文档介绍：摘要
随着中国加入 WTO，外国银行进入中国市场，国内银行的业务越来越多的移植到网络银行上，因此网上银行的需求日益增加。但是 Internet 的开放性特点，使网上银行面临种种风险，可以说安全性是网上银行最大的考核要素。所以一套完善的安全的信息，接收方则不能否认他所收到的信息。
回页首
安全系统架构
PPDRR 安全模型
构建完善的安全系统解决方案，安全模型的选择至关重要。PDR 模型是由 ISS 公司最早提出的入侵检测的一种模型。PDR 是防护（Protection）、检测（Detection）和响应（Response）的缩写。三者构成了一个首尾相接的环，也即“防护 -> 检测 -> 响应 -> 防护”的一个循环。PDR 模型有很多变体，在银行网络中最著名的是 PPDRR 模型。增加了策略 (Policy) 和恢复 (Recovery)。PPDRR 模型是典型的、公认的安全模型。它是一种动态的、自适应的安全模型，可适应安全风险和安全需求的不断变化，提供持续的安全保障。
PPDRR 模型包括策略 (Policy)、防护 (Protection)、检测 (Detection)、响应 (Response) 和恢复 (Recovery)5 个主要部分。防护、检测、响应和恢复构成一个完整的、动态的安全循环，在 PPDRR 模型安全策略的指导下共同实现安全保障，如下图所示。
图 1. PPDRR 模型 
安全系统网络拓扑图
以 PPDRR 安全模型为基础设计的网银安全系统网络拓扑图如下图所示：
图 2. 网络拓扑图 
通过拓扑图可以看出，整个网络系统通过三道防火墙划分为四个逻辑区域。按由外到内的顺序部署。最外层为是 Internet 区（非授信区），为网银用户客户端接入区域；第一道防火墙和第二道防火墙之间是隔离区（DMZ），在此区域中部署 RA 服务器以及网银系统的 Web 服务器等其它第三方应用系统；第二道防火墙和第三道防火墙之间是应用区，是网银系统的应用 /DB 区，在此区域中部署网银系统的应用服务器和数据库服务器；第三道防火墙之后为银行的核心系统、中间业务平台等第三方业务系统。在隔离区和应用区的 Web 服务器，应用服务器和数据库服务器都会有相应的双机热备方案。方案的细节会在下文详细介绍。
安全策略
安全策略是整个安全体系的基础。构建安全系统需要工程师来操作，这就需要建立健全的规章制度和操作规范，使保护、检测、响应和恢复环节行之有效。
一般的安全系统需要以下规章制度和操作规范：设备管理制度，机房管理制度，系统安全管理守则和明细，网络安全管理守则和明细，应用安全管理守则和明细，应急响应计划，灾难恢复计划等。
安全防护方案
防护方案主要包括以下几个方面：
身份认证系统
网上银行应用系统中的安全防护的第一道防线是身份认证。身份认证的技术有很多，可以分为两类：软件认证和硬件认证。其中软件认证多为用户自己知道的秘密信息，譬如用户名和密码。硬件认证包括 IC 卡，基于生物学信息的身份认证，比如指纹识别，虹膜识别，面部识别等。
单纯的软件认证已不能满足网络银行系统的身份认证需求，所以网络银行多采用软硬件结合的双因子认证方式作为身份认证的辅助解决方案。其中流行的双因子认证多为动态密码：
USB Key 认证
USB Key 内置智能卡芯片，可以存储用户的密钥或数字证书。一般的 USB Key 都以 CA 认证为核心，采用双证书（加密证书 / 签名证书）、双中心（认证中心、密钥中心）机制来做身份认证。通常还有个启动 PIN 码。提供对 USB Key 持有人的认证。这样不怕 USB Key 被别人盗用。
动态口令
动态口令由专有的动态令牌定时生成，一般 60 秒随机更新一次。用户每次登陆输入完静态密码后直接输入动态口令牌显示窗口显示的 6 位密码即可。
刮刮卡
刮刮卡是用一次性口令技术事先算出一次性口令的子集或全集，将这些口令印制在一张卡片上。刮刮卡密码本身为静态的数字，但是每次登陆网银系统的时候，系统会随机抽取一组坐标组合，由这组坐标组合对应的数字组合成动态密码。
动态短信
动态短信是服务器端通过通信服务商向用户的手机上发送一次性密码短信，用户也可以通过拨打相应的客服电话来获得一次性密码。对客户来说几乎没有投入成本，安全性强。
上面介绍的这四种身份认证的辅助解决方案可以在相当大的程度上杜绝目前流行的专门盗取客户的账号和密码的“盗号木马”的危害。
权限控制系统
权限控制包括网络的访问权限控制，设备的访问权限控制，服务器的远程访问权限控制（包括页面服务器、应用服务器、数据库服务器等），网银系统的权限控制。其中企业网银和后台管理系统涉及到多人在同一系统内的操作，权限控制尤其重要。
边界控制