1703484177
由于目前网络安全案件频发,网上银行系统的安全是系统生存的关键所在,是系统设计重中之重。经过大量网络安全案件的分析,同时经过外部咨询,发现客户浏览器端的安全是整个安全体系中最薄弱的环节,予以重点考虑。
1703484178
1703484179
4.构建完善的网上银行应用系统
1703484180
1703484181
构建全新的网上银行系统,逐步覆盖现有的境内各分行个人网上银行系统、对公网上银行系统功能,同时支持海外分行的个人网上银行系统功能。为企业客户提供账户查询、转账汇款等服务。为个人客户提供账户查询、商业银行内转账、代缴费、投资等服务,为海外客户提供账户查询、关联账户转账等服务。
1703484182
1703484183
(四)网上银行系统安全措施
1703484184
1703484185
在网上银行服务领域,安全一直是一个备受关注的主题。网银的Web服务器在互联网上是公开的,和其他网站一样,它也面临黑客攻击、病毒入侵及其他来自外部的种种威胁,因而必须采取有效措施和相应的技术保护网银系统的安全以及在遭受攻击后如何快速应对并恢复正常。为保证网上银行信息安全,系统需采取以下的安全措施:
1703484186
1703484187
1.安全通信:用户浏览器、银企对接前置机与SSL加速器之间采用SSL安全通道。另外,还可提供虚拟专用网VPN(Virtual Private Network),使用户和银行之间建立一个专用的网络,保证信息的安全。
1703484188
1703484189
2.鉴别认证:禁用弱密码,强制定期更新密码,初始密码通过手机短信发送;用户可选手机短信等方式实现登录、修改密码的多因素认证;页面登录时要输入图形验证码;禁止同一用户同时在不同浏览器登录;对错误登录次数进行限制;登录后提示用户最后一次登录成功和失败时间;银行端可以强行关闭可疑会话,锁止可疑用户。用户可以选用USB Key或ETOKEN(动态密码)实现强身份鉴别。
1703484190
1703484191
3.CA认证:检查核实进行证书申请的用户身份和各项相关信息,使网上交易的用户属性客观真实性与证书的真实性一致。
1703484192
1703484193
4.访问控制:系统根据用户的安全等级提供灵活的权限和限额设置,重要业务采用委托、复核、授权流程。
1703484194
1703484195
5.数据安全:防止重复提交交易,对提交数据进行检查,敏感数据加密存放,转账支付交易进行数字签名并记入数据库,保证交易数据的不可篡改和可跟踪稽核。
1703484196
1703484197
6.用户端浏览器安全:采用外部资讯厂商提供的安全中间件,防止客户端账号、密码、证书等重要数据泄露,禁止浏览器回退、页面缓存、自动填充。
1703484198
1703484199
7.安全审计:提供交易日志和操作经手人日志,提供业务统计和监控功能。
1703484200
1703484201
8.网上银行检测预警:采用实时监控,分析客户和系统操作;审计系统配置和漏洞;评估敏感系统和数据的完整性;识别攻击行为;对异常行为采取统计等手段,实时跟踪并识别和记录违反安全法规的行为。
1703484202
1703484203
1703484204
1703484205
1703484206
现金管理:数字时代的网络金融服务 [:1703480283]
1703484207
现金管理:数字时代的网络金融服务 二、银企直联
1703484208
1703484209
所谓“银企直联”,就是集团企业在集团内部建立自己的资金管理系统,通过数据接口将内部资金管理系统与商业银行核心系统、网银或者现金管理平台实现连接。通过银企直联系统,企业可实现实时账户信息查询、明细查询、自动转账、交易查询等功能。并且交易的实时性和方便性得到大幅提高。银企直联的应用特点是连接手段不限,公网、专线均可;一点介入,集团所有成员单位都可使用;有完善的安全解决方案。
1703484210
1703484211
(一)银企直联的产生与发展
1703484212
1703484213
尽管各家商业银行都在不断努力完善、扩充自己网银系统的功能,但还是无法满足集团客户的要求。因为集团企业在推行资金集中过程中无法回避一个障碍:企业的个性化需求与银行标准化服务之间几乎无法调和的矛盾。企业,尤其是大型的集团企业,其自身的管理模式、管理特点,都是由于其历史沿革、管理现状、行业特点等原因决定的,所以根本不可能因为银行提供的现金管理服务模式的制约,就可以改变,反而是必须要求银行适应企业要求,修改银行服务系统功能。但银行系统非常庞大,牵一发而动全身,每一个细小的功能修改,都会涉及到全行网点的系统测试、系统升级和人员培训,对系统的运行稳定构成威胁。所以银行根本不可能及时满足客户的个性化需求,即使是银行的大客户、关键客户,其个性化需求银行也是无法全部满足的。正是由于客户个性化要求与银行系统稳定运行的保障要求之间的矛盾越来越严重,银行才开始推出“银企直联”的新服务,“银企直联”的新服务也才被大型集团客户在搭建内部资金管理系统时广泛应用。
1703484214
1703484215
(二)银企直联总体架构
1703484216
1703484217
1703484218
1703484219
1703484220
银企直联系统结构以防火墙为边界,分为银行端和企业端两个层次。
1703484221
1703484222
1.企业对接系统(企业端)
1703484223
1703484224
企业对接系统主要完成企业ERP资金模块或独立资金管理系统与银行前置机的数据交互功能。这些ERP资金模块或独立资金管理系统得到银行授权,可通过位于对接系统上的专用接口与前置机通讯,即采用接口软件使ERP服务器的财务模块和银行前置机实现数据交互。
1703484225
1703484226
前置机上加载的是银行部署在企业端运行安全业务处理软件,它是完成银行与企业之间主机数据传输的计算机终端。采用前置机进行银企系统对接是目前比较流行的方式,它可以有效地屏蔽双方主机,并强化通信安全措施。各家银行在前置机上均部署安装有专用通讯软件,通过加密、认证方法以专线网络或互联网与特定银行业务服务器实时安全连接。经过数字签名、身份认证后,前置机向银行数据库服务器发送请求,并接受返回的数据,通过专用接口软件解密后返回银企直联对接系统数据库。