【正文】 ............................................6 配置安全審計(jì)系統(tǒng) ..........................................................................................................7 網(wǎng)上帳戶查詢 ...........................................................................................................................7 身份驗(yàn)證 ..........................................................................................................................8 數(shù)據(jù)加密 ..........................................................................................................................9 網(wǎng)上支付和轉(zhuǎn)賬 .....................................................................................................................10 數(shù)據(jù)完整性 ....................................................................................................................11 不可否認(rèn)性 ....................................................................................................................11第 3 章 方案設(shè)計(jì)原則 .........................................................................................................................12第 4 章 網(wǎng)銀系統(tǒng)安全防護(hù)方案 .........................................................................................................13 邊界訪問(wèn)控制 .........................................................................................................................13 病毒防護(hù) .................................................................................................................................14 防拒絕服務(wù)（DOS）攻擊 .....................................................................................................16 入侵檢測(cè)與保護(hù) .....................................................................................................................16 網(wǎng)絡(luò)行為審計(jì) .........................................................................................................................18 網(wǎng)頁(yè)防篡改 .............................................................................................................................20網(wǎng)上銀行安全解決方案2第 1 章 概述由于 Inter 無(wú)所不在，客戶只要擁有帳號(hào)和密碼便能在世界各地與Inter 聯(lián)網(wǎng)，處理個(gè)人交易。因此，對(duì)這些內(nèi)容的保護(hù)也是不能夠忽視的。因此系統(tǒng)管理員可以將以下幾個(gè)方面作為維護(hù)的重點(diǎn)：系統(tǒng)配置　仔細(xì)研究最新的系統(tǒng)維護(hù)文檔，完善系統(tǒng)各方面的安全配置，降低安全風(fēng)險(xiǎn)。通過(guò)這種隔離進(jìn)一步增強(qiáng)了系統(tǒng)的安全保證。 在網(wǎng)上銀行系統(tǒng)中，由于 Web 服務(wù)器需要連接到 Inter，因此，我們建議在 Web 服務(wù)器和 Inter 之間架設(shè)一個(gè) IP 過(guò)濾防火墻。而這些屬于信息安全范疇。SSL 對(duì) 進(jìn)行了擴(kuò)展，支持客戶證書(shū)，這時(shí)服務(wù)器就可以驗(yàn)證客戶的證書(shū)，只有那些擁有合法證書(shū)的用戶才能繼續(xù)保持與服務(wù)器的連接，如果配合口令驗(yàn)證，就成為雙因子身份認(rèn)證。圖 2 用戶身份驗(yàn)證示意圖遞交口令的Web 服務(wù)器的用戶的表單的的銀行業(yè)務(wù)主機(jī)的 CA 服務(wù)器的建立 SSL 握手的1．SSL 服務(wù)器代理驗(yàn)證用戶證書(shū)本身的合法性2。有四種方案可以實(shí)現(xiàn)用戶簽名：1. 專(zhuān)用客戶端軟件：例如電子錢(qián)包，這類(lèi)軟件通常是一個(gè)瀏覽器的插件（PlugIn） ，在用戶填好支付指令或轉(zhuǎn)賬指令并發(fā)送給服務(wù)器以后，服務(wù)器用某種協(xié)議規(guī)范化該指令，并作為喚醒消息的參數(shù)返回給用戶，這時(shí)插件被激活，用戶的指令在插件程序中再次被顯示，此時(shí)用戶可以對(duì)這段指令進(jìn)行數(shù)字簽名。[3] 先進(jìn)性：具體技術(shù)和技術(shù)方案的先進(jìn)性。網(wǎng)上銀行安全解決方案15作為一體化的安全網(wǎng)關(guān)產(chǎn)品，啟明星辰天清漢馬 USG 為客戶提供的豐富的安全能力，為減少用戶的維護(hù)工作量，所有安全能力均可在防火墻安全策略中引用。同時(shí)，其它的網(wǎng)絡(luò)連接方式如 ICQ、IRC也成為了傳播病毒的途徑。傳統(tǒng)的防火墻主要在 13 層，對(duì) 4 層以上的攻擊顯得力不從心。良好的安全審計(jì)能力是分析銀行系統(tǒng)安全狀況的必要條件。由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個(gè)帳號(hào)進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份。建議在 WEBSERVER 上部署網(wǎng)頁(yè)保護(hù)系統(tǒng)，以對(duì) WWW 服務(wù)器的網(wǎng)頁(yè)內(nèi)容進(jìn)行實(shí)時(shí)檢測(cè)與保護(hù)。比如，在美上市的中國(guó)移動(dòng)集團(tuán)公司及其下屬分子公司就面臨 SOx 法案的合規(guī)性要求；而商業(yè)銀行則面臨 Basel 協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國(guó)有企業(yè)則有遵循等級(jí)保護(hù)的合規(guī)性要求。除了默認(rèn)的安全策略集外，天闐網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)系統(tǒng)還提供了向?qū)降牟呗怨芾矸绞?，在策略集間還可實(shí)現(xiàn)與、或、并、交等邏輯操作，便于用戶自定義選擇最佳安全策略。可以說(shuō)連接控制是防止抵御拒絕服務(wù)攻擊、以及蠕蟲(chóng)病毒泛濫、限制資源濫用的有效手段。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫(xiě)一個(gè)具有極強(qiáng)殺傷力的病毒程序。防火墻可以有效的防止內(nèi)部的信息系統(tǒng)遭受外部的攻擊。從以上方案比較可以看出，方案 3 和方案 4 與前兩種相比，機(jī)制靈活，應(yīng)用開(kāi)發(fā)方便，具有較大的優(yōu)勢(shì)。將簽名數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)的憑證，在業(yè)務(wù)成功后就開(kāi)始保障不可否認(rèn)性。 數(shù)據(jù)加密Web 應(yīng)用數(shù)據(jù)加密的方案除了 SSL 以外，并沒(méi)有太多可供選擇的方案。SSL 協(xié)議是采用最為廣泛的數(shù)字證書(shū)身份認(rèn)證技術(shù)。對(duì)于銀行系統(tǒng)由于數(shù)據(jù)來(lái)源多、數(shù)據(jù)量大、數(shù)據(jù)類(lèi)型復(fù)雜，將面臨大量的攻擊事件以及內(nèi)部違規(guī)事件等。最好的例子是先連接到防火墻，然后從該處再連接到另一個(gè)系統(tǒng)。這些網(wǎng)段由兩個(gè)網(wǎng)關(guān)連為一體