商业银行网银业务知识培训.ppt

Koal培训教材: 商业银行网银业务培训 议程 l何谓网上银行 ？ l网上银行业务 l网上银行的功能 l网上银行的特征 l网上银行的技术构成 l商业银行所关心的网银安全内容 何谓网上银行 ？ l网上银行（INTERNETBANK OR E-BANK） ，又叫网络银行，是指金融机构利用 INTERNET网络技术，在INTERNET上开设的 银行。这是一种全新的银行客户提交方式，使 得用户可以不受上网方式（PC、PDA、手机、 电视机机顶盒等）和时空的限制，只要能够上 网，无论在家里、办公室，还是在旅途中都能 够安全便捷地管理自己的资产和享受到银行的 服务。 网上银行业务 网上银行业务概述 网上银行的实质是为各种通过Internet进行商务活动 的客户提供电子结算手段。网上银行的特点是客户只 要拥有账号，密码和数字证书便能在世界各地与 Internet联网，进入网上银行办理个人交易。在网上银 行中，客户除了能办理储蓄、转账等简单业务和信用 卡、证券交易、保险、付款申请、跟踪等复杂业务以 外，还可以查询各种银行信息及根据实时数据进行现 金分析和财务状况分析。 举例 l网上银行如何开户？ （以上海银行为例） (1)仔细阅读有关资料：仔细阅读资料，认真了解网上银行的业务章程、使用说明 等，可便于客户更好地运用这项高科技金融产品。客户需仔细阅读的有：网上 银行业务介绍、上海银行网上银行章程、上海银行网上银行协议书、 单位客户网上银行开户申请表填写说明、 个人客户网上银行开户申请表填 写说明 。 (2)准备申请材料：客户应准备好其法人代码证，填写一份上海银行网上银行开户 申请表及附表，以及本单位开户行所需要的其他材料。其中，上海银行网上银 行开户申请表及附表可向客户自己的开户银行索取。取得申请表后，客户应如 实填写表中各项内容，加盖单位公章，并保证内容的真实性。特别应注意的是应 准确填写联系地址，否则可能耽误客户的申请事宜。 (3)提交申请材料：客户应将全部申请材料交给银行，银行会把申请材料交到上级 主管行进行审批。 (4)等待审批结果：当场就能给于办理 (5)安装客户终端安全代理软件：客户可在上行网站上免费下载该软件，同时客户 需按照工行提供的安装说明安装该软件。若存在问题，请及时与银行联系，工行 将会上门安装。 (6)领取USB-KEY,设置证书下载密码：上行将在审批同意之日起立即发给客户 USB-KEY，同时交纳一定的工本费和年服务费，在柜面输入证书下载密码，客户 回去后就可使用工行的网上银行了。 网上银行的功能 网上支付功能 申请和挂失 账务的查询勾兑 客户的咨询投诉 公共信息的发布 网上银行的特征 理念化 ：网络银行的理念化主要表现在网络银行经营地点和经营业务，以及经营过程逐步虚拟化 数字化 ：主要表现在网络银行经营的金融业务和金融产品上，这些金融产品和金融服务没有具体的实态，仅 为数字的增减 无纸化 资源共享性 以盈利为经营目的 “生产”和买卖金融商品 提供各种金融服务 网上银行的技术构成 概述 网络银行的技术构成分为硬件技术、软件技术 和客户应用技术三部分。硬件技术由主机系统 和终端系统构成，其中，主机技术根据网络银 行业务发展的需要分为大中型机技术和微机技 术。软件技术包括操作系统、编译系统和数据 库管理系统等。客户应用技术兼有硬件技术和 软件技术，如IC卡技术、银行卡技术和提款卡 技术等。 网上银行安全系统架构图 商业银行所关心的网银安全内 容 网上系统的安全 应用层的安全控制 业务安全控制 安全证书体系 网上系统的安全 系统后门的填堵以防止黑客通过后门进入系统进行破坏和窃密 ； 利用路由器在两个方面实施安全控制：一是把网络从逻辑上分 段，这些分段用路由器连接，形成IP子网，实现对内部网络的 隔离；二是在路由器上实施包过滤，并且利用防火墙来实现基 于IP地址的内外访问控制； 病毒对信息的危害将体现在对各级服务器以及整个系统的网络 和系统的破坏上，网络病毒的传播更加快速、广泛，任何的系 统错误、数据混乱、服务失败都会给业务系统和管理系统带来 损失，因此在信息系统安全体系中应具备多层次的实时防病毒 功能。网络版和单机版的实时防毒强技术和产品，可以在病毒 通过网络或病毒在工作站上启动时被查出并杀除。 应用层的安全控制 身份鉴别机制 在Internet网上银行系统中，用户的身份认证依靠基于 “RSA公钥密码体制”的加密机制、数字签名机制和用户登录密 码的多重保证。用户的唯一身份标识是银行发放给用户的“数字 证书”，用户的登录密码以密文的方式进行传输，确保了身份认 证的安全可靠。并且将数字证书和客户号关联，这样客户号及 其密码与数字证书必须同时被窃取才可能造成损失，安全性得 到很大提高。 应用层的安全控制 访问控制机制 Internet网上银行系统中，Web服务器中的所有资源都经过 分级管理，在安全系统中建立安全等级标签，只允许符合安全 等级的用户进行访问。同时，对用户进行分级别的授权，每个 用户只能在授权范围内进行操作，实现了对资源的访问控制机 制。 l数据加密机制 Internet网上银行系统采用了对敏感数据流进行加密传输的方 式，一旦用户登录并通过身份认证以后，用户和服务方之间在 网络上传输的所有数据全部用会话密钥加密，直到用户退出系 统为止，而且每次会话所使用的加密密钥都是随机产生的。这 样，攻击者就不可能从网络上的数据流中得到任何有用的信息 。 应用层的安全控制 数据完整性机制 Internet网上银行系统采用了基于“HASH算法”和“RSA公 钥密码体制”的方法对数据传输的完整性进行保护。 l数字签名机制 Internet网上银行系统中，每一笔金融交易都会附带有发出方的 数字签名，这主要有两个目的。 第一，银行根据交易信息的数字签名来确认交易发出方身份的 合 法性，实现了交易的认证要求。 第二，用户每次业务操作的信息均由用户的私钥进行数字签名 ， 实现了交易的抗否认要求。 应用层的安全控制 防重发机制 由于用户发出的操作具有时间上的唯一性， INTERNET网 上银行系统采用了“时间戳”的方法来保证每一次操作信息的唯 一性。在每个用户发出的操作数据包中，加入当前系统的时间 信息，时间信息和业务信息一同进行数字签名。由于每次业务 操作的时间信息各不相同，所以即使用户进行多次完全相同的 业务操作，也会得到各不相同的数字签名。这样，就可以对每 次的业务操作进行区分，保证了信息的唯一性。 应用层的安全控制 在安全环境的基础上，应用系统也需采取相应的措施，进一步保证 网上银行系统的整体安全性。 通报系统访问次数 检测证书并与客户号核对 关键数据加密保存 对交易页面采用凭证号和交易处理时提请交易失效来防止客户 多次操作重发 交易数字签名存储 客户信息库（CIF）对客户权限、交易金额等等对交易进行控 制 安全证书体系 针对不同的客户，分别采取了三种安全措施： 公共客户 公共客户由于只是想浏览农行网站或者做安全性要求很低交易比如查 询的客户。这部分客户不要求和农行签约，没有申请客户号，所以也 没有得到数字证书。对于这类客户，我们采取单向SSL加密，也就是 对于需要加密的交易信息，客户发送给农行时用农行的网站数字证书 进行加密，而网站返回信息是明文。 签约的个人客户 签约的个人客户申请了特殊业务比如转帐等，签约客户在签约时将同 时获得客户号和CFCA的个人普通证书，利用该证书进行双向SSL加密 。 签约的企业客户 对于企业客户，我们将采用CFCA的高级证书，并且用IC卡存储证书 。 使用个人普通证书的签约客户将在客户