保证银行内部服务器及网络安全，首先需要强力防火墙。

　　和银行打交道，大多数消费者的第一反应就是个人财产和个人信息是否百分百安全，不遭遇钓鱼网站和黑客?对于这个诉求，银行到底做了哪些措施来保证内部系统和外部交易的安全?与此同时，目前银行理财大行其道，但也不再是高枕无忧，收益萎缩乃至于不保本的风险时常伴随，存单变保单的“被误导”现象也常有发生。那么，我们该如何明明白白消费和理财?银行方面又有什么方法为客户做贴身引导?

　　Q现在钓鱼网站和网络病毒到处泛滥，很多理财市民很容易中招。在这种情况下，银行机构如何“洁身自好”，保证银行内部服务器和网络的安全?

　　———孙勇，咨询公司白领，34岁

　　A保证银行内部服务器及网络安全，首先需要强力防火墙。这是布置在最外层的安全屏障，把外部网络和网银服务器隔离开来，把攻击挡在外面。同时，要有严格的访问控制策略：只让身份确定的朋友进屋，其它来路不明的一律不准访问。我们应用了数字证书技术，在浏览器与服务器间实现双方的身份认证。也就是说凡是朋友都有安全可靠并且唯一识别的身份证，这种身份证黑客不能盗取，因此可以安全地确定朋友的身份。

　　这样还不够，我们有实时入侵检测系统，就是不停地检测是否有人正在攻击网银系统，如果有，那他是从哪里来的，干了些什么，这些全都及时通报并且记录在案，随时进行反击。

　　这个系统本身就是一部安全机器，比如说他具有信息分隔、强行访问控制、最小权限、可信路径、审计、实时警告、口令管理和登录限制等特点，并在其上进行了严格的服务和权限控制，能够有效地将病毒及黑客隔离在外。交行所有的关键服务器都安装了这种系统。

　　同时，交行还设置了多层异构防火墙。我们知道，打仗讲究多层次立体布防，一线突破了，还有二线三线。网银也是一样，用防火墙进一步分隔网络服务设备和数据系统，即使网络服务设备出现问题，也不会影响到后面的阵地。而且防火墙结构是互不相同的。攻破第一层的法子不适用于第二三层。

　　即使发生了类似于“9·11”的事故，或者地震、海啸之类的，客户的数据信息也不会丢失，因为网银对数据进行了实时的备份，使用备份的数据和原来的数据没有任何差别。

　　———交通银行深圳分行信息技术相关负责人

　　数字证书当“保镖”，保护个人信息

　　Q我经常在网络上进行转账、查询和交易，有时候涉及的金额会比较大，银行在保障自身系统的防火墙的同时，到底有什么措施来防止黑客，为客户个人信息做保护?

　　———王明，贸易公司高管，38岁

　　A我们对客户的安全保护措施同样非常牢固。交行具有可靠的客户端安全措施(数字证书)，交行数字证书就是交行网银客户的身份证，保存在硬件介质中。

　　这个网银数字证书有三大作用。身份认证：登陆网银时依靠数字证书进行安全的身份认证，目地就是实现严格的访问控制机制，确定的身份，任何其他形式的陌生人一律不要进来。这实际上是个双向的过程，数字证书同时也确认了网银的真实性;网上安全保镖：数字证书确保客户的网上信息传输安全，防止其他人对客户信息的窃取或者篡改;亲笔签名：使用数字证书在网银上进行交易等同于手写签名，具有法律效力。

　　那么，交行硬件数字证书也特点显著：首先是key不可复制，不可导出，具有唯一性。

　　同时，目前有一种流行的做法是把数字证书下载到电脑的硬盘里，这样似乎比较方便。然而留在硬盘里的东西存在着被复制的可能，就不能确保唯一性。根据我国的《电子签名法》，就不能认定为可靠的签名。所以交行采取的是存储在硬件中的数字证书，不可复制，不可导出，具有唯一性。根据我国的《电子签名法》，能认定为可靠的签名，就和手写签名一样具有法律效力。

　　值得一提的是，所有签名和加密操作都在硬件介质中进行。交行网银数字证书贮存在USBkey中。USBkey相当于微型的计算机，其中带有自己的系统，所有签名和加密操作都在这台微型的计算机中进行。而且其中的接口体系结构都是安全厂商专有，非通用的，不向外公布，黑客不可能了解，也就很难攻击。

　　———交通银行深圳分行信息技术相关负责人

(责任编辑：)