网上银行系统安全体系浅析

格式：doc
大小：17.50 KB
文档页数：5

下载文档原格式

网上银行安全体系的设计与实施

目标
网上银行安全体系的设计目标主要包括以下几个方面：
1、安全性：确保网上银行系统、数据和交易的安全，防范各类攻击和入侵行为。
2、稳定性：保证网上银行的稳定运行，确保用户可以随时随地安全地访问金融服务。
3、可靠性：提供可靠的技术和服务保障，确保网上银行各项功能的正常运行。
4、可用性：优化用户体验，提高网上银行系统的易用性和可维护性。
3、权限控制：该银行建立了严格的权限管理制度，根据员工职务和职责设置访问权限。同时，使用专门的访问控制管理系统，实现对网上银行系统的实时监控和权限管理。
4、身份认证：该银行采用数字证书和动态口令等多种因素身份认证方法，确保用户的身份真实性。数字证书由权威机构颁发，动态口令采用时间同步机制，确保认证过程的安全性。
原则
在设计网上银行安全体系时，应遵循以下原则：
1、实用性：安全体系应符合实际需求，具有良好的可操作性。
2、针对性：针对网上银行的特点和风险因素，制定相应的安全策略。
3、先进性：采用先进的安全技术和方法，提高安全防护水平。
4、综合性：综合考虑多种安全措施，建立多层次、全方位的安全防御体系。
措施
为了实现上述目标，以下措施可以用于设计与实施网上银行安全体系：
1、网络防护：通过部署防火墙、入侵检测系统等设备，实现对网上银行系统的安全防护。
2、数据加密：采用对称加密算法对敏感数据进行加密存储和传输，确保数据的安全性。
3、权限控制：建立完善的权限管理制度，限制用户对网上银行系统的访问权限。
网上银行安全体系的设计与实施
01 背景
03 原则 05 实践
目录
02 目标 04 措施 06 总结
随着互联网技术的不断发展，网上银行已成为人们生活中不可或缺的一部分。然而，在享受便利的我们也不能忽视网上银行的安全问题。本次演示将从网上银行安全体系的设计与实施两个方面进行探讨。

网上银行安全系统

USB Key 认证
USB Key 内置智能卡芯片，可以存储用户的密钥或数字证书。一般的 USB Key 都以 CA 认证为核心，采用双证书（加密证书 / 签名证书）、双中心（认证中心、密钥中心）机制来做身份认证。通常还有个启动 PIN 码。提供对 USB Key 持有人的认证。这样不怕 USB Key 被别人盗用。
3.4安全防护方案
3.4.4防病毒网关
病毒、蠕虫和木马等对网银系统安全造成极大威胁。防病毒必须软、硬件两手抓。设置防病毒网关对进入应用区的信息进行扫描，同时网银系统的程序本身也要防止 SQL 注入等应用层的安全漏洞。
3.4安全防护方案
3.4.5传输加密
数据加密的方法里有链路层加密、网络层加密及应用层加密。其中对网银来说，应用层的加密应用比较广泛。网银客户端至服务器端的安全连接可以采用 SSL （Security Socket Layer）协议。SSL 已得到各主流浏览器内置的支持。由于标准的 SSL 协议，在采用客户端证书时，并未对用户的交易数据进行显式签名，所以一般的网银系统可通过在客户浏览器安装签名控件来完成，签名控件一方面可以完成数字签名，另一方面，通过自定义签名格式，只对需要的页面要素进行签名，去除不必要的数据被签名。
2.数据安全需求
数据的可用性需求
数据可用性要求数据对于授权实体是有效、可用的，保证授权实体对数据的合法存取权利。对数据可用性最典型的攻击就是拒绝式攻击和分布式拒绝攻击，两者都是通过大量并发的恶意请求来占用系统资源，致使合法用户无法正常访问目标系统。
网银系统可用性需求体现在以下几个方面：并发用户 / 并发连接。同时在线人数。中断允许的最大时间。对系统的访问时间的要求。

网上银行安全问题的全面质量管理分析

产生的ห้องสมุดไป่ตู้险，以减少自己不必要的损失。由于用户把自己在网上银行的损失大多归咎于银行方面，由此可见，种安全教育的重要性。防范于未然。由于用这
络技术，ＩＴＲＥ在ＮＥＮＴ上开展银行业务，为客户提供信息、金
融及衍生服务的金融机构。网上银行可以为客户提供３Ａ服务（ｎｗｅｅｎｔ／ｎｈｗ）无论客户身在何处，论何Ａｙｈｒ／ｙｉＡｙｏ，Ａｍｅ无时，只要轻点鼠标，就可以通过计算机享受所需的银行服务。任何人只要拥有一台电脑或数据终端，都是银行的潜在用户。网上银行在一定程度上代表银行业的发展方向，目前其业务几乎覆盖全国主要大中城市。网上银行作为一种实体银行的虚拟工作环境，其交易不仅具有与传统银行业务相同的风险，而且他具有高技术性、无纸化和瞬时陛等特点，决定了其经营风险要远远大于传统银行的风险，目前技术措施和且立法保障等方面不尽完善，因此其存在的问题也日益显现，
自身安全方面投入的同时，不断对用户进行安全教育，为用户提供杀毒的方便，用户在交易之前先进行杀毒处理。让再
使用数字证书、态密码、Ｓ — Ｅ动ＵＢＫＹ等安全措施开展网上银行业务，是十分安全的。将
关键词：网上银行；网络钓鱼；注册；杀毒；数字证书；质理管理
答，或者在用户登录时，要求用户回答一些安全问题，或者弹出一些安全提示让用户了解 ……长此以往，就会增强用户的

金融机构网上银行安全管理体系探讨

金融机构网上银行安全管理体系探讨随着互联网的普及和金融业的快速发展，越来越多的金融机构开始转向网上银行服务。

但是，随之而来的也是各种网络安全问题。

因此，加强金融机构的网上银行安全管理体系成为了一项重要任务。

一、网上银行的安全隐患随着互联网的发展，网络犯罪也愈演愈烈。

而且，银行作为财富流转的核心，其网上银行系统更是成为了黑客攻击的重点目标。

银行网上银行系统的安全隐患主要有以下几个方面：1.口令猜测攻击：黑客通过暴力破解技术，利用大量的口令进行密码的猜测，进而破解用户的登录密码。

2.钓鱼链接攻击：黑客通过伪造银行网站链接和页面，引诱用户输入自己的账户和密码等信息，从而窃取用户的财产。

3.网站篡改攻击：黑客入侵银行网站，篡改网站的页面信息和交易记录，操纵用户账户和资金。

二、银行网上银行的安全管理思路1.技术保障（1）传输协议安全。

使用HTTPS或其它安全传输协议，保护数据传输中的机密性和完整性。

（2）数字证书认证。

数字证书在银行网站与浏览器之间建立信任关系，并保证会话的机密性和完整性。

（3）加密技术。

应用加密技术保障用户在银行网站登录、通讯和交易过程中数据的保密性。

2.密码策略（1）密码复杂度要求。

银行网站规定普及密码必须含数字、字母、特殊字符中的两类及以上的组合。

（2）密码有效期设置。

银行网站应当规定每个用户的密码的最长有效时间，过期后不能允许该密码继续使用。

（3）口令尝试次数限制。

银行网站应限制用户登录失败的次数，确保账户的安全性。

3.审计识别（1）日志记录。

银行网站应记录每个用户的登录信息和交易信息，以便及时发现不正常的活动。

（2）风险识别系统。

银行网站应建立一套风险提示和防范系统，及时发现异常事件并预警管理。

（3）异常事件响应。

银行应当建立完善的应急响应机制，并在异常事件发生时迅速响应，以缓解影响。

三、结论网上银行技术和管理是一个动态变化的过程，银行应该根据自身情况、客户需求和风险环境的变化来进行科学合理的信息安全管理。

银行信息系统的安全问题分析

银行信息系统的安全问题分析在当今数字化时代，银行信息系统已成为银行业务运营的核心支撑。

然而，随着信息技术的飞速发展和网络环境的日益复杂，银行信息系统面临着诸多安全威胁和挑战。

这些安全问题不仅可能导致客户信息泄露、资金损失，还可能损害银行的声誉和公信力，甚至影响整个金融体系的稳定。

因此，深入分析银行信息系统的安全问题，采取有效的防范措施，具有至关重要的意义。

一、银行信息系统面临的安全威胁（一）网络攻击网络攻击是银行信息系统面临的最常见和最严重的威胁之一。

黑客可以通过各种手段，如病毒、木马、蠕虫、拒绝服务攻击（DoS）等，入侵银行的网络系统，窃取客户数据、篡改交易记录或破坏系统正常运行。

近年来，高级持续性威胁（APT）攻击日益增多，这类攻击具有针对性强、潜伏时间长、攻击手段复杂等特点，给银行的安全防范带来了极大的困难。

（二）数据泄露客户数据是银行的重要资产，但由于各种原因，如内部人员违规操作、系统漏洞、第三方合作机构安全措施不足等，客户数据可能会被泄露。

数据泄露不仅会导致客户隐私受到侵犯，还可能引发客户信任危机，给银行带来巨大的法律风险和经济损失。

（三）系统漏洞银行信息系统通常由复杂的软件和硬件组成，不可避免地存在各种漏洞。

这些漏洞可能被攻击者利用，从而获取系统的控制权或访问敏感信息。

此外，银行信息系统的更新和维护不及时，也会增加系统漏洞被利用的风险。

（四）内部人员风险内部人员是银行信息系统安全的重要防线，但同时也可能成为安全威胁的源头。

内部人员可能由于疏忽、故意泄露、恶意操作等原因，导致银行信息系统的安全受到威胁。

例如，员工可能将工作账号和密码泄露给他人，或者在未经授权的情况下访问敏感数据。

（五）移动支付安全随着移动支付的普及，银行信息系统面临着新的安全挑战。

移动设备的丢失、被盗、恶意软件感染等都可能导致支付信息泄露。

此外，移动支付应用的安全漏洞、无线网络的不安全连接等也给攻击者提供了可乘之机。

二、银行信息系统安全问题的原因分析（一）技术更新换代快信息技术的发展日新月异，银行信息系统需要不断跟进和更新技术，以应对新的安全威胁。

银行网络安全解析银行行业面临的网络安全挑战和应对措施

银行网络安全解析银行行业面临的网络安全挑战和应对措施随着互联网技术的迅猛发展，银行业务逐渐向线上转移，网络安全成为银行行业所面临的严峻挑战。

本文将针对银行行业面临的网络安全挑战进行解析，并提出相应的应对措施。

一、挑战分析1. 数据泄露风险银行作为金融机构，拥有大量客户敏感信息，如身份证号码、银行账户信息等。

一旦这些信息被黑客窃取，将给客户带来不可估量的财产损失和隐私泄露风险。

2. 金融欺诈风险网络欺诈活动在银行行业愈演愈烈，常见手法包括钓鱼网站、恶意软件攻击等。

这些欺诈活动不仅损害了客户的资金安全，也影响到了银行的声誉和市场信任度。

3. 恶意软件威胁银行的核心业务系统常常成为病毒、木马、勒索软件等恶意软件的攻击目标。

一旦这些恶意软件侵入系统，将对银行的信息系统造成严重破坏，甚至导致业务长时间中断。

二、应对措施1. 建立完善的网络安全管理体系银行应建立起一套完善的网络安全管理体系，包括风险评估、合规控制、安全运维等方面。

通过对网络安全风险的全面识别和评估，及时调整和改进安全措施，确保系统能够抵御各类攻击。

2. 强化内部员工安全意识银行应加强内部员工的网络安全培训和教育，提高员工的安全意识和防范能力。

通过定期组织模拟演练和安全知识培训，增强员工对于网络攻击的辨识能力，减少内部安全漏洞的产生。

3. 部署高效的安全防护系统银行需要构建多层次、多维度的安全防护体系，以防止各类恶意攻击。

包括防火墙、入侵检测系统、数据加密等技术手段，实现对银行系统和用户数据的全面保护。

4. 加强外部合作与信息共享银行应加强与政府、金融机构和安全厂商的合作，共同应对网络安全威胁。

通过建立信息共享机制，及时获取并交流有关网络安全的最新信息和威胁情报，提高对风险的应对能力。

5. 定期安全检测与演练银行应定期进行安全风险评估和漏洞扫描，及时修补系统漏洞。

同时，组织网络攻防演练，检验银行现有安全措施的有效性，并及时发现和改进安全防护体系中的问题。

浅析网上银行存在的安全风险及防范措施

通银行、中国银行等也纷纷开通网上服务业务，自此网上银
其主要表现是过于轻信别人，导致自己的账户用户名以及密码的泄露。一些违法乱纪份子，通过短信、电话或者是邮件等多种方式，利用现阶段网上银行使用普遍的现状，通常会谎称自己是银行工作人员或者国家监管部门工作人员，并告诉客户客户中奖或者是由于各种原因导致客户的资金被冻结，进而诱骗
浅析网上银行存在的安全风险及防范措施
■董萍萍中国建设银行东营分行
摘要：网上银行是在互联网普及的社会大背景下产生的一种新型银行运营模式闺其高效性、便捷性、安全性受到了银行新老客户的青睐。网上银行的快速发展则需要其安全性的保障，这决定了网上银行能否长久发展，我国社会经济能否进一步发展。本文将
安全性对我国经济发展有着重要意义。
一
规投资，再出现风险之后将风险转嫁到客户身上。
（３）内部人员管理系统的不完善，各部门之间权利义务不清
晰的现象，从而产生了内部操作风险。２用户安全防范意识较低
泄露。４．密码设置中存在的安全风险密码设置过于简单，容易破解或不注意保密。这也给不法分
５．网络通讯的安全性
如，类似淘宝的商户对客户（Ｂ２Ｃ）模式购物，而且支持类似阿里子破解账号、密码提供了方便。因为互联网的开放性，客户在网上传输的敏感信息（如密码、交易指令等）在通讯过程中存在被截获、被破译、被篡改的可能。三、针对网上银行安全风险的防范措施１．用户自身采取的安全措施（１）下载安全防护软件。一般来说，系统白带的保护软件不

网上银行安全系统(1)

网上银行安全系统(1)
三、安全系统架构
PPDRR 安全模型安全系统网络拓扑图安全策略安全防护方案安全检测方案安全恢复方案
网上银行安全系统(1)
三、安全系统架构
3.1PPDRR 安全模型
构建完善的安全系统解决方案，安全模型的选择至关重要。PDR 模型是由 ISS 公司最早提出的入侵检测的一种模型。PDR 是防护（Protection）、检测（Detection）和响应（Response）的缩写。三者构成了一个首尾相接的环，也即“防护 -> 检测 -> 响应 -> 防护”的一个循环。PDR 模型有很多变体，在银行网络中最著名的是 PPDRR 模型。增加了策略 (Policy) 和恢复 (Recovery)。PPDRR 模型是典型的、公认的安全模型。它是一种动态的、自适应的安全网上银模行安型全系，统(1可) 适应
网上银行安全系统(1)
2020/12/13
网上银行安全系统(1)
一、网上银行安全系统概述二、网上银行系统安全需求三、安全系统架构四、安全检测方案五、评价
网上银行安全系统(1)
一、网上银行安全系统概述
背景
安全是网上银行应用推广的基础，网上银行的安全系统是为了保证网上银行系统的数据不被非法存取或修改，保证业务处理按照银行规定的流程被执行。如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，也关系到银行客户的资金安全。因此，网上银行的安全建设至关重要。
网上银行安全系统(1)
3.4安全防护方案
身份认证系统权限控制系统边界控制防病毒网关传输加密安全的操作系统
网上银行安全系统(1)
3.4安全防护方案
3.4.1身份认证系统网上银行应用系统中的安全防护的第一道防线是身份认证。身份认证的技术有很多，可以分为两类：软件认证和硬件认证。其中软件认证多为用户自己知道的秘密信息，譬如用户名和密码。硬件认证包括 IC 卡，基于生物学信息的身份认证，比如指纹识别，虹膜识别，面部识别等。

我国网上银行采用的安全技术与措施分析

我国网上银行采用的安全技术与措施分析一、实验目的与内容登陆国内各家网上银行，以中国建设银行、中国招商银行、中国农业银行以及中国工商银行为例，了解我国网上银行采用的安全技术与措施（或手段等），从而对比分析各家银行的网银业务中，安全措施的严格性与可靠性、方便性等。

二、实验过程1﹒中国建设银行网络安全是中国建设银行网上银行（）应用的关键和核心。

为了能让客户安全、放心地使用网上银行，建设银行制定了以下安全策略，以全面保护客户的信息资料与资金的网上交易安全：（1）短信服务建设银行网上银行提供了从登录、查询、交易直到退出的每一个环节的短信提醒服务，客户可以直接通过网上银行捆绑其手机，随时掌握网上银行使用情况。

（2）动态口令卡动态口令是一种动态密码技术，简朴地说，就是客户每次在网上银行进行资金交易时使用不同的密码，进行交易确认。

建设银行推出的网上银行动态口令卡是一种大小、形状与银行卡同样的卡片，俗称刮刮卡。

每张卡片覆盖有30个不同的密码，客户在使用网上银行过程中，需要输入交易密码时，只需按顺序输入刮刮卡上的密码即可，每个密码只可以使用一次。

（3）网银盾如图1所示，为中国建设银行网银盾：图1 中国建设银行网银盾（4）双密码控制，并设定了密码安全强度网上银行系统采用登录密码和交易密码两种控制，并对密码错误次数进行了限制，超过限制次数，客户当天即无法进行登录。

在客户初次登录网上银行时，系统将强制规定用户修改在柜台签约时预留的登录密码，并对密码强度进行了检测，规定客户不能使用简朴密码，有助于提高客户端的安全性。

（5）交易限额控制网上银行系统对各类资金交易均设定了交易限额，以进一步保证客户资金的安全。

如表1，为中国建设银行网上银行交易限额表：表1 中国建设银行网上银行交易限额表（6）E路护航网银安全组件“中国建设银行E路护航网银安全组件”，涉及网银安全检测工具、网银安全控件、密码保护控件等一系列安全增值服务，并且通过升级至最新的网银盾管理工具，可进一步提高网银盾的安全性，实现“所见即所签”功能，有效防范木马病毒的侵袭，通过使用网银盾证书更新工具，在客户端进行证书更新，提高证书更新成功率。

网上银行系统结构与安全控制措施

网上银行系统结构与安全控制措施预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制浅析网上银行系统结构与安全控制措施中国工商银行股份有限公司数据中心（北京）周芙蓉网上银行从上个世纪90年代产生到现在，经历了飞速的发展。

网上银行业务作为电子银行业务的一种形式在国内得到了迅猛的发展。

网上银行业务已经成为全国范围内的普及型业务。

据CFCA《2010中国电子银行调查报告》显示：2010年，全国城镇人口中，全国各银行的个人用户已经有26.9%开通了网上银行，在经济发达的城市中网上银行的开通率更是高；全国个人网银用户中，活跃用户比例达到80.7%，交易用户平均每月使用次数高达5.6次。

除了在消费领域网上银行得到广泛使用外，2010年全国范围内开通网上银行的企业用户占全部用户的40.9%，可以说网上银行已经成为人们生活中不可或缺的一部分。

一、网上银行的相关概念1.网上银行的特点利用计算机和通信技术实现资金划拨的电子银行业务已经有几十年的历史了，传统的电子银行业务主要包括资金清算业务和用POS网络及ATM网络提供服务的银行卡业务。

网上银行是随着Internet的普及和电子商务的发展在近几年逐步成熟起来的新一代电子银行，它依托于传统银行业务，并为其带来了根本性的变革，同时也拓展了传统的电子银行业务功能。

与传统银行和传统电子银行相比，网上银行在运行机制和服务功能方面都具有不同的特点。

其特点主要有：全球化、无分支机构；开放性与虚拟化；智能化；创新化；运营成本低；亲和性增强。

2.网上银行的功能网上银行功能一般包括：银行业务项目、网上银行服务、信息发布和商务服务几个部分。

（1）银行业务项目。

主要包括家庭银行（储蓄业务）、企业银行（对公业务）、信用卡业务、国际业务、各种支付、信贷及特色服务等传统的银行业务功能。

（2）商务服务。

商务服务主要提供资本市场、投资理财和网上购物等子功能。

对资本市场来说，除人员直接参与的现金交易之外的任何交易均可通过网上银行进行。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

网上银行系统安全体系浅析
作者：王涛
来源：《中小企业管理与科技》2009年第06期
摘要：网上银行系统是银行通过互联网为客户提供各种金融服务和信息增值服务的系统。

为了能够安全地开展网上银行业务，必须在以下几个层面上采取不同的安全技术规范来保证系统的安全性，如安全策略、物理安全、系统资源安全、应用系统安全、数据通信安全、运行安全、人员安全、安全评估于检查等。

本文仅从系统层面对网上银行系统的安全防范体系做概要阐述。

关键词：网上银行安全计算机系统
0引言
网上银行系统是银行通过互联网为客户提供各种金融服务和信息增值服务的系统。

1安全策略
安全策略就是要求银行高级管理层对网上银行业务的技术性风险管理给予高度重视，并针对网上银行业务的特点，制定全面、综合、重点突出的系统即信息安全规章制度和操作程序，在根据重要性、复杂性和敏感性等方面对系统进行分类、分层次的保护，以保证银行能集中精力管理关键部分。

2物理安全
物理安全是指有形的安全措施。

主要针对计算机系统、网络设备、通信线路等关键设备及信息的安全防卫措施。

例如，计算机房要安装电子门户控制系统，关键场所要安全监视器，关键设备之间要保证相互隔离，进入密钥保管房间要有多人控制等。

3系统资源安全
系统资源安全主要指构成系统的软硬件本身的安全系数。

如软硬件的配置是否达到先进水平，是否符合安全标准。

4应用系统安全
应用系统安全主要涉及对客户的身份认证和对交易的确认，这是网上银行业务运作的关键环节。

网上银行业务突破了传统银行业务经营的概念，客户不用到银行柜台就可以操作，银行业务人员和客户之间也没有面对面的接触，这就要求银行必须有一套有效的系统确认客户的资格，保证客户和银行双方无法否认已发生的交易。

5数据通信安全
数据通信安全是网上银行业务和技术风险管理的核心部分。

银行应适当地设计和配置不同的服务器和防火墙，采用合适的加密技术，在保证网上银行业务平稳运行的基础上，确保数据传输的保密性和完整性。

服务器包括网络服务器、应用服务器和数据库服务器。

防火墙则包括外部防火墙和内部防火墙。

为保证系统不受黑客侵入，银行应在网络服务器和互联网之间设置外部防火墙，在网络服务器和银行内部计算机系统之间设置内部防火墙。

嘉勉技术主要包括密码算法和密钥长度两个方面的内容构成，通过采用合适长度的密钥和密码算法，可以有效地防止系统传输的信息和系统存储的信息被破译，从而保证网上银行业务信息的安全。

6运行安全
运行安全主要是指银行计算机系统运行的内部控制制度，包括银行业务运行应急计划和业务连续性计划、管理人员和业务人员授权、保密字管理等方面的内容。

7人员安全
人员安全是指业务人员和技术人员的专业能力和管理能力是否达到风险控制和业务发展的要求，具体包括人员审查、安全意识培养、人员培训等。

8安全评估和检查
安全评估与检查是网上银行业务风险控制的重要组成部分。

包括三个方面的内容：一是公认的社会评估机构对计算机系统的安全评估；二是银行管理层对计算机系统的安全测试；三是银行内部审计部门对网上银行业务及系统运作情况的检查。

从系统层的角度，整个网上银行系统结构分为三个层次：第一部分是Internet接入区域；第二部分是对外提供服务的Web服务器，同时也放置了CA服务器；第三个部分是内网区域，含应用服务器、数据库服务器等。

对不同的安全级别的区域采用网关类的设备进行隔离，使用既能实现防火墙功能，又能实现IPS和病毒过滤的相关安全防护产品，实现网络层的隔离，应用层的攻击和病毒的隔离，形成真正意义上的立体全面多位一体综合侦测防御体系。

在网银系统互联网接入的入口处，为了保证链路的可用性，一般采取双链路接入方式，通过两家不同的lSP提供互联网接入，在其中一条链路出现故障时仍然可以提供网上银行的交易服务。

同时，作为提供认证服务的CA中心，也是通过互联网提供连接的。

CA认证中心作为独立的第三方机构，不属于网银系统的网络范畴，但客户对网银的验证和网银对客户的验证都是通过互联网连接CA中心实现的。

在网银系统的Intemet接入路由器之后，部署安全网关(或防火墙)、负载均衡设备和WEB服务器。

安全网关可根据需要也做双机热备处理。

同时部署负载均衡设备，对访问网银系统的流量进行动态分配。

负载均衡设备的另一个重要应用是可做SSL解密，因为SSL在解除非对称加密时会占用系统大量资源，因此在网银系统的设计中，SSL的解密一般放在负载均衡设备上处理，负载均衡设备专门对SSL解密过程做了硬件优化，因此在效率上能够得到保障。

通过负载均衡设备后用户请求将进入WEB服务器，wEB服务器将部署网银门户网站的静态内容，如网银系统登陆入口、用户手册下载、驱动程序下载、工具
软件下载、营销信息等网银相关内容，此外WEB服务器的另一个重要职责是向应用服务器转发通讯请求，对于需要和应用服务器交互的动态信息，如网银登陆、转账、实时查询等交易请求将通过部署在WEB服务器上的插件转发至应用服务器。

通过WEB服务器后，进入网银系统的主要应用部分，这部分将网银系统网站的应用分为应用服务器和数据库的三层结构。

应用服务器和数据库服务器均使用双机热备，数据库服务器还备有存储设备，存储网银系统的业务数据。

网银系统只作业务数据接受和存储，真正的业务处理要发送到银行核心的业务处理网络或业务处理中心进行具体的业务操作。

因此在网银系统的后端连接的是银行的综合业务网络。

这一部分设置了防火墙和通信加密系统。

防火墙限制了银行内部网络对网银系统的访问，并限制网银系统对银行内部业务系统的访问。

网银系统发送给业务系统的数据，均需要经过加密设备的加密才能送出网银系统，进入银行综合业务网络。

整个系统中在不同区域部署的防火墙产品可以启用策略控制，只向外开放允许访问端口。

比如说部署于对外Web服务器与In-ternet之间的防火墙产品上只开放由外向内的Http端口，部署于Web服务器与内部网之间的防火墙设置策略只允许Web服务器访问内部网，禁止其它服务和设备通过防火墙：在防火墙上启用网关级别的病毒过滤模块，对HTI-P，FTP，IMAP，POP3，SMTP，IM等协议传输的文件实现病毒过滤，该过滤体系能够有效地对所传输的文件进行检测，当发现病毒时予以阻断。

病毒网关的部署，实现了对病毒的分区域管理，当一个地区爆发病毒时，会被有效地隔离在本地，而不至于传染到其他地区去，从而避免所有区域爆发病毒i在防火墙上开启IPS特征值类的阻断。

根据所要保护的服务器和其提供的服务，开启相应的入侵检测和防御的功能。

比如说针对某个Apache的服务器，我们推荐开启入侵检测的与Web相关Apache攻击特征值：此外防火墙的DoS防御能力能够有效地低挡synflood，udpflood等DoS攻击，能够在高攻击的背景下，保持正常的对网银服务器的访问针对整个网络的访问，启用病毒文件网关过滤体系对蠕虫病毒进行防护：通过入侵检测和防御设备(IDS)实现对利用系统的漏洞进行攻击行为的防御：通过设置审计日志设备来记录所有通过防火墙的数据通讯，用于网银涉及到的诉讼的法律证据。

比如说，某人连接网银的服务器做了不符合法律规定的事务，可以通过审计日志设备上所记录下来的原始数据包作为法律证据。

另外，审计日志设备可以有效地还原http、ftp、smtp、imap、pop3等协议通讯的内容，了解实际操作的过程，对于跟踪攻击和事后补救具有非常重要的意义。

参考文献：
[1]李仁真，余素梅巴塞尔委员会电子银行业务风险管理原则[J]，国际金融研究，2002，(03)，。