基于USBKey的应用安全解决方案
基于USBKey的应用安全解决方案
北京东方通科技公司金融方案中心
2004-06
目录
1项目背景 (3)
2方案介绍 (3)
2.1 B/S应用USBKey安全解决 (4)
2.2 C/S应用USBKey安全解决 (6)
2.3 USBKey管理系统 (7)
3应用USBKey安全改造 (7)
3.1 新增应用的USBKey改造 (8)
3.2 原有应用的USBKey改造 (8)
4方案特点 (9)
5方案总结 (10)
1项目背景
随着计算机网络通信技术和信息加密技术的快速发展,人们迫切需要一种具有高度安全性、小巧、灵活、易用及便携等特点的硬件设备来存储密钥等需要保密的安全信息。USBKey 正是为了满足这种需求而设计的一种安全产品,其安全核心是智能卡技术。
USBKey又称电子钥匙,是基于USB接口的信息安全产品。采用了国际上先进的智能卡技术,具有内部的操作系统和安全核心管理。USBKey主要由微处理器、微型操作系统、USB通讯接口三部分组成,是将智能卡与智能卡读写器集成一体的便携式安全设备。它体积小巧,式样美观高档,可以由用户随身携带。USBKey作为用户身份认证时的核心凭证使用,由于借助了硬件(智能卡)的安全特性,所以极大地提高了身份认证安全强度,保障了应用安全性。
USBKey也能够和当今信息安全领域最尖端的PKI以及CA认证技术紧密结合,利用USBKey内极为安全的智能芯片来存储和使用用户的私有密钥和第三方认证机构所颁发的数字证书。虽然现在有很多应用都把私有密钥和数字证书存储在计算机的硬盘或软盘当中,但出于安全性考虑,使用自动生成私有密钥和安全存储数字证书的USBKey则会更好、更安全。这样可以防止黑客通过植入病毒程序盗取合法用户的私有密钥,伪装成为合法用户的身份在网络上数字签名,进行诈骗和非法交易。
北京东方通科技公司为应用系统提供了一整套基于USBKey的安全解决方案,充分考虑到应用安全性的各个环节,从安全性和易用性出发,为多种应用系统(基于互联网的新兴B/S结构应用系统和传统基于C/S结构的应用系统)均搭建起强大的USBKey底层安全支撑平台。
2方案介绍
本安全解决方案采用了东方通科技公司的TongSEC系列安全产品,结合USBKey、数字证书、SSL协议、互联网https安全通道等相关安全技术,为用户实现以下需求:
①完全支持B/S和C/S两种应用模式下的强安全保护。
②使用USBKey作为用户唯一身份证明。
③提供双向的强双因素身份认证机制。
④为通信数据提供机密性、完整性、抗抵赖性保护。
⑤提供浏览器/WEB服务器访问模式(即B/S模式)下使用USBKey的安全通道,执
行双向认证的SSL安全协议,建立互联网上的https安全连接,从标准安全协议的角度确保通信数据安全性。
⑥提供客户端/服务器访问模式(即C/S模式)下使用USBKey的安全通道,安全保
护功能包括双向身份认证、协商会话密钥、数据加解密、数据签名验证等。
下图是USBKey安全应用系统的物理结构图:
图:系统物理结构图
2.1B/S应用USBKey安全解决
互联网应用中目前最为流行的安全解决方案是使用基于SSL安全协议的HTTPS通道。SSL协议分两种认证模式,分别是:单向身份认证(仅认证服务器端)和双向身份认证(同时认证服务器端和浏览器端)。目前应用中最为普遍,安全性也最高的是使用双向身份认证
的SSL安全通道。SSL协议的安全保护包括:认证互联网连接双方的身份;协商随机的会话密钥;对互联网传输数据使用会话密钥进行加密,保证机密性;对互联网传输数据使用MAC验证完整性,防止数据被篡改和破坏。
使用SSL协议的好处在于,对于上层的WEB应用来说,添加的安全机制完全是对应用透明的。WEB应用不需要为采用了SSL安全机制作任何修改,安全性的保护完全在HTTPS 互联网通道层进行。当数据通过HTTPS通道提交给WEB应用时,就已经作好了机密性和完整性验证,数据的真实和有效均得到了保障。
互联网B/S应用中USBKey安全解决的逻辑图如下:
图:互联网B/S应用中安全保护逻辑图
当建立双向认证的SSL连接时,客户端需要使用自己的数字证书和密钥,而保存这些客户敏感信息的最佳安全介质就是USBKey。USBKey具有自身的操作系统,极高安全性的存储空间和优良的运算性能,至今为止还未发生过一例因为USBKey而导致的信息安全事故。而且USBKey具有便携、美观、高档的特点,很好地成为了客户身份的代表。
当互联网B/S应用系统中的客户需要办理安全业务时,只需要将装有客户证书和私钥的USBKey插入计算机的USB插口,就可以使用IE浏览器进行网上交易了。该互联网安全通道保证了:
1.只有持有管理系统所颁发USBKey的客户才能够连接到互联网业务系统中,执行
相关操作。客户的身份认证过程使用了基于数字证书和USBKey硬件的高强度认
证机制。
2.在互联网中传输的互联网业务系统应用数据都经过了加密保护,有效地防止了敏感
信息被非法人员窃取。
3.在互联网中传输的互联网业务系统应用数据都经过了MAC的数据完整性保护,有
效防止了数据被非法人员篡改。
2.2C/S应用USBKey安全解决
对于C/S应用而言,虽然其运行环境和业务流程与互联网上的B/S应用相比有很大区别,但对于信息安全方面的基本需求却是一致的。比如都需要进行较高安全性的身份认证,需要确保通信数据的机密性,需要确保通信数据的完整性,防止数据被窃取和篡改等。
在以往传统C/S应用中,对于用户身份的识别一般是依靠用户名和口令,但这样的认证方式由于过于简单,所以也无法提供类似双向认证等较高安全性的身份认证手段。随着USBKey等硬件技术的发展,传统C/S应用也逐渐采用了硬件作为客户身份的标识,利用USBKey极高的安全性来保证应用的安全强度。而且由于USBKey的美观高档,也容易被用户所喜欢和接受,成为用户的唯一身份标识。
当用户与应用的服务端建立安全连接时,用户需要将自己的USBKey插入到客户端计算机中,并按照提示输入USBKey的PIN码。客户端的安全模块会自动操作USBKey,进行和服务端的双向身份认证,并协商会话密钥。在后续的通信过程中,所有通信数据都将被加密和进行数字签名,有戏的保障了数据的机密性和完整性,防止了信息被窃取和被篡改。
传统C/S应用中USBKey安全解决的逻辑图如下:
图:传统C/S应用中安全保护逻辑图
2.3USBKey管理系统
USBKey管理系统包含:认证机构TongCA、注册机构TongRA、LDAP证书库、加密机(可选)四大部分。共同为应用系统中涉及安全身份认证的实体(例如Web服务器、前置机)以及应用系统中的大量用户(不论是使用浏览器还是客户程序的用户)颁发其唯一身份标识-USBKey。
颁发的用户USBKey中含有该用户的数字证书、密钥以及用户的其它识别信息(证件号码、邮箱地址等),利用USBKey提供的安全、持久、便携的存储空间妥善保存,成为用户身份的象征。
3应用USBKey安全改造
对于应用而言,仅仅知道USBKey具有安全、便捷等特点是远远不够的,应用更为关注的是需要怎样改造才能将USBKey的这些优势发挥出来;USBKey如何更好的为应用安全服务,以提升应用自身的安全性品质。
北京东方通科技公司提供的基于USBKey的应用安全解决方案,通过一系列模块化和
平台化的专业设计,很好地屏蔽了USBKey的底层复杂硬件操作细节,为应用提供了非常简洁统一的上层操作接口。这样的设计使得应用可以轻松快捷地将USBKey部署到实际业务流程当中,借助USBKey这一信息安全方面的尖端设备来保障应用的核心安全,为用户的敏感交易提供更为行之有效的安全保护,以更高的安全性品质赢得用户的认可。
以下我们分别介绍新增应用如何进行USBKey的安全改造,以及原有应用如何进行USBKey的安全改造,从这两方面较为全面地阐述应用进行USBKey改造时需要的准备工作和改造步骤。
3.1新增应用的USBKey改造
对于新增应用而言,使用USBKey的过程相对简单。
首先需要建立起一整套USBKey管理系统,包括USBKey的发行、管理以及撤销等。借助于北京东方通科技公司提供的安全平台,建立USBKey管理系统的工作十分简单,可以在短短几小时内即可完成。
其次根据应用的具体安全性需求,在需要加入安全保护的地方使用北京东方通科技公司提供的具有硬件设备抽象层设计的平台化安全接口。该安全接口完全屏蔽了底层复杂的USBKey硬件操作细节,而且使用同一个接口即可支持目前市面流行的多种USBKey硬件,方便了应用的扩展。对于常见的安全保护操作,如身份认证和数据保护等,使用该安全接口仅需调用简单的一两个函数即可完成,很好的保证了应用的快速开发,最大限度地减少了应用为操作USBKey所带来的额外工作量。
3.2原有应用的USBKey改造
对于原有应用而言,使用USBKey的过程也十分简单。
首先仍然需要建立起一整套USBKey管理系统,包括USBKey的发行、管理以及撤销等。借助于北京东方通科技公司提供的安全平台,建立USBKey管理系统的工作十分简单,可以在短短几小时内即可完成。
其次根据原有应用的安全保护功能,在原有应用实施安全保护的地方,使用北京东方通科技公司提供的具有硬件设备抽象层设计的平台化安全接口进行封装和替换。封装后的接口可以和原有接口具有完全一致的参数与返回值,使得应用调用安全接口的方式完全不变,应用的业务逻辑也完全不变。改变的仅仅是将原有依赖于用户名口令的简单安全保护模式,转
变到依靠USBKey硬件的安全保护模式上来,极大提高了应用的信息安全强度。
替换的安全接口完全屏蔽了底层复杂的USBKey硬件操作细节,而且使用同一个接口即可支持目前市面流行的多种USBKey硬件,方便了应用的扩展,同时也最大限度地减少了应用为操作USBKey所带来的额外工作量。
4方案特点
?安全性
使用USBKey硬件设备提供敏感信息的安全保护。
完全支持互联网应用模式下(B/S)的强安全保护。
完全支持传统应用模式下(C/S)的强安全保护。
采用1024位非对称算法、128位对称加密算法,具有很高的算法安全强度。
?透明性
对互联网应用来说完全透明,不更改原有应用的业务逻辑。
对传统应用来说比较透明,对USBKey的操作透明进行。
?开放性、灵活性
适用于多种系统环境,如:B/S和C/S。
USBKey硬件设备抽象层的设计,很好屏蔽不同品牌USBKey调用差异。
C/S下的开发接口具有充分的灵活性,提供不同层次的封装接口。
支持多种安全措施的组合配置,提供不同层次的安全保护。
支持NT/2000/AIX/SUN/LINUX等多种操作系统环境。
?易用性
用户使用USBKey的操作非常简单。
USBKey管理系统的运行维护非常简单。
开发接口简洁、统一,易于使用。
5方案总结
本方案在充分分析互联网应用以及传统应用所面临多种安全隐患的前提下,顺应当前信息安全方案中倾向硬件解决的总体发展趋势,采用当前最为流行安全性也极高的USBKey 作为客户安全载体,为应用提供了一种从身份认证到数据保护都较为完善的信息安全总体解决方案。
本方案系统的搭建和部署非常简便快捷,能帮助应用在短短几小时内即完成从原有较弱安全状况转变到依靠USBKey的强安全解决模式上来。而且由于USBKey所具有的小巧美观、便携高档等特点,能很好成为用户身份的象征,在被用户所喜爱和接受的同时,也极大提升了应用本身的品牌和价值,使USBKey成为应用极高安全品质的标志。
本方案提供的基于USBKey技术的应用安全支撑平台,采用了目前最流行和前瞻性的信息安全技术,具有良好的扩展性。本方案不仅能很好地服务于现有的多种应用安全保护,也能为未来各种新兴业务的开展奠定了很好的安全基础。
使用USBKEY实现智能卡域登录的说明
使用USBKEY实现WINDOWS智能卡登录的说明 2007年1月18日
目录 一、前言.............................. 错误!未定义书签。 二、安装Active Directory .............. 错误!未定义书签。 三、安装IIS .......................... 错误!未定义书签。 四、安装Windows证书服务.............. 错误!未定义书签。 安装证书颁发机构................... 错误!未定义书签。 添加证书模板....................... 错误!未定义书签。 五、申请注册代理证书.................. 错误!未定义书签。 六、安装USBKEY的软件及硬件........... 错误!未定义书签。 七、申请智能卡证书.................... 错误!未定义书签。 更改IE安全设置.................... 错误!未定义书签。 申请智能卡证书..................... 错误!未定义书签。 八、使用USBKEY登录................... 错误!未定义书签。 九、使用USBKEY的安全配置............. 错误!未定义书签。
使用USBKEY实现Windows智能卡登录的说明一、前言 身份认证是系统安全的基本方面,被用来确认任何试图访问网络资源的用户的身份。但目前在企业内部所使用Windows网络中,用户名加密码仍然是普遍使用的身份认证方式,这种身份认证方式已经暴露出越来越多的问题:密码易被泄露:密码经常在无意之间被泄露出去。 密码易被窃取:密码被各种层出不穷的黑客和木马工具窃取。 密码易被猜测:由于密码长度有限,可能被猜测或穷举。 针对这个问题,微软从Windows 2000开始就支持智能卡登录。通过智能卡登录到网络提供了很强的身份认证方式。在智能卡中存放了用户的个人信息和数字证书,用户在登录时必须插入智能卡并同时输入对应的个人识别码(PIN)才能通过身份认证。相对于口令验证,智能卡具有更强的安全性。因为口令比较容易被不怀好意的人得到,而智能卡就像一把无法复制的钥匙,只有拿在手里才能打开大门。 USBKEY是结合USB技术和智能卡技术而开发的一种便携式安全产品,体积小巧,便于携带和使用。下面以Windows 2003 Server为例,来描述使用USBKEY 实现Windows 智能卡登录的整个配置过程: 安装Active Directory 安装IIS 安装Windows证书服务 申请注册代理证书 安装USBKEY的软件及硬件 申请智能卡证书 使用USBKEY登录 二、安装Active Directory 在Winodws的带域网络环境中,对用户进行身份认证及授权是通过域控制器来实现的。要使服务器成为域控制器则必须在服务器上安装活动目录服务(Active Directory)。
Web应用安全解决方案
x Web应用安全解决方案 一、应用安全需求 1 .针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web安全性已经提高一个空前的高度。 然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web 网站和应用的攻击愈演愈烈,频频得手。根据Gartner 的最新调查,信息安全攻击有75%都是发生在Web 应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们
之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网 络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换 Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 2 . Web安全防范 在 Web应用的各个层面,都会使用不同的技术来确保安全性,如图示1所示。为了保证用户数据传输到企业Web服务器的传输安全,通信层通常会使用SSL技术加密数据;企业会使用防火墙和IDS/IPS 来保证仅允许特定的访问,所有不必要暴露的端口和非法的访问,在这里都会被阻止。 防火墙IDS/IPS 图示1 Web应用的安全防护Web应用 注入式攻击 网页篡改 已知Web DoS攻击服务器漏洞跨站脚本 端口扫描网络层恶意执行 模式攻击
网站安全防护解决方案
网站安全防护解决方案 WEB应用是当前业务系统使用最为广泛的形式。根据 Gartner 的调查,信息安全攻击有 75% 都是发生在 Web 应用层而非网络层面上。同时,数据也显示,2/3的WEB网站都相当脆弱,易受攻击。据美国国防部统计,每1000行Web 代码中存在5~15个漏洞,而修补一个漏洞通常需要2~9小时。 根据CNCERT的最新统计数据,2007年CNCERT共接到网络安全事件报告4390件。2007年我国大陆被篡改网站总数达到了61228个,同比增长1.5倍;其中政府网站(https://www.wendangku.net/doc/b518662108.html,)被篡改3407个,占大陆被篡改网站的7%。CNCERT统计显示,大陆地区约有4.3万个IP地址主机被植入木马,约有362万个IP地址主机被植入僵尸程序。从以上数据可以看出,提高业务网站的安全防护,是保障业务正常进行的必然前提。 因此,对于影响力强和受众多的门户网站,需要专门的网页(主页)防篡改系统来保护网页和保障网站内容的安全。 政府门户网站的潜在风险 政府门户网站因需要被公众访问而暴露于因特网上,容易成为黑客的攻击目标。其中,黑客和不法分子对网站的网页(主页)内容的篡改是时常发生的,而这类事件对公众产生的负面影响又是非常严重的,即:政府形象受损、信息传达失准,甚至可能引发信息泄密等安全事件。。网页篡改者利用操作系统的漏洞和管理的缺陷进行攻击,而目前大量的安全措施(如安装防火墙、入侵检测)集中在网络层上,它们无法有效阻止网页篡改事件发生。目前,政府门户网站常因以下安全漏洞及配置问题,而引发网页信息被篡改、入侵等安全事件:
1. 网站数据库账号管理不规范,如:使用默认管理帐号(admin,root,manager等)、弱口令等; 2. 门户网站程序设计存在的安全问题,网站程序设计者在编写时,对相关的安全问题没有做适当的处理,存在安全隐患,如SQL注入,上传漏洞,脚本跨站执行等; 3. WEB服务器配置不当,系统本身安全策略设置存在缺陷,可导致门 户网站被入侵的问题; 4. WEB应用服务权限设置导致系统被入侵的问题; 5. WEB服务器系统和应用服务的补丁未升级导致门户网站可能被入侵 的安全问题等。 政府门户网站安全防护解决方案 根据目前政府门户网站可能存在的安全隐患及风险,给政府门户网站提出如下安全防护解决方案: 在政府门户网站信息系统的Internet边界上或者WEB服务器的前端部署KILL-WEB应用防火墙,并在Web防火墙上实施以下安全策略: l 对政府门户网站及网上系统进行全面的安全防护,过滤如SQL注入、跨站脚本等因传统防火墙不能防护的安全问题; l 对政府门户网站进行WEB隐藏,避免利用扫描软件对其进行信息获取分析; l 设置政府门户网站页面防篡改功能及恢复功能,避免恶意篡改页面;
中国银行企业USBKEY操作指南
企业网银中银E盾操作指南 目录 客户使用 (1) 首次使用USBKey: (1) 数字证书管理工具 (2) 客户遗忘Key密码或USBKey被锁死的处理: (3) 无法登录的情况及解决说明 (5) 银行柜台办理 (8) 1、中银E盾申请与绑定 (8) 2、客户USBkey密码被锁或是遗忘 (9) 我行企业网银新推出的为二代USBKey,与一代Key相比:一是新Key出厂时证书即已植入,客户首次从银行领取后可立即使用;二是同时具有液晶显示屏与物理按键,具备更高的安全防范等级。 客户使用 首次使用USBKey: 插入Key后,系统可自动安装驱动程序,在电脑桌面下方任务栏的右侧会出现中行的标志。如图: 若系统没有自动安装驱动,也可手动安装:先进入“我的电脑”,选择BOCNET盘符,再双击“setup”文件即可安装。
安装成功后,系统会自动弹出修改KEY密码窗口,客户应先修改KEY密码(初始密码为8*8)。 随后客户即可通过中行首首页(https://www.wendangku.net/doc/b518662108.html,)进入企业网银登录页面,如下图,首次使用的客户应先下载并安装“安全控件”(如已安装过,此步可省略),完成后即可正常通过“CA登录”登录企业网银。 数字证书管理工具 使用管理工具可以修改Ukey的密码与名称、检测Ukey状态以及查看证书详情: 正常情况下应该能看到两张证书,如图: 特别提醒: “USBKey初始化”按钮并非用于初始Key密码;该按钮点击后会自动删除证书,需经柜台补发证书、客户重新下载后才能使用,只有在Key的密码被锁或遗忘时才可点击,谨慎使用! 共两张证书 慎用初始化按钮!
客户遗忘Key密码或USBKey被锁死的处理: 首先,客户进行USBKey的初始化。 其次,客户前往银行柜台申请补发证书,取得打印有“参考码”“授权码”的回单。 第三,客户在中行网站进行证书下载。详细操作如下: 1、在网银登录页面点击“CA证书下载”: 此时系统可能会提示您安装“证书更新控件”,如下图: 使用鼠标右键点击地址栏下的黄色提示框,选择“为此计算机上的所有用户安装此加载项”,证书更新控件将自动安装到客户计算机上。如下图所示: 若“证书更新控件”未能自动安装,客户也可以通过下载“证书更新控件”安装程序,
互联网安全解决方案
以太科技信息数据安全防“脱库”解决方案 1.前言 近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其中涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道中也针对系列事件向用户提出密码设置策略等安全建议。 注册用户数据作为网站所有者的核心信息资产,涉及到网站及关联信息系统的实质业务,对其保密性的要求强度不言而喻。随着网站及微博实名制规定的陆续出台,如果在实名制的网站出现用户数据泄露事件,将会产生更恶劣的影响。 针对近期部分互联网站信息泄露事件,工信部于2011年12月28日发布通告要求:各互联网站要高度重视用户信息安全工作,把用户信息保护作为关系行业健康发展和企业诚信建设的重要工作抓好抓实。发生用户信息泄露的网站,要妥善做好善后工作,尽快通过网站公告、电子邮件、电话、短信等方式向用户发出警示,提醒用户修改在本网站或其他网站使用的相同用户名和密码。未发生用户信息泄露的网站,要加强安全监测,必要时提醒用户修改密码。 各互联网站要引以为戒,开展全面的安全自查,及时发现和修复安全漏洞。要加强系统安全防护,落实相关网络安全防护标准,提高系统防入侵、防窃取、防攻击能力。要采用加密方式存储用户信息,保障用户信息安全。一旦发生网络安全事件,要在开展应急处置的同时,按照规定向互联网行业主管部门及时报告。 工信部同时提醒广大互联网用户提高信息安全意识,密切关注相关网站发布的公告,并根据网站安全提示修改密码。提高密码的安全强度并定期修改。 2.信息泄密的根源 2.1.透过现象看本质 2.1.1.攻击者因为利益铤而走险 攻击者为什么会冒着巨大的法律风险去获取用户信息? 2001年随着网络游戏的兴起,虚拟物品和虚拟货币的价值逐步被人们认可,网络上出现了多种途径可以将虚拟财产转化成现实货币,针对游戏账号攻击的逐步兴起,并发展成庞大的虚拟资产交易市场; 2004年-2007年,相对于通过木马传播方式获得的用户数据,攻击者采用入侵目标信息系统获得数据库信息,其针对性与攻击效率都有显著提高。在巨额利益驱动下,网络游戏服务端成为黑客“拖库”的主要目标。 2008年-2009年,国内信息安全立法和追踪手段的得到完善,攻击者针对中国境内网络游戏的攻击日趋收敛。与此同时残余攻击者的操作手法愈加精细和隐蔽,攻击目标也随着电子交易系统的发展扩散至的电子商务、彩票、境外赌博等主题网站,并通过黑色产业链将权限或数据转换成为现实货币。招商加盟类网站也由于其本身数据的商业业务价值,成为攻击者的“拖库”的目标。 2010年,攻防双方经历了多年的博弈,国内网站安全运维水平不断提升,信息安全防御产品的成熟度加强,单纯从技术角度对目标系统进行渗透攻击的难度加大,而通过收集分析管理员、用户信息等一系列被称作“社会工程学”的手段的攻击效果
安装海泰UsbKey驱动的建议流程和注意事项
安装HaiKey的建议流程和注意事项 一、将网站网址联通http://222.161.58.86:8080/ (或电信http://222.168.33.117:8080/) 1.将网站网址加入到“受信任站点”中; 或
2.自定义安全级别-自定义设置(建议使用一下设置)。
3.运行以下加载项。 二、点击“Ukey驱动下载”模块 出现海泰驱动_国税总局V5.0.zip压缩文件包,右击解压,分别安装 “20203_User_Driver_(x64)_5.0.2015.3171”和“应用安全支撑平台客户端控件V2.0”(注:下载时不要使用迅雷等第三方软件)。 三、建议安装顺序: 先安装“应用安全支撑平台客户端控件 V2.0”, 后安装“20203_User_Driver_(x64)_5.0.2015.3171”。 四、安装“20203_User_Driver_(x64)_5.0.2015.3171”流程。
安装之前请不要插入HaiKey (如已经插入过HaiKey,请重新启动操作系统)首先进入欢迎界面,如图: 点击“安装”进入正在安装的界面,如下图: 点击“完成”并确保驱动程序软件安装“可以使用”,如下图: 打开【设备管理器】,确认【智能卡读卡器】中包含下图红框内的三项。
五、安装过程中注意事项: 1.如果已经安装过驱动,建议先卸载原有驱动再重新下载安装; 2.安装和卸载的过程中不能插钥匙; 3.安装和卸载的过程中不能开浏览器。 六、常见问题解答: 1.页面显示异常: 解决方法:浏览器—工具—兼容性视图 2.申请证书成功后,插入HaiKey时没有证书出现: 解决方法:①将HaiKey拔掉;②开始——程序——海泰方圆20203——HaiKey用户工具,点击该程序,使其右下角工具图标能够出现。 此时插入HaiKey时,右下角会出现:
XXXXXX安全解决方案
XXXXXX 网络安全解决方案
、系统的开发背景 随着计算机技术和通讯技术的飞速发展,网络正逐步改变着人们的工作方式和生活方式,成为当今社会发展的一个主题。网络的开放性、互连性、共享性程度的扩大,特别是高校中计算机网络得到广泛的应用,无论是科研和教学中都离不开它,WEB艮务、数据库服务、电子邮件服务等涉及秘密材料,由于开放性的要求,In ternet 与内部网没有完全物理隔离,因此在操作系统和服务系统不能完全保证没有安全隐患和漏洞的情况下,难以保证内部系统的安全,同时内部网用户也可能涉及违反网络安全的事件,缺乏有效身份认证是内部管理的主要问题。 无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息,窃取用户的口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,攻击者可以删除数据库内容,摧毁网络节点,释放计算机病毒等等。 黑客的威胁见诸报道的已经屡见不鲜,在整个网络中任何一个环节出现问题,都有可能造成整个系统处于不安全的状态,而保证每个主机都处于高度安全是不可能的,现有的操作系统和服务系统都发现过漏洞,特别是人为因素造成的管理问题更难以避免。 1. 1网络安全的具体需求 在整个网络中,最主要的是保证关键数据库和专门服务器的安全。保证内部 服务集群的安全性是最基本的,也是最重要的需求。系统的主要需求指标有: 管理安全性: 完善的网络访问控制列表,禁止非授权用户非法访问数据。为防止黑 客获得某个主机的控制权后造成安全漏洞。不应该简单采用主机信 任。
保密性: 为了防止黑客等的非法破解,通信应该提供保密性,防止恶意的网络监听, 由于采用系统总体加密,因此无需担心内部的口令字等关键信息的泄漏。 兼容性: 对于现有的各种操作系统和服务系统应该兼容,避免升级等复杂问题和新的 缺陷的引入。 透明性: 解决方案应对用户提供透明的安全网络管理,除要求客户端使用专用的安全 网络服务组件和USB钥匙外,不应该要求用户提供应用层的额外修改,这 将是一项复杂的工作。 1. 2安全策略的原则: 充分比较安全策略的安全性与方便性。 通常,网络的方便性会因安全措施而降低。例如增加了用户身份验证的措施,用户就不得不在获得网络服务之前先输入用户名和口令,从方便性角度看,这就比 直接获得网络服务方便性差。 充分比较网络的安全性与性能。 安全措施的完成必然要消耗一定的网络资源。或是占用主机CPU和内 存,或者是占用网络带宽,或者是增加信息处理的过程。所有这些都可以导致整体性能降低。 充分比较网络的安全性与成本。 采用网络安全措施本身会增加建网的成本,包括进行安全方面的系统设计和实施的费用,购买硬件和软件的费用,管理和维护的费用等。
中国石油身份管理与认证项目Key用户安装使用手册资料
中国石油身份管理与认证项目USBKey数字证书用户 操作手册 中国石油身份管理与认证项目组 2010年9月
中国石油集团信息系统用户身份管理与认证项目通过为中国石 油信息系统用户提供统一的单点登录平台,可以方便的让USBKey数字证书用户只需要插入USBKey数字证书,并输入该USBKey的PIN码,就可以通过身份管理与认证平台(IAM系统)单点登录到已经集成的其有权限访问的所有应用系统。在提高了访问方式的安全性的同时,也避免了用户记录多套应用系统用户名和密码。 注意:身份管理与认证平台目前只支持在windows操作系统上使用,推荐用户使用IE浏览器,目前暂不支持Firefox浏览器。 下面将向您详细介绍的USBKey数字证书初始化安装和IAM系统初始化配置方法。 一、用户工具安装 用户工具即中国石油USBKey的驱动程序,用户必须在安装好用户工具后方能正常使用USBKey。 您可以使用USBKey包装盒中的驱动光盘直接进行安装,也可以从中国石油集中身份管理与统一认证(IAM系统)服务平台的首页下载该驱动程序进行安装。(以下将以光盘安装的方式为大家演示)首先,将发给您的USBKey驱动光盘插入到个人电脑,双击:UserSetup.exe文件,如下图所示。 此时请点击“安装(N)>”按钮,程序将会正式开始安装。(注意:为保证安装过程不受干扰,请您在安装驱动时不要把USB Key连接在
电脑上) 安装过程结束后,程序会提示您点击“完成”按钮,如下图所示。 注意: 在安装完成后,如果您的个人计算机安装了360防火墙软件,会弹出以下窗口,请您选择保留图标,不处理选项即可,如下图所示。 二、安装IAM系统插件 在安装完成USBKey数字证书驱动后,会自动运行IAM系统插件的
Web应用安全项目解决方案
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。 然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。
财务公司综合业务系统USBKEY使用管理规定
海航集团财务有限公司 综合业务系统USBKEY使用说明 一系统USBKEY使用申请 ㈠集团各成员单位向财务公司结算业务部递交纸质系统使用申请表(详见附件1)。申请表应包括公司名称、系统 操作人员信息(姓名、员工编号、E网账号),并加盖财 务专用章、公司章、法人章寄至财务公司结算业务部。㈡财务公司结算业务部确认成员单位申请表符合实际业务需求并签字确认后,将申请表转至财务公司研发信息部, 由研发信息部进行用户建立、权限设置等操作。 ㈢系统用户建成后,系统自动生成成员单位系统用户通知书,包括系统用户帐号与随机生成的一次性密码。由系统 用户信息建立员在系统中打印后提交至系统信息配置员。㈣系统用户信息配置员收到系统用户通知书后,在电子安全认证系统中注册用户信息,制作电子安全认证证书,并将 证书与财务公司核心业务系统内应用层的身份进行绑定, 后将证书灌装入UsbKey。最终由财务公司研发信息部将 系统用户通知书与UsbKey以邮寄方式发送至集团成员单 位。 ㈤集团成员单位系统使用人员在收到系统用户通知书后,须立刻使用随机生成的一次性密码登录系统进行密码修改。
二系统USBKEY使用安装 ㈠目前支持下列操作系统,请确认您的操作系统为如下系统: Windows 98; Windows 2000; Windows XP; Windows 2003 Server; Windows Vista; Windows Win7。 ㈡在开始安装HaiKey CSP之前,请确定满足以下要求:Internet Explorer 5.0 以上版本; 主机上带有至少一个USB 端口; 计算机的BIOS 支持USB 设备,并且在CMOS 设置中将USB 支持功能打开。 ㈢使用HaiKey之前,您必须安装“集团资金结算管理系统USBKEY控件“。下载地址为:集团E网首页——IT服务 ——软件下载——业务软件,URL链接为: ftp://https://www.wendangku.net/doc/b518662108.html,/others/TWUSBKEY.rar。 ㈣开始安装集团资金结算管理系统USBKEY控件, 首先进入欢迎界面,如图1:
电子证照应用安全解决方案
BJCA电子证照应用安全解决方案 1 背景概述 随着互联网、移动互联网的发展,以电脑、网络、通讯为主的信息技术,正在深刻地影响着社会生活和政府运作的方式。为创新政务工作模式,提高行政效率和服务水平,政府正在普遍推行电子证照和全流程电子化登记管理改革,推进公众在线应用电子证照办理行政审批业务,推进各级行政机关开展全流程电子化、网络化应用等。 电子证照是遵循相关技术规范的数字形态的证照,是由计算机等电子设备形成、办理、传输和存储的证照信息记录。电子证照不仅仅是传统纸质证照的电子化形态,其自身电子数据的特性更要求采用可靠的技术措施保障其真实有效性,实现可信的电子证照发放与应用管理。 2 需求分析 2.1 确保电子证照数据的真实性、完整性 电子证照数据存储于业务应用系统之中,由于在计算机内部和网络传输过程中,各类数据均由基本的数据单元组成且容易被篡改和伪造,而现实世界中的各种鉴别手段不能有效的识别数据电文的真实性和完整性。因此,需要采取技术措施确保电子证照业务应用系统中证照数据来源的真实性、内容的完整性和传输的保密性: 真实性:明确电子证照文件发送方的真实身份、能有效鉴别电子证照数据来源的真实性,防止假冒身份进行电子证照数据伪造;
完整性:确保电子证照数据文件在发送方与接收方之间的传递过程中没有被偶然或蓄意地因修改、伪造等行为造成破坏。 2.2 确保电子证照法律有效性 电子证照作为数据电文,要使其具有法律有效性,必须符合《中华人民共和国电子签名法》的相关要求。在《电子签名法》中明确提出了数据电文符合法律法规规定的书面形式、原件形式和保存形式的要求以及可靠电子签名的要求,并在第十四条明确规定了“可靠的电子签名与手写签名或者盖章具有同等的法律效力”。 要确保电子证照数据的法律有效性,核心是电子签名的可靠性。按照《电子签名法》规定,依托合法电子认证服务机构(CA认证机构)所发放的数字签名证书,使用合法可靠的设备进行电子签名的操作,即可形成我国法律所认可的电子签名,与手写签名或盖章具有同等的法律效力。 3 方案设计 BJCA电子证照应用安全解决方案按上述思路进行设计,总体方案设计如下图所示:
Web应用安全解决方案(20200603073540)
目录 一. 项目背景及必要性 (2) 1.1 项目背景 (2) 二. 中国铁建Web应用安全风险分析 (5) 2.1 应用层安全风险分析 (5) 2.1.1 身份认证漏洞 (5) 2.1.2 www服务漏洞 (5) 2.1.3 Web网站应用漏洞 (6) 2.2 管理层安全风险分析 (6) 三. 中国铁建Web网站安全防护方案 (8) 3.1 产品介绍 (9) 3.1.1 WebGuard网页防篡改保护系统解决方案 (9) 3.1.2 WebGuard-WAF综合应用安全网关 (13) 21 3.2 系统部署.................................................................................................................................. 3.2.1 详细部署 (21) 3.2.2 部署后的效果 (22) 23 四. 系统报价...........................................................................................................................................
一. 项目背景及必要性 1.1 项目背景 近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化, 随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。 近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络 安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代 价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方 面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理” 的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间 放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客 提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,这些安 全隐患发生任何一次对整个网络都将是致命性的。 随着网络规模的急剧膨胀,网络用户的快速增长,网站在各行业的信息化建设中已经在 扮演至关重要的角色,作为数字化信息的最重要传输载体,如何保证企业、金融证券、政府 及事业单位网络能正常的运行不受各种网络黑客的侵害就成为各地政府不可回避的一个紧迫 问题;因此,解决网络安全问题刻不容缓。 当前企业、金融证券和政府业务系统大都居于B/S架构,使用Web应用来运行核心业务,
USBKey是指什么
USBKey是指什么?USBKey是一种智能存储设备,可用于存放数字证书,内有CPU芯片,可进行数字签名和签名验证的运算,安全性高,外形小巧,可插在电脑的USB接口中使用。 1.IE中安装证书出现的问题 1、 B.如果选择了插key自动安装证书的功能,还是看不到证书,则请确认后台程序是否已经启用。 "Windows没有足够信息,不能验证该证书。"则表明您没有安装数字证书的根证书,请您安装数字证书的根证书。 "该证书已过期,或者尚未生效。"则表明您的证书可能已经过期或者您的计算机系统时间不在证书的有效期内,请您查看该计算机的系统时间是否正确。 2、邮件设置问题1在Outlook Express设置邮箱与帐号的绑定时,依次点击工具→ 帐号→ 邮件→ 属性→ 安全→选择,弹出的证书选择对话框中,没有可供选择的证书? 1)请确认您的证书已经正确安装且没有过期,确认方法见上"IE中安装证书出现的问题D"。 2)请确认您在Outlook Express中所设置的邮箱与您在申请数字证书时所提供的邮箱一致。查看您在申请数字证书时所提供的邮箱方法: 3)请确认您的证书是否为电子邮件保护证书。 3."在访问安全站点时,出现"安全证书上的名称与站点名称不匹配"的提示,这是什么原因?
之所以出现"安全证书上的名称与站点名称不匹配"的情况,是因为您在IE 地址栏输入的域名或IP与在申请服务器证书时所填写的与该证书所匹配的服务器的域名或IP不相同所引起的,您可以在IIS里查看服务器证书的详细信息,在IIS → 目录安全性→ 查看证2书→ 详细信息里主题这一项,查看其CN所对应的域名或IP与你在客户端的IE地址栏输入的信息是否一致,如果不同,则会出现您所说的这种情况。 4."为什么用户必须下载根证书? 所谓根证书,是CA与用户建立信任关系的基础,用户的数字证书必须有一个受信任的根证书,用户的数字证书才是有效的。从技术上讲,证书其实包含三部分,用户的信息,用户的公钥,还有CA对该证书里面的信息的签名,要验证一份证书的真伪(即验证CA对该证书信息的签名是否有效),需要用CA的公钥验证,而CA的公钥存在于对这份证书进行签名的证书内,故需要下载该证书,但使用该证书验证又需先验证该证书本身的真伪,故又要用签发该证书的证书来验证,这样一来就构成一条证书链的关系,这条证书链在哪里终结呢?答案就是根证书,根证书是一份特殊的证书,它的签发者是它本身,下载根证书就表明您对该根证书以下所签发的证书都表示信任,而技术上则是建立起一个验证证书信息的链条,证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根证书。 5."密钥缓存问题?3解决方法: 没有密钥缓存功能时,请察看后台进程是否启用,工具设置选项中缓存用户PIN口令是否勾选。 6."插入USBKey时,没有出现找到新硬件? 解决方法: 拔下USBKey,重新插入,看是否能找到,或者换个USB口试试。
中国石油USBKey管理员工具主要用于管理USBKey中证书和PIN口令
? ? ?中国石油USBKey管理员工具主要用于 管理USBKey中证书和PIN口令 ?USBKey是指什么? ?USBKey是一种智能存储设备,可用于存放数字证书,内有CPU芯片,可进行数字签名和签名验证的运算, 安全性高,外形小巧,可插在电脑的USB接口中使用。 一、引言 ?1、编写目的 本手册针对中国石油USBKey管理员工 具进行了介绍,以有助于使用者更加方 便快捷而且正确地使用本工具。该管理 员手册适用于具有基本计算机操作能力 且了解基本PKI概念的读者。 ?2、背景 o中国石油USBKey管理员工具由北京 握奇数据系统有限公司可信计算产 品开发中心开发完成。 ?3、术语解释 o PKI(Public Key Infrastructure):
即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。 PKI的基础技术包括加解密、数字签名、数据完整性机制、数字信封、双重数字签名等。 o认证中心(CA): CA是PKI 的核心,CA 负责管理PKI 结构下的所有用户。 CA(Certification Authority)是认证机构的国际通称,它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(用
数学方法在证书上签字),以防证书被伪造或篡改。 o数字证书: 数字证书也被称作CA证书(简称证书),实际是一串很长的数学编码,包含有客户的基本信息及CA的签字,通常保存在电脑硬盘或IC卡中。数字证书一般是由CA签发的,证明证书主体("证书申请者"获得CA签发的证书后即成为"证书主体")与证书中所包含的公钥的唯一对应关系。证书中包括证书申请者的名称及相关信息、申请者的公钥、签发证书的CA的数字签名及证书有效期等内容。 数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动
Web应用安全解决方案(完整资料).doc
【最新整理,下载后即可编辑】 目录 一. 项目背景及必要性 (3) 1.1 项目背景 (3) 二. 中国铁建Web应用安全风险分析 (6) 2.1 应用层安全风险分析 (6) 2.1.1 身份认证漏洞 (6) 2.1.2 www服务漏洞 (6) 2.1.3 Web网站应用漏洞 (6) 2.2 管理层安全风险分析 (7) 三. 中国铁建Web网站安全防护方案 (8) 3.1 产品介绍 (9) 3.1.1 WebGuard网页防篡改保护系统解决方案 (9) 3.1.2 WebGuard-WAF综合应用安全网关 (12) 3.2 系统部署 (18) 3.2.1 详细部署 (18) 3.2.2 部署后的效果 (19) 四. 系统报价 (20)
一. 项目背景及必要性 1.1 项目背景 近年来,信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化,随着信息时代的到来,信息化发展也为移动工作带来了新的挑战和机遇。 近两年来,黑客攻击、网络病毒等等已经屡见不鲜,而且一次比一次破坏力大,对网络安全造成的威胁也越来越大,一旦网络存在安全隐患,遭受重大损失在所难免。在企业网中,网络管理者对于网络安全普遍缺乏重视,但是随着网络环境的恶化,以及一次次付出惨重代价的教训,企事业单位网的管理者已经将安全因素看作网络建设、改造的关键环节。 国内相关行业网站的安全问题有其历史原因:在旧网络时期,一方面因为意识与资金方面的原因,以及对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,政府网络建设者在安全方面往往没有太多的关注,常常只是在内部网与互联网之间放一个防火墙就万事大吉,有些政府甚至什么也不放,直接面对互联网,这就给病毒、黑客提供了充分施展身手的空间。而病毒泛滥、黑客攻击、信息丢失、服务被拒绝等等,
USBKey使用操作步骤及常见问题
USBKey使用操作步骤及常见问题 一、USBKey使用环境配置(请按照如下步骤进行配置,如有问题请按照常见问题的Q&A解决) 1、在IE中输入https://www.wendangku.net/doc/b518662108.html,/download/driver.shtml安装网上银行控件控件以及对应品牌的 USBKey驱动程序,无报错页面则安装成功。 2、打开IE,点击工具 Internet选项,点击安全选项卡。将IE的安全级别设置为默认界别。 注:以下IE8浏览器设置方式截图。IE6没有将所有区域重置为墨迹级别按钮,需要分别点解Internet、本地Intranet、可信任站点、受限站点,再点击默认级别按钮。
3、添加https://*https://www.wendangku.net/doc/b518662108.html,到可信站点,在【安全】--【可信任站点】--【站点】--将https://*https://www.wendangku.net/doc/b518662108.html, 添加到可信站点! 4、点击高级选项卡,点击还原高级设置按钮。
5、点击常规选项卡,清楚IE缓存。 注:本截图使用于IE8,IE6略有不同。
6、关闭所有IE浏览器,重新打卡(如安装了USBKey驱动程序,则需要重启电脑),再次登陆一账通,验 证证书后点击【继续】输入PIN码后方可登陆成功。 二、常见问题 Q1:驱动或者USBKey未加载。 A1:在验证USBKey页面点击USBKey驱动链接,在打开的页面下载对应品牌USBKey的驱动程序,使用管理员用户安装驱动程序,安装完成后重新启动电脑。 Q2:数字证书有误。 A2:请户带USBKey到柜面重新申请、下载证书。 Q3:没有符合条件的签名证书。 A3:检查是否有安装驱动程序,如果有安装,在开始菜单 程序里面找到USBKey管理工具打开,插入USBKey。在USBKey管理工具里面查看证书信息,如果没有证书或者证书错误,请客户带USBKey到柜面重新申请、下载证书。 Q4:网银控件或者证书未加载。 A4:在验证USBKey页面点击网银控件链接,安装网上银行控件控件。将IE安全级别重置默认级别,清空缓存,关闭所有IE浏览器,重新打开IE,再次操作。 Q5:无法下载USBKey控件、驱动程序。 A5:直接IE中输入地址https://www.wendangku.net/doc/b518662108.html,/download/driver.shtml,下载安装
网上银行USB KEY
网上银行USB KEY 用户使用手册
感谢您使用厦门银行USB KEY,本产品为北京飞天诚信科技有限公司提供的ePass系列产品“ePass2001”。 厦门银行USB KEY内置安全密钥存储功能,可用于登录厦门银行网银系统,具有安全、保密、便捷的特性。 为了您能更快地掌握本产品的使用方法,请在使用本产品之前,仔细阅读使用指南。
目录 安全提示 (1) 厦门银行USB KEY使用指南 (2) 一、安装步骤 (2) 二、详细安装说明 (2) 1、安装USB KEY的设备驱动程序 (2) 2、修改USB KEY密码 (4) 3、USB KEY管理工具 (6) 4、卸载USB KEY驱动程序 (8)
安全提示 使用场所提示 请不要在网吧等公共场所使用网上银行服务。 在他人电脑上使用网上银行服务后,请及时清理浏览器保留的数据信息。 功能使用提示 请不要使用计算机自动记忆功能。 在第一次登录网上银行时,浏览器会提示是否记住登录信息,请谨记选择“否”,否则浏览器会记住您的用户名与密码,造成风险。 请通过厦门银行网站https://www.wendangku.net/doc/b518662108.html,进入网上银行。不要通过不明网站、电子邮件或论坛中的网页链接登录网上银行。 登录网上银行时请注意核对网址,防止误入假冒网站。 使用完网上银行或使用过程中暂时离开,请勿忘记退出网上银行,关闭IE浏览器,拔出您的USB KEY。 软件更新提示 安装正规软件公司的杀毒软件,及时升级病毒库,定期对系统进行病毒扫描。 及时更新相关软件及下载安装系统补丁程序。 密钥保管提示 请保护自己的身份证、银鹭借记卡、网上账户信息、数字证书以及密码等,不要在个人电脑、PDA、手机上存储以上信息。 建议您的登录密码、交易密码与证书密码设置不一致,并经常更改。尤其要定期修改数字安全证书密码。 不定期检查账户信息提示 请留意网上银行使用过程中的系统提示。 登录网上银行时,留意系统提示前次登录的时间、交易,遇异常情况请仔细查看您的交易明细。 请定期打印交易对账单,发现异常或差错,请立即与银行联系。
Web应用安全解决方案(0001)
Web应用安全解决方案
××Web应用安全解决方案 一、应用安全需求 1.针对Web的攻击 现代的信息系统,无论是建立对外的信息发布和数据交换平台,还是建立内部的业务应用系统,都离不开Web应用。Web应用不仅给用户提供一个方便和易用的交互手段,也给信息和服务提供者构建一个标准技术开发和应用平台。 网络的发展历史也可以说是攻击与防护不断交织发展的过程。目前,全球网络用户已近20 亿,用户利用互联网进行购物、银行转账支付和各种软件下载,企业用户更是依赖于网络构建他们的核心业务,对此,Web 安全性已经提高一个空前的高度。
然而,随着黑客们将注意力从以往对网络服务器的攻击逐步转移到了对Web 应用的攻击上,他们针对Web网站和应用的攻击愈演愈烈,频频得手。根据Gartner的最新调查,信息安全攻击有75%都是发生在Web应用而非网络层面上。同时,数据也显示,三分之二的Web站点都相当脆弱,易受攻击。 另外,据美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明,在接受调查的公司中,2004年有52%的公司的信息系统遭受过外部攻击(包括系统入侵、滥用Web应用系统、网页置换、盗取私人信息及拒绝服务等等),这些攻击给269家受访公
司带来的经济损失超过1.41亿美元,但事实上他们之中有98%的公司都装有防火墙。早在2002年,IDC就曾在报告中认为,“网络防火墙对应用层的安全已起不到什么作用了,因为为了确保通信,网络防火墙内的Web端口都必须处于开放状态。” 目前,利用网上随处可见的攻击软件,攻击者不需要对网络协议深厚理解,即可完成诸如更换Web网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据,和正常数据没有什么区别。 2.Web安全防范 在Web应用的各个层面,都会使用不同的
支持ASIL D 应用的安全集成硬件解决方案
支持ASIL D 应用的安全集成硬件解决方案应用的安全集成硬件解决方案xx-02-20 09:05:14来源:飞思卡尔半导体 David Lopez, Valerie在汽车应用中,人体与电气/电子系统之间的交互显著增加,具体而言是指在管理对安全至关重要的决策时的交互,这些决策会对驾驶员的健康产生严重影响。随着这些先进的安全系统从被动安全不断演进到更主动的安全系统,包括预测安全系统,甚至自主车概念等,汽车行业已经并将继续出台严格的要求。管理这些对安全至关重要的决策会增加安全系统的复杂性和额外的软件内容。复杂性增加会不断增加系统和/或随机硬件故障的风险。为了帮助确保最高的安全标准并影响安全汽车系统的开发,汽车行业已经发布了最新的汽车安全标准 ISO26262。本文讨论了对各种安全架构的实施,并介绍了一个创新的集成安全解决方案,以简化系统级功能安全设计,包括遵从ISO26262 标准。什么是功能安全?根据定义,“功能安全”表示不存在由于系统故障造成的危害所引起的不合理的风险。为了显著减少发生故障的风险,了解和评估可能发生的故障的类型至关重要。这些故障可分为两大类。系统故障是由某种原因造成的,只能通过改变制造工艺设计、运行程序、文档或其他相关因素消除。通过强大的开发流程可降低发生系统故障的概率。随机故障是指硬件元件使用周期中发生的不可预知的故障,符合概率分布。这些故障可能由于永久或瞬间发生的扰动环境或整个系统生命周期中固有技术的性能造成。专用架构和IC策略涵盖降低与随机故障相关的风险。汽车行业于xx年11月15日发布了ISO26262:xx(E)标准。该标准是专为“道路车辆–功能安全”进行修订的,也是对汽车电气/电子(E/E)系统功能安全标准IEC61508的改编。要让人们在道路上更安全,这些应用必须保持正常运行并且非常可靠。为了保持可靠性,E/E系统设计必须实现安全性和可用性之间的最佳平衡。可用性是可维护性和可靠性的一个很好的平衡,而安全性主要取决于系统可靠性。这种交互如下图所示。图1: 功能安全的可靠性权衡关系图字:Dependability:可靠性 Availability:可用性 Safety:安全性Maintainability:可维护性 Reliability:可靠性飞思卡尔的 SafeAssure(功能安全保障)产品有效地结合了可用性、安全性和可靠性,因此非常可靠。管理安全开发: SafeAssure 过程评估系统的安全功能需要高水平的参与和验证。简化这一