网络金融安全管理.ppt

本章结构,本章结构,本章重点难点,7.1 网络金融的安全问题,7.2 相关安全技术与标准,7.3 金融认证体系,重点：网络金融的安全问题及金融认证体系,难点：相关安全技术与标准,7.1 网络金融的安全问题,本节逻辑结构图,7.1.1 网络金融面临的安全挑战,7.1.2 制约我国网络金融安全防范能力的因素,7.1.1 网络金融面临的安全挑战,计算机安全,1、国际标准化组织（ISO）将“计算机安全”定义为：“为数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件数据不因偶然或者恶意的原因而遭到破坏、更改和泄漏”。2、计算机安全包括物理安全和逻辑安全两个方面。,7.1.1 网络金融面临的安全挑战,物理安全,物理安全就是保护信息系统的软硬件设备、设施以及其他媒体免遭地震、水灾、雷击等自然灾害、人为破坏或操作失误，以及各种计算机犯罪行为导致破坏的技术和方法。,逻辑安全,逻辑安全指的是信息不受偶然的或者而已的原因而遭到破坏、更改、泄露，正常可靠地运行系统，网络服务不中断。,7.1.1 网络金融面临的安全挑战,一、内部管理安全,二、感染病毒风险,三、技术层面的安全,四、立法安全,7.1.2 制约我国网络金融安全防范能力的因素,一、缺乏自主的计算机网络和软件核心技术,二、安全意识淡薄是网络金融安全的瓶颈,三、运行管理机制存在缺陷和不足,四、缺乏制度化的防范机制,7.2 相关安全技术与标准,本节逻辑结构图,7.2.1 网络安全技术,7.2.2 网络信息安全标准,7.2.1 网络安全技术,一、密码技术,二、访问控制与防火墙技术,三、入侵检测与安全审计,四、黑客与病毒防范技术,五、操作系统安全技术,六、数据库系统安全技术,七、数据安全技术,7.2.2 网络信息安全标准,TCSEC 是“可信计算机系统评估准则”的英文缩写，由美国国防部于1985 年开发的，是彩虹系列丛书之一，已经成为现行的网络安全标准,ITSEC 是信息技术安全性评估准则的英文缩写，由西欧四国（英、法、荷、德）于1991年联合提出,CC 是通用准则的英文缩写。1996 年六国七方签署了信息技术安全评估通用准则即CC1.0,TCSEC,ITSEC,CC,7.2.2 网络信息安全标准,我国有关网络信息安全的相关标准,国内主要是等同采用国际标准计算机信息系统安全保护等级划分准则（GB17895-1999）信息处理系统开放系统互联基本参考模型第二部分安全体系结构（GB/T9387.2 1995）信息处理数据加密实体鉴别机制第1部分：一般模型（GB 15834.1 1995）信息技术设备的安全（GB 4943-1995）等,7.3 金融认证体系,本节逻辑结构图,7.3.1 美国测评认证体系,7.3.2英国测评认证体系,7.3.3我国测评认证体系,7.3.4 我国金融行业中统一的PKI体系,7.3.1 美国测评认证体系,7.3.2 美国测评认证体系,英国的IT安全评估认证机构是在1991年由商业工业部（DTI）和通信电子安全小组（CESG）共同建立的，所依据的评估认证标准主要是CC及其评估方法和ITSEC及其评估方法。,英国的IT安全评估认证机构（GB）在行政上由CESG领导。CESG作为一个文职机构，隶属于政府通信指挥部（GCHQ）。其前身是通信电子安全局，主要负责保证政府和军事通信的安全。CESG的认证人员主要负责专业能力、技术目标和商业秘密方面的最高技术标准的开发。,7.3.3 我国测评认证体系,中国国家信息安全测评认证中心,中国国家信息安全测评认证中心计算机测评中心，由信息产业部及国家信息安全认证管理委员会批准，经中国国家信息安全测评认证中心授权，于2000年3月22日在北京成立，是由中国国家信息安全测评认证中心授权信息产业部第十五研究所太极联合实验室在信息产业部计算机安全技术检测中心基础上，建立的计算机测评中心。,公安部计算机信息系统安全产品质量监督检验中心,1、于1997年下半年开始筹备建立2、于1998年8月10日起，对在中华人民共和国境内销售的计算机信息系统安全专用产品中的网络安全类、访问控制类和鉴别类产品颁发销售许可证。,7.3.4 我国金融行业中统一的PKI体系,安全特点,优点,1、可以达到金融统一认证体系的目的2、可以通过策略上的设置，在逻辑上区分不同银行的CA，确保各银行的自身业务特点，也可以塑造统一的品牌形象3、具有一个信任起点，互通互信过程简单，可以实现跨行交易4、层次结构的PKI系统易于维护和升级，易于增加新的商业银行的子CA认证中心，从而扩大网上银行的用户群。5、证书路径相对较短6、在层次结构中，认证不一定要验证到根,7.3.4 我国金融行业中统一的PKI体系,安全特点,缺点,1、依赖于一个单一的信任起点，即“根CA”。根CA是每个用户的信任起点，它的安全性极为重要，一旦出现问题，后果是灾难性的。2、由于PKI/CA的安全策略所规定，根CA证书的私钥的生命周期是有限的。在规定的时间内，更换根CA私钥要有一套严密的 安全过程。根CA密钥的更换会导致整个PKI系统的根证书密钥的更换。,7.3.4 我国金融行业中统一的PKI体系,本节逻辑结构图,7.3.4 我国金融行业中统一的PKI体系,物理结构,7.3.4 我国金融行业中统一的PKI体系,金融CA的目录服务器是一个树状结构，根据目前情况组成二级结构即可，第一级为根CA的主目录，第二级为各商业银行的运行CA目录。,统一金融CA的目录结构，首先支持各商业银行自己内部网银交易查询，在实现跨行交易后，还可实现各目录之间智能化自动查询。,目录结构,7.3.4 我国金融行业中统一的PKI体系,建设金融CA统一认证应用体系，除CA的合理结构、合理机制之外，还有数字证书统一标准的问题，关键问题是证书唯一名（DN）的标准化设计问题。,如果DN不规范，DN不统一，会影响到证书的规范管理和跨行业应用,证书标准化问题,7.3.4 我国金融行业中统一的PKI体系,DN标准化的基本要求,1、充分考虑各行RA所采用的DN标准，加以综合,2、充分考虑到证书跨行应用对DN的要求,3、尽量减少对现有证书用户的影响,4、要兼容各行CA证书和统一CA证书,