銀行新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全預(yù)案

162/162華夏銀行新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全方案版本記錄版本版本日期修改者講明V0.12006/9/5中國(guó)惠普公司初稿V0.52006/10/20中國(guó)惠普公司依照華夏銀行的建議，更改交易信息安全方案V1.02006/11/11中國(guó)惠普公司依照華夏銀行的建議，更改文檔章節(jié)結(jié)構(gòu)

目錄TOC\o"1-4"\h\z\u1. 整體安全方案概論 61.1. 此分文檔的目的 61.2. 整體安全方案概論 72. 目前核心系統(tǒng)安全現(xiàn)況及新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全需求 82.1. 目前核心系統(tǒng)安全現(xiàn)況 82.1.1. 業(yè)務(wù)范圍 82.1.2. 系統(tǒng)架構(gòu) 82.1.3. 系統(tǒng)應(yīng)用安全現(xiàn)況 82.2. 新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全需求 92.2.1. 遵循華夏安全準(zhǔn)則需求 92.2.2. 業(yè)務(wù)范圍 92.2.3. 系統(tǒng)架構(gòu) 92.2.4. 應(yīng)用安全需求及處理 102.2.5. 安全標(biāo)準(zhǔn)、原則及需求 11. 安全標(biāo)準(zhǔn) 11. 安全原則 11. 安全需求 113. 身份驗(yàn)證 143.1. 身份驗(yàn)證方式 143.1.1. 動(dòng)態(tài)口令驗(yàn)證方案 143.1.2. USB-Key驗(yàn)證方案 153.1.3. 身份驗(yàn)證方案建議實(shí)施方式與實(shí)施時(shí)期 163.2. 身份驗(yàn)證系統(tǒng)架構(gòu)方案 173.2.1. 單一入口服務(wù)系統(tǒng)(Portal)架構(gòu)方案 174. 授權(quán)操縱 204.1. 授權(quán)治理架構(gòu) 214.1.1. 授權(quán)組織架構(gòu)方案 214.1.2. 授權(quán)治理流程 224.2. 授權(quán)系統(tǒng)架構(gòu)方案 254.2.1. SSO系統(tǒng)架構(gòu)方案 254.2.2. 獨(dú)立授權(quán)服務(wù)器架構(gòu)方案 265. 傳輸安全 285.1. 網(wǎng)絡(luò)安全 285.1.1. 鏈路加密機(jī)加密處理 285.1.2. 目前所了解BANCS系統(tǒng)的處理方式 285.1.3. 終端用戶(hù)與BANCSLink間網(wǎng)絡(luò)安全 295.1.4. BANCSLink與BANCS間網(wǎng)絡(luò)安全 305.1.5. BANCSLink與綜合前置間網(wǎng)絡(luò)安全(組合交易) 305.1.6. 外圍系統(tǒng)與綜合前置間網(wǎng)絡(luò)安全 315.1.7. 綜合前置與BANCS間網(wǎng)絡(luò)安全 315.2. 應(yīng)用安全 325.2.1. 應(yīng)用安全方案 325.2.2. 點(diǎn)對(duì)點(diǎn)的加密方案 325.2.3. 選擇性的金融交易加密方案 335.2.4. 交易信息敏感性數(shù)據(jù)加密方案 335.2.5. 交易數(shù)據(jù)完整性方案 375.2.6. 服務(wù)器間驗(yàn)證方案 376. 存儲(chǔ)安全 406.1. 交易數(shù)據(jù)安全存儲(chǔ)方案 406.1.1. 交易敏感性數(shù)據(jù)加密存儲(chǔ)方案 406.2. 密碼安全存儲(chǔ)方案 416.2.1. 動(dòng)態(tài)口令登入密碼存儲(chǔ)方案 416.2.2. USB-Key登入密碼存儲(chǔ)方案 416.2.3. 客戶(hù)口令加密存儲(chǔ)方案 426.2.4. 客戶(hù)口令不可逆存儲(chǔ)方案 436.3. 新舊系統(tǒng)密碼移轉(zhuǎn)方案 436.3.1. 用戶(hù)登入口令的移轉(zhuǎn) 446.3.2. 客戶(hù)支付口令的移轉(zhuǎn) 447. 安全治理 467.1. 密鑰治理方案 467.1.1. 密鑰生命周期治理方案 467.1.2. 密鑰更換治理方案 557.2. 防病毒治理 577.2.1. 病毒傳播路徑 577.2.2. 防堵病毒傳播方法 577.2.3. 防治病毒的解決方案 588. 推舉方案 608.1. 身份驗(yàn)證方案建議 608.1.1. 建議方案的優(yōu)/缺點(diǎn)分析 608.1.2. 建議實(shí)施方案 618.2. 授權(quán)操縱方案建議 628.2.1. 建議方案的優(yōu)/缺點(diǎn)分析 628.2.2. 建議實(shí)施方案 628.3. 傳輸安全方案建議 638.3.1. 建議方案的優(yōu)/缺點(diǎn)分析 638.3.2. 建議實(shí)施方案 638.4. 存儲(chǔ)安全方案建議 648.4.1. 建議方案的優(yōu)/缺點(diǎn)分析 648.4.2. 建議實(shí)施方案 64附件一：第二級(jí)信息系統(tǒng)安全等級(jí) 65附件二：第三級(jí)信息系統(tǒng)安全等級(jí) 71

整體安全方案概論在目前網(wǎng)絡(luò)發(fā)達(dá)、網(wǎng)上交易盛行、網(wǎng)絡(luò)詐欺事件及智慧型網(wǎng)絡(luò)盜竊犯罪層出不絕的狀態(tài)下，銀行業(yè)務(wù)處理面臨前所未有的挑戰(zhàn)；既要維護(hù)銀行的信譽(yù)與保障客戶(hù)數(shù)據(jù)不外泄，同時(shí)又要能即時(shí)無(wú)誤的處理客戶(hù)業(yè)務(wù)需求，讓客戶(hù)無(wú)安全上的顧慮(不管是柜面交易或是從渠道進(jìn)來(lái)的交易)，業(yè)務(wù)交易處理安全上的考量變得特不重要。規(guī)劃一套業(yè)務(wù)應(yīng)用安全機(jī)制及建設(shè)交易應(yīng)用安全系統(tǒng)是當(dāng)務(wù)之急的重要工作，尤其是對(duì)新一代核心業(yè)務(wù)系統(tǒng)更是重要。建設(shè)這種交易安全機(jī)制并不阻礙現(xiàn)行系統(tǒng)的運(yùn)作，透過(guò)應(yīng)用安全機(jī)制的建設(shè)，愛(ài)護(hù)客戶(hù)及銀行的數(shù)據(jù)與資產(chǎn)，讓業(yè)務(wù)交易處理的安全性及信息的愛(ài)護(hù)更加完善，更是時(shí)時(shí)刻不容緩的工作。此分文檔的目的信息安全是金融機(jī)構(gòu)處理日常工作的最重要的指標(biāo)，愛(ài)護(hù)客戶(hù)的資產(chǎn)及銀行的資本重要性，是銀行業(yè)務(wù)處理的重心，核心系統(tǒng)應(yīng)用安全是此文檔要講明/表達(dá)的目的。文檔讀者華夏銀行大集中辦治理層領(lǐng)導(dǎo)、華夏銀行信息技術(shù)部領(lǐng)導(dǎo)、華夏銀行大集中辦項(xiàng)目治理辦公室人員、華夏銀行信息技術(shù)部項(xiàng)目治理辦公室人員、華夏銀行大集中項(xiàng)目監(jiān)督委員會(huì)成員、華夏銀行大集中項(xiàng)目治理委員會(huì)成員、華夏銀行大集中工程在建項(xiàng)目經(jīng)理、組長(zhǎng)等。涵蓋范圍本文檔用于描述華夏銀行新一代核心業(yè)務(wù)系統(tǒng)（NGCBS）項(xiàng)目中有關(guān)核心系統(tǒng)應(yīng)用安全，由總體架構(gòu)組(OSA)依華夏銀行新核心系統(tǒng)應(yīng)用安全需求，整理后的整體設(shè)計(jì)方案。新一代核心業(yè)務(wù)系統(tǒng)(NGCBS)項(xiàng)目應(yīng)用安全的范圍包含：交易數(shù)據(jù)的安全需求數(shù)據(jù)傳輸?shù)陌踩枨螅◤V域網(wǎng)及局域網(wǎng)）數(shù)據(jù)庫(kù)中數(shù)據(jù)的安全需求柜員的登錄方式與授權(quán)治理

整體安全方案概論本方案的內(nèi)容包含了以下幾個(gè)面向：身份驗(yàn)證的安全方案身份驗(yàn)證的安全方案描述新一代核心系統(tǒng)應(yīng)采納何種方案，確保終端用戶(hù)登入系統(tǒng)的身份，幸免使用假冒的身份。新一代核心系統(tǒng)的終端用戶(hù)包含支行用戶(hù)﹑分行用戶(hù)﹑系統(tǒng)治理用戶(hù)。此方案的詳細(xì)內(nèi)容請(qǐng)參考第3章。授權(quán)操縱(訪問(wèn)操縱)的安全方案授權(quán)操縱的安全方案描述新一代核心系統(tǒng)應(yīng)采納何種方案，確保每一位用戶(hù)在系統(tǒng)上執(zhí)行的作業(yè)或是系統(tǒng)功能均為合法的。幸免因用戶(hù)非法的操作造成業(yè)務(wù)上的損失。此方案的詳細(xì)內(nèi)容請(qǐng)參考第4章。傳輸上的安全方案?jìng)鬏斏系陌踩桨阜譃榫W(wǎng)絡(luò)層的安全與應(yīng)用層的安全。網(wǎng)絡(luò)層的安全是確保數(shù)據(jù)在網(wǎng)絡(luò)上傳輸時(shí)，確保數(shù)據(jù)的私密性與完整性。應(yīng)用層的安全是確保數(shù)據(jù)在輸入終端至處理終端間的傳輸過(guò)程中，確保數(shù)據(jù)對(duì)中間處理系統(tǒng)的私密性與完整性。此方案的詳細(xì)內(nèi)容請(qǐng)參考第5章。存儲(chǔ)數(shù)據(jù)的安全方案存儲(chǔ)數(shù)據(jù)的安全方案描述新一代核心系統(tǒng)應(yīng)采納何種方案，確保數(shù)據(jù)存儲(chǔ)于數(shù)據(jù)庫(kù)中的安全，包含數(shù)據(jù)的私密性安全與完整性安全。此方案的詳細(xì)內(nèi)容請(qǐng)參考第6章。安全治理的方案安全治理的方案包含兩個(gè)部分，分不為密鑰的安全治理與防病毒的安全治理。密鑰的安全治理是描述密鑰在生成﹑公布﹑備份﹑刪除上的安全治理措施。防病毒安全治理是描述服務(wù)器與終端設(shè)備上防止病毒感染與病毒散步的安全治理措施。此方案的詳細(xì)內(nèi)容請(qǐng)參考第7章。本方案所涵蓋的安區(qū)方案對(duì)應(yīng)于OSA的安全架構(gòu)，可用下表講明：安全標(biāo)準(zhǔn)對(duì)應(yīng)章節(jié)1對(duì)應(yīng)章節(jié)2對(duì)應(yīng)章節(jié)3身份驗(yàn)證3.身份驗(yàn)證訪問(wèn)操縱4.授權(quán)操縱私密性5.1網(wǎng)絡(luò)安全5.2.1.交易信息敏感性數(shù)據(jù)加密6.存儲(chǔ)安全完整性5.2.2.交易數(shù)據(jù)完整性辨識(shí)性5.2.4服務(wù)器間驗(yàn)證不可否認(rèn)性5.2應(yīng)用安全在本方案的最后，針對(duì)各章所提出的各種方案，依據(jù)各個(gè)方案的優(yōu)劣點(diǎn)，提出建議實(shí)施的內(nèi)容，作為新一代核心系統(tǒng)安全方案實(shí)施上的考量。

目前核心系統(tǒng)安全現(xiàn)況及新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全需求目前核心系統(tǒng)安全現(xiàn)況業(yè)務(wù)范圍目前華夏銀行的2K版核心系統(tǒng)是采納各個(gè)分行分散式作業(yè)方式，華夏銀行有28個(gè)分行，下轄大約總共300個(gè)支行；28個(gè)分行分布于全國(guó)各地，北從沈陽(yáng)分行，南到深圳分行，西起烏魯木齊分行，東達(dá)上海分行，幅員分布寬敞。2K版核心系統(tǒng)業(yè)務(wù)包含存款、放款等業(yè)務(wù)系統(tǒng)；其他的相關(guān)業(yè)務(wù)系統(tǒng)與治理系統(tǒng)皆各自建設(shè)在不同的外圍系統(tǒng)上；每個(gè)分行有各自的外圍系統(tǒng)，透過(guò)分行前置系統(tǒng)與2K版核心系統(tǒng)連接；各個(gè)分行有各自的中間特色業(yè)務(wù)系統(tǒng)，分行間的中間特色業(yè)務(wù)不盡全部相同；各個(gè)分行有各自的分行前置系統(tǒng)負(fù)責(zé)分行/支行間的業(yè)務(wù)交易處理。系統(tǒng)架構(gòu)華夏銀行目前正進(jìn)行大前置系統(tǒng)項(xiàng)目，要將所有分行前置系統(tǒng)整合為一個(gè)集中式的總行綜合前置系統(tǒng)及分行前置系統(tǒng)；同時(shí)將中間特色業(yè)務(wù)系統(tǒng)全部整合在總行綜合前置系統(tǒng)與分行前置系統(tǒng)上?，F(xiàn)有2K版核心系統(tǒng)后臺(tái)的操作系統(tǒng)是AIX，前臺(tái)VOST柜面系統(tǒng)服務(wù)器的操作系統(tǒng)是SCOUnix，前臺(tái)柜面終端機(jī)的操作系統(tǒng)是SCOUnix。前臺(tái)VOST柜面系統(tǒng)服務(wù)器放置在支行負(fù)責(zé)連接支行柜面交易與分行間的處理；有部分分行將前臺(tái)VOST柜面系統(tǒng)服務(wù)器上收到分行端，有分行統(tǒng)一治理前端柜面系統(tǒng)。系統(tǒng)應(yīng)用安全現(xiàn)況目前2K系統(tǒng)的交易處理是由各個(gè)支行的柜面服務(wù)器到分行2K版核心系統(tǒng)，交易處理上是除了客戶(hù)密碼是以軟件加密方式處理外，其他的交易數(shù)據(jù)是沒(méi)通過(guò)加密處理，完全是以明碼方式傳送。這種處理方式，對(duì)於交易信息的安全是無(wú)任何的保障；不安全阻礙所及的范圍涵蓋分行及下轄的支行職員與客戶(hù)，對(duì)於客戶(hù)資產(chǎn)及銀行數(shù)據(jù)是完全沒(méi)有任何的愛(ài)護(hù)。

新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全需求遵循華夏安全準(zhǔn)則需求依”華夏銀行大集中項(xiàng)目信息系統(tǒng)信息安全等級(jí)愛(ài)護(hù)要求1103.doc”文檔的規(guī)范，要緊是著重在安全差不多要求上的技術(shù)類(lèi)安全要求，對(duì)於治理類(lèi)安全要求，需依照華夏銀行的安全治理規(guī)范或安全治理方法等條款辦理。新一代核心業(yè)務(wù)系統(tǒng)應(yīng)用安全需求，是以差不多技術(shù)要求中的應(yīng)用安全和數(shù)據(jù)安全等兩方面的安全要求來(lái)規(guī)劃。技術(shù)類(lèi)安全上，則是側(cè)重在業(yè)務(wù)信息安全類(lèi)，要緊是愛(ài)護(hù)數(shù)據(jù)在存儲(chǔ)、傳輸、處理過(guò)程中不被泄漏、破壞和免受未授權(quán)的修改。業(yè)務(wù)服務(wù)保證類(lèi)與通用安全愛(ài)護(hù)類(lèi)的安全需求，對(duì)愛(ài)護(hù)系統(tǒng)連續(xù)正常的運(yùn)行及愛(ài)護(hù)系統(tǒng)的連續(xù)可用性需由新一代核心業(yè)務(wù)系統(tǒng)主機(jī)廠商對(duì)硬件及操作系統(tǒng)相關(guān)的建設(shè)與實(shí)施，同時(shí)華夏銀行負(fù)責(zé)運(yùn)行部門(mén)需訂定相關(guān)的安全治理規(guī)范來(lái)保證系統(tǒng)的正常連續(xù)運(yùn)作。有關(guān)主機(jī)系統(tǒng)安全的規(guī)范，需由新一代核心業(yè)務(wù)系統(tǒng)主機(jī)廠商來(lái)提供硬件及操作系統(tǒng)相關(guān)的安全數(shù)據(jù)；數(shù)據(jù)庫(kù)系統(tǒng)的安全需由數(shù)據(jù)庫(kù)廠商提供相關(guān)的安全數(shù)據(jù)。網(wǎng)絡(luò)安全需由相關(guān)的路由器、交換機(jī)、通信線(xiàn)路等在內(nèi)的廠商提供相關(guān)的信息系統(tǒng)網(wǎng)絡(luò)環(huán)境的安全數(shù)據(jù)。詳細(xì)有關(guān)安全需求等級(jí)的規(guī)范對(duì)比，請(qǐng)?jiān)斎绫疚臋n的附件章節(jié)。業(yè)務(wù)范圍新一代核心系統(tǒng)業(yè)務(wù)范圍包含：存款、放款、華夏卡、支付結(jié)算等，所有的銀行客戶(hù)業(yè)務(wù)交易信息，皆與核心系統(tǒng)息息相關(guān)，是銀行業(yè)務(wù)處理中最重要的部分。系統(tǒng)架構(gòu)新一代核心系統(tǒng)是采納集中式的作業(yè)方式處理，全國(guó)各地分行所有的交易全部都經(jīng)由全行網(wǎng)絡(luò)送到總行的新核心系統(tǒng)處理。新一代核心業(yè)務(wù)系統(tǒng)，除了新一代核心系統(tǒng)外，尚有總帳系統(tǒng)、總行綜合前置系統(tǒng)、55個(gè)(與新一代核心系統(tǒng)有接口關(guān)系的)外圍系統(tǒng)、核心配套外圍系統(tǒng)(從2K系統(tǒng)獨(dú)立出來(lái)的系統(tǒng)，如:人行大/小額系統(tǒng)、理財(cái)系統(tǒng)、卡記點(diǎn)積分系統(tǒng)等)及其他系統(tǒng)等(與新一代核心系統(tǒng)無(wú)接口關(guān)系，如:人力資源系統(tǒng)、稽核系統(tǒng)等)。新一代核心系統(tǒng)負(fù)責(zé)面向客戶(hù)治理的交易處理作業(yè)；總帳系統(tǒng)負(fù)責(zé)面向華夏內(nèi)部治理的后勤處理作業(yè)；綜合前置系統(tǒng)負(fù)責(zé)華夏銀行總行面向外部的交易處理(如對(duì)分行/支行交易處理、外圍系統(tǒng)交易處理、中間特色業(yè)務(wù)系統(tǒng)交易處理、面向各種渠道交易處理、銀聯(lián)中心/銀關(guān)通/銀證通/財(cái)稅庫(kù)行/人民銀行等外圍金融機(jī)構(gòu)的交易處理)，是華夏銀行業(yè)務(wù)處理的重要把關(guān)門(mén)戶(hù)。新一代核心系統(tǒng)(BANCS)、前端柜面系統(tǒng)(BANCSLink)及柜員終端機(jī)的交易處理是采納集中式的作業(yè)方式，新一代核心系統(tǒng)產(chǎn)品并未有應(yīng)用信息安全處理機(jī)制；目前華夏銀行使用對(duì)客戶(hù)密碼采納軟件加密的方式，對(duì)於最重要的新一代核心業(yè)務(wù)系統(tǒng)是無(wú)法滿(mǎn)足應(yīng)用信息安全的需要；加上目前外在環(huán)境的變化與智慧型網(wǎng)絡(luò)犯罪的盛行，無(wú)法防范這些種種的威脅，對(duì)華夏銀行及所有客戶(hù)的整體阻礙更是深遠(yuǎn)。應(yīng)用安全需求及處理應(yīng)用安全的規(guī)劃，將從國(guó)際上的應(yīng)用數(shù)據(jù)的安全標(biāo)準(zhǔn)(應(yīng)用安全及傳輸安全)、安全原則(數(shù)據(jù)的真實(shí)性(私密性)、完整性(唯一性)、機(jī)密性(身份認(rèn)證)和不可抵賴(lài)性(不可否認(rèn)性))及安全需求，來(lái)逐步講明。同時(shí)，在應(yīng)用安全上需要搭配相關(guān)的硬件/軟件加密設(shè)備來(lái)進(jìn)行敏感性數(shù)據(jù)加密；在網(wǎng)絡(luò)上需要采納鏈路加密設(shè)備，來(lái)處理網(wǎng)絡(luò)層的傳輸安全需求。

安全標(biāo)準(zhǔn)、原則及需求安全標(biāo)準(zhǔn)應(yīng)用的安全標(biāo)準(zhǔn)安全上的標(biāo)準(zhǔn)要緊有兩種：數(shù)據(jù)加密標(biāo)準(zhǔn)(DES:DataEncryptionStandard)與公開(kāi)密鑰法則(PKI:PublicKeyAlgorithm)。數(shù)據(jù)加密標(biāo)準(zhǔn)(DES):需要產(chǎn)生一對(duì)密鑰，必須要將自己產(chǎn)生的另一個(gè)密鑰發(fā)送給對(duì)方，本身端用自己的密鑰加密，對(duì)方端用所送的密鑰去解密。一般應(yīng)用在數(shù)據(jù)的端對(duì)端的加密/解密使用，普遍用於金融機(jī)構(gòu)的數(shù)據(jù)加密/解密。另外對(duì)數(shù)據(jù)加密的強(qiáng)化，采納TripleDES的加密方式。公開(kāi)密鑰法則(PKI):需要產(chǎn)生一對(duì)鑰值，分為公鑰及密鑰，自己保留密鑰，公鑰發(fā)送給對(duì)方。本身用密鑰對(duì)數(shù)據(jù)加密，對(duì)方用所送的公鑰驗(yàn)證數(shù)據(jù)的正確性。一般應(yīng)用在網(wǎng)絡(luò)電子交易的加密/解密處理。傳輸?shù)陌踩珮?biāo)準(zhǔn)網(wǎng)絡(luò)層傳輸?shù)陌踩珮?biāo)準(zhǔn)，要緊有幾種，如：SSL(SecureSocketLayer)、VPN(VirtualPrivateNetwork)等來(lái)防護(hù)數(shù)據(jù)傳輸?shù)陌踩?。一般?yīng)用在網(wǎng)絡(luò)層的數(shù)據(jù)傳輸加密/解密使用。業(yè)界一般常用的方式是SSL，但VPN的安全性較SSL的安全性高。安全原則參考國(guó)際的安全準(zhǔn)則要求及目前相關(guān)的安全解決方案，不管是動(dòng)態(tài)口令、USB-Key或數(shù)字證書(shū)(Certificate)方案，應(yīng)用上的安全或是傳輸過(guò)程中的安全要求，皆能實(shí)現(xiàn)數(shù)據(jù)的真實(shí)性(私密性)、完整性(唯一性)、機(jī)密性(身份認(rèn)證)和不可抵賴(lài)性(不可否認(rèn)性)。安全需求安全需求，不管是應(yīng)用的安全需求或是傳輸?shù)陌踩枨?，從安全要求的四大要素真?shí)性(私密性)、完整性(唯一性)、機(jī)密性(身份認(rèn)證)和不可抵賴(lài)性(不可否認(rèn)性)，來(lái)進(jìn)行應(yīng)用安全的處理。私密/真實(shí)性：確認(rèn)數(shù)據(jù)輸入的私密/真實(shí)性要緊是保證數(shù)據(jù)是由發(fā)送方所發(fā)送的原始數(shù)據(jù)。為了達(dá)到真實(shí)性的需求，必須對(duì)輸入的數(shù)據(jù)進(jìn)行加工，保持原始數(shù)據(jù)於傳輸過(guò)程中與原來(lái)是一樣的。數(shù)據(jù)加工的方法之一既是對(duì)數(shù)據(jù)進(jìn)行加密處理，保證送達(dá)的是原始數(shù)據(jù)。加密處理可采納DES或PKI方式加密，對(duì)於數(shù)據(jù)量大或是加密頻繁的交易，采納DES加密方式會(huì)比用PKI加密方式效率較好。PKI加密方式較適合於數(shù)據(jù)量小或是加密頻繁性低的交易。完整/唯一性：確認(rèn)數(shù)據(jù)在傳輸?shù)倪^(guò)程中不至於被篡改要緊是保證數(shù)據(jù)於傳輸過(guò)程中，可不能被內(nèi)部/外部人員篡改，保證原來(lái)的數(shù)據(jù)值。為了達(dá)到完整性的需求，必須保障數(shù)據(jù)的完整性及可不能於傳輸過(guò)程中被人篡改。做法上是采納發(fā)送者的密鑰對(duì)整個(gè)數(shù)據(jù)驗(yàn)算出一個(gè)MAC值，連同數(shù)據(jù)一起發(fā)送給收信方；若數(shù)據(jù)於傳輸過(guò)程中被篡改，受信方於受到數(shù)據(jù)后，用發(fā)送方所給予的密鑰(DES)/公鑰(PKI)對(duì)整個(gè)數(shù)據(jù)驗(yàn)算出一個(gè)MAC值，進(jìn)行驗(yàn)證時(shí)，所驗(yàn)算出來(lái)的MAC值與發(fā)送者發(fā)送時(shí)所產(chǎn)生的MAC值不相同，即可確定數(shù)據(jù)被篡改。機(jī)密性/身份確認(rèn)：確認(rèn)數(shù)據(jù)發(fā)送者的身份正確性要緊是確認(rèn)數(shù)據(jù)發(fā)送者的身份是正確的，不是由其他人發(fā)送或有人假冒身份發(fā)送數(shù)據(jù)。機(jī)密性的確認(rèn)，做法上采納發(fā)送者所提供的密鑰(DES)/公鑰(PKI)對(duì)整個(gè)數(shù)據(jù)進(jìn)行驗(yàn)算出一個(gè)MAC值，所驗(yàn)算出來(lái)的MAC值與發(fā)送者發(fā)送時(shí)所產(chǎn)生的MAC值相同，即可確認(rèn)數(shù)據(jù)發(fā)送者的身份正確性。不可否認(rèn)/不可抵賴(lài)性：確認(rèn)數(shù)據(jù)的正確及完整性要緊是確認(rèn)整個(gè)數(shù)據(jù)的完整性及正確性與由發(fā)送者發(fā)送的數(shù)據(jù)是相同的，發(fā)送者無(wú)法否定此份數(shù)據(jù)不是由發(fā)送者所發(fā)送。不可否認(rèn)性的確認(rèn)，做法上采納發(fā)送者所提供的密鑰(DES)/公鑰(PKI)對(duì)整個(gè)數(shù)據(jù)進(jìn)行驗(yàn)算一個(gè)MAC值，所驗(yàn)算出來(lái)的MAC值與發(fā)送者發(fā)送時(shí)所產(chǎn)生的MAC值相同，即可確認(rèn)數(shù)據(jù)的正確及完整性。網(wǎng)絡(luò)傳輸?shù)陌踩枨缶W(wǎng)絡(luò)傳輸?shù)膬?nèi)部安全需求由於新一代核心系統(tǒng)才集中式作業(yè)處理，從華夏銀行的支行/分行所發(fā)送的交易，全部經(jīng)由網(wǎng)絡(luò)傳送到總行處理。除了上述的四點(diǎn)安全上的需求外，尚需要加入內(nèi)部網(wǎng)絡(luò)的傳輸安全布置(內(nèi)部系統(tǒng)安全操縱治理，如VPN/SSL/加密處理)才能完整的防護(hù)數(shù)據(jù)的安全。支行/分行的網(wǎng)絡(luò)傳輸應(yīng)用安全需求，是華夏銀行內(nèi)部網(wǎng)絡(luò)的交易，是固定/靜態(tài)的交易處理；安全需求及防護(hù)上處理需要與外部不同。尤其內(nèi)部的安全威脅及安全被破壞性大於外部。(內(nèi)賊難防)網(wǎng)絡(luò)傳輸?shù)耐獠堪踩枨笥伸缎乱淮诵南到y(tǒng)才集中式作業(yè)處理，從不同渠道的交易也會(huì)經(jīng)由網(wǎng)絡(luò)傳送到總行處理。除了上述的四點(diǎn)安全上的需求外，尚需要加入外部的網(wǎng)絡(luò)傳輸安全布置(如動(dòng)態(tài)口令)才能完整的防護(hù)數(shù)據(jù)的安全。渠道的網(wǎng)絡(luò)交易安全需求，是華夏銀行外部網(wǎng)絡(luò)的交易，是不固定/動(dòng)態(tài)的交易處理；安全需求及防護(hù)上處理需要與內(nèi)部不同。外部的安全威脅及安全被破壞性小於內(nèi)部，但若是內(nèi)部連同外部進(jìn)行安全破壞，更是難防護(hù)。(外賊難防，內(nèi)賊更難防)

身份驗(yàn)證身份驗(yàn)證方式新一代核心系統(tǒng)的用戶(hù)包含了分行或支行的行員。分行與支行的行員差不多上透過(guò)BANCSLink登入到核心系統(tǒng)(BANCS)或是其他的外圍系統(tǒng)。因此，不論核心系統(tǒng)(BANCS)或是外圍系統(tǒng)都需要對(duì)登入的用戶(hù)進(jìn)行身份的核驗(yàn)工作，確認(rèn)登入者的身份，以利控管系統(tǒng)操作存取的權(quán)限。本建議書(shū)中，關(guān)于身份驗(yàn)證的機(jī)制，提供兩個(gè)方案的選擇，分不是動(dòng)態(tài)口令驗(yàn)證與USB-Key驗(yàn)證方案。動(dòng)態(tài)口令驗(yàn)證方案動(dòng)態(tài)口令驗(yàn)證的方式是設(shè)置并發(fā)放給每一個(gè)用戶(hù)一個(gè)動(dòng)態(tài)口令盤(pán)。用戶(hù)登入系統(tǒng)時(shí)，采納以下的步驟：用戶(hù)利用動(dòng)態(tài)口令盤(pán)產(chǎn)生動(dòng)態(tài)口令。用戶(hù)再將動(dòng)態(tài)口令輸入登入頁(yè)面的口令空格。應(yīng)用系統(tǒng)服務(wù)端透過(guò)動(dòng)態(tài)口令服務(wù)系統(tǒng)驗(yàn)證動(dòng)態(tài)口令是否正確，均定是否同意用戶(hù)登入。動(dòng)態(tài)口令驗(yàn)證方案建議采納市面上成熟的動(dòng)態(tài)口令系統(tǒng)，整合現(xiàn)有的應(yīng)用系統(tǒng)實(shí)現(xiàn)用戶(hù)統(tǒng)一的登入身份驗(yàn)證方法。動(dòng)態(tài)口令系統(tǒng)建置一般包含下列的步驟：引進(jìn)并建置動(dòng)態(tài)密碼服務(wù)器系統(tǒng)。規(guī)劃用戶(hù)差不多信息與動(dòng)態(tài)口令數(shù)據(jù)間的關(guān)系結(jié)構(gòu)。規(guī)劃動(dòng)態(tài)口令盤(pán)的設(shè)置﹑發(fā)放﹑回收等作業(yè)程序與治理措施。依據(jù)動(dòng)態(tài)口令盤(pán)的作業(yè)程序與治理措施，開(kāi)發(fā)或客戶(hù)化修改動(dòng)態(tài)口令盤(pán)的治理應(yīng)用系統(tǒng)。應(yīng)用系統(tǒng)配合動(dòng)態(tài)口令服務(wù)系統(tǒng)的登入驗(yàn)證程序修改。動(dòng)態(tài)口令驗(yàn)證方案有下列的優(yōu)點(diǎn)：使用方便。用戶(hù)只需使用動(dòng)態(tài)口令盤(pán)在每次登入時(shí)產(chǎn)生口令即可。用戶(hù)終端設(shè)備無(wú)需安裝任何的操縱軟件與提供任何額外的接口。應(yīng)用系統(tǒng)整合容易。應(yīng)用系統(tǒng)只需于登入時(shí)調(diào)用動(dòng)態(tài)口令系統(tǒng)提供的接口。動(dòng)態(tài)口令驗(yàn)證方案有下列的缺點(diǎn)：一般的動(dòng)態(tài)口令無(wú)法使用于交易數(shù)據(jù)的簽名。由于動(dòng)態(tài)口令盤(pán)大多是采納離線(xiàn)作業(yè)方式，因此無(wú)法以連線(xiàn)偵測(cè)方式，偵測(cè)用戶(hù)是否離席。USB-Key驗(yàn)證方案USB-Key驗(yàn)證方式是在USB-Key或IC卡上設(shè)置用戶(hù)差不多信息以及登入密鑰，并發(fā)放給用戶(hù)使用。用戶(hù)登入系統(tǒng)時(shí)，采納以下的步驟：將USB-Key插入終端設(shè)備或是將IC卡插入IC讀卡機(jī)內(nèi)。用戶(hù)輸入U(xiǎn)SB-Key或IC卡的開(kāi)啟口令后，由登入頁(yè)面自動(dòng)讀取USB-Key內(nèi)的用戶(hù)識(shí)不信息，并以登入密鑰產(chǎn)生登入驗(yàn)證碼。應(yīng)用服務(wù)端利用密鑰驗(yàn)證技術(shù)驗(yàn)證用戶(hù)的識(shí)不信息與驗(yàn)證碼是否相符，決定是否同意登入系統(tǒng)。USB-Key驗(yàn)證方案建議由有經(jīng)驗(yàn)的安全系統(tǒng)開(kāi)發(fā)商，依銀行的需求規(guī)劃建制一套符合需求的驗(yàn)證系統(tǒng)。USB-Key驗(yàn)證系統(tǒng)建置一般包含下列的步驟：規(guī)劃USB-Key內(nèi)的用戶(hù)驗(yàn)證信息與驗(yàn)證密鑰結(jié)構(gòu)與產(chǎn)生方法。規(guī)劃USB-Key的設(shè)置﹑發(fā)放﹑回收等作業(yè)程序與治理措施。依據(jù)USB-Key的作業(yè)程序與治理措施，開(kāi)發(fā)USB-Key的治理應(yīng)用系統(tǒng)，與驗(yàn)證服務(wù)系統(tǒng)。應(yīng)用系統(tǒng)配合USB-Key驗(yàn)證服務(wù)系統(tǒng)的登入驗(yàn)證程序修改。以及登入頁(yè)面配合USB-Key登入驗(yàn)證控件驗(yàn)證程序修改。USB-Key驗(yàn)證方案有以下的優(yōu)點(diǎn)：采納雙因素強(qiáng)驗(yàn)證(包含USB-Key以及USB-Key的開(kāi)啟口令)。USB-Key與終端設(shè)備采納連線(xiàn)方式，可隨時(shí)驗(yàn)證用戶(hù)是否離席。USB-Key可采納雙芯片(有線(xiàn)與無(wú)線(xiàn))設(shè)計(jì)，于門(mén)禁系統(tǒng)結(jié)合。USB-Key可擴(kuò)充加載數(shù)字證書(shū)，提供重要交易的數(shù)字簽名功能。USB-Key驗(yàn)證方式有以下的缺點(diǎn)：市場(chǎng)上無(wú)統(tǒng)一標(biāo)準(zhǔn)的產(chǎn)品，需要開(kāi)發(fā)建置。用戶(hù)終端設(shè)備上需提供USB接口(采納USB-Key)或是IC讀卡機(jī)(采納IC卡)。用戶(hù)終端設(shè)備上需安裝USB-Key的相關(guān)控件(可由登入頁(yè)面自動(dòng)下載安裝)。應(yīng)用系統(tǒng)整合較為復(fù)雜，登入頁(yè)面需依照USB-Key登入驗(yàn)證程序修改。身份驗(yàn)證方案建議實(shí)施方式與實(shí)施時(shí)期由于新一代核心系統(tǒng)的整體系統(tǒng)架構(gòu)復(fù)雜，而且有許多的外圍系統(tǒng)。因此實(shí)施方案上，建議分為初期實(shí)施范圍與后續(xù)時(shí)期實(shí)施范圍。在實(shí)施方式上，建議采納以下的實(shí)施方式：由BANCSLink提供統(tǒng)一的登入頁(yè)面，讓用戶(hù)登入。BANCSLink將用戶(hù)提交的身份驗(yàn)證數(shù)據(jù)，轉(zhuǎn)發(fā)給核心服務(wù)系統(tǒng)(BANCS)或外圍系統(tǒng)。核心服務(wù)系統(tǒng)與外圍系統(tǒng)，各自透過(guò)統(tǒng)一的身份驗(yàn)證服務(wù)系統(tǒng)驗(yàn)證用戶(hù)提交的身份驗(yàn)證數(shù)據(jù)是否符合，決定是否同意登入系統(tǒng)。在實(shí)施時(shí)期范圍上，建議采納以下的方式：在初期時(shí)期的實(shí)施范圍，建議只有核心服務(wù)系統(tǒng)(BANCS)。其它各外圍系統(tǒng)仍保留原有的身份驗(yàn)證方式。后續(xù)時(shí)期再逐一修給各個(gè)外圍系統(tǒng)，將身份驗(yàn)證機(jī)制轉(zhuǎn)移至統(tǒng)一的身份驗(yàn)證服務(wù)系統(tǒng)上。身份驗(yàn)證系統(tǒng)架構(gòu)方案單一入口服務(wù)系統(tǒng)(Portal)架構(gòu)方案為了讓用戶(hù)有一個(gè)統(tǒng)一的入口與統(tǒng)一的身份驗(yàn)證機(jī)制，能夠采納的方案之一是建置一套單一入口服務(wù)系統(tǒng)（PortalServer），負(fù)責(zé)提供用戶(hù)的單一入口驗(yàn)證與用戶(hù)權(quán)限治理機(jī)制。由單一入口系統(tǒng)提供所有系統(tǒng)，包含新核心系統(tǒng)﹑外圍系統(tǒng)，統(tǒng)一的服務(wù)入口。單一入口系統(tǒng)所提供的功能不僅只是單一的登入入口(Single-Sign-On)，還包含整合用戶(hù)與應(yīng)用系統(tǒng)間的Session控管，以及用戶(hù)對(duì)業(yè)務(wù)功能的權(quán)限治理等。單一入口系統(tǒng)方案的實(shí)施，必須通過(guò)下列的步驟：引進(jìn)并建置一套單一入口服務(wù)系統(tǒng)。規(guī)劃單一入口系統(tǒng)的身份驗(yàn)證方案與業(yè)務(wù)權(quán)限控管方案。規(guī)劃各業(yè)務(wù)系統(tǒng)，包含核心系統(tǒng)﹑外圍系統(tǒng)與單一入口系統(tǒng)間的Session操縱流程。規(guī)劃單一入口系統(tǒng)上，各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)與功能架構(gòu)。依照規(guī)劃方案客戶(hù)化單一入口系統(tǒng)。依照規(guī)劃方案修改或改造應(yīng)用系統(tǒng)的Session控管機(jī)制與業(yè)務(wù)權(quán)限控管機(jī)制。依照規(guī)劃方案修改或改造應(yīng)用系統(tǒng)的業(yè)務(wù)與功能架構(gòu)。單一入口系統(tǒng)方案盡管可提供全面的用戶(hù)單一服務(wù)入口，然而在實(shí)施上會(huì)面臨下列的問(wèn)題：?jiǎn)我蝗肟谙到y(tǒng)的架構(gòu)所考慮的不僅是統(tǒng)一登入入口的實(shí)施，更應(yīng)該考慮所有業(yè)務(wù)架構(gòu)的統(tǒng)一性與整合性。單一入口系統(tǒng)關(guān)于各應(yīng)用系統(tǒng)將的整合有一定的規(guī)范與標(biāo)準(zhǔn)(如JSR168)。各應(yīng)用系統(tǒng)必須依照規(guī)范與標(biāo)準(zhǔn)進(jìn)行大幅度的修改或是改造。BANCS與BANCSLink間的協(xié)定是采納新一代核心系統(tǒng)自有的協(xié)定，對(duì)采納單一入口的標(biāo)準(zhǔn)(如JSR168)，有實(shí)施上的極大困難。各分行的入口實(shí)際上是透過(guò)各分行所配置的BANCSLink服務(wù)器登入，并非直接的在單一入口系統(tǒng)(Portal)上登入。因此在系統(tǒng)架構(gòu)上的配置會(huì)有困難度。在面臨以上困難的狀況下，關(guān)于單一服務(wù)入口系統(tǒng)的實(shí)現(xiàn)，建議采納下列的方案：系統(tǒng)架構(gòu)BANCS與BANCSLink間仍采納原有架構(gòu)與協(xié)定。BANCSLink透過(guò)單一入口服務(wù)系統(tǒng)驗(yàn)證用戶(hù)身份，并登入。BANCSLink以單一入口服務(wù)系統(tǒng)回應(yīng)的登入識(shí)不碼，發(fā)送登入信息給BANCS，由BANCS在透過(guò)單一入口服務(wù)系統(tǒng)的登入識(shí)不碼驗(yàn)證機(jī)制進(jìn)行虛擬身份驗(yàn)證。BANCS提供的業(yè)務(wù)功能，不透過(guò)單一入口服務(wù)系統(tǒng)，由BANCS自行治理用戶(hù)的權(quán)限。其它的外圍系統(tǒng)，均必須依據(jù)JSR168標(biāo)準(zhǔn)，修改或改造應(yīng)用系統(tǒng)，與單一入口服務(wù)系統(tǒng)整合，透過(guò)但一入口服務(wù)系統(tǒng)調(diào)用業(yè)務(wù)應(yīng)用服務(wù)。單一入口服務(wù)系統(tǒng)方案有以下列的優(yōu)點(diǎn)：可達(dá)到用戶(hù)單一的服務(wù)入口。可提供用戶(hù)統(tǒng)一的業(yè)務(wù)權(quán)限治理。單一入口服務(wù)系統(tǒng)方案也有下列的缺點(diǎn)：系統(tǒng)復(fù)雜度高，需要詳細(xì)的規(guī)劃?，F(xiàn)有系統(tǒng)(包含核心系統(tǒng)與外圍系統(tǒng))的配合實(shí)施難度高。由于新一代核心系統(tǒng)的BANCS與BANCSLink間采納自有的協(xié)定，關(guān)于單一入口服務(wù)協(xié)定標(biāo)準(zhǔn)的配合可行性有待商榷。

獨(dú)立身份驗(yàn)證服務(wù)器架構(gòu)方案另一種比較單純的方案是建立一套獨(dú)立的身份驗(yàn)證服務(wù)系統(tǒng)，提供新核心系統(tǒng)(BANCS)以及外圍系統(tǒng)統(tǒng)一的身份驗(yàn)證機(jī)制。此種方案的實(shí)施必須有下列的步驟：開(kāi)發(fā)建置一套獨(dú)立的身份驗(yàn)證服務(wù)系統(tǒng)。獨(dú)立身份驗(yàn)證服務(wù)系統(tǒng)搭配選定的身份驗(yàn)證機(jī)制(動(dòng)態(tài)口令或USB-Key)，實(shí)現(xiàn)身份驗(yàn)證功能。BANCS以及外圍系統(tǒng)的登入功能依照獨(dú)立身份驗(yàn)證服務(wù)系統(tǒng)提供的身份驗(yàn)證接口，修改登入驗(yàn)證程序。此方案的系統(tǒng)架構(gòu)圖如下圖：此方案有以下的優(yōu)點(diǎn)：系統(tǒng)架構(gòu)較為單純，實(shí)施較為容易﹑省時(shí)?？商峁┙y(tǒng)一的用戶(hù)身份驗(yàn)證，用戶(hù)不需針對(duì)不同的應(yīng)用系統(tǒng)使用不同的登入代碼﹑密碼，甚至登入方式。應(yīng)用系統(tǒng)(包含核心系統(tǒng)與外圍系統(tǒng))的修改幅度較小，容易整合。此方案也有以下的缺點(diǎn)：無(wú)法達(dá)到單一登入入口的服務(wù)水平，用戶(hù)仍要在各個(gè)應(yīng)用系統(tǒng)(包含核心系統(tǒng)與外圍系統(tǒng))執(zhí)行登入動(dòng)作。授權(quán)操縱目前華夏銀行新一代核心系統(tǒng)項(xiàng)目，除了新核心系統(tǒng)、總帳系統(tǒng)及綜合前置系統(tǒng)外，與新核心系統(tǒng)相關(guān)的外圍系統(tǒng)約有55個(gè)系統(tǒng)。於目前的時(shí)空環(huán)境下，也無(wú)法將所有的外圍系統(tǒng)前臺(tái)柜面界面全部轉(zhuǎn)換為BANCSLink前臺(tái)柜面界面；部分的外圍系統(tǒng)前臺(tái)柜面環(huán)境將使用原來(lái)的前臺(tái)柜面系統(tǒng)處理交易。同時(shí)，外圍系統(tǒng)后臺(tái)應(yīng)用處理也是與新一代核心系統(tǒng)分開(kāi)，各自處理各自的交易；核心系統(tǒng)及各個(gè)外圍系統(tǒng)各自處理各個(gè)系統(tǒng)的交易授權(quán)。於此情況下，對(duì)於柜員的業(yè)務(wù)處理授權(quán)可能無(wú)一致性的授權(quán)方式，每個(gè)系統(tǒng)必須自行處理交易授權(quán)?？紤]現(xiàn)實(shí)的狀態(tài)及可行性的做法，有關(guān)授權(quán)操縱將從建立一套完整的安全治理流程開(kāi)始，再依目前狀態(tài)，建立一個(gè)授權(quán)系統(tǒng)架構(gòu)，來(lái)建設(shè)整體的授權(quán)操縱治理。

授權(quán)治理架構(gòu)授權(quán)操縱從系統(tǒng)建設(shè)時(shí)開(kāi)始，訂定一套完整的安全治理流程；從系統(tǒng)安全組織建立開(kāi)始，先建立系統(tǒng)原始安全控管人員，再由原始安全控管人員建立系統(tǒng)安全操縱人員，再由系統(tǒng)安全操縱人員建立業(yè)務(wù)交易的授權(quán)安全治理。授權(quán)操縱講明如下：授權(quán)組織架構(gòu)方案授權(quán)組織架構(gòu)授權(quán)治理建議依業(yè)務(wù)不與工作職責(zé)的劃分，分不建立個(gè)不的群組授權(quán)，例如：依工作職責(zé)劃分的群組權(quán)限，將每個(gè)職員分為不同的群組，每個(gè)群組的授權(quán)依其工作職責(zé)給與不同的權(quán)限；每個(gè)職員可能屬於一個(gè)以上的群組。主管有核準(zhǔn)的權(quán)限，但沒(méi)有執(zhí)行交易的權(quán)限經(jīng)辦/柜員有執(zhí)行交易的權(quán)限，但沒(méi)有核準(zhǔn)的權(quán)限每個(gè)單位皆有自己職責(zé)的不同權(quán)限建立安全治理群組經(jīng)辦，負(fù)責(zé)建立每個(gè)職員/主管代號(hào)及授權(quán)建立安全治理群組主管，負(fù)責(zé)核準(zhǔn)新建立的職員/主管及授權(quán)

授權(quán)治理流程系統(tǒng)建置安全操縱流程管系統(tǒng)建置時(shí)，由廠商或華夏銀行安全人員建立兩位系統(tǒng)原始安全控管人員(一位為經(jīng)辦，一位為主管).此兩位原始安全控管人員，只限制在新增本系統(tǒng)所需要使用的安全控管人員安全控管人員先建立每個(gè)群組的交易權(quán)限(登錄/核準(zhǔn))再建立每個(gè)使用者數(shù)據(jù)（信息）定義每個(gè)使用者所屬分行代號(hào)及群組權(quán)限，并付予密碼初始值(登錄/核準(zhǔn))使用者使用者於前端柜面登入系統(tǒng)(使用者第一次登入系統(tǒng)時(shí)，需要更改初始密碼)登入系統(tǒng)檢查使用者狀態(tài)及使用者密碼無(wú)誤后，即可進(jìn)入xxxxxxxxxxx系統(tǒng).(現(xiàn)在會(huì)依使用者的交易權(quán)限顯示交易功能清單畫(huà)面)

安全治理流程安全治理群組的經(jīng)辦員，依其權(quán)限能夠登錄使用者數(shù)據(jù)維護(hù)及群組數(shù)據(jù)維護(hù)安全治理群組的主管，依其權(quán)限能夠放行登錄使用者數(shù)據(jù)異動(dòng)及群組數(shù)據(jù)異動(dòng)各項(xiàng)參數(shù)維護(hù)、使用者數(shù)據(jù)查詢(xún)、群組數(shù)據(jù)查詢(xún)、使用者/群組數(shù)據(jù)明細(xì)表、使用者異動(dòng)報(bào)表等，皆由安全治理群組人員負(fù)責(zé)維護(hù)

使用者數(shù)據(jù)治理流程使用者數(shù)據(jù)的建立及維護(hù)由安全治理人員負(fù)責(zé)。使用者數(shù)據(jù)包含使用者所屬的分行/支行數(shù)據(jù)、所屬權(quán)限群組、使用者名稱(chēng)及密碼等，同時(shí)使用者的登錄記錄及密碼錯(cuò)誤次數(shù)等數(shù)據(jù)，皆保留/存放，作為安控稽核憑證。

授權(quán)系統(tǒng)架構(gòu)方案SSO系統(tǒng)架構(gòu)方案SSO授權(quán)系統(tǒng)架構(gòu)是采納單一授權(quán)方式，經(jīng)由對(duì)使用者的一次授權(quán)，使用者可依授權(quán)於各個(gè)業(yè)務(wù)系統(tǒng)進(jìn)行業(yè)務(wù)操作處理。SSO授權(quán)系統(tǒng)架構(gòu)SSO系統(tǒng)授權(quán)流程如下：使用者登入時(shí)，經(jīng)由單一登入(SSO)登入單一登入網(wǎng)頁(yè)(PortalService)由單一登入網(wǎng)頁(yè)(PortalService)經(jīng)由登入服務(wù)器(AccessControlServer)，對(duì)使用者的代號(hào)與密碼進(jìn)行單一控管及驗(yàn)證，登入服務(wù)器(AccessControlServer)會(huì)將使用者的代號(hào)及密碼，一一轉(zhuǎn)換為后臺(tái)每個(gè)系統(tǒng)的使用者對(duì)應(yīng)代號(hào)及密碼，建立信任機(jī)制，登入每個(gè)系統(tǒng)；對(duì)使用者只要登入系統(tǒng)一次單一登入網(wǎng)頁(yè)(PortalService)會(huì)經(jīng)由授權(quán)服務(wù)器(AuthorityControlServer)獲得使用者所屬的群組於每個(gè)系統(tǒng)中的授權(quán)使用者於一次登入后，可進(jìn)入不同系統(tǒng)執(zhí)行被授權(quán)的交易處理授權(quán)服務(wù)器(AuthorityControlServer)中有使用者於每個(gè)系統(tǒng)的授權(quán)數(shù)據(jù)，達(dá)到單一(SSO)授權(quán)目的；授權(quán)服務(wù)器(AuthorityControlServer)需先建立與每個(gè)系統(tǒng)的授權(quán)信任機(jī)制。使用SSO系統(tǒng)架構(gòu)方案的優(yōu)點(diǎn)：?jiǎn)我?統(tǒng)一的授權(quán)治理方式，對(duì)以后新增業(yè)務(wù)系統(tǒng)或新增業(yè)務(wù)交易處理，依循此標(biāo)準(zhǔn)授權(quán)方式，建設(shè)特不方便/迅速方便/簡(jiǎn)化系統(tǒng)授權(quán)治理簡(jiǎn)化系統(tǒng)的交易處理流程使用SSO系統(tǒng)架構(gòu)方案的缺點(diǎn)：初期系統(tǒng)建置特不復(fù)雜，相關(guān)系統(tǒng)必需配合更改交易登入及交易授權(quán)建置成本較高獨(dú)立授權(quán)服務(wù)器架構(gòu)方案獨(dú)立授權(quán)服務(wù)器的授權(quán)方式，是在沒(méi)有建立單一簽入(SSO)的架構(gòu)下，建置一套獨(dú)立的授權(quán)機(jī)制，處理使用者的業(yè)務(wù)交易授權(quán)。獨(dú)立授權(quán)系統(tǒng)架構(gòu)獨(dú)立授權(quán)服務(wù)器授權(quán)流程如下：獨(dú)立授權(quán)服務(wù)器建立使用者的群組授權(quán)權(quán)限，與每個(gè)系統(tǒng)建立信任機(jī)制使用者登入系統(tǒng)完成后，由業(yè)務(wù)交易系統(tǒng)向獨(dú)立授權(quán)服務(wù)器發(fā)送驗(yàn)證信息，經(jīng)獨(dú)立授權(quán)服務(wù)器確認(rèn)后，使用者得進(jìn)行業(yè)務(wù)交易處理使用獨(dú)立授權(quán)服務(wù)器架構(gòu)方案的優(yōu)點(diǎn)：建置成本較低初期系統(tǒng)建置復(fù)雜性小，相關(guān)應(yīng)用系統(tǒng)更改幅度較小使用獨(dú)立授權(quán)服務(wù)器架構(gòu)方案的缺點(diǎn)：只能簡(jiǎn)化一部分系統(tǒng)授權(quán)治理對(duì)以后新增業(yè)務(wù)系統(tǒng)或新增業(yè)務(wù)交易處理，各個(gè)業(yè)務(wù)系統(tǒng)的改動(dòng)量較大無(wú)法簡(jiǎn)化系統(tǒng)的交易處理流程

傳輸安全傳輸安全包含兩個(gè)部分，網(wǎng)絡(luò)安全及應(yīng)用安全；網(wǎng)絡(luò)安全卓重在數(shù)據(jù)於網(wǎng)絡(luò)中傳輸時(shí)的安全防護(hù)，應(yīng)用安全注重於數(shù)據(jù)的加密處理，以防止數(shù)據(jù)被篡改。網(wǎng)絡(luò)安全應(yīng)用數(shù)據(jù)於廣域網(wǎng)絡(luò)或局網(wǎng)中傳輸時(shí)，若采納明碼傳輸方式會(huì)有安全上的顧慮，容易引起外部或內(nèi)部有意人的數(shù)據(jù)截取與篡改，造成安全上的問(wèn)題。數(shù)據(jù)傳輸安全性的考量，從整體的網(wǎng)絡(luò)及地理區(qū)域上分為下列幾項(xiàng)：支行到分行傳輸分行到總行傳輸總行服務(wù)器間傳輸外部網(wǎng)絡(luò)渠道傳輸對(duì)外機(jī)構(gòu)的傳輸鏈路加密機(jī)加密處理對(duì)於上述數(shù)據(jù)傳輸?shù)陌踩枨?，第一個(gè)考慮的重點(diǎn)是在網(wǎng)絡(luò)層加上網(wǎng)絡(luò)傳輸加密處理，建議於每個(gè)路由器前皆需要加一套鏈路加密機(jī)，負(fù)責(zé)網(wǎng)絡(luò)層的加密/解密處理。從支行的路由器開(kāi)始到分行/總行的路由器，皆需增加一套鏈路加密機(jī)。外圍系統(tǒng)間的網(wǎng)絡(luò)傳輸、外圍系統(tǒng)與核心系統(tǒng)間的網(wǎng)絡(luò)傳輸?shù)?，皆需要加一套鏈路加密機(jī)。以下分為目前BANCS系統(tǒng)的處理方式及從地理區(qū)域考量講明如下：目前所了解BANCS系統(tǒng)的處理方式新核心系統(tǒng)產(chǎn)品(BANCS及BANCSLink)的后臺(tái)/前臺(tái)的安全處理方式為：前端柜面機(jī)與BANCSLink間(BANCS傳輸安全示意圖中紅色線(xiàn)條部分)BANCS系統(tǒng)中有關(guān)前臺(tái)柜面終端機(jī)與BANCSLink間，數(shù)據(jù)傳輸時(shí)，沒(méi)有對(duì)數(shù)據(jù)進(jìn)行加密處理。新核心系統(tǒng)廠商建議前端柜面終端機(jī)與BANCSLink間的數(shù)據(jù)傳輸，采納SSL加密處理；由於SSL加密只負(fù)責(zé)通信層在網(wǎng)絡(luò)傳輸時(shí)的加密，對(duì)於重要數(shù)據(jù)/報(bào)文并未加密處理，安全上仍然有漏洞，需要有完善的補(bǔ)強(qiáng)措施。BANCSLink與BANCS間(BANCS傳輸安全示意圖中紅色線(xiàn)條部分)BANCS系統(tǒng)中有關(guān)BANCSLink與BANCS間，數(shù)據(jù)傳輸時(shí)，沒(méi)有對(duì)數(shù)據(jù)進(jìn)行加密處理。新核心系統(tǒng)廠商建議由華夏訂定安全策略及處理方式辦理。BANCS傳輸安全示意圖終端用戶(hù)與BANCSLink間網(wǎng)絡(luò)安全由於華夏銀行28個(gè)分行分布寬敞，每個(gè)分行下約有10~12個(gè)支行，每個(gè)支行不配置BANCSLink柜面服務(wù)器，每個(gè)支行的柜面終端機(jī)需直接連結(jié)到分行的BANCSLink柜面服務(wù)器，經(jīng)由BANCSLink柜面服務(wù)器連接到總行核心系統(tǒng)。目前華夏銀行差不多啟動(dòng)網(wǎng)絡(luò)建設(shè)項(xiàng)目，網(wǎng)絡(luò)安全上，差不多將總行與分行間的網(wǎng)絡(luò)安全采納VPN方式處理，愛(ài)護(hù)總行與分行間的網(wǎng)絡(luò)安全。分行與支行間尚未建置網(wǎng)絡(luò)安全處理。分行與支行間網(wǎng)絡(luò)傳輸安全示意圖BANCSLink與BANCS間網(wǎng)絡(luò)安全由於BANCS系統(tǒng)中有關(guān)BANCSLink與BANCS間，數(shù)據(jù)傳輸時(shí)，沒(méi)有對(duì)數(shù)據(jù)進(jìn)行加密處理，必須完善分行與總行間的網(wǎng)絡(luò)(數(shù)據(jù)傳輸)安全。網(wǎng)絡(luò)傳輸安全處理：於分行服務(wù)器（BANCSLinkServer）將數(shù)據(jù)傳輸?shù)娇傂星埃杉{鏈路加密機(jī)來(lái)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加密處理后，傳送到總行?？傂薪灰滋幚硗瓿珊螅高^(guò)鏈路加密機(jī)進(jìn)行網(wǎng)絡(luò)層的加密處理，送回分行服務(wù)器分行服務(wù)器先由鏈路加密機(jī)將數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)層的解密，再由加密機(jī)進(jìn)行交易數(shù)據(jù)3DES解密處理后，傳送到柜員端顯現(xiàn)於柜面終端機(jī)頁(yè)面上鏈路加密機(jī)的接入對(duì)應(yīng)用系統(tǒng)來(lái)講是透明的，即與應(yīng)用系統(tǒng)無(wú)關(guān)，不需要更改任何應(yīng)用系統(tǒng)程序。分行與總行間網(wǎng)絡(luò)傳輸安全示意圖BANCSLink與綜合前置間網(wǎng)絡(luò)安全(組合交易)綜合前置系統(tǒng)要緊負(fù)責(zé)進(jìn)出總行后臺(tái)業(yè)務(wù)應(yīng)用軟件系統(tǒng)的橋梁，處理的交易數(shù)量眾多及對(duì)處理的效率需求要能良好，若要考量安全上的需要，可能會(huì)對(duì)綜合前置系統(tǒng)處理交易量及效率會(huì)有阻礙；要兼顧安全需要，同時(shí)要確保處理效率，不是件容易的事，可能無(wú)法兩者兼顧?？剂烤C合前置系統(tǒng)的交易處理類(lèi)型及方式，除了組合型交易及中間特色業(yè)務(wù)外，其余的業(yè)務(wù)處理對(duì)綜合前置系統(tǒng)來(lái)講都只是過(guò)路財(cái)神左近右出或右近左出，對(duì)於此類(lèi)的交易，不需要在綜合前置系統(tǒng)進(jìn)行解密后再加密送出，直接直轉(zhuǎn)送出即可；即進(jìn)出皆由鏈路加密機(jī)處理。網(wǎng)絡(luò)傳輸安全處理：於分行服務(wù)器(BANCSLinkServer)將數(shù)據(jù)傳輸?shù)骄C合前置系統(tǒng)前，采納鏈路加密機(jī)來(lái)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加密處理后傳送綜合前置系統(tǒng)收到其他系統(tǒng)送到分行服務(wù)器(BANCSLinkServer)的交易，透過(guò)鏈路加密機(jī)進(jìn)行網(wǎng)絡(luò)層的加密處理，送回分行服務(wù)器外圍系統(tǒng)與綜合前置間網(wǎng)絡(luò)安全網(wǎng)絡(luò)傳輸安全處理：於外圍系統(tǒng)將數(shù)據(jù)傳輸?shù)骄C合前置系統(tǒng)前，采納鏈路加密機(jī)來(lái)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加密處理后傳送綜合前置系統(tǒng)收到其他系統(tǒng)送到外圍系統(tǒng)的交易，透過(guò)鏈路加密機(jī)進(jìn)行網(wǎng)絡(luò)層的加密處理，送回外圍系統(tǒng)綜合前置與BANCS間網(wǎng)絡(luò)安全網(wǎng)絡(luò)傳輸安全處理：於綜合前置系統(tǒng)將數(shù)據(jù)傳輸?shù)胶诵南到y(tǒng)(BANCS)前，采納鏈路加密機(jī)來(lái)對(duì)網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行加密處理后傳送核心系統(tǒng)(BANCS)透過(guò)鏈路加密機(jī)進(jìn)行網(wǎng)絡(luò)層的加密處理，送到綜合前置系統(tǒng)

應(yīng)用安全應(yīng)用安全方案在網(wǎng)絡(luò)安全方案中關(guān)于網(wǎng)絡(luò)層均提供了鏈路加密機(jī)制。因此差不多上，交易信息在網(wǎng)絡(luò)傳輸過(guò)程中均屬據(jù)加密狀態(tài)。點(diǎn)對(duì)點(diǎn)的加密方案因此，在那個(gè)地點(diǎn)要考慮的應(yīng)用信息加密要緊是針對(duì)點(diǎn)對(duì)點(diǎn)的交易數(shù)據(jù)加密需求。這些點(diǎn)對(duì)點(diǎn)包含：用戶(hù)對(duì)BANCSLink。用戶(hù)對(duì)BANCS。用戶(hù)對(duì)外圍系統(tǒng)。外圍系統(tǒng)對(duì)BANCS。點(diǎn)對(duì)點(diǎn)間的交易數(shù)據(jù)加密需求，著重在核心系統(tǒng)(BANCS)、綜合前置系統(tǒng)及分行服務(wù)器(BANCSLink)間的應(yīng)用加密處理，此三個(gè)系統(tǒng)前需要增加一套應(yīng)用加密機(jī)來(lái)處理交易數(shù)據(jù)加密；對(duì)於外圍系統(tǒng)不建議采納應(yīng)用加密處理。點(diǎn)對(duì)點(diǎn)應(yīng)用加密架構(gòu)圖在整個(gè)新一代核心系統(tǒng)的交易信息需求分析上，發(fā)覺(jué)并無(wú)需要整個(gè)信息執(zhí)行點(diǎn)對(duì)點(diǎn)的信息加密需求。只有針對(duì)部分敏感性的交易數(shù)據(jù)需要點(diǎn)對(duì)點(diǎn)的加密需求。敏感性數(shù)據(jù)的加密需求將在下一個(gè)章節(jié)提供具體方案。選擇性的金融交易加密方案考慮交易的風(fēng)險(xiǎn)性及網(wǎng)絡(luò)交易便利性，建議華夏銀行對(duì)所有的金融交易皆進(jìn)行應(yīng)用加密處理；華夏銀行可考慮實(shí)際上交易處理效率的需要，選取某些類(lèi)不的金融交易進(jìn)行應(yīng)用加密處理。例如：跨銀行/跨分行的取款交易、跨銀行/跨分行的匯款交易、跨分行的通存交易、變更密碼交易、變更客戶(hù)名稱(chēng)/ID/地址交易等。國(guó)外的經(jīng)驗(yàn)一般采納所有的金融交易都需要做應(yīng)用加密處理；盡管有些金融機(jī)構(gòu)采納選擇性的金融交易做應(yīng)用加密處理，以后產(chǎn)生的風(fēng)險(xiǎn)要由建議單位/人負(fù)責(zé)承擔(dān)。核心系統(tǒng)開(kāi)發(fā)商的建置客戶(hù)中，臺(tái)新銀行選擇了四種金融交易進(jìn)行應(yīng)用數(shù)據(jù)加密處理： 20017–先進(jìn)匯款remittancebycash21016–匯出匯款(專(zhuān)帳交易)remittancebytransfer55032–匯出登錄remittancedataentry(supplementarydataentry)55040–匯出放行remittanceapproval交易信息敏感性數(shù)據(jù)加密方案交易敏感性數(shù)據(jù)加密需求是針對(duì)部分的交易數(shù)據(jù)，必須從交易發(fā)動(dòng)源頭進(jìn)行加密，直到交易終點(diǎn)處理是方可解開(kāi)或是進(jìn)行驗(yàn)證。這部分的方案要緊是針對(duì)客戶(hù)支付口令的絕對(duì)私密性，不得在交易過(guò)程中有任何泄漏的風(fēng)險(xiǎn)。關(guān)于客戶(hù)口令加密的方案能夠分成幾種情形講明：大前置系統(tǒng)與核心系統(tǒng)(BANCS)大前置系統(tǒng)與核心系統(tǒng)間交易數(shù)據(jù)的加密，建議采納Triple-DES加密方式，以下列的原則實(shí)施：由交易發(fā)起端對(duì)客戶(hù)口令，以核心系統(tǒng)產(chǎn)生的「口令加密密鑰」加密后(加密方式建議遵循ANSX9.8規(guī)范)，再放入交易信息內(nèi)發(fā)送。交易同意端接收到交易信息后，將信息內(nèi)以「口令加密密鑰」加密的客戶(hù)口令與數(shù)據(jù)庫(kù)內(nèi)加密的客戶(hù)口令直接提交給加密機(jī)進(jìn)行比對(duì)，確認(rèn)是否符合。客戶(hù)口令的加密比對(duì)必須在加密機(jī)內(nèi)一次完成，不得語(yǔ)應(yīng)用系統(tǒng)中解開(kāi)。「口令加密密鑰」由核心系統(tǒng)透過(guò)加密機(jī)產(chǎn)生，再利用密鑰同步信息交換機(jī)制，與外圍系統(tǒng)進(jìn)行同步。用戶(hù)與核心系統(tǒng)(BANCS)–點(diǎn)對(duì)點(diǎn)加密由于用戶(hù)終端設(shè)備并無(wú)任何的加密設(shè)備。因此用戶(hù)終端的加密必須考慮采納加密密鑰可公開(kāi)的加密方式。此方案是利用非對(duì)稱(chēng)密鑰的公鑰可公開(kāi)的技術(shù)，直接在用戶(hù)終端備上一軟件方式加密，再與核心系統(tǒng)端解開(kāi)比對(duì)。此種方法采納以下的實(shí)施原則：核心系統(tǒng)透過(guò)加密機(jī)產(chǎn)生加密用的交易加密的非對(duì)稱(chēng)密鑰(RSAkeypair)，并取出公鑰(Publickey)，稱(chēng)為「交易加密公鑰」。核心系統(tǒng)將「交易加密公鑰」公布給所有的BANCSLinks。用戶(hù)在BANCSLinks上提交交易數(shù)據(jù)時(shí)，交易頁(yè)面動(dòng)態(tài)產(chǎn)生對(duì)稱(chēng)(Triple-DES)的「動(dòng)態(tài)口令加密密鑰」，對(duì)客戶(hù)口令進(jìn)行加密。(口令加密建議遵循ANSX9.8原則)。交易頁(yè)面在將「動(dòng)態(tài)口令加密密鑰」以「交易加密公鑰」加密后，連同交易數(shù)據(jù)提交BANCSLink。BANCSLinks將加密后的交易數(shù)據(jù)，以及加密后的「動(dòng)態(tài)口令加密密鑰」一并以交易信息送交核心系統(tǒng)(BANCS)。核心系統(tǒng)(BANCS)受到交易信息后，先利用「交易加密私鑰」(Privatekey)解開(kāi)「動(dòng)態(tài)口令加密密鑰」，再以「動(dòng)態(tài)口令加密密鑰」比對(duì)客戶(hù)口令。核心系統(tǒng)(BANCS)關(guān)于「動(dòng)態(tài)口令加密密鑰」的解開(kāi)，以及客戶(hù)口令加密比對(duì)的動(dòng)作，應(yīng)該透過(guò)加密機(jī)一次性完成。用戶(hù)與核心系統(tǒng)(BANCS)–BANCSLink加密另一種方案是基于用戶(hù)終端與BANCSLink間采納SSL或VPN網(wǎng)絡(luò)加密方式，認(rèn)定其交易信息泄露幾率微小的前提下。只在BANCSLinks與BANCS間對(duì)口令加密。采納以下的實(shí)施原則：核心系統(tǒng)透過(guò)加密機(jī)產(chǎn)生加密用的「口令加密密鑰」(Triple-DESkeys)，并利用密鑰同步信息交換機(jī)制，與BANCSLinks進(jìn)行同步。用戶(hù)與安全頁(yè)面上提交交易數(shù)據(jù)，包含客戶(hù)口令。交易數(shù)據(jù)透過(guò)安全網(wǎng)絡(luò)(VPN或是SSL)，送到BANCSLink。BANCSLink收到用戶(hù)提交的交易數(shù)據(jù)后，利用「口令加密密鑰」對(duì)客戶(hù)口令加密后，放入交易信息內(nèi)送交核心系統(tǒng)(BANCS)。核心系統(tǒng)(BANCS)受到交易信息后，利用「口令加密密鑰」解開(kāi)并比對(duì)客戶(hù)支付口令。核心系統(tǒng)(BANCS)關(guān)于以「口令加密密鑰」解開(kāi)并比對(duì)客戶(hù)支付口令的動(dòng)作，應(yīng)該透過(guò)加密機(jī)一次性完成。用戶(hù)終端與外圍系統(tǒng)用戶(hù)與外圍系統(tǒng)間關(guān)于客戶(hù)口令的加密沿用各外圍系統(tǒng)目前的做法，建議不予改變。

交易數(shù)據(jù)完整性方案由于本建議方案中關(guān)于服務(wù)器間的網(wǎng)絡(luò)，均以網(wǎng)絡(luò)層加密機(jī)制愛(ài)護(hù)。交易信息在網(wǎng)絡(luò)上傳輸時(shí)，保持加密狀態(tài)。因此就整體安全需求上，比較沒(méi)有交易數(shù)據(jù)完整性上的需求。服務(wù)器間驗(yàn)證方案各服務(wù)器間的驗(yàn)證目的是在防止內(nèi)部人員利用假服務(wù)器發(fā)動(dòng)假交易，造成交易的糾紛以及金額上的損失。服務(wù)器間的驗(yàn)證依據(jù)連線(xiàn)模式不同而必須有不同的設(shè)計(jì)方案。在那個(gè)地點(diǎn)，我們假設(shè)服務(wù)器間的交易連接方式是采納非固定連接方式(Connectionless)。在此總連接方式下，服務(wù)器必須對(duì)每一筆交易信息均驗(yàn)證該交易發(fā)送方是否為合法的服務(wù)器。驗(yàn)證方式有下列兩種：IP驗(yàn)證法IP驗(yàn)證法是針對(duì)沒(méi)每一個(gè)交易信息驗(yàn)證信息發(fā)送方的IP是否為對(duì)應(yīng)的合法IP。此種驗(yàn)證法必須采納下列的實(shí)施步驟:每一部服務(wù)器必須設(shè)置一個(gè)固定的對(duì)外IP。應(yīng)用系統(tǒng)中須設(shè)置每一個(gè)交易方服務(wù)器的正確IP。當(dāng)應(yīng)用系統(tǒng)收到交易信息時(shí)，透過(guò)網(wǎng)絡(luò)層取得發(fā)送方的IP，再驗(yàn)證發(fā)送方的IP與設(shè)置中合法交易信息發(fā)送方的IP是否一致。此種驗(yàn)證法有以下的優(yōu)點(diǎn)：不須改變交易信息的格式與交易流程。透過(guò)交易信息收發(fā)的網(wǎng)絡(luò)層信息即可取得驗(yàn)證數(shù)據(jù)。此種驗(yàn)證法有以下的缺點(diǎn)：每一個(gè)服務(wù)器在網(wǎng)絡(luò)層必須有固定的IP，關(guān)于使用VPN或是虛擬IP交換器的網(wǎng)絡(luò)并不適用。只用IP的驗(yàn)證方法在安全上比較薄弱。有可能假服務(wù)器臨時(shí)取代合法服務(wù)器的IP而可不能被察覺(jué)。當(dāng)服務(wù)器因?yàn)榫W(wǎng)絡(luò)位置變更，而更改IP時(shí)，必須更該其他應(yīng)用系統(tǒng)上的IP設(shè)置。信息押碼驗(yàn)證法信息押碼驗(yàn)證法是在交易信息中，將部分的交易數(shù)據(jù)以密鑰加密的方式，產(chǎn)生驗(yàn)證碼，再將驗(yàn)證法放入交易信息中一起發(fā)送。交易接收方再以同樣的方法﹑同樣的密鑰檢核驗(yàn)證碼是否正確。產(chǎn)生驗(yàn)證碼的密鑰通常使用Triple-DES的密鑰以及加密算法(建議采納CBC加密模式)。此種驗(yàn)證法必須采納下列的步驟：交易信息必須增設(shè)交易驗(yàn)證碼的字段。定義每一個(gè)交易信息內(nèi)，用以產(chǎn)生驗(yàn)證碼的交易數(shù)據(jù)字段。規(guī)劃驗(yàn)證碼密鑰的產(chǎn)生規(guī)則與變更的同步交換規(guī)則。依照規(guī)劃的驗(yàn)證碼產(chǎn)生/驗(yàn)證規(guī)則，修改應(yīng)用系統(tǒng)信息收送的機(jī)制。開(kāi)發(fā)個(gè)服務(wù)系統(tǒng)間的密鑰變更同步交換功能。此種驗(yàn)證法有以下的優(yōu)點(diǎn):此種驗(yàn)證方式，可使用與任何的網(wǎng)絡(luò)環(huán)境。不鎖定服務(wù)器的網(wǎng)絡(luò)地址與實(shí)體位置，服務(wù)器的網(wǎng)絡(luò)位置變更不阻礙任何設(shè)置。較高的安全強(qiáng)度，必須有存取密鑰的權(quán)限才能產(chǎn)生驗(yàn)證碼。此種驗(yàn)證法有以下的缺點(diǎn)：此種方法必須配合加密機(jī)使用，成本較高。次種方法必須變更交易信息格式，增加驗(yàn)證碼字段。應(yīng)用系統(tǒng)配合修改的幅度較大。

存儲(chǔ)安全數(shù)據(jù)安全方案，要緊以愛(ài)護(hù)數(shù)據(jù)不被任意更改/篡改，確保數(shù)據(jù)的完整性為主。交易的數(shù)據(jù)中包含許多種信息，無(wú)法對(duì)所有的交易及將整個(gè)交易報(bào)文數(shù)據(jù)加/解密，可能會(huì)阻礙交易處理效率，建議只對(duì)報(bào)文的敏感性數(shù)據(jù)進(jìn)行加/解密處理，同時(shí)要考量交易數(shù)據(jù)存儲(chǔ)的安全。交易數(shù)據(jù)安全存儲(chǔ)方案交易敏感性數(shù)據(jù)加密存儲(chǔ)方案敏感性交易數(shù)據(jù)由於核心系統(tǒng)是整體系統(tǒng)交易的重心，對(duì)於交易數(shù)據(jù)的安全處理特不重要，尤其是客戶(hù)的交易數(shù)據(jù)安全。交易的報(bào)文中，包含許多敏感性數(shù)據(jù)，如：客戶(hù)帳號(hào)/卡號(hào)客戶(hù)密碼交易金額交易時(shí)刻(含:年月日時(shí)分秒)敏感性交易數(shù)據(jù)的加密處理方式對(duì)於敏感性的交易數(shù)據(jù)，必須要加密處理，以確保數(shù)據(jù)的完整性、正確性及不可否認(rèn)性。敏感性交易數(shù)據(jù)的加密方式，建議采納以3DES密鑰加密處理外，同時(shí)視需要，對(duì)整個(gè)報(bào)文/關(guān)鍵字段以MAC生成校驗(yàn)值。(不建議采納PKI加密方式，要緊是PKI加密速度較費(fèi)時(shí)。)敏感性交易數(shù)據(jù)交易傳輸流程中，需經(jīng)硬件應(yīng)用及鏈路加密處理，尤其是客戶(hù)密碼需全程以亂碼方式傳輸加密/解密處理，需經(jīng)由硬件加密/解密機(jī)處理；禁止使用軟件加/解密處理對(duì)於上述的敏感性交易數(shù)據(jù)，由應(yīng)用軟件系統(tǒng)透過(guò)API呼叫方式，連接外接的加密機(jī)進(jìn)行加密處理，采納以3DES密鑰方式加密處理，同時(shí)生成MAC校驗(yàn)值，透過(guò)網(wǎng)絡(luò)傳送后臺(tái)應(yīng)用軟件。核心系統(tǒng)對(duì)敏感性交易數(shù)據(jù)的處理流程為了減少核心系統(tǒng)的復(fù)雜性及減少核心系統(tǒng)的更改量，以免阻礙項(xiàng)目進(jìn)度及時(shí)程，建議核心系統(tǒng)對(duì)交易數(shù)據(jù)的安全處理如下：BANCSLink於收到支行/分行的交易數(shù)據(jù)時(shí)，發(fā)送到核心系統(tǒng)前，先呼叫應(yīng)用加密機(jī)對(duì)報(bào)文數(shù)據(jù)中的敏感性交易數(shù)據(jù)加密處理，同時(shí)要求加密機(jī)對(duì)整個(gè)報(bào)文/關(guān)鍵字段以MAC生成校驗(yàn)值。核心系統(tǒng)收到敏感性交易數(shù)據(jù)時(shí)，先呼叫應(yīng)用加密機(jī)對(duì)報(bào)文數(shù)據(jù)中的敏感性交易數(shù)據(jù)解密處理，同時(shí)要求加密機(jī)對(duì)整個(gè)報(bào)文/關(guān)鍵字段的MAC校驗(yàn)值驗(yàn)證正確性后，才進(jìn)行相關(guān)交易程序處理。敏感性交易數(shù)據(jù)存儲(chǔ)除了加密處理外，對(duì)於敏感性交易數(shù)據(jù)的存儲(chǔ)安全，也特不需要加以特不重視，以免敏感性交易數(shù)據(jù)被有心人竊取、窺視。有關(guān)敏感性交易數(shù)據(jù)的存儲(chǔ)安全，建議處理方式如下：客戶(hù)密碼於柜員終端輸入時(shí)，以亂碼呈現(xiàn)；關(guān)敏感性交易數(shù)據(jù)輸入后，傳送前，需經(jīng)硬件加密機(jī)進(jìn)行應(yīng)用加密處理；傳輸過(guò)程中，全程以亂碼傳送；應(yīng)用軟件系統(tǒng)后臺(tái)以API呼叫方式，呼叫硬件加密機(jī)驗(yàn)證客戶(hù)密碼的正確性及將其他的敏感性交易數(shù)據(jù)解密處理客戶(hù)密碼存儲(chǔ)於數(shù)據(jù)庫(kù)時(shí)，是以亂碼方式存放。密碼安全存儲(chǔ)方案密碼包含用戶(hù)登入密碼﹑客戶(hù)密碼兩種。兩種密碼的存儲(chǔ)各有不同的建議方案。動(dòng)態(tài)口令登入密碼存儲(chǔ)方案采納動(dòng)態(tài)口令盤(pán)的身份驗(yàn)證方式，用戶(hù)的動(dòng)態(tài)口令是依著時(shí)刻不停的演變。而密碼的驗(yàn)證方式是由動(dòng)態(tài)口令服務(wù)系統(tǒng)于系統(tǒng)內(nèi)部自行驗(yàn)證。因此用戶(hù)的密碼存儲(chǔ)是由動(dòng)態(tài)口令服務(wù)系統(tǒng)本身具備的密碼愛(ài)護(hù)的安全機(jī)制負(fù)責(zé)。因此，用戶(hù)的登入密碼(口令)不需要另行存儲(chǔ)。USB-Key登入密碼存儲(chǔ)方案采納USB-Key的身份驗(yàn)證方式，用戶(hù)的口令是打開(kāi)USB-Key存儲(chǔ)的口令，直接存儲(chǔ)于USB-Key中，以USB-Key本身的安全機(jī)制愛(ài)護(hù)。USB-Key內(nèi)的登入驗(yàn)證密鑰，是由加密機(jī)依據(jù)用戶(hù)代碼以驗(yàn)證主密碼利用多樣化演算法(Diverse)產(chǎn)生。而驗(yàn)證主密鑰直接存儲(chǔ)于加密機(jī)中。因此，用戶(hù)的USB-Key口令與USB-Key內(nèi)的驗(yàn)證密鑰均不需要另行存儲(chǔ)?？蛻?hù)口令加密存儲(chǔ)方案客戶(hù)口令是隨著交易信息傳送與服務(wù)期間。因此透過(guò)交易信息的客戶(hù)口令的點(diǎn)對(duì)點(diǎn)加密機(jī)制，所有的交易信息內(nèi)的客戶(hù)口令均為加密狀態(tài)。唯一會(huì)存儲(chǔ)客戶(hù)口令的系統(tǒng)應(yīng)該是新核心系統(tǒng)(BANCS)。由于客戶(hù)數(shù)量龐大，一般不可能直接存儲(chǔ)于加密機(jī)中，而存儲(chǔ)于數(shù)據(jù)庫(kù)中。為了幸免客戶(hù)口令泄漏，必須以加密方式存儲(chǔ)于數(shù)據(jù)庫(kù)中。建議采納以下的方式：利用加密機(jī)產(chǎn)生或是采納指定方式產(chǎn)生客戶(hù)口令?？蛻?hù)口令產(chǎn)生后，直接以加密機(jī)的客戶(hù)口令存儲(chǔ)加密密鑰加密后(建議采納ANSX9.8規(guī)范)，存儲(chǔ)與數(shù)據(jù)庫(kù)內(nèi)?？蛻?hù)口令存儲(chǔ)加密密鑰建議使用Triple-DES?？蛻?hù)口令比對(duì)時(shí)，直接將交易信息內(nèi)加密的客戶(hù)口令與數(shù)據(jù)庫(kù)的加密客戶(hù)口令提交給加密機(jī)，由加密機(jī)解密比對(duì)后，送回結(jié)果。當(dāng)加密機(jī)內(nèi)的客戶(hù)口令加密密鑰變更時(shí)，必須對(duì)數(shù)據(jù)庫(kù)內(nèi)所有用戶(hù)的客戶(hù)密鑰進(jìn)行重行加密處理(解密再加密)后再存儲(chǔ)。此種客戶(hù)口令加密存儲(chǔ)方法有下列的優(yōu)點(diǎn)：加密強(qiáng)度較強(qiáng)，不易泄漏。但此種客戶(hù)口令加密存儲(chǔ)方法也有下了的缺點(diǎn)：加密密鑰更換時(shí)，必須重行加密所有的口令，處理費(fèi)時(shí)繁復(fù)。假如加密密鑰遺失，所有的客戶(hù)口令皆失效，必須請(qǐng)客戶(hù)從刑設(shè)置，可能造成重大損失。客戶(hù)口令不可逆存儲(chǔ)方案另一種存儲(chǔ)客戶(hù)口令的方法是采納不可逆運(yùn)算，將客戶(hù)口令轉(zhuǎn)換成不可還原的數(shù)字，直接存儲(chǔ)于數(shù)據(jù)庫(kù)中。此種方法采納下了的方式：利用加密機(jī)產(chǎn)生或是采納指定方式產(chǎn)生客戶(hù)口令。客戶(hù)口令產(chǎn)生后，直接以不可逆運(yùn)算將客戶(hù)口令轉(zhuǎn)換成一組不可還原的口令數(shù)字存儲(chǔ)與數(shù)據(jù)庫(kù)內(nèi)。客戶(hù)口令不可逆運(yùn)算，建議可使用SHA-256?？蛻?hù)口令比對(duì)時(shí)，直接將交易信息內(nèi)加密的客戶(hù)口令與數(shù)據(jù)庫(kù)的口令數(shù)字提交給加密機(jī)，由加密機(jī)解密比對(duì)后，送回結(jié)果。此種客戶(hù)口令不可逆存儲(chǔ)方法有下列的優(yōu)點(diǎn)：理論上無(wú)法利用口令數(shù)字還原正確的口令。不需使用密鑰，維護(hù)上比較簡(jiǎn)單，依不需考慮密鑰變更的問(wèn)題。但此種客戶(hù)口令不可逆存儲(chǔ)方法也有下了的缺點(diǎn)：不可逆運(yùn)算理論上造成重復(fù)的幾率不等于零，有可能不同的口令會(huì)產(chǎn)生相同的口令數(shù)字。因此猜中的幾率并非完全沒(méi)有。新舊系統(tǒng)密碼移轉(zhuǎn)方案于本建議方案中，關(guān)于新舊系統(tǒng)間的密碼已轉(zhuǎn)問(wèn)題，可從下列幾方面講明：用戶(hù)登入口令的移轉(zhuǎn)由于新系統(tǒng)于舊系統(tǒng)間使用的身份驗(yàn)證方式不同。不論新系統(tǒng)采納動(dòng)態(tài)口令盤(pán)或是USB-Key的那一種方案，用戶(hù)的登入口令都必須換新。因此，建議采納下列的步驟：預(yù)先制作所有用戶(hù)登入使用的動(dòng)態(tài)口令盤(pán)或是USB-Key。先行發(fā)放動(dòng)態(tài)口令盤(pán)或是USB-Key給用戶(hù)，并于新系統(tǒng)上設(shè)置每一個(gè)用戶(hù)使用的動(dòng)態(tài)口令盤(pán)編號(hào)或是USB-Key編號(hào)。當(dāng)業(yè)務(wù)由舊系統(tǒng)切換為新系統(tǒng)時(shí)，要求所有用戶(hù)開(kāi)始使用動(dòng)態(tài)口令或USB-Key登入系統(tǒng)。原有舊系統(tǒng)上的登入口令立即作廢?？蛻?hù)支付口令的移轉(zhuǎn)關(guān)于客戶(hù)的口令，基于客戶(hù)的方便性，不能因系統(tǒng)轉(zhuǎn)換而更換客戶(hù)的口令。若新系統(tǒng)采納客戶(hù)口令加密存儲(chǔ)的方案，則建議采納下列的步驟：利用加密機(jī)產(chǎn)生新的客戶(hù)口令加密密鑰。將原有舊系統(tǒng)的客戶(hù)口令加密密鑰，匯入/輸入加密機(jī)內(nèi)。開(kāi)發(fā)一個(gè)程序，將原有舊系統(tǒng)的所有客戶(hù)口令利用加密機(jī)重新加密(用舊密鑰解密再用新密鑰加密)。將新密鑰加密后的客戶(hù)口令存儲(chǔ)到新系統(tǒng)數(shù)據(jù)庫(kù)內(nèi)的客戶(hù)信息表內(nèi)。若新系統(tǒng)采納客戶(hù)口令不可逆存儲(chǔ)的方案，則建議采納下列的步驟：將原有舊系統(tǒng)的客戶(hù)口令加密密鑰，匯入/輸入加密機(jī)內(nèi)。開(kāi)發(fā)一個(gè)程序，將原有舊系統(tǒng)的所有客戶(hù)口令利用加密機(jī)解密并產(chǎn)生口令數(shù)字(用舊密鑰解密再用不可逆運(yùn)算產(chǎn)生口令數(shù)字)。將客戶(hù)口令數(shù)字存儲(chǔ)到新系統(tǒng)數(shù)據(jù)庫(kù)內(nèi)的客戶(hù)信息表內(nèi)。

安全治理安全治理包含兩個(gè)部分，分不是密鑰治理及防病毒治理，分不於下列章節(jié)中講明。密鑰治理方案密鑰治理方案阻礙整個(gè)系統(tǒng)的安全作業(yè)，華夏銀行必須訂定相關(guān)密鑰治理策略，由安全設(shè)備廠商依照華夏的密鑰治理策略，實(shí)施密鑰的安全治理及運(yùn)行。密鑰生命周期治理方案密鑰區(qū)分為三種，分為本地主密鑰、區(qū)域主密鑰及數(shù)據(jù)密鑰。此三種密鑰的層次、級(jí)不和治理方法(遵循ANSIX9.17標(biāo)準(zhǔn))，其密鑰層次如下圖：三種密鑰的層次圖各種密鑰在密鑰層次中的作用本地主密鑰(LocalMasterKey)又稱(chēng)主機(jī)主密鑰(MasterKey)，要緊用來(lái)愛(ài)護(hù)它下一級(jí)的區(qū)域主密鑰(ZoneMasterKey)(銀行主密鑰(BankMasterKey)、終端主密鑰(TerminalMasterKey))。當(dāng)區(qū)域主密鑰需要導(dǎo)出或保存到加密機(jī)以外時(shí)，通常需要用本地主密鑰(或衍生的密鑰對(duì))加密區(qū)域主密鑰。區(qū)域主密鑰中要緊有兩種，一種是金卡中心與成員行之間的傳輸密鑰(通常稱(chēng)為銀行主密鑰)，另一種是成員行主機(jī)與ATM或POS之間的傳輸密鑰(通常稱(chēng)為終端主密鑰)。它要緊用來(lái)加密下一層次的數(shù)據(jù)密鑰(如：PIK、MAK)。數(shù)據(jù)加密密鑰(DateEncryptKey)又稱(chēng)工作密鑰(WorkingKey)，是最終用于加密傳輸數(shù)據(jù)的密鑰，其上層兩種密鑰能夠稱(chēng)為密鑰加密/交換密鑰(KeyEncrypt/ExchangeKey，簡(jiǎn)稱(chēng)KEK)。數(shù)據(jù)密鑰一般分為兩種，一種是用來(lái)加密PIN的密鑰稱(chēng)為PIK(PinKey)，另一種是用來(lái)計(jì)算MAC的密鑰稱(chēng)為MAK(MacKey)。密鑰產(chǎn)生本地主密鑰通常由各成員行(或下屬機(jī)構(gòu))采納加密機(jī)前面板上的鍵盤(pán)或直接通過(guò)IC卡注入到加密機(jī)中，各成員行的本地主密鑰各不相同。一般本地主密鑰的注入都由成員行的三位高層領(lǐng)導(dǎo)注入，三人分不保存一部分密鑰(密鑰重量,Component)，三部分密鑰能夠在加密機(jī)中以一定的算法(異或)合成為最終的本地主密鑰(或通過(guò)衍生(Derive)生成密鑰對(duì))。區(qū)域主密鑰(銀行主密鑰)一般由上級(jí)機(jī)構(gòu)(金卡中心)產(chǎn)生并分發(fā)。上級(jí)機(jī)構(gòu)(金卡中心)產(chǎn)生并保存下屬機(jī)構(gòu)(各成員行)的區(qū)域主密鑰(銀行主密鑰)，同時(shí)將密碼重量的明文或IC卡的形式將區(qū)域主密鑰(銀行主密鑰)下發(fā)給下屬機(jī)構(gòu)(各成員行)。下屬機(jī)構(gòu)（成員行）將密鑰重量注入到加密機(jī)內(nèi)，假如區(qū)域主密鑰（銀行主密鑰）是保存到本機(jī)構(gòu)的主機(jī)數(shù)據(jù)庫(kù)中，則將區(qū)域主密鑰（銀行主密鑰）注入到加密機(jī)后，加密機(jī)顯示本地主密鑰加密的區(qū)域主密鑰（銀行主密鑰）密文，由銀行工作人員將其錄入主機(jī)數(shù)據(jù)庫(kù)。銀行主密鑰通常由兩人注入，各自保存一部分。區(qū)域主密鑰中的終端主密鑰由各成員行自己注入到加密機(jī)中，同時(shí)下裝到ATM和POS中，由于各成員行的ATM和POS數(shù)量都較大，一般是所有ATM和POS共用一個(gè)終端主密鑰或是一組ATM和POS共用一個(gè)終端主密鑰。數(shù)據(jù)密鑰分為兩種，一般不在加密機(jī)中保存。一種是金卡中心與成員行之間的數(shù)據(jù)密鑰，一種是成員行主機(jī)與ATM或POS之間的數(shù)據(jù)密鑰。前一種數(shù)據(jù)密鑰能夠由金卡中心主動(dòng)向下分發(fā)，也能夠由成員行主動(dòng)向上申請(qǐng)。數(shù)據(jù)密鑰在傳輸過(guò)程中由金卡中心與成員行之間共享的銀行主密鑰加密，成員行接收到數(shù)據(jù)密鑰后都需要驗(yàn)證其正確性后才會(huì)啟用新的數(shù)據(jù)密鑰。后一種數(shù)據(jù)密鑰每天由ATM或POS簽到申請(qǐng)，由加密機(jī)隨機(jī)產(chǎn)生，并由終端主密鑰加密傳送。

金卡中心與成員行及其終端(ATM、POS)之間的密鑰關(guān)系如下圖：金卡中心與成員行及其終端(ATM、POS)之間的密鑰關(guān)系圖上圖中各個(gè)符號(hào)的含義如下：BMK:銀行主密鑰TMK:終端主密鑰PIK1:金卡中心與成員行之間的PIKMAK1:金卡中心與成員行之間的MAKPIK2:成員行與終端(ATM、POS)之間的PIKMAK2:成員行與終端(ATM、POS)之間的MAKDATA:傳輸?shù)臄?shù)據(jù)（PIK1）BMK:被BMK加密的PIK1講明:本地主密鑰LMK：LocalMasterKey，本地主密鑰，又稱(chēng)為文件主密鑰(MDS)、加密機(jī)主密鑰、主機(jī)主密鑰，在密鑰體系中處于最上層，以明文存儲(chǔ)在加密機(jī)中，加密愛(ài)護(hù)存儲(chǔ)在加密機(jī)外的其它密鑰。LMK一般為雙長(zhǎng)度密鑰，也有三倍長(zhǎng)度密鑰。區(qū)域主密鑰ZMK：ZoneMasterKey，區(qū)域主密鑰，在RACAL加密機(jī)中，指主機(jī)與主機(jī)間的傳輸主密鑰。在密鑰體系中處于中間層，能夠通過(guò)LMK加密后存儲(chǔ)在主機(jī)數(shù)據(jù)庫(kù)中，也可直接存儲(chǔ)在加密機(jī)中，一般為雙長(zhǎng)度，也有單長(zhǎng)度和三倍長(zhǎng)度密鑰。用于主機(jī)間動(dòng)態(tài)分發(fā)工作密鑰時(shí)對(duì)其進(jìn)行加密愛(ài)護(hù)BMK：BankMasterKey，銀行主密鑰，同ZMK，多用于金卡聯(lián)網(wǎng)，在金卡聯(lián)網(wǎng)中，有時(shí)POS和銀行主機(jī)之間也使用BMK。MMK：MemberMasterKey，成員行主密鑰，同ZMK。多用于金卡聯(lián)網(wǎng)SMK：SharedMasterKey，共享主密鑰，同ZMK.數(shù)據(jù)加密密鑰TMK：TerminalMasterKey，終端主密鑰，在RACAL加密機(jī)中，指主