电子银行安全态势综合分析与趋势预测.pptVIP

* * * * * * * * * * * * * * * * * * 电子银行安全之“门” 电子银行发展需要 业务场景多元化 ATM机 POS机 电话银行 柜面系统 网上银行 企业用户 个人用户 手机银行 电子银行发展需要 电子银行面临的安全风险 网上银行面临的安全风险 病毒 木马 网络钓鱼 域劫持 电子银行发展需要 电子银行面临的安全风险 电话银行面临的安全风险 电话窃听 按键录音 电子银行发展需要 电子银行面临的安全风险 ATM面临的安全风险 假ATM机 安装盗取磁条及密码的设备 拍肩党掉包计 ATM在给广大银行用户带来便利的同时，其静态密码机制也给银行用户带来的风险隐患。 电子银行发展需要 电子银行面临的安全风险 POS机面临的安全风险 通过改造的POS设备盗取卡及密码信息 电子银行安全架构 身份认证是电子银行安全的第一道门 缺乏有效身份认证保护，电子银行其他安全防护设施如同虚设。 电子银行安全剖析 安全的多维性 应用数据安全 应用平台安全 操作系统平台安全 网络安全 网络基础架构 物理安全 安全策略 安全评估 安全管理 密码技术是电子银行安全技术体系的核心，只有保障算法和密钥的安全，才能保障密码及身份认证的安全。 电子银行发展的“瓶颈” 身份认证技术应用现状 ATM POS 电话银行 网上银行 柜面系统 静态密码 数字证书 USBKEY OTP短信 密码 矩阵卡 安全性差 需要记很多密码 动态密码 令牌 需要一种广泛适用的身份认证解决方案 多应用场景身份认证需求 手机银行 电子银行发展的“瓶颈” 缺乏广泛适用的身份认证手段 数字证书USBKEY 易用性差 只能适用于网上银行 除USBKEY硬件成本外，还存在证书租赁或自建CA的成本 电子银行缺乏：安全性强、使用简单、运维简便、经济性强、可适用电子银行所有应用场景的身份认证产品。 ATM POS 电话银行 网上银行 柜面系统 多应用场景身份认证需求 手机银行 全球电子银行身份认证应用趋势 动态密码的广泛应用 动态密码是一种安全性强、使用简单、运维简便、经济性强、可适用电子银行所有应用场景的身份认证产品。 ATM POS 电话银行 网上银行 柜面系统 多应用场景身份认证需求 手机银行 全球电子银行身份认证应用趋势 动态密码的广泛应用 银行名称 国家 银行名称 国家 瑞士银行 瑞士 瑞士瑞信银行 瑞士 美国银行 美国 WACHOVIA 美国 第一银行 美国 瑞穗金融集团 日本 法国兴业银行 法国 法国农业信贷银行 法国 汇丰银行 英国 Alliance-Leicester 英国 bankwest 澳大利亚 Mandiri 印度尼西亚 中国银行 中国 … … 动态密码技术介绍 核心竞争优势 动态性 动态口令每次都是动态产生的，无法预测、跟踪。 物理 隔离 动态密码的种子密钥安全存储、不参与网络交换；动态密码的产生不受任何外界条件的影响或干扰。 方便性 不需要改变用户使用习惯，无需再为记忆复杂的、定期更改的口令而烦恼。 应用 广泛 在不需要改造或重新采购交易终端、设备的前提下可满足电子银行所有应用场景身份认证需求。 动态密码技术介绍 动态密码令牌对比数字证书USBKEY 易用性强 可适用电子银行所有业务场景 部署、维护简易 成本更低 抗抵赖安全特性 密码产生 完全物理隔离 动态密码技术介绍 发展趋势及原理 事件型动态密码原理 时间型动态密码原理 动态密码技术介绍 发展趋势及原理 挑战型动态密码原理 动态密码技术发展趋势 动态密码技术介绍 挑战应答机制的优势 加扰图片 可以灵活地设置挑战因子 交易卡号或交易金额 短信挑战码 扩展了认证范围 增加了认证强度 提高了整体安全性 动态密码技术介绍 挑战应答机制的优势 在转账或支付时，如果将卡号、交易金额作为挑战因子进行运算，就相当于对交易过程进行了电子签名，既能防止交易信息被篡改，也使得交易行为有了电子凭据，具有不可抵赖性。 动态密码技术介绍 云时代的身份认证 跨资源的认证 跨应用的认证 统一的账号管理 统一的认证鉴权 统一的授权许可 统一的安全审计 以用户为中心，以任务为龙头 动态密码技术介绍 云身份认证架构 认证鉴权 授权许可 账号管理 映像创建 映像生命周期管理 任务请求 虚拟资源管理、安全审计 身份管理流 云工作流 任务管理流 我国动态密码技术及产业 为什么必须发展我国自主产品 我国相关安全机构已在众多国外安全产品中检测出预留的攻击型漏洞。 大量使用国外安全产品无异于自毁我国信息安全“长城”。 我国动态密码技术及产业 相关发展状况 行业法规 自主产品 标准 《商用密码管理条例》确定了动态密码所属商用密码产品的研发、生产、销售的规范。 《信息安全等级保护管理办法》确立了商用密码在我国信息安全等级保护中的应用重