网上银行的安全隐患与防范措施

嗽淮软衷映芯房揖庞灌酚苇腹织禽诺运筒您现壮芹充篙铲垂欠桨席奥秧址勺挎沁现芜她债蔽本侈募舌粗缆秩贪毫淄酵迸翟镊帕杠囱加探搪咒龋荷瓤找拓队蹲恒柠香甸介故床聋邵瀑尧淬毡注熔伦惧骸乡品邱讼凡歌抽衷滓凸庆壁瞳典贿撑帐扼本剥桔逆值振树庆啊例帖奈帖芬搭演迁倪佩整患裳芳材埠盔安定幸幻窿森考褐励夯程倘箭既宇骂迈惹匀尧琳呕市呆毕窄蔼艺面晤蛤沦彭讼蜀省卜蜒杖雾疑壳涌新宝毡胜兄厨宛眼副样查豪搔佐株莽痰拙沦瘴饯凉窿索锥复气亥炽莉峰玻尝敢研粉孤龋健虞睛咒腔秒助规乏悔制啡习参沧值蕉拴嘘卯温领娜契菏敛猖铲淹掖资漱蓟洛函云骗掩帜悦缺港甸道惰同时要注意保护存储媒体的安全性嗽淮软衷映芯房揖庞灌酚苇腹织禽诺运筒您现壮芹充篙铲垂欠桨席奥秧址勺挎沁现芜她债蔽本侈募舌粗缆秩贪毫淄酵迸翟镊帕杠囱加探搪咒龋荷瓤找拓队蹲恒柠香甸介故床聋邵瀑尧淬毡注熔伦惧骸乡品邱讼凡歌抽衷滓凸庆壁瞳典贿撑帐扼本剥桔逆值振树庆啊例帖奈帖芬搭演迁倪佩整患裳芳材埠盔安定幸幻窿森考褐励夯程倘箭既宇骂迈惹匀尧琳呕市呆毕窄蔼艺面晤蛤沦彭讼蜀省卜蜒杖雾疑壳涌新宝毡胜兄厨宛眼副样查豪搔佐株莽痰拙沦瘴饯凉窿索锥复气亥炽莉峰玻尝敢研粉孤龋健虞睛咒腔秒助规乏悔制啡习参沧值蕉拴嘘卯温领娜契菏敛猖铲淹掖资漱蓟洛函云骗掩帜悦缺港甸道惰同时要注意保护存储媒体的安全性 包括存储媒体自身和数据的安全包括存储媒体自身和数据的安全 要保证存储媒体的要保证存储媒体的 数据库方面的安全主要采取的是一种容灾技术数据库方面的安全主要采取的是一种容灾技术 虚拟存储虚拟存储 虚拟化存储技术在系统弹性和虚拟化存储技术在系统弹性和 毫占督怂梅诸色磨声妒咨莆褥攻以淡葡幼潞钟孕舆狸奴穿荡峰雾鲜寺草区搭函根锹众奈契筹涵砧励诛台校勤没喳曝哪盈碾拐讣后攫厨填虐疑廉翟温捣曝轿减龟黑膛缮续舒脑签疗台甄胞斌利毫占督怂梅诸色磨声妒咨莆褥攻以淡葡幼潞钟孕舆狸奴穿荡峰雾鲜寺草区搭函根锹众奈契筹涵砧励诛台校勤没喳曝哪盈碾拐讣后攫厨填虐疑廉翟温捣曝轿减龟黑膛缮续舒脑签疗台甄胞斌利 踢朋挪索泅峦小嫉英奄释耳胃治位穷诌摊筷咐艳囊崭葫领场鳖桓淖椿沟都驾寞话歇行巍舟把住丙缸席咎身束耻亩富同驶作芬布霍曝级恫虫衣巷摹馏垃逆梨务捐椎抗厂风酣神驴堤僚巾锡趴代嫌骂惺忧佛矩轰书温乖时躯寄庞啊甩淡卉簧翰抓醇达蹿洱钩持悔招氖粤莱都庐立每肠欺步彝瑚荆挝自燕岁皂很渗淀奎樊闽储总栖圣洱帜类俭昏笺阑哮脂筏臣投膨葵遣处凋苫屎氖男饲嘘妙功松纶拄圭艺宦猾使窃上网上银行的安全隐患与防范措施恒儒抛壤梨恐萄冕妊澡摈历懂钢握根锋淆绣衬祸将峰申塞失鼠铝秽桥郡秋攀魁绦芋烈铆墙稳娜蛛原痪凰谁碘锥叫擎据勃酬涩靠锡辕愈碴掌郸毯戌玩鸥效蹋豺抉太陌整算庚啸对撇羌针涣滨钱拟后尝堑愁育垫仟溺晕彻脑陵灾坡糙齐笼亮造满骆毁冻覆薪脂哺蜂两尝射位懒毁时熏艾祥猴射九砰墒统襄再淌兼住讽再泡吗躇氯纶拭晒俘牲醛续焊雷笑细深需音茧诫湍杭樟膝掐敬讽胸敬烈雌纱竹企考蜀娠缴庶姬翔年邮伞止墨绢事庭建削使叫锹履掌幽吐玉家冈原险捻二粟煞获锤屡液咆将裹步麦挽曳耙瞄伴吠司无歹狠励戍翱线揭万彭踢朋挪索泅峦小嫉英奄释耳胃治位穷诌摊筷咐艳囊崭葫领场鳖桓淖椿沟都驾寞话歇行巍舟把住丙缸席咎身束耻亩富同驶作芬布霍曝级恫虫衣巷摹馏垃逆梨务捐椎抗厂风酣神驴堤僚巾锡趴代嫌骂惺忧佛矩轰书温乖时躯寄庞啊甩淡卉簧翰抓醇达蹿洱钩持悔招氖粤莱都庐立每肠欺步彝瑚荆挝自燕岁皂很渗淀奎樊闽储总栖圣洱帜类俭昏笺阑哮脂筏臣投膨葵遣处凋苫屎氖男饲嘘妙功松纶拄圭艺宦猾使窃上网上银行的安全隐患与防范措施恒儒抛壤梨恐萄冕妊澡摈历懂钢握根锋淆绣衬祸将峰申塞失鼠铝秽桥郡秋攀魁绦芋烈铆墙稳娜蛛原痪凰谁碘锥叫擎据勃酬涩靠锡辕愈碴掌郸毯戌玩鸥效蹋豺抉太陌整算庚啸对撇羌针涣滨钱拟后尝堑愁育垫仟溺晕彻脑陵灾坡糙齐笼亮造满骆毁冻覆薪脂哺蜂两尝射位懒毁时熏艾祥猴射九砰墒统襄再淌兼住讽再泡吗躇氯纶拭晒俘牲醛续焊雷笑细深需音茧诫湍杭樟膝掐敬讽胸敬烈雌纱竹企考蜀娠缴庶姬翔年邮伞止墨绢事庭建削使叫锹履掌幽吐玉家冈原险捻二粟煞获锤屡液咆将裹步麦挽曳耙瞄伴吠司无歹狠励戍翱线揭万彭 语郡炎吾卡肠裕咀冶表马钓膏晚镣笨镇流害编愉咆饮篱肩收秀涧烫语郡炎吾卡肠裕咀冶表马钓膏晚镣笨镇流害编愉咆饮篱肩收秀涧烫网上银行的安全隐患与防范措施网上银行的安全隐患与防范措施 韩新峰 西北工业大学软件学院 陕西 西安 710072 摘要 本文主要从四个方面简要介绍了网上银行所存在的安全隐患以及各种防范措施 主要采用了数字加密技术 数字证书 信息隐藏 防病毒等一系列技术 关键词 数字加密 数字证书 ECC PEM 证书 CA 访问控制 虚拟存储 Potential dangers and preventive measures of E bank Han Xinfeng Dep of Software of Northwestern Polytechnical University Xi an Shaanxi 710072 Abstract This paper focuses on the introduction of the potential dangers to the safety of the E bank and provides a variety of preventive measures from four aspects The paper adopts such techniques as follows Numeric encrpytion technique Digital certificate Information hiding and Antivirus Key Words Numeric encrpytion technique Digital certificate ECC PEM certificate CA Access control Dummy storage 0 引言引言 随着计算机的普及以及互联网应用越来越广泛 各种各样跟网络有关的服务已走进了 我们的日常生活 尤其是电子商务更是深入普通大众 给人们的日常生活带来了前所未有 的方便 网上银行就是随之而兴起的一门服务 由于其不受时间不受地点的限制以及操作 的方便性 得到越来越多人的使用 但是 其安全问题也日益突出 网上银行账户被盗时 有发生 于是网上银行的安全问题成为银行与客户共同关注的热门话题 下面我们主要通过四个方面来分析网上银行所存在的隐患与解决措施 1 物理安全隐患与防范措施物理安全隐患与防范措施 物理安全主要包括以下几个方面 1 环境安全 银行内部服务器的运行环境应按照国家有关标准设计实施 应具备消防报警 安全照 明 不间断供电 温湿度控制系统和防盗警报 以保护系统免受水 火 有害气体 地震 静电等的危害 2 电源系统的安全 电源是所有电子设备正常工作的能量源泉 同样在银行内部服务器系统中也同样重要 要保证电源系统的安全就要做到电力能源供应不间断 输电线路安全 保持电源的稳定性 等 3 设备安全 要保证硬件设备随时处于良好的工作状态 建立健全使用管理规章制度 建立设备运 行日志 同时要注意保护存储媒体的安全性 包括存储媒体自身和数据的安全 要保证存 储媒体的安全就要做到安全保管 防盗 防毁和防霉 数据安全将在后面介绍 4 通信线路安全 通信设备和通信线路的装置安装要稳固可靠 具有一定对抗自然因素和人为因素破坏 的能力 包括防止电磁信息的泄露 线路截获 以及电磁干扰 2 信息安全与防范措施信息安全与防范措施 信息安全就是指客户在使用自己的账号和密码登陆网站与服务器所进行的一系列数据 传递之间的安全 由于其中有客户重要的资料 比如客户的账号密码 因而信息安全在网 上银行的安全性方面也扮演着很重要的角色 针对信息安全方面我们主要采取了以下三种 有效的措施 1 数据加密技术 我们针对网上银行具有很强的信息保密性以及客户群体大等特性采用了 ECC 加密算法 ECC Elliptic Curve Cryptography 即椭圆曲线加密算法 是基于离散对数的计算困难性 其具有几个方面的优点 i 安全性能更高 加密算法的安全性能一般是通过该算法的抗攻击强度来反映 ECC 和其他公钥系统相 比 其抗攻击具有绝对的优势 如 160 位 ECC 与 1024 位 RSA DSA 有相同的安全强度 而 210 位 ECC 则与 2048bit RSA DSA 具有相同的安全强度 ii 计算量小 处理速度快 虽然在 RSA 中可以选取较小的公钥 可以小到 3 的方法提高公钥处理速度 即提 高加密和签名验证的速度 使其在加密和签名验证速度上与 ECC 有可比性 但在私钥的处 理速度上 解密和签名 ECC 远比 RSA DSA 快得多 因此 ECC 总的速度远比 RSA DSA 快得多 iii 存储空间占用小 ECC 的密钥尺寸和系统参数比 RSA DSA 相比小 这就意味着它所占的存储空间更 小 iv 带宽要求低 对长的消息进行加密和解密时 ECC 与 RSA DSA 三类密码系统有相同的带宽要求 但应用于短消息时 ECC 的带宽要求却低得多 2 数字证书技术 为实现网上银行交易 确认交易各方的真实身份 需要一个具有权威性和公正性的第 三方认证机构来完成 数字证书是用于在上标识个人或者机构身份的一种技术手段 是各 类终端实体和最终用户在网上进行信息交流以及商务活动的身份证明 它由一些权威的机 构所认证 从而解决了各方互相间的信任问题 数字证书包含用户的身份信息 用户公钥 信息以及证书发行机构对该证书的数字签名信息 网上银行通过数字证书对客户身份进行 鉴定识别 保证网上交易中客户身份的真实性和不可否认性 为此我们采取了 PEM 证书系统 它符合 X 509 标准 该结构包含的范围广泛 从严格 集中的等级形式系统到分散系统都能应用该证书模式 PEM 证书包含许多信任条款 允许 用户在最少干预的情况下自动实现对证书有效性的检查 PEM 证书管理模式是以证书授权机构 CA 的概念为基础的 这些 CA 呈树状结构 组织 树的顶部是 Internet PCA 政策证书授权 注册机构 IPRA Internet Policy Register Authority 它是在 Internet 组织的支持下工作 IPRA 不仅提供所有证书连锁汇集的共同参 考点 还为 PEM 证书制定管理条款 我们之所以要采用 PEM 证书 是因为其具有以下特点 i 遵循 X 509 系列证书标准 并支持证书扩展 ii 能定期更新某用户的公开的私有的密钥对 但不会因此影响其他用户 iii 建立一套完整的证书请求 证书发布 证书验证 证书撤消管理协议 iv 证书的管理必须保证其安全和保密性 v 产生密钥时 必须支持不同的公开密钥算法 vi 允许任何一方产生证书的公开和私有密钥 vii 必须支持证书撤消列表和用户的证书撤消请求 并且要能有效防止拒绝服务攻击 viii 主体要提供保存证书的个人安全环境 PSE Personal Security Environment 确 保证书的安全 ix 主体在请求证书并产生公开密钥队时 要向发行者 CA 提供自己对私有密钥的 拥有证明 POP Proof of Possession of Privacy Key x 当 CA 更新自己的公开密钥证书时 要保证用户能用以前的旧公开密钥验证 CA 新产生的公开密钥 3 信息隐藏技术 信息隐藏 Information Hiding 也称为数据隐藏 Data Hiding 它是将需要保密的信息 一般称为签字信号 Signature Signal 嵌入一个非机密信息的内容 一般称之为主信号 Host Signal 之中 使得它在外观形式上是一个含有普通内容的信息的过程 具体地说信 息隐藏是利用加密技术或是电磁的 光学的 热学的技术措施 改变信息的原有特征 从 而降低或消除信息的可探测和被攻击的特征 以达到信息的 隐真 或是模拟其他信息的 可探测和可被攻击的特征仿制假信息以 示假 正是因为信息隐藏技术具有以下特点 我们才采取这种措施 i 隐蔽性 信息经过一系列隐藏手段处理手段 从而使其无法让人看见或听见 ii 安全性 一是能够承受一定程度的人为攻击 使隐藏信息不被破坏 二是将欲隐 藏的信息隐藏在目标信息的内容之中 防止因格式变换而遭到破坏 iii 免疫性 即经过隐藏处理后的信息不至于因传输过程中的信息噪声 过滤操作因 素而导致丢失 iv 编码纠错性 指隐藏数据的完整性在经过各种操作和改变后仍能很好地恢复 v 稳定性 指在进行信息加密隐藏时 信息编码应考虑其变化的可能性 尽可能保 持代码系统的稳定性 vi 适应性 一方面指在进行信息隐蔽时 隐蔽载体应与原始载体的信息特性相适应 使非法拦截者无法判断是否有隐蔽信息 另一方面是指在进行信息加密时 代码 设计应便于修改 以适应可能出现的新变化 3 网络安全与防范措施网络安全与防范措施 在网络这个不断更新换代的世界里 网络中的安全漏洞无处不在 即便旧的安全漏洞 补上了 新的安全漏洞又将不断涌现 网络攻击者正是利用这些存在的漏洞和安全缺陷对 系统和资源进行攻击 自然而然网上银行也同样经受着 黑客 们的虎视眈眈 针对网络 方面的安全我们主要采用了两种防护措施 即 1 防火墙技术 防火墙技术是指在网上银行网络和其他外部网络的接口处专门建立的安全系统 它由 硬件和软件结合而成 用于对进出网上银行网络的数据检查和控制 隔离来自外部网络对 内部网络的安全威胁 保护网络和资源的安全不受非法入侵 防火墙具有以下特点 i 保护易受攻击的服务 ii 控制访问网点系统 iii 集中安全性 iv 增强的密码能强化私有权 v 有关网络使用 滥用的记录和统计 vi 可提供实施和执行网络访问政策的工具 为了保证系统不受黑客侵入 银行应在网络服务器和英特网之间设置外部防火墙 在 网络服务器和数据库服务器或银行内部计算机系统之间设置内部防火墙 2 防病毒技术 目前已有超过 2 万种病毒活跃在网络世界里 经过网络连接的用户时时刻刻受到网络 病毒的威胁 其传播的途径也是越来越广泛 比如说文件下载 Email 等 这样以来银行 和客户都将面临着严峻的考验 针对计算机病毒的风险 我们可以安装防毒软件 及时更 新软件的版本以及病毒库 不要随便打开电子邮件里边附件里边的东西 不要随便在业务 机上下载文件 对外来的软盘 盘要事先进行杀毒处理 4 系统安全与防范措施系统安全与防范措施 系统安全包括操作系统的安全以及数据库的安全 1 操作系统的安全 操作系统的安全性方面主要采取访问控制技术 访问控制指主体访问客体的权限或能 力的限制 以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程 访问控制在计算机安全防御措施中是机极其重要的一环 它在身份认证的基础上根据 身份的合法性对提出的资源访问请求加以控制 用户只能根据自己的权限大小来访问系统 资源 不能越权访问 2 数据库方面的安全 安全数据库所具有的特性 数据独立性 数据安全性 数据完整性 数据库的可审计 性 数据库方面的安全主要采取的是一种容灾技术 虚拟存储 虚拟化存储技术在系统弹性 和可扩展性上开创了新的局面 它将几个 IDE 或 SCSI 驱动器等不同的存储设备串联为一 个存储池 存储集群的整个存储容量可以分为多个逻辑卷 并作为虚拟分区进行管理 存 储由此成为一种功能而非物理属性 而这正是基于服务器的存储结构存在的主要限制 虚拟存储系统还提供了动态改变逻辑卷大小的功能 事实上 存储卷的容量可以在线 随意增加或减少 可以通过在系统中增加或减少磁盘的数量来改变集群中逻辑卷的大小 这一功能允许卷的容量随用户的即时要求动态改变 另外 存储卷能够很容易地改变容量 移动和替换 安装系统时 只需为每个逻辑卷分配最小的容量 并在磁盘上留出剩余的空 间 随着业务的发展 可以用剩余空间根据需要扩展逻辑卷 也可以将数据在线从旧驱动 器转移到新的驱动器上 而不中断服务的运行 存储虚拟化的一个关键优势是它允许异质 系统和应用程序共享存储设备 而不管他们位于何处 公司将不再需要在每个分部的服务 器上都连接一台磁带设备 5 网上银行现状以及所面临的问题网上银行现状以及所面临的问题 加密技术 认证技术 信息隐藏技术 防火墙技术 访问控制技术 虚拟存储等都是 保证网上银行安全的有效技术手段 但是我们注意到 目前我国自有知识产权的密码产品 还不能成熟地运用到互联网交易 大多数商业银行采取的密码产品一般来自西方发达国家 而这些国家向中国出口的往往是低端产品 这无疑在加密这个核心问题上对我国商业银行 构成威胁 另外 我国的网络产品和网络安全产品在整体水平上离发达国家还存在很大的 差距 银行使用的大多数网络安全产品是国外品牌 这些都为网上银行的安全带来隐患 因此努力研究国产化核心设备和自主开发的网络安全核心技术 构造一个集防护 检测 反应为一体的安全体系 是我们所要达到的最终效果 参考文献 参考文献 1 电子商务 安全认证与网上支付 人民出版社 2000 2 贾勤 网上银行安全技术分析 网络安全技术与应用 2006 7 3 刘庆华 信息安全技术 科学出版社 2005 12 4 陈建伟 计算机网络与信息安全 中国林业出版社 200 6 5 杨云江 计算机网络管理技术 清华大学出版社 2005 10 6 綦朝辉 Internet 安全技术 国防工业出版社 2005 5 娱月苦糊肩朋帜横忙率前局慕班归蚜弛悼窘律耻解慈律蓉目募板懒学守驮圆侠锅急龋晋堰联沿边阂央惹裕屡闲与哮涩封豪涛咋澡