銀行金融行業(yè)信息安全解決方案

1、銀行金融行業(yè)信息安全解決方案2019主要內容2銀行業(yè)目前存在的安全隱患銀行業(yè)信息安全解決方案成功案例客體被管理的對象(組織、人、事、文件等)業(yè)務管理主體領導文秘業(yè)務財務規(guī)則標準規(guī)范體系和規(guī)范數據接口及統(tǒng)一字典業(yè)務信息應用體系業(yè)務應用系統(tǒng)領導決策秘書文檔業(yè)務部門業(yè)務部門財務管理標準應用支持平臺(Browse)業(yè)務其它應用和數據倉庫安全監(jiān)控及處理中心網絡邏輯層專用網絡公用網絡網絡物理層有線通信移動無線通信衛(wèi)星通信信息化運行管理和維護體系信息網絡安全保障體系信息網絡安全體系示意圖3銀行業(yè)目前存在的安全隱患4信息傳遞的安全隱患業(yè)務系統(tǒng)的安全隱患信息傳遞的安全隱患5網絡硬件的安全缺陷：如可靠性差、電磁輻

2、射、電磁泄漏等。 通信鏈路的安全缺陷：如電磁輻射、電磁泄漏、搭線、串音等。技術被動引起的網絡安全缺陷:計算機的核心芯片多依賴于進口，不少關鍵網絡設備也依賴于進口。 缺乏系統(tǒng)的安全標準引起的安全缺陷：中國雖然已經有了一些網絡安全標準，但還是很不完善。 業(yè)務系統(tǒng)的安全隱患6據ICSA統(tǒng)計，來自計算機系統(tǒng)內部的安全威脅高達60非法用戶進入系統(tǒng)及合法用戶對系統(tǒng)資源的非法使用被非法用戶截獲敏感數據非法用戶對業(yè)務數據進行惡意的修改或插入數據發(fā)送方在發(fā)出數據后加以否認或接收方在收到數據后篡改數據在不可信的計算機基礎上建立可信點主要內容7銀行業(yè)目前存在的安全隱患銀行業(yè)信息安全解決方案成功案例銀行業(yè)安全解決方案

3、8信息傳遞的安全解決方案業(yè)務系統(tǒng)的安全解決方案整體的安全解決方案范例（網上銀行）信息傳遞的安全解決方案9對于物理層，主要通過制定物理層面的管理規(guī)范和措施來提供安全解決方案對于網絡接口層，主要通過線路加密機對數據加密保護。它對所有用戶數據一起加密，加密后的數據通過通信線路送到另一節(jié)點后解密對于網際層，主要通過IP密碼機來保證網絡層數據傳輸的安全性對于傳輸層，主要通過SSL協(xié)議和VPN技術來保證傳輸層安全對于應用層，可以采用節(jié)點式密碼機來保證應用數據的保密性信息傳遞的安全解決方案10信息傳遞的安全解決方案11對于使用ATM、DDN等方式的主干連接，如在銀行總行和省、地市分行之間的連接，建議采用與連

4、接方式對應的線路加密機進行加密保護，加密機對線路中所傳送的所有數據進行加密，而與協(xié)議無關。同時還有專門用于加密電話網的線路加密機可供配套使用；對于連接方式比較復雜的情況，如縣級支行和省、地市以及總行之間的數據傳輸，可能采用包括ADSL、ISDN或者直接撥號上網等的多種連接方式，建議采用IP密碼機進行加密保護，對TCP/IP協(xié)議中的IP數據包內容進行加密，能夠靈活適應多種的網絡連接方式，對基于TCP/IP協(xié)議的應用透明；信息傳遞的安全解決方案12對于傳輸敏感數據比較少的連接，如在儲蓄所或小型的銀行之間的數據傳輸，建議采用節(jié)點加密機進行加密保護，敏感信息加密后，連同普通信息一起通過電信公網傳輸到目

5、的地；對于需要遠程接入的情況，如出差在外的銀行工作人員，建議采用基于PKI體系的VPN系統(tǒng)進行加密保護，遠程接入方首先連入電信網絡，然后通過VPN系統(tǒng)接入，此時傳送的數據受數字證書加密保護，同時客戶端數字證書采用IC卡或USB電子令牌進行保護。DDN線路加密機的技術指標（一）13性能指標網絡協(xié)議嚴格按照ITU-T和IETF的相關技術標準，其本身不占用網絡資源加/解密處理的最高速率為全雙工2Mbps當線路傳輸速率為2Mbps時，密碼設備的延時小于3ms，設備的加入幾乎不影響網絡的性能最大并發(fā)用戶數為4096個DDN線路加密機的技術指標（二）14密碼算法支持對稱密碼算法和非對稱密碼算法對稱密碼算法

6、密鑰長度為128位，支持SSF09算法RSA算法密鑰長度1024位HASH算法為MD5銀行業(yè)安全解決方案15信息傳遞的安全解決方案業(yè)務系統(tǒng)的安全解決方案整體的安全解決方案范例（網上銀行）業(yè)務系統(tǒng)的安全解決方案16數字證書登錄表單域簽名加密數字時間戳服務文檔電子簽名與加密安全電子郵件可信站點認證服務軟件代碼簽名數字證書登錄17功能：先進的密碼技術，保證登錄用戶的合法性登錄過程對用戶透明，無需記憶口令通過數字證書確認用戶身份的合法性數字簽名技術有效防止用戶抵賴行為采用加密通信協(xié)議，保護機密信息不被泄漏應用場景：銀行客戶安全登錄銀行網站 銀行員工登錄管理系統(tǒng)應用數字證書登錄18表單域簽名加密19功能

7、：確認填寫人身份確保網頁表單內容真實性確保網頁表單內容完整性確保網頁表單內容機密性確保網頁表單內容不可抵賴應用場景：銀行客戶在線支付、在線轉賬等應用表單域簽名加密20表單簽名數字時間戳服務21數字時間戳是對時間信息的數字簽名。數字時間戳主要用于實現以下兩個功能：確定在某一時間，某個文件確實存在；確定多個文件在時間上的邏輯關系，即：多個文件在邏輯上的時間先后順序； 多個文件是否屬于邏輯上的同一時間。應用場景：數字支票、在線轉賬應用數字時間戳服務22數字時間戳服務應用說明23 對于數字支票之類可以重復出現相同內容的電子數據，通常采用數字時間戳來創(chuàng)建過期標記。時間戳將電子數據的內容和產生時間相關聯(lián)，

8、相同內容的電子數據由于產生時間不同，時間戳也不會相同。所以當兩份相同內容的電子數據出現時，可以根據時間戳判斷它們是否出自同一個拷貝。文檔電子簽名與加密24功能：采用國際通用的X.509 V3證書和PKCS技術標準對文檔及簽名者的意見進行簽名和驗證確保簽名文檔的完整性防止對文檔做未經授權的篡改確認簽名者真實身份保證簽名行為的不可否認性無紙化辦公，提高辦公效率應用場景：銀行內部無紙化辦公，客戶賬單電子簽收等應用文檔電子簽名與加密25安全電子郵件26功能：確認電子郵件發(fā)送者身份確保電子郵件內容真實性確保電子郵件內容完整性確保電子郵件內容機密性確保電子郵件內容不可抵賴應用場景：銀行內部無紙化辦公，客戶

9、賬單安全發(fā)送應用安全電子郵件27可信站點認證服務28功能：訪問者向銀行網站發(fā)送敏感信息時，確信其信息被發(fā)送到真實的目標站點防止第三方站點仿冒銀行網站，騙取訪問者向該站點提交的敏感數據（比如：信用卡號碼、密碼等）應用場景：防止克隆銀行網站騙取銀行客戶信息應用可信站點認證服務29通過安全連接發(fā)送信息當站點信息和證書信息不相同時給出警告信息軟件代碼簽名30功能： 銀行使用代碼簽名證書對本行軟件進行簽名后放到互聯(lián)網上，使其軟件產品更難以被仿造和篡改，增強銀行與用戶間的信任度和軟件商的信譽；用戶知道該軟件是安全的并且沒有被篡改過，用戶可以安全地進行下載、使用。優(yōu)點：有效防止代碼的仿冒保證代碼的完整性可追

10、蹤代碼的來源應用場景：銀行客戶端軟件的安全在線安裝/更新應用軟件代碼簽名31業(yè)務系統(tǒng)安全解決方案32銀行業(yè)務用戶身份確認證書登錄賬單傳遞安全電子郵件在線支付/轉賬表單簽名加密數字時間戳機要文件發(fā)放文檔簽名加密網上銀行軟件更新代碼簽名網站防偽造可信站點支持的業(yè)界標準加密標準： DES, IDEA, RSA, MD5, SHA-1 等證書標準： X.509v3, CRLv2, PKCS系列標準LDAP標準： LDAPv2 智能卡標準： ISO7816, PC/SC, PKCS#11安全郵件標準： S/MIMEVPN協(xié)議： IP-Sec （RFC1825-1828）電子認證平臺體系架構： Intel

11、 CDSA33銀行業(yè)安全解決方案34信息傳遞的安全解決方案業(yè)務系統(tǒng)的安全解決方案整體的安全解決方案范例（網上銀行）整體的安全解決方案范例（網上銀行）35安全網上銀行公網部分內網部分網上銀行安全解決方案說明用戶經SSL連接到銀行網站，同時使用數字證書登錄；用戶在銀行網站進行在線轉賬或者在線支付，使用表單簽名加密和數字時間戳等方式保護和確認操作；用戶指令到達銀行內部業(yè)務系統(tǒng)，系統(tǒng)采用節(jié)點密碼機對其進行解密；銀行內部業(yè)務系統(tǒng)對用戶指令進行處理，同時通過加密鏈路將指令傳送到各相關銀行；銀行內部業(yè)務系統(tǒng)反饋指令處理結果，以安全電子郵件或電子賬單（采用文檔電子簽名與加密）方式傳遞給用戶；用戶獲得反饋，網上

12、銀行業(yè)務完畢。36銀行業(yè)網絡安全建議37系統(tǒng)要盡量與公網隔離，要有相應的安全連接措施為了提供網絡安全服務，各相應的環(huán)節(jié)應根據需要配置可單獨評價的加密、數字簽名、訪問控制、數據完整性等安全機制，并有相應的安全管理遠程客戶訪問重要的應用服務應嚴格執(zhí)行鑒別過程和使用訪問控制信息傳遞系統(tǒng)要具有抗偵聽、抗截獲能力，能對抗傳輸信息的纂改、刪除、插入、重放、選取明文密碼破譯等主動攻擊和被動攻擊，保護信息的機密性，保證信息和系統(tǒng)的完整性 涉及保密的信息在傳輸過程中，在保密裝置以外不以明文形式出現其他需考慮的安全問題風險評估防病毒入侵檢測內容過濾（郵件、網站）數據備份與災難恢復38主要內容39銀行業(yè)目前存在的安

13、全隱患銀行業(yè)安全解決方案成功案例成功應用案例 網證通認證體系海南CA湖北CA重慶CA 電子政務 廣東商檢 國家審計署廣州辦網上辦公 廣州市農委嶺南農業(yè)網 廣州市政府信息工程網上招投標 廈門市政府采購網 深圳貿易發(fā)展局 電子商務 九運會網上注冊系統(tǒng) 贏時通證券網 中衡網上報關 廣東省數據局計費帳單發(fā)送 21CN安全電子郵件 廣東移動網上招投標成功應用案例40成功應用案例成功應用案例41廣州工商廣州農委九運會感謝您的參與！ 42網證通為您e路護航導致安全漏洞 七大管理問題1850位信息安全專家的總結SANS 99437 安全無用論忽略安全問題，假裝它并不存在446 頭痛醫(yī)頭、腳痛醫(yī)腳采用反復、短期的措施相同安全問題一再迅速重現455 忽視聲譽沒有認識到信息與組織聲譽的價值在數字化社會中信息系統(tǒng)被破壞會對企業(yè)的形象與業(yè)務產生巨大的影響464 完全依靠防火墻內部網也用T