下载文档原格式
银行柜员指纹认证系统业务管理暂行办法第一章总则第一条为加强柜员指纹认证系统(以下简称指纹系统)的业务管理,确保ABIS柜员身份认证的准确、安全、高效,根据ABIS相关制度,制定本办法。
第二条指纹系统是指采用指纹识别技术,对使用ABIS的柜员进行身份认证与管理的应用系统,通过对认证指纹与指纹数据库中已采集的指纹进行核对,完成柜员身份的验证。
第三条本办法适用于分行辖内使用指纹认证的系统和人员。
第二章基本规定第四条指纹系统采用管理端和操作端相结合的运行模式。
管理端设在各级管理行,每个管理端应设置2—3名管理员,主要功能是完成柜员指纹信息的采集等管理工作。
操作端依托终端和指纹仪,完成柜员签到、业务编核押和主管授权等业务。
第五条ABIS的所有柜台柜员纳入指纹系统管理,ABIS的签到交易、业务编核押交易及所有授权交易均采用指纹认证方式。
第六条柜员基本信息的维护和指纹信息的采集、变更应双人操作,换人审核。
第七条指纹系统的各级管理员及AB1S柜员在指纹信息数据库中可预留2—4枚指纹(不限左右手)。
原则上要求柜员采集4枚指纹,确有困难的,至少采集2枚,每个柜员必须确保2枚指纹为启用状态。
第八条《银行分行指纹认证系统信息维护申报表》(见附件)等资料,依据《银行会计档案管理办法》的规定按年整理、装订和归档,保管期限为5年。
第三章机构管理第九条指纹系统的管理端实行分级设置,可按行政隶属关系逐级设置,也可根据本行管理方式缺省设置,省分行和二级分行的管理端必须设置,县支行管理端根据二级分行管理方式设置。
第十条指纹系统中省分行、二级分行、县级支行管理端机构代码的编码规则分别为AA、AABB、AABBCC,操作端的编码规则为AABBCCDDDD,其中AA为省分行的AB1S省市代码,BB 为二级分行代码,CC为县级支行代码,DDDD为ABIS机构号,如AB1S中对机构号进行调整,指纹系统中AA和DDDD要同步进行调整;BB和CC由省分行运营管理部门统一设计和编排,管理端未逐级设置时,操作端编码中的二级分行代码和县级支行代码由系统自动补“00,第十一条指纹系统中任一管理端或操作端所属的管理端可以变更和删除;指纹系统管理端的删除应该遵循由下至上、逐级删除的原则,必须先删除操作端的柜员和ABIS机构,再删除该管理端的管理员和管理端本身。
【法规标题】中国人民银行办公厅关于印发《银行业金融机构联网核查公民身份信息业务处理规定(试行)》和《联网核查公民身份信息系统操作规程(试行)》的通知【发布部门】中国人民银行【发文字号】银办发[2007]126号【批准部门】【批准日期】【发布日期】2007.05.21 【实施日期】2007.05.21【时效性】现行有效【效力级别】部门规范性文件【法规类别】户籍与身份证【唯一标志】95096【全文】【法宝引证码】CLI.4.95096中国人民银行办公厅关于印发《银行业金融机构联网核查公民身份信息业务处理规定(试行)》和《联网核查公民身份信息系统操作规程(试行)》的通知(银办发[2007]126号)(相关资料: 裁判文书1篇)中国人民银行上海总部,各分行、营业管理部、省会(首府)城市中心支行、深圳市中心支行;各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行:为规范银行业金融机构(以下简称银行机构)联网核查公民身份信息(以下简称联网核查)业务处理,进一步落实银行账户实名制,促进征信体系建设和反洗钱工作开展,维护正常的经济金融秩序,人民银行制定了《银行业金融机构联网核查公民身份信息业务处理规定(试行)》 (以下简称《业务处理规定》,见附件1)和《联网核查公民身份信息系统操作规程(试行)》(以下简称《操作规程》,见附件2)。
现印发给你们,并就有关事项通知如下:一、银行机构和人民银行分支机构应严格按照《业务处理规定》和《操作规程》的要求分别进行联网核查业务处理和联网核查公民身份信息系统(以下简称联网核查系统)相关操作。
二、银行机构应将联网核查作为验证居民身份证信息真实性的主要方式。
银行机构未按照《业务处理规定》和《操作规程》的要求进行联网核查,造成不法分子开立假名银行账户或以虚假居民身份证件办理按照法律、法规或部门规章规定应核对相关个人的居民身份证件的支付结算业务的,人民银行将依法从重进行处罚。
三、银行机构在进行联网核查时,应核对相关个人的居民身份证照片。
银行远程授权集中授权中心人员素质【范文大全】远程集中授权是指通过技术手段将网点柜员需要授权的交易画面,业务凭证影像、身份证件影像、客户头像或业务视频/音频实时传输至后台集中授权中心授权人员的终端,由后台授权人员在自己方终端上审核并完成授权的一种柜台运行模式。
以下是本站分享的银行远程授权集中授权中心人员素质 1,希望能帮助到大家!银行远程授权集中授权中心人员素质 12014年9月起,顺平联社积极按照上级要求,全面施行了远程集中授权制,并组织成立了远程集中授权中心,配备了专职授权员,布放各项专业设备,做好前期培训及测试,确保远程集中授权系统的顺利运行。
该系统上线一个多月以来,笔者先后对涉及到相关业务的柜员、授权员及部分客户进行了走访,从不同角度做了体验和分析。
下面,我将就自己在体验中产生的思考做简要的阐述。
一、系统优势集中授权系统通过集中远程授权服务,将授权相关的业务操作集中到联盟的授权中心,节约了人力资源,优化了柜面服务,提高了工作效率。
同时,该系统将柜面操作与现场审核有机结合,改善了事后监管的滞后性,有效控制和防范了业务操作风险。
此外,该系统具有独特的图像数据保存功能,业务数据可以随时方便地保存和读取,从而成为审计的有效辅助手段。
上线一个多月以来,远程集中授权系统运行稳定,数据传输流畅,没有出现卡顿、拥塞的情况。
截至目前,顺平联社已办理远程授权业务21573笔,其中授权成功20474笔,拒绝1099笔,平均每天授权业务431.5笔,每笔授权耗时66.8秒。
二、存在的问题集中授权是一个线性的链式操作,申请、审核、受理、执行等各个环节都需要娴熟而密切的配合,才能使整个系统运行顺畅。
但上线之初,由于人员配备、业务熟练程度、资料审核等方面的差距,部分环节衔接不畅,暴露出授权速度慢、客户积压、资料重复审核等问题,直接影响工作效率,甚至引发客户投诉。
问题主要体现在以下几个方面:一是授权员配备不足。
大部分联社授权中心均为新成立的机构,人员配备明显不足。
国家密码管理局公告第12号――商用密码产品生产定
点单位公告
文章属性
•【制定机关】国家密码管理局
•【公布日期】2007.09.30
•【文号】国家密码管理局公告第12号
•【施行日期】2007.09.30
•【效力等级】部门规范性文件
•【时效性】现行有效
•【主题分类】市场规范管理
正文
国家密码管理局公告
(第12号)
根据《商用密码管理条例》及《商用密码产品生产管理规定》,商用密码产品的品种和型号必须经国家密码管理局批准。
国家密码管理局对批准生产的产品发给品种和型号证书,适时在国家商用密码管理办公室网站()公布通用产品名单。
商用密码产品生产定点单位应当按照批准的品种和型号生产产品,并在产品上标明产品型号。
特此公告。
国家密码管理局
2007年9月30日商用密码通用产品名单(共386项)
公布时间:2008年6月1日。
中国ⅩⅩ银行柜员身份指纹认证系统业务操作规程(试行)目录第一章总则第二章机构管理第三章人员管理第四章指纹管理第五章安全管理第六章附则— 1 —中国ⅩⅩ银行柜员身份指纹认证系统业务操作规程(试行)第一章第一章总则第一条为加强柜员身份指纹认证系统管理,规范系统业务操作,防范系统业务操作风险,根据《中国ⅩⅩ银行会计工作信息技术应用管理办法》、《中国ⅩⅩ银行数据集中系统管理办法(试行)》和《中国ⅩⅩ银行数据集中系统业务操作规程(试行)》等规章制度,结合系统应用实际,特制定本操作规程。
第二条本规程所称柜员身份指纹认证系统(以下简称“指纹系统”)是指将指纹识别技术、计算机DSP处理技术与通信技术相结合,对使用数据集中系统(以下简称“DCC系统”)的柜员进行身份认证与管理的应用系统。
指纹系统是DCC系统采用指纹进行身份认证的基础,只有在指纹系统中登记了指纹的柜员,才能在DCC系统中实现指纹身份认证。
指纹系统与DCC系统相对独立,共用DCC系统前端。
柜员指纹信息集中存储在一级分行,通过后台比对方式实现指纹认证。
— 2 —第三条柜员身份指纹认证主要处理流程。
DCC系统发出指纹认证指令驱动指纹设备,指纹设备将采集到的指纹图像进行相应处理后,以固定格式上传至指纹系统,指纹系统据此在指纹数据库中查找校验相匹配的唯一指纹模版,并查找该指纹模版对应的业务操作员代码并反馈给DCC系统前端。
指纹验证通过后,柜员输入密码,完成身份认证。
第四条本规程名词解释。
(一)指纹设备:根据指令完成指纹图像采集和提取指纹特征值的专用电子设备。
(二)指纹模版:指纹图像的特征信息形成的模版,是校验指纹的基础。
(三)验证算法:指纹图像与指纹模版进行比对的策略,用以判定指纹图像和指纹模版是否来源于同一个人。
验证算法由总行统一规定并维护。
(四)验证级别:指纹验证算法的精确度,精确度越高,指纹验证准确性越高,对指纹的要求相应越高。
验证级别分5级,5级最高,1级最低,一般设置为3级。
网络设备动态口令身份认证处理方案北京集联网络技术有限企业.com目录1、概述..................................................................................................................... 错误!未定义书签。
1.1、网络设备安全旳技术手段——终端准入控制 .......................................... 错误!未定义书签。
1.2、动态口令认证技术...................................................................................... 错误!未定义书签。
1.2.1、基本原理.............................................................................................. 错误!未定义书签。
1.2.2、工作过程.............................................................................................. 错误!未定义书签。
1.2.3、动态密码特点...................................................................................... 错误!未定义书签。
2、集联OTP(一次性密码)方案........................................................................ 错误!未定义书签。
2.1、方案概述...................................................................................................... 错误!未定义书签。
银行柜员身份指纹认证系统对于银行综合业务系统对柜员身份验证和业务授权验证的安全性,加强银行内部管理,在1997年,人民银行下发《加强金融机构内部控制的指导原则》,提出授权分责、一线岗位双职双责、建立后续监督机制等一系列的柜员内控管理原则,各银行在综合业务系统的设计中,为柜员内控设置多种安全措施。
2005年3月,中国银行业监督管理委员会又发布了关于加大防范操作风险工作力度的通知(共13条),其中提到银行机构对操作风险的识别与控制能力不能适应业务发展等问题。
为此,浙江维尔科技有限公司基于自主知识产权的指纹识别技术和嵌入式指纹识别系统开发技术,根据银行柜员身份验证和授权验证的应用需求和安全需求,将活体指纹识别技术、计算机DSP处理技术、通信技术与业务仿真相结合,自主开发了金指通银行柜员身份指纹认证产品。
并针对各银行的不同情况,设计了多种款式、采取不同指纹模块的金指通指纹识别设备。
以“金指通”指纹仪,取代现有“柜员权限卡”的验证模式,有效遏制以伪装身份、盗用密码、非法授权等方式进行银行业务系统的行为,实现可靠的身份认证。
浙江维尔科技有限公司从2002年开始金指通银行柜员身份指纹认证系统及产品的开发工作。
2002年7月,第一代的金指通银行柜员身份指纹认证系统和设备开发完毕,并在中国工商银行浙江省分行嘉兴市分行试用和批量投入使用。
浙江维尔科研有限公司的第一代指纹身份鉴别设备采用当时比较先进的采用美国AuthenTec公司的电感式指纹传感器、DSP处理芯片采用TI公司的TMS320C5404处理芯片。
浙江维尔科技有限公司的第一代指纹身份鉴别设备在行业内首次提出了“银行业务流程仿真”、“无需对银行业务系统进行修改”和“基于网点IC卡的应用模式”等一系列概念,第一代指纹身份认证模块和配套的管理系统先后在城市商业银行、工商银行等多家银行试点和推广使用。
2003年2月,浙江维尔科技有限公司针对第一代指纹身份鉴别设备在指纹传感器对干湿手指适应性比较差、指纹传感器采集分辨率比较低的问题,指纹传感器采用当时最先进的日本BMF公司的压感式传感器,DSP处理芯片采用TI公司的TMS320C5509处理芯片,进行第二代指纹身份鉴别设备的开发,第二代指纹身份鉴别设备在2003年7月开发完毕。
第一章前言当前,随着电子化、网络化与业务多样化的发展,金融业务系统的基础设施跨越传统的局域网和广域网,从而充分利用系统网络的强大功能。
这就意味着金融企业需要向员工、承包商、业务伙伴和客户开放系统网络,其中包括客户数据库、人员档案和其他关键性信息资源。
因此,金融企业不得不面对这样的现实:电子工作空间已经不再处于本单位或本部门的完全控制之中。
然而,计算机和信息犯罪在近年来正呈现出上升趋势。
相应事件日益频繁,且导致越来越大的经济损失。
各种调查数据表明:各行各业面对的最大危险来自于内部。
需要着重指出的是,许多最具危害性的犯罪都拥有共同的特点:即绕过密码保护以获取对信息或资金的访问权限。
虽然对于非关键系统的安全性而言,使用基本的密码保护已经足够,但金融企业系统则需要更高层次的保护措施与安全体系。
现在,金融企业正在建立先进的数字化安全系统,如防火墙、VPN及PKI等基础设施系统。
但如果没有对访问用户进行有效的识别和认证,这些安全措施最终也将形同虚设,其后果将相当严重:经济损失巨大,关键性信息被破坏,品牌和名誉受损,核心业务注意力被分散等等。
也就是说,金融业务系统安全的关键在于确切地了解谁正在访问系统,即身份认证。
在这种情况下,需要根据受破坏的可能性,以及可能导致的损失,来评估预防措施的成本。
那么,什么是身份认证呢?身份认证就是系统操作人员在进入系统或访问被保护信息资源时,系统确认该操作人员的身份是否真实、合法和唯一。
身份认证的需求日益迫切,然而不幸的是,大多数金融业务系统所依赖的基于固定口令的身份认证机制既没有提供足够的安全访问控制,也没有在需要追查口令泄露责任时提供明确的用户帐号管理。
同时,这种机制非常容易被攻破。
强大的身份认证安全解决方案是建立在双因素身份认证基础之上的。
第二章集联网络北京集联网络技术有限公司(以下简称集联网络)是金融系统网络的专业集成商,自一九九九年开始,在国家密码管理委员会办公室(以下简称国密办)的支持下,积极从事商用密码产品的研制工作。
SDK02智能令牌?身份认证系统(以下简称智能令牌系统)是固定口令机制与挑战应答机制相结合的双因素身份认证系统,已经与2001年1月通过由国密办组织的技术鉴定。
在金融业务系统中实施基于智能令牌系统的身份认证解决方案,可以从技术上实现金融业务系统的使用安全性和权责确定性。
目前,智能令牌系统已经在北京邮政储汇局和中国建设银行贵州省分行得到应用与实施。
第三章金融业务系统背景根据金融业务的具体要求,现有金融业务系统将各种业务分为普通业务和特殊业务两大类。
普通业务是指普通的操作人员就可以处理的金融业务,如储蓄开户、存取款等等。
特殊业务则是要求有较高权限的操作人员(以下简称授权人员)进行授权才可以处理的金融业务,如冻结、解冻结等等。
也有些金融业务系统将两大类业务再次细化,以区别不同的业务范围。
因此,现有金融业务系统将系统操作人员按不同级别进行划分,以完成相应级别和管理范围的不同业务。
目前,大多数的金融业务系统采用基于固定口令的身份认证机制,但这种机制在实际使用过程中存在不同程度的不安全性。
在很多情况下,口令泄露后,持有人并不能及时发现。
而针对采用这种机制的系统,有多种手段与方式(如数据窃听、截取重放、字典攻击、穷举尝试等等)可导致身份认证控制失败。
由于安全意识不足,在普通操作人员之间,个人在金融业务系统中的登录代码和口令是相互透明的。
很难控制不被某些别有用心的操作人员恶意盗用。
由于代码和口令没有载体,因此此类事件就不能被及时发现并进行有效防范与处理。
现有金融业务系统要求一个授权人员管理一个或数个营业网点,并负责对属于这些营业网点的特殊业务进行授权。
在实际工作中,授权人员同时担任其他业务与管理工作,因特殊业务发生的时间与地点不确定,授权人员很难到达现场进行授权,因而将其授权代码和口令通知了要求授权的普通操作人员。
久而久之,授权代码和口令已经成为不是秘密的秘密,显然,这种情况存在被恶意盗用的危险。
在某些金融业务系统中,普通操作人员需要在数个营业网点之间进行轮岗,为管理方便,轮岗人员在其轮岗网点内均有有效的授权身份(代码+口令)。
显而易见,当该操作人员轮岗至某网点时,其轮网的其他网点中的授权身份存在被恶意盗用的可能性。
针对固定口令机制的安全隐患,金融企业为此配合了相应的管理制度。
这些管理制度虽然可以在一定程度上提高了系统的安全性,但并不能从根本上解决问题。
口令泄露引发的系统安全问题数不胜数,口令泄露后,对系统的侵入和攻击不容易分清肇事者的责任。
根据上述分析,金融业务系统需要更为完善的技术手段进行身份认证,以保障其安全性。
第四章系统安全控制在现有金融业务系统中应用智能令牌系统,可以很好地解决现有固定口令机制的安全隐患。
令牌持有人在令牌丢失后立即挂失;他人不能同时得到智能令牌及开机口令,也就不能冒用令牌持有人的身份进入金融业务系统;身份认证数据一次性有效而不用担心被盗用……在现有金融业务系统中应用实现智能令牌系统,需要在操作人员的系统登录和业务授权两个阶段实施固定口令机制与挑战应答机制相结合的双因素身份认证控制。
同时,智能令牌系统的身份认证机制可以很好地解决操作人员轮岗时的安全问题,并能向所有的普通操作人员和授权人员提供安全的告警机制。
一、系统登录在操作人员的系统登录过程中,实施固定口令机制与挑战应答机制两项认证。
要求只有在固定口令机制认证成功后才能进行挑战应答机制认证,并且仅当挑战应答机制认证成功后才确认操作人员的登录申请通过了业务系统的身份认证。
实施上述认证控制的金融业务系统确保了操作人员使用系统的合法性、安全性和确定性。
二、业务授权在操作人员使用系统和处理业务过程中,当其权限不足以完成某项业务功能时,可要求相应授权人员对此项业务的这笔交易进行授权,例如普通操作人员需要处理冻结业务时。
实施智能令牌系统,通过如下流程完成业务授权:1. 操作人员使用相应授权人员的授权代码和口令向业务系统申请授权2. 若授权代码与口令通过固定口令认证,系统会生成新的用于授权的挑战数3. 操作人员将授权挑战数及业务情况通知授权人员4. 授权人员用其智能令牌计算出相应的授权应答数5. 操作人员在输入业务数据的同时,输入授权应答数以进行挑战应答认证6. 若挑战应答认证成功,系统完成业务处理;否则,系统提示授权不足或授权失败,并拒绝处理业务实施上述认证流程,限制业务授权的一次性有效,从而确保业务授权的合法性。
三、轮岗管理在实施智能令牌系统身份认证的金融业务系统中,操作人员的授权身份与智能令牌是分开管理的,当某一授权身份使用某一智能令牌时,只需要将授权身份中的智能令牌标识信息与相应智能令牌关联即可(系统根据授权身份中的智能令牌标识信息来检索智能令牌的关键信息以用于身份认证)。
如此,对于轮岗而言,该类操作人员的所持有的唯一的智能令牌对于其所有的授权身份均有效。
四、告警机制智能令牌是挑战应答机制的动态口令计算器,提供安全和告警两种模式进行挑战应答计算。
当普通操作人员或授权人员处于危险或受迫环境下,可以使用告警模式完成系统登录或业务授权,系统可以立即识别其告警性质,并在管理中心以响铃和消息等方式向系统管理员报警,由此启动相应的告警处理机制,对相应人员提供援助。
令牌持有人以告警模式使用智能令牌时,只需要在智能令牌提示输入开机口令(每次挑战应答计算都需要输入开机口令)时输入告警口令即可,其后计算生成的应答数即为告警应答数,系统在验证时即可识别出该应答数的告警性质。
第五章实现方案简介一、安全认证机制及原理对普通操作人员或授权人员(以下简称用户)的安全的身份认证采用固定口令机制与挑战应答机制相结合的双因素认证方式。
每个用户都持有一个系统分配的智能令牌。
该智能令牌内置种子密钥和算法。
当用户需要访问系统时,系统首先提示输入代码和固定口令。
认证通过后,系统再下传一个随机生成的挑战数(通常为一个数字串),用户将该挑战数输入到智能令牌中,智能令牌利用内置的种子密钥和算法计算出相应的应答数(通常也是一个数字串)。
用户将该应答数输入系统。
系统根据保存的该用户的相应智能令牌信息(种子密钥和算法)计算出应答数,并与用户输入的应答数进行比较。
如果两者相同,允许该用户访问系统,否则拒绝。
由于每个智能令牌的种子密钥不同,因此不同用户的智能令牌对同样的挑战数计算出应答数也并不相同。
只有用户持有指定的智能令牌才能计算出正确的应答数以通过系统认证。
从而可以保证该用户是持有指定智能令牌的合法用户。
同时,该挑战数与应答数只能在这次挑战应答认证过程中有效,下次认证时系统会生成不同的挑战数,相应的应答数也会发生变化,因此不必担心挑战数与应答数被他人截取,从而保证很高的安全性。
二、发行、分配与管理管理中心统一发行智能令牌,负责智能令牌的新增、删除和预个人化等工作,负责系统内各项流水记录的审计工作。
智能令牌管理系统前台采用运行SCO Unix或MS Windows操作系统的PC终端,在终端上连接令牌初始化适配器,完成令牌的预个人化工作。
用于身份认证的智能令牌有两种分配与管理模式:管理中心统一分配与管理模式、二级管理机构分布式分配与管理模式。
分配与管理的内容包括:建立操作人员管理档案数据;负责操作人员的身份管理工作(包括新增、删除、暂停等);负责智能令牌的分配管理工作(包括查询、变更、挂失和停用等)。
三、应急处理智能令牌系统的管理系统(以下简称智能令牌管理系统)为暂时无法使用其授权智能令牌的用户提供应急处理功能,处理方式为一次性应答数、特定时间内有效的应答数或备用智能令牌。
在具体使用时,管理人员可根据实际情况为用户指定一种方式。
当管理人员使用智能令牌管理系统为某用户下放一次性应答数后,系统会为该用户设定应急标志。
当该用户进行挑战应答认证时,应输入该一次性应答数,经系统识别后确认通过认证。
该一次性应答数不论该用户是否通过认证,都从系统中消失,保证该应答数一次性有效。
特定时间内有效的应答数只有在指定的相应的特定时间内使用才有效。
备用智能令牌是管理人员为用户提供备用的智能令牌,智能令牌管理系统将将备用智能令牌信息与相应用户信息进行关联后,该用户就可使用备用的智能令牌进行登录和授权。
四、认证工作方式根据现有金融业务系统的实际情况选择智能令牌系统在业务系统中的工作方式。
I. 嵌入式认证将智能令牌系统的安全认证服务模块与安全认证访问模块内嵌于金融业务系统的服务器程序(以下简称应用主机程序)中,由应用主机程序通过安全认证访问模块与安全认证服务模块交互以完成安全认证。
这种工作方式的优点在于只改变应用主机程序的认证处理过程,缺点在于将安全认证的系统负载聚集在金融业务系统的服务器设备上,其负载加大,提高对硬件的性能要求。
