未引入Forefront安全解决方案之前
在引入Forefront安全解决方案之前,在B银行企业IT安全架构之中已经存在以下应用比较成熟的安全技术以实现日常事务的安全保障:
 |
|
图1:B银行安全架构简略图 |
a、安全套接层(Secure Socket Layer)
为保护银行和公共网络之间传输的敏感和关键信息,在数据传输过程中必须对这些数据进行加密,SSL是一种已经应用比较成熟的技术,尽管存在一定的缺陷并非完美,但易于实现的是技术要比高、精、尖的技术但难以实现的要现实的多,尤其对于面向大众的银行网络业务或者应用银行进行支付的电子商务而言。
B银行采取的是长度为128位的至少为2048字节的RSA加密技术,以及基于MD5的哈希算法。
b、会话管理
在所有需求授权认证的系统中,会话管理都是非常重要的一个环节,小到BBS系统大到应用大型机进行处理拥有数百万用户的银行系统,都存在着会话管理。B银行采取了SiteMinder进行会话管理,SiteMinder生成一个会话ticket来完成会话的传输,并采用Intershop来缓存会话句柄以防止出现会话瓶颈。当然,在解决会话管理上,还采用了其他的一些附加的应用程序以获取更好的性能和更高的安全性。
c、授权认证服务器
授权认证服务器是整个安全架构中最为重要的组件,也涉及了相当多的内容:
•强认证组件。其下包括图1中所示的Monkey服务器、ACE SecureID服务器和PKI服务器。这三种服务器构成了B银行的强认证组件,它们用以完成到达目录服务器的认证;
•单点登录(Single Sign On)。B银行的客户可以以单点登录的方式来使用B银行对客户提供的所有客户Web资源,而不需要一一登录到相应的系统或应用当中;
•内部资源安全性。涉及以下内容:TCP/IP协议传输、防火墙、入侵检测系统(IDS)、路由器、系统传输、系统可信平台等。
d、用户和客户数据管理
B银行的用户和客户数据管理主要涉及以下内容:
•客户数据。客户可以分为两种类型:访客和客户,访客可以视为潜在客户,同时也是身份不被识别的用户,他们可以使用B银行站点中的公共内容,如业务范围介绍等信息。而客户则可以通过登录享受客户资源。
•用户数据策略。客户ID是一串绝对唯一的数字,出于安全原因,客户永远无法了解到该数字甚至是内部的员工,该数字在创建之初就以密文的方式传输于数据库,而每次验证则通过把客户ID信息加密后对比密文的方式进行。
•客户端授权认证。B银行存在三种形式的客户授权认证:Web客户端、IVR客户端和CRM客户端。
•其他信息管理。包括创建新的用户、更新用户信息和删除用户等等操作,分别需要按照相应的操作策略进行。
| 共2页: 1 [2] 下一页 | ||||
|
