信息系统安全与防护案例分析报告.docx
- 文档编号:2966161
- 上传时间:2022-11-16
- 格式:DOCX
- 页数:13
- 大小:567.10KB
信息系统安全与防护案例分析报告.docx
《信息系统安全与防护案例分析报告.docx》由会员分享,可在线阅读,更多相关《信息系统安全与防护案例分析报告.docx(13页珍藏版)》请在冰豆网上搜索。
信息系统安全与防护案例分析报告
信息系统安全与防护案例分析与报告
信息系统安全与防护
——工商银行信息系统安全分析与报告
选取企业:
工商银行网银系统
第一篇章工商银行信息系统安全概况
一、案例企业选择的特色
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
网上银行为金融企业的发展带来商机并为众多用户带来了方便,但同时网上银行网站本身的安全性问题、交易信息在商家与银行之间传递的安全性问题、交易信息在消费者与银行之间传递的安全性问题已成网上银行业务面临的主要安全问题,分析这些安全问题产生的根源,并提出一些防范对策,显得尤为必要。
二、所处行业信息系统安全的整体状况
我国银行传统业务积累了丰富的客户资源为网上银行初期发展提供源源不断的“氧气”,也是我国网上银行发展的竞争优势。但目前大多数商业银行发展网上银行的主要动力在很大程度上是为了争取传统客户,而将网上银行作为一种宣传工具和稳定客户的手段。网上银行的发展缺乏科学的规划,投入高,效益差,管理水平有待提高。
在我国,老百姓对网上银行的接受是被动的,交易量、交易额和传统柜面相比所占份额很小。网上银行业务更多的是复制传统柜面业务,缺乏根据互联网特点的新的金融创新,对客户的吸引力较弱,客户对网上业务接受比较被动。同时,我国金融产品尤其是理财型的产品相对较少,很多银行将网上银行作为低值业务的分流渠道,因此查询、转账、代缴费大行其道,成为各网上银行的主流业务,所不同的是形式上的包装,就产品来讲更缺乏对客户的吸引力。
随着网络银行的快速发展,网上银行成为现代很重要的支付工具。
网上银行不受时间、地点、空间等的条件的限制可以使用户足不出户的即可办理各种理财业务,节约了银行以及客户的大量的时间同时也提高了工作效率,减少了银行的成本。
网上银行的账务管理功能让大家非常方便地查询账务余额、当日和历史明细等各种账户信息,并可以向银行内外账户进行转账汇款,还可以通过网上银行查询自己的工资单。
银行在网上购物中担当了一个支付平台的作用,消费者不用亲自去商场采购,只要在电脑前用指尖轻敲键盘,就可以选货、下单、付款了,目前,各类购物网站都提供了主要银行的在线支付渠道,您只要选定商品,选择相应银行的支付渠道即可完成支付。
支付完成后,就可等着心仪的货物送上门来,非常方便。
三、案例企业在所处行业中的相对安全状况
1、工商银行网上银行企业银行的安全机制
首先,合理的、严密的业务流程设计是防范风险、提高系统安全性的重要保障.站点系统结构本生采用多重防火墙保护,从而从外部到内部均杜绝黑客的攻击和病毒的破坏。
使用CFCA的企业高级证书,采用PKI公钥体制的非对称加密,采用1024bit的RSA算法对传输信息加密,使用先进的CPU卡技术,先进的双密钥体制证书,进行双向认证,保证信息的秘密性、完整性和不可否认性。
传输安全,在“企业银行”的客户端和银行服务器之间传输的所有数据都经过了两层加密。
病毒防范,在可靠的数据传输安全机制的保障下,企业银行客户端和银行服务器之间传输的是有特定格式的数据而不是程序,这确保了任何病毒都不可能侵入企业银行系统。
严格的授权管理,对于支付和发工资这类涉及资金交易的敏感业务,企业银行系统控制企业必须按照业务管理要求经过相应的经办和授权步骤系统才会接收。
2、工商银行个人银行服务的安全机制
个人网上银行是指通过互联网,为工行个人客户提供账户查询、转账汇款、投资理财、在线支付等金融服务的网上银行渠道,品牌为“金融@家”。
采用国际公认的、通过国家信息安全机关和人民银行鉴定的安全技术,以高性能的网络安全机制为基础,构建严密可靠的网上安全系统,并辅以多重业务安全控制手段,确保所有交易准确无误并且无法窃取。
不仅采用目前个人网上银行通用的密码技术设置,同时还进行了高度安全的智能芯片硬件加密。
这使得"金融@家"取得了与企业网上银行同等安全级别的安全机制。
可以有效防范包括“假网站”和“木马”病毒在内的各类可能的风险。
工商银行的网站里安装了的安全证书。
有效地防止了网站被假冒。
客户只要正确输入工商银行网址,链接的是工商银行网上银行的网站。
传输安全性:
网上个人银行交易采用了国际通行的SSL协议加强信息传输的安全。
客户进行网上银行操作需要输入账户和密码来确认身份。
网上帐务查询需输入查询密码,转账交易要输入交易密码。
进行网上消费付款需输入“网上支付”密码,通过电话银行向网上专户转账需输入转账密码。
如果客户连续输错5次密码,其账户将会被银行冻结。
网上交易资金在银行主机系统内封闭流动:
网上个人银行交易的转账、支付资金都是在银行主机系统内封闭流通。
网上转账只能转向客户指定的建行账户,网上支付资金只能划入商户指定的结算账户,不会流向非法账户。
由于银行主机系统的封闭性,任何人不可能通过网络侵入银行系统盗用资金。
3、工商银行网上银行支付体系的安全保障措施
系统安全保障是工行网银安全的基础。
工行在Internet与网银服务器之间设置了第一道防火墙,在门户网站服务器和内部网络(应用服务器)之间设置了第二道防火墙。
客户身份识别是工行网银安全的关键,为进一步确保大额资金交易的安全性,工行相继推出U盾和电子银行口令卡两项全新的安全产品。
交易过程和业务流程控制是工行网银安全的重点工行网银所有账户、转账指令等敏感信息都采取128位SSL加密通讯协议进行传输,保证了客户交易信息的唯一性、完整性和机密性。
工行规定在网上自助注册的客户没有对外转账权限,客户需凭有关证件到网点开通,还对没有申请U盾的客户设置了对外转账限额,从业务流程方面保障客户资金安全。
此外,只要客户定制了工行网银的余额变动提醒服务,一旦账户资金发生变动,客户就能在第一时间收到手机短信提醒服务,随时了解自己的账户资金变动的情况。
第二篇章技术探测与分析
选取企业:
工商银行网银系统
一、网络地址探测
1、用Ping工具测试其他计算机上TCP/IP协议的工作情况
2、使用nslookup命令实现域名解析
3、使用Tracert命令追踪路由
二、端口扫描
1、利用Nmap扫描网络
2、利用Nmap扫描打开的TCP端口
3、利用Nmap枚举目标计算机的操作系统
第三篇章工商银行网银安全状况分析
一、银行提高系统安全技术的措施
网上银行系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。
但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。
因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
为防止交易服务器受到攻击,银行主要采取以下三方面的技术措施:
一是设立防火墙,隔离相关网络。
一般采用多重防火墙方案。
其作用为:
(1)分隔互联网与交易服务器,防止互联网用户的非法入侵。
(2)用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
二是高安全级的Web应用服务器。
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
三是24小时实时安全监控。
例如采用网络动态监控产品,进行系统漏洞扫描和实时入侵检测。
四是身份识别和CA认证。
网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。
但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于RSA18的加密机制、数字签名机制和用户登录密码的多重保证。
银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。
用户的惟一身份标识就是银行签发的数字证书。
用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。
数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。
2000年6月,由中国人民银行牵头,12家商业银行联合共建的CFCA正式挂牌运营。
这标志着中国电子商务进入了银行安全支付的新阶段。
她作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
所以,对于当前网上银行系统,加强网银用户的身份认证管理,防止用户资料的泄露,是消除网上银行安全隐患的有效措施。
如果没有完善的双向身份认证机制,那么这个网上银行的安全性就是没有任何保障的。
当前世界上绝大部分银行的网上银行系统都是基于公开密钥体系和数字证书建立起来的。
二、金融机构网上银行安全评估内容
上面谈到的金融机构提高网上银行业务安全方面的各种措施是技术层面的,在管理方面除了制定相关法律法规之外,还需要评估机构对网上银行的安全状况进行评估。
这也是银行方面配合相关部门监管,促进业务健康发展的有效措施。
网上银行的安全评估19是指金融机构在开展网上银行业务过程中,对网上银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。
它应真实、全面的评价网上银行系统的安全性。
所以,网上银行安全评估至少应包括以下内容:
(1)安全策略;
(2)内控制度建设;
(3)风险管理状况;
(4)系统安全性;
(5)网上银行业务运行连续性计划;
(6)网上银行业务运行应急计划;
(7)网上银行风险预警体系;
(8)其他重要安全环节和机制的管理。
在评估报告的结论中,评估机构应采用量化的办法表明被评估机构网上银行的风险等级,说明被评估机构网上银行安全管理中存在的主要问题与隐患,并提出整改建议。
总之,结合银行自身加强安全技术和相关机构对网上银行安全性评估的内容,我们可以简要的总结一下网上银行安全评价标准是:
(1)权威机构安全评估。
是否通过中国人民银行认可的权威评估机构的安全评估是衡量中国网上银行系统安全性的主要标准。
目前,中国信息安全产品测评认证中心是中国唯一经国家授权成立的信息技术安全性测评认证机构。
(2)第三方数字证书认证。
数字证书认证是国际通用的网上银行安全保护措施。
数字证书相当于您的“网上电子身份证”,而第三方证书认证独立于交易双方的任何一方,因此更具有权威性和公正性,能有效保障网上交易双方身份的真实性、交易的私密性和不可否认性。
(3)安全交易协议。
安全交易协议是对网络传输数据进行加密的协议。
其中,SSL协议采用了公开密钥和私有密钥两种加密方法,可以认证用户和服务器,加密数据以防止数据中途被窃取,同时维护数据的完整性,确保数据在传输过程中不被改变。
(4)防火墙。
防火墙处于网上银行中心与互联网之间,包括硬件防火墙和软件防火墙。
用于限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限,可有效防止非法用户的入侵。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息系统安全 防护 案例 分析 报告