网上银行安全解决方案.docVIP

网上银行安全解决方案 目 录 第1章 概述 2 第2章 网上银行安全需求分析 2 2.1 公共信息发布 2 2.1.1 完善安全管理策略 3 2.1.2 增加防火墙防护 5 2.1.3 配置入侵检测模块 6 2.1.4 配置安全审计系统 7 2.2 网上帐户查询 7 2.2.1 身份验证 8 2.2.2 数据加密 9 2.3 网上支付和转账 10 2.3.1 数据完整性 11 2.3.2 不可否认性 11 第3章 方案设计原则 12 第4章 网银系统安全防护方案 13 4.1 边界访问控制 13 4.2 病毒防护 14 4.3 防拒绝服务（DOS）攻击 16 4.4 入侵检测与保护 16 4.5 网络行为审计 18 4.6 网页防篡改 20  概述 由于Internet无所不在，客户只要拥有帐号和密码便能在世界各地与Internet联网，处理个人交易。这不仅方便客户，银行本身也可因此加强与客户的亲和性。随着金融环境竞争加剧，银行不得不重新审视自身的服务方式。在我国，已经有许多商业银行纷纷推出了网上银行服务。 网上银行系统在蕴藏着无限商机的同时，也带来了风险，对于开设网上银行服务的提供者来说，当务之急就是要解决安全问题。在方案中所指的网上银行，包括了个人银行和企业银行两个概念，个人银行是指通过网络为个人银行业务提供服务，企业银行则是指通过网络为企业用户提供服务。两者相比，个人银行业务应该具有较简便的操作界面，而企业银行更注重整个环节的安全性。 从广义来讲，安全的概念可以包括数据安全，系统安全和信息安全三个方面，数据安全是指通过采用系统备份，磁盘镜像等安全手段以防止数据丢失；系统安全是指通过系统加固，边界防御，入侵检测等手段以防止黑客攻击系统破坏数据；而信息安全则主要是指通过加密技术防止信息和数据在公开网络传输上被窃听、篡改和顶替。信息安全包括四个功能：数据保密，身份认证，数据完整性和防止抵赖。本文并没有涉及到有关数据安全方面的概念，对网络及系统安全作了一定的介绍，而对信息安全技术的实施则作了比较详细的方案设计。 网上银行安全需求分析 从功能划分，网上银行的业务可分为三类： 公共信息发布 公共信息发布用于介绍网上银行的业务范围流程，金融公共信息等。这类业务由于面向公众发布，不需要保证信息只能被特定团体或个人访问，需要的是保护信息不会被非法篡改。目前在Internet上比较多的黑客事件都是篡改公共Web站点的内容，制造虚假信息或涂改页面。如美国NASA和国防部站点被“黑”事件就是这类事件。对于银行来说，公共金融信息虽然是公开的，但是如果被篡改某些敏感数据，如银行利率等，很可能会造成不必要的麻烦，对银行的名誉也会造成不利的影响。因此，对这些内容的保护也是不能够忽视的。 Web站点内容被黑客篡改，是这些黑客通过主动攻击实现的。例如，黑客通过密码字典猜测信息系统的特权口令，在获得特权口令之后，登录进入系统，篡改发布内容，制造不良影响。对于这种情况，我们可以通过改进系统配置、增加防火墙防护、配置入侵检测模块和完善安全管理策略来实现安全保护，避免站点被非法篡改。 完善安全管理策略 黑客一般是通过分析网络管理上的漏洞以达到其攻击目的。很难定义怎样的系统管理才是完善的，因为完善的系统管理是各方面的总和，例如对路由器以及其他主机定期更改密码，采用不规则密码，关闭不必要的服务，关闭防火墙任何不使用的端口等。 对于一个Unix系统，安全管理主要可分为四个方面： 防止未授权存取 权限控制是系统安全的基本问题，即防止未被授权的用户进入系统。良好的用户意识，良好的口令管理(由系统管理员和用户双方配合)，登录活动记录和报告，用户和网络活动的周期检查是防止未授权存取的关键。 防止泄密 数据保密也是系统安全的一个重要问题。防止已授权或未授权的用户相互存取对方的重要信息，经常性的文件系统查帐，su登录和报告以及良好的用户保密意识都是防止泄密的手段。 防止用户滥用系统资源 一个系统不应被一个有意试图使用过多资源的用户损害，因为在高负载的情况下系统的安全性能往往会降低。例如黑客通过占用整个磁盘空间来防止日志生成，不幸的是很多商业UNIX不能很好地限制用户对资源的使用。因此系统管理员必须通过一些系统命令如PS命令，记帐程序df和du周期地检查系统.查出过多占用CPU的进程和大量占用磁盘的文件。同时安装某些监控软件也是有效的手段之一。 维护系统的完整性 大多数情况下，维护系统完整是系统管理员的责任，例如：周期地备份文件系统，系统崩溃后运行磁盘扫描检查，修复文件系统，检测用户是否正在使用可能导致系统崩溃的软件。 良好的安全管理策略对系统的安全水平起着至关重要的作用。因此系统管理员可以将以下几个方面作为维护的重点： 系统配置　仔细研究最新的系统维护文档，完善系统各方面的