【文章內容簡介】 的交易密碼，可能有必要采用端對端加密 （ Endtoend encryption）。 (2)系統(tǒng)層面 入侵檢測系統(tǒng) 安裝切實有效的入侵偵測系統(tǒng)（ Intrusion Detection System，簡稱 IDS）。 較成熟的系統(tǒng)，既可偵測到已知的攻擊、又可以對異常現(xiàn)象報警，對于從內外 部試圖對網(wǎng)銀項目入侵攻擊的行為進行檢測和報警。 (3)應用層面 JAVA應用服 務器 作為業(yè)界主流的應用服務器產品， IBM WebSphere Application Server及 BEA WebLogic Enterprise Server都提供了強大的應用級安全措施，銀行的網(wǎng) 銀項目應采取這些成熟的 JAVA應用服務器。 數(shù)字簽名驗簽 應該采用采用滿足國際標準的技術實現(xiàn)了在 SSL基礎上的數(shù)字簽名及驗證 系統(tǒng) 客戶端安全控制 客戶端安全基本策略包括：使用 SSL加密傳輸；對關鍵性交易，必須采用 PKI證書簽名；選擇安全級別高的證書存儲介質，如 USBKEY。 針對諸如“網(wǎng)銀項目大盜”一 類的密碼竊聽攻擊，相應解決措施包括：安裝專業(yè)的殺毒軟件和防火墻軟件，并保持病毒庫的更新；規(guī)范客戶端操作管理； 提供軟鍵盤以及動態(tài)口令等手段避免卡號、密碼、身份證號等關鍵信息被盜?。? 在網(wǎng)銀項目應用中，采用網(wǎng)銀項目登錄密碼和網(wǎng)銀項目交易密碼取代賬戶 查詢密碼及賬戶交易密碼。 客戶端安全控件，控件特點如下：打斷鉤子傳輸鏈，使鉤子類攻擊軟件失 效。例如：“鍵盤鉤子”和“目標窗口過程中處理后消息鉤子”攻擊軟件。防止 驅動層 KeyLoger。禁止非法的內容獲取（ Get）及設置 (Set)消息，防范密碼查 看軟件攻擊。禁 止編輯指令和功能鍵的命令。 (例如： copy、 paste、 cat命令， Ctrl功能鍵 )。編輯控件、密碼控件、提交控件配合使用，不暴露內容獲取函 數(shù)，防止腳本注入類軟件的攻擊。編輯控件、密碼控件、提交控件內部存在認 證關系，防止了惡意的相同 GUID控件的欺騙攻擊。防止截屏，錄屏發(fā)送按鍵 擾碼。支持獲取機器指紋 登錄日志中記錄客戶訪問系統(tǒng)的遠程 IP地址和時間等詳細信息，可以統(tǒng)計 客戶訪問系統(tǒng)的次數(shù)。 注入過濾 為防止網(wǎng)銀項目和門戶網(wǎng)站系統(tǒng)遭受注入攻擊，需要嚴格規(guī)范系統(tǒng)的開發(fā) 規(guī)范，從程序開發(fā)的過程中杜絕注入攻擊 的可能性。 主要是有以下兩個方面：第一是 SQL腳本注入，攻擊者往往利用此類注入 來非法執(zhí)行數(shù)據(jù)庫訪問，以查看權限范圍外的信息，造成信息的泄露。或者利 用該注入方式修改 SQL語句的邏輯，造成系統(tǒng)數(shù)據(jù)庫級的信息校驗的失效。防 范此類注入攻擊需要在程序開發(fā)的時候對涉及數(shù)據(jù)庫 JDBC操作的時候禁止使用 字符串拼接 SQL的方式，同時強制要求采用 JAVA的 PreparedStatement類來對 SQL語句進行預處理，將參數(shù)值以方法調用的方式傳遞給 PreparedStatement類。 第二是 JavaScript腳本注 入，攻擊者可以通過在輸入的信息中植入 JavaScript腳本，給系統(tǒng)帶來界面信息的混亂，甚至通過執(zhí)行相關邏輯來給系 統(tǒng)帶來災難。為杜絕此類注入的危害，需要嚴格要求在服務端對頁面輸入信息 的合法性進行校驗，對需要在頁面進行顯示的數(shù)據(jù)項進行 JavaScript腳本的校 驗和處理，切斷 JavaScript腳本運行的渠道。 在平臺中通過參數(shù)化的方式為系統(tǒng)中的每一類數(shù)據(jù)設置一個校驗規(guī)則，稱 之為“樣式”，主要是使用 Java的正則表達式技術來實現(xiàn)。通過該樣式來對企 業(yè)網(wǎng)銀項目從頁面輸入的數(shù)據(jù)進行校驗，確保輸入數(shù)據(jù)的合 法性。 防釣魚網(wǎng)站 由于網(wǎng)銀項目業(yè)務的特殊性，運行在系統(tǒng)之上的數(shù)據(jù)都是銀行客戶的隱私 數(shù)據(jù)，比如賬號、密碼、證件類型、證件號碼等，其數(shù)據(jù)的價值也使其成為不 法分子竊取信息的目標。釣魚網(wǎng)站通過構建一個與企業(yè)網(wǎng)銀系統(tǒng)界面完全一致 的系統(tǒng)，并且申請與企業(yè)網(wǎng)銀項目 URL訪問地址極其相似的地址來將其發(fā)布到 互聯(lián)網(wǎng)上。通過郵件，搜索引擎等媒介將其在互聯(lián)網(wǎng)和用戶中傳播。一旦客戶 進入該系統(tǒng)，登錄偽造的企業(yè)網(wǎng)銀系統(tǒng)進行交易，該系統(tǒng)會把客戶的賬號、密 碼等重要信息竊取。 銀行通過設置客戶個性化信息和個性化圖片的方式來防止釣魚 網(wǎng)站對客戶 的危害?？蛻粼诤灱s網(wǎng)銀項目的時候，系統(tǒng)要求客戶錄入個性化預留信息和上 傳個性化圖片?？蛻粼诘卿浘W(wǎng)銀系統(tǒng)后，系統(tǒng)將在顯著位置顯示客戶預留的個 性化信息和個性化圖片，以此告知客戶網(wǎng)站的合法性，以避免釣魚網(wǎng)站欺騙性 的獲取客戶的重要信息?？蛻艨梢栽诘卿浧髽I(yè)網(wǎng)銀系統(tǒng)后對預留信息和預留圖 片進行修改。 (4)數(shù)據(jù)保密性層面 通訊層采用 SSL加密傳輸，防止中間人在互聯(lián)網(wǎng)中竊取數(shù)據(jù)的可能。 WEB服務器與應用服務器之間通訊數(shù)據(jù)加密傳輸，防止銀行內部網(wǎng)絡竊取數(shù) 據(jù)的可能。 客戶端采用客戶端加密控件，對密碼加密后 再傳輸，系統(tǒng)配合第三方 HSM 設備解密，實現(xiàn)密碼的端（客戶）到端（主機）全過程加密，密碼不會在中間 任何環(huán)節(jié)暴露明文，防止銀行內部竊取密碼的可能。密鑰只保存在 HSM設備和 主機，需要定期更換。 對需要存儲在數(shù)據(jù)庫里的關鍵數(shù)據(jù)，先加密后再存儲，密鑰由平臺加密后 20 以文件形式保存。對密碼的加密，采用不可逆加密，不能被還原，校驗時對密 碼再做一次加密，將加密后數(shù)據(jù)與數(shù)據(jù)庫保存的數(shù)據(jù)比較，如一致表示相同， 這樣可提高密碼保存的安全性。 系統(tǒng)所用到所有密碼，如數(shù)據(jù)庫訪問密碼等，都不以明文形式在應用中出 現(xiàn)，通過平臺 加密后以文件形式保存。 (5)數(shù)據(jù)完整性層面 根據(jù)密碼學公開密鑰體系而研制的數(shù)字證書，集身份識別、加密、防止篡 改等諸功能于一身，在確?；ヂ?lián)網(wǎng)通訊層的安全方面，起著重要作用。 對交易信息進行數(shù)字簽名，可以起到防止篡改和交易的不可否認性二個作 用。具體地說，可以通過數(shù)字簽名保障對交易信息的任何改變，任何篡改可以 被網(wǎng)銀項目立刻識別，因此可以保證交易信息的完整性。 除了對簽名合法性驗證外，還不足以保證完整性，通常 FORM表單里的數(shù)據(jù) 與簽名數(shù)據(jù)是在不同位置定義，可能一個合法的，但另外一個被篡改。因此， 系統(tǒng)對數(shù) 字簽名合法性驗證通過后，還需要對每一個 FORM表單里的數(shù)據(jù)，與簽 名數(shù)據(jù)逐一對比，要完成一致后，才能表示數(shù)據(jù)是完整無誤的。 (6)交易信息不可否認性層面 為了同時達到網(wǎng)銀項目所需的交易安全、交易速度，銀行采用標準的 證書及 SSL安全協(xié)議，也即采用瀏覽器內置 SSL模塊，并結合相應的數(shù)字簽名 軟件，實現(xiàn)交易的簽名、驗證和保留。 服務端采用硬件 SSL加速模塊或者 Web Server內置的 SSL模塊實現(xiàn)與瀏覽 器的 SSL加密通道建立。 采用高效的數(shù)字簽名技術及合理的證書運用 由于標準的 SSL協(xié)議，在采用客 戶端證書時，并未對用戶的交易數(shù)據(jù)進行 顯示簽名，造成應用系統(tǒng)無法記錄交易的數(shù)據(jù)及相應的數(shù)字簽名，給在技術層 面確認交易的不可否認性，帶來一定的困難。為此，銀行采用基于 SSL的顯式 數(shù)字簽名技術解決方案，以解決該問題。 某些安全廠商提供的安全代理服務器要求網(wǎng)銀項目采用非標準的方式獲取 21 客戶端證書，這種獲取方式不利于系統(tǒng)的擴展及移植，而且使用的簽名技術包 含許多冗余數(shù)據(jù)，不利于數(shù)字簽名的傳輸及保存。 CSII安全組件通過 J2EE標準 接口獲取證書，實現(xiàn)客戶端證書與用戶的綁定。通過對自定義簽名信息格式的 支持， 消除冗余，可實現(xiàn)簽名信息的高效傳輸及保存。此外， CSII安全組件支 持基于 LDAP 或文件方式的 CRL（證書廢止列表）驗證，從而可以及時確認客戶 端證書的有效性，保證客戶服務系統(tǒng)的交易安全。 通過相應的應用程序接口，選擇對關鍵交易數(shù)據(jù)進行數(shù)字簽名，交易發(fā)送 服務器后，由服務器端的應用系統(tǒng)通過該技術提供的軟件包進行驗證，并對數(shù) 據(jù)進行保存。 該數(shù)字簽名基于 RSA/MD5技術，可支持 51 76 1024或更高的密鑰長度， 可兼容目前所有的基于 。 適用于低速網(wǎng)絡 數(shù)字簽名信息可選用 PKCS7 Cryptographic Message Syntax Standard或 CSII自定義的信息格式，自定義的信息格式可以大大壓縮需要通訊和存儲的數(shù) 據(jù)量，使得該項技術在中國目前的網(wǎng)絡環(huán)境下，也實現(xiàn)高效的傳輸，而且需要 保存的數(shù)據(jù)量很小。 基于開放技術 數(shù)字簽名采用標準的 在客戶端，采用客戶端證書確認的公鑰所對應的私鑰進行關鍵交易的數(shù)字 簽名；在服務端，通過服務端獲取的客戶端 ，進行交易數(shù)據(jù)的驗證。 從而保證了整個簽名、驗證流程基于 。與 SSL協(xié)議完全兼容 即數(shù)字簽名技術采用的證書，為 SSL的客戶端 ，因此，無需另 外頒發(fā)證書用于數(shù)字簽名，使得數(shù)字簽名及客戶端身份認證可共享一張證書， 保證了這項技術可以無縫地運用于現(xiàn)有的 SSL體系。采用 RSA/MD5數(shù)字簽名技 術。符合 Microsoft CSP 標準 可選用 IC卡或 USB Token作為存儲密鑰對及證書的介質 對安全強度要求比較高的應用，可以選用 IC 卡作為存儲密鑰對及證書的介質，此時，數(shù)字簽名在 IC卡內完成，由于私鑰的產生、使用全部在卡內完成， 使得安全強度大大提高。 該系統(tǒng)可以支持所有提供符合 Microsoft CSP 標準 Provider的 IC卡，如 Gamp。D、 Gemplus等。 (7)用戶安全級別分類 大眾版用戶：非簽約用戶，只能夠通過密碼進行保護。進入系統(tǒng)以后，只 可以進行簡單的查詢。 證書版用戶：簽約用戶，使用 UKEY進入個人網(wǎng)銀系統(tǒng) OTP 版用戶：簽約用戶，使用登陸 ID、登錄密碼、動態(tài)口令進入個人網(wǎng)銀 系統(tǒng) 綜合版用戶：擁有幾種安全認證手段的簽約客戶，根本不同情況使用不同 的認證方式。 (8)OTP 層面 網(wǎng)銀項目主要使用兩種主流的安全認證方式，包括動態(tài)令牌（ OTP token） 和數(shù)字證 書。其中動態(tài)令牌在國際上近年受到業(yè)內眾多銀行的青睞，因為該設 施與計算機的完全物理隔離，使用簡單，無需安裝驅動，也不需要記憶密碼， 將成為未來身份認證的主要趨勢。 針對網(wǎng)銀項目調研結果，推薦以下硬件配置 企業(yè)網(wǎng)上銀行系統(tǒng)業(yè)務功能主要包括賬戶管理、集團業(yè)務、轉賬匯款、代理業(yè)務、投資理財、業(yè)務申請等。 企業(yè)網(wǎng)上銀行系統(tǒng)為專業(yè)版。專業(yè)版可以實現(xiàn)下掛賬戶轉賬、行內及跨行 轉賬、自助繳費等所有企業(yè)網(wǎng)銀業(yè)務功能，且必須使用 USBKEY數(shù)字證書進行簽 名 才能實現(xiàn)網(wǎng)銀的登錄、賬務交易、企業(yè)管理臺等風險業(yè)務的操作，其中賬務 交易必須雙人以上使用數(shù)字證書簽名才能完成。 企業(yè)網(wǎng)上銀行系統(tǒng)的主要業(yè)務功能模塊和業(yè)務功能點如下： 企業(yè)網(wǎng)銀系統(tǒng)主要功能詳細說明 功能描述 查詢活期賬戶在一段時間范圍內的交易明細信息，并可對查詢結果信息進 行下載和打印。 業(yè)務流程說明 操作員點擊“賬戶管理→賬戶明細查詢”； 操作員可以自己通過“當日交易明細查詢”和“歷史交易明細查詢”功能 輸入查詢條件，點擊“查詢”，系統(tǒng)顯示相應的查詢結果頁面； 沒有記錄的話系統(tǒng)返回信息：“在指定查詢條件內無明細” 功能描述 查詢集團賬戶設置的約定規(guī)則，并且對規(guī)則可進行撤銷處理。 業(yè)務流程說明 (1)操作員點擊“集團資金管理 集團賬戶管理”菜單或鏈接。 (2)網(wǎng)銀系統(tǒng)檢查客戶、客戶的賬戶和操作員是否具有“集團賬戶可用余額 查詢”的業(yè)務權限。如有則顯示“集團賬戶可用余額查詢”輸入頁面；如無則 顯示錯誤頁面。 (3)對于狀態(tài)為未授權、復核拒絕、授權拒絕的指令，操作員可以點擊該指 令后的“撤銷”鏈接進行撤銷，用戶在彈出的撤銷確認中進行確認，提交確認 且系 統(tǒng)處理成功后指令狀態(tài)變?yōu)橐殉蜂N。 (4)撤銷操作需要驗證 USBKEY證書。 (5)點擊明細鏈接可以查詢賬戶交易明細。 (6)操作員在輸入頁面： 選擇客戶賬號與生效期限，點擊查詢后頁面會顯示該賬號的余額信息等。 功能描述 27 查詢集團客戶資產的時點余額狀況。 業(yè)務流程說明 (1)操作員點擊“集團業(yè)務查詢 集團客戶資產查詢”菜單或鏈接。 (2)網(wǎng)銀系統(tǒng)檢查客戶、客戶的賬戶和操作員是否具有“集團客戶資產查詢” 的業(yè)務權限。如有則顯示“集團客戶資產查詢”輸入頁面；如無則顯示錯誤頁 面。 外轉賬 功能描述 行外操作員可以通過本功能進行實時的由本行賬戶向他行賬戶的轉賬。本 功能支持的轉賬方式包括： 人行小額支付：支持 7X24小時，由核心系統(tǒng)對一定數(shù)量的支付交易組包后 整批發(fā)給人行小額支付系統(tǒng)處理，只能為 5萬 (含 )以下金額的轉賬。 人行大額支付：支持的匯劃時間為工作日的 9點到 16點（不同銀行會有一 定時間浮動），實時發(fā)送人行支付系統(tǒng)處理，即時到賬。 賬戶類型：活期人民幣賬戶、活期一本通賬戶。 業(yè)務流程 客戶點擊“行外轉賬”菜單或鏈接。 網(wǎng)銀系統(tǒng)檢查客戶、客戶的賬戶和操作員是否具有行外轉賬的業(yè)務權 限。 如有則顯示行外轉賬輸入頁面；如無則顯示錯誤頁面。 客戶在輸入頁面： 選擇付款賬號、選擇或輸入收款賬號、輸入確認收款賬號、輸入收款方戶 名、輸入收款方開戶行、選擇是否加急轉賬、輸入轉賬金額、輸入