【正文】 證傳輸數(shù)據(jù)的完整性和真實性。這樣就可以防止信息內(nèi)容在未經(jīng)檢測的情況下被修改，接收方可以確信他們收到的是無法進行修改的信息。SSL可以嵌入Intemet的處理棧內(nèi)，對其他協(xié)議沒有太大影響，能夠同其他Intemet應用一起使用，如btranet、應用安全和Web服務。因此SSL協(xié)議具有應用面廣、實施成本低、安全高效、操作簡單等優(yōu)點，使它在網(wǎng)上銀行、電子政務、證券、電子商務系統(tǒng)等領域得到廣泛的應用。事實上SSL協(xié)議也是解決網(wǎng)上銀行安全比較好的辦法。二、SSL協(xié)議的組成SSL協(xié)議主要有兩層組成，其底層是SSL記錄協(xié)議層(SSLRec。rdProtoeolLayer)，簡稱記錄層，主要實現(xiàn)對記錄的分段、壓縮和保密傳輸。其高層是SSL握手協(xié)議層(SSLHandshakeProtoeolLayer)，簡稱握手層，主要用于協(xié)商雙方的加密規(guī)則。此外還有警告協(xié)議、更改密碼說明協(xié)議和應用數(shù)據(jù)協(xié)議等對話協(xié)議和管理提高支持的子協(xié)議。: SSL的分層次結構圖握手協(xié)議和記錄協(xié)議是SSL協(xié)議的核心組成部分。其上是超文本協(xié)議HTTP、文件傳輸協(xié)議FTP和傳輸控制協(xié)議TELNET。他們控制文本的傳輸，支撐握手。記錄協(xié)議的低層通信是用戶數(shù)據(jù)報文和TCP/工P協(xié)議。握手協(xié)議層它的功能是:算法協(xié)商，首次通信時，雙方通過握手協(xié)議協(xié)商密鑰交換算法、壓縮算法和加密算法。身份驗證:在密鑰協(xié)商完成后，客戶端與服務器端通過證書交換，互相驗證對方的身份，一般是通過目錄服務器的LDAP查詢完成。確定密鑰:最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的秘密信息，客戶端和服務器各自根據(jù)這個秘密信息確定數(shù)據(jù)加密算法的參數(shù)(一般是對稱密鑰)。SSL協(xié)議的握手過程用到了三種協(xié)議:SSLhandshake協(xié)議、SsLchangeciPhersPee協(xié)議和SSLAlert協(xié)議。: SSL協(xié)議過程圖記錄協(xié)議層記錄協(xié)議層的功能是:對要傳送的數(shù)據(jù)實施壓縮與解壓縮、加解密、計算與校驗MAC。在記錄的過程中用到的壓縮算法，對稱加密算法、以C算法、密鑰長度、散列長度、1V長度等參數(shù)是由當前會話指定的。并且隨機數(shù)、加密密鑰、MAC密鑰、NS、消息序列號等也是己經(jīng)指定的。記錄層協(xié)議需要封裝的高層協(xié)議有以下4類:change。iPher印ec協(xié)議、Aler協(xié)議、握手協(xié)議和應用層協(xié)議(如:HTTP，F(xiàn)TP和TELNET等)，: SSL協(xié)議棧SSL的記錄頭可以是兩個或者三個字節(jié)長的編碼，SSL記錄頭包含的信息有記錄頭的長度，記錄數(shù)據(jù)的長度，記錄數(shù)據(jù)中是否有填充數(shù)據(jù)。其中，填充數(shù)據(jù)是在使用塊加密算法時，填充的實際數(shù)據(jù)，使其長度恰好是塊的整數(shù)倍，以便傳輸?shù)募?解密。SSL記錄數(shù)據(jù)部分含有3個分量，MAC數(shù)據(jù):用于數(shù)據(jù)完整性檢查，ACTUAL數(shù)據(jù):被傳輸?shù)膽脭?shù)據(jù)。PADDING數(shù)據(jù):采用分組碼時需要填充的數(shù)據(jù)。網(wǎng)上銀行基于互聯(lián)網(wǎng)，采用SSL協(xié)議將客戶與銀行連接起來，實現(xiàn)客戶端與網(wǎng)銀服務器的端對端的連接。按上述SSL握手協(xié)議和記錄協(xié)議的原理，客戶與網(wǎng)上銀行之間形成一個安全管道，進行客戶與網(wǎng)銀之間的證書交換，交易數(shù)據(jù)的加密，實現(xiàn)身份認證與交易的數(shù)字簽名。面對網(wǎng)上銀行的安全問題，我們已經(jīng)提出了相應的對策，我們應該綜合各種對策，提出全面的安全管理模型。才能有效地把網(wǎng)上銀行交易安全的工作做好。網(wǎng)上銀行的安全問題是一個綜合性的系統(tǒng)工程，涉及面廣，所含內(nèi)容光靠幾項先進的安全技術是不夠的，還必須制定網(wǎng)上銀行的有關安全制度、提高內(nèi)部管理、建立預警與監(jiān)控制度，: 網(wǎng)上銀行安全管理模型一、制度策略制度策略的含義就是通過制定各種相關的規(guī)章制度，規(guī)范銀行的各種業(yè)務流程和其他工作流程。用全面有效的制度將網(wǎng)上銀行的風險降低到最小。制度是保障網(wǎng)上銀行業(yè)務運行的法律武器，是網(wǎng)上銀行存在的前提。制度策略可以從以下幾個方面來努力:制定安全政策，制定涉及網(wǎng)上銀行安全管理的行政法規(guī)和計算機犯罪處理條例以及網(wǎng)上銀行內(nèi)部各級具體操作安全制度。健全網(wǎng)上銀行監(jiān)管制度，主要從三個方面來努力。①逐步健全國家的監(jiān)管方面的法律法規(guī)。②制定詳細的監(jiān)管條例。監(jiān)管條例:主要是對網(wǎng)上銀行的監(jiān)管作出原則性的規(guī)定。作為行業(yè)行政法規(guī)，它的制定應具有概括性、開放性和可兼容性，不宜過細、過全、過準。③指引公告:對監(jiān)管當局目前基本認定但仍未成熟，或者可推廣的技術操作系統(tǒng)、標準、風險管理手段等，或者那些如果不加以適當?shù)墓芾恚锌赡苄纬上到y(tǒng)性風險的業(yè)務流程、項目和規(guī)范，以及計劃的檢查項目、檢查手段等，以指引公告的方式發(fā)布，隨著情況的變化及時調(diào)整。二、內(nèi)控管理策略網(wǎng)上銀行的內(nèi)控管理的對象分兩種:第一種銀行內(nèi)部人員使用網(wǎng)上銀行的操作管理。銀行內(nèi)部人員使用網(wǎng)上銀行的操作管理是指對操作網(wǎng)上銀行系統(tǒng)、辦理網(wǎng)上銀行業(yè)務的機構和人員建立逐級管理和分級授權的制度。第二種銀行對網(wǎng)上銀行客戶的管理。主要是指銀行對哪些客戶可以使用網(wǎng)上銀行，客戶可以使用哪些網(wǎng)上銀行服務，以及客戶操作網(wǎng)上銀行的過程和結果進行管理。內(nèi)控管理模塊有三個方面的具體工作:完善針對網(wǎng)上銀行內(nèi)控的各項制度。包括:網(wǎng)上銀行對其下屬單位開辦網(wǎng)上業(yè)務的準入機制。管理和處理網(wǎng)上銀行業(yè)務的內(nèi)部人員的橫向制約和相互監(jiān)督的管理機制?？蛻羯暾埵褂镁W(wǎng)上銀行的嚴格的申請和審批程序。健全授權審批機制。實行詳細并且完善的分級授權機制，確保每筆交易必須經(jīng)過經(jīng)辦及授權確認，進一步防止銀行內(nèi)部人員作案的可能性。加強內(nèi)部審計，引入外部審計制度。加強內(nèi)部審計主要是指充實內(nèi)部審計的隊伍，通過培訓提高審計人員的業(yè)務素質(zhì)。引入外部審計是指通過會計事務所的審計，及時發(fā)現(xiàn)內(nèi)控制度的薄弱環(huán)節(jié)，認真整改，有效提高風險防范能力。三、安全技術策略安全技術策略就是針對網(wǎng)上銀行業(yè)務的技術性風險，并針對網(wǎng)上銀行業(yè)務的特點，制訂全面、綜合、重點突出的策略。本策略在網(wǎng)絡方面通過防火墻、入侵檢測等設置，防止攻擊者非法入侵，保障銀行系統(tǒng)的安全。在交易安全方面，應用SSL安全通信協(xié)議和SSL安全代理等，通過對傳輸過程的數(shù)據(jù)進行加密，防止客戶信息被竊取和篡改。: 網(wǎng)上銀行安全管理技術模型四、風險預警與監(jiān)控以網(wǎng)上銀行技術風險監(jiān)管指標體系為依據(jù)，在廣泛收集國內(nèi)外有關網(wǎng)上信系統(tǒng)犯罪案件和計算機安全事故與案例的基礎上，建立銀行技術風險預警數(shù)據(jù)庫，并對銀行技術風險事故進行科學的分類，通過建立合理的數(shù)學模型，采用數(shù)據(jù)掘的方法，對銀行技術風險進行監(jiān)測和預警。通過對網(wǎng)上銀行技術風險因素的別和分析，建立科學的技術風險監(jiān)督指標體系，并盡可能進行量化。建立網(wǎng)上銀行技術風險預警數(shù)據(jù)庫:根據(jù)網(wǎng)上銀行技術風險監(jiān)管指標體系泛采集國內(nèi)外有關銀行，甚至相關行業(yè)如商業(yè)，財稅，會計等安全性技術風險數(shù)據(jù)，建立網(wǎng)上銀行技術風險預警數(shù)據(jù)庫。建立銀行技術風險預警模型:盡可能采用數(shù)學方法，在對大量技術風險問的模式和規(guī)模進行深入分析和研究的基礎上，建立數(shù)學模型。進行技術風險預警:通過實時，動態(tài)的監(jiān)控，利用技術風險預警模型，對國現(xiàn)行網(wǎng)上銀行信息系統(tǒng)的技術風險因素和可能面臨的威脅預警。并定期發(fā)布上銀行技術風險預警信息。: 網(wǎng)上銀行交易風險預警與監(jiān)控模型五、網(wǎng)上銀行風險管理流程，因為網(wǎng)上銀行新技術和新業(yè)務的不斷推出以及應用，所以網(wǎng)上銀行的安全管理過程是以安全要素為核心，按照風險識別、風險評估、風險控制、風險監(jiān)視的順序循環(huán)往復的進行。 網(wǎng)上銀行風險管理過程第五章 總結與展望總結：網(wǎng)上銀行是銀行業(yè)未來的發(fā)展的主要方向之一，依附于互聯(lián)網(wǎng)，網(wǎng)上銀行可將其觸角伸向世界的每個角落。所有的居民都是其潛在的客戶，發(fā)展前景巨大。經(jīng)過2006年，中國銀行業(yè)全面開放，中外銀行爭奪優(yōu)勢客戶的大戰(zhàn)己經(jīng)開始，外資銀行咄咄逼人的網(wǎng)上銀行業(yè)務技術，使我國的銀行業(yè)感到很大的壓力，面對挑戰(zhàn)，國內(nèi)網(wǎng)上銀行更應該看清自己的問題，采取及時有效的措施，促進自身的展?；谏鲜瞿康?，本文首先以網(wǎng)上銀行的交易安全問題為研究對象。通過對上銀行含義的介紹，在深入研究我國網(wǎng)上銀行的發(fā)展現(xiàn)狀的基礎上，從本質(zhì)上給出了我國網(wǎng)上銀行發(fā)展過程中形成的具有中國特色的特點。作為研究分析問題依據(jù)，本文通過問卷調(diào)查和引用知名咨詢公司iReasearoh公司對2007年中國網(wǎng)支付和網(wǎng)上銀行及用戶發(fā)展情況的統(tǒng)計數(shù)據(jù)，并經(jīng)過詳細的整理，現(xiàn)實地分析中國網(wǎng)上銀行的發(fā)展現(xiàn)狀和存在的主要問題。從戰(zhàn)略發(fā)展的高度和實際應用的度，系統(tǒng)的提出了若干推進國內(nèi)網(wǎng)上銀行發(fā)展的具體措施和方法，提出了國內(nèi)上銀行的安全管理模型，以求有更廣泛的實際意義。展望:將動態(tài)口令身份認證和數(shù)字證書結合使用，可結合兩者的優(yōu)勢，也是消動態(tài)口令認證局限性的重要研究方向，有較大的研究價值。手機銀行是利用手機辦理銀行業(yè)務的簡稱，目前國內(nèi)手機銀行大多以供查詢賬戶等信息類服務為主，交易類服務(如移動購物、移動支付等)卻不多這方面的市場潛力很大，以后有待進一步探討。建立網(wǎng)上銀行安全聯(lián)動機制和諧安全的網(wǎng)絡交易環(huán)境需要銀行和全社會的共同努力。銀行在加強安全性建設的同時，還應積極主動地建立銀行間的風險事件實時共享及互動機制，加強與執(zhí)法部門及使用者之間的有效聯(lián)動，加強與中國金觸認證中心、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、亞太地區(qū)計算機應急響應組織等國內(nèi)、國際網(wǎng)絡安全機構的交流與合作，內(nèi)外合力、全方位保障用戶使用網(wǎng)上銀行的安全。25 / 2