系统构成
网上银行系统可分为客户端、通信网络和服务器三个层面。 客户端：包括终端和辅助安全设备。其中终端主要为计算机和手机，辅助安全设备包括USB Key、Security Token等。 通信网络：网上银行通过互联网来提供服务，为了保证安全，当前使用HTTPS来保证数据传输过程中不可被窃听。 服务器：网上银行服务器需要高效和安全的处理各种网上银行业务。

用户身份认证
国内的网上银行主要使用电子证书(根据存储方式不同分为存储在浏览器中的文件证书和存储在USB Key中的USB证书)、手机动态密码、密码卡、安全令牌(Security Token)等方式来进行用户身份认证，其中USB证书的安全级别最高。

攻击手段
钓鱼式攻击是最常见的攻击手段，即通过仿造一个和网上银行一样的网站，欺骗用户去输入账号及密码。用户需仔细检查网上银行的网址，从银行的门户网址登陆网上银行，即可防范此类攻击。网上银行应允许用户预留信息来区分钓鱼网站。

跨站脚本攻击一般和钓鱼式攻击混合使用，通过一个看似安全的网址欺骗用户去点击和输入账号及密码。网上银行需要在服务器防范此类攻击。

键盘监听是在客户计算机上植入木马后，窃取用户在浏览器中输入的账号及密码。用户需要保证所用计算机环境的安全；网上银行通过提供密码输入控件和软键盘可以防范此类攻击。

数据篡改是在客户计算机上植入木马后，修改用户转账时向网上银行提交的内容。例如用户提交的是“向张三转账10元”，木马将其修改为“向李四（黑客）转账10元”，但是仍然在页面上显示“向张三转账10元”，用户提交后才会发现转错了。用户需要保证所用计算机环境的安全；网上银行需要在服务器防范此类攻击。