Download
1 / 58
590 likes | 746 Views
Module 10-2 :網路銀行應用範例. 網路銀行應用分類. 個金網路銀行 提供個人戶客戶使用之銀行網路交易系統 依使用者申請分類 : 網銀用戶、信用卡用戶、 VIP 存取控制 : ID + PW , IC 卡、雙向驗証、 Challenge/ Response 企金網路銀行 提供企業用戶客戶使用之銀行網路交易系統 使用者為企業戶之財務部、會計人員、高階主管 存取控制 : ID + PW + IC 卡 , 多重授權、審核 , 數位憑証 ( 不可否認性 ). 個金網銀與企金網銀分流. 個人網路銀行為單一使用者 , 使用上著重在操作簡易、
E N D
網路銀行應用分類 • 個金網路銀行 • 提供個人戶客戶使用之銀行網路交易系統 • 依使用者申請分類 : 網銀用戶、信用卡用戶、VIP • 存取控制 : ID + PW , IC卡、雙向驗証、 Challenge/ Response • 企金網路銀行 • 提供企業用戶客戶使用之銀行網路交易系統 • 使用者為企業戶之財務部、會計人員、高階主管 • 存取控制 : ID + PW + IC卡, 多重授權、審核 , 數位憑証(不可否認性)
個金網銀與企金網銀分流 • 個人網路銀行為單一使用者,使用上著重在操作簡易、 流程短、個人化、群組化,交易金額較小,服務內容 變化較多樣化。 • 企業網路銀行對一個企業來講為多使用者,交易金額大,企業在乎內部安全控管,故在使用上著重多重控管流程. 額度控管.授限管制.主動通知提醒
存取控制 • 使用者存取管理主要目的是讓授權的使用者 • 可以依其權限,適當存取資訊系統 • 並防止未經授權之使用者存取資訊系統 • 存存控制的安全保護 • 利用密碼學的技術,使第三方看不懂通信中的內容 • 權限的管理與設定 • 申請 • 變更 • 取消
存取控制(續) • 使用者辨識技術 • 通行密碼辨識 • 使用者帳號與通行密碼 • 持卡驗證 • 身份憑證儲存在智慧卡上 • 視覺認知辨識 • 使用者的視覺 + 動態鍵盤、GOTP等使用者的人為操作來進行身份的驗証
存取控制(續) • 帳號申請與使用 • 依規定攜帶身份証、印章至已開戶分行辦理申請 • 經辦人員核對身份及申請項目,設定申請人的授權及啟用程序 • 經辦人員提供密封的密碼函,包含使用者代號及密碼 • 使用者第一次登入時必須變更使用者代號及密碼 • 系统將依使用者所具備之身份鑑別因子(factor),分為一般身分登入與金融IC卡登入兩種,不同的身份,可使用的業務功能不同 • 帳號取消或變更必須依規定攜帶身份証、印章至已開戶分行辦理申請
個金網銀 - 存取控制範例 • 個金網路銀行使用者登入可依照其所持有的鑑別因子(factors)來決定其能執行的交易授權及範圍 • 一般登入 : ID + Password + usercode • 授權業務範圍僅限查詢、約定轉帳 • 持卡驗證: ID + PIN + usercode + IC card (two factors authentication) • 授權業務範圍:查詢、約定轉帳、非約定轉帳、線上交易 • 授權金額範圍 • 為降低線上交易風險,必需限制每次 / 每日交易的 限額
個金網銀 - 存取控制範例(續) • 密碼及使用者代號必須符合安全規則(如代號至少8碼、須中英文夾雜, 密碼不得為懶人密碼) • 密碼輸入方式採用動態鍵盤,避免駭客利用密碼側錄等竊取密碼 動態鍵盤
動態鍵盤的每一個英數字僅代表一個location,輸入欄位將各location傳送到Server端時,再依location與字碼轉換table,將location轉換成英數字之密碼字碼動態鍵盤的每一個英數字僅代表一個location,輸入欄位將各location傳送到Server端時,再依location與字碼轉換table,將location轉換成英數字之密碼字碼 • 密碼登入的資料由PC端傳送到Web server端時,採用SSL加密,確保資料在通訊中的安全 動態鍵盤
個金網銀 - 存取控制範例(續) • 以動態鍵盤輸入密碼的過程所需時間T,檢查所花時間是否 T > Tmin ,若T小於Tmin ,則拒絕交易 • 密碼經過雜湊函數及3DES運算,再經由server比對資料庫的資料後,若完全正確,即可取得唯一的特殊session ID,做為往後各交易的通行判別factor • 登入時間是否在客戶設定的正常使用時區、金額是否在設定的範圍內,若不是 , 則發出即時警訊通知(簡訊及mail)
個金網銀 –存取控制範例(續) • 善用Challenge / response • Graphic OTP • 動態鍵盤 • 插拔晶片金融卡 • 個人資料對答 (如:交易行為有異常,問:最喜歡運動 ? 家中小孩幾位?等個人存於銀行之資料) • 交易驗証碼傳至手機, 再輸入網頁 交易內容完成後,由網站主機依据交易資料運算產生 驗証碼,並將驗証碼以簡訊或mail傳送給客戶,客戶再將手機上的驗証碼輸入網頁 , 送至網站主機比對 ,若驗証碼正確,即完成交易程序。
個金網銀 –存取控制範例(續) 動態鍵盤 Graphic OTP
個金網銀 –存取控制範例(續) 插、拔晶片金融卡,確認交易是人為在操作
個金網銀 –存取控制範例(續) 發現異常交易行為時,以簡訊或 mail即時通知
企金網銀 –安控機制範例(續) • 符合標準安控基準,採用最新技術憑證 • 網路傳輸採128 位元 SSL傳輸加密保護 • 使用電子簽章,保障交易完整性及不可否認性 • 採用FXML憑證 • 新型智慧卡輕巧方便、攜帶保管容易 • 依企業作業流程,採多重授權 • 每一使用者需要訂定權限 • 依交易重要性設定多層審核流程 • 限制每日/每筆最大轉出金額 • 企業會員區
企金網銀 –安控機制範例(續) • 強化安控機制 • 企業採用雙安控 • 安控經辦,安控主管 • (編輯) -> (送審) -> (放行) • 作業功能可依交易屬性控管制帳號/統編 • 以IC卡做為憑証的載具,安全性高 • 主動性通知服務 • 企業會員區
企金網銀 –安控機制範例(續) 安全審核放行 • 多重審核 1. 編輯 -> 放行 2. 編輯 -> 初審 -> 放行 3. 編輯 -> 初審 -> 複審 -> 放行 4. 編輯 -> 初審 -> 複審 -> 三審 -> 放行 • 審核放行者須有權限及憑証(存於智慧卡) • 依交易金額大小或交易的重要性,選定一審或多審的審核流程 • 企業會員區
企金網銀 –安控機制範例(續) 依使用者的屬性設定執行的權限及交易種類 • 企業管理區
企金網銀 –安控機制範例(續) 雙安控人員權限控管機制 • 編輯 • 修改 • 刪除 • 審核文件 送審 放行通過 經辦 退回重新編輯 主管 • 企業會員區
企金網銀 –安控機制範例(續) • 企業會員區
企金網銀 –安控機制範例(續) • 企金網路銀行應用系統權限控制角色共分為三部份: • 資訊管理單位、分行作業管理單位、企業財務管理單位, • 授權流程說明: • IT安控人員及主管→ 授權分行安控經辦及安控主管 →授權分行業務經辦及業務主管 →授權企業安控經辦及安控主管→ 授權企業財務經辦及財務主管 → 執行網路銀行業務 • 每個流程初次使用時,必須變更密碼、代號及下載憑証並存於IC卡內
企金網銀 –安控機制範例(續) IT 單位設定 分行部門作業人員權限 分行安控人員首次 登入並更改登入密碼 及主管授權碼 由資訊處 作業人員 設定分行 安控人員 安控主管 資訊處作業人員 安控經辦 使用者登入 並更改登入密碼 及主管授權碼 設定該分行 作業人員並送審 審核 放行通過 分行作業人員 安控主管
登入會員資料戶代理 設定交易系統使用 約定台幣帳戶 約定外幣帳戶 約定帳戶查詢 約定費用扣款帳號 申請登錄會員憑證 會員臨櫃 申請填寫 各申請表格 銀行經辦 會員 送審 產生密碼函三份連同智慧卡及憑證系統光碟交給會員 審核文件 放行通過 銀行業務主管 企金網銀 –安控機制範例(續) 分行經辦單位設定新會員登錄作業權限 • 營業單位作業區
會員在會員作業區辦理憑證暫禁時,欲申請憑證解禁或憑證註銷後,欲重申請憑證時,須臨櫃申請會員在會員作業區辦理憑證暫禁時,欲申請憑證解禁或憑證註銷後,欲重申請憑證時,須臨櫃申請 編輯 經辦 會員 新憑證密碼函 送審 註銷後之憑證永久失效 憑證解禁次數以兩次為 限,第三次後就永久失效 審核文件 放行通過 主管 企金網銀 –安控機制範例(續) 會員安控憑證管理
安控經辦首次登入 安控主管首次登入 安裝光碟之的驅動 程式並且重新開機 安裝光碟之的驅動 程式並且重新開機 安控經辦啟用密碼 安控主管啟用密碼 製作金鑰對及申 請憑證 更改原始簽入密碼 原始簽入名稱 更改原始登入名稱 原始登入密碼 憑證申請密碼函 變更基本資料 個人化設定 變更基本資料 個人化設定 更改成新密碼 企金網銀 –安控機制範例(續) 企業內部安控人員第一次使用流程 • 企業會員區
安控經辦設定人員的 登入名稱及登入密碼 由安控主管 審核通過,放行 否 使用者首次登入 輸入安控經辦設定的 登入名稱及登入密碼 正確? 是 變更登入名稱 及登入密碼 變更基本資料 個人化設定 開始交易 企金網銀–安控機制範例(續) 企流內郊首次授權流程 安控經辦 檢查及變更企 業基本資料 設定訊息通知 查詢台幣 約定帳號 設定使用 者權限 設定作業 流程 新增使用 者 安控經辦 : 編輯 / 設定 / 送審 安控主管
使用者資料 維護 安控經辦 安控主管 新增使用者 放行 輸入新使用 者資料並送 審核 審核放行 是 退回 否 更改使用 者權限 設定新權限 並送審核 審核放行 放行 是 否 使用者查詢 企金網銀 –安控機制範例(續) 變更企業變更內部使用人員及其權限時處理流程
客戶憑證 遺失臨櫃申請 由安控主管上企金 網完成註銷手續 是 註銷後之憑證 將永久失效 是否將憑證 直接註銷 重新申請憑證 需繳交手續費 否 是否將憑證 暫禁 由安控主管上 企金網完成暫 禁手績 是 否 更改密碼 要恢復時則須 臨櫃申請 企金網銀 –安控機制範例(續) 會員安控憑證管理 • 營業單位作業區
企金網銀 –安控機制範例(續) • 營業單位作業區
實務案例—網路ATM付款安全機制 • 除了無法提供提款功能外,網路ATM的業務功能和實體ATM的功能完全相同。 • 網路ATM額外功能 • 提供異業結盟網路商店的線上付款機制 (如網路商店購物、學雜費繳款、拍賣、遊戲儲值、線上電視付費、繳信用卡費、停車費、電信費…) • 特定實體商店付款 ( 醫院、超市、商店…)
網路ATM可能安全威脅 • 網路ATM是 client / server架構應用程式 • Client 端有Active X元件,負責讀寫卡片資料及與server端交易資料的交換. • 客戶端的使用環境是銀行無法掌控的風險 • 客戶有可能誤上釣魚網站 • 客戶資訊遭到駭客竊取、冒用、遠端監控 • 客戶交易資料遭到偽造、竄改
網路ATM可能安全威脅分析 • 經分析網路ATM系統之各個節點弱點,Risk 4,5,6之安全己在網路銀系統Server端建構保全機制 • Risk 1,2,3則是在客戶PC端上,是銀行端無法控制的風險,所以網路ATM的安全設計將針對Risk1,2,3等因素來防範
網路ATM設計安全規範 • 銀行公會結合各銀行收集相關可能的安全威脅,針對網路ATM系統可能的弱點做分析,並且訂定網路ATM設計安全規範,提高安全程度,降低惡意程式攻擊的風險 • 使用第二代 reader (Reader含PIN 鍵、交易確認按鍵、顯示螢幕)
網路ATM設計安全方法 • 於各節點採用對稱式加密,機密性與完整性(參考 網路ATM對稱式加密架構圖) • 使用動態虛擬鍵盤及 Graphic OTP (GOTP) • 善用Challenge / Response機制 • 抑制對話盒功能 • 人工插拔卡動作
Web-ATM系統交易資料對稱加密架構 TAC 加密 (完整性 ) AES 加密 (完整性 鑑別性) SSL 128 bit 加密 (完整性 機密性) TAC 加密模組 AES 加密模組 SSL 加密模組 SSL 解密模組 AES 解密模組 TAC 解密模組 中心主機 Web server AP server 晶片金融卡 個人電腦 客戶端 銀行端
網路ATM設計安全方法 若是第一次使用 【銀行網路ATM】,系統會 出現「安全性警告」的視窗 之對話框 (如下圖所示)。 請點選「是」按鈕,以利於 系統自動安裝服務元件。
網路ATM設計範例(1/6) 應用程式啟動讀取IC卡時,與Reader建立的session必須具有排他性,直到交易結束。 在微軟PCSC讀卡機介面規範中,對於IC卡的連線協定採用: SCARD_SHARE_EXCLUSIVE 鎖住連線IC卡的Session (occupy session),拒絕其他程式存取此一讀卡機 ,避免其他惡意程式乘隙讀取卡片資料,進行偽造資料。
網路ATM設計範例(2/6) 網路ATM系統使用Graphic OTP 的設計方式,在網頁上會 顯示4~8個之圖形數字,讓 客戶以視覺判斷圖行數字,並 輸 入OTP數字於欄位,以達到 Challenge / response 功效,
網路ATM設計範例(3/6) 網路ATM系統使用動態虛擬 鍵盤的設計方式,在網頁上 會顯示0~9的數字圖形按鍵, 並予以隨機擺放不同順序的 位置,讓客戶僅能以滑鼠點選 晶片卡密碼 ,並將代號放入 輸入欄, 經送往server時 ,再依 Mapping table轉換成密碼文字 避免惡意程式側錄密碼 Graphic OTP
網路ATM設計範例(4/6) 1..取消視窗右上角關閉按鈕 2. 取消預設按鈕屬性 3. 取消按鈕元件的Focus特性 4.取消鍵盤事件
網路ATM設計範例(5/6) 讓客戶在30秒內拔出卡片後 再插入,以確認客戶真正的 在線上使用,其主要目的是 防止遠端遙控軟體的操弄
