目录01网银安全,您需要关注的几个问题 (3)1.1国内网银安全事故主要原因分析 (4)1.2身份欺诈和盗取案件数急剧增大 (4)1.3管理培训疏漏:缺乏客户培训、身份管理混乱 (5)1.4越来越多的银行采用弹性多种认证 (5)02常用身份认证方法比较 (6)2.1不同认证方式性能对比 (6)2.2不同认证方式成本对比 (6)03中小银行网银身份安全管理需求建议 (7)3.1设计原则 (7)3.2实现系统在同一平台同时支持多种用户认证方式 (7)3.3中心反欺诈功能 (8)3.4网站防钓鱼和双向认证 (9)3.5重要安全认证凭证管理 (9)3.6业务规则控制 (9)04解决方案概述 (10)4.1 我们在网银安全 (10)4.2 产品系列 (10)4.3 Entrust解决方案组成了集成的、可扩展的网银整体解决方案 (11)4.4 利用IDG为银行内外网及自助银行建立统一身份认证安全管理平台 (12)4.5 利用Entrust IDG 一个平台实现多种认证方式 (12)05解决方案优势 (13)06 IDG认证方式 (14)6.1动态令牌认证 (14)6.2一次性密码(短信.EMAIL) (14)6.3数格卡认证 (14)6.4机器指纹认证 (15)6.5知识认证 (15)07 IDG技术体系简介 (16)08 IDG部署 (17)09 IDG在网银应用与集成 (18)9.1建立双通道的认证 (18)9.2提供基于风险评估的多次和弹性认证方案 (18)9.3提供用户容易接受的多种认证方式 (19)9.4提供双向认证方式 (19)9.5提供IP防欺诈解决方案及引入安全业务产品 (20)9.6应用接口 (20)10 IDG网银典型案例 (21)11 关于我们 (21)11.1 Entrust (21)11.2 琮谷科技 (21) 400-820-8803 21.1 国内网银安全事故主要原因分析1.2身份欺诈和盗取案件数急剧增大由于新的欺诈手段层出不穷,特别是用户会话劫持(Hijacking) 等技术,使之基于客户端的安全防范(如证书)均不能解决根本问题,因此,银行需要在中心部署安全的防范政策。
400-820-8803 402常用身份认证方法比较2.1不同认证方式性能对比传统证书双因子其他静态口令文件证书USB证书令牌刮刮卡矩阵卡-无密码矩阵卡-有密码短信密码机器绑定1.安全性字典攻击易不能不能不能难看设计看设计不能不能窥视记录易不能不能难易易易不能不能木马窃取易可能不能不能难难难不能不能能否被复制易难不能不能易易难不能不能总体安全性低高极高高中中上高高2.易用性和易维护性分发易难难难难难难易最难记忆需不需PIN 不需不需不需PIN 不需不需安装、设置易难无无无无无无难容易理解易难易中易中易易中维护性易难易需更换易易`易易根据配置变化使用寿命永久永久2年4-5年一次永久永久永久永久携带易难易中等易易易易难2.2不同认证方式成本对比单位成本1年合计2年合计5年合计5万5年用户成本排名USB证书(第三方) 证书8元/年,60元/USB KEY/使用2.5年68万136万160万800万 F动态令牌用户许可15元/个60元/令牌75万75万75万375万 E短信用户许可15元/个,短信每年5元(每月4条)15万25万40万200万 D数格卡用户许可15元/个,卡2元/个17万17万17万85万 B刮刮卡用户许可15元/个卡2元/个,每用户每年2张19元23万35万175万 C机器绑定用户许可15元/个15元15万15万75万 A 400-820-8803 6F. 刮刮卡(类似建行模式)要求支持类似建行所使用的模式如刮刮卡,此模式不适合经常使用网银用户E. 问题认证要求支持用户可自设问题,系统可随机地挑选用户设立的问题,此方式可满足特定用户的需求以上认证要求需要满足n采用一个平台处理,避免多头管理应支持用户可选择一种或同时多种认证方式,满足用户的使用习惯,例如一般用户可配发数格卡,如用户临时忘记数格卡或令牌,即可采用短信认证n要求系统支持弹性的风险控制和认证模式即可通过配置设定同一用户或一批用户,根据交易种类要求不同的认证模式,如证书用户在平常查询余额和内部帐户转移资金时除了可证书认证外还可采用短信等认证模式,在对外转移资金时则规定采用证书认证模式;如一般用户在查询余额时只采用查询密码,而在转移资金时必须采用短信认证或数格卡。
要求系统可灵活配置,随时适应业务安全规则的修改n系统应对用户认证,因次,用户的各种认证方式可使用于用户的多个帐户或特定帐户所有认证应有完善的日志包括不通过认证的日志n上述的认证方式在将来应容易扩展到手机银行、电话银行等业务中。
3.3 中心反欺诈功能基于目前网络欺诈的严重形势,系统要求在网银中心的部署一定的反欺诈功能,系统应支持基本的针对网络访问地址和用户登录习惯的防欺诈功能,包括设立黑名单和白名单,并根据接入的网络地址或地址段或用户登录习惯自动进行设别并进行处理。
如用户在可自行设定只限于广东省或佛山市内部使用,从而可避免目前欺诈多发地的黑客攻击。
上述系统要求与认证系统联动和采用同一平台,达到主动防御和控制的目标。
如发现非常规的网络地址访问(一个广州市用户使用了湖南的网络地址访问)不直接予以阻止,而选择采用双因子认证方法如发送短信密码,要求用户输入第二个密码认证。
通过上述功能,业务上由此可进行各种安全主动防御控制,保障客户的资产安全 400-820-8803 8 400-820-880310 04解决方案概述4.1 我们在网银安全Entrust 作为全球领先的信息安全厂商和网上安全认证解决方案的知名企业,联同金融业总代理上海琮谷信息科技有限公司,在中国金融业推广的Entrust 网银整体解决方案和服务。
主推产品咨询 安全集成 多因子认证及统一身份管理防欺诈平台(Entrust IDG )交流平台:举办上海《亚洲电子金融高峰论坛》 防欺诈平台(TG )网银安全方案咨询 网站EV 证书业务流程安全方案 动态口令令牌 提供网银整体安全的集成服务4.2 产品系列Entrust 的产品及服务不但满足目前安全的需求而且满足今后业务随环境变化而扩展。
4.4 利用IDG为银行内外网及自助银行建立统一身份认证安全管理平台4.5 利用Entrust IDG 一个平台实现多种认证方式Entrust IdentityGuard提供多种认证方式,包括Token认证、数格卡认证、刮刮卡认证、挑战应答认证、手机短消息认证、机器认证等 400-820-8803 12 400-820-88031406 IDG 认证方式6.1动态令牌认证Entrust 动态令牌支持时间同步、事件同步、时间+事件的双因素身份认证产品。
该令牌可定期产生随机变化的数字作为口令,并且可选式结合用户原有静态口令,采用动静结合的方式,极大强化了用户身份认证的强度。
Entrust Token 的技术参数:• 随机数引擎通过FIPS140-2检测,确保口令的强壮性!• 缺省一分钟生产一个一次性密码,便于各个层次的用户使用;• 采用128位到160位加密算法,安全性最高;• Entrust 动态令牌的生命周期为4-6年• 通过FCC ,CE 标准;符合RoHS 标准;• 可达到支持每秒1000个并发认证请求,卓越性能。
6.2一次性密码(短信.EMAIL)¨ 通过一次性密码(短消息)提供第二因子认证E 灵活支持多种递送方式,包括经过 SMS , email , 或者电话(或多种其它方式) ¨ 通用于基于交易的认证, 附加于传统第二因子认证增强安全性;6.3数格卡认证w 可以选择的单元数(3×8,5×10等)w 每个栅格的码元可变(1-任意大)w 灵活的码元内容(数字或字母)的屏蔽策略,(如1与I ,0与O )等的屏蔽,防止印刷和输入的错误。
w 在密码基础上增加基于栅格的认证可极大改进用户身份认证的安全性。
w 例如:一个简单的5 x 10 格式单码元卡提供实际上19,500 个三位的挑战可能。
而对每个挑战来说超过46,500个可能的尝试结果,得到更好的信息熵(randomization) ,比单独的密码方式提 400-820-88031607 IDG 技术体系简介Entrust IdentityGuard 的设计理念是对企业现有的基础设施其中包括了已有的认证方式的应用及用户资料库的影响最小。
Entrust IdentityGuard 的另一个设计理念是高可扩展性以满足多种不同应用的服务可靠性:Entrust IdentityGuard 可被同时安装在几台服务器上来建立一个负载均衡环境。
用增加服务器数来保持系统的处理能力。
IdentityGuard 具有利用用户和卡信息缓存方法提高实时认证处理操作。
.Entrust IdentityGuard Solution 是基于服务器端的Java 软件产品, 运行于各种操作系统。
系统安装在企业现有的 IT 基础设施内.IDG 支持多来源的用户数据库,因此,IDG 可以统一应用于各应用系统,无论此应用系统的用户分布在何处。
Employees CustomersSuppliers08 IDG部署Entrust Identityguard Server 安装在网银应用器作在的网段上.右图为Entrust IDG基于目前典型的银行网上银行架构实施图,描述了在已有的应用系统基础上仅仅需要增加一台机器,即可实现用户的强身份认证。
负载均衡和HA在目前已有的银行的应用系统中需要增加一台独立的Entrust IdentityGuard Server,并且可以沿用用户已有的目录服务器或者数据库。
并且可以实现Entrust IdentityGuard的多机高可用性扩展,确保电信级性能,满足银行大量用户的使用。
多平台支持Entrust IdentityGuard Server可以支持多种认证平台:如:Windows 2003 Server; Linux , Solaris 等平台。
该服务器为独立的服务器,部署在企业的内部网络。
通讯的通道利用银行已有的应用通道。
400-820-88031809 IDG 在网银应用与集成9.1建立双通道的认证9.2提供基于风险评估的多次和弹性认证方案• 可基于交易的价值和风险采取不同的认证手段,避免单一认证• 如密码修改.大额交易均可以采取2种认证,一般交易则采取建议的认证手段 • 技术的关键是否可实现这些认证的配置式实现和基于风险检测的自动管理 400-820-880320 · -用户提供应答;· -Entrust IdentityGuard 验证用户提供的应答值来认证用户;9.5提供IP 防欺诈解决方案及引入安全业务产品包括:• 记录正常和异常的IP 地址• 记录用户登陆的档案• IP 黑\白名单及与全球的联网由此.银行可开发一系列产品如可用户申请限制非本地区用户可访问,因此可避免一些IP地址的欺诈.`9.6应用接口集成Entrust IDG 到银行已有的网银认证系统中非常容易。