【正文】 包括對管理員用戶的帳號增加，刪除，權限和口令的設置。對于支持客戶數(shù)字證書的服務器如Netscape Enterprise Server 和微軟 IIS，身份認證系統(tǒng)通過獲取用戶的個人數(shù)字證書來進行身份驗證，對于不支持客戶數(shù)字證書的服務器，則通過其自身的用戶口令機制來進行身份驗證。個人數(shù)字證書查詢提供對數(shù)字證書的下載功能，其功能類似于電話號碼黃頁。個人數(shù)字證書申請將產(chǎn)生用戶的個人數(shù)字證書，身份認證系統(tǒng)收到用戶的證書請求后，可以自動或由管理員手工生成一張用戶個人數(shù)字證書，并將這些信息存放到數(shù)據(jù)庫和目錄服務器中以備查詢。對于網(wǎng)上銀行系統(tǒng)，個人數(shù)字證書的使用對用戶來說只需要在第一次使用時進行一些操作。用戶將提供其姓名，電子郵件地址等信息。如果有必要用戶還可以修改部分注冊信息。身份認證基本服務包括根證書下載和身份認證服務器證書下載。22 / 31證書申請以后，在私鑰受到攻擊的時候，用戶還需要廢除或更新自己的證書。實際上，大多數(shù)情況下 CA中心的方案并不是十分有意義，只有當某個用戶持有某家銀行的證書并且需要查詢另一家銀行的賬戶時才有意義，但目前看來這種情形并不太可能發(fā)生。上海格爾軟件有限公司開發(fā)的企業(yè)證書認證系統(tǒng)是一個基于Inter/Intra的數(shù)字證書發(fā)行、管理系統(tǒng)。服務器安裝數(shù)字證書后，可以激活 SSL連接，此時客戶通過 Inter同服務器的信息交換都是以加密的方式進行，從而保護了信息的安全性，同時 web master為了保護自己的信息可以要求驗證客戶證書，這里的客戶證書就是前面講的個人數(shù)字證書，服務器通過對客戶證書的驗證來保護站點不被非法用戶侵入。數(shù)字證書是用于驗證信息傳輸各方身份的有效證明，同時也用于加密數(shù)據(jù)，防止抵賴和篡改。PKCS11 的實現(xiàn)與密鑰的存放媒質(zhì)無關，上海格爾公司開發(fā)的 PKCS11 模塊，在客戶端可以支持用 IC 卡存放密鑰和證書。有時候也把用戶的證書放在 IC 卡里。對于硬件加密則采用硬件加密機來實現(xiàn)。? 對分塊存放的密碼塊最好也要加密，這個加密密鑰不保存在任何存儲介質(zhì)里，只是存在人的腦子里。另一方面，我們可以實現(xiàn)使用硬件進行加密解密操作。這對某些應用提供了便利。格爾加密模塊還提供了 COM 接口的封裝，應用系統(tǒng)的開發(fā)者甚至可以用Java Applet，ASP，PHP 等腳本語言調(diào)用加密功能。以便 IC 卡網(wǎng)上交易系統(tǒng)的開發(fā)。但是對 PKCS11 規(guī)范作了功能上的擴展，增加了 ASN 編碼和解碼的功能，以及一些協(xié)議的處理，例如 OCSP，IPSec 協(xié)議等。 PKI 加密模塊PKCS11 是 RSA 公司提出的基于公鑰體制的加密模塊標準，該標準定義了一個提供保存加密信息和執(zhí)行加解密操作的標準應用程序接口（API） （稱為Cryptoki） 。PKI 加密模塊不僅支持 RSA，3DES ，MC5 等常用標準加密算法，而且支持由上海格爾軟件公司自行研制的元胞加密算法，該算法是一種流加密算法，用作對稱加密或者計算摘要，具有很高的強度和運算速度。 PKI 加密模塊加密模塊的主要功能是進行密鑰運算和密鑰管理，大部分密碼產(chǎn)品都是在某個加密模塊的基礎上開發(fā)的，例如微軟公司和網(wǎng)景公司的瀏覽器和 Web 服務器都是基于加密模塊開發(fā)的。SSL 客戶端代理可以和所有符合 SSL 協(xié)議的 SSL 服務器產(chǎn)品兼容，SSL 服務器端也可以和 Inter Explore 與網(wǎng)景公司的瀏覽器兼容。關于 PKCS 加密模塊詳見下一節(jié)。對于用戶來說，代理客戶端能夠真正提高瀏覽器建立 SSL 連接的安全強度，不需要任何配置工作，就象安裝瀏覽器的補丁程序一樣，絲毫感覺不到其對某個網(wǎng)站有特殊的功能或限制。SSL 代理除了提高了傳輸密鑰的位數(shù)，同時也提高了證書非對稱密鑰的位數(shù)，根據(jù)美國的出口限制，非對稱密鑰位數(shù)不能超過 512 位。在服務器端，代理服務器端則與低位數(shù)的 web server 運行在同一臺主機上，代理 web server 的高位數(shù)加密連接，其工作過程與代理客戶端十分類似。SSL 代理產(chǎn)品完全符合 SSL 標準，因此和瀏覽器，Web 服務器內(nèi)置的 SSL 功能都能完全兼容。4． 缺省的 CSP 和 PKCS11 模塊都不能支持 IC 卡，給用戶保存和管理密鑰增加了難度，也降低了安全性能。雖然美國國會已經(jīng)批準了 56 位密碼產(chǎn)品出口，但是簡體中文版的瀏覽器還是仍然只支持 40 位加密強度。例如，如果將服務器配置為要求最小 128 位加密強度的會話密鑰，則若要使連接安全，用戶必須使 Web 瀏覽器有能力處理具有 128 位會話密鑰的信息。 會話密鑰的復雜度，或強度，是和組成會話密鑰文件的二進制位數(shù)成正比的。 ? Web 瀏覽器生成會話密鑰，再用服務器的公共密鑰加密它。公共密鑰加密的工作方式如下： ? 用戶 Web 瀏覽器建立與 Web 服務器的安全 (HTTPS) 通訊鏈接。這意味著要危害鏈接的計算機破壞者只需要截取和偷竊此會話密鑰就可以了。建立安全鏈接后，Web 服務器和用戶 Web 瀏覽器都使用指定的會話密鑰來加密和解密信息。此會話密鑰的加密度，或強度，用位來表示?！SL 工作流程利用 SSL，服務器和用戶 Web 瀏覽器首先參與處理交換 – 需要證書和密鑰對 – 以決定安全通訊需要的加密等級。來自第三方身份認證機構的服務器證書提供用戶驗證 Web 站點的方法。此后，SSL 的作用是加密和解密要使用的應用程序協(xié)議的字節(jié)流（例如 HTTP 數(shù)據(jù)包） 。這種安全性協(xié)議被稱為安全套接字層－Security Socket Layer (SSL)，它為 TCP/IP 連接提供數(shù)據(jù)加密、服務器身份驗證和消息完整性驗證。由于 XML 在保存和傳輸數(shù)據(jù)標準化方面的優(yōu)越性，這項技術正在成為微軟和 SUN 公司競爭的焦點。因為 Java 具有較大的代表性，所以稱為Java 方式。2． 表單簽名技術：Netscape 公司發(fā)明的一種技術，在其瀏覽器中已經(jīng)支持，通過調(diào)用 Java 腳本實現(xiàn)對表單域內(nèi)容的簽名，這種方案雖然沒有方案 1 的缺點，但是其實現(xiàn)與瀏覽器相關。但是對于企業(yè)用戶和進行證券轉(zhuǎn)賬的個人用戶來說，轉(zhuǎn)賬金額大，風險大，指令必須附帶簽名數(shù)據(jù)，在簽名數(shù)據(jù)驗證通過以后才能真正進行支付或轉(zhuǎn)賬。將簽名數(shù)據(jù)作為業(yè)務數(shù)據(jù)的憑證，在業(yè)務成功后就開始保障不可否認性。這對于規(guī)范業(yè)務，避免法律糾紛起著很大的作用。SSL 由于對整個數(shù)據(jù)鏈路進行了加密，所以在一定程度上能夠保證完整性，但是公開網(wǎng)絡上的數(shù)據(jù)加密對完整性的保護只是局部的，一旦數(shù)據(jù)被解密后依然存在著被更改的可能。圖 2 企業(yè)用戶身份驗證示意圖網(wǎng)上支付和轉(zhuǎn)賬在查詢的基礎上進一步給用戶提供了方便，用戶可以在網(wǎng)上進行支付、轉(zhuǎn)賬從而達到交易的目的，就目前而言，國內(nèi)很多網(wǎng)上銀遞交口令的Web 服務器的用戶的表單的的銀行業(yè)務主機的CA 服務器的建立 SSL 握手的1．SSL 服務器代理驗證用戶證書本身的合法性2。9 / 31數(shù)據(jù)加密Web 應用數(shù)據(jù)加密的方案除了 SSL 以外，并沒有太多可供選擇的方案。當服務器通過 SSL 獲得用戶證書后，服務器應用程序還要到 CA 服務器檢索該證書是否在廢止證書列表之中。每個企業(yè)用戶應該申請一張數(shù)字證書，當企業(yè)用戶上網(wǎng)進行賬戶查詢時，通過 SSL 建立安全連接。SSL 對 進行了擴展，支持客戶證書，這時服務器就可以驗證客戶的證書，只有那些擁有合法證書的用戶才能繼續(xù)保持與服務器的連接，如果配合口令驗證，就成為雙因子身份認證。它不但可以解決身份認證，也解決了數(shù)據(jù)保密問題，所以目前大部分網(wǎng)上應用，包括網(wǎng)上銀行都采用 SSL 技術來實現(xiàn)身份認證。因此，傳統(tǒng)的口令驗證難以成為網(wǎng)上銀行業(yè)務的唯一身份認證技術。2． 在網(wǎng)絡上，口令猜測是黑客使用最多的攻擊手段，即使使用蠻力攻擊法，攻破 8 位的數(shù)字口令也只需很短的時間。網(wǎng)上賬戶查詢的信息安全功能應包括兩個方面：身份認證和數(shù)據(jù)保密。檢測到異常情況之后，檢測模塊能夠自動予以記錄和預警。自然，這些攻擊數(shù)據(jù)對于查詢系統(tǒng)來說，可能是合法的查詢參數(shù)，它的特點是在同一個攻擊源同時發(fā)出大批量查詢請求。6 / 31配置入侵檢測模塊除了防火墻之外，配置入侵檢測模塊也是一個重要的安全措施。在有代理服務器的系統(tǒng)中，這項工作是完全自動的。過濾防火墻是絕對性的過濾系統(tǒng)。防火墻有兩種：1. IP 過濾防火墻IP 過濾防火墻在數(shù)據(jù)包一層工作。增加防火墻防護在網(wǎng)絡系統(tǒng)中，防火墻是一種裝置，可使內(nèi)部網(wǎng)絡不受公共部分（整個Inter）的影響。首先防火墻將 Inter 和 Intra 以及非軍事區(qū)分離。專人專權　由專人負責系統(tǒng)安全和系統(tǒng)維護，減少不必要的用戶管理權限，嚴格控制非系統(tǒng)管理員的權限和系統(tǒng)管理員的數(shù)量。停止所有與業(yè)務無關的服務器進程，如 Tel、SMTP 和 FTP 等服務器守護進程。同時，周期性的維護系統(tǒng)，包括備份和安裝補丁程序、訂閱安全電子新聞。同時安裝某些監(jiān)控軟件也是有效的手段之一。防止已授權或未授權的用戶相互存取對方的重要信息，經(jīng)常性的文件系統(tǒng)查帳，su 登錄和報告以及良好的用戶保密意識都是防止泄密的手段。很難定義怎樣的系統(tǒng)管理才是完善的，因為完善的系統(tǒng)管理是各方面的總和，例如對路由器以及其他主機定期更改密碼，采用不規(guī)則密碼，關閉不必要的服務，關閉防火墻任何不使用的端口等。Web 站點內(nèi)容被黑客篡改，是這些黑客通過主動攻擊實現(xiàn)的。目前在 Inter 上比較多的黑客事件都是篡改公共 Web 站點的內(nèi)容，制造虛假信息或涂改頁面。本方案是基于上海格爾軟件公司電子商務部開發(fā)的以下三個安全軟件產(chǎn)品：PKI 加密模塊， SSL 代理和 Enterprise CA。兩者相比，個人銀行業(yè)務應該具有較簡便的操作界面，而企業(yè)銀行更注重整個環(huán)節(jié)的安全性。在我國，已經(jīng)有許多商業(yè)銀行紛紛推出了網(wǎng)上銀行服務。于是更有若干銀行立即緊跟其后在網(wǎng)絡上開設銀行，隨即此風潮逐漸蔓延全世界，網(wǎng)絡銀行走進了人們的生活。開業(yè)后的短短幾個月，即有近千萬人次上網(wǎng)瀏覽，給金融界帶來極大震撼。隨著金融環(huán)境競爭加劇，銀行不得不重新審視自身的服務方式。在本文中所指的網(wǎng)上銀行，包括了個人銀行和企業(yè)銀行兩個概念，個人銀行是指通過網(wǎng)絡為個人銀行業(yè)務提供服務，企業(yè)銀行則是指通過網(wǎng)絡為企業(yè)用戶提供服務。本文并沒有涉及到有關數(shù)據(jù)安全方面的概念，對系統(tǒng)安全作了一定的介紹，而對信息安全技術的實施則作了比較詳細的方案設計。這類業(yè)務由于面向公眾發(fā)布，不需要保證信息只能被特定團體或個人訪問，需要的是保護信息不會被非法篡改。因此，對這些內(nèi)容的保護也是不能夠忽視的。完善安全管理策略黑客一般是通過分析網(wǎng)絡管理上的漏洞以達到其攻擊目的。2. 防止泄密數(shù)據(jù)保密也是系統(tǒng)安全的一個重要問題。因此系統(tǒng)管理員必須通過一些系統(tǒng)命令如 PS 命令，記帳程序 df 和 du 周期地檢查系統(tǒng). 查出過多占用 CUP 的進程和大量占用磁盤的文件。因此系統(tǒng)管理員可以將以下幾個方面作為維護的重點：系統(tǒng)