网上银行3.0系统的安全策略.pptx
网络银行风险管理续PPT课件
网络银行的主要风险
二、信用风险 • 远程贷款客户违约 • 网络银行信用业务的开放性,从多样化的角度来看,
可以将风险分散,同时其信用产品的同质化趋势,又 不利于风险的分散。 • 电子货币发行人的违约风险。网络银行拥有的电子货 币,由于电子货币发行人不需要也不可能保持用于赎 回电子货币的100%的传统货币的准备,一旦陷入财 务危机或破产时,发行人可能无法满足对发行电子货 币的赎回要求而形成信用危机。 • 电子签名的安全性也增加了网络银行的信用风险,从 而诱发电子货币运作过程中的系统性风险,并有可能 导致金融危机。
第8页/共16页
网络银行的主要风险
六、法律风险 • 不确定或不明确的法律规定 • 洗钱 • 向客户披露的信息不充分 • 未能保护客户因素,未经客户授权发布客户的有关信
息 • 与银行互联网的站点出现问题,网络银行应全面理解
互联其他站点的法律环境和安全性风险,否则,当与 银行互联网的站点出现令银行客户失望或欺骗银行客 户的情形时,网络银行将面临客户的诉讼 • 认证机构风险。以银行的名义伪造证书,或在未进行 身份确认的情况下向伪装成网络银行客户的个人发放 证书 • 跨国经营风险。网络银行的跨国业务面临不通国家的 法律要求。如果不清楚不同国家间的司法管辖权责任, 网络银行将面临不可预测的法律事务开支
第7页/共16页
网络银行的主要风险
五、声誉风险 • 重大的、普遍的系统缺陷,会妨碍客户访问其资金或
账户信息,影响了商家和普遍消费者对电子货币的接 受程度,并有可能对整个电子货币系统形成信誉危机 • 对安全性的重大破坏,病毒或黑客入侵网络银行内部 的计算机系统 • 与另一机构相同(或类似)系统(或产品)中的问题 (或误用),由于相同(或类似)网络银行出了问题, 产生类似传统银行业务中的挤兑风险 • ........
网上银行安全系统
USB Key 认证
USB Key 内置智能卡芯片,可以存储用户的密钥或数 字证书。一般的 USB Key 都以 CA 认证为核心,采用 双证书(加密证书 / 签名证书)、双中心(认证中心、 密钥中心)机制来做身份认证。通常还有个启动 PIN 码。提供对 USB Key 持有人的认证。这样不怕 USB Key 被别人盗用。
3.4安全防护方案
3.4.4防病毒网关
病毒、蠕虫和木马等对网银系统安全造成极大威胁。防 病毒必须软、硬件两手抓。设置防病毒网关对进入应用 区的信息进行扫描,同时网银系统的程序本身也要防止 SQL 注入等应用层的安全漏洞。
3.4安全防护方案
3.4.5传输加密
数据加密的方法里有链路层加密、网络层加密及应用层 加密。其中对网银来说,应用层的加密应用比较广泛。 网银客户端至服务器端的安全连接可以采用 SSL (Security Socket Layer)协议。SSL 已得到各主流浏览 器内置的支持。由于标准的 SSL 协议,在采用客户端证 书时,并未对用户的交易数据进行显式签名,所以一般 的网银系统可通过在客户浏览器安装签名控件来完成, 签名控件一方面可以完成数字签名,另一方面,通过自 定义签名格式,只对需要的页面要素进行签名,去除不 必要的数据被签名。
2.数据安全需求
数据的可用性需求
数据可用性要求数据对于授权实体是有效、可用的,保证授 权实体对数据的合法存取权利。对数据可用性最典型的攻击 就是拒绝式攻击和分布式拒绝攻击,两者都是通过大量并发 的恶意请求来占用系统资源,致使合法用户无法正常访问目 标系统。
网银系统可用性需求体现在以下几个方面: 并发用户 / 并发连接。 同时在线人数。 中断允许的最大时间。 对系统的访问时间的要求。
商业银行的网络安全防护策略
商业银行的网络安全防护策略随着科技的不断发展,商业银行的网络安全问题也日益突出。
网络安全的脆弱性给商业银行带来了诸多风险,如数据泄露、网络攻击等。
为了确保客户的资金和个人信息安全,商业银行必须采取一系列的网络安全防护策略。
本文将探讨商业银行在网络安全方面的策略,包括信息加密、多层身份验证、网络监控和应急响应等。
一、信息加密信息加密是商业银行最基础也是最重要的网络安全技术之一。
商业银行在进行数据传输和存储过程中,采用高强度的加密算法对客户的个人信息和资金数据进行加密,防止黑客或恶意软件窃取敏感信息。
同时,在与客户交互的过程中,采用HTTPS安全协议和SSL证书,确保信息在传输过程中不被篡改。
二、多层身份验证商业银行采用多层身份验证是为了确保只有合法用户才能访问其系统。
传统的用户名和密码登录方式已经不能满足安全需求,因此商业银行引入了多种身份验证技术,如指纹识别、声音识别和面部识别等生物特征识别技术。
此外,商业银行还可以通过短信验证码、动态口令等方式进行二次验证,提高账户的安全性。
三、网络监控商业银行需要建立完善的网络监控系统,及时发现和阻止网络攻击。
网络监控系统应当具备实时监控、异常检测和日志记录等功能,能够对网络流量、访问行为、异常活动等进行监控。
商业银行可以通过引入入侵检测系统(IDS)和入侵防御系统(IPS),实现对外来攻击的实时感知和防范。
四、应急响应商业银行应建立完善的网络安全应急响应机制,及时做出应对。
一旦发现网络安全事件,商业银行应立即采取措施隔离和清除安全威胁,并配合相关安全机构展开调查。
同时,商业银行还需要做好公关工作,及时向客户公布事件信息,提供充分的解释和赔偿措施,维护客户信任和银行声誉。
总结商业银行的网络安全防护策略是综合多种技术手段和管理措施的结果。
信息加密、多层身份验证、网络监控和应急响应等策略有助于保护商业银行的网络安全,确保客户的资金和个人信息不被攻击和泄露。
同时,商业银行还需加强员工的安全意识教育,提高其对网络安全的认识和应对能力。
网上银行安全.pptx
• 网银安全
• 安全三要素 保密性(confidentiality):敏感信息不外 泄。 完整性(integrity):信息不被篡改。 实用性(availability):系统持续提供服务 的能力。
• PKI/数字证书的作用 身份确认(authentication)的重要技术; 授权(authorization)的基础; 并不能解决所有的安全问题。
• 14、Thank you very much for taking me with you on that splendid outing to London. It was the first time that I had seen the Tower or any of t he other famous sights. If I'd gone alone, I couldn't have seen nearly as much, because I wouldn't have known my way about.
。2020年11月13日星期五上午6时25分50秒06:25:5020.11.13
• 15、会当凌绝顶,一览众山小。2020年11月上午6时25分20.11.1306:25November 13, 2020
• 16、如果一个人不知道他要驶向哪头,那么任何风都不是顺风。2020年11月13日星期五6时25分50秒06:25:5013 November 2020
银企直连安全 模块/代理
HTTPS HTTPS
RAGate
HTTP
Web Server
SSL Module
HTTP
验证CRL RA管理模块 RA服务模块
网上银行安全系统(1)
三、安全系统架构
PPDRR 安全模型 安全系统网络拓扑图 安全策略 安全防护方案 安全检测方案 安全恢复方案
网上银行安全系统(1)
三、安全系统架构
3.1PPDRR 安全模型
构建完善的安全系统解决方案,安全模型的选择至关 重要。PDR 模型是由 ISS 公司最早提出的入侵检测的 一种模型。PDR 是防护(Protection)、检测 (Detection)和响应(Response)的缩写。三者构成 了一个首尾相接的环,也即“防护 -> 检测 -> 响应 -> 防护”的一个循环。PDR 模型有很多变体,在银行网 络中最著名的是 PPDRR 模型。增加了策略 (Policy) 和 恢复 (Recovery)。PPDRR 模型是典型的、公认的安全 模型。它是一种动态的、自适应的安全网上银模行安型全系,统(1可) 适应
网上银行安全系统(1)
2020/12/13
网上银行安全系统(1)
一、网上银行安全系统概述 二、网上银行系统安全需求 三、安全系统架构 四、安全检测方案 五、评价
网上银行安全系统(1)
一、网上银行安全系统概述
背景
安全是网上银行应用推广的基础,网上银行的安全系统 是为了保证网上银行系统的数据不被非法存取或修改, 保证业务处理按照银行规定的流程被执行。 如何保证网 上银行交易系统的安全,关系到银行内部整个金融网的 安全,也关系到银行客户的资金安全。因此,网上银行 的安全建设至关重要。
网上银行安全系统(1)
3.4安全防护方案
身份认证系统 权限控制系统 边界控制 防病毒网关 传输加密 安全的操作系统
网上银行安全系统(1)
3.4安全防护方案
3.4.1身份认证系统 网上银行应用系统中的安全防护的第一道防线是身份 认证。身份认证的技术有很多,可以分为两类:软件 认证和硬件认证。其中软件认证多为用户自己知道的 秘密信息,譬如用户名和密码。硬件认证包括 IC 卡, 基于生物学信息的身份认证,比如指纹识别,虹膜识 别,面部识别等。
网上银行系统结构与安全控制措施
网上银行系统结构与安全控制措施预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制浅析网上银行系统结构与安全控制措施中国工商银行股份有限公司数据中心(北京)周芙蓉网上银行从上个世纪90年代产生到现在,经历了飞速的发展。
网上银行业务作为电子银行业务的一种形式在国内得到了迅猛的发展。
网上银行业务已经成为全国范围内的普及型业务。
据CFCA《2010中国电子银行调查报告》显示:2010年,全国城镇人口中,全国各银行的个人用户已经有26.9%开通了网上银行,在经济发达的城市中网上银行的开通率更是高;全国个人网银用户中,活跃用户比例达到80.7%,交易用户平均每月使用次数高达5.6次。
除了在消费领域网上银行得到广泛使用外,2010年全国范围内开通网上银行的企业用户占全部用户的40.9%,可以说网上银行已经成为人们生活中不可或缺的一部分。
一、网上银行的相关概念1.网上银行的特点利用计算机和通信技术实现资金划拨的电子银行业务已经有几十年的历史了,传统的电子银行业务主要包括资金清算业务和用POS网络及ATM网络提供服务的银行卡业务。
网上银行是随着Internet的普及和电子商务的发展在近几年逐步成熟起来的新一代电子银行,它依托于传统银行业务,并为其带来了根本性的变革,同时也拓展了传统的电子银行业务功能。
与传统银行和传统电子银行相比,网上银行在运行机制和服务功能方面都具有不同的特点。
其特点主要有:全球化、无分支机构;开放性与虚拟化;智能化;创新化;运营成本低;亲和性增强。
2.网上银行的功能网上银行功能一般包括:银行业务项目、网上银行服务、信息发布和商务服务几个部分。
(1)银行业务项目。
主要包括家庭银行(储蓄业务)、企业银行(对公业务)、信用卡业务、国际业务、各种支付、信贷及特色服务等传统的银行业务功能。
(2)商务服务。
商务服务主要提供资本市场、投资理财和网上购物等子功能。
对资本市场来说,除人员直接参与的现金交易之外的任何交易均可通过网上银行进行。
我国网上银行采用的安全技术和措施分析(doc 10页)
我国网上银行采用的安全技术和措施分析(doc 10页)我国网上银行采用的安全技术与措施分析一、实验目的与内容登陆国内各家网上银行,以中国建设银行、中国招商银行、中国农业银行以及中国工商银行为例,了解我国网上银行采用的安全技术与措施(或手段等),从而对比分析各家银行的网银业务中,安全措施的严格性与可靠性、方便性等。
二、实验过程1﹒中国建设银行网络安全是中国建设银行网上银行()应用的关键和核心。
为了能让客户安全、放心地使用网上银行,建设银行制定了以下安全策略,以全面保护客户的信息资料与资金的网上交易安全:(1)短信服务建设银行网上银行提供了从登录、查询、交易直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。
(2)动态口令卡动态口令是一种动态密码技术,简单地说,就是客户每次在网上银行进行资金交易时使用不同的密码,进行交易确认。
建设银行推出的网上银行动态口令卡是一种大小、形状与银行卡一样的卡片,俗称刮刮卡。
每张卡片覆盖有30个不同的密码,客户在使用网上银行过程中,需要输入交易密码时,只需按顺序输入刮刮卡上的密码即可,每个密码只提高证书更新成功率。
如图2所示,为中国建设银行E路护航测试工具:图2 中国建设银行E路护航测试工具2﹒中国招商银行为保障客户的账户资金安全,招商银行(/)专注于此,倾力打造了“一网通网盾”网上银行安全体系,提供以下几重安全防御。
(1)免驱动五彩“优KEY”招商银行五彩“优KEY”是一种运用在网上个人银行专业版中的新型移动数字证书。
它采用精尖加密技术,独有的“免驱动”特点(即无须安装专门的驱动软件),让客户真正体验“银行随我而动、安全自在无忧”的感受。
如图3所示,为中国招商银行五彩“优KEY”:图3 中国招商银行五彩“优KEY”示意图(2)限额控制通过大众版申请的网上支付功能,银行系统自动设置每日消费限额;通过专业版申请的网上支付功能,客户可自行设置每日消费限额,确保能更加顺畅地享受网上支付服务。
电子银行的安全课件
电子银行的安全
3
电子银行安全的特点
¡ 安全性要求高 ¡ 抗攻击能力要很强 ¡ 安全难度大 ¡ 高科技犯罪比重大
电子银行的安全
4
¡ 物理设备 ¡ 软件资源 ¡ 数据资源 ¡ 人才资源
电子银行的资源
电子银行的安全
但生成长密钥的技术是尖端的,美国封锁。比对称密钥加 密法如DES算法等速度慢很多。
电子银行的安全
23
公开密钥加密的两种作用:基于公开密钥的2个密钥之间的数学关系。 1)2位用户之间要互相交换信息,需要各自生成一对密钥,将其中的
私人密钥保存好,将公开密钥发给对方。交换信息时,发送方用接收方 的公开密钥对信息加密,只能用接收方的私人密钥解密。他们之间可以 在无保障的公开网络中传送消息,而不用担心消息被别人窃取。
电子银行的安全
20
DES密码系统
¡ DES密码系统属于对称密码系统。加密和解密用相同密钥的 密码算法,称为单密钥密码算法或对称密码算法。采用这种 算法的系统称为单密钥系统、对称密钥系统或保密密钥系统。 采用单密钥系统通信的双方,共享同一密钥,该密钥需严格 保密。只要密钥不泄露,接收方若能用共享密钥解密接收到 的密文,则证明所接收到的消息是来自合法的发送方,而非 伪造。
明文P经过加密后成密文C。 C=E(P) P=D(C) E表示加密算法,D表示解密算法
P=D(E(P)) 明文经加密成密文后再经解密处理,必须能恢复成原来的明文 ¡ 以上不使用密钥的密码,通常称之为无钥密码 ¡ 加密和 ¡ 解密采用相同密钥的密码系统,称为单密钥(或对称密钥)密
码系统。
电子银行的安全
电子银行的安全
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
财务管理
路安全
公司业务部 网上银行处
主要内容
一、物理与环境安全
1、区域安全 2、设备安全 3、安全管理规章
区域安全
1、物理安全界限--专用电脑中心、密钥管理中心、网络控制中心
机房 2、物理进入控制---
保安、机房门禁 3、在安全区域内工作---
业务操作区与设备区隔离
设备安全
1、设备定位与保护--专用机架、口令保护
2、电力供应与电缆安全--UPS双路电源,互为备份
3、设备维护--购买硬件与软件厂商技术支持、专
业维护队伍
安全管理
1、人员管理
2、系统操作规范
3、机房与设备维护规 定
二、网络安全
防火墙与路由器
1000兆防火墙 NETSCREEN
客户
INTERNET
•
姓名:王家业
1100 0ED4 8BB2 EEBB签发者: • 编号:
C = CN,S = BEIJING, L =
452801197312061538
BEIJING, O = BANK OF CHINA, CN = INTERNET BANKING ,BANK
•
签发者:北京市公安局
OF CHINA
银行系统都做了详细的LOG记录, 方便银行维护和审计人员掌握资金 汇划过程中的相关处理信息
权威结论
2001年2月,我行网上银行系统顺利通 过了全球四大咨询评估公司排名第二的德 勤公司的“互联网安全与控制审计” 。
我行成为国内同业首家通过安全审计评估 的商业银行
• 1、Genius only means hard-working all one's life. (Mendeleyer, Russian Chemist) 天才只意味着终身不懈的努力。20.8.58.5.202011:0311:03:10Aug-2011:03
• ……
企业电子证书详细信息-示例
2、通信保护-保密性
K
K
明文
密文
明文
加密
解密
采用128位对称加密算法、SSL安全套接层协议,确保交易 数据的保密性
通信保护-保密性
采用1024位的RSA非对称加密算法,确保交易 数据的保密性
B公
B私
钥
钥
K
K的密文
K
加密
解密
通信保护-完整性
明文
SHA1
数字 摘要 算法
访问控制---应用三重措施
1、操作员对不同产品、功能的控制 2、操作员对不同账号的控制 3、操作员对不同账号的授权级别控制
4、审计---客户操作记录
对用户每一个操作,
网上银行都做了详细 的LOG记载,方便用ຫໍສະໝຸດ 户掌握资金汇划过程 中的相关操作信息
审计---客户操作记录
审计---系统日志记录
对客户每一笔交易的处理全过程,
CA电子证书
为配合网上银行安全系统改造,我行重建CA 认证中心。新CA系统支持本地化的128位对称
加密算法,1024位证书签名,同时支持 Netscape和IE中英文版本。
电子证书载体采用经过国家密码主管机构认 可的USBKEY/IC卡,保障密钥和证书安全。
电子证书与身份证的比较
• •
颁发给:WANGJIAYE 序列号:10E7 D8F3 8078 ADEC
• 2、Our destiny offers not only the cup of despair, but the chalice of opportunity. (Richard Nixon, American President )命运给予我们的不是失望之酒,而是机会之杯。二〇二〇年八月五日2020年8月5 日星期三
USERID和密码—示例
电子令牌
USBKEY/IC卡
USBKEY/IC卡通过产生和识别网上电子交易
的数字签名(电子签名或电子图章),达到识别 交易者身份和验证交易数据真伪 的目的,保证网上交易的 不可否认性(Nonrepudiation); 同时作为身份认证的强力工具。
口令---定期更换
口令---定期更换
身份管理 身份管理
通信保护 通信保护
认证 保密 授权 完整 不可否认
访问控制 访问控制
安全审计 安全审计
1、可靠的身份管理
• (1)普通口令---两次口令校验 网上银行登录口令、密钥保护口令
• (2)电子令牌---实体检测 口令保护、数据不可读出
• (3)数字证书---强身份认证 重新建设CA认证中心 三重校验,身份确认
1、严格的用户访问管理---用户注 册口令5次错误锁定、连续3天被锁定 则用户死锁
2、系统访问管理---IP地址识别、 硬件编码地址识别、系统访问时间控 制
四、应用安全
• 身份管理
– 身份证件分发 – 身份认证
• 通信保护
– 保密性 – 完整性 – 不可否认性
• 访问控制
– 授权
• 安全审计
– 历史追踪 – 缺陷分析
• 3、Patience is bitter, but its fruit is sweet. (Jean Jacques Rousseau , French thinker)忍耐是痛苦的,但它的果实是甜蜜的。11:038.5.202011:038.5.202011:0311:03:108.5.202011:038.5.2020
A私 钥
明文摘要
加密
摘要的密文
A公 钥
解密
SHA1 散列 算法 明文摘要◎
相等?
明文摘要
通信保护-数字签名
• 数字签名:数据完整性中发送方的操作 • 验证数字签名:接收方的操作
• 签名目的:信息是由签名者发送的; • 验签名目的:信息自签发后到收到的过程中,
没有被篡改、没有仿冒、不是重发性攻击;
通信保护-数字签名
中国银行 安全通道
网上银行系统
分行
防火墙
防火墙
防火墙 分行
动态入侵检测
总行网络监控中心--天阗入侵检测系统,严防黑 客入侵
三、系统安全
1、操作系统安全
中国银行网上银行采用了国际著 名厂商(IBM)的安全操作系统, 与国际一流商业银行的电子银行服 务看齐,足以保证网上银行的系统 安全。
2、系统访问控制
海淀分局
• 有效起始时间:2002年12月6日 • 有效终止时间:2005年12月6日 • Email:wangjy@bank-of-
• 公钥:RSA (1024 bits)
• 发布时间:2000-04-05
• 有效期:10年
• 住址:北京市海淀区学院 南路9号
38ighwejb
信息
摘要
数字 签名
散列函数
私钥加密(签名)
数字 签名
摘要
公钥解密
信息 被确认
散列函数
比较两者 如一致
发送方
信息
摘要 接收方
网上银行中的数字签名-示例
3、访问控制---登录三重措施
1、USERID 唯一性,确保有效识 别操作员 2、USERID与口令、电子令牌的 耦合校验 3、USERID与CA电子证书的耦 合校验