| |
|
提高对信息安全的意识让网上银行更安全(一) |
|
http://www.secu.com.cn 中国安防产品网 时间:2005-02-03 11:03  |
公共密钥保障应用安全
从安全角度来看,网上银行实际上是将银行原有的封闭网络延伸到互联网上,面对复杂的网络技术,网上银行的管理能否跟进?这就存在着对复杂技术、复杂系统的管理风险。
影响系统安全的主要因素为网络安全、物理安全和运行环境安全,但这些主要都是银行来具体考虑的。例如,网上银行因为与互联网相连,其网络层上的安全防范非常重要。通常来说,银行是通过以下两种手段保证网络层的安全,一是在内部网络和其他外部网络的接口处建立防火墙,对进出银行网络的数据进行检查和控制,能够起到访问控制、审计、地址翻译等作用。二是安装入侵检测系统,它被认为是防火墙之后第二道安全闸门,在不影响网络性能的情况下,能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
对于用户来说,关心的主要是在互联网和用户端的安全,即应用层面的安全。
网上银行的应用层安全保护措施,主要是使用PKI(公共密钥基础设施)所提供的安全服务,其中包括认证即身份鉴别机制、访问控制机制、数据加密机制、数据完整性机制、不可否认机制、审计机制。
在互联网银行系统中,用户的身份认证是依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证而实现的。银行对用户的数字签名信息和登录密码进行检验,全部通过以后才能确认该用户的身份。用户的唯一身份标识就是认证机构(CA)发放的“数字证书”,用户的登录密码以密文的方式传输,确保了身份认证的安全可靠性。
在访问控制方面,银行Web服务器中所有的资源都经过分级管理,在安全系统中建立安全等级标签,只允许符合安全登记的用户进行访问。同时,对用户进行分级授权,每个用户只能在授权范围内进行操作。
在数据加密方面,互联网银行系统采用SSL加密传输的方式,用户登录并通过身份认证后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。
在数据完整性方面,互联网银行系统采用了数字签名,对数据传输的完整性进行保护。一旦数据信息遭到任何形式的篡改,篡改后的数据必然与数字签名不符,从而可以立即检验出原始的数据信息被他人篡改过,这样就确保了数据的完整性。
在交易的不可否认性方面,用户每次业务操作的信息均可由用户的私人密钥进行数字签名。因为用户的私人密钥只有用户自己才有,所以信息的数字签名就如同用户实际的签名和印鉴一样,可以作为用户操作的证据。
在审计方面,用户每次登录、退出及用户的每次交易都会产生一个完整的审计信息,并进行记录。这样就方便了日后的查询、核对等各项工作。
打好基石 防患未然
网上银行安全包括的方面很多,但可概括为两个层面:一是网络自身的系统安全问题;另一个是各种主动攻击手段所带来的安全问题。
第一个层面的问题主要包括以下几方面的因素:1.网络系统方面的因素。Internet的共享性和开放性使网络安全存在先天不足,因此,对网上银行的安全构成威胁。2.难以抗拒的灾害。如地震、雷击、风灾等自然灾害和火灾、停电等意外事故等都有可能造成网络问题或主机工作的不稳定,从而严重影响网上银行的安全。3.人为的因素。如工作人员的失职、失误造成网络系统的异常。4.各种病毒在网络上流传,从而使得系统特别是网络系统遭到破坏。
第二个层面的内容主要是:1.黑客攻击。黑客通过Internet非法入侵网上银行网站,从而使系统和数据遭到破坏。2.犯罪分子利用网上银行进行经济犯罪。
网上银行的安全防范措施具体表现为5个字:防、堵、滤、检、惩。
|
|
|
| 【评论】【大 中 小】【打印】【关闭】 |
| |
|
|
|
 |
资讯搜索 |
|
|
|
|
|
|
