【IT168 专稿】    8月底，各大媒体上关于“超级网银”试点运行的消息铺天盖地，关于新一代“超级网银”的便捷性、安全性充满期待。但事实上，“超级网银”并非针对个人用户的网上跨行支付平台。在不久前召开的“中国国际金融展”上，中国人民银行支付结算司支付系统管理处副处长程世刚对此进行了详细解释：最近，中央银行建设上线第二代网上跨行支付清算系统，媒体称其为超级网银，这是一个误解。中央银行建设的这一跨行清算平台，是直接面向银行、金融机构和市场来提供金融服务的，不直接面向社会公众提供服务。网上跨行支付清算系统是为了适应新兴的网上支付、电子支付业务发展而搭建的一个网上跨行清算平台，这个平台的定位与大、小额支付系统是一样的，并非普通的网银服务。

    不管“超级网银”的服务对象是谁，我们能够看到的是：网上支付、电子支付等新兴支付工具，以其光速的发展大有对传统支付工具取而代之的势头。2008年，中国网上银行交易额接近300万亿，相当于GDP的10倍。

    但网上银行的安全性成为重要隐患，网上银行成为是黑客们的自动取款机：

    · 美国总统奥巴马曾公开在电视媒体上讲话，每年由于黑客的恶意攻击，美国每年因此导致损失1000亿美金；

    · 2008年04，CNCERT/CC国家互联网应急中心监测到中国大陆被篡改网站总数达61228个；

    · 据最近的美国计算机安全协会(CSI)/美国联邦调查局(FBI)的研究表明，接受调查的公司中有52%的公司系统遭受过外部入侵，事实上他们中的98%都装有防火墙。

    · 2009年央视315晚会曝光一位名为“顶狐”的病毒作者通过自编的“顶狐结巴”木马疯狂盗取网银帐户，并在网上以400元/G的价格打包出售。

    根据易观国际2008的调研（如下所示），用户开办网上银行业务关注的因素中“网银的安全性能”成为最重要的考虑因素。

    本文将从桌面、传输层、网络层、Web应用层和企业SOA整合等多个层次扫描网上银行安全全景，包括每个层次可能遇到的安全问题，以及可选的解决方法。

    一、桌面和网络层安全

    桌面和网络层安全包括各种端口攻击、文件被篡改等各种攻击，通常通过下面几种方式进行保护：

    1) 防火墙：

    1. 防火墙处于网关的位置，是Web应用安全大门，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

    2. 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

    3. 防火墙可以处理如：UDP、FTP、DNS、端口攻击。

    2) IDS (Instruction Detection System)

    1. 如果把放火防火墙比作大门警卫的话，IDS就是网络中不间断的摄像机。

    2. IDS通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是否含有攻击的企图，通过各种手段向管理员报警。

    3. IDS不但可以发现从外部的攻击，也可以发现内部的恶意行为。

    4. IDS是网络安全的第二道闸门，是防火墙的必要补充，构成完整的网络安全解决方案。

    IDS三种机制包括：

    ·模式匹配：定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现，此方法非常类似杀毒软件;

    ·基于异常：先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验等，然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。

    ·完整性：关注文件或对象是否被篡改，主要根据文件和目录的内容及属性进行判断，这种检测方法在发现被更改和被植入特洛伊木马的应用程序方面特别有效。

    3) IPS (Instruction Protection System)

    1. IDS旁路侦听模式的弊端，IPS的概念被提了出来----一种采用在线模式的，可以对所有攻击采取适时行动的入侵防御系统。

    2. IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。

    3. 由于IPS采用了在线模式，因此其本身对于网络的性能影响要比IDS大很多。

    4. 由于IPS会对攻击采取行动，因此误报带来的灾难显然要比IDS产品大。