【正文】 、客觀地做出分析和設(shè)計(jì)。[4] 可推廣性：設(shè)計(jì)方案、采用的技術(shù)及其操作流程應(yīng)該支持網(wǎng)上規(guī)?；臄U(kuò)充，易于廣泛推廣。[2] 可靠性：對(duì)于產(chǎn)品，質(zhì)量是保證可靠性的基本因素，對(duì)于項(xiàng)目實(shí)施過程，嚴(yán)密的組織和嚴(yán)格的管理是保證系統(tǒng)可靠性的條件。第 3 章 方案設(shè)計(jì)原則方案在設(shè)計(jì)時(shí)，嚴(yán)格遵循下述基本原則，在方案中給出了具體的保證措施。由于 XML 在保存和傳輸數(shù)據(jù)標(biāo)準(zhǔn)化方面的優(yōu)越性，這項(xiàng)技術(shù)正在成為微軟和 SUN 公司競爭的焦點(diǎn)。4. XML Signature 方式：這時(shí)目前最有希望的一種技術(shù)，IETF 組織正在準(zhǔn)備將這項(xiàng)技術(shù)確立為標(biāo)準(zhǔn)。因?yàn)?Java 具有較大的代表性，所以稱為 Java 方式。3. Java 方式：這種方式是采用客戶端腳本的一類方式，用戶在填好支付指令或轉(zhuǎn)賬指令時(shí)，點(diǎn)擊“發(fā)送”按鈕，瀏覽器腳本或 Applet 開始運(yùn)行，調(diào)用系統(tǒng)的加密模塊對(duì)表單中的數(shù)據(jù)進(jìn)行簽名，并把簽名結(jié)果一起發(fā)送給服務(wù)器應(yīng)用程序。2. 表單簽名技術(shù)：Netscape 公司發(fā)明的一種技術(shù)，在其瀏覽器中已經(jīng)支持，通過調(diào)用 Java 腳本實(shí)現(xiàn)對(duì)表單域內(nèi)容的簽名，這種方案雖然沒有方案 1 的缺點(diǎn)，但是其實(shí)現(xiàn)與瀏覽器相關(guān)。許多 SET 應(yīng)用的實(shí)現(xiàn)采用了這種方案，這種方案的主要缺點(diǎn)是效率比較低，同一段數(shù)據(jù)需要被來回傳送兩次。但是對(duì)于企業(yè)用戶和進(jìn)行證券轉(zhuǎn)賬的個(gè)人用戶來說，轉(zhuǎn)賬金額大，風(fēng)險(xiǎn)大，指令必須附帶簽名數(shù)據(jù)，在簽名數(shù)據(jù)驗(yàn)證通過以后才能真正進(jìn)行支付或轉(zhuǎn)賬。不可否認(rèn)性可以保證每個(gè)帳戶用戶的轉(zhuǎn)帳過程具有法律效力。所以用私鑰對(duì)交易指令的摘要簽名后，就保證了該用戶確實(shí)是發(fā)出了該指令。傳統(tǒng)地，不可否認(rèn)性是通過手工簽名完成的，在網(wǎng)上銀行，不可否認(rèn)性是由數(shù)字簽名機(jī)制實(shí)現(xiàn)的。 不可否認(rèn)性不可否認(rèn)性是指指令發(fā)出者不能在事后否認(rèn)曾經(jīng)發(fā)出該指令。所以正確的方案應(yīng)該采用數(shù)字簽名機(jī)制，由用戶使用自己的數(shù)字證書對(duì)支付指令或轉(zhuǎn)賬指令進(jìn)行簽名，同時(shí)簽名數(shù)據(jù)被永久保存，只有這樣才能真正避免數(shù)據(jù)完整性被破壞，簽名是對(duì)用戶私鑰對(duì)數(shù)據(jù)摘要（又稱指紋）的加密，數(shù)據(jù)發(fā)生變化時(shí)，數(shù)據(jù)摘要也必定發(fā)生變化。 數(shù)據(jù)完整性所謂數(shù)據(jù)完整性就是指用戶在支付指令和轉(zhuǎn)賬指令中所填寫的數(shù)據(jù)必須保持完整，不能在公開網(wǎng)絡(luò)上被其他用戶無意或惡意地修改。證書提交 CA服務(wù)器，檢驗(yàn)是否已經(jīng)作廢3。由于采用了 SSL 技術(shù)，Web 應(yīng)用的開發(fā)也大為簡化，Web 服務(wù)器應(yīng)用程序可以把與查詢狀態(tài)有關(guān)的信息都保存在 Cookie 中，而不必?fù)?dān)心 Cookie 的安全問題。除了采用數(shù)字證書身份認(rèn)證方案以外，SSL 的另一個(gè)優(yōu)點(diǎn)是在建立握手以后，對(duì)客戶和服務(wù)器之間的所有數(shù)據(jù)均采用對(duì)稱算法進(jìn)行加密，對(duì)稱算法的加密效率比較高，所以對(duì)性能不會(huì)造成很大的影響。對(duì)于個(gè)人用戶，考慮到使用的方便性更為重要，可以采用 方式對(duì)口令加密進(jìn)行身份驗(yàn)證，因此用戶不需要申請證書，只需要記住口令就行。圖 2 顯示了企業(yè)用戶身份驗(yàn)證的完整過程。企業(yè)用戶的身份驗(yàn)證過程和 CA 不可分割。網(wǎng)上銀行系統(tǒng)首先驗(yàn)證該用戶的數(shù)字證書是否為合法證書。私鑰永遠(yuǎn)不會(huì)在公開網(wǎng)絡(luò)上傳輸，而且從公鑰無法推導(dǎo)出私鑰口令一旦泄密，所有安全機(jī)制即失效用戶私鑰可以存放在 USBKEY 中并有口令保護(hù)，安全性更高服務(wù)器需要維護(hù)龐大的用戶口令列表并負(fù)責(zé)口令保存的安全服務(wù)器使用數(shù)字證書驗(yàn)證用戶身份，不保存用戶的私鑰，所以用戶私鑰不可能在服務(wù)器端泄露與傳統(tǒng)方法一致，易于理解 技術(shù)較新，普通用戶理解略有難度對(duì)于企業(yè)銀行，由于數(shù)據(jù)安全性要求較高，所以應(yīng)該采用數(shù)字證書身份認(rèn)證加上口令認(rèn)證的雙因子身份認(rèn)證技術(shù)。采用數(shù)字證書的安全體現(xiàn)在私鑰的安全，只要私鑰不被竊取，數(shù)字證書就是安全的，而通過蠻力攻擊法攻破私鑰的可能性是不存在的。SSL 不支持客戶證書，客戶可以通過驗(yàn)證服務(wù)器的證書來判斷服務(wù)器的合法性，服務(wù)器則無法驗(yàn)證客戶的證書，通常服務(wù)器仍然通過口令驗(yàn)證客戶的身份，由于口令在傳輸時(shí)已經(jīng)被加密，所以安全性有了很大的提高。它不但可以解決身份認(rèn)證，也解決了數(shù)據(jù)保密問題，所以目前大部分網(wǎng)上應(yīng)用，包括網(wǎng)上銀行都采用 SSL 技術(shù)來實(shí)現(xiàn)身份認(rèn)證。這些技術(shù)配合口令機(jī)制，就稱為雙因子身份認(rèn)證技術(shù)。因此，傳統(tǒng)的口令驗(yàn)證難以成為網(wǎng)上銀行業(yè)務(wù)的唯一身份認(rèn)證技術(shù)。網(wǎng) 絡(luò)的信道故障或者人 為的惡意行為都很容易使輸錯(cuò)口令次數(shù)達(dá)到限制。，口令猜 測是黑客使用最多的攻 擊手段，即使使用蠻力攻擊法，攻破 8 位的數(shù)字口令也只需很短的時(shí)間。2. 銀行主機(jī)記錄用戶輸錯(cuò) PIN 的次數(shù)，一旦超過一定數(shù)量，就自動(dòng)關(guān)閉該賬戶的服務(wù)功能。網(wǎng)上賬戶查詢的信息安全功能應(yīng)包括兩個(gè)方面：身份認(rèn)證和數(shù)據(jù)保密。通過部署網(wǎng)絡(luò)審計(jì)系統(tǒng)，有助于銀行機(jī)構(gòu)完善組織的 IT 內(nèi)控與審計(jì)體系，完善 IT 內(nèi)控機(jī)制，滿足各種合規(guī)性要求，并且使組織能夠順利通過 IT 審計(jì)（如 SOx 法案的合規(guī)性要求、銀監(jiān)會(huì) 63 號(hào)、313 號(hào)審計(jì)要求等）；可以有效減少核心信息資產(chǎn)（如核心數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等）的破壞和泄漏；有效控制運(yùn)維操作風(fēng)險(xiǎn)，便于事后追查原因與界定責(zé)任；有效控制業(yè)務(wù)運(yùn)行風(fēng)險(xiǎn)，直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況； 網(wǎng)上帳戶查詢網(wǎng)上賬戶查詢是指網(wǎng)上銀行通過 Inter 進(jìn)行帳戶實(shí)時(shí)查詢功能，企業(yè)銀行的查詢功能包括：? 余額查詢? 交易歷史查詢? 匯款查詢? 公司對(duì)公賬戶查詢個(gè)人銀行的查詢功能包括：網(wǎng)上銀行安全解決方案8? 公積金賬戶查詢? 交易明細(xì)查詢? 定期到期查詢? 消費(fèi)積分查詢網(wǎng)上賬戶查詢的安全需求比公共信息發(fā)布要更高，因此網(wǎng)上賬戶對(duì)系統(tǒng)安全也有同樣的需求，而且，除此之外，網(wǎng)上賬戶查詢的還需要解決用戶的私有信息（口令，賬戶數(shù)據(jù)）在 Inter 這個(gè)公開網(wǎng)絡(luò)上傳輸?shù)陌踩珕栴}。良好的安全審計(jì)能力是分析、記錄與跟蹤銀行系統(tǒng)安全狀況的必要條件。 配置安全審計(jì)系統(tǒng)網(wǎng)絡(luò)安全審計(jì)是信息安全的重要方面，它是實(shí)現(xiàn)安全事件的可追查性、不可抵賴性的重要技術(shù)手段。檢測到異常情況之后，檢測模塊能夠自動(dòng)予以記錄和預(yù)警。相反，入侵者為了猜測密碼，會(huì)大批量、長時(shí)間、從同一地點(diǎn)發(fā)出攻擊信息。自然，這些攻擊數(shù)據(jù)對(duì)于查詢系統(tǒng)來說，可能是合法的查詢參數(shù)，它的特點(diǎn)是在同一個(gè)攻擊源同時(shí)發(fā)出大批量查詢請求。如果入侵者知道帳戶號(hào)碼，很容易通過枚舉攻擊猜測出帳戶密碼。 配置入侵檢測模塊除了防火墻之外，配置入侵檢測模塊也是一個(gè)重要的安全措施。只要配置正確，代理服務(wù)器就絕對(duì)安全，它阻擋任何人進(jìn)入內(nèi)部網(wǎng)絡(luò)，因?yàn)闆]有直接的 IP 通路。在有代理服務(wù)器的系統(tǒng)中，這項(xiàng)工作是完全自動(dòng)的。 2. 代理服務(wù)器代理服務(wù)器允許通過防火墻間接進(jìn)入 Inter。過濾防火墻是絕對(duì)性的過濾系統(tǒng)。這種防火墻非常安全。防火墻有兩種：1. IP 過濾防火墻IP 過濾防火墻在數(shù)據(jù)包一層工作。如果要從受到保護(hù)的網(wǎng)絡(luò)內(nèi)部接到 Inter，首先需要連接到防火墻，然后從防火墻接入 Inter。網(wǎng)上銀行安全解決方案6 增加防火墻防護(hù)在網(wǎng)絡(luò)系統(tǒng)中，防火墻是一種裝置，可使內(nèi)部網(wǎng)絡(luò)不受公共部分（整個(gè)Inter）的影響。Intra 與網(wǎng)上內(nèi)部網(wǎng)絡(luò)由前置機(jī)相連，為了保證銀行業(yè)務(wù)主機(jī)的運(yùn)行安全，網(wǎng)上銀行系統(tǒng)不直接連接業(yè)務(wù)主機(jī)，而是由特定的前置機(jī)來代理其請求，前置機(jī)只響應(yīng)特定服務(wù)請求，然后將請求轉(zhuǎn)換為特定消息格式發(fā)送給業(yè)務(wù)主機(jī)，收到應(yīng)答后再將數(shù)據(jù)返回給請求者。首先防火墻將 Inter 和 Intra 以及非軍事區(qū)分離。其安全等級(jí)從前往后逐次遞增。專人專權(quán)　 由專人負(fù)責(zé)系統(tǒng)安全和系統(tǒng)維護(hù)，減少不必要的用戶管理權(quán)限，嚴(yán)格控制非系統(tǒng)管理員的權(quán)限和系統(tǒng)管理員的數(shù)量。如有必要，使用專門的入侵檢測模塊。停止所有與業(yè)務(wù)無關(guān)的服務(wù)器進(jìn)程，如 Tel、SMTP 和 FTP 等服務(wù)器守護(hù)進(jìn)程。切斷共享　Web 服務(wù)器上的系統(tǒng)配置盡可能地保證安全。同時(shí)，周期性的維護(hù)系統(tǒng)，包括備份和安裝補(bǔ)丁程序、訂閱安全電子新聞。良好的安全管理策略對(duì)系統(tǒng)的安全水平起著至關(guān)重要的作用。同時(shí)安