【正文】 需要對 WWW網上銀行安全解決方案21服務器的網頁內容進行實時監(jiān)控并對遭受非法操作的網頁文件進行阻或自動修復盡心安全保護。? 有效控制業(yè)務運行風險，直觀掌握業(yè)務系統(tǒng)運行的安全狀況業(yè)務系統(tǒng)的正常運行需要一個安全、穩(wěn)定的網絡環(huán)境。（比如，系統(tǒng)的最高權限用戶root/Administrators 等長期以來一直處于不可管理的狀態(tài)。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產品可以解決一部分安全問題，但對于內部人員的違規(guī)操作卻無能為力。通過使用 VFPR 方法，對于一些采用非常規(guī)端口的協(xié)議也能實現及時的識別和檢測。深層攻擊行為具有攻擊頻率高、攻擊手段變化快，攻擊過程隱蔽等特點。進而對目標網絡或者主機造成最大的傷害。建議在內部服務器及客戶端上部署防病毒產品，同時在網關邊界部署防病毒網關，啟明星辰天清漢馬 USG 內置防病毒網關，可以有效的控制病毒的傳播。而蠕蟲病毒則會搶占有限的網絡資源，造成網絡堵塞。目前病毒的發(fā)展主要呈現以下幾個趨勢，通過了解這些背景情況，將有助于了解防病毒體系的技術要求。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務攻擊、SYN Flood 攻擊、IP 欺騙攻擊等等獲取系統(tǒng)權限，進入系統(tǒng)內部。[5] 可擴展性：網絡技術和電子商務技術的發(fā)展和變化非常迅速，方案和采用的技術必須具有良好的可擴展性，充分保護當前的投資和利益。它通過在網頁中嵌入一段 XML，瀏覽器網上銀行安全解決方案13或其他客戶端程序在處理 XML 時自動將數據簽名。另外不同的應用可能需要開發(fā)不同的插件，對用戶和系統(tǒng)開發(fā)者來說都增加了額外的負擔。網上銀行安全解決方案12由于私鑰很難攻擊，其他人（包括銀行）不可能得到私有密鑰。銀行業(yè)務主機再對口令進行驗證網上銀行安全解決方案11 網上支付和轉賬網上支付和轉賬在查詢的基礎上進一步給用戶提供了方便，用戶可以在網上進行支付、轉賬從而達到交易的目的，就目前而言，國內很多網上銀行系統(tǒng)已經開通了如下支付和轉賬業(yè)務：? 定期賬戶轉活期? 活期賬戶轉定期? 活期賬戶轉活期? 信用卡賬戶轉信用卡賬戶? 公用事業(yè)費代繳? 企業(yè)轉賬? 證券資金賬戶轉賬? 特約商戶網上支付和查詢相比，支付和帳戶轉帳的安全需求更高，除了必須具備查詢所需要的安全性之外，還需要應該提供數據完整性和不可否認性。圖 2 是網上銀行企業(yè)用戶的口令驗網上銀行安全解決方案10證方式。下表是數字證書同傳統(tǒng)口令模式的身份驗證在性能上的比較：口令方式 數字證書方式用戶登錄時口令在公開網絡上傳輸，有可能泄密私鑰由用戶保存，只需公布其公鑰。在網絡應用中，目前采用較多的方法是動態(tài)口令（例如 Kerberos），令牌卡和數字證書認證技術。 身份驗證傳統(tǒng)銀行業(yè)務的身份驗證方案主要是通過口令或 PIN 來實現的，它具有以下兩個特點：1. PIN 一般為 48 個數字，范圍比較窄。自動預警甚至可以通過尋呼機通知系統(tǒng)管理員。例如，對于銀行帳戶和密碼，入侵者可能嘗試枚舉攻擊，由于密碼長度有限且均為數字，密碼空間比較小。即使要讓外界的一些人進入防火墻之內，也無法讓每一個人進入服務器。它能同時連接受到保護的網絡和 Inter 兩端，但受到保護的網絡無法直接接到 Inter，Inter 也無法直接接到受到保護的網絡。以下是一個簡化的虛擬網上銀行網絡結構圖：網上銀行安全解決方案5圖 1 網上銀行網絡結構圖從圖中可以看到整個網絡體系分為：Inter，非軍事區(qū)（DMZ ），Intra以及銀行內部網四部分。系統(tǒng)隔離　將內網和外網進行隔離，確保銀行業(yè)務前置機、業(yè)務主機和數據庫服務器只處于內網中，內網和外網通過防火墻相連。3. 防止用戶濫用系統(tǒng)資源一個系統(tǒng)不應被一個有意試圖使用過多資源的用戶損害，因為在高負載的情況下系統(tǒng)的安全性能往往會降低。例如，黑客通過密碼字典猜測信息系統(tǒng)的特權口令，在獲得特權口令之后，登錄進入系統(tǒng)，篡改發(fā)布內容，制造不良影響。本文并沒有涉及到有關數據安全方面的概念，對網絡及系統(tǒng)安全作了一定的介紹，而對信息安全技術的實施則作了比較詳細的方案設計。這不僅方便客戶，銀行本身也可因此加強與客戶的親和性。兩者相比，個人銀行業(yè)務應該具有較簡便的操作界面，而企業(yè)銀行更注重整個環(huán)節(jié)的安全性。對于銀行來說，公共金融信息雖然是公開的，但是如果被篡改某些敏感數據，如銀行利率等，很可能會造成不必要的麻煩，對銀行的名譽也會造成不利的影響。良好的用戶意識，良好的口令管理(由系統(tǒng)管理員和用戶雙方配合)，登錄活動記錄和報告，用戶和網絡活動的周期檢查是防止未授權存取的關鍵。良好的安全管理策略對系統(tǒng)的安全水平起著至關重要的作用。如有必要，使用專門的入侵檢測模塊。Intra 與網上內部網絡由前置機相連，為了保證銀行業(yè)務主機的運行安全，網上銀行系統(tǒng)不直接連接業(yè)務主機，而是由特定的前置機來代理其請求，前置機只響應特定服務請求，然后將請求轉換為特定消息格式發(fā)送給業(yè)務主機，收到應答后再將數據返回給請求者。這種防火墻非常安全。只要配置正確，代理服務器就絕對安全，它阻擋任何人進入內部網絡，因為沒有直接的 IP 通路。相反，入侵者為了猜測密碼，會大批量、長時間、從同一地點發(fā)出攻擊信息。通過部署網絡審計系統(tǒng)，有助于銀行機構完善組織的 IT 內控與審計體系，完善 IT 內控機制，滿足各種合規(guī)性要求，并且使組織能夠順利通過 IT 審計（如 SOx 法案的合規(guī)性要求、銀監(jiān)會 63 號、313 號審計要求等）；可以有效減少核心信息資產（如核心數據庫服務器、應用服務器等）的破壞和泄漏；有效控制運維操作風險，便于事后追查原因與界定責任；有效控制業(yè)務運行風險，直觀掌握業(yè)務系統(tǒng)運行的安全狀況； 網上帳戶查詢網上賬戶查詢是指網上銀行通過 Inter 進行帳戶實時查詢功能，企業(yè)銀行的查詢功能包括：? 余額查詢? 交易歷史查詢? 匯款查詢? 公司對公賬戶查詢個人銀行的查詢功能包括：網上銀行安全解決方案8? 公積金賬戶查詢? 交易明細查詢? 定期到期查詢? 消費積分查詢網上賬戶查詢的安全需求比公共信息發(fā)布要更高，因此網上賬戶對系統(tǒng)安全也有同樣的需求，而且，除此之外，網上賬戶查詢的還需要解決用戶的私有信息（口令，賬戶數據）在 Inter 這個公開網絡上傳輸的安全問題。網 絡的信道故障或者人 為的惡意行為都很容易使輸錯口令次數達到限制。SSL 不支持客戶證書，客戶可以通過驗證服務器的證書來判斷服務器的合法性，服務器則無法驗證客戶的證書，通常服務器仍然通過口令驗證客戶的身份，由于口令在傳輸時已經被加密，所以安全性有了很大的提高。企業(yè)用戶的身份驗證過程和 CA 不可分割。由于采用了 SSL 技術，Web 應用的開發(fā)也大為簡化，Web 服務器應用程序可以把與查詢狀態(tài)有關的信息都保存在 Cookie 中，而不必擔心 Cookie 的安全問題。 不可否認性不可否認性是指指令發(fā)出者不能在事后否認曾經發(fā)出該指令。但是對于企業(yè)用戶和進行證券轉賬的個人用戶來說，轉賬金額大，風險大，指令必須附帶簽名數據，在簽名數據驗證通過以后才能真正進行支付或轉賬。因為 Java 具有較大的代表性，所以稱為 Java 方式。[2] 可靠性：對于產品，質量是保證可靠性的基本因素，對于項目實施過程，嚴密的組織和嚴格的管理是保證系統(tǒng)可靠性的條件。網上銀行安全解決方案14 邊界訪問控制銀行系統(tǒng)的邊界之內包含多個局域網以及計算資源組件?？梢詫W絡數據進行細粒度的過濾，過濾條件包括：? 源接口? 目的接口? 協(xié)議類型（ICMP/TCP/UDP）? 源地址? 目的地址? 服務類型? 報文通訊時間以上條件構成了 USG 對一個具體業(yè)務流的判斷，在此基礎上，用戶可以定義針對具體業(yè)務流的安全策略，包括：允許通過、需要認證通過、阻斷、建立VPN 隧道等。病毒破壞性更大： 計算機病毒不再僅僅以侵占和破壞單機的資料為目的。隨著網