秘密****网上银行业务运营设施与技术系统介绍****村镇银行二○一三年六月1概述背景为促进****村镇银行业务发展，完善服务手段，丰富金融产品种类，村镇银行积极准备网银系统建设，现网银系统已具备上线运行的条件。

- 8 -2 网上银行系统总体结构- 8 -3 业务需求概览根据业务发展需要，网上银行将分批实现以下功能：（一）企业网上银行系统****村镇银行企业网上银行可实现账户管理、收付款管理、集团服务等功能。

功能如下：（二）个人网上银行系统- 8 -****村镇银行个人网上银行可实现账户查询、转账汇款、客户服务等功能。

功能如下：- 8 -（三）网银柜面系统网银柜面系统是****村镇银行业务人员进行网银后台维护的平台，包括业务功能管理、参数管理、日志管理、客户服务等功能。

柜面系统提供的详细功能如下：- 8 -- 8 -4 网银系统方案安全方案设计原则安全是网银系统设计的重中之重。

依据木桶原理，系统安全需要考虑系统使用的所有方位、所有角度。

i.网络架构的安全应具有全方位安全性保护部署，如：内外网段隔离，防止外部各种入侵和黑客攻击；在局域网环境中保证用户的隔离，对核心管理系统实现安全保护，防止内部非系统管理员的各类入侵和攻击。

ii.服务器及其操作系统的安全核心服务器必须放到安全域，只能被有业务需要的应用访问。

操作系统或其上的数据库平台本身不被攻击，也不能成为攻击工具。

iii.客户端计算机的安全提示客户查毒、杀毒。

使用安全控件，尽最大力量减少客户端被攻击的可能性。

iv.客户认证手段的安全推荐用户采用安全级别更高的认证工具；提示客户使用相应认证手段的必须注意到环节。

- 8 -保证客户在个人信息、口令全部泄密的情况下，安全的使用认证工具，客户资金不被非法盗取。

v.通讯层安全在通信过程中保证不被看到（数据加解密）；不是别人发过来的、没有被篡改（身份认证、抗否认性）；不是以前的通信等（唯一性）。

vi.网络层安全通过防火墙，防病毒，入侵检测等安全技术，保障整个系统的网络层安全。

vii.信息在各业务系统中交换的安全保证关键信息（如客户取款密码）在各业务系统中交换时是密文，不泄漏客户信息。

保证交互的信息不被篡改，不是重放的信息。

viii.系统使用中业务的安全控制严格的用户权限管理机制，灵活的用户角色划分和管理；多维的交易权限管理机制，企业关键交易提供多重组合授权功能。

涉及账务的关键交易要求做数字签名。

完备的交易日志和操作日志。

ix.数据库的安全存储与灾难备份数据存储在安全的设备上，备份的数据也需要安全管理保障。

最终系统需要异地的、实时的灾难备份系统。

- 8 -存储和备份i.数据存储备份网上银行系统采用磁带库实现数据的备份，并配置专用的备份软件来实现应用和数据的备份，支持联机备份、脱机备份方式，也可以支持自动备份、人工备份，对于数据备份支持完全备份、增量备份、部分备份。

用户可以根据需要设置备份的时间和备份时间周期。

备份方案ii.数据恢复数据恢复是指将备份的数据从备份介质中恢复到系统。

根据恢复内容的不同可以采取离线恢复或在线恢复。

数据恢复前，需要制定详细的数据恢复方案，并对现有的环境进行保存和备份。

恢复数据后，对数据进行完整性和一致性检查。

应用系统安全设计网上应用系统的安全主要包括信息的安全，用户客户端环境的安全和多种的用户身份识别手段。

i.信息安全网上银行应用系统的安全主要包括数据的不可否认性和保密性，以及对用户的认证等。

从总体策略上，网上银行交易系统的安全，是通过安全代理服务器的方式，向用户发放证书，实现对用户的认证，以及在用户与网上银行系统间建立安全的通信通道，实现对重要交易数据的加密与签名。

应用系统安全架构图1.安全代理服务器网上银行系统采用安全代理服务器的方式，在客户端和网上银行服务器间建立一个安全的SSL数据通道。

实现用户的证书双向身份认证和数据的签名和加密。

以最大程度的保护交易系统的安全。

通过这种方式，只有持有证书的用户（包括企业客户和个人签约客户），才能登录到网上银行系统进行交易。

安全代理服务器被放在停火区内，为Web服务器提供安全的数据通道。

使用证书的用户采用CA中心颁发的数字证书作为身份证明，通过网银的安全代理服务器进入到网银系统环境来。

安全代理服务器提供服务器证书，提供SSL连接，自动下载CRL（证书作废列表）信息等功能。

2.交易签名与验证网上银行系统用合作安全厂商的产品完成对关键数据与文件的签名和验证的过程。

当用户进行需要交易签名的业务操作（如：转账、缴费等）时，网上银行将要求用户用自己的数字证书进行签名，以保证交易的不可否认性。

需要交易签名的业务实现流程如下：1．用户通过普通浏览器发出需要进行数字签名的业务访问请求，安全客户端提示用户选择数字证书并进行处理，如果证书无效（例如没有选择正确的证书），安全客户端将给出无效证书的提示并要求用户重选；2．安全客户端作为代理在访问请求中加入认证标识，表示在此次访问之前已经通过身份认证，并连同有效证书一起发送给应用Web服务器；3．应用后台程序根据Web服务器上记录的该用户的认证标识和身份标识来确定其用户类型，并赋以一用户类型标识，形成图中所示的用户信息列表；4．应用后台程序在确定了该用户的用户类型标识后，根据权限控制规则确定其可以进行的交易业务类型；5．记录用户交易签名；6．后台主机进行交易处理；7．主机将用户的交易处理结果返回给应用后台程序；8．应用后台程序将交易处理结果返回给用户。

ii.客户端安全当前网上病毒猖獗，而客户大多缺乏网络安全知识与病毒防范意识，使得网上银行在客户端方面出现重大的安全隐患。

随着网上银行交易的普及，攻击网上银行系统的病毒也开始出现，骗取客户的银行账号与密码。

网银系统采取安全客户端控件方式避免恶意的黑客程序截取用户输入的敏感信息和关键交易，防止用户密码泄露或资金流失，从而提高网上银行用户端的安全性，保证客户安全使用网上银行。

1.安全客户端控件开发安全控件，在客户输入密码等关键信息时使用。

安全控件可进行中断级、操作系统级监测，阻止黑客使用钩子等黑客手段从键盘输入中获得或者篡改关键信息，包括PS2键盘、USB键盘、无线键盘。

安全控件可阻止黑客使用屏幕拷贝等手段直接从控件获得信息。

安全控件可阻止内核驱动过滤攻击获得控件内输入的信息。

安全控件同时使用金融加密机的公钥，直接对交易密码进行加密，保证交易密码在各系统内流转的都是密文，各系统无法解开。

iii.身份识别技术身份识别作为网上银行各阶段最重要的安全措施，对资金安全有着举足轻重的作用。

现在通用的身份认证方式有6种，每种认证方式都各有特色，有些认证方式之间是可以互补的，所以网上银行可以同时支持多种认证方式，而且通过对业务分安全级别的方法来进行操作权限控制。

银行网银系统可以采用以下认证方式➢静态密码➢动态密码i.动态口令卡ii.手机动态密码iii.动态密码令牌iv.带挑战应答的动态密码令牌v.带屏幕的交易信息动态确认密码器➢数字证书B Keyii.带按键的USB keyiii.带液晶屏及按键的USB Key。

以上方式可以组合：➢静态密码 + 动态密码➢静态密码 + 数字证书1.刮刮卡是动态口令卡的一种，刮刮卡的优点是成本低、方便易用，缺点是由于每张卡上包含多个密码，密码容易被偷看。

因此对交易金额较小、对成本和易用性要求较高的客户使用刮刮卡作为身份认证方式。

常见的刮刮卡如下图所示：2.数字证书证书的申请者经过审批，会得到自己的数字证书、私有密钥和保护私有密钥的口令。

用户登录网上银行系统时，需和服务器进行双向身份认证，这一过程需要数字证书、私有密钥以及保护私有密钥的口令共同参与。

具体的认证过程参见下图：基于安全代理服务器的身份认证流程图步骤如下：1．用户发出访问请求；2．安全客户端代理该访问请求；3．银行应用Web服务器接收该请求，交由身份认证后台程序处理，后台程序检查请求中是否带有认证标识和标识的有效期。

如果带有认证标识并在有效期内，说明该用户已经通过认证并且没有超时，直接跳至第9步；4．对于没有通过身份认证的用户，身份认证后台程序调用安全代理服务器提供的认证功能模块，向安全客户端发出认证请求，同时给出银行应用Web服务器的数字证书和签名；安全客户端接收到银行应用Web服务器发来的认证请求后，对服务器证书的合法性进行验证，并验证签名的真实性。

5．验证通过后，安全客户端即可以确认自己正在访问的服务器正是自己希望访问的服务器，安全客户端向银行应用Web服务器提交用户数字证书和用户签名；6．身份认证后台程序调用安全服务器的认证功能模块对用户数字证书进行合法性验证，并验证用户签名的真实性；7．验证完成后认证功能模块向身份认证后台程序返回认证结果和用户的身份标识信息，银行应用Web服务器保存此记录，该记录格式定义如下：说明：认证标识是银行应用Web服务器为通过身份认证的用户分配的唯一标记，带有该标记的访问请求不必再作认证；身份标识即为用户数字证书中“用户唯一标识”字段；8．银行应用Web服务器将认证标识传给安全客户端；9．向用户提供Web服务。

这里的身份认证过程为强认证，不仅银行应用Web服务器对用户进行认证，用户也对Web服务器进行认证，认证是双向的，为了保证登录安全，一般还需要在第6步进行认证次数限制。

数字证书存储在USB Key内，只能使用，不能读取。

但是2006年以来，USB Key越来越多的受到远程证书劫持攻击。

因此使用USB Key时，同时需要输入手机收到的交易确认动态密码。

或者采用带语音、按键或带屏幕、按键的USB Key。

3.手机动态密码身份验证网上银行系统支持在客户进行转账与或外支付等活动的时候，向客户手机发送动态生成密码，通过客户在密码项输入其所收到的动态密码，以确认客户的身份。

手机动态密码的缺陷是实时性无法保障。

对于时效要求高的客户不建议采用。

4.动态电子令牌动态电子令牌采用一种称之为动态令牌的专用硬件，大小相当于一张闪存盘，显示方式类似于电子手表，它内置电源、密码生成芯片和显示屏。

密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。

认证服务器采用相同的算法计算当前的有效密码。

由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。

而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

5.银行采用方式综合我行客户情况，银行采用以下认证方式：个人客户：静态密码+刮刮卡（动态口令卡）静态密码+矩阵卡（动态口令卡）静态密码+手机动态口令静态密码+Ukey(证书)企业客户：静态密码+Ukey(证书)iv.服务端安全1.网站防篡改由于我们的网银WEB服务器被SSL安全网关保护，又经过入侵防御，从外网无法进行网站篡改。