基于J2EE网银系统的安全系统解决方案概述 - 编程入门网

安全防护方案

防护方案主要包括以下几个方面：

身份认证系统

网上银行应用系统中的安全防护的第一道防线是身份认证。身份认证的技术有很多，可以分为两类：软件认证和硬件认证。其中软件认证多为用户自己知道的秘密信息，譬如用户名和密码。硬件认证包括 IC 卡，基于生物学信息的身份认证，比如指纹识别，虹膜识别，面部识别等。

单纯的软件认证已不能满足网络银行系统的身份认证需求，所以网络银行多采用软硬件结合的双因子认证方式作为身份认证的辅助解决方案。其中流行的双因子认证多为动态密码：

基于J2EE网银系统的安全系统解决方案概述(4)

USB Key 认证

USB Key 内置智能卡芯片，可以存储用户的密钥或数字证书。一般的 USB Key 都以 CA 认证为核心，采用双证书（加密证书 / 签名证书）、双中心（认证中心、密钥中心）机制来做身份认证。通常还有个启动 PIN 码。提供对 USB Key 持有人的认证。这样不怕 USB Key 被别人盗用。

动态口令

动态口令由专有的动态令牌定时生成，一般 60 秒随机更新一次。用户每次登陆输入完静态密码后直接输入动态口令牌显示窗口显示的 6 位密码即可。

刮刮卡

刮刮卡是用一次性口令技术事先算出一次性口令的子集或全集，将这些口令印制在一张卡片上。刮刮卡密码本身为静态的数字，但是每次登陆网银系统的时候，系统会随机抽取一组坐标组合，由这组坐标组合对应的数字组合成动态密码。

动态短信

动态短信是服务器端通过通信服务商向用户的手机上发送一次性密码短信，用户也可以通过拨打相应的客服电话来获得一次性密码。对客户来说几乎没有投入成本，安全性强。

上面介绍的这四种身份认证的辅助解决方案可以在相当大的程度上杜绝目前流行的专门盗取客户的账号和密码的“盗号木马”的危害。

权限控制系统

权限控制包括网络的访问权限控制，设备的访问权限控制，服务器的远程访问权限控制（包括页面服务器、应用服务器、数据库服务器等），网银系统的权限控制。其中企业网银和后台管理系统涉及到多人在同一系统内的操作，权限控制尤其重要。

边界控制

可以在网络边界设置多重的防火墙，防止外界的非法访问。在网络拓扑图中也可以清楚的看到，多种的防火墙可以保证网银系统和银行核心系统以及其他渠道系统的通信安全。其中第一重和第二重防火墙主要是防护互联网用户的非法入侵，第三道防火墙可以防护银行内部用户非法侵入网银系统。

防病毒网关

病毒、蠕虫和木马等对网银系统安全造成极大威胁。防病毒必须软、硬件两手抓。设置防病毒网关对进入应用区的信息进行扫描，同时网银系统的程序本身也要防止 SQL 注入等应用层的安全漏洞。

传输加密

数据加密地方法有里链路层加密、网络层加密及应用层加密。其中对网银来说，应用层的加密应用比较广泛。网银客户端至服务器端的安全连接可以采用 SSL（Security Socket Layer）协议。SSL 已得到各主流浏览器内置的支持。由于标准的 SSL 协议，在采用客户端证书时，并未对用户的交易数据进行显式签名，所以一般的网银系统可通过在客户浏览器安装签名控件来完成，签名控件一方面可以完成数字签名，另一方面，通过自定义签名格式，只对需要的页面要素进行签名，去除不必要的数据被签名。

安全的操作系统

银行交易服务器需要更高级别的安全性，而服务器的安全性又极大的依赖操作系统的安全性。可以在服务器上安装的增强型安全插件，防止缓冲器溢出攻击和服务器劫持等。

基于J2EE网银系统的安全系统解决方案概述(5)

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!