網(wǎng)上銀行安全問題及其應對措施

1、信息系統(tǒng)安全與維護網(wǎng)上銀行安全問題及對策班級：經(jīng)管0801組長：張貴艷(200809010121)組員：代志付(200809010102)白瓊瓊(200809010126)目錄第一章 緒論 31.1 選題背景 31.2 選題目的和意義 31.3國內(nèi)外網(wǎng)上銀行發(fā)展現(xiàn)狀 41.3.1國外網(wǎng)上銀行發(fā)展現(xiàn)狀 41.3.2國內(nèi)網(wǎng)上銀行發(fā)展現(xiàn)狀 5第二章 網(wǎng)上銀行概述 82.1網(wǎng)上銀行的概念及含義 92.1.1網(wǎng)上銀行的概念 92.1.2網(wǎng)上銀行的含義 92.2我國發(fā)展網(wǎng)上銀行的動機 102.3網(wǎng)上銀行的特點 102.3.1網(wǎng)上銀行的共同特點 102.3.2我國網(wǎng)上銀行發(fā)展的自身特點 12第三章 我國網(wǎng)上

2、銀行交易中存在的主要問題 123.1 服務器端系統(tǒng)存在的主要問題 133.2客戶端認證環(huán)節(jié)存在的主要問題 143.3數(shù)據(jù)傳輸環(huán)節(jié)存在的主要問題 16第四章 我國網(wǎng)上銀行安全交易的對策 164.1構(gòu)建全方位的服務器安全系統(tǒng) 174.2 SSL在網(wǎng)上銀行中的應用 19421 SSL協(xié)議的概述194.3 網(wǎng)上銀行交易安全管理模型 21第五章 總結(jié)與展望 24第一章 緒論1.1 選題背景自 20 世紀 70 年代以來，世界各國出現(xiàn)了一場以金融創(chuàng)新為標志的金融革命， 這場大規(guī)模的金融革命對世界各國的經(jīng)濟發(fā)展產(chǎn)生了巨大震動，使各國的銀行業(yè)受 到了巨大沖擊。金融創(chuàng)新使金融產(chǎn)品和金融服務的技術含量增加，且便捷

3、化。為了 獲得更多的利益，需要在金融活動中充分導入計算機技術和網(wǎng)絡化技術，最后導致 了以電子計算網(wǎng)絡技術為核心和基礎的網(wǎng)上銀行的產(chǎn)生，網(wǎng)上銀行正是這場革命的 產(chǎn)物。網(wǎng)上銀行是與電子商務密切聯(lián)系在一起的， 是網(wǎng)絡經(jīng)濟發(fā)展的產(chǎn)物。 20 世紀 90 年代以來，在信息技術取得了突破性進展的基礎上，電子通訊網(wǎng)絡技術也得到了飛 速的發(fā)展。這極大推動了以互聯(lián)網(wǎng)為基礎的電子商務的發(fā)展。電子商務通過互聯(lián)網(wǎng) 以及其他多種電子途徑，實現(xiàn)信息的交流、網(wǎng)絡上的消費、貨幣的轉(zhuǎn)賬、支付和結(jié) 算三位一體。形成低成本，高效率的經(jīng)濟活動。電子商務是網(wǎng)上銀行的商業(yè)基礎， 而網(wǎng)上銀行又是電子商務賴以生存和發(fā)展的核心。與傳統(tǒng)銀行相比

4、，網(wǎng)上銀行在降低經(jīng)營成本、完善服務質(zhì)量、拓寬業(yè)務領域等 諸多方面具有顯著的優(yōu)勢，這些優(yōu)勢無疑是網(wǎng)上銀行得以迅速發(fā)展的根本，正是由 于有比傳統(tǒng)銀行無可比擬的優(yōu)勢，網(wǎng)上銀行在我國的發(fā)展非常迅速，在全球網(wǎng)絡經(jīng) 濟的巨大推理下，我國網(wǎng)上銀行呈現(xiàn)出爆炸式增長?，F(xiàn)如今，網(wǎng)上購物、網(wǎng)上銀行等新的生活方式正在逐漸影響我們的生活，尤其 是近幾年網(wǎng)上銀行的快速發(fā)展，在為我們的生活提供便利的同時，也改變了我們的 生活方式和習慣，已成為銀行的主流形式 ll 。從 19%年中國銀行首次將傳統(tǒng)銀行業(yè) 務延伸到 Intemet 上，到目前國內(nèi)幾乎所有的大的商業(yè)銀行都推出了自己的網(wǎng)上銀 行或者在 Intemet 上建立了自己

5、的主頁和網(wǎng)站，我國銀行紛紛把業(yè)務搬上互聯(lián)網(wǎng)， 積極搶灘網(wǎng)上銀行市場。網(wǎng)上銀行蓬勃興起的同時也帶來了網(wǎng)上銀行安全問題，如釣魚攻擊、中間人攻 擊，通過網(wǎng)絡盜用客戶資金的案件時有發(fā)生， 這些說明了網(wǎng)上銀行安全問題很嚴重， 安全隱患成為網(wǎng)上銀行發(fā)展的重要障礙。1.2 選題目的和意義網(wǎng)上銀行相對于己經(jīng)有幾百年發(fā)展歷史的傳統(tǒng)商業(yè)銀行來說，還是一個新興的 事物，國內(nèi)外都站在同一個起跑線上，這是我國商業(yè)銀行再次發(fā)展的巨大機遇。因 此，我國商業(yè)銀行應好好把握這個機遇，實現(xiàn)傳統(tǒng)經(jīng)營理念和方式的轉(zhuǎn)變。據(jù)中國 互聯(lián)網(wǎng)網(wǎng)絡信息中心（CNNIC）于2008年1月發(fā)布的第21次中國互聯(lián)網(wǎng)絡發(fā)展狀況 統(tǒng)計報告顯示 :截止20

6、07年12月 31 日，我國網(wǎng)民總數(shù)已達到 2.1 億人，略低于 美國的 2.巧億，位居世界第二， 其中網(wǎng)上銀行使用率為 19.2%101。可見我國的網(wǎng)上 銀行仍有較大的發(fā)展空間。但根據(jù)中國金融認證中心（CF以）的2006年中國網(wǎng)上銀 行調(diào)查顯示 :我國有 61%的非網(wǎng)上銀行用戶由于懷疑網(wǎng)銀安全性而不使用網(wǎng)上銀 行，網(wǎng)銀的安全性仍舊是制約網(wǎng)上銀行發(fā)展的主要因素門。網(wǎng)上銀行相對于傳統(tǒng)銀 行來說，的確更加依靠技術和虛擬網(wǎng)絡，在交易中任何一個環(huán)節(jié)出問題都可能會給 客戶和銀行帶來巨大的經(jīng)濟損失。由于世界經(jīng)濟一體化趨勢的加深，我國也很快的加入新的金融革命之中，資料 顯示，最近十幾年我國的網(wǎng)上銀行也發(fā)生了

7、巨大的變化，得到了突飛猛進的發(fā)展。 但是在蓬勃發(fā)展現(xiàn)象的背后，存在著許多的問題，如 : 網(wǎng)上銀行網(wǎng)站被假冒 ;網(wǎng)銀服 務器被攻擊 ; 用戶資料被竊取 ; 鍵盤登錄使密碼被盜 ; 用戶的網(wǎng)上銀行數(shù)字證書文件 被竊取;用戶被偽裝的網(wǎng)上銀行彈出窗口， 騙取其賬號、 密碼。這些事件嚴重影響了 人們對使用網(wǎng)上銀行的興趣。如果不對這些問題加以重視，在不久的將來它們勢必 會影響網(wǎng)上銀行的健康發(fā)展。因此人們積極努力做好網(wǎng)上銀行安全工作，目前關于 網(wǎng)上銀行安全的各個方面的研究著作逐步在發(fā)表 ! 所以，本文通過對我國網(wǎng)上銀行的 現(xiàn)狀進行總結(jié)，分析目前我國網(wǎng)上銀行發(fā)展中存在的主要問題，針對問題提出相應 的有效的對策

8、， 目的在于保障網(wǎng)上銀行交易安全， 使網(wǎng)上銀行取得長期健康的發(fā)展。1.3 國內(nèi)外網(wǎng)上銀行發(fā)展現(xiàn)狀1.3.1 國外網(wǎng)上銀行發(fā)展現(xiàn)狀1995 年 10月 18日，全球第一家完全建立在互聯(lián)網(wǎng)上的虛擬銀行美國“安 全第一網(wǎng)上銀行”正式開業(yè)， 這是世界上第一家將其所有銀行業(yè)務都通過 Internet 處理的開放式銀行。在美國，利用互聯(lián)網(wǎng)開展銀行新業(yè)務，營業(yè)電子化已成為銀行 業(yè)發(fā)展的趨勢。除了 SFNB率先在互聯(lián)網(wǎng)上開展銀行業(yè)務外，美國俄亥俄洲哥倫巴斯 的惠靈頓國家銀行的若干客戶依靠互聯(lián)網(wǎng)傳送資金支票和執(zhí)行其它交易，美國美洲 銀行等也推出了網(wǎng)上家庭銀行業(yè)務，美國大通曼哈頓銀行宣布向客戶提供免費網(wǎng)上 銀行服

9、務，大通曼哈頓銀行在紐約地區(qū)有 150 萬個人和商業(yè)支票， 1998 年有 25 萬 客戶使用網(wǎng)上銀行服務。在歐洲地區(qū)，銀行站點設立較多的國家分別為 : 法國、奧地利、德國、英國、意 大利和瑞典。 有關資料顯示， 到 1998年初，歐洲己有 154家銀行上網(wǎng)， 建立了自己 的網(wǎng)址。 1999 年歐元的啟動，對歐洲的網(wǎng)上銀行產(chǎn)生了更為重大的影響。據(jù)波士頓 咨詢公司統(tǒng)計， 2001 年底，有5100萬歐洲人選擇網(wǎng)上銀行， 即每 6個歐洲人中有 1 人使用網(wǎng)上銀行。在法國，他們的 BNP銀行推出的一項基于互聯(lián)網(wǎng)的的新業(yè)務，它 初步允許用戶查看 30 天以前的交易記錄，用戶可以將交易詳細情況下載到 E

10、xcel 等電子表格中。BNP銀行計劃強化此項業(yè)務，使用戶可以將錢從一個帳戶轉(zhuǎn)到另一個帳戶。另外還能讓用戶下載股票投資及使用信用卡進行交易的最新情況。在北美洲，約有1500家銀行設立和擁有互聯(lián)網(wǎng)站點，用戶可以通過它查賬或轉(zhuǎn) 帳。在亞太地區(qū)，如日本、澳大利亞、新西蘭、新加坡等幾乎所有的銀行也先后宣 布提供互聯(lián)網(wǎng)金融業(yè)務。目前，網(wǎng)上銀行業(yè)務已成為世界金融業(yè)發(fā)展最快的領域。1.3.2國內(nèi)網(wǎng)上銀行發(fā)展現(xiàn)狀一、國內(nèi)網(wǎng)上銀行總體現(xiàn)狀1、交易規(guī)模隨著電子商務的日益發(fā)展以及網(wǎng)上銀行用戶群體的不斷增加，中國網(wǎng)上銀行的 交易額也保持快速增長。2006年中國網(wǎng)上銀行的交易額為93.4萬億元，2007年該 交易額增長

11、為118.3萬億元，年增長率達到27% iResearCh預測1161, 2008年中 國網(wǎng)上銀行的交易額將達到141.8萬億元，未來幾年中國網(wǎng)上銀行交易額規(guī)模將繼 續(xù)擴大，2010年該規(guī)模將達到188.8萬億元。目前中國網(wǎng)上銀行交易額中絕大部分 屬于企業(yè)網(wǎng)上銀行交易額，個人網(wǎng)上銀行所占比例還非常低，主要原因在于企業(yè)網(wǎng) 上銀行每次的交易金額一般都很高，而個人網(wǎng)上銀行交易金額一般很少。圖1.1 2005-2010年中國網(wǎng)上交易額規(guī)模2、用戶規(guī)模隨著國內(nèi)各銀行網(wǎng)上銀行業(yè)務的大范圍推廣，中國網(wǎng)上銀行用戶規(guī)模發(fā)展迅猛。 2006年中國網(wǎng)上銀行用戶規(guī)模為 7100萬戶，2008年我國網(wǎng)上銀行用戶將達到

12、15500萬戶，未來幾年中國網(wǎng)上銀行用戶規(guī)模將繼續(xù)擴大。中國網(wǎng)上銀行用戶數(shù)的 大幅度增長，既與我國互聯(lián)網(wǎng)的普及、電子商務和網(wǎng)絡金融的迅速發(fā)展有關，也與 國內(nèi)各大銀行不斷加強網(wǎng)上銀行業(yè)務的推廣力度有關。隨著中國加入WTO保護期的結(jié)束，人民幣業(yè)務將全面對外開放，網(wǎng)上銀行將成為缺少本土化優(yōu)勢的外資銀行爭 奪中國市場的有利武器，網(wǎng)上銀行未來將會有廣闊的發(fā)展空間。150002 WOO140007000圖1.2 2005-2010年中國網(wǎng)上銀行用戶規(guī)模二、國內(nèi)網(wǎng)上銀行發(fā)展成功個例我國網(wǎng)上銀行業(yè)務雖然起步較晚，但發(fā)展迅速。我國主要商業(yè)銀行和股份制銀 行開通網(wǎng)上業(yè)務的時間如表1.1所示：銀行名稱 1開通時何銀

13、行名稱開通時間1中國銀行1999年&月華豆銀行2000年10月建設銀行1999年8月探圳發(fā)展銀行2000年1】年|:工簡銀疔2000年2月廣東發(fā)展銀行2000年12月農(nóng)業(yè)銀行2C02年4月興業(yè)假行2000年1Z月招商銀行1997年巾月民主銀行2001年6月光大銀行1990年12月浦東發(fā)展銀廳2001年£月中信實業(yè)銀行2000年了月交通錢行j 2002年1】月此外，2002年8月，東亞銀行經(jīng)中國人民銀行批準，開通個人網(wǎng)上銀行業(yè)務；2002 年12月，香港上海匯豐銀行有限公司在中國內(nèi)地開始向當?shù)鼐用窈蛧H客戶正式推 出網(wǎng)上個人銀行服務;2003年初，花旗銀行獲中國人民銀行批準，對

14、企業(yè)和個人同 時提供網(wǎng)上銀行服務。2004年1月起，香港恒生銀行也在深圳、上海、廣州、福州 等分行推出個人網(wǎng)上銀行服務。1、中國工商銀行網(wǎng)上銀行2002年，美國環(huán)球金融雜志在首次全球和地區(qū)最佳電子銀行評選中，將中 國工商銀行網(wǎng)上銀行評選為中國最佳企業(yè)網(wǎng)上銀行，這是國際金融刊物首次評選全 球和地區(qū)的最佳電子銀行，中國工商銀行網(wǎng)上銀行是國內(nèi)唯一獲此稱號的商業(yè)銀行。 根據(jù)最新統(tǒng)計，中國工商銀行網(wǎng)上銀行自2000年2月推出以來，一直呈幾何級數(shù)發(fā) 展，中國工行網(wǎng)上銀行交易量 2001年為6400多億元，2002年增長為8350億元， 2003年1-8月網(wǎng)上銀行交易額為105291億元，是2002年同期的

15、3.9倍。可見，網(wǎng)上銀行給工商銀行帶來的利潤是巨大的圖1.3中國工商銀行個人網(wǎng)上銀行2、中國招商銀行1997 年4月，招商銀行繼中國銀行之后推出了自己的網(wǎng)站。所不同的是，除了 一些形象宣傳外，招商銀行還包括“一通”賬務查詢、 股票信息查詢等功能。1997 年，處于草創(chuàng)階段的中國互聯(lián)網(wǎng)，一般很難讓銀行業(yè)對全面開拓網(wǎng)上業(yè)務長生信心。 但經(jīng)過認真研究和充分準備，招商銀行采取了與其他銀行不同的策略。同年在全國 首家推出網(wǎng)上企業(yè)銀行和網(wǎng)上個人銀行。1999年9月，招行在全國全面啟動網(wǎng)上銀 行服務，推出“一網(wǎng)通”這一響亮品牌， 構(gòu)建起由企業(yè)銀行、個人銀行、網(wǎng)上證券、 網(wǎng)上商城組成的功能較為完善的網(wǎng)上銀行服

16、務體系。目前，招商銀行利用其網(wǎng)上銀行系統(tǒng)，以低廉的運營成本，使超過50%勺對私業(yè)務和約15%勺對企業(yè)務實現(xiàn)了非柜臺操作。網(wǎng)上個人銀行一年完成的業(yè)務量，己 經(jīng)接近招行一家區(qū)域性大分行的水平。網(wǎng)上銀行還為招商銀行贏來了高價值的客戶 群，也提高了客戶對招商銀行的忠誠度。圖1.4中國招商銀行個人網(wǎng)上銀行3、中國建設銀行網(wǎng)上銀行建行網(wǎng)上銀行業(yè)務自1999年8月開通以來得到迅速發(fā)展，目前網(wǎng)上銀行服務己 基本覆蓋了全國一級分行、200多個大中城市，形成了一定的市場規(guī)模，業(yè)務交易 量迅猛增長。從1999年推出1.0期到目前全行已有24個分行開通了網(wǎng)上銀行業(yè)務。 建設銀行網(wǎng)上銀行業(yè)務是跳躍式增長，繼2002年取

17、得客戶超10萬戶、交易額達到117.1億元的好成績后，2003年繼續(xù)保持高速增長勢頭。交易額從1999年末的753 萬元增長到2002年末的3169億元。截至2003年6月底，建行網(wǎng)上銀行總數(shù)達到 54.5萬戶，交易金額3598億元，比2002年同期增長198%并超過去年全年交易額。 建行還將進一步加強網(wǎng)上銀行、重要客戶服務系統(tǒng)、Callba nk三大核心產(chǎn)品的建設與推廣力度，進一步簡化簽約手續(xù)，基本實現(xiàn)網(wǎng)上銀行、客戶服務中心以及手機 銀行等渠道的客戶簽約信息共享，逐步實現(xiàn)各渠道數(shù)據(jù)接口標準的統(tǒng)一，進一步提 升該行電子銀行產(chǎn)品的市場競爭能力和盈利能力。建行網(wǎng)上銀行業(yè)務之所以是跳躍 式增長，除旺

18、盛的市場需求外，建設銀行具有的國內(nèi)先進水平網(wǎng)上銀行系統(tǒng)為全行 開展網(wǎng)上銀行業(yè)務打下了良好基礎。建設銀行網(wǎng)上銀行業(yè)務發(fā)展也受到了行內(nèi)外的 普遍關注和支持。從2002年開始，建設銀行總行公司業(yè)務部、中間業(yè)務部等多次與 網(wǎng)上銀行聯(lián)合，進行了對大企業(yè)集團客戶如財政部、諾基亞公司、南方航空公司、汽集團等的營銷工作，取得了客戶的好評圖1.5中國建設銀行個人網(wǎng)上銀行第二章網(wǎng)上銀行概述自從20世紀80年代開始，以計算機信息處理技術和電子通信技術為代表的高 新技術得到了不斷的發(fā)展和創(chuàng)新，并且逐漸改變了人們的生活方式。在這場創(chuàng)新中, 作為社會經(jīng)濟命脈的金融業(yè)無疑受到高新技術的深刻影響，一種全新的商業(yè)銀行經(jīng)營方式正

19、在逐步被人們所接受，這就是網(wǎng)上銀行，網(wǎng)上銀行 (OulineBanking) 是 20 世紀金融領域出現(xiàn)的最具影響力的創(chuàng)新之一。2.1 網(wǎng)上銀行的概念及含義2.1.1 網(wǎng)上銀行的概念網(wǎng)上銀行，又稱為網(wǎng)絡銀行、在線銀行，是指金融機構(gòu)利用因特網(wǎng)網(wǎng)絡技術， 在 intemet 上開設銀行，這是一種全新的銀行客戶服務提交渠道，使得客戶可以不 受上網(wǎng)方式(如pc、手機、PDA頂置盒等)和時空的限制，只要能夠上網(wǎng)，無論在家 里、辦公室、還是在旅途中， 都能夠安全便捷地管理自己的資產(chǎn)和享受銀行的服務。 美國和歐洲是網(wǎng)上銀行發(fā)展最為迅速的國家和地區(qū)，其網(wǎng)上銀行約占世界市場的 90%美國著名的網(wǎng)站GOME則要求

20、在線銀行至少提供以下五種業(yè)務中的一種， 才可 稱作是網(wǎng)上銀行 : 網(wǎng)上支票賬戶、 網(wǎng)上支票異地結(jié)算、 網(wǎng)上貨幣數(shù)據(jù)傳輸、 網(wǎng)上互動 服務和網(wǎng)上個人信息。2.1.2 網(wǎng)上銀行的含義網(wǎng)上銀行作為互聯(lián)網(wǎng)上的虛擬銀行柜臺，并非是柜臺的物理延伸。網(wǎng)上銀行的 定義可以從三個層次理解。一、網(wǎng)上銀行是銀行提供服務的載體在傳統(tǒng)金融服務的方式下，客戶需要到銀行辦公場所，通過與銀行業(yè)務人員面 對面的接觸，填制一系列的紙質(zhì)憑證，例如各種申請表、傳票等，才能獲得所需要 的銀行服務。在網(wǎng)上銀行服務方式下，客戶無須到銀行辦公場所，無須與銀行業(yè)務 人員見面，通過填制電子表格、電子憑證，借助虛擬的網(wǎng)絡空間，即可以享受銀行 服務

21、。二、網(wǎng)上銀行是銀行服務的場所在傳統(tǒng)金融服務方式下，銀行需要在繁華、方便的中心地帶建造或租用體面的 辦公樓，需要配備設備齊全的營業(yè)柜臺，需要在營業(yè)場所制定和落實周全的安全措 施的情況下，才能向客戶提供銀行服務。在網(wǎng)上銀行方式下，銀行只需設計友好的 用戶界面，借助可以自用的個人電腦、 手機或其它智能設備就可以向客戶提供服務。 也就是說，網(wǎng)上銀行的服務前臺己經(jīng)轉(zhuǎn)移。三、網(wǎng)上銀行是銀行服務的“延伸”通過網(wǎng)上銀行客戶不僅可以享受存放匯銀行服務，還可以享受因信息技術應用 而帶來其他服務。實際上，由于網(wǎng)上銀行的交互性特征，網(wǎng)上銀行提供的服務已經(jīng) 不局限十以上方面，還跨越了銀行業(yè)的界限。向證券、保險和其他行

22、業(yè)滲透。以上三個層次的內(nèi)涵也是網(wǎng)上銀行的最基本特征。2.2 我國發(fā)展網(wǎng)上銀行的動機首先，我國商業(yè)銀行無論是在服務方面還是業(yè)務方面，與西方發(fā)達國家相比差 距都是巨大的。但是由于網(wǎng)上銀行是新鮮事物，它的歷史只有短短的十幾年，雖然 中國與西方發(fā)達國家之間還是有一定的差距，但是與傳統(tǒng)商業(yè)銀行的差距比起來， 我們在網(wǎng)上銀行方面幾乎是西方發(fā)達國家站在同一條起跑線上的。應該看到，發(fā)展 網(wǎng)上銀行是我們追趕先進商業(yè)銀行的一個難得的契機。我國的大小商業(yè)銀行都應該 抓住這個難得的機會，增加緊迫感，認真研究國外網(wǎng)上銀行的發(fā)展經(jīng)驗，爭取少走 彎路，最大限度的縮小與發(fā)達國家商業(yè)銀行的差距。其次，人民幣業(yè)務開放后，我國的商

23、業(yè)銀行馬上要面臨與眾多外資銀行的全面 競爭，而我們在經(jīng)驗、服務質(zhì)量、技術等許多方面都存在明顯的不足。外資銀行在 物理網(wǎng)點的設置上不如國內(nèi)的商業(yè)銀行，所以就一定會在網(wǎng)上銀行方面加強建設和 服務，來彌補物理網(wǎng)點上的不足。在這樣緊迫的情況下，我們更應該認真研究網(wǎng)上 銀行的發(fā)展現(xiàn)狀，解決我國網(wǎng)上銀行的發(fā)展中存在的問題，積極防范網(wǎng)上銀行的風 險，爭取在與外資銀行的競爭中掌握主動。最后，發(fā)展網(wǎng)上銀行也是商業(yè)銀行自身發(fā)展的需要，互聯(lián)網(wǎng)的迅速發(fā)展給電子 商務的興起創(chuàng)造了條件，而網(wǎng)上銀行又在電子商務中起到不可替代的作用。銀行從 自身利潤最大化的角度來講需要適應客戶的需求。打破時間和空間的界限，從深度 和廣度兩方

24、面來拓展自己的業(yè)務。下大力量來進行業(yè)務的創(chuàng)新和客戶關系的維護。 使自己在不失去老客戶的同時，又贏得電子商務大潮帶來的新業(yè)務。2.3 網(wǎng)上銀行的特點網(wǎng)上銀行在其發(fā)展過程中形成了很多的特點，這些特點可以分為共同特點和我 國自身特點。2.3.1 網(wǎng)上銀行的共同特點、3A的銀行3A 即是指網(wǎng)上銀行能夠在任何時間 (anytime) 、任何地點 (anywhere) ，以任何 方式(anyhow)提供服務。即是24小時的銀行、全球化的銀行、服務方式多樣化的銀 行。網(wǎng)上銀行的服務突破了時間和空間的限制、突破了服務手段的限制。客戶可以 隨時上網(wǎng)辦理相應的網(wǎng)上銀行業(yè)務，可以在全球各個地方通過上網(wǎng)辦理網(wǎng)上銀行業(yè)

25、 務，只要有網(wǎng)絡在，哪怕客戶在南極或者北極一樣可以享受和在紐約一樣的網(wǎng)上銀 行業(yè)務。隨著網(wǎng)上銀行的發(fā)展，客戶不僅可以享受到信息查詢、資金轉(zhuǎn)賬等基礎銀 行業(yè)務，客戶還可以通過網(wǎng)上銀行享受證券投資、保險、信托、理財?shù)绕渌鹑诜?面的服務。二、速度型銀行 由于網(wǎng)上銀行是通過網(wǎng)絡進行運作，它的處理業(yè)務的速度以計算機的處理能力 能為依托。 據(jù)統(tǒng)計，計算機芯片的發(fā)展速度遵循頓羅爾定律， 即每 18 個月處理速度 增加一位，世界上第一批個人電腦在 1979 年問世時，其芯片處理速度為每秒鐘 33 萬個字符，三年后，誕生的因特爾 286 芯片每秒鐘能處理 120 萬個字符?，F(xiàn)在，芯 片的處理速度要用：“MIP

26、S表示。最新奔騰處理每秒的處理速度已超過 500MIPS 計算機科技的迅猛發(fā)展讓以它為基礎的網(wǎng)上銀行的運行速度遠遠高于傳統(tǒng)的速度。 因特網(wǎng)使銀行服務活動的節(jié)奏大大加快。因此與傳統(tǒng)銀行相比，網(wǎng)上銀行服務提供 時間短、產(chǎn)品更新快、服務創(chuàng)新時間短。所以速度是網(wǎng)上銀行區(qū)別與傳統(tǒng)銀行的一 大優(yōu)勢。三、低成本運行 采用網(wǎng)上銀行這種新的交易方式，可以極大的降低銀行的經(jīng)營成本。傳統(tǒng)銀行 的銷售渠道是分行及其廣泛分布的營業(yè)網(wǎng)點，傳統(tǒng)銀行的建立需要大量的人力、物 力、財力的投入。 比如： 場地費用、 室內(nèi)裝修、照明及水電費， 支點的人員的工資等。 而網(wǎng)上銀行的主要銷售渠道是計算機網(wǎng)絡系統(tǒng)，它是虛擬的，沒有固定的場

27、地，只 需要在網(wǎng)絡上設置相應的網(wǎng)站服務，所以網(wǎng)上銀行的成本比傳統(tǒng)銀行低得多。在各 種不同的金融機構(gòu)中，網(wǎng)上銀行的單位成本是最低的。這種低成本的優(yōu)勢造就了網(wǎng) 上銀行在銀行體系中的競爭優(yōu)勢，使得網(wǎng)上銀行的發(fā)展有很大的空間。隨著網(wǎng)上銀 行規(guī)模和業(yè)務的進一步擴大，網(wǎng)上銀行經(jīng)營的單位成本有可能繼續(xù)下降，仍然占有 絕對的優(yōu)勢，從很大程度上促進網(wǎng)上銀行的發(fā)展。四、一站式服務的銀行因為網(wǎng)絡具有很好的交互性，客戶除了可以辦理一般的銀行業(yè)務，還可以通過 網(wǎng)上銀行全面的了解保險、證券、基金等金融產(chǎn)品的詳細的介紹，而少量的網(wǎng)上銀 行的專業(yè)人員可以通過網(wǎng)絡很方便的回答全球的客戶提出的各類問題。因此這樣的 互動，使網(wǎng)上銀

28、行銷售保險、證券基金等金融產(chǎn)品很容易成功。從西方發(fā)達國家國 際銀行提供的網(wǎng)上銀行服務來看，網(wǎng)上銀行已經(jīng)成為一站式服務的金融超市?？蛻?不僅可以得到各種銀行服務，還可以在網(wǎng)上銀行的平臺上進行各類證券投資，購買 不同的保險產(chǎn)品。甚至可以獲得其他行業(yè)的交易信息。借助網(wǎng)上銀行完善的交易記 錄，網(wǎng)上銀行可以對客戶的交易行為進行分析和數(shù)據(jù)挖掘，從中發(fā)現(xiàn)重要的價值客 戶。通過對客戶行為偏好的分析。細分服務市場，利用互聯(lián)網(wǎng)交互性的特點，投其 所好的營銷策略和服務內(nèi)容，對產(chǎn)品進行金融創(chuàng)新，從而為而客戶提供量身定制的 服務。2.3.2 我國網(wǎng)上銀行發(fā)展的自身特點一、我國網(wǎng)上銀行形式都是分支型網(wǎng)上銀行，其業(yè)務依賴于

29、母行各商業(yè)銀行專門成立了網(wǎng)上銀行中心，大力發(fā)展網(wǎng)上銀行業(yè)務。但目前尚無純 網(wǎng)上銀行的出現(xiàn)。網(wǎng)上銀行的業(yè)務依賴母行，使得其提供的服務可能只是原來傳統(tǒng) 業(yè)務在網(wǎng)上的一個簡單的延伸，很難形成盈利。二、跳躍性發(fā)展國外銀行從傳統(tǒng)銀行發(fā)展到網(wǎng)上銀行， 一般都經(jīng)歷了三個階段 : 銀行辦公自動化 階段、內(nèi)部網(wǎng)絡電子銀行階段和網(wǎng)上銀行階段。而我國的商業(yè)銀行基本上沒有經(jīng)歷 內(nèi)部網(wǎng)絡電子銀行的發(fā)展階段， 直接由銀行辦公自動化階段進入網(wǎng)上銀行發(fā)展階段， 業(yè)務方式演變迅速。我國商業(yè)銀行網(wǎng)站幾乎一開始就進入了動態(tài)、交互式信息檢索 階段，而且主要的商業(yè)銀行在這一階段停留的時間也很短，很快就進入了在線業(yè)務 信息查詢階段，并與

30、電子商務的發(fā)展緊密結(jié)合，迅速完成了從一般網(wǎng)站向網(wǎng)上銀行 的轉(zhuǎn)變。跳躍式的發(fā)展和業(yè)務方式的迅速演變，使得有關網(wǎng)上銀行交易的權(quán)威認證 機構(gòu)的建設和金融法規(guī)的出臺明顯滯后，在我國這樣一個信用體制本來就不發(fā)達的 國家，銀行要承擔由此帶來的很大風險。第 三章 我國網(wǎng)上銀行交易中存在的主要問題隨著網(wǎng)絡通信技術的飛速發(fā)展，因特網(wǎng)的被廣泛地運用于各個行業(yè)，網(wǎng)絡的發(fā) 展又促使人們消費觀念和商務系統(tǒng)的運作模式發(fā)生了深刻的變化，越來越多的人， 通過 internet 進行商務活動，形成了將網(wǎng)絡技術和知識經(jīng)濟金融融合在一起的復合 型新興行業(yè)，即電子商務。電子商務做為一種新的經(jīng)濟模式和手段，是國民經(jīng)濟和 社會信息化的重

31、要組成部門，出現(xiàn)后便以驚人的速度發(fā)展，由此催生了網(wǎng)上銀行。 1995年 10月美國安全第一網(wǎng)上銀行建立了全球第一家無任何分支機構(gòu)的網(wǎng)上銀行， 由于開業(yè)短短幾個月，就有近千萬人次的上網(wǎng)瀏覽，給金融界帶來了巨大的震撼， 其發(fā)展必將引起金融領域的革命。隨著全球經(jīng)濟一體化的發(fā)展，網(wǎng)上銀行正憑借其 快速、便捷的特性而獲得越來越多的用戶的青睞腳。網(wǎng)絡信息技術的發(fā)展和電子商務的普及，對企業(yè)傳統(tǒng)的經(jīng)營思想和經(jīng)營方式產(chǎn) 生了強烈的沖擊。以互聯(lián)網(wǎng)技術為核心的網(wǎng)上銀行使銀行業(yè)務也發(fā)生了巨大變化。 網(wǎng)上銀行在為金融企業(yè)的發(fā)展帶來前所末有的商機的同時，也為眾多用戶帶來實實 在在的方便。作為一種全新的銀行客戶服務提交渠道

32、，客戶可以不必親身去銀行辦 理業(yè)務，只要能夠上網(wǎng)，無論在家里、辦公室，還是在旅途中，都能夠全天安全便 捷地管理自己的資產(chǎn)，或者辦理查詢、轉(zhuǎn)賬、繳費等銀行業(yè)務。網(wǎng)上銀行很大程度 上降低了商業(yè)銀行的管理維護成本。網(wǎng)上銀行只需要雇傭少量的業(yè)務人員，節(jié)省大 量的工資支出，還可以節(jié)省場地租金、室內(nèi)裝修、水電等日常費用。在網(wǎng)上銀行顯 示了其巨大的發(fā)展?jié)摿涂臻g和網(wǎng)上銀行的優(yōu)越性非常明顯的同時，讓人們感受到 了一個最大的疑惑 : 網(wǎng)上銀行安全嗎 ?人們有這種顧慮不無道理。銀行業(yè)務網(wǎng)絡與互 聯(lián)網(wǎng)的連接，使得網(wǎng)上銀行容易成為非法入侵和惡意攻擊的對象，加上目前網(wǎng)絡秩 序較混亂，黑客攻擊事件層出不窮，也給人們的心理

33、造成了一定影響。網(wǎng)上銀行安 全問題函待解決。由于網(wǎng)上銀行對自動化程度較高的技術和設備的高度依賴性，和傳統(tǒng)銀行相比 較，技術風險成為網(wǎng)上銀行所面臨的最大的最特殊的風險，網(wǎng)上交易的特點即虛擬 性，這也注定了其面臨的一個重大問題，網(wǎng)上銀行由于技術采用不當，或所采用的 技術相對落后而帶來的安全技術隱患造成的風險。網(wǎng)上銀行業(yè)務的高技術性，無紙 化和瞬間性的特點，決定了其在經(jīng)營中會面臨的技術風險。它是網(wǎng)上銀行風險的核 心內(nèi)容，也是我國各金融機構(gòu)和廣大客戶最為關注的問題。3.1 服務器端系統(tǒng)存在的主要問題軟件設計風險 : 網(wǎng)上銀行使用的各類軟件在研制過程中， 由于考慮不周或在編程 時不夠嚴謹，導致軟件本身設

34、計不完全，或未經(jīng)全面測試就投入使用，導致出現(xiàn)應 用系統(tǒng)在超級用戶下運行、業(yè)務數(shù)據(jù)以明碼形式存放、文件權(quán)限設置不明確、自我 防御能力差，被非法用戶利用而出現(xiàn)的風險。一、操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)自身的安全性銀行使用了大量的05400、RS600O SCO W刀呵DOWSUNIX等系統(tǒng)，由于在用 戶群上的開放性原因，銀行信息系統(tǒng)平臺所采用的操作系統(tǒng)以及數(shù)據(jù)庫系統(tǒng)自身幾 乎都存在著為人所知的安全漏洞，對整個銀行的安全構(gòu)成嚴重了的威脅。操作平臺 軟件處于網(wǎng)上銀行的基礎層，它是網(wǎng)銀系統(tǒng)中各個應用軟件運行的平臺，因此平臺 軟件的任何風險都可能直接危及或被轉(zhuǎn)移到或延伸到應用平臺軟件。據(jù)統(tǒng)計，網(wǎng)上 銀行交易安全的事

35、故有 50.3%是由系統(tǒng)漏洞引起。如果沒有安全的操作系統(tǒng)，用戶 的本地資料將得不到安全保證，非經(jīng)授權(quán)的本地資源訪問使用戶的資料容易被他人 竊取，操作系統(tǒng)的安全級別控制不足、內(nèi)存泄漏都將使惡意的程序控制系統(tǒng)或?qū)Ρ?地安全造成威脅。一臺被木馬、后門和病毒控制的計算機即使用戶的應用程序在安 全方面作再多的努力，也都可能無濟于事。盡管我國很早就意識到安全操作系統(tǒng)的 重要性，但由于我國在操作系統(tǒng)的實現(xiàn)上積累不足，跟不上應用的需要，自主研發(fā) 的操作系統(tǒng)還沒有形成氣候，使安全的操作系統(tǒng)僅停留在研究或有限應用階段。如 今廣泛使用的仍然是國外的 Windows系列或Unix系列，而且我國在安全檢測方面還 沒有有

36、關的法律法規(guī)，對于引進技術和設備缺乏安全檢測，所以引進的這些設備大部分沒有經(jīng)過安全檢測，這些都給網(wǎng)上銀行的交易安全埋下了隱患。二、因所采用的應用系統(tǒng)而產(chǎn)生的風險銀行中存在著大量的應用系統(tǒng)，這些應用系統(tǒng)自身難免會存在一些安全問題。 而且應用系統(tǒng)之間的交互容易造成訪問控制、數(shù)據(jù)泄露或攻擊事件的發(fā)生。1、應用軟件的開發(fā)導致的風險任何系統(tǒng)在開發(fā)過程中都不可避免的會存在設計上的缺陷或者代碼編制的失 誤，造成潛在的安全隱患。而且銀行業(yè)務服務系統(tǒng)由于行業(yè)的特性的限制，大多數(shù) 服務軟件在開發(fā)和運行方面與數(shù)據(jù)庫系統(tǒng)息息相關，由于數(shù)據(jù)庫SOL語法本身存在的缺陷更是導致了銀行業(yè)務系統(tǒng)更大可能性的安全隱患。2、應用軟

37、件由于外包而產(chǎn)生的風險建設銀行、招商銀行、工商銀行等在網(wǎng)上銀行建設方面不僅具有的專門部門團 隊，也實行了部分外包。銀行業(yè)務的外包，現(xiàn)在已經(jīng)成為我國銀行業(yè)的一個發(fā)展戰(zhàn) 略，可以集中有限的資源，建立自己的核心能力，進而構(gòu)筑銀行業(yè)的進入壁壘，從 而確保銀行能夠長期獲得高額利潤 ; 還可以減小銀行的規(guī)模， 精簡銀行的組織， 從而 減輕由于規(guī)模膨脹而造成的組織反應遲鈍， 使組織更加靈活地進行競爭 ; 同時還通過 與合作伙伴分擔風險從而降低銀行自身的風險。 外包在給銀行帶來若干好處的同時， 也帶來了額外的風險。外包機構(gòu)在設計一個功能復雜的軟件時，都習慣于先將整個 軟件分割為若干模塊，然后再對各模塊單獨設計

38、、調(diào)整，而后門則是一個模塊的秘 密入口。在程序開發(fā)期間，后門的存在是為了便于測試、更改和增強模塊的功能。 但是，由于程序員的疏忽，或者故意將其留在程序中以便日后可以對此程序進行隱 蔽的訪問，方便測試或維護已完成的程序等種種原因，實際上并未去掉，這樣，后 門就可能被程序的作者所秘密使用，或者被黑客侵入。三、通信協(xié)議的安全隱患網(wǎng)絡時代應用 TCP/IP 協(xié)議的首要目標是為了溝通，而非安全 !2 刀，該協(xié)議因 此有許多先天性安全漏洞和隱患，在網(wǎng)上銀行信息傳遞中，安全問題充分暴露，并 且日益嚴峻。在整個網(wǎng)上銀行系統(tǒng)中，最薄弱的環(huán)節(jié)自然也是通信協(xié)議，該協(xié)議具 有下列兩種主要安全隱患 :1、IP 地址是由

39、工 nte 州 IC 發(fā)布的，其數(shù)據(jù)包的源地址很容易被發(fā)現(xiàn)，且 IP 地址隱含了所使用的子網(wǎng)掩碼，攻擊者據(jù)此可以畫出目標網(wǎng)絡的輪廓。2、IP地址很容易被偽造和更改，且 TCP/IP協(xié)議沒有對IP包中的源地址真實 性的鑒別機制和保密機制。因此工 nternet 上任一主機都可以產(chǎn)生一個帶有任意源 IP 地址的 IP 包，從而假冒另一個主機進行地址欺騙。3.2 客戶端認證環(huán)節(jié)存在的主要問題網(wǎng)上銀行對客戶端身份認證主要通過在客戶端應用軟件來實現(xiàn)的。一般來說，用戶的身份認證可以通過三種基本方式或者其組合方式來實現(xiàn) : 一、根據(jù)個人所知道的秘密信息來確定身份 這是傳統(tǒng)的，也是目前最廣泛應用的身份認證技術

40、，即采用用戶所知曉的某個 秘密消息來對用戶的合法身份進行認證。它分為靜態(tài)口令和動態(tài)口令：l 、靜態(tài)口令 : 因為它是一種單因素的認證，當你登錄網(wǎng)上銀行客戶端系統(tǒng)時， 需要輸入密碼?？蛻羲鶕碛械挠脩裘兔艽a是唯一標識的，一個用戶名只有在密碼 輸入正確時，才有權(quán)查詢賬戶，或者更高權(quán)限的業(yè)務。所以它的安全性僅僅依賴于 口令，口令一旦泄露， 用戶即可被冒充。 靜態(tài)口令的缺點 :密碼容易擴散， 或者容易 得到，再有就是可以被多人使用，無法統(tǒng)計真實的使用情況。更嚴重的用戶往往選 擇簡單，容易被猜測的口令，如與用戶名相同的密碼、生日、單詞等，口令一般是 經(jīng)過加密后存放在口令文件中，如果口令文件被竊取，那么就

41、可以進行離線的字典 式攻擊，這也是黑客最常用的手段之一，這個問題往往成為安全系統(tǒng)最薄弱的突破 口。2、動態(tài)口令即一次性口令認證(OTP):為了解決固定口令的諸多問題，安全專 家提出了一次性口令(OTP:oneTimePassword)的密碼體制，以保護關鍵的計算資源。 OTP的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都 不相同，以提高登錄過程的安全性。例如:登錄密碼二MDS用戶名+密碼+時間)。OTP 的工作原理 : 首先，在用戶和遠程服務器之間建立一個通行短語相當于傳統(tǒng)口令技 術當中的“口令”。同時，它們之間還應具備一種相同的“計算器' ，該“計算器” 實際

42、上是某種算法的硬件或軟件實現(xiàn)，它的作用是生成一次性口令。當用戶向服務 器發(fā)出連接請求時， 服務器向用戶提出挑戰(zhàn) (challenge) 。挑戰(zhàn)通常是由兩部分組成 的一個字符串。挑戰(zhàn)的一部分是種子值 (seed) ，它是分配給用戶的在系統(tǒng)內(nèi)具有唯 一性的一個數(shù)值， 也就是說， 一個種子對應于一個用戶， 同時它是非保密的 ; 另一部 分是迭代值 (iteration) ，它是服務器臨時產(chǎn)生的一個數(shù)值， 與通行短語和種子值不 同的是它總是不斷變化的。用戶收到挑戰(zhàn)后，將種子值，迭代值和通行短語輸入到 “計算器”中進行計算，并把結(jié)果作為回答返回服務器。服務器暫存從用戶那里收 到的回答，因為它也知道用戶的

43、通行短語，所以它能計算出用戶正確的回答，通過 比較就可以核實用戶的確切身份。二、根據(jù)用戶所擁有的物品來證明身份例如智能卡和 USBKe，y 用戶必須持有這種合法的物理介質(zhì)， 智能卡中存儲了用 戶的個性化參數(shù)，訪問系統(tǒng)資源時必須要有智能卡。智能卡具有硬件加密功能，有 較高的安全性。每個用戶持有一張智能卡，智能卡存儲用戶個性化的秘密信息，同 時在驗證服務器中也存放該秘密信息，進行認證時，用戶輸入 PIN碼，成功后，即 可讀出智能卡中的秘密信息，進而利用該秘密信息與主機之間進行認證。缺點 :a. 造價成本比較高，對于只用于查詢賬號金額，沒有其他業(yè)務操作的客戶來說，有些 奢侈。 b. 操作程序比較復雜

44、，對客戶的計算機操作水平有一定的要求，所以這樣也 決定了它的應用范圍限制在有一定計算機操作背景的客戶。三、根據(jù)用戶的生物特征來證明身份例如指紋、聲音、DNA視網(wǎng)膜等等。生物特征識別方法是以人體唯一的、可靠 的、穩(wěn)定的生物特征為依據(jù)，采用計算機的強大功能和網(wǎng)絡技術進行圖像處理和模式識別。這項技術具有很好的安全性、可靠性和有效性，與傳統(tǒng)的身份認證手段相 比，無疑產(chǎn)生了質(zhì)的飛躍，但是采用這種認證方式需要配置相應的生物識別設備， 生物識別信息數(shù)據(jù)庫，由于生物識別設備的造價較高，而且不方便移動用戶使用， 所以只適用于保密程度較高的場合。缺點：這些方法有的成本昂貴，有的不適用海量 用戶群體。目前，對指紋識

45、別器，有的銀行用于柜臺員的身份識別，如建行、工行 的柜員識別系統(tǒng)。但是，就是對銀行的柜員身份識別，只是指紋識別器還是很不夠 的。其最好、最先進的辦法是指紋 KEY即指紋識別器十USBKey USBKey中安裝數(shù) 字證書，達到數(shù)字簽名的功能。但目前對銀行客戶的使用，還有定的距離，除非是 那些高端客戶。以上幾種認證方式各有各的優(yōu)劣比較如表3.1:類型適用性方便性安全性成本秘密信息最強最強低低存儲介質(zhì)強強高高生物特征弱弱最咼最咼3.3數(shù)據(jù)傳輸環(huán)節(jié)存在的主要問題線路傳輸風險：由于網(wǎng)上銀行系統(tǒng)數(shù)據(jù)信息在國際互聯(lián)網(wǎng)中傳輸， 網(wǎng)絡電纜、光 纜、無線傳輸?shù)雀鞣N形式以及路由器等配套設施在傳輸數(shù)據(jù)時會產(chǎn)生電磁波或

46、占用 一定的載道，電磁波是一種信息載體，泄露的電磁波會載有信息。連線上的電磁波 或載波頻率很容易被監(jiān)聽，使系統(tǒng)存貯或傳輸?shù)男畔⑼庑埂Ｒ虼舜嬖诰€路傳輸中的 各種風險。數(shù)據(jù)真實性破壞：互聯(lián)網(wǎng)用戶偽造數(shù)據(jù)信息進行欺騙。數(shù)據(jù)機密性破壞：互聯(lián)網(wǎng)用戶通過非法手段竊取信息，或?qū)π诺罃?shù)據(jù)進行破譯分 析，或?qū)?nèi)容傳輸給未被授權(quán)的用戶。數(shù)據(jù)完整性破壞：互聯(lián)網(wǎng)用戶篡改線路上傳輸?shù)臄?shù)據(jù)內(nèi)容；數(shù)據(jù)傳輸中的錯誤， 丟失或次序差異等都可能導致數(shù)據(jù)的完整性被破壞。第四章 我國網(wǎng)上銀行安全交易的對策網(wǎng)上銀行的安全性問題事關網(wǎng)上銀行發(fā)展的前景，同時也決定了電子商務的發(fā) 展的進程，解決好網(wǎng)上銀行安全問題，對推動電子商務快速發(fā)展至關

47、重要，不過做 好網(wǎng)上銀行安全工作，絕非網(wǎng)上銀行一方之責，而是一個社會系統(tǒng)工程，函待各方 努力，方能突圍。特別是對于我國的網(wǎng)上銀行交易安全問題，由于我國網(wǎng)上銀行自 身的發(fā)展特點，決定了我國的網(wǎng)上銀行安全工作非同一般，中國科學院互聯(lián)網(wǎng)研究 中心的呂本富教授告訴大家 : 從硬、軟兩方面的技術來看， 我國目前使用的核心技術 都掌握在西方發(fā)達國家手中，核心技術采用引進的方式，對我國網(wǎng)上銀行的安全工 作雪上加霜了。從上面章節(jié)的分析中，我們了解到我國網(wǎng)上銀行安全交易中出現(xiàn)的主要問題分 為四個方面 : 服務器系統(tǒng)、客戶端認證、 數(shù)據(jù)傳輸環(huán)節(jié)及非技術等四個方面。 結(jié)合目 前我國網(wǎng)上銀行的技術發(fā)展水平，考慮網(wǎng)上銀

48、行的現(xiàn)實狀況，本章將詳細介紹各種 相應對策。4.1 構(gòu)建全方位的服務器安全系統(tǒng)由于互聯(lián)網(wǎng)的迅速發(fā)展，世界對計算機的依賴程度不斷提高，使得病毒的擴散 速度也急驟提高，受感染的范圍越來越廣。據(jù)NCSA美國國家超級計算應用中心，NationalCenterforSupercomputingAPplications)調(diào)查，在 1994 年中， 只有 20%的企業(yè)受到過病毒的攻擊 ; 但是在 1997年中，就有約 99.3%的企業(yè)受到病毒的攻擊。 感染方式也由主要從移動硬盤介質(zhì)感染轉(zhuǎn)到了從網(wǎng)絡服務器或 Internet 感染。在 1994年只有 21%的病毒是通過電子郵件、 服務器、 Internet

49、下載感染的， 但到 1997 年，這一比例就達到 50%。由此看見，計算機病毒越來越猖撅，計算機系統(tǒng)的安全 隱患越來越嚴重。由于我國網(wǎng)上銀行交易起步較晚，在銀行網(wǎng)站建設方面還不成熟，網(wǎng)上銀行網(wǎng) 站均存在不同程度的安全隱患。據(jù)國內(nèi)著名反黑客專家、中科院物理所研究員許榕 介紹，他與有關部門對國內(nèi)多家網(wǎng)站的安全性進行測試，90%都存在著不同程度的安全問題，無法有效地抵抗電子攻擊 ; 公安部曾對銀行系統(tǒng)進行安全檢測， 更發(fā)現(xiàn) 1564 個營業(yè)部的 23 萬臺計算機全部存在網(wǎng)絡漏洞。 面對如此嚴峻的形勢， 我們需要以樂 觀的態(tài)度，積極地采用有效措施，將危害減少到最少。我們可以從以下幾個技術措 施入手 :

50、一、使用安全的操作系統(tǒng)是提高服務器系統(tǒng)安全性的前提 要提高網(wǎng)上銀行使用的操作系統(tǒng)的安全性，首先對現(xiàn)有的國外操作系統(tǒng)已出現(xiàn) 的漏洞進行完善。其次，相關部門特別是國家相關部門應該花大力氣促進我國對操 作系統(tǒng)的研究和開發(fā)， 使我國從僅能對操作系統(tǒng)的研究和有限應用的階段脫離出來， 爭取能自主研究能適合我國網(wǎng)上銀行發(fā)展特點的操作系統(tǒng)。當然這個目標對于我們 來說是一條非常艱難的目標。二、使用防火墻 所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法， 它實際上是一種 隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同 意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門

51、外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。在邏輯上，防火墻是一個分離器、一個限 制器、也是一個分析器， 有效地監(jiān)控了內(nèi)部網(wǎng)和 Internet 之間的任何活動， 保證了 內(nèi)部網(wǎng)絡的安全。通過以防火墻為中心的安全方案配置， 能將所有安全軟件 （ 如口令、 加密、身份認證、審計等）配置在防火墻上。 與將網(wǎng)絡安全問題分散到各個主機上相 比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它 的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻身上。三、入侵檢測技術 入侵檢測是近年來出現(xiàn)的新型網(wǎng)絡安全技術，防火墻技術的缺點是很難防范來 自于網(wǎng)絡內(nèi)部的攻擊以及病毒的威脅，而入

52、侵檢測技術能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡的攻 擊，有人認為，系統(tǒng)網(wǎng)關上裝有防火墻就平安無事了，但實際上，網(wǎng)絡安全還遠遠 不夠，因為第一，入侵者可尋找防火墻背后可能敞開的后門。第二，入侵者可能就 在防火墻內(nèi)。第三，由于性能的限制，防火墻通常不能提供實時的入侵檢查功能。 入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測、專家系統(tǒng)。1、基于主機的入侵檢測基于主機的入侵檢測一般監(jiān)視 Win dowS上的系統(tǒng)、事件、安全日志以及 Unix 環(huán)境中的SySI。g文件，用于保護關鍵應用的服務器，對可疑的連接，非法訪問等 事件進行實時監(jiān)控和日志。2、基于網(wǎng)絡的入侵 windows 檢測基于網(wǎng)絡的入侵檢測使用原始網(wǎng)絡分組數(shù)

53、據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一 般利用一個網(wǎng)絡適配器來實現(xiàn)監(jiān)視和分析所有通過網(wǎng)絡進行傳輸?shù)耐ㄐ?，一旦檢測 到攻擊，入侵檢測應道模式通過通知、報警及中斷連接等方式對攻擊作出反應。3、混合入侵檢測基于網(wǎng)絡和基本主機的入侵檢測系統(tǒng)都有各自的優(yōu)勢，兩者相互補充。入侵檢 測系統(tǒng)在檢測出非法的攻擊時， 能及時做出切斷服務， 重啟服務器進程， 發(fā)出報警， 記錄入侵過程等操作。四、病毒防治技術 眾所周知，計算機病毒所產(chǎn)生的影響稱得上是災難的，盡管人們在同計算機病 毒做斗爭的十余年中取到了一些成績，但是隨著工 nternet 的發(fā)展，計算機病毒的 種類在急劇增多， 擴散速度在急劇加快， 對企業(yè)及個人計算機系統(tǒng)

54、的破壞仍在加大， 為對付日益猖撅的病毒，計算機反病毒技術也有了新的發(fā)展。主要集中在病毒的預 防技術。網(wǎng)上銀行在選用殺毒軟件時，應從以下四個方面綜合考慮 :1、病毒殺毒能力 ;2、對新病毒的反應能力 ;3、病毒實時監(jiān)測能力 ;4、系統(tǒng)兼容性和可融合性。五、使用安全掃描系統(tǒng)安全掃描系統(tǒng)是現(xiàn)階段最先進的系統(tǒng)安全評估技術，它能夠測試和評價系統(tǒng)的 安全性，并及時發(fā)現(xiàn)安全漏洞。安全掃描系統(tǒng)包括基于服務器的安全掃描系統(tǒng)和基 于網(wǎng)絡的安全掃描系統(tǒng)。 基于網(wǎng)絡的安全掃描系統(tǒng)， 用于掃描設定網(wǎng)絡內(nèi)的服務器、 路由器、交換機、防火墻等設備的安全漏洞，并可設定模擬攻擊，以測試系統(tǒng)的防 御能力。4.2 SSL 在網(wǎng)上銀

55、行中的應用4.2.1 SSL 協(xié)議的概述目前網(wǎng)上銀行系統(tǒng)的傳輸環(huán)節(jié)大多采用SSL的安全傳輸協(xié)議腳。一、SSL協(xié)議的概述利用網(wǎng)上銀行在 Intemet 上交易時，最核心的問題是安全問題。近年來，基于 互聯(lián)網(wǎng)的網(wǎng)上銀行的快速發(fā)展，使得如何保證網(wǎng)上交易信息的真實性、保密性、完 整性、不可否認性成為急待解決的問題。 SSL(seeuresoeketsuyer ，安全套接字層 341) 是由Netscape公司開發(fā)的網(wǎng)絡安全傳輸協(xié)議，它位于 TCP/IP層和應用層之間，為 應用層程序提供一條安全的網(wǎng)絡傳輸通道。它是目前 Intemet 上點到點之間尤其是 Wob瀏覽器與服務器之間進行安全數(shù)據(jù)通訊所采用的

56、最主要的協(xié)議。SSL提供以下功能：1、信息保密 : 對信息使用對稱性算法進行加密。只有交流信息的雙方才能訪問 并理解加密信息。2、身份認證 ： 對通信一方或雙方使用數(shù)字證書和非對稱算法進行身份確認。也 就是對服務器或連接各端的客戶機和服務器進行認證。3、完整性校驗 ： 采用數(shù)字簽名和摘要算法技術，保證傳輸數(shù)據(jù)的完整性和真實 性。這樣就可以防止信息內(nèi)容在未經(jīng)檢測的情況下被修改，接收方可以確信他們收到的是無法進行修改的信息。SSL可以嵌入Intemet的處理棧內(nèi)，對其他協(xié)議沒有 太大影響，能夠同其他Intemet應用一起使用，如btranet、應用安全和 Web服務。 因此SSL協(xié)議具有應用面廣、

57、實施成本低、安全高效、操作簡單等優(yōu)點，使它在網(wǎng) 上銀行、電子政務、證券、電子商務系統(tǒng)等領域得到廣泛的應用。事實上SSL協(xié)議也是解決網(wǎng)上銀行安全比較好的辦法。二、SSL協(xié)議的組成SSL協(xié)議主要有兩層組成，其底層是SSL記錄協(xié)議層(SSLRec。 rdProtoeolLayer) ，簡稱記錄層， 主要實現(xiàn)對記錄的分段、 壓縮和保密傳輸 ; 其高層 是SSL握手協(xié)議層(SSLHandshakeProtoeolLayer)，簡稱握手層，主要用于協(xié)商雙方 的加密規(guī)則。此外還有警告協(xié)議、更改密碼說明協(xié)議和應用數(shù)據(jù)協(xié)議等對話協(xié)議和 管理提高支持的子協(xié)議。其組成如圖 4.2 所示：HTTP圖4.1 SSL的分

58、層次結(jié)構(gòu)圖握手協(xié)議和記錄協(xié)議是SSL協(xié)議的核心組成部分。其上是超文本協(xié)議HTTR文 件傳輸協(xié)議FTP和傳輸控制協(xié)議TELNET他們控制文本的傳輸，支撐握手。記錄協(xié) 議的低層通信是用戶數(shù)據(jù)報文和 TCP工P協(xié)議。1、握手協(xié)議層它的功能是：算法協(xié)商，首次通信時，雙方通過握手協(xié)議協(xié)商密鑰交換算法、 壓 縮算法和加密算法。身份驗證:在密鑰協(xié)商完成后，客戶端與服務器端通過證書交換， 互相驗證對方的身份，一般是通過目錄服務器的 LDAR查詢完成。確定密鑰：最后使 用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的秘密信息，客戶端和服務器各自 根據(jù)這個秘密信息確定數(shù)據(jù)加密算法的參數(shù)（一般是對稱密鑰）。SSL協(xié)議的