【正文】 配置　仔細(xì)研究最新的系統(tǒng)維護(hù)文檔，完善系統(tǒng)各方面的安全配置，降低安全風(fēng)險(xiǎn)。關(guān)閉所有不必要的文件共享。口令策略　制定完善的口令策略，限制口令的最小長度和最長有效期，檢查口令的質(zhì)量。這些網(wǎng)段由兩個(gè)網(wǎng)關(guān)連為一體。通過這種隔離進(jìn)一步增強(qiáng)了系統(tǒng)的安全保證。最簡單的防火墻是雙主機(jī)系統(tǒng)（具有兩個(gè)網(wǎng)絡(luò)連接的系統(tǒng)） 。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)。最好的例子是先連接到防火墻，然后從該處再連接到另一個(gè)系統(tǒng)。 在網(wǎng)上銀行系統(tǒng)中，由于 Web 服務(wù)器需要連接到 Inter，因此，我們建議在 Web 服務(wù)器和 Inter 之間架設(shè)一個(gè) IP 過濾防火墻。入侵攻擊的特點(diǎn)是在一個(gè)攻擊源同時(shí)發(fā)出密集攻擊數(shù)據(jù)。這種攻擊模式是能夠被檢測到的。而這些屬于信息安全范疇。在網(wǎng)上銀行業(yè)務(wù)中，僅通過這樣的方式來進(jìn)行身份驗(yàn)證，存在很大的不足：1． 由于網(wǎng)上銀行業(yè)務(wù)的通信信道是公開網(wǎng)絡(luò)，所以口令明文傳輸容易被截獲。錯(cuò)誤次數(shù)限制會給合法的用戶帶來了很大的不便。SSL 協(xié)議是采用最為廣泛的數(shù)字證書身份認(rèn)證技術(shù)。SSL 不支持客戶證書，客戶可以通過驗(yàn)證服務(wù)器的證書來判斷服務(wù)器的合法性，服務(wù)器則無法驗(yàn)證客戶的證書，通常服務(wù)8 / 31器仍然通過口令驗(yàn)證客戶的身份，由于口令在傳輸時(shí)已經(jīng)被加密，所以安全性有了很大的提高。私鑰永遠(yuǎn)不會在公開網(wǎng)絡(luò)上傳輸，而且從公鑰無法推導(dǎo)出私鑰口令一旦泄密，所有安全機(jī)制即失效 用戶私鑰可以存放在 IC 卡中并有口令保護(hù)，安全性更高服務(wù)器需要維護(hù)龐大的用戶口令列表并負(fù)責(zé)口令保存的安全服務(wù)器使用數(shù)字證書驗(yàn)證用戶身份，不保存用戶的私鑰，所以用戶私鑰不可能在服務(wù)器端泄露與傳統(tǒng)方法一致，易于理解 技術(shù)較新，普通用戶理解略有難度對于企業(yè)銀行，由于數(shù)據(jù)安全性要求較高，所以應(yīng)該采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。企業(yè)用戶的身份驗(yàn)證過程和 CA 不可分割。對于個(gè)人用戶，考慮到使用的方便性更為重要，可以采用 方式對口令加密進(jìn)行身份驗(yàn)證，因此用戶不需要申請證書，只需要記住口令就行。由于采用了 SSL 技術(shù)，Web 應(yīng)用的開發(fā)也大為簡化，Web 服務(wù)器應(yīng)用程序可以把與查詢狀態(tài)有關(guān)的信息都保存在 Cookie 中，而不必?fù)?dān)心 Cookie 的安全問題。數(shù)據(jù)完整性所謂數(shù)據(jù)完整性就是指用戶在支付指令和轉(zhuǎn)賬指令中所填寫的數(shù)據(jù)必須保持完整，不能在公開網(wǎng)絡(luò)上被其他用戶無意或惡意地修改。不可否認(rèn)性不可否認(rèn)性是指指令發(fā)出者不能在事后否認(rèn)曾經(jīng)發(fā)出該指令。所以用私11 / 31鑰對交易指令的摘要簽名后，就保證了該用戶確實(shí)是發(fā)出了該指令。對于個(gè)人銀行業(yè)務(wù)來說，轉(zhuǎn)賬金額比較小，風(fēng)險(xiǎn)相對較低，所以在雙方都認(rèn)可的情況下，沒有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是可以接受的。另外不同的應(yīng)用可能需要開發(fā)不同的插件，對用戶和系統(tǒng)開發(fā)者來說都增加了額外的負(fù)擔(dān)。這種方案克服了第一種方案的缺點(diǎn)，但是需要瀏覽器支持對應(yīng)的腳本語言。它通過在網(wǎng)頁中嵌入一段 XML，瀏覽器或其12 / 31他客戶端程序在處理 XML 時(shí)自動將數(shù)據(jù)簽名。3 格爾網(wǎng)上銀行解決方案 SSL 代理　SSL 介紹SSL 是一種在 Web 服務(wù)協(xié)議 (HTTP) 和 TCP/IP 之間提供數(shù)據(jù)連接安全性的協(xié)議。信號交換機(jī)制協(xié)調(diào)客戶和服務(wù)器使用的安全性級別，并履行連接的身份驗(yàn)證。服務(wù)器證書用來在 Inter 上標(biāo)識一臺服務(wù)器的身份，服務(wù)器證書是 Web 服務(wù)器 SSL 安全功能的基礎(chǔ)。綜合使用客戶證書標(biāo)13 / 31識和 SSL，能夠?qū)崿F(xiàn)身份認(rèn)證功能和防止信息篡改。服務(wù)器和 Web 瀏覽器都使用會話密鑰加密和解密傳輸?shù)男畔?。Web 服務(wù)器使用本質(zhì)上相同的加密方法來維護(hù)與用戶的通訊鏈接的安全。這種加密方法盡管安全，但有先天不足：在創(chuàng)建安全鏈接過程期間，會話密鑰的副本可能會在不安全的網(wǎng)絡(luò)上傳輸。使用了兩個(gè)附加密鑰：私人和公共密鑰。 ） ? 用戶的 Web 瀏覽器和服務(wù)器參與商議交換，以確定用于安全通訊的加密度。 ? Web 服務(wù)器和瀏覽器都用會話密鑰加密和解密傳輸?shù)臄?shù)據(jù)。這意味著 Web 服務(wù)器和用戶瀏覽器都必須具有兼容的會話密鑰加密和解密能力。但是，使用瀏覽器缺省的 SSL 功能，存在著許多缺點(diǎn)：1． 由于國內(nèi)瀏覽器受到美國出口限制，加密位數(shù)無法達(dá)到 128 位。3． 由于 CSP 和 PKCS11 的接口不同，所以要兼顧兩個(gè)瀏覽器的用戶，應(yīng)用系統(tǒng)必須開發(fā)兩套網(wǎng)頁，增加了應(yīng)用系統(tǒng)的開發(fā)工作量。所以國內(nèi)采用比較多的就是 SSL 代理的做法，SSL 代理通過截獲 HTTPS請求響應(yīng)對，在客戶請求受保護(hù)的 URL 時(shí)建立 SSL 連接。當(dāng)用戶需要用瀏覽器的 SSL 與服務(wù)器（代理服務(wù)器或 Web Server 本身）進(jìn)行連接時(shí)，該請求被代理服務(wù)器捕獲后，代理客戶端先與服務(wù)器建立高位數(shù)加密強(qiáng)度（高于 128 位）的握手，再和瀏覽器之間生成低位數(shù)的 SSL 握手，瀏覽器發(fā)出的 請求通過 40 位 SSL 到達(dá)代理客戶端，代理客戶端首先將數(shù)據(jù)解密，然后用與服務(wù)器端之間建立的 128 位SSL 連接加密，發(fā)送給服務(wù)器，類似地，服務(wù)器將 響應(yīng)發(fā)送給代理客戶端，代理客戶端先將數(shù)據(jù)解密，然后通過與瀏覽器之間建立的 40 位 SSL 連接將數(shù)據(jù)發(fā)送給瀏覽器。代理服務(wù)器和 web server 之間亦是如此。這一點(diǎn)，無論是對于面向國際的國內(nèi)web 站點(diǎn)，還是對于希望能夠與國外的 web 站點(diǎn)建立 128 位連接的用戶來說，都是至關(guān)重要的。 SSL 代理的特性上海格爾軟件公司開發(fā)的 SSL 代理具有以下特性：1) SSL 代理通過格爾 PKI 加密模塊提供加密和密鑰管理的能力，因此基于該模塊開發(fā)的應(yīng)用系統(tǒng)都可以盡可能地共用同一張用戶證書，為用戶節(jié)約了證書管理費(fèi)，簡化了管理復(fù)雜度。4) SSL 代理具有良好的兼容性，支持 Windows 和 Unix 平臺。7) 即將推出的 SSL 代理客戶端具備 XML 處理能力，可以實(shí)現(xiàn)用 XML 方式進(jìn)行各種加密，簽名操作。除此之外，格爾 PKI 加密模塊向二次開發(fā)提供了接口和 SDK，基于此，網(wǎng)上銀行應(yīng)用系統(tǒng)的開發(fā)就不必再考慮加密運(yùn)算和密鑰管理的設(shè)計(jì)了。對于加密模塊來說，除了加密功能以外，密鑰的管理機(jī)制十分重要，例如18 / 31密鑰是保存在磁盤文件中，Memory IC 卡還是 IC 卡，是否終生保存在 IC 卡中，密鑰的備份機(jī)制如何等等。格爾 PKI（Public Key Infrastructure）加密模塊是參照 PKCS11 規(guī)范設(shè)計(jì)的加密模塊。除了應(yīng)用在 PKI 系統(tǒng)外，該加密模塊也包括了符合 PBOC 規(guī)范的密鑰分散等 IC 卡加密機(jī)制。Token 以PlugIn 的方式插入到加密模塊中。加密模塊提供了比較好的便攜性能，證書和密鑰很容易從一臺 PC 的加密模塊移到另一臺上。一方面，我們可以實(shí)現(xiàn)用戶私鑰的硬件方式保存，將用戶的私鑰保存在 IC卡上，并采用有效的手段保護(hù)用戶的私鑰。? 私有密鑰分塊存放在多個(gè)固定存儲介質(zhì)里。20 / 31保密鑰信息塊和塊長度被不同的個(gè)人應(yīng)用密鑰加密后，存入一張 IC 卡的不同文件中保存。IC 卡實(shí)現(xiàn)方案如果 IC 卡不具有非對稱運(yùn)算功能（非 PK 卡） ，我們利用它來保存用戶的私有密鑰。因此，對于個(gè)人用戶來說，IC 卡是一個(gè)很好的密鑰保存介質(zhì)。格爾證書認(rèn)證系統(tǒng)是數(shù)字證書的簽發(fā)者。Comment [Jun1]: Page: 21 服務(wù)器證書被用于支持 SSL協(xié)議的Web服務(wù)器上，首先用戶的服務(wù)器產(chǎn)生一個(gè)證書簽名請求（CSR）其中包含了服務(wù)器的一個(gè)公鑰，用戶將該請求發(fā)送到身份認(rèn)證服務(wù)器，身份認(rèn)證經(jīng)過檢查同意用戶請求后產(chǎn)生數(shù)字證書，并發(fā)送給用戶，用戶收到數(shù)字證書后將證書合并到 Web服務(wù)器的密鑰環(huán)中，成為完整可用的密鑰環(huán)，服務(wù)器數(shù)字證書申請過程完成。所發(fā)行的數(shù)字證書能夠用來驗(yàn)證客戶身份和服務(wù)器身份，從而達(dá)到對某些敏感信息的保護(hù)。與 CA中心相比，網(wǎng)上銀行系統(tǒng)維護(hù)自己的 CA服務(wù)器成本更低，而且實(shí)時(shí)性更好，一般來說，CA 中心不主動發(fā)放 CRL（證書廢止列表） ，應(yīng)用程序必須自己下載并維護(hù) CRL，而且查詢 CRL的方式往往實(shí)時(shí)性比較差，處理 CRL比較好的辦法是通過 OCSP（實(shí)時(shí)證書狀態(tài)驗(yàn)證協(xié)議）直接向 CA查詢，但是 CA中心處理 OCSP請求的性能往往較低。隨后發(fā)送給用戶，用戶的瀏覽器接受到證書以后會在自己的密鑰庫中對證書中的公鑰進(jìn)行匹配，如果找到匹配的私鑰，瀏覽器便將證書與私鑰合并成完整的密鑰環(huán)，整個(gè)證書申請過程完成。用戶界面包括基本服務(wù)、用戶信息管理、個(gè)人數(shù)字證書和服務(wù)器數(shù)字證書四部分。用戶申請數(shù)字證書之前首先必須注冊，用戶必須將必要的身份信息提交給身份認(rèn)證服務(wù)器，用戶提供的信息將作為數(shù)字證書的一部分被身份認(rèn)證服務(wù)器簽名來產(chǎn)生用戶的數(shù)字證書。具體工作流程是：首先用戶必須進(jìn)行注冊，已注冊用戶可以直接申請數(shù)字證書。此外，用戶還能夠撤消原有的證書或更新已撤消用戶注冊 證書申請證書獲得 證書廢除證書更新23 / 31或過期的證書。發(fā)行也是自動發(fā)行的，這樣才能夠滿足大量帳戶用戶的自動發(fā)行要求。查詢個(gè)人數(shù)字證書提供對其他用戶的數(shù)字證書的檢索，用戶可以查詢身份認(rèn)證的數(shù)據(jù)庫，也可以查詢目錄服務(wù)器。24 / 31圖 6 管理員工作流程示意圖管理員界面是基于瀏覽器的，需要對連接的用戶進(jìn)行身份識別，這一點(diǎn)必須通過 WWW 服務(wù)器的安全機(jī)制來實(shí)現(xiàn)。個(gè)人數(shù)字證書管理負(fù)責(zé)對用戶的個(gè)人數(shù)字證書申請進(jìn)行手工確認(rèn)或廢除工作，同時(shí)還能對一段時(shí)間內(nèi)的用戶申請進(jìn)行統(tǒng)計(jì)。身份認(rèn)證安裝完畢后必須首先進(jìn)行系統(tǒng)參數(shù)配置和根證書安裝，只有安裝了根證書后才能正確安裝身份認(rèn)證證書，系統(tǒng)參數(shù)配置包括數(shù)據(jù)庫配置信息，SMTP 服務(wù)器配置信息以及目錄服務(wù)器信息配置等等。管理員可以查看或清除這些日志。26 / 31附錄參考站點(diǎn)? PKCS 系列協(xié)議： ? SSL 協(xié)議? 協(xié)議：名詞術(shù)語單鑰密碼體制和公鑰密碼體制單鑰密碼體制，又稱對稱密碼體制：是指加密密鑰和解密密鑰為同一密鑰的密碼體制。但是,在公開的計(jì)算機(jī)網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個(gè)嚴(yán)峻的問題。這兩個(gè)密鑰之間存在著相互依存關(guān)系：即用其中任一個(gè)密鑰加密的信息只能用另一個(gè)密鑰進(jìn)行解密。在通過網(wǎng)絡(luò)傳輸信息時(shí)，公鑰密碼體制體現(xiàn)出了單密鑰加密體制不可替代的優(yōu)越性?？蛻糁恍栌蒙虘舻墓_鑰加密信息，就可以保證將信息安全地傳送給商戶。因?yàn)楣_鑰與秘密鑰之間存在的依存關(guān)系，在用戶安全保存秘密鑰的前提下，只有用戶本身才能解密該信息，任何未受用戶授權(quán)的人包括信息的發(fā)送者都無法將此信息解密。摘要算法是一類符合特殊要求的散列函數(shù)(hash)函數(shù)，這些特殊要求是: ：? 接受的輸入報(bào)文數(shù)據(jù)沒有長度限制。 28 / 31? 難以生成兩個(gè)不同的報(bào)文具有相同的摘要。信息發(fā)送者首先利用隨機(jī)產(chǎn)生的對稱密碼加密信息體，再利用接收方的公開鑰加密對稱密碼，被公開鑰加密的對稱密碼稱之為數(shù)字信封。證書格式及證書內(nèi)容遵循 標(biāo)準(zhǔn)。