网上银行的解决方案

需求分析

 网上银行是指银行利用互联网技术，向客户提供查询、对账、行内转账、跨行转账、信贷、网上证券、投资理财等传统服务项目，使客户可以足不出户就能安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。

 与传统银行和传统电子银行相比，网上银行在运行机制和服务功能方面具有全球化、无分支机构，开放性与虚拟化，智能化，创新化，运营成本低，亲和性强的特点。

 网上银行风险不仅包括实体银行风险中的基本类型，如信用风险、银行内部人员犯罪等，还包括具有网络特性的各种运营风险，其对应的安全需求是：

1网上银行用户身份认证的安全性。

2网上银行交易信息的完整性。

3网上银行交易信息的不可否认性。

4网上银行业务数据的机密性。

5网上银行服务的连续性。

方案架构

网上银行系统安全解决方案 

方案描述

 网上银行的身份认证安全依靠数字证书系统和动态密码系统来实现。应用安全网关为网上银行系统提供业务数据传输加密的技术保障。链路负载均衡提供链路的高可用性和带宽管理。服务器负载均衡为大规模用户访问提供技术保障。

证书认证系统

 使用证书认证系统为网上银行系统提供安全支撑，对网上银行用户签发数字证书，以满足对用户身份识别、数据传输加密、信息完整性、不可否认性的安全需求。

身份认证安全

 登录过程中，提供多种身份方式以满足不同类型的用户访问网上银行的安全认证需求。比如用户名口令、动态口令、数字证书，加强用户使用网上银行的安全。

一代Key

 用户的数字证书及私钥以USB Key的方式存储，确保数字证书私钥的安全，杜绝证书私钥被复制、盗取。其安全性体现在物理存在，用户只有使用USB Key时交易、访问才能完成。恶意程序即使获取了用户的账户、口令信息 

二代Key

 二代USB Key与一代USB Key的区别是在外观上添加了一块LCD或OLED显示屏以及确认、取消、上翻、下翻四个按键。二代USB Key确认键的加入可有效防止会话被远程劫持，在交易过程中需要USB Key进行数字签名时，用户必须按“确认键”才能执行签名操作，否则签名拒绝，交易取消。 

动态密码

 采用 NetPass产品为网银系统建立动态密码后台服务系统。该系统可为网上银行用户提供动态密码的管理及认证服务，支持包括一代、二代电子令牌、短信令牌、手机软令牌、口令卡等多种终端密码模式。利用一次一密的口令，确保用户密码防盗用，实现高强度的用户登录认证。

 二代电子令牌支持挑战应答模式，可将一次一密的口令与交易数据关联，安全性更高。

业务数据签名

 客户端使用USB Key对网上银行关键交易数据进行签名，服务端采用信安世纪NetSign数字签名系统作为网上银行交易确认和事后审计的保证，确保用户交易数据的真实性，实现防伪造、防篡改、防抵赖，并可确认提交该数据的用户身份。

传输通讯加密

 采用 NSAE作为网上银行系统的安全门户，实现网上银行的业务数据传输加密。将客户端浏览器与NSAE进行SSL加密通讯。

系统高可用性

链路负载均衡

 采用 NetOpti产品实现网上银行系统的互联网入口的链路负载均衡，提供链路的高可用性和带宽管理，提高系统的可靠性和用户服务能力，大大提升最终用户体验。

服务器负载均衡

 采用NetOpti产品还可实现内网各网段的服务器负载均衡，保障业务系统大规模用户访问的支持能力。

适用领域

 性银行、国有银行、股份制商业银行、城市商业银行、农信社及农商行以及邮储银行的网上银行系统。