【文章內(nèi)容簡(jiǎn)介】 的交易密碼，可能有必要采用端對(duì)端加密 （ Endtoend encryption）。 (2)系統(tǒng)層面 入侵檢測(cè)系統(tǒng) 安裝切實(shí)有效的入侵偵測(cè)系統(tǒng)（ Intrusion Detection System，簡(jiǎn)稱 IDS）。 較成熟的系統(tǒng)，既可偵測(cè)到已知的攻擊、又可以對(duì)異?，F(xiàn)象報(bào)警，對(duì)于從內(nèi)外 部試圖對(duì)網(wǎng)銀項(xiàng)目入侵攻擊的行為進(jìn)行檢測(cè)和報(bào)警。 (3)應(yīng)用層面 JAVA應(yīng)用服 務(wù)器 作為業(yè)界主流的應(yīng)用服務(wù)器產(chǎn)品， IBM WebSphere Application Server及 BEA WebLogic Enterprise Server都提供了強(qiáng)大的應(yīng)用級(jí)安全措施，銀行的網(wǎng) 銀項(xiàng)目應(yīng)采取這些成熟的 JAVA應(yīng)用服務(wù)器。 數(shù)字簽名驗(yàn)簽 應(yīng)該采用采用滿足國(guó)際標(biāo)準(zhǔn)的技術(shù)實(shí)現(xiàn)了在 SSL基礎(chǔ)上的數(shù)字簽名及驗(yàn)證 系統(tǒng) 客戶端安全控制 客戶端安全基本策略包括：使用 SSL加密傳輸；對(duì)關(guān)鍵性交易，必須采用 PKI證書簽名；選擇安全級(jí)別高的證書存儲(chǔ)介質(zhì)，如 USBKEY。 針對(duì)諸如“網(wǎng)銀項(xiàng)目大盜”一 類的密碼竊聽攻擊，相應(yīng)解決措施包括：安裝專業(yè)的殺毒軟件和防火墻軟件，并保持病毒庫(kù)的更新；規(guī)范客戶端操作管理； 提供軟鍵盤以及動(dòng)態(tài)口令等手段避免卡號(hào)、密碼、身份證號(hào)等關(guān)鍵信息被盜取； 在網(wǎng)銀項(xiàng)目應(yīng)用中，采用網(wǎng)銀項(xiàng)目登錄密碼和網(wǎng)銀項(xiàng)目交易密碼取代賬戶 查詢密碼及賬戶交易密碼。 客戶端安全控件，控件特點(diǎn)如下：打斷鉤子傳輸鏈，使鉤子類攻擊軟件失 效。例如：“鍵盤鉤子”和“目標(biāo)窗口過程中處理后消息鉤子”攻擊軟件。防止 驅(qū)動(dòng)層 KeyLoger。禁止非法的內(nèi)容獲?。?Get）及設(shè)置 (Set)消息，防范密碼查 看軟件攻擊。禁 止編輯指令和功能鍵的命令。 (例如： copy、 paste、 cat命令， Ctrl功能鍵 )。編輯控件、密碼控件、提交控件配合使用，不暴露內(nèi)容獲取函 數(shù)，防止腳本注入類軟件的攻擊。編輯控件、密碼控件、提交控件內(nèi)部存在認(rèn) 證關(guān)系，防止了惡意的相同 GUID控件的欺騙攻擊。防止截屏，錄屏發(fā)送按鍵 擾碼。支持獲取機(jī)器指紋 登錄日志中記錄客戶訪問系統(tǒng)的遠(yuǎn)程 IP地址和時(shí)間等詳細(xì)信息，可以統(tǒng)計(jì) 客戶訪問系統(tǒng)的次數(shù)。 注入過濾 為防止網(wǎng)銀項(xiàng)目和門戶網(wǎng)站系統(tǒng)遭受注入攻擊，需要嚴(yán)格規(guī)范系統(tǒng)的開發(fā) 規(guī)范，從程序開發(fā)的過程中杜絕注入攻擊 的可能性。 主要是有以下兩個(gè)方面：第一是 SQL腳本注入，攻擊者往往利用此類注入 來非法執(zhí)行數(shù)據(jù)庫(kù)訪問，以查看權(quán)限范圍外的信息，造成信息的泄露?；蛘呃? 用該注入方式修改 SQL語句的邏輯，造成系統(tǒng)數(shù)據(jù)庫(kù)級(jí)的信息校驗(yàn)的失效。防 范此類注入攻擊需要在程序開發(fā)的時(shí)候?qū)ι婕皵?shù)據(jù)庫(kù) JDBC操作的時(shí)候禁止使用 字符串拼接 SQL的方式，同時(shí)強(qiáng)制要求采用 JAVA的 PreparedStatement類來對(duì) SQL語句進(jìn)行預(yù)處理，將參數(shù)值以方法調(diào)用的方式傳遞給 PreparedStatement類。 第二是 JavaScript腳本注 入，攻擊者可以通過在輸入的信息中植入 JavaScript腳本，給系統(tǒng)帶來界面信息的混亂，甚至通過執(zhí)行相關(guān)邏輯來給系 統(tǒng)帶來災(zāi)難。為杜絕此類注入的危害，需要嚴(yán)格要求在服務(wù)端對(duì)頁面輸入信息 的合法性進(jìn)行校驗(yàn)，對(duì)需要在頁面進(jìn)行顯示的數(shù)據(jù)項(xiàng)進(jìn)行 JavaScript腳本的校 驗(yàn)和處理，切斷 JavaScript腳本運(yùn)行的渠道。 在平臺(tái)中通過參數(shù)化的方式為系統(tǒng)中的每一類數(shù)據(jù)設(shè)置一個(gè)校驗(yàn)規(guī)則，稱 之為“樣式”，主要是使用 Java的正則表達(dá)式技術(shù)來實(shí)現(xiàn)。通過該樣式來對(duì)企 業(yè)網(wǎng)銀項(xiàng)目從頁面輸入的數(shù)據(jù)進(jìn)行校驗(yàn)，確保輸入數(shù)據(jù)的合 法性。 防釣魚網(wǎng)站 由于網(wǎng)銀項(xiàng)目業(yè)務(wù)的特殊性，運(yùn)行在系統(tǒng)之上的數(shù)據(jù)都是銀行客戶的隱私 數(shù)據(jù)，比如賬號(hào)、密碼、證件類型、證件號(hào)碼等，其數(shù)據(jù)的價(jià)值也使其成為不 法分子竊取信息的目標(biāo)。釣魚網(wǎng)站通過構(gòu)建一個(gè)與企業(yè)網(wǎng)銀系統(tǒng)界面完全一致 的系統(tǒng)，并且申請(qǐng)與企業(yè)網(wǎng)銀項(xiàng)目 URL訪問地址極其相似的地址來將其發(fā)布到 互聯(lián)網(wǎng)上。通過郵件，搜索引擎等媒介將其在互聯(lián)網(wǎng)和用戶中傳播。一旦客戶 進(jìn)入該系統(tǒng)，登錄偽造的企業(yè)網(wǎng)銀系統(tǒng)進(jìn)行交易，該系統(tǒng)會(huì)把客戶的賬號(hào)、密 碼等重要信息竊取。 銀行通過設(shè)置客戶個(gè)性化信息和個(gè)性化圖片的方式來防止釣魚 網(wǎng)站對(duì)客戶 的危害?？蛻粼诤灱s網(wǎng)銀項(xiàng)目的時(shí)候，系統(tǒng)要求客戶錄入個(gè)性化預(yù)留信息和上 傳個(gè)性化圖片?？蛻粼诘卿浘W(wǎng)銀系統(tǒng)后，系統(tǒng)將在顯著位置顯示客戶預(yù)留的個(gè) 性化信息和個(gè)性化圖片，以此告知客戶網(wǎng)站的合法性，以避免釣魚網(wǎng)站欺騙性 的獲取客戶的重要信息。客戶可以在登錄企業(yè)網(wǎng)銀系統(tǒng)后對(duì)預(yù)留信息和預(yù)留圖 片進(jìn)行修改。 (4)數(shù)據(jù)保密性層面 通訊層采用 SSL加密傳輸，防止中間人在互聯(lián)網(wǎng)中竊取數(shù)據(jù)的可能。 WEB服務(wù)器與應(yīng)用服務(wù)器之間通訊數(shù)據(jù)加密傳輸，防止銀行內(nèi)部網(wǎng)絡(luò)竊取數(shù) 據(jù)的可能。 客戶端采用客戶端加密控件，對(duì)密碼加密后 再傳輸，系統(tǒng)配合第三方 HSM 設(shè)備解密，實(shí)現(xiàn)密碼的端（客戶）到端（主機(jī)）全過程加密，密碼不會(huì)在中間 任何環(huán)節(jié)暴露明文，防止銀行內(nèi)部竊取密碼的可能。密鑰只保存在 HSM設(shè)備和 主機(jī)，需要定期更換。 對(duì)需要存儲(chǔ)在數(shù)據(jù)庫(kù)里的關(guān)鍵數(shù)據(jù)，先加密后再存儲(chǔ)，密鑰由平臺(tái)加密后 20 以文件形式保存。對(duì)密碼的加密，采用不可逆加密，不能被還原，校驗(yàn)時(shí)對(duì)密 碼再做一次加密，將加密后數(shù)據(jù)與數(shù)據(jù)庫(kù)保存的數(shù)據(jù)比較，如一致表示相同， 這樣可提高密碼保存的安全性。 系統(tǒng)所用到所有密碼，如數(shù)據(jù)庫(kù)訪問密碼等，都不以明文形式在應(yīng)用中出 現(xiàn)，通過平臺(tái) 加密后以文件形式保存。 (5)數(shù)據(jù)完整性層面 根據(jù)密碼學(xué)公開密鑰體系而研制的數(shù)字證書，集身份識(shí)別、加密、防止篡 改等諸功能于一身，在確保互聯(lián)網(wǎng)通訊層的安全方面，起著重要作用。 對(duì)交易信息進(jìn)行數(shù)字簽名，可以起到防止篡改和交易的不可否認(rèn)性二個(gè)作 用。具體地說，可以通過數(shù)字簽名保障對(duì)交易信息的任何改變，任何篡改可以 被網(wǎng)銀項(xiàng)目立刻識(shí)別，因此可以保證交易信息的完整性。 除了對(duì)簽名合法性驗(yàn)證外，還不足以保證完整性，通常 FORM表單里的數(shù)據(jù) 與簽名數(shù)據(jù)是在不同位置定義，可能一個(gè)合法的，但另外一個(gè)被篡改。因此， 系統(tǒng)對(duì)數(shù) 字簽名合法性驗(yàn)證通過后，還需要對(duì)每一個(gè) FORM表單里的數(shù)據(jù)，與簽 名數(shù)據(jù)逐一對(duì)比，要完成一致后，才能表示數(shù)據(jù)是完整無誤的。 (6)交易信息不可否認(rèn)性層面 為了同時(shí)達(dá)到網(wǎng)銀項(xiàng)目所需的交易安全、交易速度，銀行采用標(biāo)準(zhǔn)的 證書及 SSL安全協(xié)議，也即采用瀏覽器內(nèi)置 SSL模塊，并結(jié)合相應(yīng)的數(shù)字簽名 軟件，實(shí)現(xiàn)交易的簽名、驗(yàn)證和保留。 服務(wù)端采用硬件 SSL加速模塊或者 Web Server內(nèi)置的 SSL模塊實(shí)現(xiàn)與瀏覽 器的 SSL加密通道建立。 采用高效的數(shù)字簽名技術(shù)及合理的證書運(yùn)用 由于標(biāo)準(zhǔn)的 SSL協(xié)議，在采用客 戶端證書時(shí)，并未對(duì)用戶的交易數(shù)據(jù)進(jìn)行 顯示簽名，造成應(yīng)用系統(tǒng)無法記錄交易的數(shù)據(jù)及相應(yīng)的數(shù)字簽名，給在技術(shù)層 面確認(rèn)交易的不可否認(rèn)性，帶來一定的困難。為此，銀行采用基于 SSL的顯式 數(shù)字簽名技術(shù)解決方案，以解決該問題。 某些安全廠商提供的安全代理服務(wù)器要求網(wǎng)銀項(xiàng)目采用非標(biāo)準(zhǔn)的方式獲取 21 客戶端證書，這種獲取方式不利于系統(tǒng)的擴(kuò)展及移植，而且使用的簽名技術(shù)包 含許多冗余數(shù)據(jù)，不利于數(shù)字簽名的傳輸及保存。 CSII安全組件通過 J2EE標(biāo)準(zhǔn) 接口獲取證書，實(shí)現(xiàn)客戶端證書與用戶的綁定。通過對(duì)自定義簽名信息格式的 支持， 消除冗余，可實(shí)現(xiàn)簽名信息的高效傳輸及保存。此外， CSII安全組件支 持基于 LDAP 或文件方式的 CRL（證書廢止列表）驗(yàn)證，從而可以及時(shí)確認(rèn)客戶 端證書的有效性，保證客戶服務(wù)系統(tǒng)的交易安全。 通過相應(yīng)的應(yīng)用程序接口，選擇對(duì)關(guān)鍵交易數(shù)據(jù)進(jìn)行數(shù)字簽名，交易發(fā)送 服務(wù)器后，由服務(wù)器端的應(yīng)用系統(tǒng)通過該技術(shù)提供的軟件包進(jìn)行驗(yàn)證，并對(duì)數(shù) 據(jù)進(jìn)行保存。 該數(shù)字簽名基于 RSA/MD5技術(shù)，可支持 51 76 1024或更高的密鑰長(zhǎng)度， 可兼容目前所有的基于 。 適用于低速網(wǎng)絡(luò) 數(shù)字簽名信息可選用 PKCS7 Cryptographic Message Syntax Standard或 CSII自定義的信息格式，自定義的信息格式可以大大壓縮需要通訊和存儲(chǔ)的數(shù) 據(jù)量，使得該項(xiàng)技術(shù)在中國(guó)目前的網(wǎng)絡(luò)環(huán)境下，也實(shí)現(xiàn)高效的傳輸，而且需要 保存的數(shù)據(jù)量很小。 基于開放技術(shù) 數(shù)字簽名采用標(biāo)準(zhǔn)的 在客戶端，采用客戶端證書確認(rèn)的公鑰所對(duì)應(yīng)的私鑰進(jìn)行關(guān)鍵交易的數(shù)字 簽名；在服務(wù)端，通過服務(wù)端獲取的客戶端 ，進(jìn)行交易數(shù)據(jù)的驗(yàn)證。 從而保證了整個(gè)簽名、驗(yàn)證流程基于 。與 SSL協(xié)議完全兼容 即數(shù)字簽名技術(shù)采用的證書，為 SSL的客戶端 ，因此，無需另 外頒發(fā)證書用于數(shù)字簽名，使得數(shù)字簽名及客戶端身份認(rèn)證可共享一張證書， 保證了這項(xiàng)技術(shù)可以無縫地運(yùn)用于現(xiàn)有的 SSL體系。采用 RSA/MD5數(shù)字簽名技 術(shù)。符合 Microsoft CSP 標(biāo)準(zhǔn) 可選用 IC卡或 USB Token作為存儲(chǔ)密鑰對(duì)及證書的介質(zhì) 對(duì)安全強(qiáng)度要求比較高的應(yīng)用，可以選用 IC 卡作為存儲(chǔ)密鑰對(duì)及證書的介質(zhì)，此時(shí)，數(shù)字簽名在 IC卡內(nèi)完成，由于私鑰的產(chǎn)生、使用全部在卡內(nèi)完成， 使得安全強(qiáng)度大大提高。 該系統(tǒng)可以支持所有提供符合 Microsoft CSP 標(biāo)準(zhǔn) Provider的 IC卡，如 Gamp。D、 Gemplus等。 (7)用戶安全級(jí)別分類 大眾版用戶：非簽約用戶，只能夠通過密碼進(jìn)行保護(hù)。進(jìn)入系統(tǒng)以后，只 可以進(jìn)行簡(jiǎn)單的查詢。 證書版用戶：簽約用戶，使用 UKEY進(jìn)入個(gè)人網(wǎng)銀系統(tǒng) OTP 版用戶：簽約用戶，使用登陸 ID、登錄密碼、動(dòng)態(tài)口令進(jìn)入個(gè)人網(wǎng)銀 系統(tǒng) 綜合版用戶：擁有幾種安全認(rèn)證手段的簽約客戶，根本不同情況使用不同 的認(rèn)證方式。 (8)OTP 層面 網(wǎng)銀項(xiàng)目主要使用兩種主流的安全認(rèn)證方式，包括動(dòng)態(tài)令牌（ OTP token） 和數(shù)字證 書。其中動(dòng)態(tài)令牌在國(guó)際上近年受到業(yè)內(nèi)眾多銀行的青睞，因?yàn)樵撛O(shè) 施與計(jì)算機(jī)的完全物理隔離，使用簡(jiǎn)單，無需安裝驅(qū)動(dòng)，也不需要記憶密碼， 將成為未來身份認(rèn)證的主要趨勢(shì)。 針對(duì)網(wǎng)銀項(xiàng)目調(diào)研結(jié)果，推薦以下硬件配置 企業(yè)網(wǎng)上銀行系統(tǒng)業(yè)務(wù)功能主要包括賬戶管理、集團(tuán)業(yè)務(wù)、轉(zhuǎn)賬匯款、代理業(yè)務(wù)、投資理財(cái)、業(yè)務(wù)申請(qǐng)等。 企業(yè)網(wǎng)上銀行系統(tǒng)為專業(yè)版。專業(yè)版可以實(shí)現(xiàn)下掛賬戶轉(zhuǎn)賬、行內(nèi)及跨行 轉(zhuǎn)賬、自助繳費(fèi)等所有企業(yè)網(wǎng)銀業(yè)務(wù)功能，且必須使用 USBKEY數(shù)字證書進(jìn)行簽 名 才能實(shí)現(xiàn)網(wǎng)銀的登錄、賬務(wù)交易、企業(yè)管理臺(tái)等風(fēng)險(xiǎn)業(yè)務(wù)的操作，其中賬務(wù) 交易必須雙人以上使用數(shù)字證書簽名才能完成。 企業(yè)網(wǎng)上銀行系統(tǒng)的主要業(yè)務(wù)功能模塊和業(yè)務(wù)功能點(diǎn)如下： 企業(yè)網(wǎng)銀系統(tǒng)主要功能詳細(xì)說明 功能描述 查詢活期賬戶在一段時(shí)間范圍內(nèi)的交易明細(xì)信息，并可對(duì)查詢結(jié)果信息進(jìn) 行下載和打印。 業(yè)務(wù)流程說明 操作員點(diǎn)擊“賬戶管理→賬戶明細(xì)查詢”； 操作員可以自己通過“當(dāng)日交易明細(xì)查詢”和“歷史交易明細(xì)查詢”功能 輸入查詢條件，點(diǎn)擊“查詢”，系統(tǒng)顯示相應(yīng)的查詢結(jié)果頁面； 沒有記錄的話系統(tǒng)返回信息：“在指定查詢條件內(nèi)無明細(xì)” 功能描述 查詢集團(tuán)賬戶設(shè)置的約定規(guī)則，并且對(duì)規(guī)則可進(jìn)行撤銷處理。 業(yè)務(wù)流程說明 (1)操作員點(diǎn)擊“集團(tuán)資金管理 集團(tuán)賬戶管理”菜單或鏈接。 (2)網(wǎng)銀系統(tǒng)檢查客戶、客戶的賬戶和操作員是否具有“集團(tuán)賬戶可用余額 查詢”的業(yè)務(wù)權(quán)限。如有則顯示“集團(tuán)賬戶可用余額查詢”輸入頁面；如無則 顯示錯(cuò)誤頁面。 (3)對(duì)于狀態(tài)為未授權(quán)、復(fù)核拒絕、授權(quán)拒絕的指令，操作員可以點(diǎn)擊該指 令后的“撤銷”鏈接進(jìn)行撤銷，用戶在彈出的撤銷確認(rèn)中進(jìn)行確認(rèn)，提交確認(rèn) 且系 統(tǒng)處理成功后指令狀態(tài)變?yōu)橐殉蜂N。 (4)撤銷操作需要驗(yàn)證 USBKEY證書。 (5)點(diǎn)擊明細(xì)鏈接可以查詢賬戶交易明細(xì)。 (6)操作員在輸入頁面： 選擇客戶賬號(hào)與生效期限，點(diǎn)擊查詢后頁面會(huì)顯示該賬號(hào)的余額信息等。 功能描述 27 查詢集團(tuán)客戶資產(chǎn)的時(shí)點(diǎn)余額狀況。 業(yè)務(wù)流程說明 (1)操作員點(diǎn)擊“集團(tuán)業(yè)務(wù)查詢 集團(tuán)客戶資產(chǎn)查詢”菜單或鏈接。 (2)網(wǎng)銀系統(tǒng)檢查客戶、客戶的賬戶和操作員是否具有“集團(tuán)客戶資產(chǎn)查詢” 的業(yè)務(wù)權(quán)限。如有則顯示“集團(tuán)客戶資產(chǎn)查詢”輸入頁面；如無則顯示錯(cuò)誤頁 面。 外轉(zhuǎn)賬 功能描述 行外操作員可以通過本功能進(jìn)行實(shí)時(shí)的由本行賬戶向他行賬戶的轉(zhuǎn)賬。本 功能支持的轉(zhuǎn)賬方式包括： 人行小額支付：支持 7X24小時(shí)，由核心系統(tǒng)對(duì)一定數(shù)量的支付交易組包后 整批發(fā)給人行小額支付系統(tǒng)處理，只能為 5萬 (含 )以下金額的轉(zhuǎn)賬。 人行大額支付：支持的匯劃時(shí)間為工作日的 9點(diǎn)到 16點(diǎn)（不同銀行會(huì)有一 定時(shí)間浮動(dòng)），實(shí)時(shí)發(fā)送人行支付系統(tǒng)處理，即時(shí)到賬。 賬戶類型：活期人民幣賬戶、活期一本通賬戶。 業(yè)務(wù)流程 客戶點(diǎn)擊“行外轉(zhuǎn)賬”菜單或鏈接。 網(wǎng)銀系統(tǒng)檢查客戶、客戶的賬戶和操作員是否具有行外轉(zhuǎn)賬的業(yè)務(wù)權(quán) 限。 如有則顯示行外轉(zhuǎn)賬輸入頁面；如無則顯示錯(cuò)誤頁面。 客戶在輸入頁面： 選擇付款賬號(hào)、選擇或輸入收款賬號(hào)、輸入確認(rèn)收款賬號(hào)、輸入收款方戶 名、輸入收款方開戶行、選擇是否加急轉(zhuǎn)賬、輸入轉(zhuǎn)賬金額、輸入