银行网上银行安全策略策划方案的分析

1、目 录 TOC o 1-3 h z u HYPERLINK N:整理后l第一章 网上银行的概念与特点 PAGREFc29732 h HYRLINK l oc9937773 1.1 网上银行的概念 PAEREF _Toc993773 h1HYPERLINK N:整理后l12网上银行的特点 PEF _Tc29377 h HYPERLINK N:整理后l1.3进展电子银行业务的意义 PGREF_oc2997775 h 2YPERLINK l Toc2377731.4网上银行的进展趋势 PAGEREF Toc99377736h 3 HYPERLINKl T937371.4.国外网上银行的进展状况 ER

2、E _Toc2937737 3 HYPERLINKl _oc29937 1.2 中国网上银行进展状况PERE o9977738 h HYPRLIN l _Toc2993779 1.3 中国商业银行电子银行业务的进展特点 ARE_Toc937773 h 5 HYPELIK l _Toc2977740 1.4.4 中国各个银行网上银行进展情况介绍 PAEREF _To993740 h YERLI l Toc29937第二章 建设银行网上银行安全问题分析 PGE _Toc2993774 hHYPERLINK N:整理后l2.1 系统构架缺陷 PAGREF Toc299374h 8 HYPERLINK

3、l_To29374 2.2 银行交易系统的安全性 PGEREF _To993773 9HPELIK l _Tc29377442.3 网络通讯的安全性 PGEREF_Toc29377 h 12 HYPERLINK l _Tc299377745 2. 网银防火墙受到的安全威胁 PAGREF_To29377745 1HYPERLINK N:整理后l2.4 网上银行个人认证介质(安全工具）的安全 PAGEREF _Toc2993774 h 4HYPERLINK N:整理后l2.4 客户端要紧受到的威胁 PAGEREF _Toc299377747 h 15HYPERLINKl _Toc97748 2.

4、客户端的漏洞GEREF To29937778 h 15YPERLIN l_Toc29377749 .4 客户端被黑客木马攻击 PAGEEF _Toc2937749 h 17HYPERLINK N:整理后l.4.3 客户端进入仿冒网站 PAGERE _Toc297750 8HYELl To293751第三章 建设银行网上银行目前采纳的安全措施分析 AERE _Toc977 h 1HYPERLINK N:整理后l31 网上银行短信服务 PAGEEF _Tc2993752h 19 HYPELINK lTo2937753 32加强证书存贮安全 PAEEF_Tc993773 h 19YPELNK l_c

5、29937754 33 动态口令卡 PAGETc299374 21HYPERLINK N:整理后. 4 先进技术的保障 PAGRF _Toc2977h 2 HYPERIK l _To293756 35双密码操纵,并设定了密码安全强度 AGEEF_oc29937756 h HPRLINKlo29937777 36交易限额操纵PAERF _Tc993757 27 HYEINK l_To293758 . 信息提示，增加透明度 PAREF _oc29377758 28HYPERLINK N:整理后3.8 客户端密码安全检测ARE _oc299377759 h28HYPERLINK N:整理后l第四章

6、对建行网上银行面临安全问题的建议 AGRE _Toc3770 h2HYPERLINK N:整理后4.1 法律法规 PAGER _oc99377761 h 28HYPERLINK N:整理后l.2网络安全 PAGRE _Tc29932 h29 HYPERLK l_Toc9937776 .3信用体制PAGRF_oc29937773 h HYPERLINK N:整理后4.4人才培养PEE _Toc2937776 h30HYPERLINK N:整理后l致 谢PAEREF Toc2993776 hHYPERLINK N:整理后l参考文献AGREF_Toc2937766 - 0 摘 要网络银行作为21世纪

7、一种新兴的金融业,其低廉的成本和宽敞的前景,已越来越得到人们的重视。伴随着信息化、数字化和网络化的进展浪潮,网上银行不断地高速进展，功能不断地完善，业务量不断地迅速增加,我国越来越多的金融机构开始加快网上银行建设步伐。建设银行在这一过程中走在了全国各大银行的前面，进展较快。然而网上银行的进展专门大程度上受“安全”那个问题制约。本文试图全面分析建设银行网上银行存在的安全问题及对这些问题进行分析。本文首先分析了建设银行网上银行安全问题分析；其次对建设银行网上银行目前采纳的安全措施进行了分析；最后对建行网上银行面临安全问题给出、法律法规、网络安全、信用体制、人才培养方面的建议。关键词:网上银行,安全

8、策略，安全分析第一章 网上银行的概念与特点1.1 网上银行的概念网上银行,是指金融机构利用互联网技术向客户提供信息查询、网上支付、投资理财等金融服务,能够使客户不受时刻和空间的限制，便捷地享受到金融机构提供的服务。网上银行有两个层次的含义：一个是机构概念，是指通过信息网络开办业务的银行，也叫“虚拟银行”,它没有实际柜台作支持，没有分支机构和营业网点;另一个是业务概念,是指在现有传统银行基础上,通过互联网向客户提供金融服务，也确实是银行服务在互联网上的延伸，这是目前网上银行要紧存在方式，本文网上银行概念即是此类。世纪90年代,网上银行凭借低成本、个性化的服务以及突破传统银行在时刻和空间上限制等优

9、点，在全球范围内掀起了一阵进展热潮。1. 网上银行的特点网上银行的特征可概括为5W：实现为任何人（whove）在任何时刻（henevr)和任何地点(whereve)与任何账户(whomve）用任何方式(hwever）的安全支付和结算。具有以下五大优点:提高工作效率、改善服务质量、有利于提供更多金融服务项目和支付手段、加速资金周转、提高经营治理水平，因而在世界范围内迅猛进展1。网络银行业务智能化,服务个性化。网络银行要紧借助智能资本，客户无须银行工作人员的关心，能够自己在短时刻内完成账户查询、资金转账、现金存取等银行业务,即可自助式地获得网络银行高质、快速、准确、方便的服务;因特网向银行服务提供

10、了交互式的沟通渠道，客户能够在访问网络银行站点时提出具体的服务要求，网络银行与客户之间采纳一对一金融解决方案，使金融机构在于客户的互动中,实行有特色、有针对性的服务,通过主动服务赢得客户。网络银行业务将向多样化、创新化进展。网络银行的出现，使传统银行经受了一场技术革命,传统银行业务将受到挑战,网络银行具有灵活强大的业务创新能力，不仅可延伸改造传统的业务,而且会不断设计业务新品种,创新业务方式，满足客户多样化的需求，网络银行利用现代金融技术，大力开展网上交易，网上支付和清单业务,拓宽业务范围、增加业务收入,利用网上银行为企业和居民进行资金余额查询、账户转移、第三方支持，银行业务通知等差不多业务服

11、务，还要利用互联网作为营销渠道，交叉出售产品和服务,如存款产品、消费信贷、保险、股票交易、资金托管等高级业务，同时不断进行升级换代,拓宽技术创新空间和领域。网络银行全球化、国际化进展趋势明显。随着经济全球化和金融国际化进展步子的加快，世界各国银行业运用并购重组方式积极向海外扩张,采取“打出去,请进来”等多种途径、多种方式扩展业务，占据世界市场。随着网络整体水平的提高和综合实力的增强，它对国民经济增长的贡献会不断提高,它将成为一个行业,成为金融业进展的一种趋势，今后网络银行进展的潜力专门大,市场前景宽敞。3进展电子银行业务的意义随着中国信息技术的快速进展，中国电话、手机和网民数迅速增长，中国电话

12、用户已达到3.5亿,手机用户达到4亿,网民数达到1.2亿,这为电子银行快速进展提供了重要客户基础。由此可见,电子银行的进展是市场进展的需要，同时也是满足用户的需求从而提高银行自身竞争力的需要。从电子银行为用户提供便利的角度来看，它提供了一站式、自助式的理财服务方式。人们在办公室、家中或其他地点，都能够及时方便地进行账户治理、活期转定期、缴费，购买基金、外汇、保险、理财产品，进行一站式自助理财。企业客户能够在办公室及其他任何地点,全面掌控其分布在全国的各分支机构资金使用情况，进行资金集中治理和调度，大幅度提高资金使用效益。电子银行的作为作为传统柜台业务的延伸，它使银行不再受营业地点、营业时刻的限

13、制,能够随时为客户提供所需的各种金融服务。电子银行差不多深刻地改变了人们的生活,并正在改变金融行业的竞争形势变。 另外一方面,电子银行进展是银行业务转型和提高核心竞争能力的重要途径。银行上市,需要提高效益,精简机构和人员,但业务又需要快速增长，只有大力进展电子银行，将大量业务分流到电子银行办理,才能满足业务增长的需要，并适当将部分柜面资源向高端客户配备,提高高端客户的服务质量，实现业务的转型。同时,电子银行的进展可大大节约银行成本。据初步测算，一笔柜面业务的成本是3.6元,一笔网上银行业务成本仅为.49元。因此，大力进展低成本的电子银行业务，对节约银行成本,有效提高股东回报具有重要作用。正是由

14、于电子银行具有柜面难以比拟的优势,是市场进展、客户需求和银行业务转型的迫切需要。尽管近年来电子银行的进展突飞猛进,制造了许多骄人的成绩，但一些制约其进展的因素仍然不容忽视。1 网上银行的进展趋势1.4.1 国外网上银行的进展状况网上银行最早起源于美国,其后迅速蔓延到internet所覆盖的各个国家。美国安全第一网络银行(sfb)从99年就开始了网上金融服务,美国银行业 6%的客户使用网上银行系统。目前,国际上提供网上银行服务的机构分两种:一种是原有的负担银行（inumbnt bak），机构密集，人员众多,在提供传统银行服务的同时推出网上银行系统，形成营业网点、a、po机、电话银行、网上银行的综

15、合服务体系;另外一种是信息时代倔起的直接银行(direc bank），机构少，人员精，采纳电话、iterne等高科技服务手段与客户建立紧密的联系,提供全方位的金融服务。现举例讲明这两种银行的进展情况。德国的entriumdre bakrsntrim dret anker，90年作为quell邮购公司的一部分成立于德国，最初通过电话线路提供金融服务，19年开发网上银行系统。目前差不多成为德国,乃至欧洲最大的直接银行之一。截至1999年底，拥有客户7万，其中使用网上银行系统的客户达15万；资产总额38.18亿美元:操纵德国直接银行界30的存款和9的消费贷款。entrum没有分支机构，职员共计37人

16、,依靠电话和因特网开拓市场、提供服务。 370人服务7万客户，人均资产达00万美元，大大高于亚洲的领先银行水平(新加坡进展银行人均资产580万美元，中国农业银行人均资产0万美元);而且etriu认为现有系统完全能够满足250万客户的需求，这一连串数字足以给建国人员臃肿的商业银行敲响警钟。enum经营的业务品种要紧包括消费信贷、循环周转贷款、信用卡、投资、在线交易等。尽管目前仍以电话服务为主，但正在加速进展网上银行服务，它的网上银行进展战略十分明确:将enriu从拥有网上银行服务的领先的电话直接银行转变为拥有电话银行服务的领先的网上直接银行o etrium的成功归功于它利用先进的科技手段开拓市场

17、、联络客户、处理业务。依照国际上一家权威的电子商务评价公司,gomez avisors,从使用性能、客户信任程度、网上资源、关系协调、成本等方面对美国、欧洲等地银行的网上银行服务进行的评比, lls fg是99年度网上银行系统使用性能最好的银行,是美国第七大银行，资产总额21亿美元,拥有55个分支机构，资本收益率高达34。目前，它被认为是美国银行业提供网上银行服务的优秀代表,网上银行客户数量高达60万，银行网站每月访问人数6万（并非人次）;同意网上银行服务的客户占其全部客户的20%。德国的entiudirebnkers ntrimdrect banks,990年作为quelle邮购公司的一部分

18、成立于德国，最初通过电话线路提供金融服务，1998年开发网上银行系统。目前差不多成为德国，乃至欧洲最大的直接银行之一。截至999年底,拥有客户77万，其中使用网上银行系统的客户达15万;资产总额818亿美元：操纵德国直接银行界0的存款和9%的消费贷款。eriu没有分支机构,职员共计70人，依靠电话和因特网开拓市场、提供服务。 0人服务77万客户，人均资产达1000万美元,大大高于亚洲的领先银行水平（新加坡进展银行人均资产80万美元,中国农业银行人均资产5万美元）;而且enriu认为现有系统完全能够满足50万客户的需求,这一连串数字足以给建国人员臃肿的商业银行敲响警钟。enrium经营的业务品种

19、要紧包括消费信贷、循环周转贷款、信用卡、投资、在线交易等。尽管目前仍以电话服务为主，但正在加速进展网上银行服务,它的网上银行进展战略十分明确:将entrium从拥有网上银行服务的领先的电话直接银行转变为拥有电话银行服务的领先的网上直接银行oentu的成功归功于它利用先进的科技手段开拓市场、联络客户、处理业务。依照国际上一家权威的电子商务评价公司,gomezvisr,从使用性能、客户信任 程度、网上资源、关系协调、成本等方面对美国、欧洲等地银行的网上银行服务进行的评比, wells fro是年度网上银行系统使用性能最好的银行，是美国第七大银行，资产总额21亿美元，拥有52个分支机构,资本收益率高

20、达3%。目前,它被认为是美国银行业提供网上银行服务的优秀代表,网上银行客户数量高达1万，银行网站每月访问人数9万(并非人次)；同意网上银行服务的客户占其全部客户的20%。19年10月，全球第一家网上银行安全第一网络银行（SFN）在美国诞生。紧随其后,花旗银行、美洲银行、第一联合银行等也陆续开展网上银行业务。目前在德国、法国、芬兰、意大利、挪威等国家网上银行进展较好,其中芬兰处于领先地位，其网上银行客户率位居世界首位。网上银行的进展势头也专门迅猛，目前美国所有资产在30亿美元以上的银行都差不多安装了网上银行交易系统，84%的小型银行也至少拥有了其区域网络。1.42 中国网上银行进展状况中国网上银

21、行产生于1996年,自9年招商银行的“一卡通”开通了网上业务,从此拉开了国内网上银行的序幕，起步比西方发达国家晚,目前的现状是起步晚、手段少、业务量小,但进展速度专门快。中国较为成功的网络银行应属招商银行的“一网通”，自1996年底在网上开发在线业务，如网上企业银行、网上个人银行、网上支付系统、通用网上购物广场等。2003年6月，招商银行获得“HP国际计算机大赛”金融房地产门类的“21世纪贡献大奖”决赛提名。凭借其便利、全面的服务,“一网通”和“一卡通”都树立了良好的品牌形象,尤其是在大学校园里。99年以来,四大国有商业银行紧随招商银行之后，逐步涉足网络银行业务，真正拉开了中国网上银行市场的竞

22、争序幕。中国银行于199年6月正式公布了网上银行业务和产品,提供了证券交易结合的“银证快车”服务和面向个人银行的“支付网上行”,并专门好的将长城卡系列的一千多万用户结合起来,同时也成为国内对公服务最丰富的网络银行。中国建设银行199年月开始正式开发，从网络客户群的培养和整体经营成本的降低动身,实施了营业初期目标市场定位于私人客户的业务进展策略。已开通的业务功能有:公共信息查询、账务查询（包含对公与对私）、转账(对私）、代理缴费、网上支付(2）、银证转账、挂失与信用卡申请、客户服务等。中国工商银行200年2月1日起正式在北京、上海、天津、广州四都市开通了对公的网上银行，单位客户通过中国工商银行的

23、网络银行能实现账户查询、转账付款、企业集团理财、客户证书治理等;000年中,又开通了查询账户余额、交易明细、对账单信息、网上挂失及换卡申请等业务的个人客户支付系统。目前其服务覆盖了31个都市。工商银行的重要特点是将对公服务作为网络银行业务进展的方向,进而推出了方便灵活、安全、具有信息增值服务的BTB在线支付业务。四大国有独资商业银行长期居于市场中的寡头垄断地位，要紧优势是在品牌与声誉上树立了国家背景与国家信用的形象,资金实力雄厚,技术开发能力强,遍布全国的服务网点,使其享有绝对的市场份额优势，不管是对公依旧对私业务，国有商业银行都具有良好的亲和力和较高的客户忠诚度。短短十几年，电子商务的迅速进

24、展以及网上银行用户群体规模（210年12月底中国网民规模达到了457亿，互联网普及率34.3。)即网民规模的扩大直接推动了建国网上银行业务的进展,中国网上银行的交易额也保持快速增长。2009年中国网上银行的交易额为368.7万亿元,2010年该交易额增长为553.8万亿元,年增长率达到5.2%。目前中国网上银行交易额中绝大部分属于企业的网上银行交易额,个人网上银行所占比例还比较低。近年来，建国网上银行进展有一个明显的特征，即网上银行交易规模市场份额要紧集中在几家国有商业银行和进展较快的股份制商业银行。1.4.3中国商业银行电子银行业务的进展特点自90年代以来，中国信息技术和电子商务快速进展,深

25、刻改变着人们的生活方式和工作方式,也对电子银行的进展提出了强烈的要求。00年以来,在社会各界的大力支持下，中国的电子银行实现了超常规的快速进展，市场基础和进展格局已差不多形成,对产品营销的推动力和牵引力也在不断增强。一、治理模式初步形成近年来,各商业银行以质量、效益为核心，进一步明确产品定位，加大营销力度，完善营销服务体系,加强风险操纵，使得电子银行对全行经营的贡献度不断提升。电子银行的营销方式正逐步从以产品为中心向以客户为中心转化。为加强在电子银行服务上的竞争力,各行在治理模式上都力求创新。有的行单设独立的电子银行部;有的行转换科技部门职能,将科技部更名为电子银行部，具体负责全行电子银行产品

26、的营销和治理工作,将科技部门建成全行电子银行产品的营销、治理和推广中心；有的行由银行卡部门负责电子银行产品的营销、市场调研、客户维护、信息反馈和售后治理工作，由科技部门负责电子银行服务渠道的技术支持。集中统一的治理模式,极大地推动了电子银行产品的营销工作。二、服务功能不断增强为了迎求不同用户的各种需求以及提升银行产品的市场份额，各行都相继开发出各具特色的业务服务。例如交通银行的手机银行继推出手机银行无卡取款服务后，再次在同业中首创手机银行无卡消费新功能。手机无卡消费是通过手机银行预约进行OS消费的支付模式，它不需要使用传统的银行卡，也不需要更换特定的手机卡,是交通银行首创的一种全新支付模式。手

27、机银行无卡消费业务，是“e动交行”无卡银行服务的又一个里程碑。使用消费者普遍随身携带的通讯工具手机作为银行服务的介质，全面实现用户无卡银行业务的时代正在到来。交行正在努力不断创新，实现基于手机银行的无卡取款、无卡消费、无卡理财、无卡特约商户等系列无卡服务,让随身的无卡银行服务的梦想照进用户生活的现实。三、进展速度明显加快银行传统业务长期以来形成的客户群体，为电子银行业务的进展打下了坚实基础,同时各行利用多层次、全方位营销和主动上门推介等方式,吸引了更多的用户加入了电子银行客户的行列。以交通银行为例,截至200年月底,全行电子银行业务分流率达到54.27%。企业网银动户达到7.8万户，个人网银注

28、册动户达到29万户。电子支付有效商户达到272户,手机银行新增客户达到2万户。内部治理日渐成熟首先,各行相继推行了规范化治理,为电子银行从立项到产品上线运行全过程拟订规范化操作流程,保证了电子银行的安全和畅通。其次，各行全面加强治理,构筑坚实、牢固的风险防范体系，加强对电子银行的监控。同时，制定并完善电子银行治理制度和方法，规范业务操作流程，进一步明确各级行和基层网点在电子银行运营中的工作内容,将电子银行业务纳入监管工作职责中,强化检查与督导3。1.4. 中国各个银行网上银行进展情况介绍一、 招商银行网上支付招商银行是目前国内商业银行中提供网上银行业务种类最多、服务地区范围最广的银行，因而对电

29、子商务的支持也最强。网上支付的使用者为个人消费者,消费者首先应该是招行“一卡通”（属借记卡)持卡人,客户可到招行任一营业网点即时办理；然后可在网上即时申请并猎取支付卡(支付卡是“一卡通”的子帐户),如此就能够使用支付卡实现网上支付。只要是“一卡通”的持卡人都能够开通网上支付功能,成功申请支付卡的消费者可随时在招行网上特约商户选购商品，支付时只需输入个人支付卡帐号和密码。二、 中国银行网上支付除网上证券外，中国银行网上银行功能与招行的相类似。1999年8月28日推出的“银证快车”，用于与证券公司之间的资金清算;企业在线理财,仅限于集团公司内部的资金划拨、总公司对分公司的财务监控等。在个人网上支付

30、方面,中行提供了人民币结算的长城电子借记卡和外币支付的长城。国际卡两种选择,外币网上支付目前只能通过中行进行结算。三、建设银行网上支付中国建设银行目前仅在北京广州两地试点网上支付业务。用户必须在建行开有帐户或持有龙卡，然后到建行指定柜台办理手续后才能使用网上银行。建行1999年8月向社会推出网上银行,先后实现的功能包括对私业务网上帐户查询、转帐、代缴费，对公帐户查询等。建行网上支付采纳SL协议,并通过提高网上银行交易站点的安全级不、建立实时监控系统以保证交易的安全性。四、各大银行的网上支付业务对比尽管国内电子商务有着巨大的潜在市场，但由于相关的治理条例及法规尚未出台,各银行原有业务的信息化程度

31、不一样,因此选择了不同的应对策略。相比四大国有商业银行和交通银行,招商银行在规模上要低一个档次，因而决定了必须给自己一个独特的定位,互联网时代提供了这种契机。从目前的情况看,招行网上银行的业务量在国内占绝对领先的水平,网上业务种类也领先于其他银行。中国银行同样是较早就提出“科技兴行”进展思路的银行,国内第一张信用卡确实是该行在1985年发行的，国内第一笔网上支付业务也是该行在199年3月16日经办的。同时中行作为原来的外贸专业银行，海外分行网点多、经营规范，在国际金融市场中取得许多经验。因此该行在开发网上银行时，一开始就高投入、高起点,在网上支付系统中采纳先进的SET标准,这也是中行的一贯风。

32、建行是紧随中行、招行而推出网上支付业务的，网上支付较有特色的是提供退款功能。从建行现有及立即推出的网上银行业务来看，该行更注重面向toC的业务,认为国内个人网上购物有着巨大的市场。从组织结构上看，建行成立了专门的业务部门，统一规划和开发。事实上,网上支付只是网上银行众多业务的一种。一般来讲,网上银行的功能从低到高分以下几个时期：公布静态信息、公布动态信息、提供在线查询帐户信息和提供在线交易。由于网上银行能够大幅度降低经营成本、提高银行的核心竞争力，成为今后银行业的要紧进展方向之一。第二章 建设银行网上银行安全问题分析2.1 系统构架缺陷WB服务器是网上银行业务面向互联网客户的主用界面,当前互联

33、网上有专门多基于WEB应用的攻击,由于网上银行银W直接暴露于互联网上，因此EB服务器前不仅要通过防火墙实现基于网络层或传输层的访问操纵,通过部署IPS实现深度安全检测，还需要通过流量清洗设备实现DOS攻击防备。另外,由于安全防护要求不同,建议将网上银行EB服务器与银行门户EB服务器部署在不同的网络区域内,以防止门户WE的安全漏洞对网上银行业务的阻碍。EB服务器与用户扫瞄器间通过HTT协议保证数据的私密性与完整性,为了减少W服务器进行密钥交换与加解密的工作负担，建议在EB服务器前部署S卸载设备。当前多数厂家生产的服务器负载分担设备兼具SSL卸载功能，因此在网上银行WE服务器前部署负载分担设备既可

34、实现HTPS协议加速,又可实现业务负载分担和服务高可用性。数据库是按照数据结构来组织、存储和治理数据的仓库，它产生于距今五十年前，随着信息技术和市场的进展，特不是二十世纪九十年代以后,数据治理不再仅仅是存储和治理数据，而转变成用户所需要的各种数据治理的方式。数据库有专门多种类型，从最简单的存储有各种数据的表格到能够进行海量数据存储的大型数据库系统都在各个方面得到了广泛的应用，同时网上银行和现实中的银行系统是隔离开的。SSL协议是由Nta首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和扫瞄器都支持此协议。用户登录并通过身份认证之后,用户和服务方之间在网络

35、上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥差不多上随机产生的。如此,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时,引入了数字证书对传输数据进行签名,一旦数据被篡改，则必定与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是401位,可在IE扫瞄器的“关心”“关于”中查到。目前，建设银行等差不多采纳有效密钥长度1位的高强度加密。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的爱护屏障.是一种猎取安全性方法的形象讲法，它是一种计算机硬件和软件的结合,使Irnet与Iranet之

36、间建立起一个安全网关(Seuy Gateway）,从而爱护内部网免受非法用户的侵入，不断推出专门的数字认证证书。客户端或称为用户端，是指与服务器相对应,为客户提供本地服务的程序。除了一些只在本地运行的应用程序之外,一般安装在一般的客户机上,需要与服务端互相配合运行。因特网进展以后,较常用的用户端包括了如万维网使用的网页扫瞄器，收寄电子邮件时的电子邮件客户端,以及即时通讯的客户端软件等。关于这一类应用程序，需要网络中有相应的服务器和服务程序来提供相应的服务，如数据库服务，电子邮件服务等等，如此在客户机和服务器端,需要建立特定的通信连接,来保证应用程序的正常运行。大多数网络安全问题差不多上出现在客

37、户端的。由于网络银行是一种网络应用，它的所有内容差不多上以数字的形式流转于Internet之上，因此,在网络银行应用中不可幸免地存在着由Interet的自由、开放所带来的信息安全隐患。网络银行作为庞大资金流淌的载体，更易成为非法入侵和恶意攻击的对象，安全风险同时关系到交易的双方。007年1月的中国互联网络进展状况统计报告(CNNIC)显示，在13700万中国网民中,有超过3%的人认为网上交易不安全。此外，由于网络银行涉及客户个人隐私和银行金融机密,因此网络银行的安全性是系统建设首先要考虑的问题。客户对网络银行的安全问题的顾虑并不是空穴来风。事实上，计算机及计算机网络系统不稳定,易发生软硬件故障

38、和数据丢失等故障,同时也极易遭受黑客和病毒的突击。目前的网络银行所采纳的安全技术中，除了常见的防火墙、部署安全监控工作站和防病毒系统,来减少ernet带来的非安全因素之外,采纳SSL协议以实现重要信息在Internet上的传输安全操纵,则成为网络银行安全策略中最重要的方面. 银行交易系统的安全性建设银行网上银行系统是银行业务服务的延伸，客户能够通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网放开了大门。因此,如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全,这是网上

39、银行建设中最至关重要的问题,也是银行保证客户资金安全的最全然的考虑。今年月初，南宁市的黄女士在中国建设银行南宁市桃源支行开通网上银行业务的第二天，突然发觉自己账户上的450元钞票不翼而飞了。从银行打出的账户交易清单中,黄女士发觉那消逝的400块钞票被拿来交了44个陌生的移动电话费,依照网络IP显示,这些交易全部是在武汉的一个网吧里进行的。这时,黄女士才意识到，自己的钞票可能是被网络黑客盗走了。由于银行系统的漏洞导致了黑客攻击的成功,从而泄露了用户的资料,使其遭受了严峻的经济损失,对此，银行方面责无旁贷。可这权责尽管分清了，但用户的心中难免会出现一个更大的问号，那确实是一直对外宣扬自身是坚不可摧

40、的银行交易系统怎会如此脆弱不堪呢？要明白,大伙儿的担心并不是多余的。据专业部门统计，建国和互连网相连的网络治理中心5都遭到过攻击或入侵，去年,6.4%的国内互连网用户被黑客入侵过,其中金融系统占89。尤其是今年上半年，全国发生网络和信息安全事件7万多件,其中1万多件涉及金融系统。可能到2007年，由此造成的损失将达到67亿美元。由这些数字来看，银行往日在用户心目中那固若金汤的形象难免要大打折扣了。因此,这接踵而来的黑客攻击应该也必须为银行的系统维护敲响警钟,银行的电子银行负责人表示，银行应该为网上银行建立起一套集爱护、监测、反应为一体的动态自适应的金融监管和预警体系，以有效监管自身安全漏洞和来

41、自内外部的攻击行为。同时，银行对可能引起系统中断或故障的各种缘故还要进行评估,以便事先制订出相应的灾难恢复打算。在银行预防黑客攻击工作中应得到充分采纳和运用。银行需要采取必要的技术手段,建立起严密的“制度防内、技术防外安全治理操纵机制,运用密码技术确保数据信息在处理、储存和传输过程中的完整性和安全性，防止数据信息被非法使用、修改和复制，杜绝内部作案,防止外部入侵。”事实上，排除个人用户使用的安全意识问题，网上银行自身系统所面临的威胁无外乎以下三点：银行交易系统被非法入侵；信息通过网络传输时被窃取或篡改;交易双方的身份识不,账户被他人盗用。“由于银行开展网上银行业务需要承担的风险远高于银行客户。

42、因此，像国内已开通网上银行业务的银行，都建立了一套严密的安全体系，包括安全策略、安全治理制度和流程、安全技术措施、业务安全措施、内部安全监视和安全审计等,以确保网上银行的安全运行” 。为防止交易服务器受到攻击,银行要紧采取以下三方面的技术措施：(1)设立防火墙，隔离相关网络。这其中一般采纳多重防火墙方案,能特不行地分隔互连网和交易服务器，防止互连网用户的非法入侵。同时,用于交易服务器和银行内部网的分隔，有效爱护银行内部网，同时防止内部网对交易服务器的入侵。（2）高安全级的Web应用服务器。服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程

43、序送至应用服务器进行后续处理。24小时实时安全监控。(3)身份识不和A认证。网上交易不是面对面的,客户能够在任何时刻、任何地点发出请求，传统的身份识不方法通常是靠用户名和登录密码对用户的身份进行认证。然而，用户的密码在登录时以明文的方式在网络上传输，专门容易被攻击者截获，进而能够假冒用户的身份，身份认证机制就会被攻破。在网上银行系统中，用户的身份认证依靠基于“SA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的唯一身份标识确实是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证

44、的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的唯一性和重要性，各家银行为开展网上业务都成立了CA认证机构,专门负责签发和治理数字证书,并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新时期。而由于互连网是个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通信过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采纳加密传输交易信息的措

45、施，使用最广泛的是SSL数据加密协议。SSL协议的加密密钥长度和其加密强度有直接关系，一般是4018位,目前,各大银行等都已采纳了有效密钥长度为8位的高强度加密。网上银行交易系统的稳定和安全，是交易得以顺利进行的基础和保障，假如讲银行只有在出现问题以后才去弥补自身的不足,必将会被用户所淘汰。因此，面对目前层出不穷的攻击形式和无所不在的安全危机，只有积极、主动的不断升级自身系统，才能真正做到防患于未然。银行不仅要在客户终端和银行服务器之间使用保密协议，确保数据传输的安全性,还应该在操作上进行合理的流程操纵。另外,网上个人银行必须采取双层密码爱护，客户在输入卡号和密码的同时,还要输入一个动态的附加

46、密码,如此，银行就能对每一笔业务进行风险操纵。目前各大银行都先后推出了USB Ky个人数字证书。该证书的外形和闪存盘产品类似,小巧便携，其核心是一块能实现加密运算的芯片,使用时,可在S设备内部完成核心的安全识不和加密运算,然后再将加密信息返回给PC系统。如此,客户可随身携带该数字证书，随时随地使用网上个人银行专业版,既安全又方便。但这种UB Ke每个平均需要二三百块钞票的使用金额造成了其推广的难度，因此如何样降低其使用成本、更好地服务于用户应该是银行目前需首要解决的问题。另外，在网上银行系统中，用户的身份认证依靠基于“A公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重确保。银行对用户

47、的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。因此，用户的惟一身份标识确实是银行签发的“数字证书”。由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和治理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。.3 网络通讯的安全性由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等）在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况

48、发生,网上银行系统一般都采纳加密传输交易信息的措施，使用最广泛的是S数据加密协议。SL协议是由etsp首先研制开发出来的,其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和扫瞄器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥差不多上随机产生的。如此,攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必定与数字签名不符。SL协议的加密密钥长度与其加密强度有直接关系,一般是40128位，目前，银行差不多采纳有效密钥长

49、度128位的高强度加密。为防止网上银行服务器系统受到攻击，首先,绝大多数银行都在ntenet与网上银行服务器间建立起了数道防火墙，使黑客无法攻破防火墙进入银行内部网络。其次，eb应用服务器端使用可信的专用操作系统,凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求才能通过特定代理程序送至应用服务器进行后继处理。再者,银行多采纳国际先进的网络安全检测和监控系统，对进出各级局域网的常见操作进行24小时实时监控、报警和阻断,并定期对网络系统进行安全性分析，及时发觉并修正漏洞;客户在网上银行使用的密码,都通过不可逆加密算法存放在数据库中，即使黑客侵入数据库系统,也无法破译原密码。通过多方面的层

50、层风险布防，网上银行服务器系统相对客户端显得更加安全。4 网银防火墙受到的安全威胁(1)防火墙不能防范来自内部的攻击。尽管防火墙能够有效地防止来自外部网络黑客的攻击，然而受到物理拓扑结构额限制，防火墙对来自内部的攻击不不起作用。在一个银行内部,各部门之间设置的防火墙不能用于防范内部的攻击和破坏。这些需要由内部系统认证和接入操纵机构来解决。（2)防火墙不能防范不经由防火墙的攻击。例如,假如同意受爱护网内部不受限制地向外拨号，一些用户能够形成于internet的直接的SIP(串行I)或PPP（点对点协议）连接，从而绕过防火墙，造成一个潜在的后门攻击渠道。（3)防火墙不能防止受到病毒感染的软件或文件

51、传输。因为现有的各类病毒、加密和压缩的二进制文件种类太多,不能希望防火墙逐个扫描每个文件查找病毒。假如要实现这种爱护，防火墙中应设置检测病毒逻辑。（4)防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据如电子邮件、ftp等，被邮寄或复制到ineet主机上并被执行时，就会发生数据驱动式攻击。数据驱动式攻击常常会先修改一台主机有关的安全文件,从而为下次入侵做预备。防火墙无法防止种类攻击。尽管防火墙不能抵御有些安全威胁，然而作为网络安全的一个重要切点,银行要权衡利弊，在网络服务高效灵活、安全保障和应用成本之间找到一个“最佳平衡点”，最大限度的抵消安全保障带来的阻碍。(1)要考虑网络结构。包括网络

52、边界出口链路的带宽要求数量等情况，比如边界连接多个SP;IP地址规划对防火墙地址转换要求，比如路由模式和透明网桥模式的支持;是否需要按照不同安全级不设立多个网段,如设置内网、外网、停火区等三个或三个以上网段。目前，大多防火墙都至少支持三个口,甚至更多。(2）要考虑到业务应用系统要求。防火墙对特定应用的支持功能和性能,比如对视频、语音、数据库应用穿透防火墙的支持能力;防火墙对应层信息过滤,对应用系统是否具有负载均衡功能，像hec Pint的Fieal-1支持超过150个预定义的应用、服务和现成的协议，包括web应用、即时消息发送、对等网络应用、VoP、OracleQL、RealAudio。（3)

53、要考虑用户及通信流量规模方面的需求。网络规模大小、跨防火墙访问的网络用户数量，要求防火墙具有较高的最大并发连接数;网络边界的通信流量要求防火墙具有较高的吞吐量、较低的丢包率、较低的延时等性能指标,防止出现网络性能瓶颈（4)要考虑到可靠性、可用性、易用性等方面的需求。支撑高可用、高可靠的网络平台，要求防火墙必须达到的一定的沉余,包括对双机热备、负载均衡、多机集群等的支持能力。关于大型网络分布式防火墙配置，要求有集中控管能力、治理界面友好性、远程配置的安全保密等功能。为防止网银服务器系统受到攻击,首先,绝大多数银行都在nternet与网银服务器间建立起了数道防火墙,使黑客无法攻破防火墙进入银行内部

54、网络。其次,eb应用服务器端使用可信的专用操作系统,凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求才能通过特定代理程序送至应用服务器进行后继处理。再者，银行多采纳国际先进的网络安全检测和监控系统，对进出各级局域网的常见操作进行2 实时监控、报警和阻断，并定期对网络系统进行安全性分析，及时发觉并修正漏洞;客户在网上银行使用的密码，都通过不可逆加密算法存放在数据库中，即使黑客侵入数据库系统，也无法破译原密码。通过多方面的层层风险布防，网银服务器系统相对客户端显得更加安全。因此客户端称为网上银行安全的最大威胁。2.4 网上银行个人认证介质(安全工具）的安全(1）密码。密码是每一个网上银行

55、必备有认证介质，记得要使用安全好记的密码确实是。然而密码特不容易被木马盗取或被他人偷窥。（2)文件数字证书。文件数字证书是存放在电脑中的数字证书，每次交易时都需用到,假如你的电脑没有安装数字证书是无法完成付款的；已安装文件数字证书的用户只需输密码即可。未安装文件数字证书的用户安装证书需要验证大量的信息，相对比较安全。然而文件数字证书不可移动,对经常换电脑使用的用户来讲不方便（支付宝等虚拟的一验证手机,而网上银行一般要去银行办理）；而且文件数字证书有可能被盗取（尽管不易,然而能)，因此不是绝对安全的。（3)动态口令卡。动态口令卡是一种类似游戏的密保卡模样的卡。卡面上有一个表格,表格内有几十个数字

56、。当进行网上交易时，银行会随机询问你某行某列的数字,假如能正确地输入对应格内的数字便能够成功交易;反之不能。动态口令卡能够随身携带,轻便,不需驱动,使用方便,然而假如木马长期在你的电脑中，能够慢慢地猎取你的口令卡上的专门多数字,当获知的数字达到一定数量时，你的资金便不再安全,而且假如在外使用,也容易被人拍照。（4)动态手机口令。当你尝试进行网上交易时，银行会向你的手机发送短信,假如你能正确地输入收到的短信则能够成功付款，反之不能。不需安装驱动,只需随身带手机即可，不怕偷窥，不怕木马。相对安全。然而必须随身带手机,手机不能停机（手机停机,无法付款；无法汇款,就会一直停机。就像给证明就给开箱,不开

57、箱没有证件就无法证明一样了),不能没电，不能丢失。而且有时通信运营商服务质量低导致短信迟迟没到，阻碍效率。（）移动口令牌。类似梦幻西游的将军令,一定时刻换一次号码。付款时只需按移动口令牌上的键,这时就会出现当前的代码。一分钟内在网上银行付款时能够用凭那个编码付款。假如无法获得该编码，则无法成功付款。不需要驱动，不需要安装,只要随身带就行，不怕偷窥，不怕木马。口令牌的编码一旦使用过就立即失效，不用担心建付款时输的编码被他们看到他们在一分钟内再付款。(6）移动数字证书。它存放着你个人的数字证书,并不可读取。同样,银行也记录着你的数字证书。当你尝试进行网上交易时,银行会向你发送由时刻字串,地址字串,

58、交易信息字串,防重放攻击字串组合在一起进行加密后得到的字串A，你的盾将跟据你的个人证书对字串A进行不可逆运算得到字串,并将字串发送给银行,银行端也同时进行该不可逆运算，假如银行运算结果和你的运算结果一致便认为你合法，交易便能够完成，假如不一致便认为你不合法，交易便会失败。(理论上，不同的字串A可不能得出相同的字串B,即一个字串A对应一个唯一的字串B；然而字串B和字串A无法得出你的数字证书,而且盾具有不可读取性,因此任何人都无法获行你的数字证书。同时银行每次都会发不同的防重放字串(随机字串)和时刻字串，因此当一次交易完成后,刚发出的B字串便不再有效。综上所述，理论上U盾是绝对安全的)。现行网上银

59、行一般差不多上密码+后五种中的一种。从安全角度：移动数字证书最安全因为只要不丢失是万无一失的；手机动态口令、移动口令牌二种也专门安全,然而最好不要被偷窥。从便捷角度，家庭用户使用文件数字证书最方便,付款只需密码即可，而且也比较安全。网吧用户使用免驱移动数字证书（临时没有银行提供，招行尽管免驱然而要安客户端）、动态口令牌、手机动态口令、动态口令卡方便。2.4 客户端要紧受到的威胁2.1 客户端的漏洞通常使用的Wndows操作系统及其扫瞄器存在许多漏洞，防范意识不强的客户易被黑客在系统内植入木马、病毒，如“网银大盗”、“灰鸽子”。系统感染木马、病毒后客户账号、密码等隐私信息便不再安全。007年1月

60、，李强租用了一台网络服务器,并将“网银大盗”和“灰鸽子”程序下载到服务器上，用于接收信息、储存资料和远程操纵他人电脑。感染“网银大盗”的电脑运行后,会自动截屏将市民的密码发送到他的服务器上,他再一一将其整理好，逐一盗取。在收缴的证据中，记者看到李强保存在U盘里的账户资料，有300多条个人信息，身份证号、账号、密码、手机号、余额等信息一应俱全。只有感染了“网银大盗”和“灰鸽子”病毒的电脑,才能被窃取信息并进行操作。因此，李强跑到长沙市内一些银行大厅，将“网银大盗”和“灰鸽子”安装到大厅里的自助电脑上，市民在电脑上使用“网银”，有效信息就会被窃取。因为不可能到外省的银行大厅安装病毒，李强请了两个人