1 / 11
文档名称:

网上银行的安全系统概述.doc

格式:doc   大小:275KB   页数:11页
下载后只包含 1 个 DOC 格式的文档,没有任何的图纸或源代码,查看文件列表

如果您已付费下载过本站文档,您可以点这里二次下载

分享

预览

网上银行的安全系统概述.doc

上传人:taoapp 2022/2/16 文件大小:275 KB

下载得到文件列表

网上银行的安全系统概述.doc

文档介绍

文档介绍:摘要
随着中国加入 WTO,外国银行进入中国市场,国内银行的业务越来越多的移植到网络银行上,因此网上银行的需求日益增加。但是 Internet 的开放性特点,使网上银行面临种种风险,可以说安全性是网上银行最大的考核要素。所以一套完善的安全的信息,接收方则不能否认他所收到的信息。
回页首
安全系统架构
PPDRR 安全模型
构建完善的安全系统解决方案,安全模型的选择至关重要。PDR 模型是由 ISS 公司最早提出的入侵检测的一种模型。PDR 是防护(Protection)、检测(Detection)和响应(Response)的缩写。三者构成了一个首尾相接的环,也即“防护 -> 检测 -> 响应 -> 防护”的一个循环。PDR 模型有很多变体,在银行网络中最著名的是 PPDRR 模型。增加了策略 (Policy) 和恢复 (Recovery)。PPDRR 模型是典型的、公认的安全模型。它是一种动态的、自适应的安全模型,可适应安全风险和安全需求的不断变化,提供持续的安全保障。
PPDRR 模型包括策略 (Policy)、防护 (Protection)、检测 (Detection)、响应 (Response) 和恢复 (Recovery)5 个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环,在 PPDRR 模型安全策略的指导下共同实现安全保障,如下图所示。
图 1. PPDRR 模型 
安全系统网络拓扑图
以 PPDRR 安全模型为基础设计的网银安全系统网络拓扑图如下图所示:
图 2. 网络拓扑图 
通过拓扑图可以看出,整个网络系统通过三道防火墙划分为四个逻辑区域。按由外到内的顺序部署。最外层为是 Internet 区(非授信区),为网银用户客户端接入区域;第一道防火墙和第二道防火墙之间是隔离区(DMZ),在此区域中部署 RA 服务器以及网银系统的 Web 服务器等其它第三方应用系统;第二道防火墙和第三道防火墙之间是应用区,是网银系统的应用 /DB 区,在此区域中部署网银系统的应用服务器和数据库服务器;第三道防火墙之后为银行的核心系统、中间业务平台等第三方业务系统。在隔离区和应用区的 Web 服务器,应用服务器和数据库服务器都会有相应的双机热备方案。方案的细节会在下文详细介绍。
安全策略
安全策略是整个安全体系的基础。构建安全系统需要工程师来操作,这就需要建立健全的规章制度和操作规范,使保护、检测、响应和恢复环节行之有效。
一般的安全系统需要以下规章制度和操作规范:设备管理制度,机房管理制度,系统安全管理守则和明细,网络安全管理守则和明细,应用安全管理守则和明细,应急响应计划,灾难恢复计划等。
安全防护方案
防护方案主要包括以下几个方面:
身份认证系统
网上银行应用系统中的安全防护的第一道防线是身份认证。身份认证的技术有很多,可以分为两类:软件认证和硬件认证。其中软件认证多为用户自己知道的秘密信息,譬如用户名和密码。硬件认证包括 IC 卡,基于生物学信息的身份认证,比如指纹识别,虹膜识别,面部识别等。
单纯的软件认证已不能满足网络银行系统的身份认证需求,所以网络银行多采用软硬件结合的双因子认证方式作为身份认证的辅助解决方案。其中流行的双因子认证多为动态密码:
USB Key 认证
USB Key 内置智能卡芯片,可以存储用户的密钥或数字证书。一般的 USB Key 都以 CA 认证为核心,采用双证书(加密证书 / 签名证书)、双中心(认证中心、密钥中心)机制来做身份认证。通常还有个启动 PIN 码。提供对 USB Key 持有人的认证。这样不怕 USB Key 被别人盗用。
动态口令
动态口令由专有的动态令牌定时生成,一般 60 秒随机更新一次。用户每次登陆输入完静态密码后直接输入动态口令牌显示窗口显示的 6 位密码即可。
刮刮卡
刮刮卡是用一次性口令技术事先算出一次性口令的子集或全集,将这些口令印制在一张卡片上。刮刮卡密码本身为静态的数字,但是每次登陆网银系统的时候,系统会随机抽取一组坐标组合,由这组坐标组合对应的数字组合成动态密码。
动态短信
动态短信是服务器端通过通信服务商向用户的手机上发送一次性密码短信,用户也可以通过拨打相应的客服电话来获得一次性密码。对客户来说几乎没有投入成本,安全性强。
上面介绍的这四种身份认证的辅助解决方案可以在相当大的程度上杜绝目前流行的专门盗取客户的账号和密码的“盗号木马”的危害。
权限控制系统
权限控制包括网络的访问权限控制,设备的访问权限控制,服务器的远程访问权限控制(包括页面服务器、应用服务器、数据库服务器等),网银系统的权限控制。其中企业网银和后台管理系统涉及到多人在同一系统内的操作,权限控制尤其重要。
边界控制

最近更新

2025年度在线教育竞业禁止服务协议 8页

2025年度土地经营权流转与农业产业链金融合作.. 9页

2025年度土地承包经营权收益权转让及共享协议.. 7页

2025年度图书品牌销售合作协议 9页

2025年度国际物流服务合同作废声明 8页

2025年度国有建设用地使用权出让合同(绿色食.. 8页

2025年度四川省房屋租赁法律咨询与服务合同 8页

2025年度商铺租赁合同(含租金支付及调整机制.. 7页

2025年度商铺合同转让与租金支付方式协议 8页

2025年度商场餐饮区域租赁经营合同 7页

2025年度商务服务合同模板:智能交通系统建设.. 9页

2025年度商业综合体场地租赁意向书 8页

2025年度员工离职补偿及经济补贴合同 8页

2025年度员工劳动合同书电子版云存储服务与数.. 9页

2025年度名义借用购房资金支付及监管协议 9页

2025年度合资研发新能源汽车动力电池技术合同.. 9页

2025年度合伙企业股权回购及智能制造产业合作.. 9页

2025年度可再生能源项目委托管理服务合同 10页

2025年度变压器过户及电力市场交易执行协议 9页

2025年度厨师餐饮行业培训合作雇佣合同 9页

2025年度厂房租赁及配套设施维护服务合同 7页

2025年度华过户协议书:知识产权授权使用及过.. 8页

2025年度医院废弃物焚烧设施运营承包合同 8页

2025年度医院与企业医疗康复设备研发及生产合.. 9页

2025年度医疗设备投放与医疗器械租赁服务合同.. 9页

2025年度医疗机构与学校联合开展的学生健康体.. 9页

2025年度医疗单位医疗事故处理及专业人员聘用.. 8页

2025年度医学图书馆服务合作协议 9页

2025年度北京市事业单位科研助理聘用合同实施.. 8页

2025年度化妆品品牌全国分销商合作协议 8页