基于 J2EE 网银系统的安全系统解决方案概述

核心提示： 动态短信动态短信是服务器端通过通信服务商向用户的手机上发送一次性密码短信，用户也可以通过拨打相应的客服电话来获得一次性密码，基于 J2EE 网银系统的安全系统解决方案概述(6)，对客户来说几乎没有投入成本，安全性强，通过自定义签名格式，只对需要的页面要素进行签名，上面介绍的这四种身份认证的辅助解

动态短信

动态短信是服务器端通过通信服务商向用户的手机上发送一次性密码短信，用户也可以通过拨打相应的客服电话来获得一次性密码。对客户来说几乎没有投入成本，安全性强。

上面介绍的这四种身份认证的辅助解决方案可以在相当大的程度上杜绝目前流行的专门盗取客户的账号和密码的“盗号木马”的危害。

权限控制系统

权限控制包括网络的访问权限控制，设备的访问权限控制，服务器的远程访问权限控制（包括页面服务器、应用服务器、数据库服务器等），网银系统的权限控制。其中企业网银和后台管理系统涉及到多人在同一系统内的操作，权限控制尤其重要。

边界控制

可以在网络边界设置多重的防火墙，防止外界的非法访问。在网络拓扑图中也可以清楚的看到，多种的防火墙可以保证网银系统和银行核心系统以及其他渠道系统的通信安全。其中第一重和第二重防火墙主要是防护互联网用户的非法入侵，第三道防火墙可以防护银行内部用户非法侵入网银系统。

防病毒网关

病毒、蠕虫和木马等对网银系统安全造成极大威胁。防病毒必须软、硬件两手抓。设置防病毒网关对进入应用区的信息进行扫描，同时网银系统的程序本身也要防止 SQL 注入等应用层的安全漏洞。

传输加密

数据加密地方法有里链路层加密、网络层加密及应用层加密。其中对网银来说，应用层的加密应用比较广泛。网银客户端至服务器端的安全连接可以采用 SSL（Security Socket Layer）协议。SSL 已得到各主流浏览器内置的支持。由于标准的 SSL 协议，在采用客户端证书时，并未对用户的交易数据进行显式签名，所以一般的网银系统可通过在客户浏览器安装签名控件来完成，签名控件一方面可以完成数字签名，另一方面，通过自定义签名格式，只对需要的页面要素进行签名，去除不必要的数据被签名。