【正文】 ................................................................................5 配置入侵檢測(cè)模塊 ..........................................................................................................6 配置安全審計(jì)系統(tǒng) ..........................................................................................................7 網(wǎng)上帳戶查詢 ...........................................................................................................................7 身份驗(yàn)證 ..........................................................................................................................8 數(shù)據(jù)加密 ..........................................................................................................................9 網(wǎng)上支付和轉(zhuǎn)賬 .....................................................................................................................10 數(shù)據(jù)完整性 ....................................................................................................................11 不可否認(rèn)性 ....................................................................................................................11第 3 章 方案設(shè)計(jì)原則 .........................................................................................................................12第 4 章 網(wǎng)銀系統(tǒng)安全防護(hù)方案 .........................................................................................................13 邊界訪問(wèn)控制 .........................................................................................................................13 病毒防護(hù) .................................................................................................................................14 防拒絕服務(wù)（DOS）攻擊 .....................................................................................................16 入侵檢測(cè)與保護(hù) .....................................................................................................................16 網(wǎng)絡(luò)行為審計(jì) .........................................................................................................................18 網(wǎng)頁(yè)防篡改 .............................................................................................................................20網(wǎng)上銀行安全解決方案2第 1 章 概述由于 Inter 無(wú)所不在，客戶只要擁有帳號(hào)和密碼便能在世界各地與Inter 聯(lián)網(wǎng)，處理個(gè)人交易。網(wǎng)上銀行系統(tǒng)在蘊(yùn)藏著無(wú)限商機(jī)的同時(shí)，也帶來(lái)了風(fēng)險(xiǎn)，對(duì)于開設(shè)網(wǎng)上銀行服務(wù)的提供者來(lái)說(shuō)，當(dāng)務(wù)之急就是要解決安全問(wèn)題。信息安全包括四個(gè)功能：數(shù)據(jù)保密，身份認(rèn)證，數(shù)據(jù)完整性和防止抵賴。目前在 Inter 上比較多的黑客事件都是篡改公共Web 站點(diǎn)的內(nèi)容，制造虛假信息或涂改頁(yè)面。Web 站點(diǎn)內(nèi)容被黑客篡改，是這些黑客通過(guò)主動(dòng)攻擊實(shí)現(xiàn)的。很難定義怎樣的系統(tǒng)管理才是完善的，因?yàn)橥晟频南到y(tǒng)管理是各方面的總和，例如對(duì)路由器以及其他主機(jī)定期更改密碼，采用不規(guī)則密碼，關(guān)閉不必要的服務(wù)，關(guān)閉防火墻任何不使用的端口等。防止已授權(quán)或未授權(quán)的用戶相互存取對(duì)方的重要信息，經(jīng)常性的文件系統(tǒng)查帳，su 登錄和報(bào)告以及良好的用戶保密意識(shí)都是防止泄密的手段。同時(shí)安裝某些監(jiān)控軟件也是有效的手段之一。同時(shí)，周期性的維護(hù)系統(tǒng)，包括備份和安裝補(bǔ)丁程序、訂閱安全電子新聞。停止所有與業(yè)務(wù)無(wú)關(guān)的服務(wù)器進(jìn)程，如 Tel、SMTP 和 FTP 等服務(wù)器守護(hù)進(jìn)程。專人專權(quán)　 由專人負(fù)責(zé)系統(tǒng)安全和系統(tǒng)維護(hù)，減少不必要的用戶管理權(quán)限，嚴(yán)格控制非系統(tǒng)管理員的權(quán)限和系統(tǒng)管理員的數(shù)量。首先防火墻將 Inter 和 Intra 以及非軍事區(qū)分離。網(wǎng)上銀行安全解決方案6 增加防火墻防護(hù)在網(wǎng)絡(luò)系統(tǒng)中，防火墻是一種裝置，可使內(nèi)部網(wǎng)絡(luò)不受公共部分（整個(gè)Inter）的影響。防火墻有兩種：1. IP 過(guò)濾防火墻IP 過(guò)濾防火墻在數(shù)據(jù)包一層工作。過(guò)濾防火墻是絕對(duì)性的過(guò)濾系統(tǒng)。在有代理服務(wù)器的系統(tǒng)中，這項(xiàng)工作是完全自動(dòng)的。 配置入侵檢測(cè)模塊除了防火墻之外，配置入侵檢測(cè)模塊也是一個(gè)重要的安全措施。自然，這些攻擊數(shù)據(jù)對(duì)于查詢系統(tǒng)來(lái)說(shuō)，可能是合法的查詢參數(shù)，它的特點(diǎn)是在同一個(gè)攻擊源同時(shí)發(fā)出大批量查詢請(qǐng)求。檢測(cè)到異常情況之后，檢測(cè)模塊能夠自動(dòng)予以記錄和預(yù)警。良好的安全審計(jì)能力是分析、記錄與跟蹤銀行系統(tǒng)安全狀況的必要條件。網(wǎng)上賬戶查詢的信息安全功能應(yīng)包括兩個(gè)方面：身份認(rèn)證和數(shù)據(jù)保密。，口令猜 測(cè)是黑客使用最多的攻 擊手段，即使使用蠻力攻擊法，攻破 8 位的數(shù)字口令也只需很短的時(shí)間。因此，傳統(tǒng)的口令驗(yàn)證難以成為網(wǎng)上銀行業(yè)務(wù)的唯一身份認(rèn)證技術(shù)。它不但可以解決身份認(rèn)證，也解決了數(shù)據(jù)保密問(wèn)題，所以目前大部分網(wǎng)上應(yīng)用，包括網(wǎng)上銀行都采用 SSL 技術(shù)來(lái)實(shí)現(xiàn)身份認(rèn)證。采用數(shù)字證書的安全體現(xiàn)在私鑰的安全，只要私鑰不被竊取，數(shù)字證書就是安全的，而通過(guò)蠻力攻擊法攻破私鑰的可能性是不存在的。網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶的數(shù)字證書是否為合法證書。圖 2 顯示了企業(yè)用戶身份驗(yàn)證的完整過(guò)程。除了采用數(shù)字證書身份認(rèn)證方案以外，SSL 的另一個(gè)優(yōu)點(diǎn)是在建立握手以后，對(duì)客戶和服務(wù)器之間的所有數(shù)據(jù)均采用對(duì)稱算法進(jìn)行加密，對(duì)稱算法的加密效率比較高，所以對(duì)性能不會(huì)造成很大的影響。證書提交 CA服務(wù)器，檢驗(yàn)是否已經(jīng)作廢3。所以正確的方案應(yīng)該采用數(shù)字簽名機(jī)制，由用戶使用自己的數(shù)字證書