银行网络安全知识汇集.doc

密码技术作为信息安全的核心技术，在银行预防黑客攻击工作中应得到充分采纳和运用。银行需要采取必要的技术手段，建立严密的‘制度防内、技术防外’安全管理控制机制，运用密码技术保证数据信息在处理、储存和传输过程中的完整性和可用性，防止数据信息被非法窃取或篡改，杜绝内部作案，防止外部入侵。” 网上银行自身系统所面临的威胁无外乎以下三点： 1、银行交易系统被非法入侵； 2、信息通过网络传输时被窃取或篡改； 3、用户账户被他人盗用。 一 、建立安全管理制度，制定安全策略， 二 、完善安全技术措施、业务安全措施， 三 、加强银行内部安全监控和安全审计等，以保证网上银行的安全运行 为了防止交易服务器受到攻击，银行还采取了许多有效措施保障系统的安全有效运行： 　　1. 设立防火墙，隔离相关网络 　　一般采用多重防火墙方案，分隔互联网、交易服务器、内部局域网，防止互联网用户和内部网用户的非法入侵。 　　2. 高安全级的Web应用服务器 　　服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。 　　3. 24小时实时安全监控 许多银行所采用的ISS网络动态监控产品，可进行系统漏洞扫描和实时入侵检测。 而由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通信过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，目前，工行、招行与建行等都已经采用了有效密钥长度为128位的高强度加密。 网上银行交易系统的稳定与安全，是交易得以顺利进行的基础与保障.面对目前层出不穷的攻击形式与无所不在的安全危机，只有积极、主动的不断升级自身系统，才可以真正做到防患于未然。银行不仅要在客户终端和银行服务器之间使用必威体育官网网址协议，确保数据传输的安全性，还应该在操作上进行合理的流程控制。另外，网上个人银行必须采取双层密码保护，客户在输入卡号和密码的同时，还要输入一个动态的附加密码，这样，银行就能对每一笔业务进行风险控制。 招行、建行等都先后推出了USB Key个人数字证书。该证书的外形与闪存盘产品类似，小巧便携，其核心是一块能实现加密运算的芯片，使用时，可在USB设备内部完成核心的安全识别和加密运算，然后再将加密信息返回给PC系统。这样，客户可随身携带该数字证书，随时随地使用网上个人银行专业版，既安全又方便。但这种USB Key每个平均需要二三百块钱的使用金额造成了其推广的难度。 　　另外，在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。所以，用户的惟一身份标识就是银行签发的“数字证书”。 由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。 ISS网络动态监控产品 在进行全网安全规划时，除合理的使用和配置各种网络信息安全软、硬件产品外，相配套的定期评估检测和后续的专业安全服务也越来越受到重视。 1. 缺乏动态威胁防护管理中心，不能实时检测网络受攻击情况和网络中存在的漏洞，并集中产生安全趋势报告； 2. 缺乏专职安全管理人员，如表现在网络设备、服务器、数据库等账号、口令策略要定期调整，以免系统被不法用户（来自内部或外部）侵占和破坏； 3. 安全管理策略与制度需要进一步完善，如存在内部人员私自拨号上网的可能，这样可能导致企业的内部信息外泄，实施旁路攻击等。 ISS提供覆盖网络、服务器、桌面的企业级全面保护平台，并由业界顶尖的X-force研发组织提供实时更新。能主动更新其产品的特征库和漏洞评估库。 目前全球10大电信公司都部署ISS的网络安全产品作为入侵防护和漏洞评估的工具，构建企业动态威胁防护体系. 根据对XX移动网络的全面安全风险分析，可以得出移动网存在如下安全需求： 1、基础网络平台安全需求 网络运行的安全需求：网络的整体结构和路由必须进行优化，对有实时性服务要求的网络设备、服务器必须采用UPS不间断稳压电源，且重要服务器和关键网络设备采用双机热备份，采用专用设备对网络线路状况不定期检测，保证整个网络平台的运行安全。 操作系统的安全需求：对于操作系统的安全防范可以采取如下策略：尽量采用安全性较