银行网络安全系统技术方案

　　一、银行网络安全系统方案 　　

　　 (一)设计原则

　　 1．所有安全和服务由硬件设备完成

　　 安全软件在运行、存储中是不能保障安全的，软件运行时很多重要信息(如密钥和PIN)都会在某个时间清晰地出现于计算机的存储器中，因而“高水平”的不法分子窃取并利用这些重要信息十分容易，所以需要采用硬设备才能保障安全

　　 2．实用可靠

　　 要充分满足综合业务系统的实际需要，运行要可靠稳定。

　　 3．进行一体化系统设计

　　 要保证综合业务系统的安全性、保密性，不是仅仅靠独立的安全保密设备就能实现的，必须从系统的角度进行考虑，进行一体化的设计，才能满足系统化的安全需求。

　　 4．使用方便、操作简单、维护方便。

　　 (二)系统方案

　　 1．系统组成

　　 综合业务系统的安全保密系统方案由密押卡、密押保密机、密钥管理、目录服务、安全应用程序接口(API)等组成。

　　 (1)密押卡完成密押的生成、信息的加密等功能，适用于ISA总线或PCI总线，用于网点。在系统中，报文数据的传输既采取加押的措施，又采用加密的手段，保证其完整性、抗抵赖性和机密性。

　　 (2)密押保密机完成密押的生成、信息的加密等功能，用于总行中心和数据中心。

　　 (3)安全智能(CPU)卡系统采用较强的人机鉴别措施：密押卡的操作需要IC卡和PIN去激活。IC卡和PIN作为人机鉴别的措施，具有较强的安全性。

　　 (4)密钥与目录管理中心完成密钥的生成、分发及其它管理功能。分为对称密钥和非对称密钥的管理。密钥管理可由PC服务器来完成。根据网络规模，可采用一级结构，总行配置密钥管理PC服务器。提供公钥证书的查询服务。目录服务由PC服务器完成，配置于总行。

　　 (5)安全应用程序接口保密功能要正常运行，必须嵌入系统程序中，这需要开发应用程序接口(API)。

　　 2．系统配置

　　 安全保密系统配置见右图。

　　 在图中，总行总中心配置了密钥管理服务器、目录服务器、密押保密机。为了满足业务量的需求和可靠性的要求，可以采用多台密押机同时工作的模式。各数据中心配置密押保密机。各个网点配置PCI总线密押卡或ISA总线密押卡1～2块。

　　 3．安全保密功能

　　 在综合业务系统安全保密系统中，提供文件加密、数字签名、文件完整性验证、身份鉴别、密钥管理与分发、证书生成与分发、访问控制、抗抵赖、安全审计等安全保密功能。有关支付密码和图象印鉴不含在此，将另外专文叙述。

　　 4．密码算法

　　 在安全保密系统中，需要采用如下三种密码算法：

　　 (1) 对称加密算法(分组密码算法)：密钥量为128bit。

　　 (2) 散列算法：Hash算法(128bit扩充至1024bit)。

　　 (3) 公开密钥算法：1024bit的非对称密码算法，提供安全性强的数字签名功能。

　　 采用智能(CPU)IC卡实现密钥分配和访问控制。上面三种密码算法为中国投资银行专用，且都要经过国家密码管理委员会的审批。

　　 5． 密钥管理与目录服务

　　 (1) 密钥管理是系统安全性、保密性的根本保证。密钥管理使用三级结构。

　　 (2) 目录服务为每个网点、数据中心提供“电话号码本”式查询服务。用户到目录服务器可索取其它用户的公钥证书。

　　 (三) 安全审计

　　 为了测出系统的控制是否足够、保证与已建立的策略和操作规程相符合、发现安全中的漏洞以及在控制、策略和规程中作任何指定的改变，必须对系统记录与活动进行独立的观察与考核。所以我们要在全系统实施安全审计，提供安全审计管理的接口。安全审计管理包括：

　　 1．选择将被记录和远程收集的事件；

　　 2．授予或取消对所选事件进行审计、跟踪日志记录的能力；

　　 3．所选审计记录的远程收集；

　　 4．准备审计报告。

　　 具体地说，我们可以提供给系统管理员一个接口，让系统管理员能对每项安全保密功能实施审计，可选择配置其中任一项、几项或全部。系统管理员还可指定审计记录的存放方式，如加密存放在主机中，关键部分存放在卡中。调看审计记录需要特别的授权，可采用专门的IC卡来完成这种授权。

　　 在系统中，对密押卡和密押加密机的每次操作，其操作情况都将记录下来。可运行实时监控和扫描软件，对系统进行审计和稽核。系统的实时监控和扫描将另文叙述。

　　 图1

　　 (四) 操作授权

　　 已知的许多威胁都与授权行为和非授权行为的概念有关，我们在此系统中要充分分析系统中的各个行为主体，系统中的各种敏感性数据，采用适当的方式完成授权，例如采用“基于身份”和“基于规则”的方式来防止假冒和越权行为。

　　 授权采用具有强鉴别功能的IC卡来实现，并辅以操作密码。这里的IC既可以是存储IC卡(不带CPU)也可以是带CPU的IC卡。

　　 (五) 物理保护措施

　　 密押卡具有完善的物理保护措施。采用金属屏蔽盒对密押卡进行加密。取下金属屏蔽盒，密押卡上的密钥等机密数据就销毁；对金属屏蔽盒进行钻孔窥探也将造成密押卡上的密钥等机密数据销毁。

　　 二、银行网络安全技术方案

　　 (一)概述

　　 1．安全保密主要功能

　　 (1)系统报文传输加密对网点、分行、总行之间传输的系统报文提供加密、解密服务。在系统报文传输到的任一分行或总行，都要对加密的系统报文进行解密和再加密传输。

　　 (2)系统文件传输加密对网点、分行、总行之间传输的系统文件提供加、解密服务。在系统文件传输到的任一分行或总行，都要对加密的系统文件进行解密和再加密传输。

　　 (3)联行密押对网点与目的行之间的联行交易提供密押服务，以保证其真实性、完整性。

　　 (4)传输数据校验对传输的数据提供校验功能，以保证其完整性。

　　 (5)存储数据校验对存储的数据提供校验功能，以保证其完整性。

　　 (6)支付密码的生成和校验完成支付密码的生成、校验，以保证支付双方身份的真实性和完整性。

　　 (7)ATM、POS传输加密在ATM、POS终端与主机之间提供传输加密功能。

　　 (8)PIN生成、传输加密和校验完成PIN的生成、传输加密和校验，以保证其随机性、保密性和完整性。

　　 (9)密钥管理和分发完成加密、校验、密押等安全功能所需要的对称密钥和非对称密钥的产生、存储、管理和分发。分发采用安全智能IC卡进行。

　　 (10)证书生成与分发在采用公钥密码体制时，需要使用公钥证书完成公钥的分配。

　　 (11)访问控制用智能(CPU)IC卡来实现访问控制。智能IC卡上有经过国家主管部门批准的密码算法，实现基于密码算法的强鉴别机制。

　　 (12)安全审计将安全保密设备的工作情况、密钥使用情况作完全记录，以备审计。

　　 2．密码算法

　　 在综合业务系统安全保密系统中，需要采用三种密码算法。这些密码算法都经过国家密码主管部门批准。

　　 (1)分组密码算法用于加密、解密、数据校验和访问控制，由合作单位自主设计，且经过国家密码主管部门批准；密码算法强度高于DES或其变种三重DES，也高于其它公开使用的密码算法。

　　 在分组密码算法中，使用128bit的密钥长度，密钥量为1037。密钥由密押卡或密押保密机随机产生，用主密钥加密分发。

　　 (2)散列算法用于在密押前对文件或交易报文进行单向压缩编码，以便进行密押。散列算法由合作单位自主设计，且经过国家密码主管部门批准。散列算法的强度高于公开的散列算法(如MD4等)。文件或交易报文经过散列算法运算结果为128bit。

　　 (3)公开密钥算法采用RSA算法。采用该算法需经过国家密码主管部门批准。密钥模长n为1024位，秘密密钥SK长度较长，公开密钥PK长度一般取17位，满足(SK＊PK)mod n=1。