安保平台培训PPT课件

安保平台培训 二O一O年十二月三日 民生银行银行系统再造项目 培训大纲 培训目标管理内容及分行岗位职责流程安保平台机制简介下分行具体工作操作培训及操作常见问题描述和解决方案本次信息收集汇总及技术验证 2 一 培训目标 3 培训目标 了解安保平台的岗位职责了解安保平台的管理流程了解安保平台运行的基本机制明确下分行的相关工作掌握安保平台的基本操作具备基本的错误排查知识 尽快定位问题掌握下分行技术验证的方法 4 二 管理内容与分行岗位职责流程 5 分行岗位设置的管理目标 指定专人负责科技条线的工作职责 严格执行技术控制措施 避免科技风险 负责所有安全 涉及密码 相关设备建档管理 统计设备的库存量 使用者 使用状态 报修 报失 报废等情况 上报总行设备操作岗 对所辖设备进行定期检查 纠正违规使用 上报分行领导和总行设备操作岗 尤其是可移动设备 如POS EPOS等 负责分行及所辖支行的设备注册 维护和日常问题解决等 负责分行的证书管理 6 分行岗位设置 7 分行岗位 角色设置示意图 8 分行设备管理员管理流程 分行科技统一向总行发出设备管理员申请 申请表 必须要有业务部门和科技部门的签字盖章把签字后的表格传真到010 84127611申请包括新增 修改 删除同时 发送excel表格给总行相关人员 9 分行Ukey申请管理流程 分行科技统一向总行申请领用 申请表 申请时按柜员数的20 申请申请时按柜员数的20 申请必须要有业务部门和科技部门的签字盖章把签字后的表格传真到010 84127611总行发放以传真为依据分行科技统一管理本分行所有UKey 管理流程 管理表格 做好领用登记工作柜员指纹不可用证书管理 分行制卡和保险公司 10 分行证书管理流程 分行科技统一进行证书注册发放 并做好登记工作业务部门提出证书申请 业务部门要有相关流程 必须要有业务部门的签字盖章科技部门主管批准科技部通过安保制作证书并发放登记发放情况 11 三 安保平台机制简介 12 安保平台机制简介 渠道 通道系统安全保护机制POS EPOS安全保护机制证书文件加密机制统一用户权限管理机制 13 应用系统安全机制 边界防护 渠道设备和密钥统一管理 注册 密钥管理 渠道密钥统一管理 生成 更新 通道密钥统一管理 生成 更新 行外密钥统一管理 导入或发放 四个统一 14 渠道系统安全机制 备注 红色表示尚未完成 15 柜面安全保护机制 HSM硬件模块 对终端设备的合法性认证 XBANK交易数据完整性保护 PINPAD PIN密码保护 UKEY 柜员身份认证 FP指纹仪 柜员身份认证 对公客户指纹识别 16 POS EPOS安全机制 POS密钥管理机制说明 1 分行POS管理员通过安保管理平台注册设备2 移动POS到POSP签到时通过POSP更新工作密钥 本代他 交易安全保护机制 1 POSP商户刷卡 完成PIN加密 交易MAC校验保护 2 提交到POSP 3 MAC校验 交易完整性校验 4 转到行内金卡系统 5 PIN转密 从POSP渠道加密转成银联通道密钥加密 6 发送到银联 17 制卡文件加密机制 18 制卡文件加密应用场景 19 保险公司文件加密机制 20 保险公司文件加密应用场景 21 新核心应用系统用户权限管理机制 22 应用分类与用户分类 应用分类与用户分类SAP应用 用户通过portal登录 该类应用的用户定义为域用户非SAP应用 用户不通过portal登录 该类应用的用户定义为非域用户 23 24 四 下分行具体工作 25 本节概览 安保环境介绍生产环境 已投产环境 下分行环境已投产环境及已完成工作介绍下分行环境介绍下分行相关任务 26 安保已投产功能 投产情况 分行管理员 设备管理员 用户管理员 POS EPOS设备注册 应用支撑 柜面设备注册 HSM PINPAD 指纹仪 27 安全设备注册情况 28 安保下分行工作 对私下分行验证 对公下分行验证 老业务系统及相关资源 EUSP 人力 安保基础数据 角色 权限 生产系统 安保 1 2 3 4 5 6 7 导入 导入 迁入 数据补录 验证设备注册用户注册 权限分配 对私 对公环境合并 数据迁移 数据迁移 全面投产日 迁移数据 下分行验证 机构数据用户与权限数据敏感数据 PVV 印鉴 支付密码等 设备注册 用户注册 权限分配 0 29 任务列表 30 任务列表 31 五 操作培训及操作常见问题描述和解决方案 32 设备注册注意点说明 目前各个分行已在安保的生产环境进行了设备注册 如果在下分行的过程中 需要用到已在生产上注册的设备 那么需要在下分行环境注册 等到下分行结束后要重新回生产注册 环境切换注意事项 SetIP工具 确保密钥更新下载连接到正确的环境 设备注册前提 1 需要驱动的设备 其驱动程序已安装2 相关设备控件已安装3 通过了设备检测工具的检测 33 设备注册 加密模块指纹仪密码键盘UkeyPOSEPOS 34 密钥下发 加密模块密码键盘POSEPOS 35 设备注册问题排查的基本思路 首先检查硬件设备是否正确连接检测控件是否已安装密钥更新失败时 要检查是否正确连接到安保环境 36 设备注册常见问题及解决方案 37 非域用户配置 设置用户可操作应用并审核设置用户所属机构 操作机构并审核分配用户角色 并审核预留用户鉴别信息设置用户应用鉴别方式 并审核 38 非域用户登录 登录前配置检查Xbank2 0 检查加密模块是否注册 密码键盘是否非域用户登陆 39 域用户配置 设置用户为域用户并审核 同步 设置用户可操作应用并审核设置用户所属机构 操作机构并审核 同步 分配用户角色 并审核 同步 预留用户鉴别信息设置用户应用鉴别方式 并审核 40 域用户配置注意点 以下三个操作会进行异步同步 同步是在审核后发生 等待时间每次约4分钟设置用户为域用户并审核 同步 设置用户所属机构 操作机构并审核 同步 分配用户角色 并审核 同步 为减少同步等待时间 可以先设置后集中审核 但设置用户为域用户并审核必须要先完成 之后是设置用户可操作应用并审核 其余四步可以先设置后集中审核 41 域用户登录 登录前配置检查AD域登录Citrix登录 42 用户配置问题排查的基本思路 首先逐项检查配置是否设置 或者根据常见问题针对性的进行配置项做检查如果是SAP域用户 要确保同步成功后才能够登录如果发现配置没有问题 及时把问题升级上报总行 43 预留用户鉴别信息常见问题 44 用户配置不当引起的登录问题 45 其他原因导致的登录问题 46 证书管理 证书管理对象行内制卡保险公司和第三方卡商证书管理操作步骤行内制卡Ukey注册行内员工预留用户鉴别信息其他证书管理Ukey注册用户标识管理用户证书管理 47 证书管理常见问题 48 六 本次信息收集汇总及技术验证 49 技术验证前提 硬件就位 加密模块 定制PC机 指纹仪 密码键盘 Ukey POS EPOS 可选 网络就位 AD域设置完成或者Citrix配置完成设备注册完成用户配置完成 50 技术验证用户设置 安保设置 各个分行上报技术验证人员 安保设置为安保设备管理员同时设为Xbank用户和BPM用户但是这些用户鉴别方式未设置分行科技设置使用登录名 0000011597 密码 123456 登录安保采集