10-1

Module 10-2Module 10-2 ：網路銀行應用範例：網路銀行應用範例

10-2

網路銀行應用分類網路銀行應用分類• 個金網路銀行– 提供個人戶客戶使用之銀行網路交易系統– 依使用者申請分類 : 網銀用戶、信用卡用戶、 VIP– 存取控制 : ID + PW , IC 卡、雙向驗証、 Challenge/ Response

• 企金網路銀行– 提供企業用戶客戶使用之銀行網路交易系統– 使用者為企業戶之財務部、會計人員、高階主管– 存取控制 : ID + PW + IC 卡 , 多重授權、審核 , 數位憑証 ( 不可否認性 )

10-3

個金網銀與企金網銀分流 個人網路銀行為單一使用者 , 使用上著重在操作簡易、 流程短、個人化、群組化，交易金額較小，服務內容 變化較多樣化。 企業網路銀行對一個企業來講為多使用者 , 交易金額大，企業在乎內部安全控管 , 故在使用上著重多重控管流

程 . 額度控管 . 授限管制 . 主動通知提醒

10-4

網路銀行功能 - 個金網銀範例

10-5

網路銀行功能 – 企金網銀範例

10-6

存取控制 • 使用者存取管理主要目的是讓授權的使用者– 可以依其權限，適當存取資訊系統– 並防止未經授權之使用者存取資訊系統

• 存存控制的安全保護– 利用密碼學的技術，使第三方看不懂通信中的內容– 權限的管理與設定

• 申請• 變更• 取消

10-7

存取控制 ( 續 )

• 使用者辨識技術– 通行密碼辨識• 使用者帳號與通行密碼

– 持卡驗證• 身份憑證儲存在智慧卡上

– 視覺認知辨識• 使用者的視覺 + 動態鍵盤、 GOTP 等使用者的人為操作來進行身份的驗証

10-8

存取控制 ( 續 )• 帳號申請與使用

– 依規定攜帶身份証、印章至已開戶分行辦理申請• 經辦人員核對身份及申請項目，設定申請人的授權及啟用程序• 經辦人員提供密封的密碼函，包含使用者代號及密碼• 使用者第一次登入時必須變更使用者代號及密碼

– 系统將依使用者所具備之身份鑑別因子 (factor) ，分為一般身分登入與金融 IC 卡登入兩種，不同的身份，可使用的業務功能不同– 帳號取消或變更必須依規定攜帶身份証、印章至已開戶分行辦理申請

10-9

個金網銀 - 存取控制範例• 個金網路銀行使用者登入可依照其所持有的鑑別因子 (factors) 來決定其能執行的交易授權及範圍– 一般登入 : ID + Password + usercode• 授權業務範圍僅限查詢、約定轉帳

– 持卡驗證 : ID + PIN + usercode + IC card (two factors authentication)• 授權業務範圍 : 查詢、約定轉帳、非約定轉帳、線上交易

– 授權金額範圍• 為降低線上交易風險，必需限制每次 / 每日交易的 限額

10-10

個金網銀 - 存取控制範例 ( 續 )• 密碼及使用者代號必須符合安全規則 ( 如代號至少 8 碼、須中英文夾雜 , 密碼不得為懶人密碼 )• 密碼輸入方式採用動態鍵盤，避免駭客利用密碼側錄等竊取密碼

動態鍵盤

10-11

•動態鍵盤的每一個英數字僅代表一個 location ，輸入欄位將各 location 傳送到 Server 端時，再依 location 與字碼轉換table ，將 location 轉換成英數字之密碼字碼•密碼登入的資料由 PC 端傳送到 Web server 端時，採用SSL 加密，確保資料在通訊中的安全

動態鍵盤

10-12

個金網銀 - 存取控制範例 ( 續 )

• 以動態鍵盤輸入密碼的過程所需時間 T，檢查所 花時間是否 T > Tmin ，若 T小於 Tmin , 則拒絕交易

• 密碼經過雜湊函數及 3DES運算，再經由 server比對資料庫的資料後，若完全正確，即可取得唯一的特殊 session ID，做為往後各交易的通行判別 factor

• 登入時間是否在客戶設定的正常使用時區、金額 是否在設定的範圍內，若不是 , 則發出即時警訊通知 (簡訊及mail)

10-13

個金網銀 - 存取控制範例 ( 續 )

10-14

個金網銀 – 存取控制範例 ( 續 )• 善用 Challenge / response

– Graphic OTP– 動態鍵盤– 插拔晶片金融卡– 個人資料對答 ( 如 :交易行為有異常，問 : 最喜歡運動 ? 家中小孩幾

位 ?等個人存於銀行之資料 )– 交易驗証碼傳至手機 , 再輸入網頁 交易內容完成後 , 由網站主機依据交易資料運算產生 驗証碼，並將驗証碼以簡訊或 mail 傳送給客戶 , 客戶再將手機上的驗証碼輸入網頁 , 送至網站主機比對 ,若驗証碼正確，即完成交易程序。

10-15

個金網銀 – 存取控制範例 ( 續 )

動態鍵盤Graphic OTP

10-16

個金網銀 – 存取控制範例 ( 續 )

插、拔晶片金融卡 ,確認交易是人為在操作

10-17

個金網銀 – 存取控制範例 ( 續 )發現異常交易行為時，以簡訊或 mail即時通知

10-18

企金網銀 – 安控機制範例

10-19 企業會員區

企金網銀 – 安控機制範例 ( 續 )

• 符合標準安控基準，採用最新技術憑證–網路傳輸採 128 位元 SSL傳輸加密保護–使用電子簽章，保障交易完整性及不可否認性–採用 FXML憑證–新型智慧卡輕巧方便、攜帶保管容易

• 依企業作業流程，採多重授權–每一使用者需要訂定權限–依交易重要性設定多層審核流程–限制每日 / 每筆最大轉出金額

10-20

• 強化安控機制– 企業採用雙安控

安控經辦，安控主管– ( 編輯 ) -> (送審 ) -> (放行 )– 作業功能可依交易屬性控管制帳號 / 統編–以 IC 卡做為憑証的載具，安全性高

• 主動性通知服務企業會員區

企金網銀 – 安控機制範例 ( 續 )

10-21

安全審核放行 多重審核 1. 編輯 -> 放行 2. 編輯 -> 初審 -> 放行 3. 編輯 -> 初審 -> 複審 -> 放行 4. 編輯 -> 初審 -> 複審 -> 三審 -> 放行 審核放行者須有權限及憑証 ( 存於智慧卡 ) 依交易金額大小或交易的重要性，選定一審或多審的審核流程

企業會員區

企金網銀 – 安控機制範例 ( 續 )

10-22

依使用者的屬性設定執行的權限及交易種類

企業管理區

企金網銀 – 安控機制範例 ( 續 )

10-23

雙安控人員權限控管機制

經辦 主管

• 編輯• 修改• 刪除

送審

審核文件

退回重新編輯放行通過

企業會員區

企金網銀 – 安控機制範例 ( 續 )

10-24 企業會員區

企金網銀 – 安控機制範例 ( 續 )

10-25

• 企金網路銀行應用系統權限控制角色共分為三部份 :– 資訊管理單位、分行作業管理單位、企業財務管理單位，

• 授權流程說明：– IT 安控人員及主管→ 授權分行安控經辦及安控主管 →授權分行業務經辦及業務主管 →授權企業安控經辦及安控主管→ 授權企業財務經辦及財務主管 → 執行網路銀行業務– 每個流程初次使用時，必須變更密碼、代號及下載憑証並存於 IC 卡內

企金網銀 – 安控機制範例 ( 續 )

10-26

由資訊處作業人員設定分行安控人員

分行安控人員首次登入並更改登入密碼及主管授權碼

資訊處作業人員 安控經辦

安控主管

安控主管

設定該分行作業人員並送審審核放行通過分行作業人員

使用者登入並更改登入密碼及主管授權碼

IT 單位設定 分行部門作業人員權限企金網銀 – 安控機制範例 ( 續 )

10-27

銀行經辦

銀行業務主管

會員會員臨櫃申請填寫各申請表格

登入會員資料戶代理設定交易系統使用約定台幣帳戶約定外幣帳戶約定帳戶查詢約定費用扣款帳號申請登錄會員憑證送審

審核文件放行通過產生密碼函三份連同智慧卡及憑證系統光碟交給會員

營業單位作業區

分行經辦單位設定新會員登錄作業權限 企金網銀 – 安控機制範例 ( 續 )

10-28

會員安控憑證管理 經辦

主管

會員

會員在會員作業區辦理憑證暫禁時，欲申請憑證解禁或憑證註銷後，欲重申請憑證時，須臨櫃申請編輯

送審審核文件放行通過

新憑證密碼函註銷後之憑證永久失效憑證解禁次數以兩次為限，第三次後就永久失效

企金網銀 – 安控機制範例 ( 續 )

10-29

安裝光碟之的驅動程式並且重新開機

安控經辦啟用密碼

更改原始簽入密碼原始簽入名稱

變更基本資料個人化設定

安控經辦首次登入

安控主管啟用密碼

更改原始登入名稱原始登入密碼

變更基本資料個人化設定

製作金鑰對及申請憑證

憑證申請密碼函

更改成新密碼

安控主管首次登入

安裝光碟之的驅動程式並且重新開機

企業會員區

企業內部安控人員第一次使用流程企金網銀 – 安控機制範例 ( 續 )

10-30

安控經辦設定人員的登入名稱及登入密碼

由安控主管審核通過，放行

變更登入名稱及登入密碼

變更基本資料個人化設定

使用者首次登入輸入安控經辦設定的登入名稱及登入密碼

正確 ?

是

開始交易

否

安控主管

檢查及變更企業基本資料

查詢台幣約定帳號

設定訊息通知

設定使用者權限 設定作業流程 新增使用者安控經辦 : 編輯 / 設定 / 送審

安控經辦企流內郊首次授權流程

企金網銀–安控機制範例 ( 續 )

10-31

變更企業變更內部使用人員及其權限時處理流程使用者資料維護

更改使用者權限

新增使用者 輸入新使用者資料並送審核審核放行

設定新權限並送審核

使用者查詢

否

否

審核放行

退回

是

是

安控經辦 安控主管

放行

放行

企金網銀 – 安控機制範例 ( 續 )

10-32

由安控主管上企金網完成註銷手續

更改密碼

客戶憑證遺失臨櫃申請

是否將憑證暫禁

是否將憑證直接註銷

註銷後之憑證將永久失效

重新申請憑證需繳交手續費

由安控主管上企金網完成暫禁手績

要恢復時則須臨櫃申請

是

否

是否

營業單位作業區

企金網銀 – 安控機制範例 ( 續 )會員安控憑證管理

10-33

憑証管理作業名稱 作業說明憑證查詢 查詢會員憑證狀況一覽

憑證申請登錄 憑證申請 憑證使用登錄 憑證使用範圍設定 憑證暫禁登錄 會員憑證暫禁 憑證解禁登錄 會員憑證解禁 憑證註銷登錄 會員憑證註銷

憑證申請密碼補印 憑證申請密碼列印 憑證費用作業 憑證費用收款查詢和收款處理配備庫存查詢 配備庫存資料查詢 配備消耗登記 登記配備消耗資料 配備申請登記 配備申請配備歷史紀錄查詢 配備狀況與處理變動歷史查詢

營業單位作業區

企金網銀 – 安控機制範例 ( 續 )

10-34

Module 11-3Module 11-3 ：網路：網路 ATMATM 應用範例應用範例

10-35

實務案例—網路 ATM付款安全機制• 除了無法提供提款功能外，網路 ATM 的業務功能和實體 ATM 的功能完全相同。• 網路 ATM 額外功能– 提供異業結盟網路商店的線上付款機制 ( 如網路商店購物、學雜費繳款、拍賣、遊戲儲值、線上電視付費、繳信用卡費、停車費、電信

費… )–特定實體商店付款 ( 醫院、超市、商店… )

10-36

網路 ATM功能案例

10-37

網路 ATM可能安全威脅–網路 ATM 是 client / server架構應用程式• Client 端有 Active X元件，負責讀寫卡片資料及與 server端交易資料的交換 .

–客戶端的使用環境是銀行無法掌控的風險–客戶有可能誤上釣魚網站–客戶資訊遭到駭客竊取、冒用、遠端監控–客戶交易資料遭到偽造、竄改

10-38

網路 ATM可能安全威脅分析• 經分析網路 ATM 系統之各個節點弱點， Risk

4,5,6 之安全己在網路銀系統 Server端建構保全機制• Risk 1,2,3 則是在客戶

PC端上，是銀行端無法控制的風險，所以網路 ATM 的安全設計將針對 Risk1,2,3 等因素來防範

10-39

網路 ATM設計安全規範–銀行公會結合各銀行收集相關可能的安全威脅，針對網路 ATM系統可能的弱點做分析，並且訂定網路 ATM設計安全規範，提高安全程度，降低惡意程式攻擊的風險– 使用第二代 reader (Reader 含 PIN 鍵、交易確認按鍵、顯示螢幕 )

10-40

網路 ATM設計安全規範 ( 續 ) 規 範 項 目

1. 網站應採用 SSL加密或其他方式加密。2. 系統應依每筆交易動態隨機變動端末設備查核碼或以亂碼化保護。3. 系統應設計具遮罩功能之圖形驗證碼 (GOTP) 或隨機按鈕等方式。4. 系統動態頁面呈現或限制滑鼠點選，以防止 SendKey Control。5. 系統應有 Session及網頁 TimeOut機制。6. 於帳務交易時 , 系統應每次輸入卡片密碼產生 TAC ( 在同一 Session下亦相同 ) 。7. 若有多網頁設計 ( 同 Session)，系統應驗證前一網頁的正確性。

10-41

網路 ATM設計安全規範 ( 續 ) 規 範 項 目

8. 元件應驗證網站正確性。 ( 如： Challenge/Response, RSA, GOTP方式加強 Client/Server雙向驗證 ) 。9. 元件應具有防盜用機制，以驗證正確網站 ( 如：驗證 URL方式加強 Client驗證 Server)。10. 元件應經過作業系統被認可之數位憑證簽章 (CodeSign)。11. 元件應設計存取卡片時限定為獨占模式。12. 於帳務交易時 , 系統應設定需經由人工抽拔卡片動作後才回傳

TAC。13. 採用經本會審核之確認型讀卡機者，可不執行本注意事項之第 3,7,12 必要項目。

10-42

網路 ATM設計安全方法–於各節點採用對稱式加密，機密性與完整性

( 參考網路 ATM對稱式加密架構圖 )– 使用動態虛擬鍵盤及 Graphic OTP (GOTP)–善用 Challenge / Response機制–抑制對話盒功能–人工插拔卡動作

10-43

Web-ATM 系統交易資料對稱加密架構

TAC加密模組 Internet

晶片金融卡

SSL加密模組AES加密模組 TAC解密模組AES解密模組SSL解密模組

個人電腦 Webserver

APserver

中心主機

客戶端 銀行端

SSL 128 bit 加密( 完整性 機密性 )

AES 加密( 完整性 鑑別性 )

TAC 加密 ( 完整性 )

10-44

網路 ATM設計安全方法若是第一次使用【銀行網路 ATM】，系統會出現「安全性警告」的視窗之對話框 ( 如下圖所示 ) 。請點選「是」按鈕，以利於系統自動安裝服務元件。

10-45

網路 ATM 設計範例 (1/6)應用程式啟動讀取 IC 卡時，與Reader建立的 session 必須具有排他性，直到交易結束。在微軟 PCSC讀卡機介面規範中，對於 IC 卡的連線協定採用：SCARD_SHARE_EXCLUSIVE鎖住連線 IC 卡的 Session (occupy session) ，拒絕其他程式存取此一讀卡機 ，避免其他惡意程式乘隙讀取卡片資料，進行偽造資料。

10-46

網路 ATM 設計範例 (2/6)

網路 ATM 系統使用 Graphic OTP的設計方式，在網頁上會顯示 4~8 個之圖形數字，讓客戶以視覺判斷圖行數字 , 並 輸入 OTP 數字於欄位，以達到Challenge / response 功效 ,

10-47

網路 ATM 設計範例 (3/6)

網路 ATM 系統使用動態虛擬鍵盤的設計方式，在網頁上會顯示 0~9 的數字圖形按鍵，並予以隨機擺放不同順序的位置，讓客戶僅能以滑鼠點選晶片卡密碼 ，並將代號放入輸入欄 , 經送往 server 時 , 再依Mapping table 轉換成密碼文字避免惡意程式側錄密碼

Graphic OTP

10-48

網路 ATM 設計範例 (4/6)

1.. 取消視窗右上角關閉按鈕2. 取消預設按鈕屬性3. 取消按鈕元件的 Focus特性4. 取消鍵盤事件

10-49

網路 ATM 設計範例 (5/6)

讓客戶在 30秒內拔出卡片後再插入，以確認客戶真正的在線上使用，其主要目的是防止遠端遙控軟體的操弄

10-50

網路 ATM 設計範例 (6/6)

10-51

網路 ATM 安全管理範例系統使用者管理模組網路 ATM 管理功能

10-52

網路 ATM 安全管理範例建立系統使用者資料 & 設定使用者角色

10-53

網路 ATM 安全管理範例系統使用者角色資料維護 : 新增角色資料

10-54

網路 ATM 安全管理範例

10-55

網路 ATM 安全管理範例 - 安控報表

10-56

網路 ATM 安全管理範例 -LOG

10-57

網路 ATM 安全管理範例 - EJ log

10-58

參考文獻• 財金資訊股份有限公司，晶片金融卡規格書• 銀行公會「金融機構對晶片金融卡網路應用安全機制」處理要點 • www.taishinbank.com.twwww.taishinbank.com.tw• www.taipeifubon.com.twwww.taipeifubon.com.tw• www.bop.com.twwww.bop.com.tw