目前，電子支付、網(wǎng)上銀行等電子商務服務在銀行業(yè)務中所占比重加大，越來越多的客戶借助計算機網(wǎng)絡交換資金信息。因此保證網(wǎng)絡上傳遞資金信息的安全，防止非法竊取和修改，成為銀行網(wǎng)絡信息化建設中的重要基礎。那么我們今天就來談談數(shù)據(jù)加密技術在銀行業(yè)的應用。

數(shù)據(jù)加密技術在銀行電子商務方面的應用

目前人們開始采用RSA加密技術提高信用卡交易的安全性，從而使電子商務走向實用成為可能。用戶在網(wǎng)上進行各種商務活動，可以不必擔心自己的卡號和密碼會被人盜用。

隨著網(wǎng)絡的發(fā)展，網(wǎng)上銀行的業(yè)務量正在逐年攀升，對用戶的賬戶，密碼等個人私密信息的保護已經(jīng)成為網(wǎng)銀業(yè)務發(fā)展的關鍵和核心。在這方面，各大銀行均推出自己的數(shù)據(jù)安全工具，其中使用比較普遍的有USB KEY，例如工商銀行的U盾，農業(yè)銀行的K寶等。USB KEY建立了基于公鑰（PKI）技術的個人證書認證體系。在技術方面，客戶證書通過個人證書認證和數(shù)字簽名技術，對客戶的網(wǎng)上交易實施身份認證，并且可以簽署各種業(yè)務服務協(xié)議，能夠自動生成RSA私有密鑰和安全存儲數(shù)字證書，確保交易和協(xié)議的惟一完整和不可否認。另外工商銀行所提供的電子銀行口令卡對客戶來說也是一個不錯的選擇，它相當于一種動態(tài)的電子銀行密碼，一次一密的操作方法能有效抵御木馬病毒和假網(wǎng)站的危害，最大限度地保障客戶利益。

數(shù)據(jù)加密技術在銀行數(shù)據(jù)中心內部的應用

目前，數(shù)據(jù)集中已經(jīng)成為國內各大銀行信息化的發(fā)展方向。工行、農行、中行、建行以及交通銀行等都已建立了自己的數(shù)據(jù)中心。數(shù)據(jù)集中在給各銀行的信息維護和業(yè)務發(fā)展帶來便利的同時，也對數(shù)據(jù)的安全保護提出了更高要求。

在各大銀行的數(shù)據(jù)中心建設中，大型主機逐漸成為核心銀行系統(tǒng)的開發(fā)平臺，成為企業(yè)的一個運算樞紐。銀行中越來越多的核心業(yè)務，例如銀行卡業(yè)務，均通過主機應用實現(xiàn)。主機系統(tǒng)是一個獨立的系統(tǒng)運算環(huán)境，其中包含了諸如客戶賬號、密碼、資金賬務等全部機密信息。所有資金財務的相關信息必須是安全的，因此在整個交易處理流程中，與主機相聯(lián)的上行和下行網(wǎng)絡安全成為我們關注的重點。如圖2所示，用戶在使用銀行的ATM、POSP終端進行交易的過程中，卡號、密碼通過分行終端使用相關工作密鑰，以及加密算法進行DES加密；再把加密后的密文進行MAC加密并通過分行通用網(wǎng)關發(fā)送至銀行數(shù)據(jù)中心主機；主機通過IP加密網(wǎng)關訪問硬件加密設備解密并與存儲在主機內的數(shù)據(jù)進行對比，以確認此交易是否合法。

國際信用卡組織在信用卡業(yè)務安全規(guī)范中提出明確要求：“密鑰永遠不得以明碼形式出現(xiàn)。”從技術上講，基于軟件加密的安全體系無法達到這一基本要求，而硬件加密設備具有的密鑰保護機制則可滿足該要求。硬件加密設備可以完全獨立于業(yè)務系統(tǒng)，加密的密鑰只有在硬件加密設備中才能使用，加密算法的實現(xiàn)也在硬件加密設備中完成，可以有效防止業(yè)務人員盜取密鑰并復制加密解密的實現(xiàn)過程，保障客戶信息安全。

銀行密鑰管理體系中的安全管理措施

銀行的硬件加密設備所使用的密鑰可以從密鑰的配置和分級管理兩方面進行保護，主要目的是在人為的安全保護下，密鑰永遠不以明文的形式出現(xiàn)。
密鑰終究需要工作人員來維護，因此要在維護流程上避免個人接觸所有級別密鑰。此外在密鑰分級的基礎上，還需要根據(jù)密鑰使用的類型不同，制訂不同的維護策略。

第一，主密鑰是否安全關系著工作密鑰的安全性，因此要嚴防主密鑰失竊。為此可以將主密鑰分解成不同的密鑰分量，存儲在不同的介質中，放置在不同的保險箱中。此外為防止介質損壞，還需要進行多個備份。各銀行還可以根據(jù)實際需要，定期更換主密鑰。

第三，工作密鑰的使用與銀行具體業(yè)務相關，一般生命周期較長。

第四，所有存儲或者使用過密鑰的硬件設備需要進行更換時，由專業(yè)的安全人員進行消磁處理，避免密鑰泄露。

admin

收藏 海報分享