网络安全级别银行

⑴ “银行级”的网络安全标准是什么

“银行级”的网络安全标准是不与外界的互联网相通,要经过允许才能进入.

⑵ 网上银行存在哪些风险

我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。

一、 我国网络银行面临的风险

1.系统风险
(1) 操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《Common Criteria for IT Security Evaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。
在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。
(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。
(4)数据传输风险。数据传输过程中被窃取、修改等风险。

2.操作风险
网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:
(1)网络银行操作风险意识淡薄。
(2)组织机构职责不清。
(3)内控制度不健全或执行不力。
(4)没有适合的网络银行稽核审计部门。

3.信用风险
网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。

4.信息不对称风险
信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。

5.法律风险
我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。

二、 我国网络银行风险防范对策

1.系统风险的防范
(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。
(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有Data General公司的DG UX B1/B2安全操作系统,HP公司的HPUX CMW B1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIX LINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。
(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。
对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。
(4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(Public Key Infrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。

加强应用系统开发过程的审计,应用系统运行过程中的实时审计。
(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。
(6)应用防火墙安全技术。建立综合计算机病毒检测技术、代理服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING 信息包,通过设置ACCESS LIST 的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。

2.操作风险的防范
操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。
建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。
来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。

3.信用风险的防范
建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。

4.信息不对称风险的防范
建立信息披露制度,强化信息披露的质量。应定期发布经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。

5.法律风险的防范
应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。
建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。

⑶ 信息安全等级保护各级别的区别

网络信息系统安全等级保护分为五级，一级防护水平最低，最高等保为五级。

区别如下：

第一级（自主保护级）：一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息统

信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级（指导保护级）：一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级（监督保护级）：一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统。

跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级（强制保护级）：一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级（专控保护级）：一般适用于国家重要领域、重要部门中的极端重要系统。

信息系统受到破坏后，会对国家安全造成特别严重损害。

(3)网络安全级别银行扩展阅读：

计算机信息系统可信计算基能记录下述事件：使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序出始化）；删除客体；由操作员、系统管理员或（和）系统安全管理员实施的动作，以及其他与系统安全有关的事件。

对于每一事件，其审计记录包括：事件 的日期和时间、用户、事件类型、事件是否成功。对于身份鉴别事件，审计记录包含请求的来源（例如：终端标识符）。

对于客体引入用户地址空间的事件及客体删除事件，审计记录包含客体名及客体的安全级别。

对不能由计算机信息系统可信计算基独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。这些审计记录区别于计算机信息系统可信计算基独立分辨的审计记录。

计算机信息系统可信计算基能够审计利用隐蔽存储信道时可能被使用的事件。

计算机信息系统可信计算基包含能够监控可审计安全事件发生与积累的机制，当超过阈值时，能够立即向安全管理员发出报警。并且，如果这些与安全相关的事件继续发生或积累，系统应以最小的代价中止它们。

⑷ 信息安全等级保护的5个级别有哪些

你好，等级保护对象的安全保护等级一共分五个级别，从一到五级别逐渐升高。
第一级（自主保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；
第二级（指导保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；
第三级（监督保护级），等级保护对象受到破坏后，会对公民、法人和其他组织的合法权益产生特别严重损害，或者对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；
第四级（强制保护级），等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；
第五级（专控保护级），等级保护对象受到破坏后，会对国家安全造成特别严重损害。
其中最常见的是第二级和第三级的信息系统，且二级及以上的信息系统需要落实等级保护工作，包括定级、备案、整改、测评、监督检查。

⑸ 简述什么是信息安全等级保护，信息系统的安全等级保护具体分为哪几级

1、信息安全等级保护，是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

2、信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。国家信息安全监管部门对该级信息系统安全等级保护工作进行指导。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行监督、检查。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行强制监督、检查。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。国家信息安全监管部门对该级信息系统安全等级保护工作进行专门监督、检查。

(5)网络安全级别银行扩展阅读：

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；

另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能；

使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

⑹ 网络银行安全吗

网络信息技术的发展和电子商务的普及，对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。“网上银行”在为金融企业的发展带来前所未有的商机的同时，也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道，客户可以不必亲身去银行办理业务，只要能够上网，无论在家里、办公室，还是在旅途中，都能够每天24小时安全便捷地管理自己的资产，或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物，人们却有一个最大的疑惑：“网上银行”安全吗？ 人们有这种顾虑不无道理。银行业务网络与互联网的连接，使得网上银行容易成为非法入侵和恶意攻击的对象，加上目前网络秩序较混乱，黑客攻击事件层出不穷，也给人们的心理造成了一定影响。

一般来说，人们担心的网上银行安全问题主要是：

1. 银行交易系统被非法入侵。

2. 信息通过网络传输时被窃取或篡改。

3. 交易双方的身份识别；账户被他人盗用。

从银行的角度来看，开展网上银行业务将承担比客户更多的风险。因此，我国已开通“网上银行”业务的招商银行、建设银行、中国银行等，都建立了一套严密的安全体系，包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等，以保证“网上银行”的安全运行。

银行交易系统的安全性

“网上银行”系统是银行业务服务的延伸，客户可以通过互联网方便地使用商业银行核心业务服务，完成各种非现金交易。但另一方面，互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。

为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施：

1. 设立防火墙，隔离相关网络。

一般采用多重防火墙方案。其作用为：

（1） 分隔互联网与交易服务器，防止互联网用户的非法入侵。

（2） 用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。

2. 高安全级的Web应用服务器

服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

3. 24小时实时安全监控

例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。

身份识别和CA认证�

网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。

在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。

网络通讯的安全性

由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。

SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。目前，建设银行等已经采用有效密钥长度128位的高强度加密。

客户的安全意识�

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识普遍较弱：不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。因此一些银行规定：客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付，以此保障客户的资金安全。

另一种情况是，客户在公用的计算机上使用网上银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础，从一开始就受到各家银行的极大重视，都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的，越安全就意味着申请手续越烦琐，使用操作越复杂，影响了方便性，使客户使用起来感到困难。因此，必须在安全性和方便性上进行权衡。到目前为止，国内网上银行交易额已达数千亿元，银行方还未出现过安全问题，只有个别客户由于保密意识不强而造成资金损失。

总 结

据有关资料显示，现在美国有1500多万户家庭使用“网上银行”服务，“网上银行”业务量占银行总业务量的10%，到2005年，这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%，就此点讲我国网上银行业务的发展前景极为广阔，我们有理由相信，随着国民金融意识的增强，国家规范网上行为的法律法规的出台，将会有更好的网上银行使用环境，能为客户提供“3A服务”（任何时间、任何地点、任何方式）的“网上银行”一定会赢得用户的青睐。

自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时，约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003
年，东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说，到2004年底，我国网络银行个人客户已达到1758万户，企业用户已达60万户，网络银行交易量达到了49万亿元。
但是，正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时，因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑，不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识？问题是出在银行，还是在消费者自身缺乏防范意识？安全问题确实已成为网络银行发展过程中的一个聚焦。

形形色色的网银安全问题

网络银行，又称网上银行或在线银行，是指银行以自己的计算机系统为主体，以单位和个人的计算机为入网操作终端，借助互联网技术，通过网络向客户提供银行服务的虚拟银行柜台。简单地说，网络银行就是互联网上的虚拟银行柜台，它把传统银行的业务“搬到”网上，在网络上实现银行的业务操作。

在西方发达国家，网络银行业务一般分为三类，即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务，前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等；后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。

网络银行的特点是客户只要拥有帐号和密码，便能在世界各地通过互联网，进入网络银行处理交易。与传统银行业务相比，网络银行的优势体现在，不仅能够大大降低银行的经营成本，还有利于扩大客户群，交叉销售产品，吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源，节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点，打破了传统业务受地域和时间的限制，能在任何时候、任何地方为客户提供金融服务；并且在整合各类交叉销售产品信息的基础上，实现金融创新，为客户提供更具个性化的服务。

网络银行发展的模式有两种，一是完全依赖于互联网的无形的电子银行，也叫“虚拟银行”；另一种是在现有的传统银行的基础上，利用互联网开展传统的银行业务交易服务。因此，事实上，我国还没有出现真正意义上的网络银行，也就是“虚拟银行”，国内现在的网络银行基本都属于第二种模式。

对于银行来讲，历来是“信用第一”。网络银行既然是互联网的产物，互联网所带来的一切安全隐患，自然会波及网络银行，影响其信用。因此，网络银行的安全问题不仅是客户最担心的事情，也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外，利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。

假冒银行网站具有很强的隐蔽性，其域名通常和真实银行的域名相差一个字母或数字，主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接，收到此类邮件的用户一旦点击这个链接，紧接着页面会提示用户继续输入自己的帐户信息；如果用户填写了此类信息，这些信息将最终落入诈骗者手中。而网上交易陷阱则是，一些不知名的购物网站通常会打出超低价商品等信息，待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题，各家银行的反映如何？它们都采取了哪些相应的措施？

银行篇：该出手时就出手

8月份，国内14家商业银行与中国金融认证中心（CFCA）联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动，为广大消费者提供了一次了解网上银行和信息安全知识的机会。
在这14家银行中，中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段，工行建立了一整套严密的网上银行技术与制度体系，确保了网上银行安全的运行。

中国工商银行电子银行部副处长尚阳向记者介绍说，利用网上银行进行欺诈行为，骗取客户资金，目前主要有四种类型：一是不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级等名义诱骗不知情的用户点击进入假网站，并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天，以网友的身份低价兜售网络游戏装备、数字卡等商品，诱骗用户登录犯罪嫌疑人提供的假网站地址，输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯，有可能通过这些程序、邮件等将木马病毒置入客户的计算机内，一旦客户利用这种“中毒”的计算机登录网上银行，客户的账号和密码就有可能被不法分子窃取。

例如，人们在网吧等公共电脑上网时，网吧电脑内有可能预先埋伏木马程序，账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理，通过试探等方式可能猜测出密码。所以，为了保证信息和资金的安全，我们不仅需要具备辨识网络诈骗的能力，更需要养成良好的网上银行使用习惯。当然，如果用户申请了客户证书，就可以有效防范目前常见的各种网络犯罪，确保用户资金安全无忧。

工商银行网上银行系统的安全保障是多层的，包括网上银行技术安全和业务安全，二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上，网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠，交易安全确保客户通过网上银行进行交易的资金安全。其中，网络安全涉及系统安全、网络运行安全等。

系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析；网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性，采取了一系列措施，包括：在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络（应用服务器）之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品，设置不同的安全策略，使黑客即使攻破第一道防火墙，也无法轻易攻破第二道防火墙而进入内部网络，等等。

在确保网络安全的同时，工行网上银行还采取了一系列确保网上交易安全的措施，包括采用中国金融认证中心（CFCA）提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同，工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行，首先要验证客户的账号（或自己设立的登录ID）和登录密码，对外支付还必须验证支付密码。

此外，通过增加密码难度（必须是6—30位数字与字母的组合）、设置虚拟“e”卡（专门用于网上购物）和每日支付最高限额等一系列方式，最大限度地保证客户安全使用网上银行。对于申请了证书的客户，工行USBKey客户证书是一个外形类似U盘的智能芯片，是网上银行的“身份证”和“安全钥匙”，也是目前安全级别最高的一种安全措施。客户申请了这个证书后，网上所有涉及资金对外转移的操作，都必须通过这个客户证书才能完成，而此证书，仅客户自己保管和使用。换句话说，账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施，只要其中一样没有丢失或泄露，或即使丢失，只要密码和证书没有被同一个人获得，就不存在资金安全问题。

除了技术安全外，工行在业务安全层面上，制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统，都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度，逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时，还需要上一级柜员的实时审核，防止单人作案。

那么，用户应该如何安全使用网上银行？尚阳副处长说，对于有了客户证书的客户来说，只要密码和证书没有被同一个人获得，就能确保客户资金的安全。而没有申请客户证书的客户，只要保管好自己的账号和密码以及支付密码，就是非常安全的。总而言之，有几点需要提醒人们：1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所（如网吧、公共图书馆等）使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书，就可以有效防范诸如假网站、“木马”病毒等网络诈骗；换句话说，即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息，但有了证书，照样可以安心使用网上银行。

华夏银行也是在2000年开始着手网络银行业务的。自2001年5月17日发生第一笔网上银行交易，截至2005年6月，网上银行的企业客户数接近1.2万个，个人注册客户数接近21万个；累计交易金额超过7500亿元，交易笔数超过44万笔。

据华夏银行网络银行部网银业务室副经理高静文介绍说，国家计算机网络应急技术处理协调中心（CNCERT/CC）的报告显示，2004年上半年，我国的主机被用于进行各类网络欺诈的事件有20起左右，同年7月至10月已经超过了110起。随着网上银行应用的普及，这样的欺诈事件会越来越多，犯罪分子利用的技术手段也越来越先进。他们窃取银行客户账号和密码，给用户的资金安全造成了严重的威胁。
为此，华夏银行在技术策略、管理策略和业务策略等方面形成了一套完善的综合安全管理体系，在银行端和客户端采取了多重技术和业务安全保障措施。

他们的技术措施包括：架构设计采用统一出入口的集中模式。网上银行的所有业务操作均通过华夏银行总行的门户网站登录进行，集中化的管理有利于集中优势人力、物力和技术，确保交易的安全性，降低了假网站出现的概率。在公共网络和银行网站之间，网站和交易服务器之间，交易服务器和银行内部网之间采用了三重不同规格型号的防火墙，隔离了相关网络；其作用是通过这三道防火墙可分别防止非法访问网站，防止网站访问者对网银的非法入侵，以及有效保护银行内部网，同时防止内部网对网银交易服务器的入侵。与工行一样，华夏银行采用的也是128位SSL数据加密协议和CFCA颁发的数字证书。数字加密协议在用户和网银服务器之间建立了秘密而可靠的连接，确保信息传输的完整性和安全性。数字证书则保障了交易的完整性、机密性和不可否认性。

华夏银行的业务安全措施是：证书采用IC卡或U盘存放，便于私密保管，且难以伪造；证书认证密码和系统登录密码双重保护；网上转帐须经记帐与授权多重确认；客户密码3个月未更换，系统自动提醒客户修改密码；密码连续错误多次，系统自动锁定，不允许登录防止恶意试探密码；企业可根据自身实际情况设定多种授权组合；客户的每一次点击操作，机房都能实时监控；完整的日志记载可为事后审计提供依据。
在安全管理上，华夏银行的网上银行专门建立了应急预案；成立专门的安全处提供技术保障；系统运行部门配备专门人员，并对系统进行实时监控和处理。

高静文副经理说，网上银行欺骗是国际性难题，即使在国外，也没有完全有效的技术手段，这是一个需要各方面共同努力的问题。从用户来说，要培养安全意识，严格按照银行提示操作，如果接到来历不明的短信或邮件时应有防范意识。从银行来说，除了采取足够的安全措施和内部控制手段外，还要利用各种渠道向用户讲解网银安全的知识，提醒用户注意事项。而司法部门则需对网上银行的欺诈行为做出严格的法律界定。

企业篇：技术不是问题 防范最重要

各银行在网上银行的安全防范措施上，可谓使出浑身解数。如果说，银行是以“信用为己任”，那么厂商就是以“保护信用为己任”。对于网上银行的安全问题，方正信息安全技术有限公司总裁施文洪认为，网络银行好比航空公司，具有高风险且安全性也高的特点。对于网上银行的安全，大的安全厂商主要解决的是网络级的安全问题，从银行的交易平台、专线、内网到公网这条线路上来确保网络的安全。在网络层面上，防火墙、防病毒软件、IDS产品等是网上交易平台外围安全的保障。网上银行与用户之间的安全保障则需要数字证书、USBKEY等。网上银行是一个高端的业务，方正将通过与高端的集成商合作，推出不仅具有高技术含量的产品，更具有实用性的产品，让消费者从心理上有安全感和可信感。

方正安全在信息安全领域，覆盖了防火墙、防病毒、内容安全网关、入侵检测和虚拟专用网等五大产品线四十多款产品，最新的熊猫入侵防护TRUPREVENT企业版，是一款集已知和未知威胁防护于一身的入侵防护软件，能最大程度地抵御病毒、木马、蠕虫等网络威胁。这款基于识别行为技术的智能化的产品，是方正迈向未来智能化的网络安全产品走出的第一步。施总说，技术从来不是问题，问题在于技术如何在最恰当的时候以最恰当的方式转化为产品切入市场。未来的网络银行应该基于IP网，基于IP网的安全产品实现移动、无线、便携后，才能真正实现网络的安全性和可靠性。

记者又采访了以“电子支付专家”为发展定位的网银在线（北京）科技有限公司，这是一家为从事电子商务的企业和个人提供电子支付解决方案的企业。作为中立的第三方支付平台，网银在线提供的是在线支付网关和个人虚拟帐户（类似C TO C 支付帐户），主要解决电子商务中资金流的问题。它在银行和商户之间搭起了一座桥梁，一方与银行链接，另一方利用数字证书为商户提供支付平台。因此，网银在线无论是为商户提供交易平台，还是为银行提供结算平台，都和安全问题密切相关。

网银在线执行总裁、做技术出身的赵国栋说，网上银行出现的安全问题在很多情况下不是技术本身的原因造成的，更多是人们自身防范意识不够和管理上的问题。作为第三方支付平台，网银在线在安全保障上是严密而慎重的。它们的安全措施包括：与天威诚信合作推出了符合〈〈中华人民共和国电子签名法〉〉的网上支付网关。

由天威诚信提供的数字证书加密后的交易数据，可以有效预防黑客的窜改和窃取，最大限度地保障了商户交易数据的安全，保证了交易数据的完整性、不可抵赖性，防止支付网关自身修改交易数据。其次，采用了国际机构VERISIGN的128位SSL加密传输机制，将交易信息通过高强度的加密后进行传输，进一步防止黑客窃取信息。第三，与VISA合作推出符合3D安全规范的国际信用卡支付平台。VISA验证服务以安全易用为原则，采用全球互通付款的“3D技术”，是VISA国际组织为提高信用卡网上支付的安全性，保障用户网上支付安全，维护用户利益而推出的一项安全验证服务。有了VISA验证服务，网上交易就有了双重保险。

在服务器的安全上，网银在线采用硬件防火墙与软件防火墙结合的方式屏蔽大部分的病毒和攻击。在银行端方面，它们采用的是SSL128位加密算法和SET（安全电子交易）协议，保证了B2C在线支付的安全实施。在支付平台与银行之间的结算方面，网银在线采用了二次结算的模式，成为支付过程中公正的第三方。在交易过程中，交易双方的信息传递到支付平台并留有存证，交易双方都可以方便地查询订单及相关信息，特别是在出现交易纠纷的时候，有关信息可作为仲裁的有力证据。看来，不论从银行角度出发，还是从厂商角度出发，一致认为以PKI技术为基础的数字证书是一种更可靠的安全防护措施。

⑺ 什么是信息安全等级保护信息系统的安全等级保护具体分为哪几级

等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。遵循等级保护相关标准开始安全建设是目前企事业单位的普遍要求，也是国家关键信息基础措施保护的基本要求。

信息系统安全等级保护一共分为五个阶段：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

⑻ 网络信息系统安全保护等级分为

网络信息系统安全等级保护分为五级，第一级为自主保护级，第二级为指导保护级，第三级为监督保护级，第四级为强制保护级，第五级为专控保护级，五级防护水平一级最低，五级最高。具体介绍如下：

1、第一级（自主保护级），会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；

2、第二级（指导保护级），会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序 和公共利益造成损害，但不损害国家安全；

3、第三级（监督保护级），会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；

4、第四级（强制保护级），会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；

5、第五级（专控保护级），会对国家安全造成特别严重损害。

⑼ 电子银行：网络安全如何保障

编者按：随着银行业的竞争加剧，“钱庄多于米铺”的情景可能会再次重演。作为客户关心的要点，安全性再次引起了银行的关注。在电子银行大行其道的今天，银行的安全已经不能只从物理层面实施了，我们需要从机制、内部、外部等多方面加以考虑。新环境，新挑战：银行安全的标准升级 银行和客户之间最重要的合作条款是安全性。银行的业务就是要为客户提供一个安全可靠的环境，使他们可以把贵重资产交由银行保管。不久前，安全意味着银行要在其办公场所采取一级防范禁闭，选用堡垒式的建筑、配置报警设施、安排保安人员把守等。不过，近十年来，全球性数字化革命从根本上改变了银行开展业务的方式，既为他们带来新的商机，也为他们提出了新的挑战。 当前，电子网络不仅构成银行与客户进行合作的主要环境，同时也成为银行开展金融业务的主要管道和保存客户资产和敏感数据的中央仓库。银行通过部署外联网、内联网和基于因特网的其他系统，加快了运营速度，实现了相互通信，为客户提供了史无前例的服务和便利。为了适应安全和规章条令的要求[如，美国的Gramm-Leach-Bliley法案]，银行正在着手采取各种措施来保护网络不受攻击。 然而，金融业在不断发展。为了进一步加强竞争优势，银行正在实现先进的网络应用，为客户提供从保险合同到票据和工资发放等新的业务。而且，随着经济全球化的不断发展，银行将越来越多地在世界范围内与客户进行沟通，无论是使用自动柜员机（ATM）卡的旅游者，还是跨境划拨资金的公司。除此之外，银行还必须遵守国内外关于跟踪和保护国际资金流及客户信息的相关法令，以及保证不拒绝大宗金融交易及赔付的相关规章制度。因此，随着银行不断拓展市场范围，其网络基础架构也将超越他们的物理地点被扩展到客户或第三方来执行交易，或访问保密信息所需要的任何地方。 新的保障机制：银行安全的基础架构 电子银行的不断发展增加了IT部门的压力。他们既要保障安全性和保密性，又要设法减轻IT人员高度紧张的管理负担。随着银行不断增加物理设施来加强防范措施外，IT管理人员也必须加大他们的安全防范工作，全方位的保障网络安全。 这意味着IT管理员需要设计行之有效的验证和授权机制，以便只允许授权用户，包括员工、客户和伙伴，在网上访问授权他们访问的特定资源。例如，通过部署防火墙，银行能够控制通过企业的因特网门户进入网络进行访问的人员。而对于入侵者而言，门户往往是诱人的目标。防火墙只允许合法用户进入，入侵者和外部人员将被拒之门外。 银行还需要其他安全机制，包括数字签名和证书支持功能。验证必须扩展到网络设备，特别是服务器。例如，窃贼有可能把缺乏控制的服务器和网络相连接，以便非法处理各种交易和转移资金，从而给银行造成严重后果。 保护内部安全：实施企业级安全政策 一旦加强了基础架构边缘的安全保障，银行还必须控制网络内部可能发生的情况，对象应包括银行员工和承包商。因为银行的威胁既可能来自网络外部，又可能来自网络内部。如果未经授权的人员可以擅自访问关键金融应用，他们就可能随意拒绝或窜改交易，由此给银行带来风险。 因此，银行需要实施企业级安全政策。这些政策能够进行集中管理，只允许获得授权的员工访问规定的应用和数据库。一旦某人进入网络，常规边缘防火墙就不能保护金融数据，所以银行应考虑采用先进防火墙技术，以便把防窜改安全特性嵌入到桌面系统和服务器，只允许每个机器访问用户获得授权的那部分网络资源。另外，银行还可以部署虚拟LAN/VLAN，把网络分割成各种不同的用户组。VLAN允许管理员组织和控制通信流，因此有利于对网络内部资源实行隔离。 传送不容出错：VPN＋防火墙 当客户访问银行外联网查看帐户信息或执行交易时，请求将始发于客户的远程地点，然后通过因特网或其他公用网络传至银行网络。在无法约束的因特网空间内，这类敏感通信容易成为窥视的目标，甚至可能被窜改。 为了保障基于因特网和基于Web交易的保密性和完整性，银行可以实现虚拟专用网（VPN）。就像装甲车一样，VPN在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和金融机构之间，VPN提供安全可靠的加密式端对端"隧道"。即使是最狡猾的无赖之徒，VPN的强劲安全性也能防止他们截取隧道传输的内容，使他们的阴谋不能得逞。VPN的创建宗旨就是要在每个远程访问会话期间保障其安全性，它对用户是透明的。一般而言，具有VPN功能的防火墙和客户计算机配置的许多操作系统都支持VPN。 在内部台式系统、服务器和笔记本电脑内可以部署基于防窜改硬件的防火墙来加强保护，防止入侵者通过远程访问VPN进入银行网络，同时严防在银行非军事区内（DMZ）从事破坏安全的活动。通常，DMZ包括允许公开访问的Web服务器和其它外联网服务器。 外包安全也要考虑：银行安全的外部延伸 当前，银行在保护企业的同时，又要为客户、供应商和合作伙伴提供安全可靠的通信，这是银行在全球连接的经济环境中保持赢利的关键因素。银行需要整体网络保护方案，而不仅仅是为其网络基础设施增加一些零碎的安全部件。他们必须从独立的边缘防火墙，跨越所有的有线和无线端口，扩展到基于端口的网络登录和安全可靠的网络管理等领域。 显然，有效的安全性设计来源于网络本身。网络基础架构必须具有嵌入式防火墙、验证和VPN等安全功能。不仅设计安全的网络很重要，而且设计网络时所采用的方法同样也重要，不能使企业的日常运营脱离正常轨道。当超负荷网络发生故障或崩溃时，将会给银行业务造成令人可怕的后果。 要建设一种能够提供银行安全特性的基础架构，就需要IT资源和技术。正是由于这个原因，越来越多的银行对其网络安全实行外包，虽然外包网络安全能够带来某种好处，但这并非适用于所有情况。如果银行考虑采用这种选择，就应该依靠那些了解他们特定的严格安全要求的供应商。 银行需要通过与可信赖的供应商建立合作伙伴关系，并以此作为安全决策要求的一部分，采取经济有效的方式，并适应相关规章条例的要求。在一个瞬息万变的世界，这种伙伴关系有利于金融机构应对当前和今后的所有安全问题，保证使客户永不放弃对银行的信任度和满意度。
还有什么问题，问问网络专家 3Com公司的业务专长就是为客户提供安全可靠的网络解决方案。3Com公司的技术开发策略是建立在一种实用方法基础之上，宗旨是把安全性扩展到整个网络的各个层面，设计原理就是要像高性能和高可用性那样，把安全性作为网络解决方案的内在特性来对待，从而满足客户的需要。3Com公司认为，企业网络的安全性必须作为公司策略来加以实施。而3Com公司能够提供性能强劲和可靠的系统，并支持几乎所有级别的安全保护要求。
除此之外，3Com公司创建产品的先决条件就是为企业提供分层式和分布式安全解决方案，用以满足他们的各种业务需求。如果银行安装了易于部署、易于管理和易于扩展的系统，就能够减轻其IT部门的压力，减少网络总拥有成本。