Module 10-2：網路銀行應用範例.

Presentation on theme: "Module 10-2：網路銀行應用範例."— Presentation transcript:

1 Module 10-2：網路銀行應用範例

2 網路銀行應用分類 個金網路銀行 企金網路銀行 提供個人戶客戶使用之銀行網路交易系統 依使用者申請分類 : 網銀用戶、信用卡用戶、VIP
存取控制 : ID + PW , IC卡、雙向驗証、 Challenge/ Response 企金網路銀行 提供企業用戶客戶使用之銀行網路交易系統 使用者為企業戶之財務部、會計人員、高階主管 存取控制 : ID + PW + IC卡, 多重授權、審核 , 數位憑証(不可否認性)

3 個金網銀與企金網銀分流 個人網路銀行為單一使用者,使用上著重在操作簡易、 流程短、個人化、群組化，交易金額較小，服務內容 變化較多樣化。
企業網路銀行對一個企業來講為多使用者,交易金額大，企業在乎內部安全控管,故在使用上著重多重控管流程. 額度控管.授限管制.主動通知提醒

4 網路銀行功能 - 個金網銀範例

5 網路銀行功能 – 企金網銀範例

6 存取控制 使用者存取管理主要目的是讓授權的使用者 存存控制的安全保護 可以依其權限，適當存取資訊系統 並防止未經授權之使用者存取資訊系統
利用密碼學的技術，使第三方看不懂通信中的內容 權限的管理與設定 申請 變更 取消 存取控制，就是指一個主體 (Subject)如使用者，能對一個客體 (Object)例如檔案，能做何種動作 (讀寫或刪除)所做的一種控制。更進一步說，這種控制還可以分成二種: 禁止不合法的主體對客體進行存取動作 保證合法的主體只在授權的範圍內存取客體。 在登入程序時，會要求使用者輸入帳號與通行碼，因此沒有事先註冊的人則無法登入系統，此為第一種控制。接下來，當使用者順利登入後，會比較使用者識別碼 (UID)和檔案的權限 (Permission)來保證使用者不會誤刪別人的檔案，這是第二種控制。 在資訊安全領域中，安全的保護通常可以分成兩大部分，第一部分是使用密碼學的技術，將資訊內容予以轉碼，讓收送雙方以外的第三者看不懂通信內容，同時也利用通信雙方所擁有的密碼金鑰來辨識身份，甚至利用適當的密碼協定來達到通信的不可否認性與資料的完整性等。 資訊安全保護的第二部分則是上面所說的存取控制。存取控制類似日常生活中的門禁系統，例如社區的大門口 設置警衛，當有訪客到來時，警衛會詢問訪客的身份、拜訪對象以及拜訪目的來決定是否讓訪客進入社區。在存取控制中，重點不在於資料內容的祕密性或完整性等功能是否得到保證，而在於訪客 (在存取控制中習慣稱為「主體」)對拜訪對象 (習慣稱為「客體」)所做的行為是否被允許。

7 存取控制(續) 使用者辨識技術 通行密碼辨識 持卡驗證 視覺認知辨識 使用者帳號與通行密碼 身份憑證儲存在智慧卡上
使用者的視覺 + 動態鍵盤、GOTP等使用者的人為操作來進行身份的驗証 使用者帳號與通行密碼來驗証使用者身份是最常使用的方法　但登入密碼可能在傳送過程中易遭人攔截、密碼猜測 (Guessing Attack)或密碼外洩給他人等等，因此可以使用一次的通行密碼 (One-Time Password)，以亂數產生的密碼只能使用一次，無法重複使用的密碼則可加強其安全性 將個人的身份憑證儲存在金融晶片卡上，提供使用者的身份驗證，交易過程，進行卡片的再拔出與插入動作及交易內容再確認，避免遠端駭客軟體的操弄 採用使用者的視覺 + 動態鍵盤、GOTP等使用者的人為採作來進行身份的驗証，可達到真正的身份識別，

8 存取控制 (續) 帳號申請與使用 依規定攜帶身份証、印章至已開戶分行辦理申請
經辦人員核對身份及申請項目，設定申請人的授權及啟用程序 經辦人員提供密封的密碼函，包含使用者代號及密碼 使用者第一次登入時必須變更使用者代號及密碼 系统將依使用者所具備之身份鑑別因子(factor)，分為一般身分登入與金融IC卡登入兩種，不同的身份，可使用的業務功能不同 帳號取消或變更必須依規定攜帶身份証、印章至已開戶分行辦理申請

9 個金網銀 - 存取控制範例 個金網路銀行使用者登入可依照其所持有的鑑別因子(factors)來決定其能執行的交易授權及範圍
一般登入 : ID + Password + usercode 授權業務範圍僅限查詢、約定轉帳 持卡驗證: ID + PIN + usercode + IC card (two factors authentication) 授權業務範圍:查詢、約定轉帳、非約定轉帳、線上交易 授權金額範圍 為降低線上交易風險，必需限制每次 / 每日交易的 限額 密碼安全原則設定(Password Composition with Security Anlagen) 1 使用者於第一次登入時必須重設密碼。 使用者第一次登入時，系統須自動強制使用者變更密碼，並符合各項密碼安全原則，以及變更紀錄 2 密碼長度是否設定大於6碼(含)以上。 密碼長度須至少6碼（含）以上，但不包括半形或全形“空白” 3 密碼變更時間設定為90~180天。 變更密碼期限為90至180天，且於到期前系統自動通知使用者，並到期後則為強制變更密碼 4 密碼設定為不可與前三代重複。 於變更密碼時，不得於前三代密碼相同 5 密碼設定為錯誤五次以上，便鎖定帳號。 應符合下列事項要求： 於登入系統時，密碼輸入錯誤達五次（含），須將帳號鎖定，並透過系統畫面知告使用者 須透過申請程序，始能解除密碼鎖定 如各子公司之主管機關對次數另有規定時，則須遵循主管機關要求。 6 密碼不得與使用者代號相同。 密碼不得與使用者代號（帳號）相同，亦為初始密碼也在此範圍內 7 密碼不得為易猜知內容(如：1111、1234等)。 密碼不允許為易猜資訊，如相同文數字連續達四次（含）以上(例:1111、AAAA)、有連續性之文數字達四次（含）以上(例:1234、ABCD) 8 密碼內容須為文數字夾雜。 密碼不內容不能為全是文字或數字，須文數字夾雜 9 密碼安全原則設定非寫在程式中(透過程式介面或檔案設定)。 密碼安全原則，應透過程式介面方式或檔案（僅限作業系統）執行設定作業 10 密碼之傳輸、儲存，應使用公認足夠安全強度之加密演算法。 密碼於傳輸過程、儲存在檔案／資料庫內，須使用公認之安全強度加密演算法 11 不可將特定帳號密碼及IP寫入應用程式之原始碼中。 在應用系統程式碼中，不可存在特定的存取帳號及IP，如有需要使用特定存取帳號、IP，則須透過程式介面或檔案（僅限作業系統）執行設定作業

10 個金網銀 - 存取控制範例(續) 密碼及使用者代號必須符合安全規則(如代號至少8碼、須中英文夾雜, 密碼不得為懶人密碼)
密碼輸入方式採用動態鍵盤，避免駭客利用密碼側錄等竊取密碼 以IC金融卡登入網銀之身份辦識 在網路銀行的平台上以IC晶片金融卡Login 以驗証持卡人身份，交易的權限及交易資訊之加密，以防止駭客在網路上竊取或竄改交易資料之內容，確保客戶使用綱路交易之安全與信心，以提昇銀行的服務品質並提高獲利。 以IC卡登入網銀之目的 二代晶片金融卡己普遍發行，每人皆時常隨身攜帶，配合IC card reader 普遍流行，顧客以IC 晶片卡登入網銀是最方便安全的機制，對銀行而言，除可節省建構網銀身份辨識的成本，又可降低維護成本。另外還可達到下列安全機制： 加強防止 ： 　偽造網站 (網頁/元件) 　偽造DNS 　客戶端PC被植入木馬程式 　偽造合法訊息送入本行 防止盜版使用：元件可設定僅提供某一URL使用 加強加密驗証：元件內使用AES加密，確認交易 動態鍵盤

11 密碼登入的資料由PC端傳送到Web server端時，採用SSL加密，確保資料在通訊中的安全
動態鍵盤的每一個英數字僅代表一個location，輸入欄位將各location傳送到Server端時，再依location與字碼轉換table，將location轉換成英數字之密碼字碼 密碼登入的資料由PC端傳送到Web server端時，採用SSL加密，確保資料在通訊中的安全 動態鍵盤 每次產的動態鍵盤，其英數字的位置都不一樣，當按鍵盤上的某一個鍵時， 放到輸入欄位時，僅是一個代號，應用程式將代號送到後瑞主機後，再依 這次的鍵盤的碼表(mapping table)中找出代號真正代表的英數字，即為真正 的密碼。

12 個金網銀 - 存取控制範例(續) 以動態鍵盤輸入密碼的過程所需時間T，檢查所花時間是否 T > Tmin ，若T小於Tmin , 則拒絕交易 密碼經過雜湊函數及3DES運算，再經由server比對資料庫的資料後，若完全正確，即可取得唯一的特殊session ID，做為往後各交易的通行判別factor 登入時間是否在客戶設定的正常使用時區、金額是否在設定的範圍內，若不是 , 則發出即時警訊通知(簡訊及mail)

13 個金網銀 - 存取控制範例(續)

14 個金網銀 – 存取控制範例(續) 善用Challenge / response Graphic OTP 動態鍵盤 插拔晶片金融卡
個人資料對答 (如:交易行為有異常，問:最喜歡運動 ? 家中小孩幾位?等個人存於銀行之資料) 交易驗証碼傳至手機, 再輸入網頁 交易內容完成後,由網站主機依据交易資料運算產生 驗証碼，並將驗証碼以簡訊或mail傳送給客戶,客戶再將手機上的驗証碼輸入網頁 , 送至網站主機比對 ,若驗証碼正確，即完成交易程序。

15 個金網銀 – 存取控制範例(續) 動態鍵盤 Graphic OTP

16 個金網銀 – 存取控制範例(續) 插、拔晶片金融卡,確認交易是人為在操作

17 個金網銀 – 存取控制範例(續) 發現異常交易行為時，以簡訊或 mail即時通知

18 企金網銀 – 安控機制範例 簽入企金網系統作業/畫面說明
按簽入則做密碼檢核，如錯誤，則將畫面上資料清空並在此畫面顯示錯誤訊息。如正確，若為首次登入且身分是安控主管，則至安控主管首次登入密碼變更畫面；若為首次登入且身分是一般使用者，則至一般使用者首次登入密碼變更畫面。若非首次登入，則至企業金融網首頁。 按重設則清空畫面上欄位資料。 企業網路銀行公佈欄以跑馬燈方式出現公佈標題，點選標題則跳出說明的靜態網頁。 開戶申請書下載、各類約定書下載、使用手冊下載、交通銀行客服信箱各別會跳出靜態網頁或功能鏈結。 簽入檢核流程: (1) 登入 (2)密碼認證 (3)重複登入檢核 (4)密碼輸入三次錯誤即暫時停用 (5)連續三次錯誤時會發通知給使用者，第二十次錯誤時也會通知系統管理者。 6. 且逾時會自動簽出,簽出/入皆會有記錄

19 企金網銀 – 安控機制範例(續) 依企業作業流程，採多重授權 企業會員區 網路傳輸採128 位元 SSL傳輸加密保護
符合標準安控基準，採用最新技術憑證 網路傳輸採128 位元 SSL傳輸加密保護 使用電子簽章，保障交易完整性及不可否認性 採用FXML憑證 新型智慧卡輕巧方便、攜帶保管容易 依企業作業流程，採多重授權 每一使用者需要訂定權限 依交易重要性設定多層審核流程 限制每日/每筆最大轉出金額 企業會員區

20 企金網銀 – 安控機制範例(續) 強化安控機制 主動性通知服務 企業採用雙安控 (編輯) -> (送審) -> (放行)
安控經辦，安控主管 (編輯) -> (送審) -> (放行) 作業功能可依交易屬性控管制帳號/統編 以IC卡做為憑証的載具，安全性高 主動性通知服務 企業會員區

21 企金網銀 – 安控機制範例(續) 安全審核放行 企業會員區 多重審核 1. 編輯 -> 放行
2. 編輯 -> 初審 -> 放行 3. 編輯 -> 初審 -> 複審 -> 放行 4. 編輯 -> 初審 -> 複審 -> 三審 -> 放行 審核放行者須有權限及憑証(存於智慧卡) 依交易金額大小或交易的重要性，選定一審或多審的審核流程 企業會員區

22 企金網銀 – 安控機制範例(續) 依使用者的屬性設定執行的權限及交易種類 企業管理區

23 企金網銀 – 安控機制範例(續) 雙安控人員權限控管機制 企業會員區 審核文件 送審 放行通過 經辦 退回重新編輯 主管 編輯 修改 刪除
身份為主管或經辦其能操作的項目不同，經辦可以編輯、查詢，主管可以審核與查詢。 經辦 退回重新編輯 主管 企業會員區

24 企金網銀 – 安控機制範例(續) 企業會員區

25 企金網銀 – 安控機制範例(續) 企金網路銀行應用系統權限控制角色共分為三部份: 授權流程說明：
資訊管理單位、分行作業管理單位、企業財務管理單位， 授權流程說明： IT安控人員及主管→ 授權分行安控經辦及安控主管 →授權分行業務經辦及業務主管 →授權企業安控經辦及安控主管→ 授權企業財務經辦及財務主管 → 執行網路銀行業務 每個流程初次使用時，必須變更密碼、代號及下載憑証並存於IC卡內

26 企金網銀 – 安控機制範例(續) IT 單位設定 分行部門作業人員權限 分行安控人員首次 登入並更改登入密碼 及主管授權碼 由資訊處
設定分行 安控人員 安控主管 資訊處作業人員 安控經辦 使用者登入 並更改登入密碼 及主管授權碼 設定該分行 作業人員並送審 審核 放行通過 分行作業人員 安控主管

27 企金網銀 – 安控機制範例(續) 分行經辦單位設定新會員登錄作業權限 銀行經辦 會員 送審 審核文件 放行通過 登入會員資料戶代理
銀行業務主管 會員 會員臨櫃 申請填寫 各申請表格 登入會員資料戶代理 設定交易系統使用 約定台幣帳戶 約定外幣帳戶 約定帳戶查詢 約定費用扣款帳號 申請登錄會員憑證 送審 審核文件 放行通過 產生密碼函三份連同智慧卡及憑證系統光碟交給會員 營業單位作業區

28 企金網銀 – 安控機制範例(續) 會員安控憑證管理 送審
經辦 主管 會員 會員在會員作業區辦理憑證暫禁時，欲申請憑證解禁或憑證註銷後，欲重申請憑證時，須臨櫃申請 編輯 送審 審核文件 放行通過 新憑證密碼函 註銷後之憑證永久失效 憑證解禁次數以兩次為 限，第三次後就永久失效

29 企金網銀 – 安控機制範例(續) 企業會員區 企業內部安控人員第一次使用流程 安控經辦首次登入 安控主管首次登入 安裝光碟之的驅動
程式並且重新開機 安控經辦啟用密碼 更改原始簽入密碼 原始簽入名稱 變更基本資料 個人化設定 安控經辦首次登入 安控主管啟用密碼 更改原始登入名稱 原始登入密碼 製作金鑰對及申 請憑證 憑證申請密碼函 更改成新密碼 安控主管首次登入 企業會員區

30 企金網銀–安控機制範例(續) 企流內郊首次授權流程 安控經辦 安控經辦設定人員的 登入名稱及登入密碼 由安控主管 審核通過，放行
變更登入名稱 及登入密碼 變更基本資料 個人化設定 使用者首次登入 輸入安控經辦設定的 正確? 是 開始交易 否 企流內郊首次授權流程 安控經辦 檢查及變更企 業基本資料 設定訊息通知 查詢台幣 約定帳號 設定使用 者權限 設定作業 流程 新增使用 者 安控經辦 : 編輯 / 設定 / 送審 安控主管

31 企金網銀 – 安控機制範例(續) 變更企業變更內部使用人員及其權限時處理流程 安控經辦 安控主管 使用者資料 維護 輸入新使用 新增使用者
更改使用 者權限 新增使用者 輸入新使用 者資料並送 審核 審核放行 設定新權限 並送審核 使用者查詢 否 退回 是 安控經辦 安控主管 放行

32 企金網銀 – 安控機制範例(續) 會員安控憑證管理 營業單位作業區 客戶憑證 遺失臨櫃申請 由安控主管上企金 網完成註銷手續 是
更改密碼 客戶憑證 遺失臨櫃申請 是否將憑證 暫禁 直接註銷 註銷後之憑證 將永久失效 重新申請憑證 需繳交手續費 由安控主管上 企金網完成暫 禁手績 要恢復時則須 臨櫃申請 是 否 營業單位作業區

33 企金網銀 – 安控機制範例(續) 營業單位作業區 憑証管理作業名稱 作業說明 憑證查詢 查詢會員憑證狀況一覽 憑證申請登錄 憑證申請
憑證使用登錄 憑證使用範圍設定 憑證暫禁登錄 會員憑證暫禁 憑證解禁登錄 會員憑證解禁 憑證註銷登錄 會員憑證註銷 憑證申請密碼補印 憑證申請密碼列印 憑證費用作業 憑證費用收款查詢和收款處理 配備庫存查詢 配備庫存資料查詢 配備消耗登記 登記配備消耗資料 配備申請登記 配備申請 配備歷史紀錄查詢 配備狀況與處理變動歷史查詢 營業單位作業區

34 Module 11-3：網路ATM應用範例

35 實務案例—網路ATM付款安全機制 除了無法提供提款功能外，網路ATM的業務功能和實體ATM的功能完全相同。 網路ATM額外功能
提供異業結盟網路商店的線上付款機制 (如網路商店購物、學雜費繳款、拍賣、遊戲儲值、線上電視付費、繳信用卡費、停車費、電信費…) 特定實體商店付款 ( 醫院、超市、商店…)

36 網路ATM功能案例

37 網路ATM可能安全威脅 網路ATM是 client / server架構應用程式
Client 端有Active X元件，負責讀寫卡片資料及與server端交易資料的交換. 客戶端的使用環境是銀行無法掌控的風險 客戶有可能誤上釣魚網站 客戶資訊遭到駭客竊取、冒用、遠端監控 客戶交易資料遭到偽造、竄改 幾乎所的企業、大多數的政府單位，以及很多人都有自己專屬的網站。存取網際網路的個人與公司愈來愈多，而且他們都有圖形介面的網頁瀏覽器，因此很多企業都熱衷於架設電子商務網站，但是網際網路和網站其實很容易受到各種惡意的攻擊，近年來企業開始了解這個事實，對網站安全的需求也開始增加、重視。 37

38 網路ATM可能安全威脅分析 經分析網路ATM系統之各個節點弱點，Risk 4,5,6之安全己在網路銀系統Server端建構保全機制
Risk 1,2,3則是在客戶PC端上，是銀行端無法控制的風險，所以網路ATM的安全設計將針對Risk1,2,3等因素來防範

39 網路ATM設計安全規範 銀行公會結合各銀行收集相關可能的安全威脅，針對網路ATM系統可能的弱點做分析，並且訂定網路ATM設計安全規範，提高安全程度，降低惡意程式攻擊的風險 使用第二代 reader (Reader含PIN 鍵、交易確認按鍵、顯示螢幕) 幾乎所的企業、大多數的政府單位，以及很多人都有自己專屬的網站。存取網際網路的個人與公司愈來愈多，而且他們都有圖形介面的網頁瀏覽器，因此很多企業都熱衷於架設電子商務網站，但是網際網路和網站其實很容易受到各種惡意的攻擊，近年來企業開始了解這個事實，對網站安全的需求也開始增加、重視。 39

40 網路ATM設計安全規範(續) 規 範 項 目 1. 網站應採用SSL加密或其他方式加密。
規 範 項 目 1. 網站應採用SSL加密或其他方式加密。 2. 系統應依每筆交易動態隨機變動端末設備查核碼或以亂碼化保護。 3. 系統應設計具遮罩功能之圖形驗證碼(GOTP) 或隨機按鈕等方式。 4. 系統動態頁面呈現或限制滑鼠點選，以防止SendKey Control。 5. 系統應有Session及網頁TimeOut機制。 6. 於帳務交易時, 系統應每次輸入卡片密碼產生TAC (在同一Session下亦相同)。 7. 若有多網頁設計(同Session)，系統應驗證前一網頁的正確性。

41 網路ATM設計安全規範(續) 規 範 項 目 8. 元件應驗證網站正確性。(如：Challenge/Response, RSA,
規 範 項 目 8. 元件應驗證網站正確性。(如：Challenge/Response, RSA, GOTP方式加強Client/Server雙向驗證)。 9. 元件應具有防盜用機制，以驗證正確網站 (如：驗證URL方式加強Client驗證Server)。 10. 元件應經過作業系統被認可之數位憑證簽章 (CodeSign)。 11. 元件應設計存取卡片時限定為獨占模式。 12. 於帳務交易時, 系統應設定需經由人工抽拔卡片動作後才回傳TAC。 13. 採用經本會審核之確認型讀卡機者，可不執行本注意事項之第 3,7,12 必要項目。

42 網路ATM設計安全方法 於各節點採用對稱式加密，機密性與完整性(參考 網路ATM對稱式加密架構圖)
使用動態虛擬鍵盤及 Graphic OTP (GOTP) 善用Challenge / Response機制 抑制對話盒功能 人工插拔卡動作 幾乎所的企業、大多數的政府單位，以及很多人都有自己專屬的網站。存取網際網路的個人與公司愈來愈多，而且他們都有圖形介面的網頁瀏覽器，因此很多企業都熱衷於架設電子商務網站，但是網際網路和網站其實很容易受到各種惡意的攻擊，近年來企業開始了解這個事實，對網站安全的需求也開始增加、重視。 42

43 Web-ATM系統交易資料對稱加密架構 客戶端 銀行端 晶片金融卡 個人電腦 Web server AP 中心主機 TAC 加密模組 SSL
AES 解密模組 個人電腦 Web server AP 中心主機 客戶端 銀行端 SSL 128 bit 加密 (完整性 機密性) AES 加密 (完整性 鑑別性) TAC 加密 (完整性 ) Web ATM系統 ，所有的交易資料機密性、完整性皆採用多重的對稱性加密，以確保資訊的安全。 . 1.交易資料在網頁輸入完成後 , 即由 Web ATM客戶端的Active 元件送往 晶片金融卡產生交易驗証碼 TAC , 並回傳給Active元件 2. Active 元件再將資料及TAC以 AES加密 Ek =AES(Data ,TAC) , 3. Ek資料經由通訊層的SSL 加密 , 傳送到銀行端，經 Web Server端做 SSL解密 4. AP Server 將Ek解密 , 得到 (Data, TAC) , 再將(Data, TAC) 送到中心主機端做 TAC 運算比對 , 若正確 ,則開始進行交易轉帳

44 網路ATM設計安全方法 若是第一次使用 【銀行網路ATM】，系統會 出現「安全性警告」的視窗 之對話框 (如下圖所示)。
請點選「是」按鈕，以利於 系統自動安裝服務元件。

45 網路ATM設計範例(1/6) 應用程式啟動讀取IC卡時，與Reader建立的session必須具有排他性，直到交易結束。
在微軟PCSC讀卡機介面規範中，對於IC卡的連線協定採用： SCARD_SHARE_EXCLUSIVE 鎖住連線IC卡的Session (occupy session)，拒絕其他程式存取此一讀卡機 ，避免其他惡意程式乘隙讀取卡片資料，進行偽造資料。

46 網路ATM設計範例(2/6) 網路ATM系統使用Graphic OTP 的設計方式，在網頁上會 顯示4~8個之圖形數字，讓
客戶以視覺判斷圖行數字,並 輸 入OTP數字於欄位，以達到 Challenge / response 功效, 為了查驗網路交易是由人為手動操作而不是駭客背景軟體之行為，在系統設計上利用動態產生一組圖形驗證碼OTP (graphic one time password ,簡稱GOTP)，顯示在螢幕上並透過視覺辦識而要求使用者輸入該組數字，以確認是真實的人為操作，利用這種類似一次性密碼的challenge/response的方法達到驗證的效果。 動態驗證碼為多樣化圖型識別能力之操作者回應設計，由Server端程式動態產生僅使用一次的One-Time Password，為四到六個數字的驗證碼，其數字是以JPEG格式圖案方式呈現。為避免駭客即時解讀HTML，將以動態方式來產生數字與隨選字母的對照表(One-Time Mapping Table)，按鍵的方式將用前述的動態虛擬鍵盤來處理。點選數字時，將字母傳入網頁的驗證碼輸入欄位，即使駭客程式具備偷窺記憶體變數的能力，亦無法得知所對應的驗證碼數字。 Graphic OTP是屬於影像資料隱藏技術，它的解密是以人類的視覺系統來辨識。隨著OCR等自動識別軟體系統的出現，分析單獨的影像圖形變得簡單，優秀的文字識別軟體，透過分析單張圖片成功獲得圖片文字訊息的成功率達到90%，所以單一圖片並沒有隱藏資料的能力﹝8﹞。利用視覺密碼系統將可解決這項問題。依據Chang和Hwang﹝22﹞﹝23﹞提出之3x3像素擴張法，將適合用來當做Graphic OTP產生的數字密碼，有效防止惡意程式以OCR軟體來解析畫面上的數字。當使用者第一次下載Active X元件時，同時存入一張偽裝的影像圖片，當使用者登入網路ATM系統時，Active X元件立即將偽裝的圖片與AP伺服器隨機產生的一張偽裝影像疊合，以顯示隱藏隨機驗證碼讓使用者輸入，達到身分鑑別的安全性

47 網路ATM設計範例(3/6) 網路ATM系統使用動態虛擬 鍵盤的設計方式，在網頁上 會顯示0~9的數字圖形按鍵， 並予以隨機擺放不同順序的
位置，讓客戶僅能以滑鼠點選 晶片卡密碼 ，並將代號放入 輸入欄, 經送往server時 ,再依 Mapping table轉換成密碼文字 避免惡意程式側錄密碼 使用者登入網路ATM後，必須輸入晶片卡的PIN密碼，以確認Client端使用者合法身分的程序，倘若駭客程式具有鍵盤側錄功能，當使用者按下鍵盤所觸發的鍵盤事件在中途被攔截紀錄後，駭客事後即可等待客戶下次插入卡片或晶片卡停留於讀卡機的時機，自行操控客戶端電腦的瀏覽器進行非法交易。 為避免鍵盤遭到側錄現象，網路ATM系統使用動態虛擬鍵盤的設計方式，在網頁上會顯示0~9的數字圖形按鍵，並予以隨機擺放不同順序的位置，讓客戶僅能以滑鼠點選晶片卡密碼。駭客程式僅能側錄到滑鼠單擊事件取得點選座標，但數字鍵每次位置是動態變動而無法判斷確實的密碼，避免駭客竊取密碼。 Graphic OTP

48 網路ATM設計範例(4/6) 1..取消視窗右上角關閉按鈕 2. 取消預設按鈕屬性 3. 取消按鈕元件的Focus特性 4.取消鍵盤事件
ActiveX元件所彈出(Pop-Up)的交易內容確認對話視窗必要強化防止駭客能力 : 1.取消視窗右上角關閉按鈕 防止駭客程式滑鼠點擊事件以自動關閉交易內容確認視窗。如圖4-3所示。 2.取消預設按鈕屬性 防止駭客程式產生Enter鍵以執行自動確認交易。 3.取消按鈕元件的Focus特性 確定鍵或取消鍵按鈕的虛線方框，即對話視窗目前的Focus，取消Focus可防止駭客程 式產生滑鼠點擊事件以自動確認交易。 4. 取消鍵盤事件 防止駭客程式模擬產生Tab鍵事件，重新Focus在確定鍵後，再產生Enter鍵之event， 以執行自動確認交易。

49 網路ATM設計範例(5/6) 讓客戶在30秒內拔出卡片後 再插入，以確認客戶真正的 在線上使用，其主要目的是 防止遠端遙控軟體的操弄

50 網路ATM設計範例(6/6)

51 網路ATM安全管理範例 網路ATM管理功能 系統使用者管理模組

52 網路ATM安全管理範例 建立系統使用者資料 & 設定使用者角色

53 網路ATM安全管理範例 系統使用者角色資料維護 : 新增角色資料

54 網路ATM安全管理範例

55 網路ATM安全管理範例-安控報表

56 網路ATM安全管理範例-LOG 1. 應用系統中應有帳號權限變更之Log。
應用系統須具備留存變更（包含新增、刪除、修改）帳號權限之log，如應用系統設定檔、科目代號等變更之log，其log需有下列欄位資料： 變更人員帳號及IP 變更日期及時間 變更前後內容 2. 應用系統應有重要檔案變更之Log。 應用系統須具備留存變更（包含新增、刪除、修改）重要檔案之log，如應用系統設定檔、科目代號、密碼變更等變更之log，其log需有下列欄位資料： 3. 應開啟作業系統之System/Audit Log。 須開啟作業系統(OS)之系統(System log)及稽核軌跡（Audit log），且定期備份，並依主管機關、資安規定之年限進行保存。 4. 應開啟DB System/Audit Log。 須開啟資料庫(DB)之系統(System log)及稽核軌跡（Audit log），且定期備份，並依主管機關、資安規定之年限進行保存。 5. 應規劃LOG審查機制。 針對已開啟之log應有專人定期審視，並留存審視，且撰寫成SOP（包含備份方式、週期、保存年限）。 6. 交易內容Log及通訊Log 7. 應記錄使用者成功登入/失敗登入應用系統之軌跡。 應用系統應留下使用者成功登入/失敗登入之Log，並包含使用者名稱、成功登入/失敗登入時間、登入來源，交易內容。

57 網路ATM安全管理範例- EJ log

58 參考文獻 財金資訊股份有限公司，晶片金融卡規格書 銀行公會「金融機構對晶片金融卡網路應用安全機制」處理要點