沈阳a银行网银项目建设方案

沈阳a银行网银项目建设方案内容摘要：

的交易密码，可能有必要采用端对端加密 （ Endtoend encryption）。 (2)系统层面 入侵检测系统 安装切实有效的入侵侦测系统（ Intrusion Detection System，简称 IDS）。 较成熟的系统，既可侦测到已知的攻击、又可以对异常现象报警，对于从内外 部试图对网银项目入侵攻击的行为进行检测和报警。 (3)应用层面 JAVA应用服 务器 作为业界主流的应用服务器产品， IBM WebSphere Application Server及 BEA WebLogic Enterprise Server都提供了强大的应用级安全措施，银行的网 银项目应采取这些成熟的 JAVA应用服务器。 数字签名验签 应该采用采用满足国际标准的技术实现了在 SSL基础上的数字签名及验证 系统 客户端安全控制 客户端安全基本策略包括：使用 SSL加密传输；对关键性交易，必须采用 PKI证书签名；选择安全级别高的证书存储介质，如 USBKEY。 针对诸如“网银项目大盗”一 类的密码窃听攻击，相应解决措施包括：安装专业的杀毒软件和防火墙软件，并保持病毒库的更新；规范客户端操作管理； 提供软键盘以及动态口令等手段避免卡号、密码、身份证号等关键信息被盗取； 在网银项目应用中，采用网银项目登录密码和网银项目交易密码取代账户 查询密码及账户交易密码。 客户端安全控件，控件特点如下：打断钩子传输链，使钩子类攻击软件失 效。 例如：“键盘钩子”和“目标窗口过程中处理后消息钩子”攻击软件。 防止 驱动层 KeyLoger。 禁止非法的内容获取（ Get）及设置 (Set)消息，防范密码查 看软件攻击。 禁 止编辑指令和功能键的命令。 (例如： copy、 paste、 cat命令， Ctrl功能键 )。 编辑控件、密码控件、提交控件配合使用，不暴露内容获取函 数，防止脚本注入类软件的攻击。 编辑控件、密码控件、提交控件内部存在认 证关系，防止了恶意的相同 GUID控件的欺骗攻击。 防止截屏，录屏发送按键 扰码。 支持获取机器指纹 登录日志中记录客户访问系统的远程 IP地址和时间等详细信息，可以统计 客户访问系统的次数。 注入过滤 为防止网银项目和门户网站系统遭受注入攻击，需要严格规范系统的开发 规范，从程序开发的过程中杜绝注入攻击 的可能性。 主要是有以下两个方面：第一是 SQL脚本注入，攻击者往往利用此类注入 来非法执行数据库访问，以查看权限范围外的信息，造成信息的泄露。 或者利 用该注入方式修改 SQL语句的逻辑，造成系统数据库级的信息校验的失效。 防 范此类注入攻击需要在程序开发的时候对涉及数据库 JDBC操作的时候禁止使用 字符串拼接 SQL的方式，同时强制要求采用 JAVA的 PreparedStatement类来对 SQL语句进行预处理，将参数值以方法调用的方式传递给 PreparedStatement类。 第二是 JavaScript脚本注 入，攻击者可以通过在输入的信息中植入 JavaScript脚本，给系统带来界面信息的混乱，甚至通过执行相关逻辑来给系 统带来灾难。 为杜绝此类注入的危害，需要严格要求在服务端对页面输入信息 的合法性进行校验，对需要在页面进行显示的数据项进行 JavaScript脚本的校 验和处理，切断 JavaScript脚本运行的渠道。 在平台中通过参数化的方式为系统中的每一类数据设置一个校验规则，称 之为“样式”，主要是使用 Java的正则表达式技术来实现。 通过该样式来对企 业网银项目从页面输入的数据进行校验，确保输入数据的合 法性。 防钓鱼网站 由于网银项目业务的特殊性，运行在系统之上的数据都是银行客户的隐私 数据，比如账号、密码、证件类型、证件号码等，其数据的价值也使其成为不 法分子窃取信息的目标。 钓鱼网站通过构建一个与企业网银系统界面完全一致 的系统，并且申请与企业网银项目 URL访问地址极其相似的地址来将其发布到 互联网上。 通过邮件，搜索引擎等媒介将其在互联网和用户中传播。 一旦客户 进入该系统，登录伪造的企业网银系统进行交易，该系统会把客户的账号、密 码等重要信息窃取。 银行通过设置客户个性化信息和个性化图片的方式来防止钓鱼 网站对客户 的危害。 客户在签约网银项目的时候，系统要求客户录入个性化预留信息和上 传个性化图片。 客户在登录网银系统后，系统将在显著位置显示客户预留的个 性化信息和个性化图片，以此告知客户网站的合法性，以避免钓鱼网站欺骗性 的获取客户的重要信息。 客户可以在登录企业网银系统后对预留信息和预留图 片进行修改。 (4)数据保密性层面 通讯层采用 SSL加密传输，防止中间人在互联网中窃取数据的可能。 WEB服务器与应用服务器之间通讯数据加密传输，防止银行内部网络窃取数 据的可能。 客户端采用客户端加密控件，对密码加密后 再传输，系统配合第三方 HSM 设备解密，实现密码的端（客户）到端（主机）全过程加密，密码不会在中间 任何环节暴露明文，防止银行内部窃取密码的可能。 密钥只保存在 HSM设备和 主机，需要定期更换。 对需要存储在数据库里的关键数据，先加密后再存储，密钥由平台加密后 20 以文件形式保存。 对密码的加密，采用不可逆加密，不能被还原，校验时对密 码再做一次加密，将加密后数据与数据库保存的数据比较，如一致表示相同， 这样可提高密码保存的安全性。 系统所用到所有密码，如数据库访问密码等，都不以明文形式在应用中出 现，通过平台 加密后以文件形式保存。 (5)数据完整性层面 根据密码学公开密钥体系而研制的数字证书，集身份识别、加密、防止篡 改等诸功能于一身，在确保互联网通讯层的安全方面，起着重要作用。 对交易信息进行数字签名，可以起到防止篡改和交易的不可否认性二个作 用。 具体地说，可以通过数字签名保障对交易信息的任何改变，任何篡改可以 被网银项目立刻识别，因此可以保证交易信息的完整性。 除了对签名合法性验证外，还不足以保证完整性，通常 FORM表单里的数据 与签名数据是在不同位置定义，可能一个合法的，但另外一个被篡改。 因此， 系统对数 字签名合法性验证通过后，还需要对每一个 FORM表单里的数据，与签 名数据逐一对比，要完成一致后，才能表示数据是完整无误的。 (6)交易信息不可否认性层面 为了同时达到网银项目所需的交易安全、交易速度，银行采用标准的 证书及 SSL安全协议，也即采用浏览器内置 SSL模块，并结合相应的数字签名 软件，实现交易的签名、验证和保留。 服务端采用硬件 SSL加速模块或者 Web Server内置的 SSL模块实现与浏览 器的 SSL加密通道建立。 采用高效的数字签名技术及合理的证书运用 由于标准的 SSL协议，在采用客 户端证书时，并未对用户的交易数据进行 显示签名，造成应用系统无法记录交易的数据及相应的数字签名，给在技术层 面确认交易的不可否认性，带来一定的困难。 为此，银行采用基于 SSL的显式 数字签名技术解决方案，以解决该问题。 某些安全厂商提供的安全代理服务器要求网银项目采用非标准的方式获取 21 客户端证书，这种获取方式不利于系统的扩展及移植，而且使用的签名技术包 含许多冗余数据，不利于数字签名的传输及保存。 CSII安全组件通过 J2EE标准 接口获取证书，实现客户端证书与用户的绑定。 通过对自定义签名信息格式的 支持， 消除冗余，可实现签名信息的高效传输及保存。 此外， CSII安全组件支 持基于 LDAP 或文件方式的 CRL（证书废止列表）验证，从而可以及时确认客户 端证书的有效性，保证客户服务系统的交易安全。 通过相应的应用程序接口，选择对关键交易数据进行数字签名，交易发送 服务器后，由服务器端的应用系统通过该技术提供的软件包进行验证，并对数 据进行保存。 该数字签名基于 RSA/MD5技术，可支持 51 76 1024或更高的密钥长度， 可兼容目前所有的基于。 适用于低速网络 数字签名信息可选用 PKCS7 Cryptographic Message Syntax Standard或 CSII自定义的信息格式，自定义的信息格式可以大大压缩需要通讯和存储的数 据量，使得该项技术在中国目前的网络环境下，也实现高效的传输，而且需要 保存的数据量很小。 基于开放技术 数字签名采用标准的 在客户端，采用客户端证书确认的公钥所对应的私钥进行关键交易的数字 签名；在服务端，通过服务端获取的客户端 ，进行交易数据的验证。 从而保证了整个签名、验证流程基于。 与 SSL协议完全兼容 即数字签名技术采用的证书，为 SSL的客户端 ，因此，无需另 外颁发证书用于数字签名，使得数字签名及客户端身份认证可共享一张证书， 保证了这项技术可以无缝地运用于现有的 SSL体系。 采用 RSA/MD5数字签名技 术。 符合 Microsoft CSP 标准 可选用 IC卡或 USB Token作为存储密钥对及证书的介质 对安全强度要求比较高的应用，可以选用 IC 卡作为存储密钥对及证书的介质，此时，数字签名在 IC卡内完成，由于私钥的产生、使用全部在卡内完成， 使得安全强度大大提高。 该系统可以支持所有提供符合 Microsoft CSP 标准 Provider的 IC卡，如 Gamp。 D、 Gemplus等。 (7)用户安全级别分类 大众版用户：非签约用户，只能够通过密码进行保护。 进入系统以后，只 可以进行简单的查询。 证书版用户：签约用户，使用 UKEY进入个人网银系统 OTP 版用户：签约用户，使用登陆 ID、登录密码、动态口令进入个人网银 系统 综合版用户：拥有几种安全认证手段的签约客户，根本不同情况使用不同 的认证方式。 (8)OTP 层面 网银项目主要使用两种主流的安全认证方式，包括动态令牌（ OTP token） 和数字证 书。 其中动态令牌在国际上近年受到业内众多银行的青睐，因为该设 施与计算机的完全物理隔离，使用简单，无需安装驱动，也不需要记忆密码， 将成为未来身份认证的主要趋势。 针对网银项目调研结果，推荐以下硬件配置 企业网上银行系统业务功能主要包括账户管理、集团业务、转账汇款、代理业务、投资理财、业务申请等。 企业网上银行系统为专业版。 专业版可以实现下挂账户转账、行内及跨行 转账、自助缴费等所有企业网银业务功能，且必须使用 USBKEY数字证书进行签 名 才能实现网银的登录、账务交易、企业管理台等风险业务的操作，其中账务 交易必须双人以上使用数字证书签名才能完成。 企业网上银行系统的主要业务功能模块和业务功能点如下： 企业网银系统主要功能详细说明 功能描述 查询活期账户在一段时间范围内的交易明细信息，并可对查询结果信息进 行下载和打印。 业务流程说明 操作员点击“账户管理→账户明细查询”； 操作员可以自己通过“当日交易明细查询”和“历史交易明细查询”功能 输入查询条件，点击“查询”，系统显示相应的查询结果页面； 没有记录的话系统返回信息：“在指定查询条件内无明细” 功能描述 查询集团账户设置的约定规则，并且对规则可进行撤销处理。 业务流程说明 (1)操作员点击“集团资金管理 集团账户管理”菜单或链接。 (2)网银系统检查客户、客户的账户和操作员是否具有“集团账户可用余额 查询”的业务权限。 如有则显示“集团账户可用余额查询”输入页面；如无则 显示错误页面。 (3)对于状态为未授权、复核拒绝、授权拒绝的指令，操作员可以点击该指 令后的“撤销”链接进行撤销，用户在弹出的撤销确认中进行确认，提交确认 且系 统处理成功后指令状态变为已撤销。 (4)撤销操作需要验证 USBKEY证书。 (5)点击明细链接可以查询账户交易明细。 (6)操作员在输入页面： 选择客户账号与生效期限，点击查询后页面会显示该账号的余额信息等。 功能描述 27 查询集团客户资产的时点余额状况。 业务流程说明 (1)操作员点击“集团业务查询 集团客户资产查询”菜单或链接。 (2)网银系统检查客户、客户的账户和操作员是否具有“集团客户资产查询” 的业务权限。 如有则显示“集团客户资产查询”输入页面；如无则显示错误页 面。 外转账 功能描述 行外操作员可以通过本功能进行实时的由本行账户向他行账户的转账。 本 功能支持的转账方式包括： 人行小额支付：支持 7X24小时，由核心系统对一定数量的支付交易组包后 整批发给人行小额支付系统处理，只能为 5万 (含 )以下金额的转账。 人行大额支付：支持的汇划时间为工作日的 9点到 16点（不同银行会有一 定时间浮动），实时发送人行支付系统处理，即时到账。 账户类型：活期人民币账户、活期一本通账户。 业务流程 客户点击“行外转账”菜单或链接。 网银系统检查客户、客户的账户和操作员是否具有行外转账的业务权 限。 如有则显示行外转账输入页面；如无则显示错误页面。 客户在输入页面： 选择付款账号、选择或输入收款账号、输入确认收款账号、输入收款方户 名、输入收款方开户行、选择是否加急转账、输入转账金额、输入。