上銀行安全解決方案
方案背景
銀行業(yè)是一個(gè)特殊的行業(yè),在國(guó)民經(jīng)濟(jì)和社會(huì)生活中扮演著重要的角色。銀行的業(yè)務(wù)數(shù)據(jù)多是和儲(chǔ)戶的賬戶有關(guān)的敏感數(shù)據(jù),如儲(chǔ)戶的賬戶號(hào)碼、賬戶密碼、賬戶中的存款金額等,而互聯(lián)網(wǎng)是一個(gè)開放的公共網(wǎng)絡(luò),在這樣一個(gè)開放的網(wǎng)絡(luò)上拓展銀行的傳統(tǒng)業(yè)務(wù),安全性是銀行要考慮的首要因素,網(wǎng)上銀行系統(tǒng)對(duì)安全性有著特殊的要求,需要采用各種先進(jìn)的安全技術(shù)手段予以保障。
需求分析
網(wǎng)上銀行受到的安全威脅主要來(lái)自下面幾個(gè)方面:
對(duì)用戶身份的假冒:攻擊者盜用合法用戶的身份信息,以假冒的身份與他人進(jìn)行通信。 包括木馬盜號(hào)、灰鴿子病毒等都是目前常見的攻擊方式。
對(duì)網(wǎng)絡(luò)上信息的竊。汗粽咴诰W(wǎng)絡(luò)的傳輸鏈路上,通過(guò)物理或邏輯的手段,對(duì)數(shù)據(jù)進(jìn)行非法的截獲與監(jiān)聽,從而得到通信中敏感的信息。
對(duì)網(wǎng)絡(luò)上信息的篡改:攻擊者有可能對(duì)網(wǎng)絡(luò)上的信息進(jìn)行截獲并且篡改其內(nèi)容(增加、截去或改寫)。
對(duì)發(fā)出的信息予以否認(rèn):某些用戶可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),例如否認(rèn)自己發(fā)出的轉(zhuǎn)帳信息等,一旦發(fā)生糾紛,無(wú)法界定責(zé)任。
對(duì)信息進(jìn)行重發(fā):除了以上情況之外,還存在"信息重發(fā)"的攻擊方式,即攻擊者截獲網(wǎng)絡(luò)上的密文信息后,并不將其破譯,而是把這些數(shù)據(jù)包再次發(fā)送,以實(shí)現(xiàn)惡意的目的。
網(wǎng)絡(luò)釣魚: 利用與銀行網(wǎng)站相似的域名,騙取用戶登陸,獲取用戶賬戶及密碼信息,進(jìn)行非法操作。
以下將分析以上安全的潛在問題,基于數(shù)字證書技術(shù),提出安全的應(yīng)用解決方案。
方案簡(jiǎn)介
如上圖所示,總體架構(gòu)包括兩個(gè)部分:
1) 國(guó)富安CA電子認(rèn)證服務(wù)
作為權(quán)威的第三方認(rèn)證機(jī)構(gòu),國(guó)富安公司憑借強(qiáng)大的電子認(rèn)證技術(shù)和豐富的運(yùn)營(yíng)管理經(jīng)驗(yàn),為網(wǎng)上銀行個(gè)人用戶提供卓越的電子認(rèn)證服務(wù)。
國(guó)富安CA為網(wǎng)上銀行系統(tǒng)提供WEB服務(wù)器證書、個(gè)人用戶證書、以及行內(nèi)操作員證書。同時(shí),部署有證書及CRL服務(wù)系統(tǒng),提供證書及證書撤銷列表查詢下載服務(wù);部署有OCSP服務(wù)系統(tǒng),提供在線證書查詢服務(wù);部署有證書管理終端,采用B/S方式,提供對(duì)用戶的在線證書申請(qǐng)、更新和撤銷服務(wù)。
2) 網(wǎng)上銀行系統(tǒng)
在網(wǎng)上銀行Web服務(wù)器部署服務(wù)器證書、證書解析及驗(yàn)證接口模塊、密碼服務(wù)接口模塊、OCSP模塊等實(shí)現(xiàn)網(wǎng)上銀行個(gè)人用戶的身份認(rèn)證、證書狀態(tài)在線查詢、重要操作的簽名、操作的簽名驗(yàn)證等功能;在網(wǎng)上銀行應(yīng)用服務(wù)器上部署證書解析及驗(yàn)證模塊、密碼服務(wù)接口模塊、OCSP模塊等實(shí)現(xiàn)個(gè)人用戶證書狀態(tài)在線查詢、操作的簽名驗(yàn)證、數(shù)據(jù)的加密存儲(chǔ)等功能。
產(chǎn)品清單
(聲明:本站所使用圖片及文章如無(wú)注明本站原創(chuàng)均為網(wǎng)上轉(zhuǎn)載而來(lái),本站刊載內(nèi)容以共享和研究為目的,如對(duì)刊載內(nèi)容有異議,請(qǐng)聯(lián)系本站站長(zhǎng)。本站文章標(biāo)有原創(chuàng)文章字樣或者署名本站律師姓名者,轉(zhuǎn)載時(shí)請(qǐng)務(wù)必注明出處和作者,否則將追究其法律責(zé)任。) |