【正文】 回待客戶確認(rèn)的信息或者在USB Key內(nèi)完成確認(rèn)。d)轉(zhuǎn)賬類交易中，網(wǎng)上銀行系統(tǒng)應(yīng)對客戶端提交的敏感信息間的隸屬關(guān)系進(jìn)行嚴(yán)格校驗，例如，驗證提交的賬號和卡號間的隸屬關(guān)系以及賬號、卡號與登錄用戶之間的關(guān)系。e)對于轉(zhuǎn)賬類交易，金融機構(gòu)應(yīng)充分提示客戶相關(guān)的安全風(fēng)險并提供及時通知客戶資金變化的服務(wù)，如果客戶選擇該服務(wù)，應(yīng)在交易發(fā)生后實時告知客戶其資金變化情況。網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范f)對于大額轉(zhuǎn)賬等高風(fēng)險操作(金融機構(gòu)可根據(jù)自身情況對高風(fēng)險操作進(jìn)行界定)發(fā)生后，金融機構(gòu)應(yīng)在確?？蛻粲行?lián)系方式前提下，立即將資金變動情況通知客戶。B．增強要求：轉(zhuǎn)賬類交易應(yīng)使用網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范b)商戶應(yīng)將客戶詳細(xì)賬單信息傳送至網(wǎng)上銀行系統(tǒng)，在網(wǎng)上銀行系統(tǒng)支付頁面中顯示供客戶確認(rèn)。. 客戶教育 基本要求：a)金融機構(gòu)應(yīng)通過各種宣傳渠道向大眾提供正確的網(wǎng)上銀行官方網(wǎng)址和呼叫中心號碼。b)金融機構(gòu)應(yīng)向客戶印發(fā)通俗、易懂的網(wǎng)上銀行信息安全宣傳手冊。c)在網(wǎng)上銀行使用過程中，應(yīng)向客戶明確提示相關(guān)的安全風(fēng)險和注意事項。d)在網(wǎng)上銀行官方網(wǎng)站首頁顯著位置開設(shè)信息安全教育欄目，包括但不限于維護(hù)良好的客戶端環(huán)境、謹(jǐn)防虛假網(wǎng)上銀行鏈接、注意對網(wǎng)上銀行的敏感信息進(jìn)行保護(hù)等內(nèi)容。附1 基本的網(wǎng)絡(luò)防護(hù)架構(gòu)參考圖以下給出一個基本的網(wǎng)絡(luò)安全防護(hù)架構(gòu)參考圖，其中： ：主要處理外部訪問的區(qū)域。：是一個公布信息的區(qū)域，通過互聯(lián)網(wǎng)接入的外部客戶可以訪問該區(qū)域。：是網(wǎng)絡(luò)應(yīng)用程序所處區(qū)域，處理各種邏輯業(yè)務(wù)。：主要處理各種數(shù)據(jù)操作，是數(shù)據(jù)庫所在區(qū)域。：主要負(fù)責(zé)管理設(shè)備的接入。：單獨的互聯(lián)網(wǎng)測試環(huán)境區(qū)域。：主要處理互聯(lián)網(wǎng)應(yīng)用系統(tǒng)與其他系統(tǒng)互聯(lián)的區(qū)域。網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范附2增強的網(wǎng)防護(hù)架構(gòu)參考圖增強的網(wǎng)絡(luò)安全防護(hù)是在基本安全防護(hù)的基礎(chǔ)上，部署應(yīng)用防火墻和文件摘要保護(hù)來進(jìn)一步保障網(wǎng)絡(luò)的安全性和完整性，同時通過協(xié)議分析和流量統(tǒng)計、操作審計、數(shù)據(jù)審計和監(jiān)控審計系統(tǒng)來完善審計響應(yīng)的需求，以下給出增強的網(wǎng)絡(luò)安全防護(hù)架構(gòu)參考圖。網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范第三篇：信息系統(tǒng)安全管理方案信息系統(tǒng)安全管理方案信息系統(tǒng)的安全，是指為信息系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄漏，以保證系統(tǒng)連續(xù)正常運行。信息系統(tǒng)的安全方案是為發(fā)布、管理和保護(hù)敏感的信息資源而制定的一級法律、法規(guī)和措施的總和，是對信息資源使用、管理規(guī)則的正式描述，是院內(nèi)所有人員都必須遵守的規(guī)則。信息系統(tǒng)的受到的安全威脅有：操作系統(tǒng)的不安全性、防火墻的不安全性、來自內(nèi)部人員的安全威脅、缺乏有效的監(jiān)督機制和評估網(wǎng)絡(luò)系統(tǒng)的安全性手段、系統(tǒng)不能對病毒有效控制等。一、機房設(shè)備的物理安全硬件設(shè)備事故對信息系統(tǒng)危害極大，如電源事故引起的火災(zāi)，機房通風(fēng)散熱不好引起燒毀硬件等，嚴(yán)重的可使系統(tǒng)業(yè)務(wù)停頓，造成不可估量的損失；輕的也會使相應(yīng)業(yè)務(wù)混亂，無法正常運轉(zhuǎn)。對系統(tǒng)的管理、看護(hù)不善，可使一些不法分子盜竊計算機及網(wǎng)絡(luò)硬件設(shè)備，從中牟利，使企業(yè)和國家財產(chǎn)遭受損失，還破壞了系統(tǒng)的正常運行。因此，信息系統(tǒng)安全首先要保證機房和硬件設(shè)備的安全。要制定嚴(yán)格的機房管理制度和保衛(wèi)制度，注意防火、防盜、防雷擊等突發(fā)事件和自然災(zāi)害，采用隔離、防輻射措施實現(xiàn)系統(tǒng)安全運行。二、管理制度在制定安全策略的同時，要制定相關(guān)的信息與網(wǎng)絡(luò)安全的技術(shù)標(biāo)準(zhǔn)與規(guī)范。技術(shù)標(biāo)準(zhǔn)著重從技術(shù)方面規(guī)定與規(guī)范實現(xiàn)安全策略的技術(shù)、機制與安全產(chǎn)品的功能指標(biāo)要求。管理規(guī)范是從政策組織、人力與流程方面對安全策略的實施進(jìn)行規(guī)劃。這些標(biāo)準(zhǔn)與規(guī)范是安全策略的技術(shù)保障與管理基礎(chǔ)，沒有一定政策法規(guī)制度保障的安全策略形同一堆廢紙。要備好國家有關(guān)法規(guī)，如：《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》、《商用密碼管理條例》等，做到有據(jù)可查。同時，要制定信息系統(tǒng)及其環(huán)境安全管理的規(guī)則，規(guī)則應(yīng)包含下列內(nèi)容：１、崗位職責(zé)：包括門衛(wèi)在內(nèi)的值班制度與職責(zé)，管理人員和工程技術(shù)人員的職責(zé)；２、信息系統(tǒng)的使用規(guī)則，包括各用戶的使用權(quán)限，建立與維護(hù)完整的網(wǎng)絡(luò)用戶數(shù)據(jù)庫，嚴(yán)格對系統(tǒng)日志進(jìn)行管理，對公共機房實行精確到人、到機位的登記制度，實現(xiàn)對網(wǎng)絡(luò)客戶、ＩＰ地址、ＭＡＣ地址、服務(wù)帳號的精確管理；３、軟件管理制度；４、機房設(shè)備（包括電源、空調(diào)）管理制度；５、網(wǎng)絡(luò)運行管理制度；６、硬件維護(hù)制度；７、軟件維護(hù)制度；８、定期安全檢查與教育制度；９、下屬單位入網(wǎng)行為規(guī)范和安全協(xié)議。三、網(wǎng)絡(luò)安全按照網(wǎng)絡(luò)ＯＳＩ七層模型，網(wǎng)絡(luò)系統(tǒng)的安全貫穿與整個七層模型。針對網(wǎng)絡(luò)系統(tǒng)實際運行的ＴＣＰ／ＩＰ協(xié)議，網(wǎng)絡(luò)安全貫穿于信息系統(tǒng)的以下層次：１、物理層安全：主要防止物理通路的損壞、物理通路的竊聽、對物理通路的攻擊（干擾等）。２、鏈路層安全：需要保證網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。主要采用劃分 ＶＬＡＮ、加密通訊（遠(yuǎn)程網(wǎng)）等手段。３、網(wǎng)絡(luò)層安全：需要保證網(wǎng)絡(luò)只給授權(quán)的用戶使用授權(quán)的服務(wù)，保證網(wǎng)絡(luò)路由正確，避免被攔截或監(jiān)聽。４、操作系統(tǒng)安全：保證客戶資料、操作系統(tǒng)訪問控制的安全，同時能夠?qū)υ摬僮飨到y(tǒng)的應(yīng)用進(jìn)行審計。５、應(yīng)用平臺安全：應(yīng)用平臺之建立在網(wǎng)絡(luò)系統(tǒng)上的應(yīng)用軟件服務(wù)器，如數(shù)據(jù)服務(wù)器、電子郵件服務(wù)器、ＷＥＢ服務(wù)器等。其安全通常采用多種技術(shù)（如ＳＳＬ等）來增強應(yīng)用平臺的安全系統(tǒng)。６、應(yīng)用系統(tǒng)安全：使用應(yīng)用平臺提供的安全服務(wù)來保證基本安全，如通過通訊雙方的認(rèn)證、審計等手段。系統(tǒng)安全體系應(yīng)具備以下功能：建立對特等網(wǎng)段、服務(wù)的訪問控制體系；檢查安全漏洞；建立入侵性攻擊監(jiān)控體系；主動進(jìn)行加密通訊；建立良好的認(rèn)證體系；進(jìn)行良好的備份和恢復(fù)機制；進(jìn)行多層防御，隱藏內(nèi)部信息并建立安全監(jiān)控中心等。網(wǎng)絡(luò)安全防范是每一個系統(tǒng)設(shè)計人員和管理人員的重要任務(wù)和職責(zé)。網(wǎng)絡(luò)應(yīng)采用保種控制技術(shù)保證安全訪問而絕對禁止非法者進(jìn)入，已經(jīng)成為網(wǎng)絡(luò)建設(shè)及安全的重大決策問題。明確網(wǎng)絡(luò)資源。事實上我們不能確定誰會來攻擊網(wǎng)絡(luò)系統(tǒng)，所以作為網(wǎng)絡(luò)管理員在制定安全策略之初應(yīng)充分了解網(wǎng)絡(luò)結(jié)構(gòu)，了解保護(hù)什么，需要什么樣的訪問以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問。第四篇：關(guān)于規(guī)范公司網(wǎng)絡(luò)信息系統(tǒng)安全管理的會議紀(jì)要保定天威集團(tuán)特變電氣有限公司關(guān)于規(guī)范公司網(wǎng)絡(luò)信息系統(tǒng)安全管理的會議紀(jì)要時 間：2011年7月13日14：00—14：30地 點：三層會議室會議主持：趙峰參加人員：李娜張恩芳馬云峰周佳戴麟高新亮主要內(nèi)容：為了貫徹落實《保定天威集團(tuán)特變電氣有限公司信息系統(tǒng)安全管理辦法》，規(guī)范特變公司信息系統(tǒng)安全管理，保障信息系統(tǒng)的安全可靠運行，經(jīng)與會協(xié)商，形成以下意見：對公司現(xiàn)有計算機操作者及其用戶名進(jìn)行統(tǒng)計和整理，按照一個操作者使用一個用戶名的原則，將用戶名與操作者計算機綁定，避免用戶名公用和濫用造成技術(shù)數(shù)據(jù)、圖紙資料外流和個人郵件信息泄露的情況發(fā)生。對所有用戶名的網(wǎng)絡(luò)使用權(quán)限進(jìn)行重新審批，審批流程嚴(yán)格按照公司《電子辦公設(shè)備及網(wǎng)絡(luò)使用管理規(guī)定》進(jìn)行，僅對工作職責(zé)中有切實需要的開放互聯(lián)網(wǎng)使用權(quán)限。減少病毒、網(wǎng)絡(luò)入侵等對服務(wù)器的惡意攻擊。記錄并留存用戶登錄和退出時間、主叫號碼、賬號、域名、系統(tǒng)維護(hù)日志等信息。此次用戶名統(tǒng)計整理完畢后，對濫用和盜用他人用戶名的行為將按情節(jié)輕重對部門負(fù)責(zé)人及責(zé)任人從嚴(yán)考核。企管策劃部負(fù)責(zé)此次網(wǎng)絡(luò)信息安全改革的用戶名統(tǒng)計與網(wǎng)絡(luò)使用權(quán)限的審批；科技質(zhì)量管理辦公室負(fù)責(zé)網(wǎng)絡(luò)軟件、數(shù)據(jù)庫、服務(wù)器的執(zhí)行與維護(hù)；設(shè)備能源部負(fù)責(zé)用戶名的調(diào)整及設(shè)備硬件的維護(hù)。特變公司企管策劃部2011年7月13日第五篇：信息系統(tǒng)安全數(shù)字簽名過程 “發(fā)送報文時，發(fā)送方用一個哈希函數(shù)從報文文本中生成報文摘要,然后用自己的私人密鑰對這個摘要進(jìn)行加密，這個加密后的摘要將作為報文的數(shù)字簽名和報文一起發(fā)送給接收方，接收方首先用與發(fā)送方一樣的哈希函數(shù)從接收到的原始報文中計算出報文摘要，接著再用發(fā)送方的公用密鑰來對報文附加的數(shù)字簽名進(jìn)行解密，如果這兩個摘要相同、那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。數(shù)字簽名有兩種功效：一是能確定消息確實是由發(fā)送方簽名并發(fā)出來的，因為別人假冒不了發(fā)送方的簽名。二是數(shù)字簽名能確定消息的完整性。因為數(shù)字簽名的特點是它代表了文件的特征，文件如果發(fā)生改變，數(shù)字簽名的值也將發(fā)生變化。不同的文件將得到不同的數(shù)字簽名。一次數(shù)字簽名涉及到一個哈希函數(shù)、發(fā)送者的公鑰、發(fā)送者的私鑰。”這報文鑒別的描述！數(shù)字簽名沒有那么復(fù)雜。數(shù)字簽名： 發(fā)送方用自己的密鑰對報文X進(jìn)行E運算，生成不可讀取的密文Esk，然后將Esx傳送給接收方，接收方為了核實簽名，用發(fā)送方的密鑰進(jìn)行D運算，還原報文。口令攻擊的主要方法社會工程學(xué)(social Engineering)，通過人際交往這一非技術(shù)手段以欺騙、套取的方式來獲得口令。避免此類攻擊的對策是加強用戶意識。猜測攻擊。首先使用口令猜測程序進(jìn)行攻擊?？诹畈聹y程序往往根據(jù)用戶定義口令的習(xí)慣猜測用戶口令，像名字縮寫、生日、寵物名、部門名等。在詳細(xì)了解用戶的社會背景之后，黑客可以列舉出幾百種可能的口令，并在很短的時間內(nèi)就可以完成猜測攻擊。字典攻擊。如果猜測攻擊不成功，入侵者會繼續(xù)擴(kuò)大攻擊范圍，對所有英文單詞進(jìn)行嘗試，程序?qū)葱蛉〕鲆粋€又一個的單詞，進(jìn)行一次又一次嘗試，直到成功。據(jù)有的傳媒報導(dǎo)，對于一個有8萬個英文單詞的集合來說，入侵者不到一分半鐘就可試完。所以，如果用戶的口令不太長或是單詞、短語，那么很快就會被破譯出來。窮舉攻擊。如果字典攻擊仍然不能夠成功，入侵者會采取窮舉攻擊。一般從長度為1的口令開始，按長度遞增進(jìn)行嘗試攻擊。由于人們往往偏愛簡單易記的口令，窮舉攻擊的成功率很高。如果每千分之一秒檢查一個口令，那么86%的口令可以在一周內(nèi)破譯出來。混合攻擊，結(jié)合了字典攻擊和窮舉攻擊，先字典攻擊，再暴力攻擊。避免以上四類攻擊的對策是加強口令策略。直接破解系統(tǒng)口令文件。所有的攻擊都不能夠奏效，入侵者會尋找目標(biāo)主機的安全漏洞和薄弱環(huán)節(jié)，飼機偷走存放系統(tǒng)口令的文件，然后破譯加密的口令，以便冒充合法用戶訪問這臺主機。7:網(wǎng)絡(luò)嗅探(sniffer)，通過嗅探器在局域網(wǎng)內(nèi)嗅探明文傳輸?shù)目诹钭址?。避免此類攻擊的對策是網(wǎng)絡(luò)傳輸采用加密傳輸?shù)姆绞竭M(jìn)行。8:鍵盤記錄，在目標(biāo)系統(tǒng)中安裝鍵盤記錄后門，記錄操作員輸入的口令字符串，如很多間諜軟件，木馬等都可能會盜取你的口述。9:其他攻擊方式，中間人攻擊、重放攻擊、生日攻擊、時間攻擊。避免以上幾類攻擊的對策是加強用戶安全意識，采用安全的密碼系統(tǒng)，注意系統(tǒng)安全，避免感染間諜軟件、木馬等惡意程序。