中国银行网上银行系统安全性

10.1.5　中国银行网上银行系统安全性

针对不安全因素，如“假网站”、黑客盗取信用卡账户资料和密码等，中国银行在系统安全、客户资料的信息安全方面采取了一系列措施。他们向客户通报假网站常用的邮件地址、相近域名等，指导客户通过正确途径登录中国银行网上银行。还为网银客户提供短信和E-mail通知等定制服务，加强客户使用网银的安全防范意识。

保证网上银行交易系统的安全是网上银行建设中最重要的问题。为防止交易服务器受到攻击，中国银行采取了相应技术措施：一是设立防火墙，隔离相关网络。二是24小时实时安全监控。采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。三是通过CA认证中心向客户发放数字证书，并将数字证书相关密钥加密存储于电子证书令牌中，辅助以用户密码和电子令牌双重校验，对网上银行用户身份进行严格的认证，确保用户身份的合法性。四是采用对称密码算法及SSL通信保密协议传输交易信息，防止客户在网上传输的敏感信息（如密码、交易指令等）在通信过程中被截获、破译、篡改。

为保证门户网站安全稳定运行，中国银行建立健全网站运营管理制度体系，加大对网站系统的维护力度，提高网站监控水平，及时排除系统故障隐患，确保门户网站安全稳定运行。同时，制定并实施有效的处理突发事件应急预案。通过对假冒和侵权网站的封堵、积极探索主动检测防假冒以及反攻击的有效手段和工具等措施，加强网站安全运营能力和系统机构安全体系建设。

随着中国银行网上银行系统的建设，信息的传递、身份的鉴别等安全问题已成为网上银行运营的关键组成部分。为了有效保证网上银行数据传输的安全性，在充分保证客户及银行自身利益的同时真正实现网上银行的业务操作，中国银行网上银行业务选取了握奇数据的USBKEy产品作为身份认证的数据载体。

握奇数据研发的WatchKEy Pro是基于USB接口的网络安全产品，该产品采用了国际上先进的智能卡技术，支持TimeCOS/PK的全部功能。它使用公共密钥加密技术，具有高度的安全性，同时具有小巧便携的特点，让客户可以安全的访问网上银行的各项服务。

安全性作为网络银行赖以生存和得以发展的基础，受到国内各家银行的高度重视，许多银行都在采取使用国内自行开发的具有非对称密钥算法的智能IC卡或电子钥匙，配合PKI技术和业务手段来确保网上银行的安全。银行建立的认证机构CA所颁发的客户安全数字证书在网上银行金融服务中有着举足轻重的作用。它就像一张网银客户在安全网络中通行所需的“电子居民身份证”，而WatchKEy Pro则是存放“电子身份证”的较理想载体。

中国银行网上银行业务建立在一个开放的网络环境上，维护客户账户信息的机密性及安全性是银行对客户的首要承诺。其网上银行是通过公钥安全体系保证所有的网上数据都经过加密传输，不会被非法窃取。

1.证书量和发证速度

CA认证中心具备支持目前颁发有效企业客户证书10万张、远期40万张的能力，个人证书可支持1000万张。在当前主流硬件平台上，CA认证中心颁发证书的有效并发量不低于100张/秒。同时颁发单张证书的时间不多于10秒/张。

2.密钥产生与存储

CA认证中心能够实现在客户端产生密钥，并加密存储，PIN保护（客户可自主修改）。对企业客户，证书及其私钥存储在USBKEy/IC卡；对于个人客户，其存储介质为磁盘（硬盘或软盘）。

3.证书颁发方式

CA认证中心提供两种证书颁发方式：一是银行将参考号和授权码打印在密码信封中发给客户，由客户自己下载证书并存储在USBKEy/IC卡中；二是在应急方式下，银行制作好证书（USBKEy/IC卡）并打印好密码信封送给客户。这两种方式应提供给分行对不同的客户进行选择。