導(dǎo)語(yǔ)：網(wǎng)銀的安全隱患與預(yù)防方案一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要：本文主要從四個(gè)方面簡(jiǎn)要介紹了網(wǎng)上銀行所存在的安全隱患以及各種防范措施。主要采用了數(shù)字加密技術(shù)、數(shù)字證書(shū)、信息隱藏、防病毒等一系列技術(shù)。

關(guān)鍵詞：數(shù)字加密、數(shù)字證書(shū)、ECC、PEM證書(shū)、CA、訪問(wèn)控制、虛擬存儲(chǔ)。

0.引言

隨著計(jì)算機(jī)的普及以及互聯(lián)網(wǎng)應(yīng)用越來(lái)越廣泛，各種各樣跟網(wǎng)絡(luò)有關(guān)的服務(wù)已走進(jìn)了我們的日常生活，尤其是電子商務(wù)更是深入普通大眾，給人們的日常生活帶來(lái)了前所未有的方便。網(wǎng)上銀行就是隨之而興起的一門(mén)服務(wù)，由于其不受時(shí)間不受地點(diǎn)的限制以及操作的方便性，得到越來(lái)越多人的使用，但是，其安全問(wèn)題也日益突出，網(wǎng)上銀行賬戶被盜時(shí)有發(fā)生，于是網(wǎng)上銀行的安全問(wèn)題成為銀行與客戶共同關(guān)注的熱門(mén)話題。

下面我們主要通過(guò)四個(gè)方面來(lái)分析網(wǎng)上銀行所存在的隱患與解決措施

1.物理安全隱患與防范措施

物理安全主要包括以下幾個(gè)方面

（1）環(huán)境安全

銀行內(nèi)部服務(wù)器的運(yùn)行環(huán)境應(yīng)按照國(guó)家有關(guān)標(biāo)準(zhǔn)設(shè)計(jì)實(shí)施，應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜警報(bào)，以保護(hù)系統(tǒng)免受水、火、有害氣體、地震、靜電等的危害。

（2）電源系統(tǒng)的安全

電源是所有電子設(shè)備正常工作的能量源泉，同樣在銀行內(nèi)部服務(wù)器系統(tǒng)中也同樣重要。要保證電源系統(tǒng)的安全就要做到電力能源供應(yīng)不間斷、輸電線路安全、保持電源的穩(wěn)定性等。

（3）設(shè)備安全

要保證硬件設(shè)備隨時(shí)處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。要保證存儲(chǔ)媒體的安全就要做到安全保管、防盜、防毀和防霉。數(shù)據(jù)安全將在后面介紹。

（4）通信線路安全

通信設(shè)備和通信線路的裝置安裝要穩(wěn)固可靠，具有一定對(duì)抗自然因素和人為因素破壞的能力，包括防止電磁信息的泄露、線路截獲，以及電磁干擾。

2.信息安全與防范措施

信息安全就是指客戶在使用自己的賬號(hào)和密碼登陸網(wǎng)站與服務(wù)器所進(jìn)行的一系列數(shù)據(jù)傳遞之間的安全。由于其中有客戶重要的資料，比如客戶的賬號(hào)密碼，因而信息安全在網(wǎng)上銀行的安全性方面也扮演著很重要的角色。針對(duì)信息安全方面我們主要采取了以下三種有效的措施：

（1）數(shù)據(jù)加密技術(shù)

我們針對(duì)網(wǎng)上銀行具有很強(qiáng)的信息保密性以及客戶群體大等特性采用了ECC加密算法。ECC（EllipticCurveCryptography）即橢圓曲線加密算法，是基于離散對(duì)數(shù)的計(jì)算困難性。其具有幾個(gè)方面的優(yōu)點(diǎn)：

i.安全性能更高

加密算法的安全性能一般是通過(guò)該算法的抗攻擊強(qiáng)度來(lái)反映。ECC和其他公鑰系統(tǒng)相比，其抗攻擊具有絕對(duì)的優(yōu)勢(shì)。如160位ECC與1024位RSA、DSA有相同的安全強(qiáng)度，而210位ECC則與2048bitRSA、DSA具有相同的安全強(qiáng)度。

ii.計(jì)算量小，處理速度快

雖然在RSA中可以選取較小的公鑰（可以小到3）的方法提高公鑰處理速度，即提高加密和簽名驗(yàn)證的速度，使其在加密和簽名驗(yàn)證速度上與ECC有可比性，但在私鑰的處理速度上（解密和簽名），ECC遠(yuǎn)比RSA、DSA快得多。因此ECC總的速度遠(yuǎn)比RSA、DSA快得多。

iii.存儲(chǔ)空間占用小

ECC的密鑰尺寸和系統(tǒng)參數(shù)比RSA、DSA相比小，這就意味著它所占的存儲(chǔ)空間更小。

iv.帶寬要求低

對(duì)長(zhǎng)的消息進(jìn)行加密和解密時(shí)，ECC與RSA、DSA三類(lèi)密碼系統(tǒng)有相同的帶寬要求，但應(yīng)用于短消息時(shí)ECC的帶寬要求卻低得多。

（2）數(shù)字證書(shū)技術(shù)

為實(shí)現(xiàn)網(wǎng)上銀行交易，確認(rèn)交易各方的真實(shí)身份，需要一個(gè)具有權(quán)威性和公正性的第三方認(rèn)證機(jī)構(gòu)來(lái)完成。數(shù)字證書(shū)是用于在上標(biāo)識(shí)個(gè)人或者機(jī)構(gòu)身份的一種技術(shù)手段，是各類(lèi)終端實(shí)體和最終用戶在網(wǎng)上進(jìn)行信息交流以及商務(wù)活動(dòng)的身份證明。它由一些權(quán)威的機(jī)構(gòu)所認(rèn)證，從而解決了各方互相間的信任問(wèn)題。數(shù)字證書(shū)包含用戶的身份信息，用戶公鑰信息以及證書(shū)發(fā)行機(jī)構(gòu)對(duì)該證書(shū)的數(shù)字簽名信息。網(wǎng)上銀行通過(guò)數(shù)字證書(shū)對(duì)客戶身份進(jìn)行鑒定識(shí)別，保證網(wǎng)上交易中客戶身份的真實(shí)性和不可否認(rèn)性。

為此我們采取了PEM證書(shū)系統(tǒng)。它符合X.509標(biāo)準(zhǔn)，該結(jié)構(gòu)包含的范圍廣泛，從嚴(yán)格集中的等級(jí)形式系統(tǒng)到分散系統(tǒng)都能應(yīng)用該證書(shū)模式。PEM證書(shū)包含許多信任條款，允許用戶在最少干預(yù)的情況下自動(dòng)實(shí)現(xiàn)對(duì)證書(shū)有效性的檢查。

PEM證書(shū)管理模式是以證書(shū)授權(quán)機(jī)構(gòu)（CA）的概念為基礎(chǔ)的。這些CA呈樹(shù)狀結(jié)構(gòu)組織。樹(shù)的頂部是InternetPCA（政策證書(shū)授權(quán)）注冊(cè)機(jī)構(gòu)（IPRA:InternetPolicyRegisterAuthority），它是在Internet組織的支持下工作，IPRA不僅提供所有證書(shū)連鎖匯集的共同參考點(diǎn)，還為PEM證書(shū)制定管理?xiàng)l款。

我們之所以要采用PEM證書(shū)，是因?yàn)槠渚哂幸韵绿攸c(diǎn)：

i.遵循X.509系列證書(shū)標(biāo)準(zhǔn)，并支持證書(shū)擴(kuò)展。

ii.能定期更新某用戶的公開(kāi)的私有的密鑰對(duì)，但不會(huì)因此影響其他用戶。

iii.建立一套完整的證書(shū)請(qǐng)求、證書(shū)、證書(shū)驗(yàn)證、證書(shū)撤消管理協(xié)議。

iv.證書(shū)的管理必須保證其安全和保密性。

v.產(chǎn)生密鑰時(shí)，必須支持不同的公開(kāi)密鑰算法。

vi.允許任何一方產(chǎn)生證書(shū)的公開(kāi)和私有密鑰。

vii.必須支持證書(shū)撤消列表和用戶的證書(shū)撤消請(qǐng)求，并且要能有效防止拒絕服務(wù)攻擊。

viii.主體要提供保存證書(shū)的個(gè)人安全環(huán)境（PSE:PersonalSecurityEnvironment），確保證書(shū)的安全。

ix.主體在請(qǐng)求證書(shū)并產(chǎn)生公開(kāi)密鑰隊(duì)時(shí)，要向發(fā)行者（CA）提供自己對(duì)私有密鑰的擁有證明(POP:ProofofPossessionofPrivacyKey)。

x.當(dāng)CA更新自己的公開(kāi)密鑰證書(shū)時(shí)，要保證用戶能用以前的舊公開(kāi)密鑰驗(yàn)證CA新產(chǎn)生的公開(kāi)密鑰。

(3)信息隱藏技術(shù)

信息隱藏（InformationHiding）也稱為數(shù)據(jù)隱藏(DataHiding)，它是將需要保密的信息（一般稱為簽字信號(hào)，SignatureSignal）嵌入一個(gè)非機(jī)密信息的內(nèi)容（一般稱之為主信號(hào)，HostSignal）之中，使得它在外觀形式上是一個(gè)含有普通內(nèi)容的信息的過(guò)程。具體地說(shuō)信息隱藏是利用加密技術(shù)或是電磁的、光學(xué)的、熱學(xué)的技術(shù)措施，改變信息的原有特征，從而降低或消除信息的可探測(cè)和被攻擊的特征，以達(dá)到信息的“隱真”；或是模擬其他信息的可探測(cè)和可被攻擊的特征仿制假信息以“示假”。

正是因?yàn)樾畔㈦[藏技術(shù)具有以下特點(diǎn)，我們才采取這種措施。

i.隱蔽性。信息經(jīng)過(guò)一系列隱藏手段處理手段，從而使其無(wú)法讓人看見(jiàn)或聽(tīng)見(jiàn)。

ii.安全性。一是能夠承受一定程度的人為攻擊，使隱藏信息不被破壞；二是將欲隱藏的信息隱藏在目標(biāo)信息的內(nèi)容之中，防止因格式變換而遭到破壞。

iii.免疫性。即經(jīng)過(guò)隱藏處理后的信息不至于因傳輸過(guò)程中的信息噪聲、過(guò)濾操作因素而導(dǎo)致丟失。

iv.編碼糾錯(cuò)性。指隱藏?cái)?shù)據(jù)的完整性在經(jīng)過(guò)各種操作和改變后仍能很好地恢復(fù)。

v.穩(wěn)定性。指在進(jìn)行信息加密隱藏時(shí)，信息編碼應(yīng)考慮其變化的可能性，盡可能保持代碼系統(tǒng)的穩(wěn)定性。

vi.適應(yīng)性。一方面指在進(jìn)行信息隱蔽時(shí)，隱蔽載體應(yīng)與原始載體的信息特性相適應(yīng)，使非法攔截者無(wú)法判斷是否有隱蔽信息；另一方面是指在進(jìn)行信息加密時(shí)，代碼設(shè)計(jì)應(yīng)便于修改，以適應(yīng)可能出現(xiàn)的新變化。

3.網(wǎng)絡(luò)安全與防范措施

在網(wǎng)絡(luò)這個(gè)不斷更新?lián)Q代的世界里，網(wǎng)絡(luò)中的安全漏洞無(wú)處不在。即便舊的安全漏洞補(bǔ)上了，新的安全漏洞又將不斷涌現(xiàn)。網(wǎng)絡(luò)攻擊者正是利用這些存在的漏洞和安全缺陷對(duì)系統(tǒng)和資源進(jìn)行攻擊。自然而然網(wǎng)上銀行也同樣經(jīng)受著“黑客”們的虎視眈眈。針對(duì)網(wǎng)絡(luò)方面的安全我們主要采用了兩種防護(hù)措施。即：

(1)防火墻技術(shù)

防火墻技術(shù)是指在網(wǎng)上銀行網(wǎng)絡(luò)和其他外部網(wǎng)絡(luò)的接口處專(zhuān)門(mén)建立的安全系統(tǒng)。它由硬件和軟件結(jié)合而成，用于對(duì)進(jìn)出網(wǎng)上銀行網(wǎng)絡(luò)的數(shù)據(jù)檢查和控制，隔離來(lái)自外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的安全威脅，保護(hù)網(wǎng)絡(luò)和資源的安全不受非法入侵。

防火墻具有以下特點(diǎn)：

i.保護(hù)易受攻擊的服務(wù)。

ii.控制訪問(wèn)網(wǎng)點(diǎn)系統(tǒng)。

iii.集中安全性。

iv.增強(qiáng)的密碼能強(qiáng)化私有權(quán)。

v.有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計(jì)。

vi.可提供實(shí)施和執(zhí)行網(wǎng)絡(luò)訪問(wèn)政策的工具。

為了保證系統(tǒng)不受黑客侵入，銀行應(yīng)在網(wǎng)絡(luò)服務(wù)器和英特網(wǎng)之間設(shè)置外部防火墻，在網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器或銀行內(nèi)部計(jì)算機(jī)系統(tǒng)之間設(shè)置內(nèi)部防火墻。

(2)防病毒技術(shù)

目前已有超過(guò)2萬(wàn)種病毒活躍在網(wǎng)絡(luò)世界里，經(jīng)過(guò)網(wǎng)絡(luò)連接的用戶時(shí)時(shí)刻刻受到網(wǎng)絡(luò)病毒的威脅，其傳播的途徑也是越來(lái)越廣泛，比如說(shuō)文件下載，Email等。這樣以來(lái)銀行和客戶都將面臨著嚴(yán)峻的考驗(yàn)。針對(duì)計(jì)算機(jī)病毒的風(fēng)險(xiǎn)，我們可以安裝防毒軟件，及時(shí)更新軟件的版本以及病毒庫(kù)，不要隨便打開(kāi)電子郵件里邊附件里邊的東西，不要隨便在業(yè)務(wù)機(jī)上下載文件，對(duì)外來(lái)的軟盤(pán)，盤(pán)要事先進(jìn)行殺毒處理。

4.系統(tǒng)安全與防范措施

系統(tǒng)安全包括操作系統(tǒng)的安全以及數(shù)據(jù)庫(kù)的安全

(1)操作系統(tǒng)的安全

操作系統(tǒng)的安全性方面主要采取訪問(wèn)控制技術(shù)。訪問(wèn)控制指主體訪問(wèn)客體的權(quán)限或能力的限制，以及限制進(jìn)入物理區(qū)域和限制使用計(jì)算機(jī)系統(tǒng)和計(jì)算機(jī)存儲(chǔ)數(shù)據(jù)的過(guò)程。

訪問(wèn)控制在計(jì)算機(jī)安全防御措施中是機(jī)極其重要的一環(huán)。它在身份認(rèn)證的基礎(chǔ)上根據(jù)身份的合法性對(duì)提出的資源訪問(wèn)請(qǐng)求加以控制。用戶只能根據(jù)自己的權(quán)限大小來(lái)訪問(wèn)系統(tǒng)資源，不能越權(quán)訪問(wèn)。

(2)數(shù)據(jù)庫(kù)方面的安全

安全數(shù)據(jù)庫(kù)所具有的特性：數(shù)據(jù)獨(dú)立性；數(shù)據(jù)安全性；數(shù)據(jù)完整性；數(shù)據(jù)庫(kù)的可審計(jì)性。

數(shù)據(jù)庫(kù)方面的安全主要采取的是一種容災(zāi)技術(shù)-虛擬存儲(chǔ)，虛擬化存儲(chǔ)技術(shù)在系統(tǒng)彈性和可擴(kuò)展性上開(kāi)創(chuàng)了新的局面。它將幾個(gè)IDE或SCSI驅(qū)動(dòng)器等不同的存儲(chǔ)設(shè)備串聯(lián)為一個(gè)存儲(chǔ)池。存儲(chǔ)集群的整個(gè)存儲(chǔ)容量可以分為多個(gè)邏輯卷，并作為虛擬分區(qū)進(jìn)行管理。存儲(chǔ)由此成為一種功能而非物理屬性，而這正是基于服務(wù)器的存儲(chǔ)結(jié)構(gòu)存在的主要限制。

虛擬存儲(chǔ)系統(tǒng)還提供了動(dòng)態(tài)改變邏輯卷大小的功能。事實(shí)上，存儲(chǔ)卷的容量可以在線隨意增加或減少?？梢酝ㄟ^(guò)在系統(tǒng)中增加或減少磁盤(pán)的數(shù)量來(lái)改變集群中邏輯卷的大小。這一功能允許卷的容量隨用戶的即時(shí)要求動(dòng)態(tài)改變。另外，存儲(chǔ)卷能夠很容易地改變?nèi)萘?，移?dòng)和替換。安裝系統(tǒng)時(shí)，只需為每個(gè)邏輯卷分配最小的容量，并在磁盤(pán)上留出剩余的空間。隨著業(yè)務(wù)的發(fā)展，可以用剩余空間根據(jù)需要擴(kuò)展邏輯卷。也可以將數(shù)據(jù)在線從舊驅(qū)動(dòng)器轉(zhuǎn)移到新的驅(qū)動(dòng)器上，而不中斷服務(wù)的運(yùn)行。存儲(chǔ)虛擬化的一個(gè)關(guān)鍵優(yōu)勢(shì)是它允許異質(zhì)系統(tǒng)和應(yīng)用程序共享存儲(chǔ)設(shè)備，而不管他們位于何處。公司將不再需要在每個(gè)分部的服務(wù)器上都連接一臺(tái)磁帶設(shè)備。

5.網(wǎng)上銀行現(xiàn)狀以及所面臨的問(wèn)題

加密技術(shù)、認(rèn)證技術(shù)、信息隱藏技術(shù)、防火墻技術(shù)、訪問(wèn)控制技術(shù)、虛擬存儲(chǔ)等都是保證網(wǎng)上銀行安全的有效技術(shù)手段。但是我們注意到，目前我國(guó)自有知識(shí)產(chǎn)權(quán)的密碼產(chǎn)品還不能成熟地運(yùn)用到互聯(lián)網(wǎng)交易，大多數(shù)商業(yè)銀行采取的密碼產(chǎn)品一般來(lái)自西方發(fā)達(dá)國(guó)家，而這些國(guó)家向中國(guó)出口的往往是低端產(chǎn)品，這無(wú)疑在加密這個(gè)核心問(wèn)題上對(duì)我國(guó)商業(yè)銀行構(gòu)成威脅。另外，我國(guó)的網(wǎng)絡(luò)產(chǎn)品和網(wǎng)絡(luò)安全產(chǎn)品在整體水平上離發(fā)達(dá)國(guó)家還存在很大的差距，銀行使用的大多數(shù)網(wǎng)絡(luò)安全產(chǎn)品是國(guó)外品牌，這些都為網(wǎng)上銀行的安全帶來(lái)隱患。因此努力研究國(guó)產(chǎn)化核心設(shè)備和自主開(kāi)發(fā)的網(wǎng)絡(luò)安全核心技術(shù)，構(gòu)造一個(gè)集防護(hù)、檢測(cè)、反應(yīng)為一體的安全體系，是我們所要達(dá)到的最終效果。

參考文獻(xiàn)：

[1].電子商務(wù)－安全認(rèn)證與網(wǎng)上支付人民出版社2000

[2].賈勤－網(wǎng)上銀行安全技術(shù)分析網(wǎng)絡(luò)安全技術(shù)與應(yīng)用2006.7

[3].劉慶華－信息安全技術(shù)科學(xué)出版社2005.12

[4].陳建偉－計(jì)算機(jī)網(wǎng)絡(luò)與信息安全中國(guó)林業(yè)出版社200.6

[5].楊云江－計(jì)算機(jī)網(wǎng)絡(luò)管理技術(shù)清華大學(xué)出版社2005.10

[6].綦朝輝－Internet安全技術(shù)國(guó)防工業(yè)出版社2005.5