网上银行安全性(精选11篇)
网上银行安全性 第1篇
关键词:银行,网上支付平台,安全性
随着网络的普及和经济的发展,网上支付平台获得了迅速的发展和进步。通常情况下来说,网上支付的类型多种多样,主要有网上转账、网上购物以及网上炒股等。众多的网上支付行为从具体的支付形式上可以分为两大类,一类是直接支付,比如网上银行;另一类是间接支付,其主要的表现形式就是第三方独立支付,比如支付宝[1]。无论是哪一种支付类型和形式,都存在着一定的安全隐患,因此要对支付风险进行深入分析和研究,然后在此基础上采取积极的措施,提高银行网上支付平台安全性,造福广大人民。
1 银行网上支付平台的风险分析
通常情况下来说,直接支付是付款人通过网络将资金直接转拨给他人,只需要付款和收款两个环节就可以完成。间接支付是付款人通过网络将资金转拨给第三方支付公司,然后由其进行担保和代管,在交易成功后再由第三方支付公司转拨给收款人,因此间接支付需要付款、代保管和收款三个环节才能完成。但是无论哪一种支付方式,绝大部分的网上支付行为都需要依赖于银行系统的支持,在这种情况下来说,网上银行的安全性称为所有网上支付行为的关键。接下来从系统风险和客户风险两个角度对银行网上支付平台的风险进行深入分析。
1.1 银行网上支付平台的系统风险分析
一般情况下来说,银行网上支付平台的系统风险主要有实体安全风险以及技术安全风险两个重要的方面[2]。具体来讲,首先实体安全风险主要是指环境风险、设备风险以及实际经营的风险等。银行系统有非常严格和完善的准入机制以及管理机制,因此经营风险得到了良好的控制,但是网上支付平台的监管措施并不是十分完善,有可能发生非法挪用和侵占资金的不良后果。环境风险能够直接造成相关设备系统和数据的损害,例如发生严重火灾时,很多核心数据将受到致命威胁,这也是一种较大的风险。其次,技术安全风险主要是数据信息、操作系统、网络安全以及网站安全等方面存在的风险。网络自身所具有的开放性会使得网络攻击可以随便进行,如果网站受到严重的不良攻击就会出现瘫痪的现象,还有可能被盗取核心的数据和机密,这样就会对银行网上支付平台的系统的安全性造成十分严重的威胁。
1.2 银行网上支付平台的客户风险分析
通常情况下来说,银行网上支付平台的客户风险主要是由于不良的欺诈行为,他们可能会利用网络病毒以及木马对银行网上支付平台的安全造成严重的威胁[3]。比如很多不良人员会利用网络病毒以及木马盗用机密资料,然后将这些资料信息出售给其他人,从而导致银行客户的资金遭受严重损失。目前银行网上支付平台通过一些技术手段提高了支付的安全性,但是这种技术手段只能对已知的风险进行预防和应对,如果不良人员通过漏洞绕过银行网上支付平台的防护手段,还是会对其造成重大威胁。因此,银行网上支付平台的客户风险值得引起人们的特别注意。
2 提高银行网上支付平台安全性的有效措施
鉴于银行网上支付平台存在一定的安全隐患,要积极采取有效的措施,保护这种新生事物,使银行网上支付平台为方面人们的生活提供更大的便利。该文认为提高银行网上支付平台安全性的有效措施主要有以下几个方面。
2.1 完善相关的法律法规,规范银行网上支付行为
完善相关的法律法规,规范银行网上支付行为是提高银行网上支付平台安全性的保障性措施。首先要加强网上支付的法律法规建设,尽快出台网上支付的相关法律法规,明确相关主体的法律责任,引导正确的银行网上支付行为。其次,要进一步提高对银行网上支付行为的监管力度,加强对银行网上支付行为的风险的控制与应对,积极贯彻落实相应的制度体系,保证银行网上支付行为的安全。第三,要依据相关的法律法规,对进行不良网络攻击以及利用网络欺诈别人钱财以及盗用他人信息和侵占他人资金的违法行为进行严厉打击,督促广大网民能诚信守法,塑造一个良好的网络环境,为提高提高银行网上支付平台安全性建设良好的环境。
2.2 利用技术手段促进银行网上支付平台的发展和完善
通常情况下来说,利用技术手段促进银行网上支付平台的发展和完善是提高银行网上支付平台安全性的关键性措施。首先,要促进相关系统的发展和完善,保证银行网上支付平台能够有一个稳定安全的系统支撑,为此要加强日常管理,对系统进行检查和维护,及时处理存在的风险,防止风险扩散,同时还要做好备份工作,避免核心数据的丢失。其次,要积极加强创新,采用高科技手段促进银行网上支付平台的不断更新和完善,避免产生较大的漏洞。具体来说可以利用客户端控件对威胁银行网上支付的不良行为进行报警,避免远程盗用信息和资金行为的发生,同时还可以促进客户端的完善,避免客户经常输入重要资料,提高安全性。第三,要采取技术措施加强对交易环节的监测,同时注意对交易记录进行实时准确保存,这样可以随时进行分析和追溯,当发现不良交易行为时,及时进行处理。
2.3 提高宣传力度不断增强客户自身的安全意识
为了进一步提高银行网上支付平台的安全性,要提高宣传力度不断增强客户自身的安全意识。具体来说,应当对客户进行风险识别、规范操作流程以及养成良好安全习惯的宣传,使客户在操作银行网上支付平台的过程中提高安全性。首先,客户应当使用安全性比较高的计算机进行银行网上支付行为,同时要注意及时安全杀毒软件,做好计算机漏洞的修补,不要打开一些不明来源的网页,避免病毒和木马侵入计算机。其次,客户应当及时收藏网上银行的官方网站,在登录网上银行时仔细核对自己的身份信息,对于要求提供个人信息的电子邮件以及短信等提高警觉,不要随意泄漏自己身份信息。第三,客户应当仔细掌握银行网上支付的一般流程,对于要求提前付款以及第三方付款的行为提高防范意识,避免上当受骗。第四,客户还应当;牢记自己的网上银行帐号和密码,同时还要注意提高密码的安全性,不要将密码设置的过于简单。此外,客户还应当注意加强对动态密码口令以及短信服务的利用,增强银行网上支付行为的安全性。
3 结语
综上所述,随着时代的发展和科技的进步,银行网上支付平台越来越受到人们的青睐。众多的网上支付行为从具体的支付形式上可以分为直接支付和间接支付两大类,无论是哪一种支付类型和形式,都存在着一定的安全隐患,其面临的风险可以分为系统风险和客户风险两大类。为了进一步提高银行网上支付平台的安全性,应当对银行网上支付平台可能面临的风险进行深入地分析和研究,然后在此基础上完善相关的法律法规,规范银行网上支付行为;利用技术手段促进银行网上支付平台的发展和完善;提高宣传力度不断增强客户自身的安全意识,只有这样才能真正保证银行网上支付平台的安全与稳定。
参考文献
[1]田小萍,陈金焘,皇甫大鹏.基于校园卡的网上支付平台的研究和应用[J].计算机技术与发展,2011(9):167-170.
[2]宋家红.网上银行与第三方支付平台分析比较[J].科技信息,2010(14):455.
中国网上银行系统安全性分析 第2篇
前言:本文是对于一般性质的网上银行系统安全性的技术分析文章,对于目前中国国内具体银行的安全性不具有评测功能,也不对任何第三方评测数据负责。以下是正文。
网络银行是一个比较新的概念,中国的网络银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充,银行增加一些软、硬件设备,使得用户可以通过家用电脑连接银行系统,进行各种普通的银行业务,以弥补传统银行业务中营业网点少和营业时间短的不足。中国的网上银行起步比较早的是深圳招商银行,他们开发过第一个面向最终用户的网银系统。招行的网络银行有大众版和专业版之分。随着网络的大规模普及,中国各个银行也都逐步开启自己的网银系统,有些银行的系统仅局限在账户信息查询方面,有些则包含转账付款等功能,还有的已经涉及贷款、投资等方面的内容。随着网银的普及,网银的安全性成为整个系统中最为至关重要的部分了。
今年以来,大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通过窃取用户的卡号和密码,大量盗窃资金和冒用消费,因此虽然网银对于银行和用户都有不少好处,但是发生这些情况使得银行在推广网银面临非常巨大的风险,提高网银的安全性也是刻不容缓。
根据一般的报道分析,不法分子窃取用户信息主要通过木马程序来进行,比如,黑客首先在用户电脑系统注入木马程序后,驻留在中招电脑系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给黑客,他们再据此进行反读取以破译,钱便被黑走了。目前的网银系统的主要问题是,用户安全性过于依赖用户本身的素质,对于安全观念较差的用户,其密码很容易被盗取,因此这种“信任用户”的安全模式设计是很不合理的。用户的电脑可能安装木马程序,用户的一举一动都可能被监听和窃取,安全的网银系统应该设计成为这样的:假设网银的管理员是黑客,并在最终用户电脑安装木马并且可以监听用户的一切键盘鼠标操作,网银的管理员还可以进行系统管理和操作,但是网银的管理员依旧无法通过网银系统来窃取最终用户的资金。如果能做到这一点,那么这个网银系统就算是比较安全了。
网上银行安全有高招 第3篇
“十一”长假就在眼前,如果不想去外面“轧热闹”,那么在家里上上网,通过网络买点自己心仪的小东西,或者通过网银炒炒外汇、黄金,也不失为一种休闲理财好方式。网上银行因其方便快捷的特性,已吸引了越来越多的人成为它的忠实拥趸,不过,网上理财安全为先,近期专家提醒,网络金融安全一定要自己把握好。
个人卡号和密码要看牢
最近,王先生突然发现,自己股票的银行资金账户上少了5600元,咨询电话银行客服热线,业务代表告知,该5600元系为手机充值话费支出。对此,王先生更感莫名其妙,他自己不用手机,更不会替别人手机充值。经过客服中心进一步调查,王先生得知,原来是有人窃取了自己的银行卡号和电话银行密码,从而冒用他的身份,通过异地固定电话拨打电话银行盗取其资金为众多手机号码进行了话费充值。银行提醒王先生向警方报案,警方根据银行提供的线索,最终抓到了犯罪嫌疑人。
可见,若是没看牢自己的卡号、密码,让人冒用了自己的电子银行使用者身份,那么,就会让资金蒙受风险。在此,专家提醒,网上银行的用户应当注意千万不要将自己的银行卡号和电子银行密码等重要信息告诉包括银行人员在内的任何人,也不要在计算机、电话、手机或其他电子设备上记录或保留,通过手机或具有存储和显示输入号码功能的电话办理电子银行业务后,也应立即清除所输入的密码和账号等信息。此外,还要避免使用与本人明显相关的信息,如姓名、生日、常用电话号码、身份证号码等,或具有明显规律性的字符,如重复或连续的数字作为密码,以防止密码被轻易破解,并做到经常更换密码。
为网上银行添个护身符
假如用户还是不放心,也可以为自己的网上银行装个安全工具,让电子金融之旅走得更顺更畅。
最放心的方法是向银行申请一个客户证书,比如现在各家银行都为网银推出了“u盾”。作为专门用于网上银行的安全通行证,客户有关信息一经下载到u盾内,即具有唯一性和不可复制性,网上所有涉及账户资金的对外转移都必须事先通过u盾进行唯一认证,因此可以有效防范包括“假网站”和“木马”病毒在内的各类可能的风险。像工行的用户只需凭网银注册卡、身份证件到网点申请,即可获得u盾,并通过网上银行签订个人理财协议,享受“金融@家”全部的个人网上银行服务。
假如要考虑到成本因素,也可为自己申请一张电子口令卡。电子口令卡相当于一种动态的电子银行密码,口令卡上以矩阵的形式印有若干字符串,用户在使用网上银行或电话银行进行对外转账、B2C购物、缴费等支付交易时,电子银行系统就会随机给出一组口令卡坐标,可根据坐标从卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时,用户才能完成相关交易。这种口令组合是动态变化的,使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通过窃取客户密码盗窃资金,保障电子银行的安全。
我国网上银行安全问题及风险防范 第4篇
一、网上银行安全分析
(一) 互联网的安全问题
1. 开放式协议风险。
由于互联网是采用开放式协议的公共网络, 信息加密技术不高, 使得客户密码、客户基本资料等敏感信息在传输过程中容易被截获、破译、篡改。
2. 网上交易风险。
网上交易不是面对面的, 客户可以随时随地发起交易请求。这一方面加大了银行识别客户身份, 控制和规范客户行为的难度;另一方面, 网上交易也使攻击者更具有隐蔽性, 难以追踪相关责任人。
3. 服务器风险。
网上银行交易的服务器为互联网的公开站点, 因此也让黑客有了可乘之机。
4. 网络“钓鱼”风险。
网络“钓鱼”是目前国内外不法分子常用的欺骗手段。所谓网络“钓鱼”是指入侵者通过处心积虑的技术手段伪造出一些以假乱真的网站, 并诱惑受害者根据指定方法操作E-mail等方式, 使得受害者“自愿”交出重要信息或窃取用户重要信息的一种手段 (如银行账户密码) 。
(二) 系统开发的安全问题
1. 技术风险。
网上银行系统使用了大量新技术、新产品, 而这些新技术、新产品本身就可能存在安全漏洞和安全缺陷。
2. 人员流动风险。
电子商务领域过度频繁的人员流动, 增加了系统源码控制和设计机密性控制的难度, 成为网上银行的安全隐患。
(三) 新业务品种的安全问题
对银行而言, 网上银行是全新的系统。与传统相对封闭的系统相比, 它既要求运营人员具有较高的IT专业知识和安全防范意识, 又需要采用全新的风险管理方法。
二、网上银行安全策略
网上银行交易系统的安全关系到银行内部整个金融网的安全, 这是网上银行建设中最重要的问题, 也是银行保证客户资金安全的最根本的考虑。
根据网上银行采用的从客户端提交交易申请, 在局端受理后进行统一处理这一交易过程, 我们可以从局端和客户端两方面出发去考虑网上银行的安全。
(一) 局端的安全需求
1. 合规性需求。
指银行在建设和更新网上银行系统时的各种操作都需要符合国家和管理机关的相关政策、法规和规范。
2. 安全保障需求。
指需要保证网上银行的数据可靠、网上银行的系统可用, 并且能提升银行业务的效率, 通过使用安全手段和相应的安全管理策略, 进行全面的信息安全管理体系建设, 从而达到网银安全的目的, 其具体做法如下。
(1) 设立防火墙, 隔离相关网络。一般采用多重防火墙方案。一方面分隔互联网与交易服务器, 防止互联网用户的非法入侵。另一方面用于交易服务器与银行内部网的分隔, 以有效保护银行内部网, 同时防止内部网对交易服务器的入侵。
(2) 采用安全Web/VV (Virtual Vault) 服务器模式。VV服务器可与客户端建立SSL (Security Sockets Layer) 安全套接层协议连接, 并校验客户端证书的合法性。作为网上银行的Web访问服务器和交易服务器, VV服务器可将内部网络和外部网络分开, 当外部区域接收到用户的请求后, 它会进行一系列安全检查, 保证只有合法用户的交易请求才能通过特定的代理程序送至应用服务器进行后续处理。
(3) 24小时实时安全监控。采用ISS网络动态监控产品, 随时监控非法访问和攻击企图, 运用ISS漏洞扫描和评估系统, 对网上银行主机和网络设备存在的安全漏洞进行定期检查, 及时发现漏洞和安全隐患。
(4) 安装终端管理系统。对银行内部客户端进行保护与安全管理。
(5) 安装安全审计系统。统计网内用户各种各样的行为, 以确认是否有违反安全规定的操作与活动。
3. 第三方认证需求。
如ISO 27001安全管理体系认证等, 这些第三方认证日益成为同业竞争的需要。
(二) 网上银行客户端安全手段
目前, 网上银行客户端的安全手段基本上集中在客户端认证安全方面, 其做法是通过认证手段确认网上银行客户端上的操作用户是否为合法用户。网上银行客户端的安全手段主要包括以下三种。
1. 早期出现的账号、口令和证书等认证方式。
它的易用性非常好, 普及率高, 但是安全性比较差, 因为其采用的传统网页输入控件方式很容易被恶意程序捕获用户输入的信息。
2. USB Key认证。
USB Key采用双钥 (公钥) 加密的认证模式, 它内置单片机或智能卡芯片, 有一定的存储空间, 可以存储用户的私钥以及数字证书, 利用USB Key内置的公钥算法实现对用户身份的认证。由于用户私钥保存在密码锁中, 理论上使用任何方式都无法读取, 因此, 保证了用户认证的安全性。
3. 使用口令卡。
它是USB Key相对廉价的替代品, 也可以进行比较安全的身份验证。
当然, 仅仅考虑安全认证还不能完全解决所有的安全隐患, 黑客有可能进行底层消息的篡改。而且, 目前网上银行系统的主要问题是, 网上银行安全性过于依赖用户本身的素质, 安全性观念较差的用户, 其密码很容易被盗取。作为网上银行用户也应变消极防御为主动出击, 积极采取一些具体的安全操作手段确保网上银行安全。如在网上银行客户端安全控件里, 使用Active X取代传统网页控件, 以防止发生恶意程序捕获普通键盘事件, 获取用户信息;通过附加输入随机验证码来预防恶意程序的暴力攻击;登录正确的银行网站, 尽量避免在通过“超链接”进入的银行系统上进行操作, 以防止钓鱼网站和恶意代码、病毒的植入;及时清除在公共场所上网留下的信息, 以防一些地方性支付平台对个人信息的泄露;安装正版杀毒软件并对病毒库及时升级;保护好密码, 在使用过程中, 网上银行账号密码和银行卡的账号密码一定不要设置成相同的;正确使用数字证书, 数字证书内置在电脑的, 要保护好电脑安全, USB Key用户只在交易时接入USB Key, 输入pin码完成交易后, 立即将USB Key取走。
三、网上银行安全发展展望
(一) 个人用户、银行和安全公司三者之间应积极合作。
个人用户的安全水平和安全意识需要提高, 从而利用银行和安全公司提供的安全手段, 做好整体安全体系的构建;银行应提供完备的安全防范手册, 尽量在其网页的醒目位置对用户如何安全使用网上银行给予明确提示, 同时加强对客户安全使用网上银行的培训和教育;安全公司需要对个人用户和银行提供长期的技术支持。
(二) 网上银行的安全需要一个整体的社会环境。
应充分将法律法规、个人用户的安全意识和安全基本技能结合起来, 从而达到网上银行全面安全的目的。国家和政府需要制订合理的法律法规, 在IT举证和法规方面进行加强。如果从IT的取证、定罪到制裁的过程有一套很完整、很合理的法律法规去保证, 就能对攻击网上银行的黑客根据确凿的证据进行定罪, 并进行合理的惩罚, 这将对网上银行犯罪起到震慑作用, 从而更好地保障网上银行安全。
网上银行的安全措施 第5篇
从现在的一些犯罪案件可以看到,不法分子可以通过假电子邮件、假网站、木马(特洛伊)软件,以及其他蓄意诈骗程序等,盗取用户的名称和密码。因此除了网上银行用户名称和密码外,需要更多的保护措施避免网上银行诈骗的圈套。
很多银行的网上银行分为普通版和专业版,一般来说普通版是单一身份认证,所以只提供简单的账户查询功能和受限制的同一客户账户间转帐功能;只有采取了双重认证,用户可以通过使用动态密码验证、浏览器证书或客户证书等多种安全认证方式后,才能通过网上银行进行各种转帐、支付等操作,这样就大大加强了网上银行的安全性除上述安全措施外,部分商业银行还提供电脑数字软键盘密码输入方式、即时短信通知卡交易信息等服务,这些都是为保护您银行账户作出的努力。现有的双重认证方式:
浏览器证书
目前国内商业银行采用最为普遍的双重认证方式之一。可存储于浏览器中,可任意备份证书和私钥,用户端不需要安装驱动程序,而且没有任何成本。这种认证方式适合通过自用电脑登录网上银行的用户。
U盾
即USB-Key,是目前国内商业银行采用最为普遍的双重认证方式之一。是可以随身携带的网上银行物理“身份证”和“安全钥匙”。客户申请U盾后,所有涉及资金对外转移的网银操作,都必须使用U盾才能完成。客户只要保证U盾、U盾密码、账号、登录密码和支付密码不被同一个人窃取,任何病毒、木马、黑客、假网站的网络诈骗方式都无法窃取客户资金。但与浏览器证书相比,成本相对较高。
智能身份证
香港地区的智能身份证已含有内置的安全证书,进行网上银行交易时可有效确认客户身份,但智能身份证中的安全证书必须使用特殊设备读取,在使用时尚有一定程度的不便。
手机短信密码
客户在发出交易需求后,银行用手机短信向客户发出一次性密码,只有在输入银行卡密码和一次性密码后,整个交易才能被确认并完成。
保安编码器
银行发给客户一个拇指大小的保安编码器。每个编码器都有独特编号,与银行卡号关联。编码器有内置时钟,每次按下按钮,会根据编码器编号和交易时间生成6位数的密码。客户必须同时输入银行卡密码和编码器密码,才能获得身份认证。由于编码器密码与交易时间挂钩,所以每次生成的密码都不一样,而且每个密码在很短时间内就会失效,即使他人偷看或记录下银行卡号、银行卡密码和保安密码,几分钟后保安密码就无法使用了。
多因素密码校验法
要求使用网上银行服务的用户在交易前必须输入姓氏、会员号码、常规密码和其他密码。或要求客户在输入生日和个人识别码(PIN)后,必须回答几个随机问题(已在银行卡资料库中预留的答案)。只有所有的号码均正确、回答问题与预留答案一致,才能使用网上银行服务。
动态密码
银行为客户配备可产生随机代码的微型装置,登录网上银行时必须输入装置产生的随机代码,同时要求客户输入姓氏、会员号码、常规密码和其他预留密码。
口令卡:相当于一种动态的电子银行密码。口令卡上以矩阵的形式印有若干字符串,客户在使用电子银行(包括网上银行或电话银行)进行对外转账、B2C购物、缴费等支付交易时,电子银行系统就会随机给出一组口令卡坐标,客户根据坐标从卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时,客户才能完成相关交易。这种口令组合是动态变化的,使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通过窃取客户密码盗窃资金,保障电子银行安全。
批处理密码
商业银行为持卡人的一张借记卡提供密码单,密码单一般记录50或100个银行卡密码,所有密码的有效期为1-2个月,每个密码使用一次后随即作废。持卡人每次使用前可记下几个密码,使用借记卡交易时,即使银行卡和密码被盗,也不用担心银行卡被他人冒用。
动态账号
网上银行的安全系数有多大? 第6篇
过滤器系统起重要作用
据了解,银行将采取许多步骤来确保互联网金融系统的安全状况,例如:使用阻止非法入侵的最佳过滤器系统及网络安全科技。若要知道网上的安全是如何遭到破坏或入侵,就必须先了解互联网上的通讯是如何完成。
当一间银行和另一间银行互相通讯并且也和顾客进行交流时,有关资料(我们所输八的个人信息等)便已开始输送。为了将日期安全地从一间银行转移至另一间银行,下列方法最适于使用:银行A发出一个密码进入他们本身阻止非法入侵的过滤器系统内。有关过滤器系统将鉴定该项要求并且和银行B的阻止非法入侵的过滤器系统设立一个密码传送档案。所以。这两间银行之间拥有安全的联系,并且不会被未经授权的一方介入。
为了避免顾客资料被窥视,银行A将使用一个防护插座层保安措施,简称SSL。它是由128位元密码键支援的一个强大的译密码和主机鉴定协议,以便为SSL提供最高级数的译密码能力。因此,你的通讯是绝对保证安全的。然而,另一个疑问出来了:到底该由谁来证实所涉及的一方之身份?
密码检验程序严密
数码鉴定是网上银行身份鉴定的重要程序。数码检验程序分成4个关键部份。即(一)鉴定(身份证明):证实该用户就是他/她自己;(二)机密性(隐私):能确保除了有关部门外,任何人均不能获得您的资料;(三)不被拒绝(签名):首先减低寄件人的签名和资料一起被拒的可能性以说明它原来的真面目,而其次是让它在随后被证实;(四)安全性:实行上述的安全服务措施以减低资料作弊事件的发生。
一个具有数码签名的数码检定智慧卡(Smm Card)不只是一个非常安全的身份确认和证实方法,它们还能用来以数码形式签证电子文档,是许多类型的商务交易之重要程序。
数码证书有不同等级
据悉数码证书共分成数个等级,顾客可以按照本身所需的安全程度作出选择。最基本的等级是通过一个具备数码签名特征的数码证书,以允许用户在互联网呈交他们的银行资料前,以数码签名方式核准。
另一个更先进方法是将智慧卡插入电脑解读器中进行鉴定,以证实顾客的身份。这个方法能把侦查到的微少差别部份向银行作出报告。
为了保护顾客的利益,银行的网站会通过安装一个网站主机进行检查或通过DIGICERT主机身份来鉴定他们的身份。网站检查是以另一种数码鉴定形式发给机构的网站主机,充分运用了顾客和网站之间128位元密码SSL协议的安全通讯。
网上银行安全性 第7篇
互联网的飞速发展,对银行的传统经营方式造成强烈的冲击,银行为了适应新时代的发展需求,为了提高竞争能力,一种新的银行经营方式--网上银行(Internet Banking)得到各大银行的青睐。这种模式使用户可以不受时间和地点的限制,安全便捷地管理自己的资产和享受银行的服务。但是在银行和客户得到便利的同时,安全问题也随之而来。计算机病毒、设计上的安全漏洞、数据在网络传输中被破坏,被篡改等等都会使银行和客户蒙受重大的经济损失。面临着这些安全隐患,使得银行方面不得不采取各种手段来保护自己和客户的利益。除了必要的网络安全设施之外,在对外提供服务的方面都采取了一些更加安全的措施来保障网上银行的安全性。现在有两个比较著名的协议,一个是安全套接层SSL协议,四大国有商业银行中的工行、建行、农行都采用这种技术;另一个是安全电子交易SET协议,它曾经被中国银行所采用,但是现在中国银行也已经采用SSL协议。
2 SSL协议简介
SSL协议是Netscape公司率先开发并采用的网络安全协议,基于目前最为流行的TCP/IP协议。它能提供用户和服务器的合法性认证,使得用户和服务器能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都有各自的识别号,由公开密钥编排。为了验证用户,SSL协议要求在握手交换数据中做数字认证,以此来确保用户的合法性。SSL协议采用的加密技术既有对称密钥也有公开密钥,具体来说,就是客户机与服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性和数据的完整性,并且经数字证书鉴别以防止非法用户破译。SSL协议采用HASH函数和机密共享的方法提供完整信息性的服务,来建立客户机与服务器之间的安全通道,使所有经过SSL协议处理的业务在传输过程中能完整、准确无误地达到目的地。
SSL协议由SSL握手协议和SSL记录协议构成,SSL中的握手协议,是在客户机和服务器之间交换消息强化安全性的协议,低层是SSL记录层,用于封装不同的上层协议。其中一个被封装的协议即SSL握手协议。SSL独立于应用层协议,因而上层应用可以迭加在SSL协议上。
SSL标准的工作流程主要包括以下几步(如图1所示):1)SSL客户机向SSL服务器发出连接建立请求,SSL服务器响应SSL客户机的请求;2)SSL客户机与SSL服务器交换双方认可的密码,一般采用的加密算法是RSA算法;3)检验SSL服务器得到的密码是否正确,并验证SSL客户机的可信程度;4)SSL客户机与SSL服务器交换结束的信息。
在完成以上交互过程后,SSL客户机与SSL服务器之间传送的信息都是加密的,收方收到加密的信息后再将它解密。这样,即使有人在网络上窃取了加密的信息,也会因无法解密而无法了解信息的内容。
3 利用SSL协议构建安全网上银行Web站点
Navigator在第一个版本中就包含了SSL协议,Internet Explorer从3.0版开始采纳它。把SSL协议集成到浏览器内,能保证客户与所联系的服务器之间的安全会话。使用SSL安全机制时,首先客户端与服务器建立连接,服务器把它的数字证书与公共密钥一并发送给客户端,客户端随机生成会话密钥,用从服务器得到的公共密钥对会话密钥进行加密,并把会话密钥在网络上传递给服务器,而会话密钥只有在服务器端用私人密钥才能解密。这样,客户端和服务器端就建立了一个惟一的安全通道,这就是构建安全网上银行的基础。
对银行来说,为了拓展新业务增加竞争力,必须开展网络银行方便用户,同时为了保障网上银行的安全运行必须采取更为安全的技术措施,下面就使用SSL协议构建安全站点的操作方法进行说明:
银行方面对于对外提供网上银行服务的服务器要进行一系列的操作,首先需要在“控制面板”里的“添加/删除WINDOWS组件”中去安装“证书服务”,这个服务在默认安装中是没有安装里的,需要安装光盘来安装。
1)申请Web证书:安装完毕之后首先要生成使用SSL的Web服务器数字证书申请文件,然后使用生成的Web服务器申请文件,通过浏览器的方式,向CA进行申请。接下来利用“证书服务”为Web服务器颁发Web服务器数字证书,访问颁发证书Web页面,在出现的页面中选择“检查挂起的证书”超链接,在“检查挂起的证书申请”列表框中选中“保存申请的证书”,就可以将数字证书保存在本机上,默认的数字证书文件名为certnew.cer。
2)安装Web服务器数字证书:在桌面上单击“开始”→“程序”→“管理工具”→“Internet信息服务管理器”命令,选择相应的站点后右击,在出现的快捷菜单中执行“属性”→“目录安全性”→“安全通信”→“服务器证书”按钮。按照所示的Web服务器证书向导的欢迎界面,完成Web服务器证书的安装工作。
3)在Web服务器上设置SSL:正常情况下,SSL已经被成功地设置到Web服务器。接下来要进行一些设置,在网站属性对话框中选中“网站”→“SSL端口”文本框中可以修改SSL端口设置。注意:这样Web站点就具备了SSL通信的功能。一种方法是以http://开头的通信连接,这样是普通的Web访问;一种是以https开头的通信连接,这是启用SSL安全通信的连接。再点击网站“属性”→“目录安全性”→“安全通信”区域的“编辑”按钮,弹出“安全通信”对话框,可以对Web服务器和浏览器之间的通信进行进一步的设置。“要求安全通道(SSL)”复选框:若选中,表明强制浏览器和Web站点只能进行SSL安全通信。选中“要求128位加密”复选框,SSL会话密钥位长为128,这种强度的SSL会话密钥的破译难度是很大的。此外还要根据需要对“客户端证书”区域的选项进行设置。
4)浏览器的SSL配置:Web服务器证书让客户机可以鉴别服务器的身份,如果服务器也需要鉴别客户机的身份,那么需要在浏览器申请并安装数字证书。申请步骤是首先在浏览器中访问证书服务页面,单击“申请证书”超链接,下一步“Web浏览器证书”超链接。填写必要的说明文字提交即可,等待管理员颁发浏览器数字证书。接下来在获取及安装浏览器数字证书,操作步骤同服务器。但是现在银行方面为了增加安全性,不是让客户直接网上申请,而是先去柜台办理,给你一个密码信封和U盘,或者是动态口令盘,用户进入网站之后要下载一个插件驱动,然后下载数字证书到U盘或者硬盘,以后如果想使用网上银行业务就读U盘里的数字证书进行认证。
5)在浏览器上设置SSL:默认情况下,IE浏览器是支持SSL的,不需要用户进行设置。浏览器是否启用SSL可在“Internet选项”对话框的“高级”选项卡中进行设置。有关SSL的设置有两个,使用SSL 2.0:支持SSL 2.0版本;使用SSL 3.0:支持SSL 3.0版本。需要将这两个选项都选上,浏览器才会启用SSL。
这样无论提供安全服务的银行Web站点,还是用户的浏览器都已经具备了安全通信的基础。如果访问安装了SSL协议的银行站点,就会发现一种是以https开头的通信连接,尽管网面的内容仍然和没有启动SSL以前的内容一样,但网页内容的背后,所有的请示的数据已经经过数字证书交换后产生的会话密钥进行了加密,只不过用户感觉不到SSL协议在后面的工作过程。安全套接层SSL协议好比是在HTTP协议上面接了一层安全保护层,由SSL来完成数据的加密和鉴别的过程。
4 结论
网上银行由于采用了SSL安全技术,使银行和客户之间的通信变得更加安全,减少了许多安全隐患,但是由于SSL安全协议也有它的缺点,比如不能自动更新证书;认证机构编码困难;浏览器的口令具有随意性;不能自动检测证书撤销表等等,使得对待安全问题更不能掉以轻心,因此银行方面应该采取更加有效的措施来保障自身和客户信息安全。
摘要:SSL协议又称安全套接层协议,它提供了两个应用间通信的保密性和可靠性,用以保证通信信息的安全传输。因此在网上银行系统中,SSL协议正在被广泛使用。该文介绍了SSL协议的相关知识,并且通过具体操作说明如何在网上银行中使用SSL安全技术。
关键词:SSL,安全技术,网上银行
参考文献
[1]梁永生.电子商务安全技术[M].大连:大连理工大学出版社,2008.4.
[2]Rhodes-Ousley M.网络安全完全手册[M].北京:电子工业出版社,2005.
[3]谢希仁.计算机网络[M].4版.北京:电子工业出版社,2003.
网上银行安全性 第8篇
一、网上银行基本概况及特点
20世纪90年代中期, 随着因特网的普及应用, 商业银行开始了网络服务方式并且得以快速发展壮大, 银行经营方式也随之发生了巨大变化, 至今已成为商业银行发展过程中不可或缺的一部分。我国网上银行的发展始于1997年, 招商银行率先推出网上银行, 随后中国工商银行、中国建设银行、交通银行、中国银行等也纷纷开通网上服务业务, 自此网上银行在我国发展开来。网上银行不仅提供开户、销户、转账、网上证券、投资理财等传统银行业务, 还产生了新的金融服务项目;包括电子商务的相关业务和企业银行为首的新型金融创新业务等。
与传统银行相比, 网上银行的突出特点主要表现在交易时间短、交易成本低、交易灵活性强、客户群体更加广泛等, 但其中最重要的特点就是它的快捷便利。其他方面则包括:
1.3A服务:即不受时间、空间限制, 能实现随时 (Anytime) 、随地 (Anywhere) 、用任何方式 (Anyhow) 的网上支付功能
2. 有效的结合了当前蓬勃发展的电子商务
为电子商务中的在线电子支付和转账等提供技术支持。例如, 类似淘宝的商户对客户 (B2C) 模式购物, 而且支持类似阿里巴巴的商户对商户 (B2B) 模式的网上采购等业务。
3. 金融服务和管理的电子化, 数字化
传统银行柜台业务办理所需的各种票据、票证、账单、交易记录等全面电子化, 手写签名也实现了数字化签名。
二、网上银行存在的安全风险
网上银行作为实体银行的一种虚拟服务方式, 具有高技术性、瞬时性和开放性等特点, 这导致其运营风险的增加和安全性能的降低。另外, 现有的技术水平和立法制度也不尽完善, 这些缺陷都导致了网上银行安全问题的日益严重。
1. 银行网站中存在的安全风险
网上银行内部系统的不完善, 使得监督和管理系统未能充分发挥其作用, 由此导致银行内部风险的产生。最常见的内部风险包括:
(1) 由于技术人员的工作失误造成系统运行出现故障。
(2) 工作人员违法相关的法律规定, 利用客户的账户进行违规投资, 再出现风险之后将风险转嫁到客户身上。
(3) 内部人员管理系统的不完善, 各部门之间权利义务不清晰的现象, 从而产生了内部操作风险。
2. 用户安全防范意识较低
其主要表现是过于轻信别人, 导致自己的账户用户名以及密码的泄露。一些违法乱纪份子, 通过短信、电话或者是邮件等多种方式, 利用现阶段网上银行使用普遍的现状, 通常会谎称自己是银行工作人员或者国家监管部门工作人员, 并告诉客户客户中奖或者是由于各种原因导致客户的资金被冻结, 进而诱骗客户提供出自己的卡号以及密码, 对客户的资金进行窃取。而且由于客户的防范意识低以及诈骗手法多种多样, 导致客户上当受骗的现象经常发生。
3. 客户端具有一定的安全隐含
造成客户端存在安全银行的问题主要是由于客户端系统本山可能存在漏洞以及用户使用习惯这两方面的原因, 如果客户端系统在开发设计上存在着安全隐患, 那就容易造成信息的泄露。此外, 如果客户在使用客户端时, 不够注意在网吧或者公用计算机上进行操作, 则会使得数字证书等重要信息泄露。
4. 密码设置中存在的安全风险
密码设置过于简单, 容易破解或不注意保密。这也给不法分子破解账号、密码提供了方便。
5. 网络通讯的安全性
因为互联网的开放性, 客户在网上传输的敏感信息 (如密码、交易指令等) 在通讯过程中存在被截获、被破译、被篡改的可能。
三、针对网上银行安全风险的防范措施
1. 用户自身采取的安全措施
(1) 下载安全防护软件。一般来说, 系统自带的保护软件不能解决所有的网络安全问题, 因此客户需要下载额外的安全防护软件, 以此来保护个人网络信息。
(2) 注意保护重要的私人信息。 (1) 确认网银运行的网站是安全的, 警惕钓鱼网站。 (2) 在网络中传输敏感信息时, 要注意加密保护。 (3) 不要在公共电脑上使用或存储个人网上信息。
(3) 选择可信赖的交易网站。用户在进行网上交易的时候, 应选择可信赖的或比较大型网站, 以保证交易环境的安全性以及交易对象的真实性。
(4) 设置安全的密码。一个安全有效的密码应该是比较长并且包含数字以外的其他字符或符号。另外, 把个人账号和密码写下来或存储在电脑里也是不可取的。
(5) 从正规网站下载应用程序。尽量避免在不熟悉的网站上下载电脑程序, 因为这些下载程序上有可能保定了木马病毒或恶意插件;另外, 不要随意打开网站自动跳出不知名的网站链接或附件。
(6) 定期查询网银交易记录。网银用户定期查看“历史交易明细”、定期打印网上银行业务对账单, 如发现异常交易或账务差错, 立即与银行联系, 避免损失。
2. 银行采取的安全防范措施
为了更好地服务广大客户, 保护网上用户的个人信息安全, 银行机构采取了以下几种防范措施:
(1) 网银系统安全性测试。网银系统属于应用系统, 对于应用系统而言, 安全性能测试是十分重要的一个环节。
(2) 加强对银行内部业务工作人员的培训与监管。对业务人员进行严格培训, 使其具备良好的职业道德。同时, 规范系统的操作和管理权限, 明确分工, 设置合理的权限和职责。
(3) 提供安全的网络交易环境。为保证网银交易环境的安全性, 银行需定期进行技术升级。包括: (1) 设立防火墙, 分隔互联网与交易服务器以及交易服务器 (2) 高安全级的Web应用服务器。
(4) 手机动态密码。当客户登录网上银行时, 系统将向客户绑定的手机发送一次性动态密码, 客户在规定时间内输入此密码完成第二重验证, 保证了登录系统的安全性。
(5) 动态软键盘。动态软键盘可以有效地避免用户密码在输入过程中被检测, 而且由于数字是成动态显示的, 每次登录时数字在软键盘上的位置显示位置不同, 因此可以有效的避免密码被记录窃取。
(6) 动态口令卡。使用动态口令卡, 实现了网上银行登陆的三重防护, 只有正确的输入银行卡卡号、用户密码以及口令卡密码, 才能登陆网上银行, 因此随机变化的动态口令卡可以有效的保护客户的资金安全。
(7) USB Key证书。USBKey是一种先进的网上银行数字签名工具, 通过USB Key证书这一专用性的U盘, 将网银证书存入其中, 而且无法向其中存入其他信息, 因此既不会携带传播病毒, 同时也可以确保客户账户的安全可靠。此外, 由于这种专用性的U盘中的东西无法向外拷贝, 因此能够有效的避免木马程序对于用户信息的窃取。
(8) 客户端密码安全监测。由于现阶段大部分银行都会提供客户端的密码安全监测, 因此能够通过安全监测队用户密码的安全程度进行相应的评价分析, 同时对于存在安全银行的客户, 会由客户端密码安全监测系统做出相应警告提示。
网络银行安全性的发展展望 第9篇
关键词:网络银行,internet网络,安全
随着“以网络应用为核心的数字化革命时代”的到来,金融业首当其冲地受到了电子信息技术的深刻影响,由此形成了全新的经营模式——网上金融。网上金融引发了一系列复杂的问题,其中最为普遍的是与网络银行有关的问题。“网上银行”在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物,人们却有一个最大的疑惑:“网上银行”安全吗?
1 网上银行的安全性分析
1.1 网上银行安全问题
一般来说,人们担心的网上银行安全问题主要是:
1.1.1 银行交易系统被非法入侵。
黑客可以通过入侵级别很高的服务器,如政府机关的服务器访问银行的服务器,通过这样的手段来窃取银行客户的资料。或内部人员利用外面的计算机通过别的手段进入服务器窃取资料。
1.1.2 信息通过网络传输时被窃取或篡改。
黑客通过某种手段在网上截取银行和客户之间的信息,或监控客户的电脑,把客户的电脑改为黑客的肉鸡,达到窃取银行客户资料的目的,如前一段时间爆发的“熊猫烧香”的病毒,“熊猫烧香”病毒有窃取电脑帐号密码的功能,然后发到指定的邮箱里。如果客户的电脑感染了这种病毒,那客户的资料就有可能被盗。
1.1.3 交易双方的身份识别;账户被他人盗用。
上面讲到了病毒和木马有窃取帐号密码的功能和目的,黑客用窃取的资料伪装成合法真实的银行客户与银行或其他消费性行业进行交易.业务。
网银,一般分为大众版和专业版。专业版必须由用户本人到银行网点申请办理数字证书,大众版允许客户凭身份证、账号和密码在网上自助开通。但大众版只能提供查询、小额支付等基本功能,专业版可提供转账支付等服务。
对客户来说,从以下几个步骤可以看出网银的“安全指数”:登陆、数字证书、密码验证。目前,各家银行采用的登陆方式不同,即使是同一家银行,也会让客户选择多种登陆方式,一般情况采用银行卡号、客户号或身份证号登陆,也有的让客户自己设置昵称登陆,也有不用输入用户名即可登陆,如招行、农行。
相对来说,数字证书略微复杂一点。数字证书是网银用户使用的一种将个人信息与电子签名唯一绑定的电子文件,通过它可对网上交易进行身份确认,确保交易的唯一、完整和不可否认。数字证书分为“移动数字证书”和“文件数字证书”。“文件数字证书”是IE浏览器证书,成本低,客户需要将此证书的软件安装在电脑上;“移动数字证书”外形类似U盘,安全性高,便于携带。有了数字证书后,等于为客户设置了三道防火墙:用户名、密码、数字证书,这就能提供最基本的网银安全保障。需要注意,在网银的转帐中,会涉及支付密码,一般支付密码和登陆密码不宜设为同一个。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
1.2 为防止交易服务器受到攻击,银行主要采取的技术措施
1.2.1 设立防火墙,隔离相关网络
一般采用多重防火墙方案。其作用为:
1)分隔互联网与交易服务器,防止互联网用户的非法入侵。
2)用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3)还应安装杀毒软件,每天定时升级,加强对服务器的管理。
1.2.2 高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
1.2.3 24小时实时安全监控
在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
2 网络银行的展望——客户的安全意识
2.1 客户的安全意识
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用
网上银行账户被盗用,经过调查分析主要由以下几种情况引起:
点击浏览了一些被安装了木马程序的网站,木马就会自动下载并根植于受害者的电脑中,一旦受害者使用网上银行功能,木马程序就会自动将受害者的银行账号和密码发给盗号者。在网吧使用网上银行功能,被盗取的可能性极大。因为网吧的电脑有可能被黑客种植了木马盗号程序。下载安装了一些盗版或可疑软件,也可能会被种木马,有些来历不明的邮件也会携带木马。受害者不注意密码保护,将银行账号的密码设置成生日等容易被猜测的数字,也会增加被破解盗取的几率。
网外其他途径泄漏,如在取款机取款时被泄漏,被钓鱼短信所骗取,如说你在哪里消费了多少,打什么电话查询之类的。
防范的办法:
首先要提高自身的安全意识,注意自己银行账号的密码保护,尽可能降低泄漏的可能性。
最安全的办法是向银行申请自己的数字证书,例如工商银行的用户,其个人网上银行USBKey客户证书(U盾)是一个带智能芯片、形状类似于闪存(即U盘)的实物硬件,是专门用于网上银行的安全通行证。拥有这个属于自己的硬件安全证书,不但可以确保个人网上银行的安全,而且对外转账金额不受限制。建行的客户证书则是数字证书,也能起到保障网上银行使用者利益的作用。
在电脑环境方面,建议及时更新操作系统的补丁,确保操作系统在最新的版本状态,减少相应的安全漏洞。安装针对病毒及木马的查杀软件,并及时进行更新。
千万不要相信一些骗人的短信,如果有疑问,可以直接打银行提供的电话进行相关的账号信息查询。
在上网时,尽量不要浏览一些来历不明的网站,不要轻易下载、安装、运行来历不明的软件,尽量避免在不属于自己的电脑上使用网银功能,减少中木马的可能性。在进行网上银行、网上购物或其他需要输入密码的操作时要特别仔细核对网址,有些不法分子就是注册和银行相似的网址,然后让客户上当,总之,在网上银行业务操作时一定要多留个心眼。
一旦发现自己的网上银行账户被盗用,马上联系当地的公安网监部门帮助解决。一般情况下,商家都会配合公安部门做好协助工作,可尽量减少损失额。
我国法律对于网络安全保护及计算机犯罪的制裁是有规定的。1997年修订的新刑法第285条、第286条及第287条,对以计算机系统为客体的犯罪、以计算机中的信息为客体的犯罪、制作传播病毒破坏性程序的犯罪、以计算机为工具的金融犯罪都做出了明确的规定与制裁。此外,国务院、公安部等部门颁布的《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《金融机构计算机信息安全保护工作暂行规定》、《计算机信息网络国际联网保密管理办法》等法规对有关问题也作出了规定。
综上所述,网上银行作为一种与现代科技迅猛发展紧密相连的新型贸易方式,对现行法律提出了前所未有的挑战。对于网上银行带来的新问题,需要对原有法律法规的进行调整修正来解决。密切注意网上银行发展趋势,积极探讨、研究和学习国外的先进立法经验,并结合中国国情,制定符合实际需要的网上银行法律规范,改善我国网上银行发展的基础环境,对促进我国网上银行健康、有序的发展有着非常重要的意义。
参考文献
[1]黄敏学.电子商务[M].北京:高等教育出版社,2001.
[2]宋玲.21世纪的机遇与挑战[M].北京:电子工业出版社,2000.
智能银行对账系统安全性分析 第10篇
随着金融电子化的发展, 作为储蓄支取的工具, 自助银行变得更加“智能”, 在提供全面细致服务的同时也更加人性化, 大大节省了时间。而会计核算电子对账系统能够提升企业对账管理效率, 并成为确保银行之间、银企之间资金安全的重要手段, 已受到金融业的高度重视。我国为实现智能银行对账, 基本实现了数据全国集中处理, 摒弃了网点对账模式, 扩大了对账范围, 为了升级和更改便捷, 采用视图、模型和控制器三层相结合的开发模式[1]。
由于没有健全的对账监管机制, “以客户为中心”的智能银行电子对账也出现了一些问题和不足。首先, 早期的电子对账系统一般是以一级分行为单位建设的, 未形成全国网络, 总分行信息传递依靠手工报表方式进行, 信息准确性、及时性、安全性无法保证, 也缺乏对各一级分行对账情况的监控手段;其次, 由于未使用扫描识别系统和电子验印系统, 客户对账回单的回收登记、余额核对和验印多数依靠前台手工作业, 既不符合前后台分离原则, 也无法满足及时、准确、高效的要求;再次, 客户信息实行对账系统机制, 增加了重复劳动, 也导致信息的不一致, 签约信息同步处理, 导致柜员重复操作, 很难进行信息建设和变更处理。重点账户、非重点账户、不需对账账户的标准、对账频率都发生了变化, 不能适应现代企业快速发展的要求。而以客户自助服务和远程客服为主的智能银行, 集中了包括高清远程视频通话、蓝牙等先进技术, 其对账的安全设备是保险对账系统安全运行的最基本设备, 技术的突破是解决对账系统安全的手段。因此, 本文利用网络安全的有关知识, 根据对账系统安全所需的关键技术, 综合分析对账系统的安全性, 调整安全预防策略, 动态地进行系统安全管理。
1 智能银行安全概述
1.1 国内外银行安全发展现状
智能银行作为凝聚科技精华和创新智慧的产品, 其信息安全不是简单地把硬件、软件以及数据组合到一起, 或者使用技术手段就可以解决安全问题, 其安全问题的解决需要各个环节的整合, 综合运用多种安全技术, 提供不间断服务。
国外有关银行网络安全系统的研究主要着重于用户对交易安全的担忧。Jone等[2]认为用户选择实体银行的主要原因是对网络银行安全性的担忧, 其中包括网络操作系统的稳定程度、信息的质量和隐私是否得到了保护等方面。Tina Harrison等[3]为解决网络银行安全问题提出在网络银行系统中采用网银APP服务器、网银DB服务器和RA服务器相结合。这种观点的提出, 主要是利用位于网点的客户端访问网银管理服务器, 实现一对多的点面服务, 从而提高资金运用的安全性。
国内研究主要侧重于技术改造和制度环境两个方面。邵晓微、王维民[4]在2001年就提出了只有数字证书才是银行安全的核心, 这也是目前网络银行最为广泛的应用。汤乐雁[5]将浦发银行的现状与同业进行比较, 从战略、组织、营销、安全、技术这5个方面提供了发展策略, 银行仍有约1/5的网络交易存在安全风险, 其主要是由用户的不良使用习惯以及身份认证系统的可用性不高所造成。
1.2 相关技术介绍
网络安全技术是实现智能银行信息安全目标的手段。银行对账系统安全技术中应用最广泛、人们最为熟知的一种网络工具———防火墙, 能够防止发生不可预测的或潜在破坏性的侵入, 其隔离作用让它成为防止黑客入侵和未授权访问的最行之有效的方法之一[6]。入侵检测技术是一种立体纵深的、多层次防御的网络安全决策, 可以实时保护网络信息系统免受内、外部攻击和误操作影响, 从计算机网络系统中的多个关键点获得信息, 在网络系统受到危害之前及时拦截和响应入侵[7]。作为继防火墙之后的第二个安全通道, 入侵检测系统能在不影响网络性能的前提下完成对网络的实时监控。数据加密技术相比于防火墙而言更能保护动态信息的安全性、完整性, 是实现检测主动攻击和避免被动攻击的基础[8]。身份认证是网络银行确认合法用户身份的过程, 包括通过用户名和预先设置的静态密码来进行身份判别的静态口令认证技术、为解决一次密码多次使用的缺陷而改进的运用专门算法的动态口令认证技术, 以及将用户数字证书保存在与U盘相似的设备中的USB Key认证技术[9]。
2 对账系统安全性分析
现今国内大部分银行电子对账系统的安全性主要体现在以下几大方面:系统运行物理环境的安全性、服务器及网络的安全性、操作系统和应用系统的安全性, 以及对账业务流转中数据的安全性, 如图1所示。
2.1 物理设备安全
采用总行选型与集中采购的小型机、服务器及相关设备, 由数据中心统一安装配置并实施物理设备安全控制。其中硬件环境下的主要工作包括:高性能应用服务器和数据库服务器若干台, 建立双机热备以及冷备体系, 在保证数据即时安全性和稳定性的同时, 大大提高数据抗干扰性。需要掌控主要设备的配置情况及配置参数等相关变更情况, 及时备份文档。采取相应技术措施, 对网络内经常出现的追踪具体用户位置和部门情况进行管理。在重要场地安装监视系统, 多重门禁系统, 非员工不可进入, 以监视出入人员的行动。对系统进行监控设计, 包括数据库服务器、Web服务器、应用服务器的CPU、内存等资源使用情况。定期进行日常维护, 包括日志监控、备份、清理和维护, 每次发布新版本时备份运行环境, 配置参数及运行程序, Oracle数据库每周一次零级备份, 每天做1~4次逻辑日志备份, 业务高峰期每天进行4次逻辑日志备份。同时建立异地灾备体系, 定时对重要系统与数据进行有效的异地备份。
2.2 网络安全
网络访问控制由数据中心根据系统部署要求统一实施。网络安全主要是从服务器安全、通信安全等方面来提供安全性保障。首先要保证Web服务器和用于电子对账系统业务处理的内部数据服务器系统的安全。一般情况下, 采用安装防火墙或者外部物理隔离的方式来保障服务器安全。多重防火墙则是用来对内部网的应用系统加以保护, 因此需要在互联网出口部署的边界路由器、边界防火墙和核心交换机上配置严格的扩展访问控制策略, 可进行访问检测、监测、控制、审查分析, 阻止非法恶意攻击入侵, 高级别的保护可以禁止一些服务, 如视频流和Java、ActiveX、JavaScript脚本等, 阻止恶意代码攻击。其次是采取一定措施, 并通过CA系统追踪到具体用户, 包括认证用户的真实身份和相应权限, 以各种方式保障用户之间身份和支付系统的真实性。真正树立起为用户服务的理念, 时刻关注用户需求的变化, 利用密码技术和安全协议, 对每笔数据进行完整记录, 保障用户数据在网络传输中不被篡改和窃取, 保证数据传输安全。
2.3 数据库安全
智能银行对账系统基于大数据量和大数据处理需求, 选用Oracle数据库。随着数据库应用的逐渐深入, 以及数据信息的不断增加, 数据库的安全性问题日益凸显。
数据库安全性的含义包括以下两点:保护数据库以防止非法使用所造成的数据泄露、更改和破坏;数据库系统本身的安全性问题:安全保护策略, 尤其是控制访问策略。数据库安全性控制的一般方法是尽可能多地杜绝所有可能的数据库非法访问。非法访问包括编写程序绕过DBMS、数据流动、利用允许访问的结果逻辑推理得到无权访问的数据等。智能电子银行对账系统在数据库安全设计方面通过以下5个方面来以最小的代价达到防止数据非法访问的目的:
(1) 用户标识和鉴定。首先采用一个用户名或用户标识符来标明用户身份, 再采用用户名和口令相结合的认证, 最后在数据库中通过编写函数来鉴定用户身份。
(2) 用户存取权限控制。对于不同用户操作的不同数据对象全部进行授权处理, 将用户数据访问权限限定在最安全范围内, 对数据读取采取不同的模式。对于授权机制, 最大化地定义数据对象的范围关系、记录和属性, 以达到灵活的授权机制, 授权机制越灵活, 能够提供的安全性就越有保障。
(3) 定义视图。为不同的用户定义不同的视图, 限制各用户的访问范围, 让需要保密的数据对无权存取这些数据的用户不可见, 这样在一定程度上加强了数据安全保护力度。同时, 保持数据库逻辑独立性, 与授权机制结合使用。
(4) 数据加密。对账系统中对于敏感数据和核心关键性数据进行加密存取和传输。根据对账系统自由的加密算法将这些数据进行加密处理, 使其成为不可直接识别的格式, 大大提高数据安全性。
(5) 审计。审计功能是一种监视措施, 它跟踪和记录有关数据访问活动。审计追踪把用户对数据库的所有操作自动记录下来, 并存放到一个特殊的文件中, 即审计日志。通过对日志中关键记录的实时监控, 有效防止数据库非法的数据访问操作。
智能银行对账系统在数据库安全设计上除以上五大有效措施外, 还通过提供定时的数据备份、数据库性能指标监控等一系列手段来最大限度地保证数据安全和数据稳定。
2.4 应用系统安全
2.4.1 用户身份认证技术
应用系统采用静态口令方式对用户进行身份认证, 包括口令长度、口令字符复杂度、口令最大尝试次数、口令历史、口令最长有效期等方面都作相应控制。只有通过身份认证的用户才能进入应用系统。对于用户的安全认证, 如果由其本身来提供, 可能无法更好地保证用户认证的安全性。规避或者提高认证的安全性可以采取“只验证而不认证”的模式, 即由第三方专业用户认证平台来完成多元化的用户身份认证, 而对账系统只用接收认证平台的最终认证结果。
2.4.2 用户访问控制措施
应用系统提供机构、用户、岗位 (权限) 管理功能模块, 根据用户组织机构及权限控制要求设置相应的岗位, 建立岗位与具体功能控制矩阵, 不同的岗位配置相应的业务功能;系统设置岗位, 包括总行系统管理岗、分行系统管理岗、总行经办岗、总行监管岗、分行经办岗、分行复核岗及分行监管岗等, 各岗位分别具有不同的权限, 即分配不同的具体功能。对不同用户根据业务需要设置相应的岗位, 系统将按照最小权限原则, 分配用户完成操作的最小权限, 避免存在将不兼容权限分配给同一用户的风险。
2.4.3 信息数据安全传输控制措施
对账系统的数据获取和传输是保证数据信息安全的重中之重。对账系统数据来源于银行的核心系统, 两者之间通过点对点的网络访问关系, 并以数据加密的方式进行数据文件的传输。在对账系统获取数据后运用点对点的数据解密网络机制, 将数据导入对账系统数据源中 (无其它敏感数据传输) 。在密钥管理机制方面, 技术上实施严格和可靠的密钥分配过程。在个人标识码的加密及转换机制上, 不允许PIN的明码在人工可操作的存储媒体上和通信线路上出现。所有入网机构采用硬件加密装置, 并保证对交易报文作来源正确性鉴别的机制 (MAC) 。
2.4.4 安全审计控制
对用户管理、参数维护等重要的业务操作进行记录, 比如操作手册、备份记录、操作员日志、软件许可证、培训记录等, 以保障用户操作能够追踪到具体用户。具体内容包括但不限于日期和时间、用户标识、请求服务的位置或IP地址、用户鉴别情况、事件的类型、用户的操作、操作对象、事件的结果、差错信息等。
3 结语
智能银行对账系统安全是一个系统性问题, 智能电子银行对账系统安全应从操作系统安全和应用系统安全等多层次加以考虑, 通过设计实施整体的安全策略, 对安全策略的实施结果进行评估, 及时采取修复补救措施, 对调整安全预防策略具有重要意义。
摘要:随着金融电子化的发展, 自助银行也变得更加“智能”。智能银行电子对账系统优势明显, 但其安全隐患亦日趋暴露, 建立一个高效而安全的智能银行对账系统安全体系迫在眉睫。利用网络安全的有关知识, 根据对账系统安全所需的关键技术, 对智能银行对账系统安全性进行分析, 调整安全预防策略, 动态地进行系统安全管理。
关键词:对账系统,智能银行,安全性分析
参考文献
[1]张庆文.改进现行银保对账的设想与对策[J].华南金融电脑, 2010 (11) :23-24.
[2]JONES, S WI1IKENS, M&MORRISA.Trust requirements in ebusiness:a conceptual framework for understanding the needs and concerns of different stakeholders[J].Communications of the ACM, 2000 (2) :81-97.
[3]TANENBAUM.Computer networks[M].北京:清华大学出版社, 2007.
[4]邵晓微, 王维民.电子商务网上交易系统[M].北京:人民邮电出版社, 2001.
[5]汤乐雁.上海浦东发展银行网上银行发展策略研究[D].上海:复旦大学, 2007.
[6]卢津榕, 冯宝坤.解读黑客一黑客是怎样炼成的[M].北京:希望电子出版社, 2001.
[7]胡征兵, 苏军.入侵防护技术综述[J].微型电脑应用, 2005.
[8]STA11INGW.Cryptography and network security:principles and practice[M].Second Edition.Prentice-hall Inc, 1999.
网上银行安全性 第11篇
一、我国网上银行的发展历程
一般来说, 我国网上银行可以分成几个阶段。从2000年之前是第一个阶段, 主要表现形式为银行网站, 其职能作为信息发布的渠道, 塑造了企业新的形象品牌。在这一阶段中, 网上银行的业务呈现出服务单一的情况, 并且只能够提供账户查询等简单的信息类服务, 更多的作为商业银行的宣传窗口。从2002年到2008年开始, 国内部分大型商业银行在市场的驱动下, 利用网上银行等运营成本低廉的优势, 快速发展成为网上银行客户, 并将大量传统业务功能搬上到网上, 从根本上代替网点, 增加了转账、缴费、支付等相关业务和功能。从2008至今, 网上银行开始转变成为以客户为中心, 不仅将传统的业务融入到网上银行当中, 并且从单一的模式转向为复杂的交易模式, 强化了以客户为中心的服务理念, 将成本中心转变成利润中心, 逐渐成为了银行努力的方向和目标。但是, 随着网上银行的迅速发展的不断完善, 导致了我国网上银行面对着很大的挑战和威胁。
二、网上银行安全面临的挑战
(一) 风险范围越来越大
网上银行兴起的初期, 仅能提供给用户简单的查询功能, 是基于传统业务的基础上的一些基本业务。但是, 伴随着我国网上银行的发展完善, 通过第三方商户、支付宝等相关互联互动, 导致交易渠道变得越来越广泛, 所面对的危险也越来越大。各大银行为了降低网上银行交易、转账、消费等相关业务的风险性, 不得不推出安全控件, 从而达到降低风险, 提高网上交易安全性的根本目的。
(二) 信息技术的稳步发展是双刃剑
因为信息技术的不断发展, 相关防范技术和攻击技术在不断的提升, 银行为了避免出现黑客攻击的现象, 不断的推出不同的防火墙。同时, 在信息技术不断发展的前提下, 原本相对安全的网络安全技术也变得越来越不安全, 甚至是相关的隐患和漏洞逐渐被公开, 针对其技术的方法和手段在网络上能获取到。网络银行在未来的发展中, 会遇到更大的挑战和威胁, 这是未来必然会面对的问题。
(三) 黑客对网上银行安全影响巨大
在现实生活中, 会出现“盗窃犯”等威胁个人财产和银行财产的代名词。但是, 在网络当中, 黑客逐渐成为了威胁网上银行、个人财务安全最为主要的代名词。在商业利益的驱使下, 黑客不择手段的通过代码攻破银行的安全防线, 达到获取银行信息、个人信息的目的, 当用户在网上进行交易的过程中, 黑客因为获取对方的信息所以会出现盗用用户财产的可能性, 这对于网上银行信息安全造成了很大的威胁。
三、网上银行信息安全的策略
针对以上所提出来的威胁, 提出了如下的建议以期能从总体上强化网上银行信息安全。
(一) 加强跨部门之间的合作促进商务发展
网上支付是电子商务的重点环节, 这对于促进商务发展产生了很大的作用。与此同时, 更是安全风险最高的环节, 是黑客攻击的首要目标。网上银行黑客技术的泛滥和利益的驱使造成了人们对网上支付安全性的担忧, 必然会影响电子商务的可持续发展。笔者认为各部门应处理好本职工作, 通过第三方的配合和强化管理, 加强客户敏感信息的保护, 公安机关应针对违法行为进行严厉打击, 共同监督和管理网上银行信息, 达到维护网络支付安全、促进电子商务发展的目的。
(二) 强化网上银行安全技术的研究
强化网上银行安全技术研究, 从根本上完善网上银行信息安全技术体系提高风险防范能力。网络计算计技术的发展更新速度较快, 网上银行系统建设跟不上时代的发展, 对安全技术的研究和应用产生了消极影响。笔者认为商业银行应该构建专业团队, 了解和跟踪计算机信息安全技术最新动态, 了解软件厂家发布的最新漏洞和安全隐患, 从而达到了解安全机构发布的新病毒和黑客攻击技术, 做好相对应的对策, 从根本上达到及时修复漏洞和风险隐患的目的, 完善网上银行的相关安全系统, 形成较安全的方法技术体系。还应该强化网上银行安全管理, 不断完善其安全管理的规章制度, 从根本上形成具有网上银行特点的安全管理体系, 通过安全管理技术和安全管理体系的有效结合, 提升其网上银行风险防范的能力。
(三) 强化网上银行系统的监控
强化网上银行系统的监控, 定期针对银行系统进行检测、安全评估、风险评估。因为网上银行是不分时间进行营业的, 客户能够在任何时间、任何地点在网上进行消费, 这一现象导致了网上银行时刻都面临着被攻击的危险。所以说, 强化网上银行系统的实时监控显得异常重要。针对网上银行进行实时监控, 对网络、系统、业务交易进行监控和分析, 发现异常情况并且提出预警的信息, 达到能采取有效措施处理的目的。与此同时, 还应该针对其发现的隐患进行及时的管理, 将隐患扼杀在萌芽中, 从根本上降低其风险, 达到减少损失的目的。并且, 商业银行还能通过提供网络安全服务的第三方机构进行监控, 如果发现黑客对网上银行下手的可能性, 应立即进行抓捕和强制性追踪, 从而达到协调外部资源对黑客攻击处理的目的。
结语
总而言之, 信息技术的发展不仅增强了我国经济贸易和促进我国的消费水平, 与此同时更给我国网上银行信息安全造成了很大的威胁。因此, 笔者认为应该针对网上银行进行定期监控, 实时监理, 将危险扼杀在摇篮当中, 在最大程度上降低因为信息安全泄漏所造成的经济损失。
摘要:伴随着发展的同时, 网上银行信息安全的管理也面对着很大的威胁, 这对于我国人们的消费和财产安全产生了消极影响。本论文着重针对网上银行信息安全的新形势进行分析, 并提出了合理的建议。
关键词:网上银行,信息安全,新形势,对策
参考文献
[1]江婧, 蒋建铭.中外网上银行发展现状比较[J].特区经济, 2013. (04) .
【网上银行安全性】相关文章:
网上银行安全问题08-03
网上银行安全防范论文04-24
网上银行安全防范论文提纲10-03
工商银行网上银行07-13
温州银行网上银行08-04
交通银行网上银行07-20
中信银行网上银行08-16
工商银行个人网上银行01-31
工商银行网上银行登陆01-31