하지만 인터넷과 엑스트라넷의 개방성과 자유성으로 인해 온라인 거래 시스템은 기존의 사설망 및 폐쇄 시스템보다 더 높은 재정적 위험을 안고 있습니다. 이를 위해서는 쓰촨 건설은행이 온라인 금융업무 건설 과정에서 본사에서 발표한' 중국 건설은행 컴퓨터 응용 시스템 보안 기술 사양' 을 밀접하게 둘러싸고 있어야 한다. 온라인 금융 서비스에 존재할 수 있는 보안 위험에 대한 심층 분석 및 고려, 최신의 최첨단 보안 기술 및 제품 채택 쓰촨 건설 업무 프로세스와 하드웨어 및 소프트웨어 환경의 실제 상황에 따라 보안 정책에서 보안 기술 구현에 이르는 다단계 보안 아키텍처가 구축되었습니다.
심도 있는 분석과 비교를 거쳐 쓰촨 건설행은 결국 베이징 동방통과학기술사의 TongSEC 보안 플랫폼 제품을 대외무역금융서비스의 안전핵심으로 선택했다. 베이징 동방통기술유한공사의 TongSEC 보안 플랫폼은' 중국건설은행 컴퓨터 응용 시스템 보안 기술 사양' 을 위해 특별히 설계된 것으로, 이 규범에 열거된 안전 요구 사항을 완벽하게 충족한다. 대부분의 보안 설계는 사양의 "높은 요구 사항" 을 준수하고 나머지는 사양의 "중간 요구 사항" 을 준수합니다.
Beijing Eastern TongSEC Technology Co., Ltd. 는 자체 Tongsec 보안 플랫폼 제품을 기반으로 쓰촨 건설업계에 본사 코드 건설을 기반으로 하는 외부 금융 서비스 보안 플랫폼 솔루션 세트를 제공합니다. 이 방안은 쓰촨 건설업 외부 금융 플랫폼의 모든 보안 측면을 충분히 고려하고 있으며, 보안과 사용 편의성의 관점에서 쓰촨 건설업 외부 금융 시스템을 위한 강력한 기본 보안 지원 플랫폼을 구축했습니다.
둘째, 프로그램 소개
이 보안 솔루션은 Eastern TongSEC Technology Corporation 의 Tongsec 보안 플랫폼을 사용하여 CA 인증 및 보안 에이전트, PKI 기술, SSL 암호화 링크, 웹 서버/브라우저 보안 지원, 스마트 카드/USB 키 등의 관련 보안 기술을 사용하여 쓰촨 건설업 외부 금융 보안 플랫폼의 다음과 같은 보안 요구 사항을 충족합니다.
1. B/S 어플리케이션 모드에서 강력한 보안을 완벽하게 지원하며 웹 서버 및 IE 브라우저의 양방향 인증을 지원하는 HTTPS 보안 채널을 통해 인터넷에서 전송되는 데이터가 암호화 및 무결성으로 보호되도록 합니다.
2. 클라이언트 프로그램이 은행 서비스 호스트에 연결하는 모드 (즉, C/S 모드) 에서 강력한 보안 채널을 제공하여 거래 데이터에 기밀성, 무결성 및 부인 방지 보호를 제공합니다.
3. 스마트 카드/USB 키를 외부 금융 시스템의 고객에 대한 유일한 신분증으로 사용하여 정보 보안을 보장합니다.
4. 은행 백그라운드와 고객 프런트 사이에 양방향 강력한 2 요소 인증을 제공합니다.
5. 스마트 카드/USB 키가 컴퓨터에 올바르게 삽입되었는지 실시간으로 모니터링하는 클라이언트 보안 에이전트를 제공하여 스마트 카드/USB 키를 보유한 사람만 외부 금융 서비스 시스템에 접근할 수 있도록 합니다.
6. 응용 프로그램을 위한 2 차 개발 인터페이스를 제공합니다. C 플랫폼 및 JAVA 플랫폼을 포함하여 J2EE 기술을 지원합니다.
다음 그림은 쓰촨 건설은행 외외 금융 시스템의 물리적 구조를 보여 줍니다.
셋째, 인증서 관리 시스템
인증서 관리 시스템은 인증 기관인 TongCA, 등록 기관인 TongRA, LDAP 인증서 저장소 및 암호화 기계의 네 부분으로 구성됩니다. * * * 둘 다 응용 프로그램의 모든 엔티티에 디지털 인증서를 발급하는 CA 인증의 핵심 기능을 수행합니다.
쓰촨 건설 외부 금융 시스템 보안 플랫폼 구축에서 인증서 관리 시스템은 금융 시스템의 모든 보안 관련 서버 (예: 웹 서버, 프런트 엔드) 및 각 사용자 (브라우저 또는 클라이언트 프로그램 사용) 에게 디지털 인증서와 개인 키를 발급합니다. 인증서 및 개인 키는 스마트 카드/USB 에 저장되며 보안이 높고 복사 및 변조가 불가능하며 스마트 카드/USB 가 쓰촨 건설업 외부 금융 시스템의 모든 엔티티에 대한 고유 식별자입니다. 또한 인증서 및 개인 키 암호화 파일의 저장 형식을 제공하여 애플리케이션 배포를 최대한 용이하게 합니다.
넷째, B/S 와 C/S 의 보안 채널
쓰촨 건설업 외부 금융 시스템 사용자가 업무를 처리해야 할 때 고객 인증서와 개인 키가 장착된 스마트 카드를 카드 리더에 넣거나 USB 키를 컴퓨터의 USB 포트에 꽂기만 하면 브라우저나 보안 프록시 클라이언트 프로그램을 사용하여 온라인 거래를 할 수 있습니다.
B/S 모드에서는 클라이언트 브라우저와 웹 서버 간에 표준 SSL 보안 메커니즘이 사용되고 브라우저와 웹 서버 간의 보안 전송 채널은 HTTPS 프로토콜을 통해 구현됩니다. 인터넷을 통해 전송되는 데이터가 데이터 암호화 및 데이터 무결성으로 보호되는지 확인합니다.
C/S 모드에서 클라이언트 프로그램과 프런트 엔드 프로그램은 TongSEC 보안 플랫폼을 통해 제공되는 보안 전송 제어 모듈을 통해 스마트 카드/USB 키 기반 양방향 인증, 암호화/암호 해독, 서명/인증 등의 보안 기능을 제공하여 전송되는 데이터의 기밀성, 무결성 및 부인 방지 기능을 보장합니다.
동사 (verb 의 약어) 클라이언트 보안 에이전트
이 시나리오는 쓰촨 건설업 외부 금융 시스템 사용자가 발행된 스마트 카드 /Ukey 를 쉽게 사용할 수 있도록 클라이언트에 보안 에이전트를 제공합니다. 그래픽 인터페이스 (GUI) 는 사용자에게 Ukey 를 사용하여 보안 백그라운드에 로그인할 수 있는 방법을 제공합니다. 보안 에이전트는 자동으로 Ukey 를 실행하고, Ukey 의 보호 암호를 확인하고, 통과 후 자동으로 IE 브라우저를 시작하고, 백그라운드 웹 서버에 양방향 인증을 위한 HTTPS 보안 연결을 확인합니다.
보안 에이전트의 또 다른 중요한 기능은 HTTPS 보안 연결을 통해 자금 결제 시스템에 로그인한 후 스마트 카드 /Ukey 가 거래 프로세스 전반에 걸쳐 항상 컴퓨터에 올바르게 삽입되도록 하는 것입니다. 보안 에이전트는 정기적으로 Ukey 의 상황을 모니터링하고 Ukey 가 뽑힌 것을 감지하면 현재 HTTPS 연결이 자동으로 종료되고 IE 브라우저가 닫힙니다.
여섯째, 풍부한 2 차 개발 인터페이스
은행의 기존 비즈니스 시스템의 보안 조치를 이 방안에서 제공하는 PKI 및 스마트 카드 기반 보안 플랫폼에 더욱 잘 통합하기 위해 보안 플랫폼 구축에서 풍부한 2 차 개발 인터페이스를 설계했습니다. 개발 인터페이스는 운영 암호화 기계, 운영 스마트 카드 /Ukey, 파일 암호화 해독, 파일 서명/인증, 키 협상, 블랙리스트 관리, 액세스 제어, 보안 감사 등 C 와 JAVA 의 두 가지 주요 개발 플랫폼 구현 방법을 제공합니다.
제공되는 개발 인터페이스를 통해 유연한 보안 제어를 실현할 수 있습니다. 보안 플랫폼에서 제공하는 전체 PKI 보안 메커니즘을 기반으로 특정 애플리케이션의 보안 기능 요구 사항에 따라 적절한 보안 인터페이스 함수를 호출합니다. 일반적인 보안 향상 어플리케이션은 파일 또는 데이터베이스에 저장된 데이터의 암호화 보호입니다. 전자 문서 디지털 서명; 불법 사용자의 액세스 제어 등
일곱. 프로그램 기능
1. 보안
B/S 및 C/S 애플리케이션 모드에서 강력한 보안을 완벽하게 지원합니다.
강력한 보안 기능과 풍부한 제품 라인은 애플리케이션을 위한 기본적인 보안 지원을 제공합니다.
1024 비트 RSA 알고리즘과 128 비트 대칭 암호화 알고리즘을 사용합니다.
암호화, 스마트 카드/USB 키 등의 하드웨어 키 장치를 사용하여 개인 키를 저장하여 개인 키의 보안을 보장합니다.
유연하고 구성 가능한 계층형 로그 메커니즘을 제공하여 세밀한 보안 감사 및 일상적인 관리를 지원합니다.
2. 투명도
통신은 거의 투명하며, 전송 채널 수준에서 보안을 보장하며, 쓰촨 건설은행의 기존 금융 서비스 시스템의 업무 논리를 바꾸지 않는다.
3. 개방성과 유연성
다양한 금융 시스템 환경에 적합하며 실제 하드웨어 및 소프트웨어 조건에 따라 변경할 수 있습니다.
개발 인터페이스는 C 와 JAVA 의 주요 개발 플랫폼 및 J2EE 기술을 지원할 수 있는 유연성을 갖추고 있습니다.
다양한 보안 조치의 결합 구성을 지원하고 다양한 수준의 보안을 제공합니다.
NT/2000/AIX/SUN/LINUX 와 같은 운영 체제 환경을 지원합니다.
Grip, Minghua, Jedd 와 같은 다양한 인기 있는 Ukey 와 스마트 카드를 지원합니다.
4. 사용 편의성
개발 인터페이스는 간단하고 통일되어 사용하기 쉽다.
보안 플랫폼의 구축, 운영 및 유지 보수는 매우 간단합니다.
여덟. 계획 요약
이 방안은 쓰촨 건설은행 외계금융서비스 플랫폼이 직면한 각종 안전위험을 충분히 분석하는 전제하에' 중국건설은행 컴퓨터응용시스템 안전기술규범' 의 안전요구를 밀접하게 둘러싸고 베이징 동방통과학기술회사의 TongSEC 안전플랫폼 제품을 채택하고 쓰촨 건설은행을 위한 B/S 및 C/S 응용 모델을 위한 강력한 응용안전지원 플랫폼을 구축하고 있다. 이 보안 플랫폼은 CA 인증 및 보안 에이전트, PKI 기술, SSL 암호화 링크, 웹 서버/브라우저 보안 지원, 스마트 카드/USB 키 등 핵심 보안 기술을 채택하여 건설 사양의' 중간' 또는' 높음' 보안 요구 사항을 완벽하게 충족함으로써 쓰촨 건설업 외부 금융 서비스의 전반적인 보안 수준을 크게 높였습니다.
보안 기능이 완벽하고 강력함을 보장하는 동시에 보안 플랫폼 시스템의 개발, 사용, 운영 및 유지 관리는 매우 간단하며 다양한 주요 운영 체제 환경과 C/JAVA 의 주요 개발 플랫폼을 지원합니다. 방안 설계에서 쓰촨 건설은행의 기존 하드웨어 및 소프트웨어 자원의 장점을 충분히 활용하고 발휘하여' 플랫폼화' 의 설계 사상을 충분히 반영하여 쓰촨 건설은행의 다양한 금융 서비스 보장 요구를 충족시킬 수 있다.
이 프로그램은 PKI 및 스마트 카드 /Ukey 기술을 기반으로 하는 보안 지원 플랫폼을 제공하여 쓰촨 건설업 외부 금융 서비스 시스템의 다양한 보안 애플리케이션뿐만 아니라 향후 쓰촨 건설업 기존 사업의 보안 향상과 신흥 사업의 발전을 위한 좋은 보안 기반을 마련했습니다.