【正文】 面，用戶可隨時將帶毒的文件經過病毒分析程序自動把此病毒特征加入特征庫，以提高抗病毒能力。網絡防病毒的基本技術有：①基于網絡目錄和文件安全性的方法。計算機病毒的清除技術，清除病毒通常是在病毒出現(xiàn)后對其進行分析研究并研制出相應殺毒功能的軟件，而對此種病毒進行清除。預防技術包括磁盤引導區(qū)保護、加密可執(zhí)行程序、讀寫控制技術和系統(tǒng)監(jiān)控技術等，計算機病毒預防包括兩部分：對已知和未知的病毒進行預防。（3）計算機病毒防治技術計算機病毒對計算機系統(tǒng)造成了非常大的威脅，尤其是對信息和數(shù)據(jù)破壞非常嚴重，這一點是無庸置疑的。把所有跨越防火墻的網絡通信鏈路分為兩段，內外網絡間由兩個終止代理服務器上的“鏈接”來實現(xiàn)，即是外部網絡鏈路只能到達代理報務器，從而成功地實現(xiàn)了防火墻內外計算機網絡的隔離。如果滿足此邏輯，則此防火墻再不起作用，外部網絡用戶便有可能直接了解內部網絡的結構和運行狀態(tài)，這也是此種防火墻的缺點，有可能引發(fā)非法訪問和攻擊。是在應用層上建立在網絡應用層上的協(xié)議過濾。對數(shù)據(jù)包進行選擇的依據(jù)是系統(tǒng)內事先設置過濾邏輯，通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的TCP端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。實現(xiàn)防火墻基本準則有兩種：一切未被允許的就是禁止的；一切未被禁止的就是允許的。硬故障的恢復，是指外存故障如磁盤受到破壞，這種對數(shù)據(jù)庫破壞性最大，當出現(xiàn)這種情況時，要把數(shù)據(jù)庫恢復到原來正常的狀態(tài)，則要將數(shù)據(jù)庫后備副本重新裝入，重新進行復制后援副本之后所完成的事務。用戶程序以意外方式終止運行時稱為事務失效，當出現(xiàn)事務失效后，系統(tǒng)必須對之起先撤銷，撤銷其對數(shù)據(jù)庫已做出的一切更新操作。數(shù)據(jù)庫數(shù)據(jù)的恢復。視圖定義，數(shù)據(jù)庫管理系統(tǒng)可通過創(chuàng)建視圖的辦法為不同的用戶定義不同的視圖，以此限制不同用戶操作的范圍。數(shù)據(jù)庫的安全存取技術主要有訪問控制、視圖定義、數(shù)據(jù)加密和跟蹤審計等幾個方面。物理安全主要是強迫管理人員透露口令，在通信線路上起先竊聽，破壞物理硬件或硬性復制修改數(shù)據(jù)庫，這些可通過加強安全檢查、檢驗用戶身份真實性、保護存儲設備和數(shù)據(jù)庫加密等措施來保證其物理安全。以下將介紹信息安全技術的操作和過程。如非法修改程序、數(shù)據(jù)庫中或傳輸中的數(shù)據(jù)信息；偽造是指不合法人員進行偽造仿冒成合法實體，破壞了信息的真實性。安全內容安全目標安全技術信息保密性保持信息機密信息加密信息完整性檢測信息是否被篡改數(shù)字摘要信息真實性驗證信息來源數(shù)字簽名、生物測定法信息不可否認性不能否認收、發(fā)信息及內容數(shù)字簽名、數(shù)字證書、時間截信息可控可用性只有授權用戶才能用防火墻、密碼、生物測定法表9－1 信息安全內容及相關技術通常信息在網絡是安全地進行傳送的。信息的真實性是指信息來源的真實，也就是說當信息是從某人傳來時，通過驗證確保這個人的身份真實性，以防止偽裝入侵威脅。信息保密性是指信息在以電子化發(fā)送時不被泄露給除了發(fā)送方和接收方外的其它非法用戶，也指信息保存在實體上不被非法用戶使用（物理保密），主要地，信息只能為授權的目標用戶使用。人們對信息系統(tǒng)的依賴性隨著其不斷的發(fā)展而增強，信息已成為現(xiàn)代社會發(fā)展的重要無形資源。通過高的安全技術可使網絡金融達到安全要求，最大限度減少用戶和企業(yè)的損失。當網絡金融業(yè)一旦出現(xiàn)上述的情況時，后果將會非常的嚴重，通常的將會嚴重打擊用戶對金融網絡化的信心，而減少對網絡金融的支持使用，這則直接關系到金融機構的生存和發(fā)展。網絡安全究竟是什么呢？有專家學者提出“所謂計算機網絡安全，通俗來講，是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或惡意的原因而遭到破壞、更改和泄露。但互聯(lián)網的特征就是高度開放性，但是這卻恰恰與電子商務和網絡金融活動中所需要的安全保密性相矛盾。今后，美國防止銀行資料被黑客竊取的工作刻不容緩。2005年6月6日美國花旗集團（世界最大銀行）宣布，該公司丟失了一批記錄著390萬客戶賬戶及個人信息的電腦記錄數(shù)據(jù)帶。這次是黑客高手利用一種特殊的病毒程序，通過“信用卡第三方付款處理器”網絡系統(tǒng)的安全漏洞成功侵入該網絡系統(tǒng)中的客戶銀行資料庫“偷看”。按照慣例,一旦信用卡出現(xiàn)安全漏洞,將由發(fā)卡的金融機構決定如何處理，并且決定是否改換新卡。出事的“信用卡第三方付款處理器”的網絡系統(tǒng)屬于信用卡記賬事務處理公司。遭入侵的數(shù)據(jù)包括信用卡持有人姓名、銀行和賬號，這都能夠被用來盜用資金，但黑客并沒有盜走地址和社會保險號等有關用戶身份的重要資料。上述事件可能是美國發(fā)生的最大規(guī)模信用卡用戶信息泄密案。該公司負責處理10萬商家的各種信用卡結算業(yè)務，年營業(yè)金額高達150億美元。 另外包括花旗銀行和美國銀行在內的多家知名公司的信用卡用戶信息也曾遭到黑客竊取。2005年5月，美國四家大銀行儲存的約50萬客戶的電子賬戶記錄被不法分子竊取，并被轉手賣給了債務公司。 網絡金融安全概念及其重要性 網絡金融安全概念計算機技術的發(fā)展帶來了網絡金融的飛速發(fā)展，同時對于依賴網絡信息技術的網絡金融來說是機遇與挑戰(zhàn)并存，在開放的無邊界的互聯(lián)網中充斥著黑客、病毒、攻擊等安全隱患。所以相應而產生的計算機信息安全問題已經成為目前制約網絡金融發(fā)展的關鍵因素。在學術上，我們指通過各種計算機、網絡、密碼技術和信息安全技術，保護在公用通信網絡中傳輸、交換和存儲的信息的機密性、完整性和真實性，并對信息的傳播及內容有控制能力。嚴重時更會影響到社會的穩(wěn)定、經濟的發(fā)展和文化的繁榮，影響到國家的綜合國力和國家的國際地位。如信息安全技術、網絡交易安全、安全管理、建立健全的法律法規(guī)等，有關金融電子化的法律方面知識將會在本書第十四章有所說明。網絡信息安全已成為影響到國家利益而亟待解決的重大問題。保密性通常是通過加密技術來隱藏數(shù)據(jù)而實現(xiàn)的，非法用戶通過某種手段得到了信息只是一堆看不明的亂碼而不能讀懂，有關信息的加密流程將會在下面介紹到。信息的不可否認性也稱為不可抵賴性，在網絡信息交互過程中，所有參與者都不可能否認或抵賴曾經做過的操作和交易，利用信息源證據(jù)可以防止信息發(fā)送方否認已發(fā)送的信息，而數(shù)字簽名技術是解決信息不可否認性的手段之一。但是由于存在多種不安全因素，信息傳送可能會出現(xiàn)下圖所示的情況。如犯罪分子利用所掌握的客戶的資料，假冒成合法人進行交易詐騙；截取是指不合法的人獲得對資源的訪問權。 （1）數(shù)據(jù)庫安全數(shù)據(jù)庫是所有計算機應用系統(tǒng)的核心，其存入著重要的數(shù)據(jù)信息，一旦企業(yè)的數(shù)據(jù)庫遭到修改或破壞，會使與這些數(shù)據(jù)信息有關的企業(yè)和客戶受到嚴重的損害，引發(fā)極嚴重的后果，因此必須確保數(shù)據(jù)庫中的數(shù)據(jù)安全、可靠、完整、正確、有效。系統(tǒng)處理安全是在計算機系統(tǒng)中存取控制措施進行逐級層層設定，如下圖所示。 圖9－3 數(shù)據(jù)庫數(shù)據(jù)的存取控制訪問控制是保障數(shù)據(jù)庫安全的基本技術，主要包括用戶的識別與鑒定和存取控制與授權這兩種手段。用戶只能看到他有權看到的數(shù)據(jù)，但不能看到數(shù)據(jù)庫中與他無關的其他數(shù)據(jù)。系統(tǒng)在盡力防止各種故障發(fā)生的同時，也要在出現(xiàn)故障后能快速使數(shù)據(jù)庫恢復正常狀態(tài)。為此系統(tǒng)必須要維護日志文件，撤銷事務時可回溯跟蹤日志文件中該事務的所有日志記錄，直到這個事務的開始，并且在跟蹤過程中遇到所找的日志記錄時，用記錄中的數(shù)據(jù)項的舊值代替新值，并在日志文件中去掉該日志記錄。（2）防火墻技術如下圖所示防火墻是在內部局域網和公網如Internet間設置的一道屏障，實際上是一種隔離技術，下圖則是防火墻的應用原理圖。而防火墻的主要類型有：數(shù)據(jù)包過濾型、應用網關型和代理服務器型防火墻。由于在網絡中，提供某些特定服務的服務器一般都有固定的端口，所以數(shù)據(jù)包過濾器只需控制該端口就控制了服務。它是針對特別的網絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議使用指定的數(shù)據(jù)過濾邏輯,并能在對數(shù)據(jù)包過濾同時進行分析、登記、和統(tǒng)計，再形成相關的報告。③代理服務型防火墻。同時,代理服務還可用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等功能，當發(fā)現(xiàn)被攻擊時會向網絡管理員了出警報，并保留攻擊痕跡。防治病毒技術可分為病毒預防、病毒檢測技術及病毒清除技術。目前對已知病毒預防采用的是特征判定技術或靜態(tài)判定技術，而對未知病毒預防則是一種動態(tài)的行為規(guī)則判定技術。這種清除病毒技術往往是被動的、滯后的。如對于公用目錄中的系統(tǒng)文件和軟件，應只設置只讀屬性，而系統(tǒng)程序所在的目錄不要授予修改權限，這樣則可使病毒無法對系統(tǒng)程序實施感染的寄生，所以其他用戶也不會感染到病毒。③工作站防毒芯片，這種方法是將防治病毒功能集成于一芯片上，將其安裝于網絡工作站上，則可經常性地保護工作站及其通向服務器的途徑。目前，常見的國內查殺病毒工具有金山毒霸、瑞星殺毒軟件、江民殺毒軟件、熊貓衛(wèi)士等，國外的知名查殺病毒有卡巴斯基（Kaspersky AntiVirus）、諾頓（Norton）等。對稱密鑰加密技術，對稱密鑰加密就是加密和解密都使用同一把私有密鑰，所以此信息的發(fā)送方和接收方須共享這個密鑰。 圖9－5 對稱密鑰加密傳輸流程用此種加密方式特點是速度快效率高，可用于大批數(shù)據(jù)的加密。整個利用非對稱密鑰對信息加解密并傳輸?shù)倪^程如下圖所示： 圖9－6 非對稱密鑰加密傳輸流程在這一過程中，只有真正的接收方才能得到信息明文，因為私鑰只在接收方的手中，任何擁有接收方的公開密鑰的用戶都可以安全地向接收方發(fā)送信息，使用戶量增大的同時也減少了加密時的麻煩。但無論是何種先進的加密方法都是在這兩種方法的基礎上發(fā)展來的。面對不斷嚴重的電子交易安全問題，有什么安全措施可以確保網絡交易的安全呢？可以通過建立信用管理系統(tǒng)（本書的第十一章有所介紹）、用戶身份的識別、安全認證和安全協(xié)議等技術來保證電子交易的安全。認證中心CA（Certificate Authority）就是承擔網絡安全電子交易的認證服務，它能簽發(fā)數(shù)字證書，并能確認用戶身份的第三方認證服務機構。在交易過程中，網上交易的客戶向CA中心申請CA證書時，要提交能證實自己在現(xiàn)實生活中真實身份的證件，經CA中心驗證后再頒發(fā)證書。在做交易時，我們只要查閱對方是否擁有一個由CA中心簽發(fā)的包含個人身份的證書,就能夠證實對方在網絡上的身份是否合法。同時在CA認證中，為更能確保身份的真實和交易的安全，會符上數(shù)字簽名和時間戳，時間截是用來證明信息的收發(fā)時間，當打上時間戳時就是將一個可信賴的日期與數(shù)據(jù)綁定在一起。SSL協(xié)議是目前在電子商務中應用最為廣泛的安全協(xié)議之一。另一方面，所有通過SSL連接發(fā)送的數(shù)據(jù)都被一種檢測篡改機制所保護，這種機制可自動地判定傳輸中的數(shù)據(jù)是否已被更改過，保證了數(shù)據(jù)的完整性。安全電子交易協(xié)議，1996年2月1日，由MasterCard與Visa兩大國妹信用卡組織會同一些計算機供應商，共同開發(fā)了安全電子交易（Secure Electronic Transaction SET）協(xié)議，簡稱為SET協(xié)議。SET采取了把對稱密鑰和非對稱密鑰有效結合在一起的加密體制，從而保護在開放網絡上傳輸?shù)膫€人信息，保證交易信息的隱蔽性。支付請求得到發(fā)卡銀行的授權后，返回授權指令給商家；（6）商家發(fā)送訂單確認信息給持卡客戶，持卡客戶端軟件可記錄交易日志，以備將來查詢之用；（7）商家向客戶提供所要求的服務同時通知收單銀行將款項進行轉賬。所以，也可簡單地認為，SET規(guī)范充分發(fā)揮了認證中心的作用，以維護在任何開放網絡上的電子商務參與者所提供信息的真實性和保密性。這種錯覺使他們忽略了所用操作系統(tǒng)、網絡系統(tǒng)、應用系統(tǒng)等軟件的漏洞，因而缺乏細致的內部網絡管理規(guī)定。安全管理應對策略遵循安全標準，我國制定了一些有關信息安全的行業(yè)標準的部門標準，如金融標準化委員會制定了有關銀行金融業(yè)的標準，公安部執(zhí)行《中華人民共和國計算機信息系統(tǒng)安全保護條例》制定了相關的部頒標準，這些都是我國信息安全的重要標準。集中掌握各個安全系統(tǒng)的動作情況，收集安全審計信息，進行分析處理。同時國家要完善相關的法律法規(guī)，讓保障信息交易安全有法可依有法可治。本節(jié)則會介紹關于安全技術和安全管理方面知識。鍵入“網絡銀行盜竊”，百度里可以找到相關網頁約21900篇，而Google搜索結果則為634000篇。網絡銀行系統(tǒng)的危險性不但直接關系到金融機構的生存和發(fā)展，嚴重時更會給整個國民經濟的發(fā)展帶來巨大的阻礙。無論是其軟件還是硬件的安全性能都達到了一定的高度。還會存在有各種各樣的客觀環(huán)境不安全因素，這些都是造成運用網絡技術作案的客觀條件。因此每個國家都十分重視加強信息網絡的安全。抗攻擊能力要求很強因網絡銀行中的數(shù)據(jù)傳輸直接與資金的周轉相聯(lián)系，一定是不法分子的重要攻擊目標，且大多數(shù)的不法分子有著較高的技術。所以對網絡銀行的安全性要求很高。高科技的攻擊和反攻擊，將會相互作用兩者都會不斷提高。如水災、火災、地震、颶風等自然災害，都有可能破壞網絡銀行的系統(tǒng)。（2）環(huán)境因素網絡銀行的安全也會受到周圍工作環(huán)境的影響。而環(huán)境溫度和濕度對計算機的操作會有明顯的影響，因計算機對溫度比較敏感，如果溫度過高于計算機的上限溫度值，運算結果可能時對時錯，以致計算機不能正常運行，如出現(xiàn)死機、數(shù)據(jù)丟失、操作系統(tǒng)變慢等現(xiàn)象。一般情況下機房的溫度應保持在20℃～25℃，最大溫度變化率為10℃/h。當客戶與網絡銀行之間發(fā)生法律糾紛時，給網絡銀行的安全帶來不確定因素。如銀行交易員、信貸員或其他工作人員越權或從事職業(yè)道德不允許的或風險過高的業(yè)務。除了操作系統(tǒng)外，防火墻、數(shù)據(jù)庫管理系統(tǒng)、網絡管理系統(tǒng)和應用系統(tǒng)也會存在安全漏洞。（6）誤操作因素操作失誤一般情況下為偶然事故，如不小心修改或刪除某些文件。而病毒層出不窮，這些都攻擊著全球的計算機系統(tǒng)，嚴重時可以給全球造成巨額的損失。據(jù)美國統(tǒng)計顯示，早在2000年銀行就有6000多萬美元在網絡上被盜竊，每年企圖通過網絡盜竊的金額高達幾十億上百億美元，而搶劫銀行平均作案值只有7500元，“網絡盜竊”作案技術性高，手段隱蔽，通常只有2%的網絡盜竊者被抓獲。另據(jù)報道說，中國黑客于2002年7月洗劫了新加坡DBS網上銀行。又如，2001年9月，“尼姆達”蠕蟲病毒就對計算機網絡造成了極大的影響，由于其