【正文】 行解鎖。 高權(quán)限集用戶，可使用用戶登錄名+數(shù)字證書+靜態(tài)密碼+數(shù)圖形識(shí)別碼方式登錄。低安全性。對金融類、管理類的交易以及應(yīng)用系統(tǒng)登錄交易需要完整地記錄用戶的訪問過程，記錄的關(guān)鍵元素包括：用戶登錄名、登錄IP、交易日期及時(shí)間、交易名稱、交易相關(guān)數(shù)據(jù)等，對有授權(quán)流程的交易要求完整記錄授權(quán)的經(jīng)過，授權(quán)記錄與交易記錄分開存放。在應(yīng)用系統(tǒng)中通常要求對所有管理類與金融類的交易進(jìn)行數(shù)字簽名，以防客戶事后對交易或交易數(shù)據(jù)的抵賴。預(yù)約一筆在周三轉(zhuǎn)賬的預(yù)約轉(zhuǎn)賬有可能是周一被錄入的，用戶在錄入后，預(yù)約轉(zhuǎn)賬的數(shù)據(jù)將被網(wǎng)銀系統(tǒng)保存直到周三這筆轉(zhuǎn)賬才會(huì)真正發(fā)生。 需要授權(quán)的交易。B． 如何保證提交的數(shù)據(jù)就是用戶當(dāng)初錄入的數(shù)據(jù)。比如說：當(dāng)某個(gè)用戶在10秒內(nèi)提交了兩筆相同的轉(zhuǎn)賬業(yè)務(wù)，則系統(tǒng)必須對此進(jìn)行控制；另一方面，當(dāng)用戶在第一筆轉(zhuǎn)賬業(yè)務(wù)完成后，再作另一筆數(shù)據(jù)相同的轉(zhuǎn)賬時(shí)，則系統(tǒng)不能對此進(jìn)行誤控制。在B/S結(jié)構(gòu)中，從客戶端來看，服務(wù)器端對客戶端的響應(yīng)總有一定的延遲，這在某些交易處理上體現(xiàn)的更為明顯，特別是那些涉及多個(gè)系統(tǒng)交互、遠(yuǎn)程訪問、數(shù)據(jù)庫全表掃描、頁面數(shù)據(jù)簽名等交易，這種延遲通常都會(huì)在5至7秒以上。訪問控制策略可以劃分為自主訪問控制、強(qiáng)制訪問控制和基于角色的訪問控制三種。將客戶端用戶身份認(rèn)證與賬戶身份認(rèn)證分開進(jìn)行，在用戶登錄系統(tǒng)時(shí)，采用單點(diǎn)用戶身份認(rèn)證，在用戶提交更新類、管理類交易請求時(shí)，再次對用戶的操作進(jìn)行認(rèn)證或?qū)τ脩羯矸葸M(jìn)行二次認(rèn)證，以確保用戶信息安全。 身份認(rèn)證需求身份認(rèn)證就是確定某個(gè)個(gè)體身份的過程。 數(shù)據(jù)可用性需求數(shù)據(jù)可用性要求數(shù)據(jù)對于授權(quán)實(shí)體是有效、可用的，保證授權(quán)實(shí)體對數(shù)據(jù)的合法存取權(quán)利。這里的數(shù)據(jù)加密主要是為了防止交易數(shù)據(jù)被銀行內(nèi)部人士截取利用，具體通訊加密方案參照應(yīng)用系統(tǒng)的特定需求。一次性密碼由用戶的智能卡、令牌卡產(chǎn)生，或由動(dòng)態(tài)密碼系統(tǒng)產(chǎn)生通過短信方式發(fā)送到用戶注冊的手機(jī)上。柜面交易密碼常用于POS系統(tǒng)支付時(shí)、ATM取款時(shí)、憑證柜面取款時(shí)，柜面交易密碼一個(gè)明顯的特征是它目前只能是六位的數(shù)字，這是由于目前柜面密碼輸入設(shè)備的限制而造成的。建立多重密碼機(jī)制，將登錄密碼與網(wǎng)銀轉(zhuǎn)賬密碼分開管理，有利于加強(qiáng)密碼的安全性。在應(yīng)用系統(tǒng)中，數(shù)據(jù)保密性需求通常主要體現(xiàn)在以下幾個(gè)方面：A．客戶端與系統(tǒng)交互時(shí)輸入的各類密碼：包括系統(tǒng)登錄密碼、轉(zhuǎn)賬密碼、憑證查詢密碼、憑證交易密碼等必須加密傳輸及存放，這些密碼在應(yīng)用系統(tǒng)中只能以密文的方式存在，其明文形式能且只能由其合法主體能夠識(shí)別。第二章 系統(tǒng)安全的需求分析本章從數(shù)據(jù)安全和業(yè)務(wù)邏輯安全兩個(gè)角度對應(yīng)用系統(tǒng)的安全進(jìn)行需求分析，主要包括保密性需求、完整性需求、可用性需求三部分；隨后對業(yè)務(wù)邏輯安全需求進(jìn)行了分析，包括身份認(rèn)證、訪問控制、交易重復(fù)提交控制、異步交易處理、交易數(shù)據(jù)不可否認(rèn)性、監(jiān)控與審計(jì)等幾個(gè)方面；最后還分析了系統(tǒng)中一些其它的安全需求。以網(wǎng)銀系統(tǒng)為例，在網(wǎng)銀系統(tǒng)中，通常存有四種密碼：系統(tǒng)登錄密碼、網(wǎng)銀轉(zhuǎn)賬密碼、柜面交易密碼及一次性密碼。由于用戶在使用網(wǎng)銀時(shí)每次都必須先提供登錄密碼，故登錄密碼暴露的機(jī)會(huì)較多，安全性相對較弱；但登錄網(wǎng)銀的用戶并不是每次都會(huì)操作賬戶資金的，所以專門設(shè)定網(wǎng)銀轉(zhuǎn)賬密碼可加強(qiáng)賬戶的安全性。柜面交易密碼與上述的網(wǎng)銀轉(zhuǎn)賬密碼的區(qū)別在于：網(wǎng)銀轉(zhuǎn)賬密碼和系統(tǒng)登錄密碼都產(chǎn)生于網(wǎng)銀系統(tǒng)，儲(chǔ)存在網(wǎng)銀系統(tǒng)中，僅限網(wǎng)銀系統(tǒng)中認(rèn)證使用；而柜面交易密碼產(chǎn)生于銀行柜臺(tái)，可以在外圍渠道如ATM、電話銀行、自助終端上修改，它保存在銀行核心系統(tǒng)中，供外圍各個(gè)渠道系統(tǒng)共同使用。一次性密碼的作用與網(wǎng)銀轉(zhuǎn)賬密碼相同，適用的場合也相同。 數(shù)據(jù)完整性需求數(shù)據(jù)完整性要求防止非授權(quán)實(shí)體對數(shù)據(jù)進(jìn)行非法修改。對數(shù)據(jù)可用性最典型的攻擊就是拒絕式攻擊（DoS）和分布式拒絕攻擊，兩者都是通過大量并發(fā)的惡意請求來占用系統(tǒng)資源，致使合法用戶無法正常訪問目標(biāo)系統(tǒng)，如SYN Flood攻擊等，將會(huì)直接導(dǎo)致其他用戶無法登錄系統(tǒng)。系統(tǒng)通過身份認(rèn)證過程以識(shí)別個(gè)體的用戶身份，確保個(gè)體為所宣稱的身份。 訪問控制需求訪問控制規(guī)定了主體對客體訪問的限制，并在身份識(shí)別的基礎(chǔ)上，根據(jù)身份對提出資源訪問的請求加以控制。 交易重復(fù)提交控制需求交易重復(fù)提交就是同一個(gè)交易被多次提交給應(yīng)用系統(tǒng)。這時(shí)用戶有可能在頁面已提交的情況下，再次點(diǎn)擊了提交按鈕，這時(shí)將會(huì)造成交易被重復(fù)提交。這里判斷的依據(jù)就是交易重復(fù)提交的控制因子a，當(dāng)交易提交的間隔小于a時(shí)，系統(tǒng)認(rèn)為這是重復(fù)提交，提交間隔大于a的則不作處理，控制因子的大小由應(yīng)用系統(tǒng)業(yè)務(wù)人員決定，系統(tǒng)應(yīng)可對其進(jìn)行配置化管理。C． 如何記錄交易在兩階段的日志狀態(tài)。出于業(yè)務(wù)管理和業(yè)務(wù)安全方面的考慮，大部分管理類和金融類的交易都需要經(jīng)過一定的授權(quán)流程后方能被提交。應(yīng)用系統(tǒng)必須定義簡單、清晰、易維護(hù)的錄入與提交關(guān)系模型，保證被保存的錄入數(shù)據(jù)不會(huì)被非法篡改，同時(shí)要求異步交易的日志狀態(tài)是明確的，不應(yīng)出現(xiàn)錄入與提交相矛盾的日志狀態(tài)。應(yīng)用系統(tǒng)需同時(shí)保存客戶錄入的原始數(shù)據(jù)和簽名后的數(shù)據(jù)，保存期限依業(yè)務(wù)部門的具體要求而定。 其它安全需求 登錄控制需求登錄通常是應(yīng)用系統(tǒng)的關(guān)鍵交易，系統(tǒng)通過登錄交易對用戶身份進(jìn)行認(rèn)證。178。178。這里登錄失敗的次數(shù)和IP鎖定時(shí)長根據(jù)業(yè)務(wù)需求說明應(yīng)由配置文件進(jìn)行設(shè)定。 會(huì)話控制需求通過應(yīng)用服務(wù)器自身的會(huì)話管理或應(yīng)用程序的會(huì)話管理都可以控制會(huì)話的時(shí)長設(shè)定，設(shè)置過久的會(huì)話將給客戶端帶來安全風(fēng)險(xiǎn)，而設(shè)置過短則影響用戶的正常使用。資源權(quán)限由開戶時(shí)指定，為加強(qiáng)安全性，權(quán)限分配可通過落地處理開通。 密碼技術(shù)密碼技術(shù)是保護(hù)信息系統(tǒng)安全的基礎(chǔ)技術(shù)之一，密碼技術(shù)可以保證數(shù)據(jù)的保密性和完整性，同時(shí)它還具有身份認(rèn)證和數(shù)字簽名的功能。無密鑰密碼主要依靠加密算法提供保密性，在應(yīng)用系統(tǒng)中這種密碼很少用到，主要使用還是有密鑰的密碼體制，在有密鑰的密碼體制中，密文的保密性依賴于密鑰而不依賴于算法，算法可以公開。應(yīng)用系統(tǒng)中應(yīng)用最廣泛的數(shù)據(jù)摘要算法主要有MD5和SHA兩種，MD5輸出壓縮值為128bits，SHA輸出壓縮值為160bits。數(shù)字簽名具有驗(yàn)證數(shù)據(jù)完整性和信息來源不可否認(rèn)性的功能，這正是PKI體系提供的核心功能。比較Digest1與Digest2，如果兩者一樣則證明：1．信息OriginalMsg及其數(shù)字簽名DigitalSignature是真實(shí)的，確實(shí)來自于私鑰Keyprivate的持有方。而報(bào)文的保密性可以通過對整個(gè)報(bào)文及其識(shí)別碼進(jìn)行加密處理來完成，實(shí)際應(yīng)用中識(shí)別碼通常可以通過單向散列函數(shù)對原始報(bào)文作數(shù)據(jù)摘要得到，然后對原始報(bào)文和數(shù)據(jù)摘要作對稱加密，這樣既保證了報(bào)文的完整性，同時(shí)也保證了報(bào)文的保密性，這里對稱加密算法的密鑰分發(fā)是主要問題。PKI體系很好的解決了網(wǎng)上銀行的大部分安全需求，對網(wǎng)上銀行的數(shù)據(jù)安全和業(yè)務(wù)邏輯安全提供了有力的支持。PCA制定自身的具體政策，包括密鑰的產(chǎn)生、密鑰的長度、證書的有效期規(guī)定及CRL的處理等，同時(shí)PCA為其下屬CA簽發(fā)公鑰證書。在用戶向RA提交數(shù)字證書申請后，RA負(fù)責(zé)對申請者的身份進(jìn)行認(rèn)證，認(rèn)證通過后RA將向CA轉(zhuǎn)發(fā)證書申請。證書的獲取。廢止列表CRL的獲取與查詢。證書恢復(fù)。這時(shí)用戶需更新證書，CA將會(huì)為用戶簽發(fā)新的數(shù)字證書。一次性口令只能使用一次，不可重復(fù)使用。窺探：用戶在輸入可重復(fù)使用的口令時(shí)必然要借助某種輸入設(shè)備，如鍵盤、鼠標(biāo)、手寫筆等，這時(shí)容易被他人或其它錄影設(shè)備窺探到輸入內(nèi)容，也有可能被木馬程序等記錄了擊鍵事件而分析出口令。一次口令并不要求用戶記住多個(gè)口令，所以也不會(huì)增加用戶