纲上银行30系统的安全策略课件

纲上银行30系统的安全策略2023/7/15纲上银行30系统的安全策略一、物理安全二、网络安全四、应用安全三、系统安全主要内容纲上银行30系统的安全策略一、物理与环境安全

1、区域安全2、设备安全3、安全管理规章纲上银行30系统的安全策略1、物理安全界限---专用电脑中心、密钥管理中心、网络控制中心机房2、物理进入控制---保安、机房门禁3、在安全区域内工作---业务操作区与设备区隔离区域安全纲上银行30系统的安全策略1、设备定位与保护---专用机架、口令保护2、电力供应与电缆安全---UPS双路电源，互为备份3、设备维护---购买硬件与软件厂商技术支持、专业维护队伍设备安全纲上银行30系统的安全策略

1、人员管理

2、系统操作规范

3、机房与设备维护规定安全管理纲上银行30系统的安全策略二、网络安全

1、防火墙与路由器2、动态入侵检测纲上银行30系统的安全策略防火墙与路由器

INTERNET客户防火墙防火墙网上银行系统分行分行防火墙中国银行安全通道1000兆防火墙NETSCREEN纲上银行30系统的安全策略

总行网络监控中心--天阗入侵检测系统，严防黑客入侵动态入侵检测纲上银行30系统的安全策略三、系统安全

1、操作系统安全

2、系统访问控制纲上银行30系统的安全策略中国银行网上银行采用了国际著名厂商（IBM）的安全操作系统，与国际一流商业银行的电子银行服务看齐，足以保证网上银行的系统安全。

1、操作系统安全

纲上银行30系统的安全策略1、严格的用户访问管理---用户注册口令5次错误锁定、连续3天被锁定则用户死锁2、系统访问管理---IP地址识别、硬件编码地址识别、系统访问时间控制2、系统访问控制

纲上银行30系统的安全策略四、应用安全身份管理身份证件分发身份认证通信保护保密性完整性不可否认性访问控制授权安全审计历史追踪缺陷分析纲上银行30系统的安全策略1、可靠的身份管理（1）普通口令---两次口令校验

网上银行登录口令、密钥保护口令（2）电子令牌---实体检测

口令保护、数据不可读出（3）数字证书---强身份认证

重新建设CA认证中心

三重校验，身份确认纲上银行30系统的安全策略USERID和密码—示例纲上银行30系统的安全策略电子令牌

USBKEY/IC卡

USBKEY/IC卡通过产生和识别网上电子交易的数字签名（电子签名或电子图章），达到识别交易者身份和验证交易数据真伪的目的，保证网上交易的不可否认性(Nonrepudiation)；同时作为身份认证的强力工具。

纲上银行30系统的安全策略口令---定期更换

纲上银行30系统的安全策略口令---定期更换

纲上银行30系统的安全策略为配合网上银行安全系统改造，我行重建CA认证中心。新CA系统支持本地化的128位对称加密算法，1024位证书签名，同时支持Netscape和IE中英文版本。电子证书载体采用经过国家密码主管机构认可的USBKEY/IC卡，保障密钥和证书安全。CA电子证书

纲上银行30系统的安全策略电子证书与身份证的比较

姓名：王家业编号发者：北京市公安局海淀分局发布时间：2000-04-05有效期：10年住址：北京市海淀区学院南路9号颁发给：WANGJIAYE序列号：10E7D8F38078ADEC11000ED48BB2EEBB签发者：C=CN，S=BEIJING，L=BEIJING，O=BANKOFCHINA，CN=INTERNETBANKING，BANKOFCHINA有效起始时间：2002年12月6日有效终止时间：2005年12月6日Email：wangjy@公钥：RSA(1024bits)38ighwejb……纲上银行30系统的安全策略企业电子证书详细信息-示例

纲上银行30系统的安全策略2、通信保护-保密性

加密解密明文明文密文KK采用128位对称加密算法、SSL安全套接层协议，确保交易数据的保密性纲上银行30系统的安全策略加密解密KKK的密文B公钥B私钥通信保护-保密性

采用1024位的RSA非对称加密算法，确保交易数据的保密性纲上银行30系统的安全策略通信保护-完整性

明文摘要A公钥解密加密摘要的密文A私钥明文明文摘要SHA1数字摘要算法SHA1散列算法明文摘要◎相等？纲上银行30系统的安全策略通信保护-数字签名

数字签名：数据完整性中发送方的操作验证数字签名：接收方的操作签名目的：信息是由签名者发送的；验签名目的：信息自签发后到收到的过程中，没有被篡改、没有仿冒、不是重发性攻击；纲上银行30系统的安全策略发送方信息散列函数摘要私钥加密（签名）数字签名数字签名信息散列函数摘要公钥解密摘要信息被确认比较两者如一致接收方通信保护-数字签名

纲上银行30系统的安全策略网上银行中的数字签名-示例

纲上银行30系统的安全策略3、访问控制---登录三重措施

1、USERID唯一性，确保有效识别操作员2、USERID与口令、电子令牌的耦合校验3、USERID与CA电子证书的耦合校验纲上银行30系统的安全策略访问控制---应用三重措施

1、操作员对不同产品、功能的控制2、操作员对不同账号的控制3、操作员对不同账号的授权级别控制纲上银行30系统的安全策略4、审计---客户操作记录

对用户每一个操作,网上银行都做了详细的LOG记载，方便用户掌握资金汇划过程中的相关操作信息纲上银行30系统的安全策略审计---客户操作记录

纲上银行30系统的安全策略审计---系统日志