網銀的安全隱患與預防方案

導語：網銀的安全隱患與預防方案一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：本文主要從四個方面簡要介紹了網上銀行所存在的安全隱患以及各種防范措施。主要采用了數字加密技術、數字證書、信息隱藏、防病毒等一系列技術。

關鍵詞：數字加密、數字證書、ECC、PEM證書、CA、訪問控制、虛擬存儲。

0.引言

隨著計算機的普及以及互聯網應用越來越廣泛，各種各樣跟網絡有關的服務已走進了我們的日常生活，尤其是電子商務更是深入普通大眾，給人們的日常生活帶來了前所未有的方便。網上銀行就是隨之而興起的一門服務，由于其不受時間不受地點的限制以及操作的方便性，得到越來越多人的使用，但是，其安全問題也日益突出，網上銀行賬戶被盜時有發生，于是網上銀行的安全問題成為銀行與客戶共同關注的熱門話題。

下面我們主要通過四個方面來分析網上銀行所存在的隱患與解決措施

1.物理安全隱患與防范措施

物理安全主要包括以下幾個方面

（1）環境安全

銀行內部服務器的運行環境應按照國家有關標準設計實施，應具備消防報警、安全照明、不間斷供電、溫濕度控制系統和防盜警報，以保護系統免受水、火、有害氣體、地震、靜電等的危害。

（2）電源系統的安全

電源是所有電子設備正常工作的能量源泉，同樣在銀行內部服務器系統中也同樣重要。要保證電源系統的安全就要做到電力能源供應不間斷、輸電線路安全、保持電源的穩定性等。

（3）設備安全

要保證硬件設備隨時處于良好的工作狀態，建立健全使用管理規章制度，建立設備運行日志。同時要注意保護存儲媒體的安全性，包括存儲媒體自身和數據的安全。要保證存儲媒體的安全就要做到安全保管、防盜、防毀和防霉。數據安全將在后面介紹。

（4）通信線路安全

通信設備和通信線路的裝置安裝要穩固可靠，具有一定對抗自然因素和人為因素破壞的能力，包括防止電磁信息的泄露、線路截獲，以及電磁干擾。

2.信息安全與防范措施

信息安全就是指客戶在使用自己的賬號和密碼登陸網站與服務器所進行的一系列數據傳遞之間的安全。由于其中有客戶重要的資料，比如客戶的賬號密碼，因而信息安全在網上銀行的安全性方面也扮演著很重要的角色。針對信息安全方面我們主要采取了以下三種有效的措施：

（1）數據加密技術

我們針對網上銀行具有很強的信息保密性以及客戶群體大等特性采用了ECC加密算法。ECC（EllipticCurveCryptography）即橢圓曲線加密算法，是基于離散對數的計算困難性。其具有幾個方面的優點：

i.安全性能更高

加密算法的安全性能一般是通過該算法的抗攻擊強度來反映。ECC和其他公鑰系統相比，其抗攻擊具有絕對的優勢。如160位ECC與1024位RSA、DSA有相同的安全強度，而210位ECC則與2048bitRSA、DSA具有相同的安全強度。

ii.計算量小，處理速度快

雖然在RSA中可以選取較小的公鑰（可以小到3）的方法提高公鑰處理速度，即提高加密和簽名驗證的速度，使其在加密和簽名驗證速度上與ECC有可比性，但在私鑰的處理速度上（解密和簽名），ECC遠比RSA、DSA快得多。因此ECC總的速度遠比RSA、DSA快得多。

iii.存儲空間占用小

ECC的密鑰尺寸和系統參數比RSA、DSA相比小，這就意味著它所占的存儲空間更小。

iv.帶寬要求低

對長的消息進行加密和解密時，ECC與RSA、DSA三類密碼系統有相同的帶寬要求，但應用于短消息時ECC的帶寬要求卻低得多。

（2）數字證書技術

為實現網上銀行交易，確認交易各方的真實身份，需要一個具有權威性和公正性的第三方認證機構來完成。數字證書是用于在上標識個人或者機構身份的一種技術手段，是各類終端實體和最終用戶在網上進行信息交流以及商務活動的身份證明。它由一些權威的機構所認證，從而解決了各方互相間的信任問題。數字證書包含用戶的身份信息，用戶公鑰信息以及證書發行機構對該證書的數字簽名信息。網上銀行通過數字證書對客戶身份進行鑒定識別，保證網上交易中客戶身份的真實性和不可否認性。

為此我們采取了PEM證書系統。它符合X.509標準，該結構包含的范圍廣泛，從嚴格集中的等級形式系統到分散系統都能應用該證書模式。PEM證書包含許多信任條款，允許用戶在最少干預的情況下自動實現對證書有效性的檢查。

PEM證書管理模式是以證書授權機構（CA）的概念為基礎的。這些CA呈樹狀結構組織。樹的頂部是InternetPCA（政策證書授權）注冊機構（IPRA:InternetPolicyRegisterAuthority），它是在Internet組織的支持下工作，IPRA不僅提供所有證書連鎖匯集的共同參考點，還為PEM證書制定管理條款。

我們之所以要采用PEM證書，是因為其具有以下特點：

i.遵循X.509系列證書標準，并支持證書擴展。

ii.能定期更新某用戶的公開的私有的密鑰對，但不會因此影響其他用戶。

iii.建立一套完整的證書請求、證書、證書驗證、證書撤消管理協議。

iv.證書的管理必須保證其安全和保密性。

v.產生密鑰時，必須支持不同的公開密鑰算法。

vi.允許任何一方產生證書的公開和私有密鑰。

vii.必須支持證書撤消列表和用戶的證書撤消請求，并且要能有效防止拒絕服務攻擊。

viii.主體要提供保存證書的個人安全環境（PSE:PersonalSecurityEnvironment），確保證書的安全。

ix.主體在請求證書并產生公開密鑰隊時，要向發行者（CA）提供自己對私有密鑰的擁有證明(POP:ProofofPossessionofPrivacyKey)。

x.當CA更新自己的公開密鑰證書時，要保證用戶能用以前的舊公開密鑰驗證CA新產生的公開密鑰。

(3)信息隱藏技術

信息隱藏（InformationHiding）也稱為數據隱藏(DataHiding)，它是將需要保密的信息（一般稱為簽字信號，SignatureSignal）嵌入一個非機密信息的內容（一般稱之為主信號，HostSignal）之中，使得它在外觀形式上是一個含有普通內容的信息的過程。具體地說信息隱藏是利用加密技術或是電磁的、光學的、熱學的技術措施，改變信息的原有特征，從而降低或消除信息的可探測和被攻擊的特征，以達到信息的“隱真”；或是模擬其他信息的可探測和可被攻擊的特征仿制假信息以“示假”。

正是因為信息隱藏技術具有以下特點，我們才采取這種措施。

i.隱蔽性。信息經過一系列隱藏手段處理手段，從而使其無法讓人看見或聽見。

ii.安全性。一是能夠承受一定程度的人為攻擊，使隱藏信息不被破壞；二是將欲隱藏的信息隱藏在目標信息的內容之中，防止因格式變換而遭到破壞。

iii.免疫性。即經過隱藏處理后的信息不至于因傳輸過程中的信息噪聲、過濾操作因素而導致丟失。

iv.編碼糾錯性。指隱藏數據的完整性在經過各種操作和改變后仍能很好地恢復。

v.穩定性。指在進行信息加密隱藏時，信息編碼應考慮其變化的可能性，盡可能保持代碼系統的穩定性。

vi.適應性。一方面指在進行信息隱蔽時，隱蔽載體應與原始載體的信息特性相適應，使非法攔截者無法判斷是否有隱蔽信息；另一方面是指在進行信息加密時，代碼設計應便于修改，以適應可能出現的新變化。

3.網絡安全與防范措施

在網絡這個不斷更新換代的世界里，網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了，新的安全漏洞又將不斷涌現。網絡攻擊者正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。自然而然網上銀行也同樣經受著“黑客”們的虎視眈眈。針對網絡方面的安全我們主要采用了兩種防護措施。即：

(1)防火墻技術

防火墻技術是指在網上銀行網絡和其他外部網絡的接口處專門建立的安全系統。它由硬件和軟件結合而成，用于對進出網上銀行網絡的數據檢查和控制，隔離來自外部網絡對內部網絡的安全威脅，保護網絡和資源的安全不受非法入侵。

防火墻具有以下特點：

i.保護易受攻擊的服務。

ii.控制訪問網點系統。

iii.集中安全性。

iv.增強的密碼能強化私有權。

v.有關網絡使用、濫用的記錄和統計。

vi.可提供實施和執行網絡訪問政策的工具。

為了保證系統不受黑客侵入，銀行應在網絡服務器和英特網之間設置外部防火墻，在網絡服務器和數據庫服務器或銀行內部計算機系統之間設置內部防火墻。

(2)防病毒技術

目前已有超過2萬種病毒活躍在網絡世界里，經過網絡連接的用戶時時刻刻受到網絡病毒的威脅，其傳播的途徑也是越來越廣泛，比如說文件下載，Email等。這樣以來銀行和客戶都將面臨著嚴峻的考驗。針對計算機病毒的風險，我們可以安裝防毒軟件，及時更新軟件的版本以及病毒庫，不要隨便打開電子郵件里邊附件里邊的東西，不要隨便在業務機上下載文件，對外來的軟盤，盤要事先進行殺毒處理。

4.系統安全與防范措施

系統安全包括操作系統的安全以及數據庫的安全

(1)操作系統的安全

操作系統的安全性方面主要采取訪問控制技術。訪問控制指主體訪問客體的權限或能力的限制，以及限制進入物理區域和限制使用計算機系統和計算機存儲數據的過程。

訪問控制在計算機安全防御措施中是機極其重要的一環。它在身份認證的基礎上根據身份的合法性對提出的資源訪問請求加以控制。用戶只能根據自己的權限大小來訪問系統資源，不能越權訪問。

(2)數據庫方面的安全

安全數據庫所具有的特性：數據獨立性；數據安全性；數據完整性；數據庫的可審計性。

數據庫方面的安全主要采取的是一種容災技術-虛擬存儲，虛擬化存儲技術在系統彈性和可擴展性上開創了新的局面。它將幾個IDE或SCSI驅動器等不同的存儲設備串聯為一個存儲池。存儲集群的整個存儲容量可以分為多個邏輯卷，并作為虛擬分區進行管理。存儲由此成為一種功能而非物理屬性，而這正是基于服務器的存儲結構存在的主要限制。

虛擬存儲系統還提供了動態改變邏輯卷大小的功能。事實上，存儲卷的容量可以在線隨意增加或減少?？梢酝ㄟ^在系統中增加或減少磁盤的數量來改變集群中邏輯卷的大小。這一功能允許卷的容量隨用戶的即時要求動態改變。另外，存儲卷能夠很容易地改變容量，移動和替換。安裝系統時，只需為每個邏輯卷分配最小的容量，并在磁盤上留出剩余的空間。隨著業務的發展，可以用剩余空間根據需要擴展邏輯卷。也可以將數據在線從舊驅動器轉移到新的驅動器上，而不中斷服務的運行。存儲虛擬化的一個關鍵優勢是它允許異質系統和應用程序共享存儲設備，而不管他們位于何處。公司將不再需要在每個分部的服務器上都連接一臺磁帶設備。

5.網上銀行現狀以及所面臨的問題

加密技術、認證技術、信息隱藏技術、防火墻技術、訪問控制技術、虛擬存儲等都是保證網上銀行安全的有效技術手段。但是我們注意到，目前我國自有知識產權的密碼產品還不能成熟地運用到互聯網交易，大多數商業銀行采取的密碼產品一般來自西方發達國家，而這些國家向中國出口的往往是低端產品，這無疑在加密這個核心問題上對我國商業銀行構成威脅。另外，我國的網絡產品和網絡安全產品在整體水平上離發達國家還存在很大的差距，銀行使用的大多數網絡安全產品是國外品牌，這些都為網上銀行的安全帶來隱患。因此努力研究國產化核心設備和自主開發的網絡安全核心技術，構造一個集防護、檢測、反應為一體的安全體系，是我們所要達到的最終效果。

參考文獻：

[1].電子商務－安全認證與網上支付人民出版社2000

[2].賈勤－網上銀行安全技術分析網絡安全技術與應用2006.7

[3].劉慶華－信息安全技術科學出版社2005.12

[4].陳建偉－計算機網絡與信息安全中國林業出版社200.6

[5].楊云江－計算機網絡管理技術清華大學出版社2005.10

[6].綦朝輝－Internet安全技術國防工業出版社2005.5