计算机光盘软件与应用 2013年第01期 Computer CD Software and Appl ications 工程技术 网上银行的发展趋势及其系统安全性 詹庄影 (中国人民银行海口中心支行,海口 570105) 摘要:网上银行作为银行的金融创新,在当今金融经济活动中,已经越来越多地成为个人和企业进行资金管理和转 移的必要工具。本文首先简要介绍了网上银行的发展趋势,然后详细对网上银行系统的安全性问题进行了探讨。 关键词:网上银行;发展趋势;系统安全 中图分类号:F832.2 文献标识码:A 网上银行就是依托计算机网络实现银行服务,为客户 提供各种金融产品的银行。在Intemet上首先有的是信息 流,信息流发生后产生物流,有物的交换也就必然带来支 付活动,由此而产生网上资金流。信息流、物流、资金流 相互配合构成了“网上经济”。网上有了资金流需求,作为 信用中介和支付中介的银行,必然要在其中扮演重要的角 色,这就产生了“网上银行”发展的源动力。随着信息技术 的不断进步,网上银行必将因为经营和使用成本的低廉、 超越时空限制的方便,而成为人们信息生活中不可缺少的 一环。 1 网上银行的发展趋势 在金融全球化浪潮下,网上银行是国际银行业应对日 趋激烈的竞争中以变革求生存、求发展的必然选择。随着 经济全球化的发展,金融业的竞争越来越激烈,银行、证 券、保险纷纷使出浑身解数,不断推出创新金融产品,抢 占市场份额,银行要在金融业独占鳌头,就必须提高自身 的竞争力和盈利水平。网上银行具有不受时间、空间限制, 能够在任何时间、任何地点,以任何方式为客户提供金融 服务的优点,可以针对客户的具体需要制定个性化服务, 有利于企业和个人进行理财,有利于降低经营成本,提高 资金的周转时间。交易成本低廉和服务响应快捷,是网上 银行的主要特点。网上银行未来的发展,应该具有如下趋 势: (1)交易信息更安全。随着计算机及互联网络安全 技术的不断进步,从网上银行客户到银行服务器的整个环 节将会采取更加安全的加密、传输、存储、验证技术来保 证交易过程的安全。用户的安全意识、银行的风险监管将 会在网上银行的使用过程中得到加强。 (2)交易流程更简化。随着各家银行对网上银行应 用技术的认知程度不断加深,以及开发技术的优选及创 新,用户将越来越多地忽略终端环境的配置水平限制,从 而更好地体验网上银行功能简便性所带来的快乐。 (3)交易内容更丰富。随着人们金融经济活动的日 益频繁,银行业务将不断被改进和创新。网上银行的普遍 使用,将驱使银行整合尽可能多的银行业务提供给网上银 行用户使用。同时,银行也会在成本、质量、客户满意度 和反应速度上有所突破,继而能够集中核心力量,获得可 持续竞争的优势,最终使网上银行进一步加快向业务综合 化、国际化和高科技化方向的发展。 2网上银行系统的安全性 安全问题是网上银行的一个基本问题,也是一个突出 一1 59一 文章编号:1007—9599(2013)01—0159—02 问题。机密交易资料被盗用或改变,客户账户密码被窃取 或非法篡改,账户资金被挪用等情况时有发生,诸如此类 的安全问题已经成为网上银行风险防范的重点。网上银行 系统的安全性主要包括:网络设备安全;数据管理和网络 通信安全;应用系统安全;网络安全评估。 2.1 网络设备安全 网络设备安全是指有形的安全措施。这主要指对计算 机系统、网络设备、密钥等关键设备及信息的安全防卫措 施。例如,计算机房要安装电子门户控制系统,关键场所 要安装监视器,关键设备之间要保证相互隔离,进入密钥 保管房间要有双人控制等。根据系统安全策略,提供详细 日志记录和事前报警,事后跟踪能力。审计技术主要用于 对系统事件、网络访问信息、系统主机资源访问信息进行 记录,以便分析处理,可对柜员登录、关键主机访问、关 键业务访问记录到目志文件;对不成功信息进行归档分 析,杜绝任何可能存在的系统隐患。使用高安全级的Web 应用服务器,可信的专用操作系统,独特的体系结构和安 全检查。安全等级包括:A级,绝对可信网络安全;B级, 完全可信网络安全(B1、B2、B3);C级,可信网络安全(C1、 c2):D级,不可信网络安全。 2.2数据管理和网络通信安全 数据管理和网络通信安全是网上银行业务技术风险 管理的核心部分。银行应适当地设计和配置不同的服务器 和防火墙,采用合适的加密技术,在保证网上银行业务平 稳运行的基础上,确保数据传输的真实性和保密性。服务 器包括网络服务器、应用服务器和数据库服务器。网络层 安全机制包括防火墙和入侵检测系统;应用层安全机制主 要有加密机制f对称和非对称加密1、数字签名机制、访问 控制机制、数据完整性机制、认证交换机制、防业务流分 析机制、路由控制机制、审计跟踪机制等。加密技术主要 包括密码算法和密钥长度两个方面的内容,通过采用合适 长度的密钥和密码算法,可以有效地防止系统传输的信息 和系统存储的信息被破译,从而保证网上银行业务信息的 安全。 2_3应用系统安全 应用系统安全则主要涉及对交易客户的身份的认证 和对交易的确认,这是网上银行业务运作的关键环节。网 上银行系统一般都采用加密传输交易信息的措施,使用最 广泛的是SSL数据加密协议和HTTPS安全超文本传输协 议。例如,网上银行通过数字证书对客户身份进行鉴定识 别,保证网上交易中客户身份的真实性和不可否认性,解 计算机光盘软件与应用 工程技术 Computer CD Software and Appl ications 2013年第Ol期 决了各方互相问的信任问题。又如,访问控制指主体访问 网络安全评估与入侵监测系统主要是对网络配置、系 客体的权限或能力的限制,它可以在身份认证的基础上根 统漏洞等安全隐患进行检测,提出安全建议,并对来自内 据身份的合法性对提出的资源访问请求加以控制。用户只 部及外部的可能入侵进行监测,对非正常活动给出报警、 能根据自己的权限大小来访问系统资源,不能越权访问。 日志记录等相应处理措施。事态安全检查是网上银行业务 建设网上安全支付的支付网关系统包括:数字签名技 风险控制的重要组成部分。它包括三个方面的内容:一是 术实现对原始报文的鉴别和不可抵赖;第三方身份认证机 公认的社会评估机构对计算机系统的安全评估:二是银行 构或称CA(certiifcation authority)中心进行身份认证;基于 管理层对计算机系统的安全测试;三是银行内部审计部门 SSL协议和SET协议的安全支付系统设计。信息安全涉 对网上银行业务及系统运作情况的检查。 及信息的保密性(confidentiality)、完整性(integrity)、真实 安全性作为网络银行赖以生存和得以发展的核心及 性(authentication)、不可否认性。银行必须有一套有效的 基础,目前在实际应用中,主要采用各种加密技术、认证 系统确认客户的资格,保证客户和银行双方无法否认已发 技术,以及使用SSL安全协议保护客户的隐私。此外, 生的交易。保证网上交易的公正性和保密性、交易双方身 要加强内部管理,强化人员安全管理f人员审查、安全意 份的真实性、传递信息的完整性以及交易的不可抵赖性。 识培养),建立安全评估与检查制度以及审计和跟踪体系。 保密性就是对抗对手的被动攻击,保证信息不泄漏给未经 参考文献: 授权的人。完整性就是对抗对手主动攻击,防止信息被未 【11刘明明.网络金融的安全风险防范Ⅱ】].金融电子 经授权的篡改。真实性一般指交易者身份的真实性,网上 化.2009(01). 交易的双方非面对面及远程交易形式,必须能确定收款方 [2]陶良华.网上银行常见安全问题介绍Ⅱ】.计算机安 和付款方是合法的、真实的。不可否认性是指交易一旦达 全,2009(07). 成,支付一旦实现,双方都不能否认。 [3]李莉.网上银行业务风险及其防范卟中国金融电 2.4网络安全评估 脑,2010(06). (上接第155页) 把数据库中实际正被使用的密码校验与一系列已被大家 认证的用户,其中所存放的实际上不是密码明文本身,而 所知的用户名和密码校验进行比较,其中已知的用户名和 是密码校验(password veriifers)。密码校验是密码明文 密码校验产生在帮助程序。 的哈希(hash)表示。其中存放的密码校验值以十六进制 (3)管理并确保安全密码对于Oracle数据库来说, 表示。数据库认证的过程则是计算用户为了通过认证所提 密码是最流行的认证方式。通过使用复杂的密码规则, 供的密码明文的密码校验,并把计算结果与数据字典中存 Oracle提供了强调用户选择安全且强壮的密码功能;而通 放的某一密码校验比较,如果相符合,则表示用户提供了 过利用密码规范,Oracle同时也提供了管理密码的良好方 相同的密码,从而可以通过认证。 法[3】口 (1)使用Oracle本地存储的密码验证密码。应用用 (4)限制数据库资源除了密码规范之外,Oracle还支 户的认证是确保数据库应用安全非常重要的一步。进行应 持资源规范,从而限制使用昂贵的数据库资源。一个良好 用用户认证可以有3种方法:首先,可以创建、维护,以 的习惯是针对数据库的每一个应用或每一类用户分别制定 及(或)同步所存储的密码以及认证信息。其次,假设应 规范,当然,这也包括针对各个级别的管理员制定规范。 用的用户同时也是数据库的用户,那么应用可以把应用用 (5)确保网络的安全对于绝大部分数据库,在用户 户作为独立的用户与数据库进行连接,并进行认证。这是 能访问数据库之前就已产生了安全问题。把用户、应用和 一个不可取的方法,因为仅仅为了认证而建立或撤销与数 数据库连接在一起的网络是安全链中非常重要的一环。 据库的连接开销较大——从认证需要的时间和性能的观 参考文献: 点看。最后一个方法仍需要假设应用的用户同时也是数据 [1]刘天华,孙阳,朱宏峰等编著_网络安全IM].科学出版 库的用户,从而可以利用数据库存储的内部密码。 社,2010.04. (2)检测弱密码或默认密码。密码在安全链中一般 [2]祝远春.Oracle数据库网络安全研究U].科技资 都属于脆弱的环节。一个没有经过很好选择的密码、或者 讯,2008.10. 。 说是众所周知而又一直没有变更过的密码对于数据库来 [3]本书编委会编著.计算机网络安全Ⅱ].中国计划出版 说,是极其巨大的安全隐患之一。为了消除此隐患,可以 社,2007.8. ...——160...——