其他柜员卡和密码登录系统的现象。严格把住系统入口，把以往出现案件后的事后追究变为事前防范。 柜员身份认证指纹识别使核心系统更加完善，安全性得到提高，实现了柜员登录的唯一性，明确了各自的责任，对内部案件防范管理工作起到了积极的推动作用。真正做到权责分明，有效控制重大资金案件的发生。 指纹身份认证系统可支持银行未来与其它应用集成进行身份认证。指纹身份认证中心部署在应用系统的后台，以总行（或分行）为逻辑集中点，进行统一身份认证。系统可以与现有的权限管理系统相集成，实现统一的指纹身份认证，统一授权；系统可以与人力资源管理系统相集成，实现统一的柜员指纹数据管理；系统可以为银行的C/S以及B/S架构的应用系统提供统一的柜员指纹身份认证服务。指纹采集仪作为系统的输入设备，在前端与业务终端设备相联，为柜员指纹身份认证提供数据采集服务。指纹采集在系统前端，指纹的认证比对是在后台的指纹身份认证中心完成。系统支持服务器集群模式，可以满足全行身份认证业务的并发。 该指纹身份认证系统由如下模块组成： 指纹身份认证服务模块：指纹身份认证服务模块为核心功能模块，主要完成指纹图像处理、指纹特征提取、指纹特征质量判断、指纹特征分类查询以及指纹特征比对等功能。 系统管理模块：系统管理模块主要完成指纹身份认证系统用户管理、用户角色管理以及用户在本系统中的权限管理等功能。 机构管理模块：为方便柜员指纹信息管理，通过机构管理模块将柜员按照行政机构进行分类。机构管理可以根据银行现行结构进行建立并且可以通过原有机构管理系统进行组织机构导入。 柜员指纹管理模块：柜员指纹管理模块可以完成柜员的指纹采集、指纹修改及指纹删除等功能。柜员指纹管理模块提供多种查询方法进行柜员检索，同时提供“人力资源管理”系统柜员检索接口，通过此接口“人力资源管理”系统可以直接管理柜员指纹信息。 日志管理模块：可以集中收集各个应用系统的用户操作日志并统一管理，在日志的基础上通过数据挖掘提供相应的统计分析报表和用户行为分析报告。 指纹身份认证管理系统包括身份认证服务、系统管理、网点管理、指纹管理、柜员管理、日志管理、应用管理、审计报告等模块。四、基于与业务系统独立的指纹服务器与在指纹服务器上进行比对的实现方案实现原理其实现原理图如下图6所示，在此方案中，柜员的指纹模板存放在后台的数据库中(与业务系统无关，可以是省分行内部的一台服务器)，所有的指纹比对操作也在指纹服务器上完成。在前台的终端上连接指纹验证读写器，该设备只负责指纹特征及指纹模板的生成。需一套指纹管理系统来完成指纹模板的提取及保存、指纹特征的提取等功能；需要验证身份时，先由网点终端发命令给指纹验证读写器，进行采指纹特征操作，然后由前置将该指纹特征数据上传到指纹服务器，由指纹服务器进行指纹比对后，最后将指纹的验证结果返回给前置，如验证成功，返回的结果就是该柜员的柜员号。基于与业务系统独立的指纹服务器与在指纹服务器上进行比对的系统结构图整个系统的层次关系如下图7所示。基于后与业务系统独立的指纹服务器与在指纹服务器进行比对的层次关系系统结构如图所示，指纹验证读写器在应用时服务于两套不同的系统：银行业务系统与指纹管理系统。指纹管理系统安装在前置机上，并且可对省分行内部的一台指纹服务器进行访问，同时指纹服务器上也运行一套管理软件，对从各个终端发过来的信息进行处理，以判断权限，决定是否对其进行响应。具体需完成的功能及所需做的工作可如下所示：1) 银行机构信息的维护，包括机构信息的添加，修改及删除；2) 柜员信息的维护，包括柜员信息的添加，修改及删除；3) 柜员指纹信息的增加、删除；在增加、删除指纹时，要先经过主管指纹验证，这个指纹比对过程在指纹服务器上完成。4) 指纹设备程序在线升级功能；5) 可对指纹仪进行内部序列号的设置，防止非法设备的使用；6) 柜员指纹模板信息及特征信息的采集。7) 可对某一机构信息进行设置，决定该机构是否使用指纹设备；其中2为必不可少的步骤，否则在业务系统中需进行指纹验证时，没有指纹比对所需的信息，也就没法完成指纹验证过程。在完成了所有的指纹采集工作后，指纹服务器中就保存了所有人的指纹信息及柜员号信息；在需正式使用时，先将业务前端的程序作很小的修改，具体修改的工作可分为如下步骤：1) 需修改的子程序分为柜员签到部分及主管授权部分程序；2) 修改原本的划卡操作或输入柜员号流程，新的操作流程为：先发命令给指纹验证读写器，提取指纹特征，再将该指纹特征数据发送到指纹服务器，由指纹服务器进行身份验证后，将验证结果返回给终端，如验证通过，则返回