【正文】 局部的，一旦數(shù)據(jù)被解密后依然存在著被更改的可能。如果將原先的數(shù)字簽名解密，就很容易發(fā)現(xiàn)兩段數(shù)據(jù)摘要不符。這對于規(guī)范業(yè)務(wù)，避免法律糾紛起著很大的作用。網(wǎng)上銀行安全解決方案12由于私鑰很難攻擊，其他人（包括銀行）不可能得到私有密鑰。將簽名數(shù)據(jù)作為業(yè)務(wù)數(shù)據(jù)的憑證，在業(yè)務(wù)成功后就開始保障不可否認(rèn)性。對于個人銀行業(yè)務(wù)來說，轉(zhuǎn)賬金額比較小，風(fēng)險相對較低，所以在雙方都認(rèn)可的情況下，沒有數(shù)字簽名的支付和轉(zhuǎn)賬的指令也是可以接受的。有四種方案可以實(shí)現(xiàn)用戶簽名：1. 專用客戶端軟件：例如電子錢包，這類軟件通常是一個瀏覽器的插件（PlugIn） ，在用戶填好支付指令或轉(zhuǎn)賬指令并發(fā)送給服務(wù)器以后，服務(wù)器用某種協(xié)議規(guī)范化該指令，并作為喚醒消息的參數(shù)返回給用戶，這時插件被激活，用戶的指令在插件程序中再次被顯示，此時用戶可以對這段指令進(jìn)行數(shù)字簽名。另外不同的應(yīng)用可能需要開發(fā)不同的插件，對用戶和系統(tǒng)開發(fā)者來說都增加了額外的負(fù)擔(dān)。而且簽名數(shù)據(jù)形式比較固定，不利于開發(fā)新的應(yīng)用，所以很少采用。這種方案克服了第一種方案的缺點(diǎn)，但是需要瀏覽器支持對應(yīng)的腳本語言。另外用戶必須安裝具有 COM 接口的加密模塊。它通過在網(wǎng)頁中嵌入一段 XML，瀏覽器網(wǎng)上銀行安全解決方案13或其他客戶端程序在處理 XML 時自動將數(shù)據(jù)簽名。從以上方案比較可以看出，方案 3 和方案 4 與前兩種相比，機(jī)制靈活，應(yīng)用開發(fā)方便，具有較大的優(yōu)勢。[1] 安全性：充分保證系統(tǒng)的安全性，使用的網(wǎng)絡(luò)安全產(chǎn)品和技術(shù) 方案在設(shè)計和實(shí)現(xiàn)的全過程中，都必須有具體的措施來充分保證其各個方面的安全應(yīng)用。[3] 先進(jìn)性：具體技術(shù)和技術(shù)方案的先進(jìn)性。[5] 可擴(kuò)展性：網(wǎng)絡(luò)技術(shù)和電子商務(wù)技術(shù)的發(fā)展和變化非常迅速，方案和采用的技術(shù)必須具有良好的可擴(kuò)展性，充分保護(hù)當(dāng)前的投資和利益。在方案實(shí)施過程中全力以赴，以一絲不茍的敬業(yè)精神按期完成各項(xiàng)任務(wù)。因此，網(wǎng)絡(luò)安全防護(hù)建設(shè)要進(jìn)行必要的安全區(qū)分界點(diǎn)控制、敏感行為檢測、關(guān)鍵數(shù)據(jù)記錄、網(wǎng)頁防篡改等部署網(wǎng)絡(luò)安全防護(hù)建設(shè)將從邊界訪問控制、病毒防護(hù)、防拒絕服務(wù)攻擊、入侵檢測與保護(hù)、行為審計、網(wǎng)頁防篡改等多個層面展開。邊界環(huán)境是比較復(fù)雜的。入侵者可以利用多種入侵手段，如獲取口令、拒絕服務(wù)攻擊、SYN Flood 攻擊、IP 欺騙攻擊等等獲取系統(tǒng)權(quán)限，進(jìn)入系統(tǒng)內(nèi)部。防火墻可以有效的防止內(nèi)部的信息系統(tǒng)遭受外部的攻擊。啟明星辰天清漢馬 USG 防火墻子系統(tǒng)基于狀態(tài)檢測技術(shù)，利用狀態(tài)檢測技術(shù)可以對報文進(jìn)行深度分析和處理，相對于靜態(tài)包過濾具有更高的安全性和更加優(yōu)異的性能，即使在增加上萬條安全策略的情況下，也不會降低防火墻的網(wǎng)絡(luò)性能。網(wǎng)上銀行安全解決方案15作為一體化的安全網(wǎng)關(guān)產(chǎn)品，啟明星辰天清漢馬 USG 為客戶提供的豐富的安全能力，為減少用戶的維護(hù)工作量，所有安全能力均可在防火墻安全策略中引用。目前病毒的發(fā)展主要呈現(xiàn)以下幾個趨勢，通過了解這些背景情況，將有助于了解防病毒體系的技術(shù)要求。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。因此，這類病毒傳播速度非常快，只要有一個用戶受到感染，就可以形成一個非常大的傳染面。木馬病毒的傳播使得病毒在發(fā)作的時候有可能自動聯(lián)絡(luò)病毒的創(chuàng)造者，或者采取 DoS（拒絕服務(wù)）的攻擊。而蠕蟲病毒則會搶占有限的網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)堵塞。同時，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個具有極強(qiáng)殺傷力的病毒程序。 網(wǎng)上銀行安全解決方案16病毒傳播速度更快，傳播渠道更多：目前上網(wǎng)用戶已不再局限于收發(fā)郵件和網(wǎng)站瀏覽，此時，文件傳輸成為病毒傳播的另一個重要途徑。同時，其它的網(wǎng)絡(luò)連接方式如 ICQ、IRC也成為了傳播病毒的途徑。建議在內(nèi)部服務(wù)器及客戶端上部署防病毒產(chǎn)品，同時在網(wǎng)關(guān)邊界部署防病毒網(wǎng)關(guān)，啟明星辰天清漢馬 USG 內(nèi)置防病毒網(wǎng)關(guān)，可以有效的控制病毒的傳播。DDoS 攻擊手段是在傳統(tǒng)的 DoS 攻擊基礎(chǔ)之上產(chǎn)生的一類攻擊方式。隨著計算機(jī)與網(wǎng)絡(luò)技術(shù)的發(fā)展，計算機(jī)的處理能力迅速增長，內(nèi)存大大增加，同時也出現(xiàn)了千兆級別的網(wǎng)絡(luò)，這使得 DoS 攻擊的困難程度加大了 目標(biāo)對惡意攻擊包的 消化能力加強(qiáng)了不少，例如你的攻擊軟件每秒鐘可以發(fā)送 3,000 個攻擊包，但我的主機(jī)與網(wǎng)絡(luò)帶寬每秒鐘可以處理 10,000 個攻擊包，這樣一來攻擊就不會產(chǎn)生什么效果。你理解了 DoS攻擊的話，它的原理就很簡單。進(jìn)而對目標(biāo)網(wǎng)絡(luò)或者主機(jī)造成最大的傷害?？梢哉f連接控制是防止抵御拒絕服務(wù)攻擊、以及蠕蟲病毒泛濫、限制資源濫用的有效手段。傳統(tǒng)上，我們用防火墻來抵御攻擊，但隨著威脅的不斷發(fā)展，威脅的層次在不斷提升。傳統(tǒng)的防火墻主要在 13 層，對 4 層以上的攻擊顯得力不從心。深層攻擊行為具有攻擊頻率高、攻擊手段變化快，攻擊過程隱蔽等特點(diǎn)。入侵檢測系統(tǒng)以旁路方式部署，實(shí)時分析鏈路上的傳輸數(shù)據(jù)，對隱藏在 47 層特別是應(yīng)用層的攻擊行為進(jìn)行檢測，專注的是深層防御。啟明星辰天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)在對數(shù)據(jù)鏈路層到應(yīng)用層的網(wǎng)絡(luò)數(shù)據(jù)全面網(wǎng)上銀行安全解決方案18分析的基礎(chǔ)之上，融合漏洞分析信息，可以對上報的攻擊事件進(jìn)行事先的預(yù)分析，達(dá)到精確報警的目的。VFPR 方法包括前期協(xié)議樣本特征提取和在線協(xié)議識別兩個階段，其中，協(xié)議樣本特征提取階段包括協(xié)議類型樣本的協(xié)議指紋提取和相應(yīng)協(xié)議驗(yàn)證規(guī)則建立過程，協(xié)議識別階段包括協(xié)議指紋快速匹配和協(xié)議識別結(jié)果快速驗(yàn)證等過程方法。通過使用 VFPR 方法，對于一些采用非常規(guī)端口的協(xié)議也能實(shí)現(xiàn)及時的識別和檢測。除了默認(rèn)的安全策略集外，天闐網(wǎng)絡(luò)入侵檢測系統(tǒng)系統(tǒng)還提供了向?qū)降牟呗怨芾矸绞剑诓呗约g還可實(shí)現(xiàn)與、或、并、交等邏輯操作，便于用戶自定義選擇最佳安全策略。 網(wǎng)絡(luò)行為審計網(wǎng)絡(luò)審計是信息安全的重要方面，它是實(shí)現(xiàn)安全事件的可追查性、不可否認(rèn)性的重要數(shù)據(jù)環(huán)節(jié)。良好的安全審計能力是分析銀行系統(tǒng)安全狀況的必要條件。防火墻、防病毒、入侵檢測系統(tǒng)等常規(guī)的安全產(chǎn)品可以解決一部分安全問題，但對于內(nèi)部人員的違規(guī)操作卻無能為力。? 第三方維護(hù)人員安全隱患企業(yè)在發(fā)展的過程中，因?yàn)閼?zhàn)略定位和人力等諸多原因，越來越多的會將非核心業(yè)務(wù)外包給設(shè)備商或者其他專業(yè)代維公司。嚴(yán)格的規(guī)章制度只能約束一部分人的行為，只有通過嚴(yán)格的權(quán)限控制和操作審計才能確保安全管理制度的有效執(zhí)行。但是，系統(tǒng)是在經(jīng)歷了大量的操作和變化后，才逐漸變得不安全。（比如，系統(tǒng)的最高權(quán)限用戶root/Administrators 等長期以來一直處于不可管理的狀態(tài)。比如，在美上市的中國移動集團(tuán)公司及其下屬分子公司就面臨 SOx 法案的合規(guī)性要求；而商業(yè)銀行則面臨 Basel 協(xié)議的合規(guī)性要求；政府的行政事業(yè)單位或者國有企業(yè)則有遵循等級保護(hù)的合規(guī)性要求。網(wǎng)上銀行安全解決方案20? 有效減少核心信息資產(chǎn)的破壞和泄漏對單位的業(yè)務(wù)系統(tǒng)來說，真正重要的核心信息資產(chǎn)往往存放在少數(shù)幾個關(guān)鍵系統(tǒng)上（如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等） ，通過使用天玥系統(tǒng)，能夠加強(qiáng)對這些關(guān)鍵系統(tǒng)的訪問控制與審計，從而有效地減少核心信息資產(chǎn)的破壞和泄漏。由于目標(biāo)系統(tǒng)不能區(qū)別不同人員使用同一個帳號進(jìn)行維護(hù)操作，所以不能界定維護(hù)人員的真實(shí)身份。? 有效控制業(yè)務(wù)運(yùn)行風(fēng)險，直觀掌握業(yè)務(wù)系統(tǒng)運(yùn)行的安全狀況業(yè)務(wù)系統(tǒng)的正常運(yùn)行需要一個安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。天玥系統(tǒng)提供業(yè)務(wù)流量監(jiān)控與審計事件統(tǒng)計分析功能，能夠直觀地反映網(wǎng)絡(luò)環(huán)境的安全狀況。在三權(quán)分立的基礎(chǔ)上實(shí)施內(nèi)控與審計，有效地控制操作風(fēng)險（包括業(yè)務(wù)操作風(fēng)險與運(yùn)維操作風(fēng)險） 。 網(wǎng)頁防篡改隨著電子商務(wù)和網(wǎng)上交易的發(fā)展，在網(wǎng)上建立辦公或業(yè)務(wù)窗口，通過精心設(shè)計的 Web 網(wǎng)頁樹立公眾形象并開展業(yè)務(wù)，已經(jīng)成為許多銀行系統(tǒng)的基本設(shè)施。需要對 WWW網(wǎng)上銀行安全解決方案21服務(wù)器的網(wǎng)頁內(nèi)容進(jìn)行實(shí)時監(jiān)控并對遭受非法操作的網(wǎng)頁文件進(jìn)行阻或自動修復(fù)盡心安全保護(hù)。建議在 WEBSERVER 上部署網(wǎng)頁保護(hù)系統(tǒng)，以對 WWW 服務(wù)器的網(wǎng)頁內(nèi)容進(jìn)行實(shí)時檢測與保護(hù)