一、方案背景
银行业是一个特殊的行业,在国民经济和社会生活中扮演着重要的角色。银行的业务数据多是和储户的账户有关的敏感数据,如储户的账户号码、账户密码、账户中的存款金额等,而互联网是一个开放的公共网络,在这样一个开放的网络上拓展银行的传统业务,安全性是银行要考虑的首要因素,网上银行系统对安全性有着特殊的要求,需要采用各种先进的安全技术手段予以保障。
二、需求分析
网上银行安全系统应以PKI体系为基本框架,通过与第三方CA中心的连接使网上银行系统能够实现:
(1)网络钓鱼: 利用与银行网站相似的域名和界面,骗取用户登陆,获取用户账户及密码信息,进行非法操作。
(2)密码保护:攻击者有可能通过记录键盘、屏幕录像、浏览器嵌入恶意代码等手段盗取用户的账号和密码。
(3)身份认证与授权:对用户、银行双方身份进行认证,以保证交易双方身份的正确性。
(4)数据传输、存储的完整性:保证网上银行所传输的交易信息不被中途篡改及通过重复发送进行虚假交易。
(5)数据传输、存储的机密性:保证网上银行所涉及的大量保密信息在公开网络的传输过程中不被窃取。
(6)操作的不可否认性:在网上银行交易完成后,保证交易的任何一方无法否认已发生的交易。
三、方案简介
1、北京数字证书认证中心
BJCA是获得国家电子认证服务许可资质的可信第三方CA中心,具有高可靠性、高安全性的CA系统及数据中心和电子凭证管理中心,为网上银行个人、企业用户提供卓越的电子认证服务。
BJCA为银行在各分行、支行设立证书受理点,面向用户提供关于证书的申请、发放、更新等服务。并向银行的网银系统提供用户证书信息确认,黑名单等功能。
2、银行系统
在银行的网银系统服务器部署SSL全球服务器证书、密码安全输入控件、。并提供电子凭证管理系统、电子签章系统,与网银应用服务器对接。
(1)SSL全球服务器证书:为用户客户端与网银系统间建立安全通信隧道,保障数据传输的安全。
(2)密码安全输入控件:为用户密码提供从键盘驱动一直到服务器接收整个路径的安全保护,大大提升用户使用网上服务的信心,降低了网上银行系统运营风险。
(3)Web信息安全系统:为网银系统提供基于证书的身份认证、数字签名以及加解密等功能。
(4)电子签章系统:将电子签名图形化、图章化,为用户提供更符合中国人习惯的电子签名方式;
(5)电子凭证管理系统:提供网上银行签名后的相关电子单证的保存、管理、展现等服务,提高银行工作人员办公效率、推进银行业务发展。
四、产品清单
- 数字证书
- Web信息安全系统
- 电子签章系统
- 电子凭证管理系统
- SSL全球服务器证书
- 密码安全输入控件