【正文】 ................................................................................5 配置入侵檢測模塊 ..........................................................................................................6 配置安全審計系統(tǒng) ..........................................................................................................7 網(wǎng)上帳戶查詢 ...........................................................................................................................7 身份驗證 ..........................................................................................................................8 數(shù)據(jù)加密 ..........................................................................................................................9 網(wǎng)上支付和轉(zhuǎn)賬 .....................................................................................................................10 數(shù)據(jù)完整性 ....................................................................................................................11 不可否認性 ....................................................................................................................11第 3 章 方案設(shè)計原則 .........................................................................................................................12第 4 章 網(wǎng)銀系統(tǒng)安全防護方案 .........................................................................................................13 邊界訪問控制 .........................................................................................................................13 病毒防護 .................................................................................................................................14 防拒絕服務(wù)（DOS）攻擊 .....................................................................................................16 入侵檢測與保護 .....................................................................................................................16 網(wǎng)絡(luò)行為審計 .........................................................................................................................18 網(wǎng)頁防篡改 .............................................................................................................................20網(wǎng)上銀行安全解決方案2第 1 章 概述由于 Inter 無所不在，客戶只要擁有帳號和密碼便能在世界各地與Inter 聯(lián)網(wǎng)，處理個人交易。網(wǎng)上銀行系統(tǒng)在蘊藏著無限商機的同時，也帶來了風(fēng)險，對于開設(shè)網(wǎng)上銀行服務(wù)的提供者來說，當務(wù)之急就是要解決安全問題。信息安全包括四個功能：數(shù)據(jù)保密，身份認證，數(shù)據(jù)完整性和防止抵賴。目前在 Inter 上比較多的黑客事件都是篡改公共Web 站點的內(nèi)容，制造虛假信息或涂改頁面。Web 站點內(nèi)容被黑客篡改，是這些黑客通過主動攻擊實現(xiàn)的。很難定義怎樣的系統(tǒng)管理才是完善的，因為完善的系統(tǒng)管理是各方面的總和，例如對路由器以及其他主機定期更改密碼，采用不規(guī)則密碼，關(guān)閉不必要的服務(wù)，關(guān)閉防火墻任何不使用的端口等。防止已授權(quán)或未授權(quán)的用戶相互存取對方的重要信息，經(jīng)常性的文件系統(tǒng)查帳，su 登錄和報告以及良好的用戶保密意識都是防止泄密的手段。同時安裝某些監(jiān)控軟件也是有效的手段之一。同時，周期性的維護系統(tǒng)，包括備份和安裝補丁程序、訂閱安全電子新聞。停止所有與業(yè)務(wù)無關(guān)的服務(wù)器進程，如 Tel、SMTP 和 FTP 等服務(wù)器守護進程。專人專權(quán)　 由專人負責(zé)系統(tǒng)安全和系統(tǒng)維護，減少不必要的用戶管理權(quán)限，嚴格控制非系統(tǒng)管理員的權(quán)限和系統(tǒng)管理員的數(shù)量。首先防火墻將 Inter 和 Intra 以及非軍事區(qū)分離。網(wǎng)上銀行安全解決方案6 增加防火墻防護在網(wǎng)絡(luò)系統(tǒng)中，防火墻是一種裝置，可使內(nèi)部網(wǎng)絡(luò)不受公共部分（整個Inter）的影響。防火墻有兩種：1. IP 過濾防火墻IP 過濾防火墻在數(shù)據(jù)包一層工作。過濾防火墻是絕對性的過濾系統(tǒng)。在有代理服務(wù)器的系統(tǒng)中，這項工作是完全自動的。 配置入侵檢測模塊除了防火墻之外，配置入侵檢測模塊也是一個重要的安全措施。自然，這些攻擊數(shù)據(jù)對于查詢系統(tǒng)來說，可能是合法的查詢參數(shù)，它的特點是在同一個攻擊源同時發(fā)出大批量查詢請求。檢測到異常情況之后，檢測模塊能夠自動予以記錄和預(yù)警。良好的安全審計能力是分析、記錄與跟蹤銀行系統(tǒng)安全狀況的必要條件。網(wǎng)上賬戶查詢的信息安全功能應(yīng)包括兩個方面：身份認證和數(shù)據(jù)保密。，口令猜 測是黑客使用最多的攻 擊手段，即使使用蠻力攻擊法，攻破 8 位的數(shù)字口令也只需很短的時間。因此，傳統(tǒng)的口令驗證難以成為網(wǎng)上銀行業(yè)務(wù)的唯一身份認證技術(shù)。它不但可以解決身份認證，也解決了數(shù)據(jù)保密問題，所以目前大部分網(wǎng)上應(yīng)用，包括網(wǎng)上銀行都采用 SSL 技術(shù)來實現(xiàn)身份認證。采用數(shù)字證書的安全體現(xiàn)在私鑰的安全，只要私鑰不被竊取，數(shù)字證書就是安全的，而通過蠻力攻擊法攻破私鑰的可能性是不存在的。網(wǎng)上銀行系統(tǒng)首先驗證該用戶的數(shù)字證書是否為合法證書。圖 2 顯示了企業(yè)用戶身份驗證的完整過程。除了采用數(shù)字證書身份認證方案以外，SSL 的另一個優(yōu)點是在建立握手以后，對客戶和服務(wù)器之間的所有數(shù)據(jù)均采用對稱算法進行加密，對稱算法的加密效率比較高，所以對性能不會造成很大的影響。證書提交 CA服務(wù)器，檢驗是否已經(jīng)作廢3。所以正確的方案應(yīng)該采用數(shù)字簽名機制，由用戶使用自己的數(shù)字證書