8.网上银行业务运营设施与技术系统介绍

****网上银行

业务运营设施与技术系统

介 绍

****村镇银行

二○一三年六月

1 概述

背景

为促进****村镇银行业务发展，完善服务手段，丰富金融产品种类，村镇银行积极准备网银系统建设，现网银系统已具备上线运行的条件。

- 1 -

2 网上银行系统总体结构

- 2 -

3 业务需求概览

根据业务发展需要，网上银行将分批实现以下功能： （一）企业网上银行系统

****村镇银行企业网上银行可实现账户管理、收付款管理、集团服务等功能。功能如下：

一级菜单 二级菜单 三级菜单 用户信息 公告信息 我的账户 特色服务->证书提醒 温馨提示 快捷菜单 账户管理 账户查询 账户明细查询 账户别名设置 本企业行内账户互转 对外付款 收款人账户信息 交易查询 交易撤销 登录名修改 登录密码修改 备注 到期 过期 首页 固定栏目 收付款管理 企业内部管理 客户服务 申请换发证书 自助换发证书 下载证书 USBKEY管理 本人资料及账 户权限 账户业务权限 查询 操作日志查询

（二）个人网上银行系统

- 3 -

****村镇银行个人网上银行可实现账户查询、转账汇款、客户服务等功能。功能如下：

- 4 -

一级菜单

登录页面 二级菜单 用户管理 使用帮助 忘记登录密码 我的网银 固定栏目 三级菜单 网银自助注册 证书使用说明 网银助手下载 注意事项 使用指南 常见问题 业务简介 用户信息 通知公告 我的账户 特色服务->预留信息 特色服务->证书提醒 温馨提示 常用功能 添加/删除注册卡及账户 账户别名设置 整存整取 零存整取 账号保护 预留信息 暂停网银 申请换发证书 下载证书 修改USBKEY密码 查看USBKEY证书 备注 到期 过期 - 5 - 我的账户 账户查询 明细查询 账户挂失 账户维护 本人行内账户互转 行内账户转账 跨行汇款 转账汇款记录查询 收款人账户信息 定活互转 通知存款 用户名设置 个人资料修改 个性化设置 快捷菜单设置 操作日志查询 修改登录密码 安全设置 转账汇款 卡内互转 客户服务 安全中心 自助换发证书 USBKEY管理 登录 安全退出 网银自助注册 忘记登录密码 功能搜索 切换至时尚版 系统

（三）网银柜面系统

网银柜面系统是****村镇银行业务人员进行网银后台维护的平台，包括业务功能管理、参数管理、日志管理、客户服务等功能。柜面系统提供的详细功能如下：

一级菜单 二级菜单 个人客户开户 个人客户信息查询 三级菜单 个人客户关键信息维护 个人客户信息维护 个人客户账户管理 个人客户更改注册方式 个人客户启用 个人客户停用 个人客户注销 个人客户解锁 个人客户密码重置 证书换发/补发 证书查询 证书申请 证书换发/补发 证书查询 个人证书下载 企业证书下载 备注 个人业务受理 个人客户维护 一般企业开户 集团客户开户 企业客户信息查企业业务受理 询 企业客户信息维护 银企对账查询 密码信封初始化 密码信封重打 凭证管理 凭证使用情况查询 个人客户证书管理 证书管理 企业客户证书管理 证书下载 企业转账汇款授权 个人转账汇款授权 风险管理

- 6 -

企业转账汇款授权查询 个人转账汇款授权查询 柜员操作日志 个人客户操作日志 企业客户操作日志 开销户统计表 交易量统计表(转出对象) 交易量统计表(行内行外) 中间业务统计表 报表中心 转账交易统计表 开户登记簿 销户登记簿 开户汇总表 企业转账汇款查询 个人转账汇款查询 认证方式限额设置 大额落地限额设置 机构管理 机构柜员管理 角色管理 柜员管理 功能管理 转账交易信贷授权 修改登录密码 我的操作日志 银行公告 公告管理 公告查询 公告发布 事后监督 业务管理 系统授权 系统功能 客户服务

- 7 -

4 网银系统方案

 安全方案设计原则

安全是网银系统设计的重中之重。

依据木桶原理，系统安全需要考虑系统使用的所有方位、所有角度。 i.

网络架构的安全

应具有全方位安全性保护部署，如：内段隔离，防止外部各种入侵和黑客攻击；在局域网环境中保证用户的隔离，对核心管理系统实现安全保护，防止内部非系统管理员的各类入侵和攻击。 ii.

服务器及其操作系统的安全

核心服务器必须放到安全域，只能被有业务需要的应用访问。

操作系统或其上的数据库平台本身不被攻击，也不能成为攻击工具。 iii.

客户端计算机的安全

提示客户查毒、杀毒。使用安全控件，尽最大力量减少客户端被攻击的可能性。 iv.

客户认证手段的安全

推荐用户采用安全级别更高的认证工具；提示客户使用相应认证手段的必须注意到环节。

- 8 -

保证客户在个人信息、口令全部泄密的情况下，安全的使用认证工具，客户资金不被非法盗取。 v.

通讯层安全

在通信过程中保证不被看到（数据加解密）；不是别人发过来的、没有被篡改（身份认证、抗否认性）；不是以前的通信等（唯一性）。 vi.

网络层安全

通过防火墙，防病毒，入侵检测等安全技术，保障整个系统的网络层安全。 vii.

信息在各业务系统中交换的安全

保证关键信息（如客户取款密码）在各业务系统中交换时是密文，不泄漏客户信息。

保证交互的信息不被篡改，不是重放的信息。

viii.

系统使用中业务的安全控制

严格的用户权限管理机制，灵活的用户角色划分和管理；的交易权限管理机制，企业关键交易提供多重组合授权功能。涉及账务的关键交易要求做数字签名。完备的交易日志和操作日志。 ix.

数据库的安全存储与灾难备份

数据存储在安全的设备上，备份的数据也需要安全管理保障。最终系统需要异地的、实时的灾难备份系统。

- 9 -

 存储和备份

i.

数据存储备份

网上银行系统采用磁带库实现数据的备份，并配臵专用的备份软件来实现应用和数据的备份，支持联机备份、脱机备份方式，也可以支持自动备份、人工备份，对于数据备份支持完全备份、增量备份、部分备份。用户可以根据需要设臵备份的时间和备份时间周期。

备份方案 数据 业务信息 帐务记录 流水日志 接入流水日志 接入交易数据记录 应用程序 ii.

数据恢复

数据恢复是指将备份的数据从备份介质中恢复到系统。根据恢复内容的不同可以采取离线恢复或在线恢复。

数据恢复前，需要制定详细的数据恢复方案，并对现有的环境进行保存和备份。

恢复数据后，对数据进行完整性和一致性检查。

- 10 -

备份策略 完全备份 完全备份+增量备份 完全备份+增量备份 完全备份+增量备份 完全备份+增量备份 周期 周 日 日 日 日 完全备份 周

 应用系统安全设计

网上应用系统的安全主要包括信息的安全，用户客户端环境的安全和多种的用户身份识别手段。 i.

信息安全

网上银行应用系统的安全主要包括数据的不可否认性和保密性，以及对用户的认证等。从总体策略上，网上银行交易系统的安全，是通过安全代理服务器的方式，向用户发放证书，实现对用户的认证，以及在用户与网上银行系统间建立安全的通信通道，实现对重要交易数据的加密与签名。

银行端计算环境用户端计算环境PC环境PC环境在线杀毒安全控件证书介质手持手持设备设备身份确认帐务确认安全链路网银业务系统网银业务系统PKI身份认证免责协议业务安全流程管理安全链路银行后台银行后台服务认证业务系统业务系统企业内部信息安全（防病毒/IDS/…）企业内部信息安全（防病毒/IDS/…）

应用系统安全架构图

1. 安全代理服务器

网上银行系统采用安全代理服务器的方式，在客户端和网上银行服务器间建立一个安全的SSL数据通道。实现用户

- 11 -

的证书双向身份认证和数据的签名和加密。以最大程度的保护交易系统的安全。通过这种方式，只有持有证书的用户（包括企业客户和个人签约客户），才能登录到网上银行系统进行交易。

安全代理服务器被放在停火区内，为Web服务器提供安全的数据通道。

使用证书的用户采用CA中心颁发的数字证书作为身份证明，通过网银的安全代理服务器进入到网银系统环境来。

安全代理服务器提供服务器证书，提供SSL连接，自动下载CRL（证书作废列表）信息等功能。

2.

交易签名与验证

网上银行系统用合作安全厂商的产品完成对关键数据与文件的签名和验证的过程。

当用户进行需要交易签名的业务操作（如：转账、缴费等）时，网上银行将要求用户用自己的数字证书进行签名，以保证交易的不可否认性。

需要交易签名的业务实现流程如下：

1．用户通过普通浏览器发出需要进行数字签名的业务访问请求，安全客户端提示用户选择数字证书并进行处理，如果证书无效（例如没有选择正确的证书），安全客户端将给出无效证书的提示并要求用户重选；

2．安全客户端作为代理在访问请求中加入认证标识，

- 12 -

表示在此次访问之前已经通过身份认证，并连同有效证书一起发送给应用Web服务器；

3．应用后台程序根据Web服务器上记录的该用户的认证标识和身份标识来确定其用户类型，并赋以一用户类型标识，形成图中所示的用户信息列表；

4．应用后台程序在确定了该用户的用户类型标识后，根据权限控制规则确定其可以进行的交易业务类型；

5．记录用户交易签名； 6．后台主机进行交易处理；

7．主机将用户的交易处理结果返回给应用后台程序； 8．应用后台程序将交易处理结果返回给用户。 ii.

客户端安全

当前网上病毒猖獗，而客户大多缺乏网络安全知识与病毒防范意识，使得网上银行在客户端方面出现重大的安全隐患。随着网上银行交易的普及，攻击网上银行系统的病毒也开始出现，骗取客户的银行账号与密码。网银系统采取安全客户端控件方式避免恶意的黑客程序截取用户输入的敏感信息和关键交易，防止用户密码泄露或资金流失，从而提高网上银行用户端的安全性，保证客户安全使用网上银行。

1.

安全客户端控件

开发安全控件，在客户输入密码等关键信息时使用。 安全控件可进行中断级、操作系统级监测，阻止黑客使

- 13 -

用钩子等黑客手段从键盘输入中获得或者篡改关键信息，包括PS2键盘、USB键盘、无线键盘。

安全控件可阻止黑客使用屏幕拷贝等手段直接从控件获得信息。

安全控件可阻止内核驱动过滤攻击获得控件内输入的信息。

安全控件同时使用金融加密机的公钥，直接对交易密码进行加密，保证交易密码在各系统内流转的都是密文，各系统无法解开。 iii.

身份识别技术

身份识别作为网上银行各阶段最重要的安全措施，对资金安全有着举足轻重的作用。

现在通用的身份认证方式有6种，每种认证方式都各有特色，有些认证方式之间是可以互补的，所以网上银行可以同时支持多种认证方式，而且通过对业务分安全级别的方法来进行操作权限控制。

银行网银系统可以采用以下认证方式  静态密码  动态密码 i. ii. iii.

- 14 -

动态口令卡 手机动态密码 动态密码令牌

iv. v.

带挑战应答的动态密码令牌 带屏幕的交易信息动态确认密码器

 数字证书 i. ii. iii.

USB Key

带按键的USB key

带液晶屏及按键的USB Key。

以上方式可以组合：  静态密码 + 动态密码  静态密码 + 数字证书

1.

刮刮卡

是动态口令卡的一种，刮刮卡的优点是成本低、方便易用，缺点是由于每张卡上包含多个密码，密码容易被偷看。因此对交易金额较小、对成本和易用性要求较高的客户使用刮刮卡作为身份认证方式。常见的刮刮卡如下图所示：

2. 数字证书

证书的申请者经过审批，会得到自己的数字证书、私有

- 15 -

密钥和保护私有密钥的口令。用户登录网上银行系统时，需和服务器进行双向身份认证，这一过程需要数字证书、私有密钥以及保护私有密钥的口令共同参与。具体的认证过程参见下图：

基于安全代理服务器的身份认证流程图

步骤如下：

1．用户发出访问请求；

2．安全客户端代理该访问请求；

3．银行应用Web服务器接收该请求，交由身份认证后台程序处理，后台程序检查请求中是否带有认证标识和标识的有效期。如果带有认证标识并在有效期内，说明该用户已

- 16 -

经通过认证并且没有超时，直接跳至第9步；

4．对于没有通过身份认证的用户，身份认证后台程序调用安全代理服务器提供的认证功能模块，向安全客户端发出认证请求，同时给出银行应用Web服务器的数字证书和签名；安全客户端接收到银行应用Web服务器发来的认证请求后，对服务器证书的合法性进行验证，并验证签名的真实性。

5．验证通过后，安全客户端即可以确认自己正在访问的服务器正是自己希望访问的服务器，安全客户端向银行应用Web服务器提交用户数字证书和用户签名；

6．身份认证后台程序调用安全服务器的认证功能模块对用户数字证书进行合法性验证，并验证用户签名的真实性；

7．验证完成后认证功能模块向身份认证后台程序返回认证结果和用户的身份标识信息，银行应用Web服务器保存此记录，该记录格式定义如下：

认证标识 身份标识 说明：认证标识是银行应用Web服务器为通过身份认证的用户分配的唯一标记，带有该标记的访问请求不必再作认证；身份标识即为用户数字证书中“用户唯一标识”字段；

8．银行应用Web服务器将认证标识传给安全客户端； 9．向用户提供Web服务。

- 17 -

这里的身份认证过程为强认证，不仅银行应用Web服务器对用户进行认证，用户也对Web服务器进行认证，认证是双向的，为了保证登录安全，一般还需要在第6步进行认证次数。

数字证书存储在USB Key内，只能使用，不能读取。但是2006年以来，USB Key越来越多的受到远程证书劫持攻击。

因此使用USB Key时，同时需要输入手机收到的交易确认动态密码。或者采用带语音、按键或带屏幕、按键的USB Key。

3.

手机动态密码身份验证

网上银行系统支持在客户进行转账与或外支付等活动的时候，向客户手机发送动态生成密码，通过客户在密码项输入其所收到的动态密码，以确认客户的身份。

手机动态密码的缺陷是实时性无法保障。对于时效要求高的客户不建议采用。

4.

动态电子令牌

动态电子令牌采用一种称之为动态令牌的专用硬件，大小相当于一张闪存盘，显示方式类似于电子手表，它内臵电源、密码生成芯片和显示屏。密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码并显示在显示屏上。认证服务器采用相同的算法计算当前的有效密码。由于每次使用的密码必须由动态令牌来产生，只有合法用户才

- 18 -

持有该硬件，所以只要密码验证通过，系统就可以认为该用户的身份是可靠的。而用户每次使用的密码都不相同，即使黑客截获了一次密码，也无法利用这个密码来仿冒合法用户的身份。

5. 银行采用方式

综合我行客户情况，银行采用以下认证方式： 个人客户：

静态密码+刮刮卡（动态口令卡） 静态密码+矩阵卡（动态口令卡） 静态密码+手机动态口令 静态密码+Ukey(证书) 企业客户：

静态密码+Ukey(证书)

iv.

1.

服务端安全

网站防篡改

由于我们的网银WEB服务器被SSL安全网关保护，又经过入侵防御，从无法进行网站篡改。但内部网站发布系统可能会受到内部威胁。我们将采用专用的网站防篡改技术，能够及时发现黑客对网站的篡改，并有效控制传送给客

- 19 -

户的信息的合法性。该防篡改技术可以使得任何针对网站内容的篡改在发送到客户端之前，被监测到，理论上完全避免了网页被修改，减少政治风险。

2.

网站防毒

由于银行网银系统WEB服务器被SSL安全网关保护，又经过入侵防御，系统内操作系统基本上是UNIX或Linux。不会有病毒从侵入。为提高网银系统安全性，在二期考虑增加防毒墙设备，部署在WEB服务器前，IPS后，进一步增加系统防病毒能力。

 业务安全控制设计

网上银行系统通过安全代理服务器，防火墙，等系统来保证系统的安全性，以及通过负载均衡来保证系统的高可用性。

网上银行系统本身还需要从业务功能的角度来保证网上银行业务的安全性。主要从以下几个方面来保证：

 严格的用户权限管理机制，灵活的用户角色划分和管理

 的交易权限管理机制，企业关键交易提供多重组合授权功能。

 涉及账务的关键交易要求做数字签名。  完备的交易日志和操作日志。

- 20 -

i. 登录控制

个人网银客户使用登录ID、登录密码和验证码进入个人

网银系统。对于密码过于简单的客户强制要求用户修改电子银行密码。

企业网银客户使用安全证书、登录ID、登录密码和验证码进入企业网银系统。

登录日志中记录客户访问系统的远程IP地址和时间等详细信息，可以统计客户访问系统的次数。

对于应用系统登录页面，会产生图形格式的随机附加码，用户在输入认证信息后，还需要输入此附加码方可登录系统，防止用程序恶意破解密码。

系统还对客户登录密码输入次数进行记录，如果客户密码输入次数累计达到一定的值，系统会自动将此客户冻结，防止恶意攻击。 ii.

会话管理（Session）

网上银行系统与应用服务器的会话管理结合，实现多种会话的建立和管理，让不同的会话采用统一的管理机制。以及动态负载均衡状态下的会话数据同步。同时实现会话的超时管理，有效防范避免黑客使用已经失效的会话攻击系统，同时防止垃圾会话数据占用内存，影响系统性能甚至使系统无法工作。

网银系统中登录的每一个客户都会有唯一Session用于

- 21 -

保存客户在运行期内的主要信息，以供客户交易时使用，在客户退出系统时失效；同时，为避免过多的占用系统资源，以及从安全的角度考虑，系统中未使用的Session（因客户操作不当造成）在存在一定时间后会失效。Session管理包括：Session建立，Session超时处理，Session清理。

1.

Session管理机制

系统会在客户登录成功之后为其在应用服务器内存中建立Session，在客户后续的交易请求中，系统不断检查内存中Session的有效性，如果Session失效（没有、超时或被人窜改），则交易请求是非法的，系统不予接受。

2.

Session超时处理

Session超时处理包括两部分：Session时间戳重臵，Session超时检查。

Session时间戳重臵是指在有新的交易请求提交到交易平台时，系统首先检查Session是否超时，如果未超时，则重臵Session的时间戳，继续后续操作；否则，执行Session超时处理，向客户返回超时信息。

Session超时检查是指为防止垃圾Session的在内存中堆积而占用系统资源，系统通过后台线程定时检查超时Session，并将其从内存中清除，从而释放系统资源。

3.

Session实时检查

网上银行系统里各种复杂交易流程都是通过交易步骤

- 22 -

的形式参数化配臵到XML文件中去的。网上银行交易请求发送到交易平台时，在每个交易的配臵定义中，第一个交易步骤必须是Session检查交易步骤，来检验Session有效性。

当交易请求不是直接发送到交易平台，而是通过发送到JSP页面来完成交易时，在响应请求的JSP页面头部也有加入Session检查代码，来检验Session有效性。 iii.

用户角色管理

网上银行系统对使用该系统的各子系统的不同类用户进行统一的角色划分。每一种角色都分配给对应该角色权限的功能组合。登录网上银行的用户都有确定的角色，根据自己所属角色得到权限范围内的网上银行功能菜单。这样就能把属于不同角色的客户权限严格分开。

系统用户以后把交易请求发送到交易平台后，首先进行session校验，在校验通过后即进入权限校验的交易步骤。在该环节主要是根据用户所属角色和功能过滤情况判断该用户是否有操作该交易的权限。 iv.

用户权限设置

个人网银子系统用户需要设定单笔转账限额和每日转账限额，通过设定限额的方式来减小个人转账带来的风险。

对公网银子系统的操作员的用户分为提交人和授权人。提交人有指令提交的权限，授权人没有指令提交的权限，授权人可以对指令进行授权操作。客户可以设臵每笔转账的最

- 23 -

大限额和客户账户一天的最大转账限额。 v.

交易的提交签名和多级批复机制

当有提交转账交易的操作员提交转账交易时，系统通过安全代理，要求用户数字签名，用户输入证书密码后，安全代理对需要签名的数据（服务器端指定）签名后传回服务器。只有通过签名验证的交易才能被确定。 vi.

批量指令的签名提交和多级批复机制

与一般转账交易的处理流程类似，如果采用安全代理服务器，则需要用户自己对批量文件通过所提供的批量签名程序进行签名。签名后，由具有批量提交权限的用户传递到网上银行系统，等待具有批量批复权限的用户进行批复。 vii.

银行内部管理交易的授权

对于银行内部管理交易中的关键交易，提交时需要授权柜员输入授权柜员号和授权密码； viii.

可疑日志查询

银行内部管理的柜员可以登录网上银行内部管理系统，查询可疑的日志，可疑日志的记录类型包括密码连续输入错误导致用户被冻结等。银行可以通过客户服务系统或统一消息发送平台等渠道通知用户。 ix.

关键信息加密存储

系统对所有关键信息（如密码），都以加密成密文进行存储，防止内部柜员读取关键信息明文。

- 24 -

x. 支付指令核押

对于每一笔支付指令，系统都根据指令关键信息生成一

个支付密码串，供后台系统核押，有效防止内部人员伪造支付指令。 xi.

应用访问控制

系统只开放提供用户访问的接口，而且通过接口只能完成系统提供的功能，有效防范黑客请求。 xii.

日志审计

网上银行系统具有完备的日志审计功能。用户每次登录、退出及用户的每次交易都会产生一个完整的审计信息，并进行记录。这样就方便日后的查询、核对等各项工作。

 交互信息的安全设计

i.

交互信息的面临的威胁及相应的安全措施

信息在银行中心内部系统、各成员行系统间交互。可能会经过众多网络，可能在任何环节被截获。

不良柜员截获信息后可能会被阅读，也可能被篡改，被重放。

 为了防止重要信息被阅读，相应的信息应该被加密后传递，最终的信息接收方使用对应密钥解密开后使用。  为了防止整个信息被篡改，会针对信息内所有信息做数字摘要，然后用相应的密钥做签名，产生验证信息。接收方通过对签名信息做验证，可以确定信息是否被篡

- 25 -

改，是否丢失。因此，交互的信息包都要求带验证信息。保证交互信息没有被中间环节篡改，保证信息完成性、真实性

 为了防止信息被重放，做验签的信息包内有编号信息或时间信息。避免重放攻击。

 为了防止泄密，关键信息尽量不存储，需要存储也只能存密文。

各应用系统对交互信息加密、解密、消息来源正确性验证需要产生并相应的密钥和使用相应的算法，这都需要金融加密机提供相应的安全服务。 ii.

密码域加密

目前我行网银系统密码相关部分均采用加密机单独加

- 26 -

密的方式。

网银客户端：使用密码控件进行加密，密码控件在加密前通过加密机服务器提供的加密因子先加密，密码控件加密后送到服务器端；

网银服务器端：通过密码控件提供的API对加密数据进行解密，将解密后的数据提交到加密机平台；

注：

在网银的整个流程里，都看不到客户的密码的明文；保证客户密码的安全。

- 27 -