淺談網(wǎng)上銀行的安全體系設(shè)計(jì)

摘要：自1999年我國(guó)推出網(wǎng)上銀行以來(lái)，網(wǎng)上銀行業(yè)務(wù)以其方便、直觀(guān)、基本覆蓋傳統(tǒng)銀行業(yè)務(wù)范圍等優(yōu)點(diǎn)，已經(jīng)成為人們?nèi)粘Ｉ钪胁豢煞指畹囊徊糠帧？蛻?hù)通過(guò)網(wǎng)上銀行可以在任何時(shí)間、任何地點(diǎn)、任何方式使用銀行提供的金融服務(wù)，足不出戶(hù)的辦理銀行業(yè)務(wù)。

本文以網(wǎng)上銀行安全體系為研究對(duì)象，分析網(wǎng)上銀行的安全區(qū)域劃分、數(shù)據(jù)流分析、風(fēng)險(xiǎn)點(diǎn)挖掘等內(nèi)容，從管理和技術(shù)兩個(gè)角度來(lái)設(shè)計(jì)網(wǎng)上銀行的安全體系。

關(guān)鍵詞：網(wǎng)上銀行 安全體系 設(shè)計(jì)

一、概述

網(wǎng)上銀行是商業(yè)銀行等金融機(jī)構(gòu)通過(guò)互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)及其他開(kāi)放性公眾網(wǎng)絡(luò)向其客戶(hù)提供各種金融服務(wù)的信息系統(tǒng)。網(wǎng)上銀行系統(tǒng)將傳統(tǒng)的銀行業(yè)務(wù)同互聯(lián)網(wǎng)等資源和技術(shù)進(jìn)行融合，將傳統(tǒng)的柜臺(tái)通過(guò)互聯(lián)網(wǎng)、移動(dòng)通信網(wǎng)絡(luò)、其他開(kāi)放性公眾網(wǎng)絡(luò)向客戶(hù)進(jìn)行延伸，是商業(yè)銀行開(kāi)拓新業(yè)務(wù)、方便客戶(hù)操作、改善服務(wù)質(zhì)量、推動(dòng)生產(chǎn)關(guān)系變革等的重要舉措，提高了商業(yè)銀行的社會(huì)效益和經(jīng)濟(jì)效益。

2005年實(shí)施的《電子簽名法》是促進(jìn)我國(guó)電子商務(wù)發(fā)展的點(diǎn)睛之筆。該法律既順應(yīng)了信息化的時(shí)代潮流，也符合我國(guó)信息化戰(zhàn)略的發(fā)展要求。《電子簽名法》不僅保障了網(wǎng)上交易的合法有效性，還從法律保障和權(quán)益保護(hù)的角度樹(shù)立廣大企業(yè)和社會(huì)公眾對(duì)電子支付安全性、可靠性的信心，為網(wǎng)上銀行等電子支付業(yè)務(wù)帶來(lái)了發(fā)展契機(jī)。

網(wǎng)上銀行的最大特點(diǎn)是開(kāi)放性，不受地域與時(shí)間的限制。開(kāi)放性帶來(lái)的優(yōu)點(diǎn)是交易成本的降低和交易便利性的提高，缺點(diǎn)是交易安全易受到威脅及通訊可靠性降低。因此，網(wǎng)上銀行業(yè)務(wù)設(shè)計(jì)應(yīng)充分發(fā)揮開(kāi)放網(wǎng)絡(luò)低成本和便利的特點(diǎn)，有效應(yīng)對(duì)開(kāi)放網(wǎng)絡(luò)通訊安全威脅，同時(shí)采取手段提高交易穩(wěn)定性和成功率。

與傳統(tǒng)銀行經(jīng)營(yíng)模式相比，網(wǎng)上銀行的風(fēng)險(xiǎn)主要體現(xiàn)在操作風(fēng)險(xiǎn)與聲譽(yù)風(fēng)險(xiǎn)兩個(gè)方面。操作風(fēng)險(xiǎn)是指由不完善或有問(wèn)題的內(nèi)部程序、員工、信息科技系統(tǒng)以及外部事件所造成損失的風(fēng)險(xiǎn)。網(wǎng)上銀行體現(xiàn)的操作風(fēng)險(xiǎn)主要包括：網(wǎng)絡(luò)故障引發(fā)的風(fēng)險(xiǎn)、黑客襲擊引發(fā)的風(fēng)險(xiǎn)、網(wǎng)上銀行系統(tǒng)可靠性、穩(wěn)定性、安全性的缺陷而導(dǎo)致的潛在損失風(fēng)險(xiǎn)、員工操作風(fēng)險(xiǎn)、客戶(hù)的疏忽引發(fā)的操作風(fēng)險(xiǎn)等幾個(gè)方面。操作風(fēng)險(xiǎn)具有普遍性與非營(yíng)利性，商業(yè)銀行應(yīng)當(dāng)通過(guò)各種措施來(lái)降低操作風(fēng)險(xiǎn)的發(fā)生概率，降低風(fēng)險(xiǎn)發(fā)生帶來(lái)的損失。網(wǎng)上銀行引發(fā)的信譽(yù)風(fēng)險(xiǎn)尤指由于網(wǎng)上銀行業(yè)務(wù)遭受襲擊、出現(xiàn)損失、響應(yīng)緩慢、無(wú)法使用或者其他原因給網(wǎng)上銀行客戶(hù)造成經(jīng)濟(jì)損失、導(dǎo)致負(fù)面評(píng)價(jià)，對(duì)銀行造成信譽(yù)受損的風(fēng)險(xiǎn)。

網(wǎng)上銀行安全體系應(yīng)當(dāng)以保障國(guó)家金融安全及公眾利益為目標(biāo)，采取措施保障交易全過(guò)程的安全性，保障交易雙方的信任可信、交易信息的不泄露和不被篡改及不可抵賴(lài)。網(wǎng)上銀行安全體系建立過(guò)程是一個(gè)涵蓋風(fēng)險(xiǎn)管理、策略制定、規(guī)劃實(shí)施、審計(jì)、整改完善的動(dòng)態(tài)運(yùn)作過(guò)程。

根據(jù)中國(guó)人民銀行頒布的《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范》，網(wǎng)上銀行的安全區(qū)域包括外部區(qū)域、WEB訪(fǎng)問(wèn)安全區(qū)域、網(wǎng)上銀行應(yīng)用安全區(qū)域、銀行內(nèi)部區(qū)域等。網(wǎng)上銀行的主要數(shù)據(jù)流量包括信息瀏覽、查詢(xún)、交易三類(lèi)。信息瀏覽數(shù)據(jù)量基本在WEB訪(fǎng)問(wèn)安全區(qū)域終結(jié)，大部分查詢(xún)類(lèi)流量在網(wǎng)上銀行應(yīng)用安全區(qū)域終結(jié)，交易流量、部分查詢(xún)流量一般需要到銀行內(nèi)部核心區(qū)域訪(fǎng)問(wèn)。可以看出，網(wǎng)上銀行的數(shù)據(jù)訪(fǎng)問(wèn)流量具有明顯的分層分級(jí)特點(diǎn)，這個(gè)特點(diǎn)非常有利于我們進(jìn)行安全層級(jí)的劃分。

二、管理角度的安全體系設(shè)計(jì)

商業(yè)銀行應(yīng)當(dāng)充分重視網(wǎng)上銀行的安全工作，將之納入全行的安全體系建設(shè)工作中，從組織架構(gòu)、管理制度、人員配備、審計(jì)檢查、數(shù)據(jù)備份及災(zāi)難管理、系統(tǒng)運(yùn)維等多方面考慮，從管理上設(shè)計(jì)網(wǎng)上銀行的安全體系。

（一）組織架構(gòu)

應(yīng)建立與商業(yè)銀行發(fā)展戰(zhàn)略相匹配的網(wǎng)上銀行安全保障與風(fēng)險(xiǎn)管理組織架構(gòu)，從董事會(huì)、高級(jí)管理層到各部門(mén)均應(yīng)參與網(wǎng)上銀行的安全體系協(xié)調(diào)機(jī)制，明確各部門(mén)在其中的職責(zé)。

應(yīng)設(shè)立網(wǎng)上銀行安全保障與風(fēng)險(xiǎn)管理工作的主要負(fù)責(zé)部門(mén)，由該部門(mén)牽頭制定發(fā)布相關(guān)制度、規(guī)范、流程，協(xié)調(diào)跨部門(mén)的應(yīng)急演練等工作，明確該部門(mén)在涉及網(wǎng)上銀行業(yè)務(wù)時(shí)和其他各相關(guān)部門(mén)的職責(zé)范圍、工作流程和溝通協(xié)調(diào)機(jī)制。

（二）管理制度

建立貫穿網(wǎng)上銀行業(yè)務(wù)運(yùn)作、系統(tǒng)設(shè)計(jì)、編碼、測(cè)試、集成、運(yùn)行維護(hù)以及評(píng)估、應(yīng)急處置等過(guò)程，并涵蓋安全制度、安全規(guī)范、安全操作規(guī)程和操作記錄手冊(cè)等方面的安全管理制度體系。

（三）人員配備

網(wǎng)上銀行應(yīng)當(dāng)配備專(zhuān)門(mén)的安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員，有條件的商業(yè)銀行還應(yīng)為網(wǎng)上銀行配備專(zhuān)門(mén)的數(shù)據(jù)備份與恢復(fù)人員。堅(jiān)持關(guān)鍵崗位的不兼容原則，堅(jiān)持開(kāi)發(fā)與運(yùn)維分離、技術(shù)與業(yè)務(wù)分離、操作與審計(jì)分離。應(yīng)當(dāng)建立外包人員、外包廠(chǎng)家的管理制度，從事網(wǎng)銀相關(guān)工作的人員應(yīng)進(jìn)行身份驗(yàn)證、背景調(diào)查等審查程序，簽署保密協(xié)議。

（四）審計(jì)檢查

定期對(duì)網(wǎng)上銀行進(jìn)行內(nèi)部IT審計(jì)，全面審視制度的制定與執(zhí)行情況。改進(jìn)傳統(tǒng)審計(jì)方法，充分利用現(xiàn)代化的網(wǎng)絡(luò)和信息技術(shù)，采用計(jì)算機(jī)輔助審計(jì)技術(shù)，如利用追蹤與標(biāo)示技術(shù)來(lái)監(jiān)控審計(jì)數(shù)據(jù)處理是否正確。要加強(qiáng)對(duì)操作記錄、操作日志的審計(jì)工作，保障日常變更有章可循，記錄清楚。

應(yīng)充分利用兩年一次的外部審計(jì)對(duì)網(wǎng)上銀行的運(yùn)維進(jìn)行安全審計(jì)，發(fā)現(xiàn)并整改問(wèn)題。

（五）數(shù)據(jù)管理及災(zāi)難備份

網(wǎng)上銀行應(yīng)該加強(qiáng)網(wǎng)上銀行的數(shù)據(jù)管理工作，定期對(duì)網(wǎng)上銀行的數(shù)據(jù)進(jìn)行備份。對(duì)備份方式、備份周期、存儲(chǔ)介質(zhì)及保存方式等內(nèi)容進(jìn)行規(guī)范，定期組織備份數(shù)據(jù)的恢復(fù)測(cè)試工作。

有條件的商業(yè)銀行應(yīng)當(dāng)將網(wǎng)上銀行的業(yè)務(wù)納入到全行的災(zāi)難備份計(jì)劃中，并根據(jù)全行的統(tǒng)一計(jì)劃進(jìn)行相關(guān)的演練與切換工作。

（六）系統(tǒng)運(yùn)維管理

商業(yè)銀行應(yīng)當(dāng)高度重視機(jī)房的安全管理工作，對(duì)有關(guān)機(jī)房物理訪(fǎng)問(wèn)，物品帶進(jìn)、帶出機(jī)房和機(jī)房環(huán)境安全等方面的管理明確規(guī)定。對(duì)“風(fēng)火水電”指定專(zhuān)人負(fù)責(zé)，定期巡檢，加強(qiáng)保密管理。加強(qiáng)對(duì)設(shè)備的管理工作，尤其是設(shè)備外修等情況的管理工作。

針對(duì)網(wǎng)上銀行的變更、升級(jí)、改造，應(yīng)當(dāng)科學(xué)規(guī)劃、充分論證、嚴(yán)格審查。記錄變更文檔與變更記錄。減少緊急變更，制定日常性的變更管理，保障變更具有充分的調(diào)研、設(shè)計(jì)、測(cè)試與審查時(shí)間。

三、技術(shù)角度的安全體系設(shè)計(jì)

商業(yè)銀行還應(yīng)當(dāng)充分重視網(wǎng)上銀行的安全技術(shù)防范，從軟件及應(yīng)用層面風(fēng)險(xiǎn)防范、網(wǎng)絡(luò)架構(gòu)、安全防護(hù)設(shè)備、應(yīng)急響應(yīng)等方面綜合設(shè)計(jì)網(wǎng)上銀行的安全體系。

（一）防范軟件風(fēng)險(xiǎn)

此處所指的軟件主要包括網(wǎng)上銀行系統(tǒng)程序軟件、操作系統(tǒng)軟件、數(shù)據(jù)庫(kù)軟件、中間件等應(yīng)用程序軟件。應(yīng)用程序方面應(yīng)當(dāng)從防攻擊、保護(hù)數(shù)據(jù)完整性、防抵賴(lài)、防重發(fā)等方面保障安全。

首先，應(yīng)高度重視網(wǎng)銀程序自身的風(fēng)險(xiǎn)。在開(kāi)發(fā)過(guò)程中，應(yīng)當(dāng)引進(jìn)內(nèi)部審計(jì)對(duì)關(guān)鍵里程碑進(jìn)行審計(jì)。開(kāi)發(fā)結(jié)束后，應(yīng)當(dāng)進(jìn)行多輪測(cè)試，力爭(zhēng)在程序正式上線(xiàn)前就能夠發(fā)現(xiàn)潛在風(fēng)險(xiǎn)并加以改正。程序正式上線(xiàn)后發(fā)現(xiàn)的問(wèn)題，應(yīng)當(dāng)充分論證后再行升級(jí)修改，避免緊急變更。

其次，應(yīng)充分重視OS漏洞、數(shù)據(jù)庫(kù)漏洞、中間件漏洞等的管理工作。一方面，通過(guò)外部安全評(píng)估部門(mén)出具的評(píng)估報(bào)告。另一方面內(nèi)部定期開(kāi)展漏洞掃描工作，獲得現(xiàn)有系統(tǒng)的較為全面的漏洞清單及風(fēng)險(xiǎn)。然后組織相關(guān)人員討論漏洞修復(fù)的可行性，咨詢(xún)軟件廠(chǎng)家的意見(jiàn)，并充分參考同業(yè)的實(shí)施情況。在測(cè)試環(huán)境中先行測(cè)試，未發(fā)現(xiàn)次生問(wèn)題后再行組織生產(chǎn)環(huán)境的漏洞修復(fù)工作。

再次，在應(yīng)用層面的設(shè)計(jì)中體現(xiàn)安全設(shè)計(jì)。利用身份鑒別、數(shù)據(jù)完整性、簽名防抵賴(lài)性、時(shí)間戳等技術(shù)來(lái)實(shí)現(xiàn)應(yīng)用層面的安全。

1.身份鑒別提高安全。在網(wǎng)銀系統(tǒng)中，用戶(hù)的身份認(rèn)證依靠基于“RSA公鑰”的加密機(jī)制、數(shù)字簽名機(jī)制和用戶(hù)登錄密碼的多重保證。用戶(hù)的唯一身份標(biāo)識(shí)是銀行發(fā)放給用戶(hù)的“數(shù)字證書(shū)”，用戶(hù)的登錄密碼以密文的方式傳輸，確保了身份認(rèn)證的安全可靠。將數(shù)字證書(shū)和客戶(hù)號(hào)關(guān)聯(lián)，客戶(hù)號(hào)及其密碼與數(shù)字證書(shū)同時(shí)被竊取才可能造成損失，安全性得到很大提高。

2.公鑰保護(hù)數(shù)據(jù)完整性。網(wǎng)銀系統(tǒng)應(yīng)采用“HASH算法”和“RSA公鑰”等方法，對(duì)數(shù)據(jù)傳輸?shù)耐暾赃M(jìn)行保護(hù)。

3.數(shù)字簽名機(jī)制防抵賴(lài)。網(wǎng)銀系統(tǒng)中，每一筆金融交易均應(yīng)附帶有發(fā)出方的數(shù)字簽名。這主要有兩個(gè)目的：一是銀行根據(jù)交易的數(shù)字簽名來(lái)確認(rèn)交易發(fā)出方的身份合法性，實(shí)現(xiàn)交易的認(rèn)證要求；二是用戶(hù)每次業(yè)務(wù)操作的信息均由用戶(hù)的私鑰進(jìn)行數(shù)字簽名，實(shí)現(xiàn)了交易的抗抵賴(lài)性要求。

4.時(shí)間戳防重發(fā)。在每個(gè)用戶(hù)發(fā)出的操作數(shù)據(jù)包中，加入當(dāng)前系統(tǒng)的時(shí)間信息，時(shí)間信息和業(yè)務(wù)信息一同進(jìn)行數(shù)字簽名。可以對(duì)每次的業(yè)務(wù)操作進(jìn)行區(qū)分，保證了信息的唯一性。

（二）安全的分層網(wǎng)絡(luò)架構(gòu)

網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)適應(yīng)并配合數(shù)據(jù)流向，并對(duì)數(shù)據(jù)加以保護(hù)。根據(jù)數(shù)據(jù)流向的特點(diǎn)，網(wǎng)絡(luò)架構(gòu)應(yīng)當(dāng)遵循分層訪(fǎng)問(wèn)、逐級(jí)訪(fǎng)問(wèn)的特點(diǎn)，區(qū)分外部訪(fǎng)問(wèn)區(qū)、WEB服務(wù)器區(qū)、APP服務(wù)器區(qū)、銀行核心區(qū)等幾個(gè)安全區(qū)域，每個(gè)安全區(qū)域邊界使用安全防護(hù)設(shè)備進(jìn)行安全防范。

（三）配備安全防護(hù)設(shè)備

由于網(wǎng)銀數(shù)據(jù)具有保密性、完整性和防抵賴(lài)性等特點(diǎn)，因此必須采用多種安全防護(hù)措施來(lái)保障數(shù)據(jù)的安全性。

1.抗DDOS攻擊防護(hù)。抗DDOS攻擊防護(hù)也叫抗拒絕服務(wù)系統(tǒng)，一般由檢測(cè)設(shè)備和清洗設(shè)備共同組成。其中，流量檢測(cè)系統(tǒng)采集流量信息，進(jìn)行定性判斷。一旦檢測(cè)到DDOS攻擊流量，將自動(dòng)將攻擊流量牽引到防護(hù)設(shè)備，由防護(hù)設(shè)備對(duì)DDOS攻擊流量進(jìn)行阻斷，并將清洗后的流量重新返回到接入設(shè)備，不影響正常業(yè)務(wù)訪(fǎng)問(wèn)。

2.入侵檢測(cè)（IDS）與入侵防御（IPS）。入侵檢測(cè)是指對(duì)進(jìn)入WEB層和APP層網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)檢測(cè)、預(yù)警功能、事后的審計(jì)。入侵防御系統(tǒng)可以對(duì)識(shí)別的入侵流量實(shí)時(shí)阻斷，能主動(dòng)防御已知和未知攻擊，實(shí)時(shí)阻斷各種黑客攻擊。

3.SSL加速。SSL加速設(shè)備負(fù)責(zé)對(duì)使用證書(shū)登錄的客戶(hù)進(jìn)行身份認(rèn)證，建立雙向SSL安全通訊鏈路，對(duì)于非證書(shū)用戶(hù)的單向SSL安全通訊鏈路也由此設(shè)備建立。用戶(hù)登錄并通過(guò)身份認(rèn)證以后，用戶(hù)和銀行間在網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)全部用會(huì)話(huà)密鑰加密，直到用戶(hù)退出。SSL安全設(shè)備提供服務(wù)器證書(shū)，提供SSL連接，自動(dòng)下載CRL（證書(shū)作廢列表）。

4.異構(gòu)防火墻。外部安全區(qū)域、WEB服務(wù)器區(qū)域和APP服務(wù)器區(qū)域間配置兩道異構(gòu)防火墻。第一道防火墻設(shè)立在外部安全區(qū)域、WEB服務(wù)器區(qū)域之間，保護(hù)DMZ（非軍事化區(qū)）網(wǎng)絡(luò)。在DMZ和APP服務(wù)器區(qū)域之間設(shè)立了第二道防火墻，保護(hù)網(wǎng)銀核心設(shè)備不受攻擊。

5.鏈路負(fù)載均衡。通過(guò)鏈路負(fù)載均衡系統(tǒng)對(duì)電信、聯(lián)通的鏈路進(jìn)行負(fù)載均衡。網(wǎng)上銀行用戶(hù)通過(guò)鏈路負(fù)載均衡系統(tǒng)進(jìn)行DNS解析，返回最優(yōu)鏈路提供的IP地址，確保用戶(hù)登陸網(wǎng)上銀行系統(tǒng)時(shí)，是通過(guò)最優(yōu)鏈路訪(fǎng)問(wèn)網(wǎng)上銀行WEB服務(wù)器，保障網(wǎng)上銀行用戶(hù)能快速訪(fǎng)問(wèn)WEB服務(wù)器。鏈路負(fù)載均衡設(shè)備大大提高了用戶(hù)訪(fǎng)問(wèn)的速度，提升了用戶(hù)體驗(yàn)，提高了系統(tǒng)可用性。

6.頁(yè)面防篡改。頁(yè)面防篡改系統(tǒng)使用嚴(yán)密的Web服務(wù)器核心內(nèi)嵌技術(shù)，網(wǎng)頁(yè)在被閱讀前都進(jìn)行水印檢測(cè)，確保網(wǎng)站的網(wǎng)頁(yè)都不被篡改。系統(tǒng)覆蓋了網(wǎng)頁(yè)的自動(dòng)發(fā)布、篡改檢測(cè)、警告和自動(dòng)恢復(fù)，保證傳輸、鑒別、審計(jì)等各個(gè)環(huán)節(jié)的安全，為網(wǎng)站保駕護(hù)航。

7.安全證書(shū)體系。采用證書(shū)來(lái)保證客戶(hù)信息的傳輸安全，防止用戶(hù)身份被冒用、數(shù)據(jù)被截取、數(shù)據(jù)被修改和數(shù)據(jù)被否認(rèn)。目前，一般通過(guò)中國(guó)金融認(rèn)證中心（簡(jiǎn)稱(chēng)CFCA）來(lái)實(shí)現(xiàn)的。CFCA的任務(wù)就是為了確保數(shù)據(jù)的安全性、數(shù)據(jù)的完整性和真實(shí)性、數(shù)據(jù)的防抵賴(lài)及用戶(hù)身份的確認(rèn)。為提高簽名驗(yàn)簽的效率，可以采用簽名驗(yàn)簽服務(wù)器來(lái)進(jìn)行硬件驗(yàn)簽。

（四）建立應(yīng)急響應(yīng)機(jī)制

銀行應(yīng)當(dāng)從技術(shù)角度和業(yè)務(wù)角度出發(fā)，假設(shè)網(wǎng)上銀行系統(tǒng)的主機(jī)、網(wǎng)絡(luò)及安全設(shè)備等IT設(shè)施在突發(fā)安全事件的時(shí)候，指導(dǎo)各相關(guān)部門(mén)和人員如何根據(jù)有序的流程和計(jì)劃對(duì)系統(tǒng)進(jìn)行有效恢復(fù)，減少網(wǎng)銀業(yè)務(wù)停頓造成的損失。建立覆蓋全行相應(yīng)部門(mén)的應(yīng)急響應(yīng)機(jī)制，一般包括發(fā)現(xiàn)、報(bào)告、分析、處理、總結(jié)幾個(gè)程序。

四、總結(jié)

總的來(lái)說(shuō)，網(wǎng)上銀行的安全體系建立涵蓋了管理與技術(shù)的方方面面。首先需要爭(zhēng)取領(lǐng)導(dǎo)層的支持，其次需要各業(yè)務(wù)部門(mén)、信息科技部門(mén)的大力配合與實(shí)施。通過(guò)保障組織架構(gòu)、完善管理制度、配備充足人員、定期審查審計(jì)、加強(qiáng)數(shù)據(jù)及災(zāi)備管理、加強(qiáng)運(yùn)維管理等管理方面的手段，從管理層面來(lái)保障安全體系的建立。在技術(shù)方面既要重視應(yīng)用層面的安全風(fēng)險(xiǎn)，利用漏洞修復(fù)技術(shù)、優(yōu)化數(shù)據(jù)流、RSA、證書(shū)等手段來(lái)保障網(wǎng)上銀行數(shù)據(jù)的安全性、完整性及防抵賴(lài)性。還要重視網(wǎng)絡(luò)層面的安全風(fēng)險(xiǎn)，采用業(yè)內(nèi)認(rèn)可的網(wǎng)絡(luò)架構(gòu)，通過(guò)配備抗DDOS設(shè)備、IPS、IDS、鏈路負(fù)載均衡器、異構(gòu)防火墻、防頁(yè)面篡改等技術(shù)手段來(lái)保障網(wǎng)上銀行的可用性及安全性。

參考文獻(xiàn)：

[1]中國(guó)銀監(jiān)會(huì)，商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引

[2]中國(guó)人民銀行，網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范

[3]陳學(xué)榮，淺談銀行網(wǎng)上銀行業(yè)務(wù)與網(wǎng)絡(luò)安全，中國(guó)金融網(wǎng)

[4]王鐵剛，淺談“訪(fǎng)問(wèn)控制”技術(shù)在銀行網(wǎng)絡(luò)安全中的運(yùn)用，計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2012年第20期