Servicio de Relaciones Exteriores del Banco de Construcción de Sichuan Plataforma de Seguridad Caso Plataforma de Relaciones Exteriores del Banco de Construcción

1. Antecedentes del proyecto Con el rápido desarrollo de la informatización financiera, el sistema financiero tiene necesidades más amplias de servicios basados ​​en redes. El uso de Internet y Extranet, las tecnologías y modelos operativos de vanguardia más populares, puede ahorrar enormemente costos y recursos financieros para el negocio. Puede acortar en gran medida el tiempo de transacción de los negocios, de modo que los procesos de transacción que antes tomaban varios días puedan resolverse instantáneamente; puede promover la mejora de la calidad general de las empresas financieras, mejorar el nivel de informatización de las empresas financieras y su capacidad de respuesta; a cambios feroces del mercado. Con la premisa de analizar y comparar cuidadosamente las ventajas técnicas y las perspectivas de aplicación de Internet y extranet, Sichuan Construction Bank promovió enérgicamente la transformación del negocio financiero original al modelo operativo de Internet y extranet.

Sin embargo, debido a la apertura y libertad de Internet y las extranets, los sistemas de comercio en línea tienen mayores riesgos financieros que las redes privadas tradicionales y los sistemas cerrados. Esto requiere que Sichuan Construction Bank se adhiera estrictamente a las "Especificaciones técnicas de seguridad del sistema de aplicaciones informáticas de China Construction Bank" emitidas por la oficina central durante la construcción de servicios financieros en línea. Realizar análisis y consideraciones en profundidad de los posibles riesgos de seguridad en los servicios financieros en línea y adoptar las tecnologías y productos de seguridad más recientes y avanzados. Con base en la situación real de los procesos comerciales y el entorno de software y hardware del Sichuan Construction Bank, se construyó una arquitectura de seguridad multinivel desde la estrategia de seguridad hasta la implementación de la tecnología de seguridad.

Después de un análisis y una comparación en profundidad, Sichuan Construction Bank finalmente seleccionó el producto de plataforma de seguridad TongSEC de Beijing Dongfangtong Technology Company como el núcleo de seguridad de Wailian Financial Services. La plataforma de seguridad TongSEC de Beijing Dongfangtong Technology Co., Ltd. está especialmente diseñada para la "Especificación técnica de seguridad del sistema de aplicaciones informáticas del Banco de Construcción de China" y cumple plenamente con los requisitos de seguridad enumerados en la especificación. La mayoría de los diseños de seguridad cumplen con los "requisitos más altos" del código, mientras que los pocos restantes cumplen con los "requisitos moderados" del código.

Basándose en sus propios productos de plataforma de seguridad TongSEC, Beijing Dongfangtong Technology Co., Ltd. ha proporcionado a Sichuan Construction Bank un conjunto completo de soluciones de plataforma de seguridad de servicios financieros externos basadas en el código de la oficina central de construcción. Este plan considera plenamente todos los aspectos de seguridad de la plataforma financiera Wailian del Sichuan Construction Bank y construye una poderosa plataforma de soporte de seguridad subyacente para el sistema financiero Wailian del Sichuan Construction Bank desde la perspectiva de la seguridad y la facilidad de uso.

2. Introducción al programa

Esta solución de seguridad adopta la plataforma de seguridad TongSEC de Dongfangtong Technology Company, utilizando certificación CA y agente de seguridad, tecnología PKI, enlace cifrado SSL, servidor web/dispositivo de navegación. Se implementan soporte de seguridad, tarjeta inteligente/llave USB y otras tecnologías de seguridad relacionadas para lograr los siguientes requisitos de seguridad de la plataforma de seguridad financiera Walian de Sichuan Construction Bank:

1. Admite plenamente una sólida protección de seguridad en el modo de aplicación B/S y admite servidores web El canal seguro HTTPS con autenticación bidireccional con el navegador IE garantiza que los datos transmitidos en Internet estén cifrados y su integridad esté protegida.

2. Proporcionar un canal seguro potente en el modo en el que el programa cliente se conecta al host del servicio bancario (es decir, modo C/S) para proporcionar confidencialidad, integridad y protección de no repudio para los datos de las transacciones.

3. Utilice una tarjeta inteligente/llave USB como certificado de identidad único del cliente en el sistema financiero externo para garantizar la seguridad de la información.

4. Proporcione una autenticación bidireccional sólida de dos factores entre el backend del banco y el frontend del cliente.

5. Proporcionar un agente de seguridad del cliente para monitorear en tiempo real si la tarjeta inteligente/llave USB está insertada correctamente en la computadora para garantizar que solo aquellos que tengan la tarjeta inteligente/llave USB puedan ingresar al sistema de servicios financieros externo.

6. Proporcionar interfaces de desarrollo secundarias para aplicaciones, incluidas la plataforma C y la plataforma JAVA, que admitan la tecnología J2EE.

La siguiente figura muestra la estructura física del sistema financiero externo del Sichuan Construction Bank.

3. Sistema de gestión de certificados

El sistema de gestión de certificados incluye cuatro partes: autoridad de certificación TongCA, autoridad de registro TongRA, biblioteca de certificados LDAP y máquina de cifrado. * * * Ambos asumen la función principal de la autenticación de CA: la emisión de certificados digitales a todas las entidades en una aplicación.

En la construcción de la plataforma de seguridad del sistema financiero externo de Sichuan Construction Bank, el sistema de gestión de certificados proporciona todos los servidores relacionados con la seguridad en el sistema financiero (como servidores web, máquinas front-end) y cada usuario (independientemente del navegador que utilizan) o programa cliente) emite certificados digitales y claves privadas. El certificado y la clave privada se almacenan en la tarjeta inteligente/disco USB, que es altamente seguro y no se puede copiar ni alterar. Esto garantiza que la tarjeta inteligente/disco USB sea el identificador único de todas las entidades del sistema financiero externo de Sichuan Construction Bank. . Además, también proporciona la forma de almacenamiento de archivos cifrados de certificados y claves privadas, lo que facilita en gran medida la implementación de aplicaciones.

Cuarto, canales seguros para B/S y C/S

Cuando los usuarios del sistema financiero externo de Sichuan Construction Bank necesitan manejar negocios, solo necesitan transferir el certificado del cliente y la información privada. Inserte la tarjeta inteligente en el lector de tarjetas o inserte la llave USB en el puerto USB de la computadora y podrá usar el navegador o el programa de cliente proxy seguro para realizar transacciones en línea.

En el modo B/S, el mecanismo de seguridad SSL estándar se utiliza entre el navegador del cliente y el servidor web, y el canal de transmisión seguro entre el navegador y el servidor web se implementa a través del protocolo HTTPS. Asegúrese de que los datos transmitidos a través de Internet estén protegidos mediante cifrado e integridad de datos.

En el modo C/S, el programa cliente y el programa informático front-end realizan autenticación bidireccional, cifrado/descifrado, firma/verificación, etc. basado en tarjeta inteligente/llave USB a través del módulo de control de transmisión segura proporcionado por Plataforma de seguridad TongSEC Las funciones de seguridad garantizan la confidencialidad, integridad y no repudio de los datos transmitidos.

Verbo (abreviatura de verbo) agente de seguridad del cliente

Para facilitar que los usuarios del sistema financiero externo de Sichuan Construction Bank utilicen la tarjeta inteligente/Ukey emitida, esta solución proporciona una actuación segura . La interfaz gráfica (GUI) se utiliza para proporcionar a los usuarios una forma de iniciar sesión en el backend seguro mediante Ukey. El agente de seguridad ejecuta automáticamente Ukey, verifica la contraseña de protección de Ukey, inicia automáticamente el navegador IE después de pasar la verificación y establece una conexión segura HTTPS autenticada bidireccional con el servidor web backend.

Otra función importante del agente de seguridad es garantizar que la tarjeta inteligente/Ukey siempre se inserte correctamente en la computadora durante todo el proceso de transacción después de iniciar sesión en el sistema de liquidación de fondos a través de una conexión segura HTTPS. El agente de seguridad monitoreará periódicamente la situación de Ukey. Una vez que detecte que Ukey ha sido retirado, finalizará automáticamente la conexión HTTPS actual y cerrará el navegador IE.

6. Ricas interfaces de desarrollo secundario

Para integrar mejor las medidas de protección de seguridad del sistema comercial original del banco en la plataforma de seguridad basada en PKI y tarjetas inteligentes proporcionadas por esta solución, Diseñó una gran cantidad de interfaces de desarrollo secundarias en la construcción de la plataforma de seguridad. La interfaz de desarrollo proporciona dos métodos principales de implementación de la plataforma de desarrollo, C y JAVA. Sus funciones incluyen operar máquinas de cifrado, operar tarjetas inteligentes/Ukey, cifrado y descifrado de archivos, firma/verificación de archivos, negociación de claves, gestión de listas negras, control de acceso y auditoría de seguridad. . esperar.

Se puede lograr un control de seguridad flexible a través de la interfaz de desarrollo proporcionada. Según el mecanismo de seguridad PKI general proporcionado por la plataforma de seguridad, se llama a la función de interfaz de seguridad correspondiente de acuerdo con los requisitos de la función de seguridad en aplicaciones específicas. Las aplicaciones típicas de mejora de la seguridad incluyen: protección mediante cifrado de datos almacenados en archivos o bases de datos; firmas digitales de documentos electrónicos, control de acceso de usuarios ilegales, etc.

Siete. Funciones del programa

1. Seguridad

Totalmente compatible con una potente protección de seguridad en los modos de aplicación B/S y C/S.

Las potentes funciones de seguridad y las ricas líneas de productos brindan soporte de seguridad subyacente para las aplicaciones.

Utilizando algoritmo RSA de 1024 bits y algoritmo de cifrado simétrico de 128 bits.

Utilice dispositivos de clave de hardware, como cifradores y tarjetas inteligentes/llaves USB para almacenar claves privadas y garantizar la seguridad de las claves privadas.

Proporciona un mecanismo de registro jerárquico flexible y configurable para admitir auditorías de seguridad detalladas y gestión diaria.

2. Transparencia

La comunicación es casi transparente y la protección de seguridad se lleva a cabo desde el nivel del canal de transmisión sin cambiar la lógica comercial del sistema de servicios financieros original de Sichuan Construction Bank.

3. Apertura y flexibilidad

Aplicable a una variedad de entornos de sistemas financieros y también se puede cambiar según las condiciones reales de software y hardware.

La interfaz de desarrollo es lo suficientemente flexible y admite dos plataformas de desarrollo convencionales, C y JAVA, así como la tecnología J2EE.

Admite la configuración combinada de varias medidas de seguridad y proporciona diferentes niveles de protección de seguridad.

Soporta NT/2000/AIX/SUN/LINUX y otros entornos de sistemas operativos.

Admite una variedad de tarjetas inteligentes y Ukey populares, como: grip, Minghua y G+D.

4. Facilidad de uso

La interfaz de desarrollo es simple, unificada y fácil de usar.

La plataforma de seguridad es muy sencilla de construir, operar y mantener.

Ocho. Resumen del plan

Bajo la premisa de analizar completamente los diversos riesgos de seguridad que enfrenta la plataforma de servicios financieros externos del Sichuan Construction Bank, este plan se centra de cerca en los requisitos de seguridad de las "Especificaciones técnicas de seguridad del sistema de aplicaciones informáticas del China Construction Bank". El producto de plataforma de seguridad TongSEC de Beijing Dongfangtong Technology Co., Ltd. se utilizó para construir una poderosa plataforma de soporte de seguridad de aplicaciones en modos de aplicación B/S y C/S para Sichuan Construction Bank. La plataforma de seguridad adopta tecnologías de seguridad básicas, como certificación CA y agente de seguridad, tecnología PKI, enlace cifrado SSL, soporte de seguridad de servidor/navegador web, tarjeta inteligente/llave USB, etc., que cumple plenamente con los requisitos de seguridad "medios" o "altos". de las especificaciones del CCB y ha mejorado el nivel general de seguridad de los servicios financieros externos del Sichuan Construction Bank.

Si bien garantiza que las funciones de seguridad sean completas y potentes, el sistema de plataforma de seguridad es muy simple de desarrollar, usar, operar y mantener, y admite una variedad de entornos de sistemas operativos convencionales y dos plataformas de desarrollo principales, C. /JAVA. En el diseño del programa, las ventajas de los recursos de software y hardware existentes del Sichuan Construction Bank se utilizaron plenamente y reflejaron plenamente la idea del diseño de "plataforma", que puede ampliarse para satisfacer las diversas necesidades de garantía de servicios financieros del Sichuan Construction Bank.

La plataforma de soporte de seguridad proporcionada por esta solución basada en PKI y tecnología de tarjeta inteligente/Ukey no solo puede servir para diversas aplicaciones de seguridad del sistema de servicios financieros externos de Sichuan Construction Bank, sino que también brinda seguridad para el negocio original de Sichuan Construction Bank. en el futuro. Se ha sentado una buena base de seguridad para el desarrollo de empresas emergentes y mejoradas.