问题 问答题

FZ软件公司承接了某银行网上银行业务软件系统的开发任务。该银行所开通的网上银行业务中,网上贷款业务流程如下。
(1)客户在网上填写姓名、电子邮件地址、贷款类型、贷款金额、身份证号和通信地址等信息,提交贷款申请。
(2)在指定的时间内,客户会收到银行的电子邮件,通知贷款是否被批准。
(3)银行根据客户提交的信息,创建贷款申请任务,创建工作由运行在主机上的CICS(客户信息控制系统)完成,同时需要从第三方获得客户的信用审查信息。
(4)由信贷员对该项贷款申请业务进行审批,然后由风险检查系统评估该项贷款的风险程度,风险大的贷款申请将被拒绝。
(5)无论是批准或者拒绝,结果都会通过邮件系统递交给客户。对于拒绝的贷款申请,还要通知贷款申请任务进行有关操作。
(6)除了信贷员审批环节需要人机交互外,业务是自动进行的。

上述网上贷款系统能够实际应用的基本前提之一是满足金融领域的安全性需求。该系统必须满足哪些安全方面的需求请用200字以内的文字简要说明。

答案

参考答案:①验证(系统有关角色的身份识别)。
②签名(创建及验证类似手写签名的电子签名)。
③授权(如信贷员是否具有审批权)。
④完整性(发送的数据与接收到的数据是否一致)。
⑤机密性(与业务无关的人员不能读取事务中的数据)。
⑥审查或审计(把所有事务记录下来,以便事后验证)。
⑦不可否认性或防抵赖(由第三方求证事务中发送及收到的是否为同一数据)。
⑧威胁预防。

解析:在进行SOA的集成时,用户身份识别、数据完整性等安全问题是需要重点解决的问题。该网上贷款系统必须满足以下安全方面的需求。
(1)利用用户身份验证技术对该网上贷款系统的有关角色进行身份识别。
(2)利用公钥密钥机制等技术创建及验证类似手写签名的电子签名。
(3)采用授权机制审查系统中信贷员是否具有相应的审批权。
(4)利用数据完整性机制验证发送的数据与接收到的数据是否一致。
(5)采用机密性机制使与业务无关的人员不能读取事务中的数据。
(6)采用审查机制(例如,日志记录)把所有事务记录下来,以便事后验证。
(7)利用防否认机制,由第三方求证事务中发送及收到的是否是同一数据。
(8)利用威胁预防机制,防止间谍程序登录和攻击系统。

解答题
多项选择题