动态口令不能保证网上银行的安全
自从十年前招商银行首次推出网上银行(以下简称网银)服务以来,网银已经迅速普及成为各银行必备的服务之一。然而,网银在给我们带来极大便利的同时,也带来很高的交易风险。随着网银普及率越来越高,与网银有关的安全问题开始引起人们关注,甚至有部分银行用户因为担心网银系统的安全而拒绝使用网银。这种不信任的心态,已经成为阻碍网银业务进一步扩展的最大瓶颈。为了进一步推广网上银行的使用,银行一直致力于寻找更安全的技术来保障用户的账户安全。近几年,动态口令 (One Time Password,OTP)技术被越来越多的银行用来提高网银系统的安全性。但是,动态口令能保护我们的账户安全吗?网银的安全漏洞在哪里?到底应该如何保证网银的安全?
被打开的潘多拉魔盒
网银的出现使我们在家动动指头就可以完成过去需要到柜台排队才能完成的事情,既方便了普通用户也大大提高了金融机构的运作效率,削减了其运作成本。但是,凡事有利就有弊,网银同样逃脱不了网络普遍面临的安全威胁。从网银业务开通伊始,网银大盗就如影随形,如苍蝇般紧紧盯上了这颗有缝的“鸡蛋”,那些麻烦有如打开了潘多拉魔盒一样纷拥而至。
1.“钓鱼”网站。
所谓“钓鱼”,即通过邮件或其他方式,诱骗用户登录到酷似银行官方网站的虚假网站,并诱使用户输入认证信息,从而间接获取用户的登录认证信息。瑞典Nordea银行就曾经成为这种方法的攻击目标之一,短短15个月就损失上百万美元。
2. 键盘记录。
键盘记录,即通过木马监视用户正在操作的窗口,如果发现用户正在访问某网银系统的登录页面,就开始记录所有从键盘输入的内容。例如,“网银大盗Ⅱ”木马就是典型例子,它把几乎所有的国内网银系统都列为盗窃的目标。
3.嵌入浏览器。
这种技术主要通过嵌入浏览器进程中的恶意代码来获取用户当前访问的页面地
址和页面内容,并且在用户数据(包括账号密码)以SSL安全加密方式发送出去之前获取它们。例如,“网银大盗”木马监测到用户正在访问某个引用了安全登录控件的地址时,就会让浏览器自动跳转到另外一个网页。用户输入认证信息并通过验证后,木马就等在那里,盗取用户资金。
4.窃取文件数字证书
数字证书是网银交易的一项重要安全保护措施。有些银行使用文件证书,允许用户保存至硬盘,这是一个安全隐患。“网银大盗”及其变种“灰鸽子”,就窃取用户计算机内的所有文件,包括安装在计算机上的网银文件数字证书,并且能够准确识别网银流程的每个步骤,自动记录必要的数据,最终再复制一份证书文件。从而,利用盗取的证书和其他必要信息达到非法使用证书的最终目的。
以上只是列举了网银大盗攻击的常用手段。实际上,随着网银业务的不断普及、深入和扩展,越来越多的新业务形式(如手机银行)涌现,网银大盗们总是步步紧追,各种新的、复杂的攻击技术就如同被打开的潘多拉魔盒,层出不穷,让人防不胜防。
“鸡蛋”上的“缝”
大家都知道,网上银行是银行业务利用Internet作为业务提交渠道,通过网关衍生到互联网上的每一个终端用户(企业或者个人用户)。由此可看出,网银系统可
分为银行服务器、网络、客户端三部分。从刚才列举的攻击手段来看,主要是钓鱼诈骗和木马移植,而攻击对象也集中在银行服务器和客户端。据中科院安全专家李德全博士分析,之所以网络较少被攻击,是因为“网络层面的安全性比较容易解决,比如通过加密,通过证书认证,网络上的窃听者和伪造者可以被有效地拒之门外,所以问题主要出在两个端点,即用户、商家(银行)两个环节。”因此,用户和商家(银行)就成为网银对抗“网银大盗”攻击最前沿、最重要的阵地。
近年来网银安全事故时常发生,而中国各大银行也不断对自身系统进行升级,服务器端的安全性极高,很少被大盗直接攻破。而大盗们更多地将视线集中在数量众多但信息安全意识良莠不齐的用户(客户端)这里。而用户的身份认证——唯一需要用户操作的地方,就成了网银这颗“鸡蛋”上的缝,受到众大盗们的频频“青睐”。
如何弥补这条“缝”?2007年中,银监办发布[2007]134号通告,通知各商业银行对所有网上银行高风险账户操作统一使用双重身份认证。动态口令(OTP)也因此逐渐走入公众视线,被银行大力推荐。
什么是动态口令
动态口令,又叫动态令牌、动态密码。它的主要原理是:用户登录前,依据用户私人身份信息,并引入随机数产生随机变化的口令,使每次登录过程中传送的口令信息都不同,以提高登录过程中用户身份认证的安全性。过程如下:登录前,首先产生登录用的动态口令,然后通过网络将动态口令传输给认证系统,认证系统收到动态口令后进行验算以验证用户合法性,当动态口令与验算口令一致后即认为用户是合法的。
银行通常提供给用户两种动态口令:一种是固定数量的动态口令,最常见的就是刮刮卡,每次根据银行提示,刮开卡上相应区域的涂层,即可获得一个口令。刮刮卡成本低廉,使用方法简单,因此很多银行采用这种方法,如工商银行;另一
种是硬件形式的动态口令,即电子令牌,它采用专用硬件,每次可以用自带的密码生成芯片得到一个当前可用的一次性动态密码。交通银行等就采用这种方式。一般来讲,每个客户端的电子令牌都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时令牌与服务器分别根据同样的密钥,同样的随机数和同样的算法计算出认证时的动态口令,从而确保口令的一致性和认证的成功。因每次认证时,随机数的参数不同,所以每次产生的动态口令也不同。每次计算时参数的随机性保证了每次口令不可预测,保证系统安全。
这些随机数是怎样产生的呢?动态口令随机数分为以下几类:
1.口令序列:口令为一个单向的前后相关的序列,系统只用记录第N个口令。用户用第N—1个口令登录时,系统用单向算法算出第N个口令与自己保存的第N 个口令匹配,以判断用户的合法性。由于N是有限的,用户登录N次后必须重新初始化口令序列。
2.时间同步:以用户登录时间作为随机因素。这种方式对双方的时间准确度要求较高,一般采取以分钟为时间单位的折中办法。在这种动态口令中,对时间误差的容忍可达±1分钟。
3.事件同步:通过某一特定的事件次序及相同的种子值作为输入,使用相同的算法运算出一致的密码,其运算机理决定了其整个工作流程同时钟无关,不受时钟的影响。它节省了用户每次输入挑战信息的麻烦,但当用户的挑战序列与服务器产生偏差后,需要重新同步。
4.挑战/应答:也叫异步认证方式。它比时间/事件同步方式操作相对繁琐,实现相对复杂,一般用于对安全性要求更高的场合,比如登陆网上银行等,需要附加认证的情形。当用户需要访问系统时,远程认证服务器根据用户的电子令牌资料产生一个随机的数字串,即“挑战码”,用户将该数字串输入到电子令牌中。电子令牌利用内置的种子密钥和算法计算出相应的应答数(通常也是一个数字串)。用户将该应答数输入系统。系统根据所保存的该用户相应电子令牌信息(种子密钥和算法)计算
出应答数,并与用户输入的应答数进行比较。如果两者相同,则认证通过。由于每个电子令牌的种子密钥不同,因此不同用户的电子令牌对同样的挑战数计算出应答数也并不相同。只有用户持有指定的电子令牌才能计算出正确的应答数以通过系统认证。从而可以保证该用户是持有指定电子令牌的合法用户。
由于口令每次都变化,即使得到密码也没用,而且这种动态口令由专用算法生成,随机性高,不太容易被破解。因此,传统的木马程序,即使窃取到用户个人信息,拿去登录银行网页,也已经过期。因此,动态口令极大地提高了用户身份认证的安全性。
动态口令能保护账户安全吗?
自从采用动态口令技术后,人们不用再费力记密码,也不需要担心木马攻击了。但是,动态口令能像我们希望的那样,为网银的安全提供保障吗?
实际上,随着动态口令的普及,它的缺陷也越来越突出地暴露在大家面前,例如“刮刮卡”,因为它的口令数量固定,除去需定期更换的不便外,更重要的是它的安全隐患:如果长时间收集信息,就有可能收集齐所有动态口令,完全破解这种刮刮卡形式的动态口令,甚至复制或窃取那张小纸片,也可以冒用用户的身份信息。
而就电子令牌而言,为挑战电子令牌,大盗们也在孜孜不倦地追求更高的攻击技术,他们已不满足于传统“暴力”式的破解,一种称为“中间人钓鱼”的技术逐渐进入人们视线,而花旗银行已经成为这种攻击手段的目标之一。
我们前面曾讲到“钓鱼”网站,而这种技术就是“钓鱼”的升级版。据报道,大盗使用一种能够拷贝现有银行网站的网页“钓鱼”攻击工具,先注册一个伪造域名,然后把这个域名和真实站点的URL网址插入软件的管理控制面板。该工具接下来就可以和目标IP地址进行实时通信,并且采用代理把内容从合法的站点重新指向伪造的URL地址。当用户在与自己银行的真实内容进行交互时,这些内容就已经增加了欺诈的成分。伪造的URL地址潜伏在个人用户和目标之间,并且捕捉所有用户
和被攻击服务器之间的数据,而用户很难识别这种攻击。等用户发现账户资金异常时,大盗早已逃之夭夭。
为什么使用一次性口令的方法仍然不能有效地防止攻击呢?从网银交易过程来看,动态口令仅对用户身份进行认证,而没有对交易过程进行验证。待用户身份确定之后,“中间人”便拦截用户的转账操作,篡改数据后发送给服务器,而服务器没有办法区分给它发出转账指令的是用户还是木马,直接执行了转账,“中间人”再把服务器返回的信息篡改后显示给用户。这样,“中间人”就轻而易举地绕过动态口令,获取用户的个人认证信息,完全控制了这次交易。而动态口令也就成为一个“形同虚设”的“保镖”,无法真正保护用户账户的安全。而实际发生的一系列案例,也证明了动态口令无法锁牢用户的账户。
另外,动态口令通常使用对称式密钥技术,在银行服务器端的认证系统里,可以计算出所有动态密码。因此,仅仅使用动态口令无法支持电子签名和公钥计算,也就无法参与到交易过程中进行保护,更谈不上实现“不可抵赖性”。
真正的“防盗门”
中国金融认证中心总经理李晓峰先生认为:完成一个安全交易,在应用层面上必须保证交易双方不仅要有身份认证,要有保密、完整、未被篡改的数据,还需要保证这个交易是不可抵赖的,一旦与银行出现交易纠纷,这些都是必需的法律依据。因此,网银必须具备真正可靠的法律上认可的电子签名和证书,这才是问题的最终解决办法。
同样是使用双重身份认证技术,带有智能卡芯片的USB KEY数字证书因采用了公钥体系(PKI),支持电子签名,它的安全性更高。USB KEY的防范本质在于它的数字证书能够真正保护交易过程,而不仅仅在于交易开始阶段的身份认证。相比动态口令技术,单独存放在USB KEY数字证书内部的密钥在交易过程中,都会参与交易内容的计算,比如加密和签名等操作。由于USB KEY是单独的硬件设备,
而新一代的USB KEY还添加了交易认证技术,使得网络钓鱼攻击者也就无法伪造用户签名,冒充用户登录服务器,也无法篡改用户的交易数据,从而抵抗类似“交易伪造”或“交易劫持”等针对交易而不是针对身份的攻击。(国家信息安全工程技术研究中心)
影响网上银行的安全因素和风险防范对策参考文本 In The Actual Work Production Management, In Order To Ensure The Smooth Progress Of The Process, And Consider The Relationship Between Each Link, The Specific Requirements Of Each Link To Achieve Risk Control And Planning 某某管理中心 XX年XX月
影响网上银行的安全因素和风险防范对 策参考文本 使用指引:此安全管理资料应用在实际工作生产管理中为了保障过程顺利推进,同时考虑各个环节之间的关系,每个环节实现的具体要求而进行的风险控制与规划,并将危害降低到最小,文档经过下载可进行自定义修改,请根据实际需求进行调整与使用。 网络时代为大家提供了便捷、有效的手段。在这个追 求效率的社会,(略) 一、网上银行的发展现状及其优势 正当传统银行仍陶醉在开设众多分行以扩张版图之 际,看不见摸不着的网上银行正悄悄攻占市场。冲击着整 个金融业的网上银行革命已经展开,网上银行的产生把传 统银行业带入一个全新的时代,是时代的要求,也将是时 代的结果。 (一)网上银行的产生发展及其现状 1995年10月,美国三家银行联合在互联网上成立了 全球第一家真正意义上的网上银行-安全第一网络银行
(Securty First Network Bank),它通过互联网提供全球范围的金融服务,客户足不出户便可以办理存款、取款、转账、付款等业务,网上银行由此诞生。 网上银行就是信息技术、互联网与传统银行等三要素融为一体,为客户提供综合、统一、安全、实时金融服务的银行形态。 网上银行实际上是银行业务在网络上的延伸,是信息革命在世纪之交贡献给金融电子化领域的最新创意。网上银行(略) (二)网上银行与传统银行相比存在的显著优势 网上银行从一诞生,便显示了强大的生命力,美国和欧洲是网上银行发展最为迅速的国家和地区,其网上银行业务量之和约占整个市场的90%以上。网上银行之所以飞速发展,是因为与传统银行相比,具有以下显著的优势:第一、网上银行具有“3A”式服务的特点,即任何时
主题:讨论电子支付安全问题 正文: 个人认为电子支付安全问题的解决办法有以下: 1 运用防火墙技术 在做好所有安全措施之前,首先就是要做好防火墙技术,防火墙主要是防止黑客和恶意信息侵入你电脑,防止他们更改、破坏、拷贝你的重要信息,如密码,账户号等等,这就需要采取一些方法进行网上甄别,这些方法中防火墙使用的最为广泛。 首先,防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在的破坏性侵入。它可通过监测、限制或更改跨越防火墙的数据流,尽可能的对外部屏蔽网络内部信息、结构和运行状况,以此来实现网络的安全保护。用户可以用防火墙来作为内部网的安全屏障。防火墙还可以限制内部网对Internet的暴光程度,避免Internet的安全问题对内部网的传播。 防火墙系统还决定了哪些内部信息可以被外部访问,外部的哪些人可以访问内部的哪些信息,以及外部的哪些信息可以被内部的访问。所有来自和去往的Internet信息都必须经过防火墙的过滤、检查及存取控制。 但是,防火墙不能防止对网上信息的窃听,篡改等攻击。。 3、2认证技术 我们在某公司购买商品,首先要确认这家公司是否合法,而对方也要了解我们的身份,如察看身份证,在互相确认身份后才会有交易的产生。在网络世界更是如此,在交易过程中双方只能通过计算机屏幕进行交谈,网上交易无法面对面的交易,双方都无法确认对方的身份,网上支付安全和信任问题就显的犹为重要。因此需要身份识别。如果不进行身份识别,第三方就有可能假冒交易一方的身份,以破坏交易,而进行身份识别以后,交易双方就可以防止互相猜疑的情况。 而这一问题一方面要通过技术手段来解决,如加密技术、数字签名技术等,同时也需要一个权威认证机构负责其中的仲裁和信誉保障。数字证书作为网上交易双方真实身份证明的依据,是一个经证书授权中心(CA)数字签名的、包含证书申请者个人信息及其公开密钥的文件。基于公开密钥体制的数字证书是电子商务安全体系的核心,用途是利用公共密钥加密系统来保护和验证公众的密钥,由可信任的公正的权威机构CA颁发。CA对申请者所提供的信息进行验证,然后通过向电子商务各参与方颁发数字证书,来确认各方的身份,保证网上支付的安全性。 证书帮助证实个人身份。当你把你的证书发送给某人,并将消息用你的密钥加密,接收者就能用证书中的公钥来证实你的身份。你的证书你的密码就是你是谁的依据,如此一来,当有人用冒用你的公钥作数字签名时,证书就可以马上提出证明,从而解决数字签名最棘手的问题。 现在,电子商务认证机构(CA)是为了解决电子商务中交易参与各方身份及资信的认定,维护交易活动的安全,从根本上保障电子商务活动顺利进行而设立的,它对于增强网上交易各方的信任、提高网上交易的安全、控制交易风险、推动电子商务的发展都是必不可少的,保证在互联网上传送数据的安全及电子支付的安全。因此,只有建立一个良好的CA体系,才能较好的实现网上支付,真正实现电子购物。 3、3 密码安全 网上交易活动在Internet上进行,大量的数据需要在网上传输,其中包括资料、订单、公函、合同、契约身份证名、法律文书等敏感信息。这些传统上基于纸面的、常常需要签名或盖章
目录 引言 (1) 一、电子支付概述 (1) 二、我国电子支付发展现状 (2) 三、电子支付现存的主要问题 (3) 四、电子支付改革对策 (4) 四、总结 (6)
我国电子支付的现状与存在问题分析 引言 近些年来,随着互联网的不断发展与普及电子商务的应用领域也在不断扩大,比如网络购物、个人理财、网上银行、证券交易等等。这些网络服务项目得以完成的基本条件就是电子支付与结算。电子支付从技术上和交易过程上连接着客户、收款方、银行以及电子支付服务商等众多电子商务主体。因此采取恰当的电子支付方式,是保证整个电子商务系统有效运转的关键。 一、电子支付概述 1.电子支付的概念 电子支付(electronic payment),是指以电子计算机及其网络为手段,将负载有特定信息的电子数据取代传统的支付工具用于资金流转,并具有实时支付效力的一种支付方式。 2.电子支付的实现方式 (1)信用卡支付 可以在现实世界和网络世界中使用,在因特网上使用时,它可以在各个银行相互认可的前提下,在不同银行之间进行资金的流转,因而能够更为快捷的实现电子支付,是电子支付中最常用的方法之一。 (2)电子货币 电子货币是以电子计算机及其网络进行储存支付和流通的一种非现金流通的货币,其具有支付适应性强、变通性好、交易成本低廉等特点,是电子支付的最为重要载体。电子支票完全抛开了纸质的媒介,其支票的形式是通过网络传播,显现在电子屏幕上,并用数字签名代替了传统的签名方式。1996年美国金融服务技术财团研制出的电子支票交易系统现在仍在广泛使用。2002年,新加坡开发了亚洲第一大电子支票系统,此外,NetbiU和Netcheque等电子支票系统也在试用当中。 (3)电子支票(E—cash)
我国网上银行采用的安全技术与措施分析 一、实验目的与内容 登陆国内各家网上银行,以中国建设银行、中国招商银行、中国农业银行以及中国工商银行为例,了解我国网上银行采用的安全技术与措施(或手段等),从而对比分析各家银行的网银业务中,安全措施的严格性与可靠性、方便性等。 二、实验过程 1﹒中国建设银行 网络安全是中国建设银行网上银行(https://www.doczj.com/doc/1512081250.html,)应用的关键和核心。为了能让客户安全、放心地使用网上银行,建设银行制定了以下安全策略,以全面保护客户的信息资料与资金的网上交易安全: (1)短信服务 建设银行网上银行提供了从登录、查询、交易直到退出的每一个环节的短信提醒服务,客户可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。(2)动态口令卡 动态口令是一种动态密码技术,简单地说,就是客户每次在网上银行进行资金交易时使用不同的密码,进行交易确认。 建设银行推出的网上银行动态口令卡是一种大小、形状与银行卡一样的卡片,俗称刮刮卡。每张卡片覆盖有30个不同的密码,客户在使用网上银行过程中,需要输入交易密码时,只需按顺序输入刮刮卡上的密码即可,每个密码只可以使用一次。 (3)网银盾 如图1所示,为中国建设银行网银盾: 图1 中国建设银行网银盾 (4)双密码控制,并设定了密码安全强度 网上银行系统采取登录密码和交易密码两种控制,并对密码错误次数进行了限制,超出限制次数,客户当日即无法进行登录。在客户首次登录网上银行时,系统将强制要求用户修改在柜台签约时预留的登录密码,并对密码强度进行了检测,要求客户不能使用简单密码,有利于提高客户端的安全性。
(5)交易限额控制 网上银行系统对各类资金交易均设定了交易限额,以进一步保证客户资金的安全。如表1,为中国建设银行网上银行交易限额表: 表1 中国建设银行网上银行交易限额表 (6)E路护航网银安全组件 “中国建设银行E路护航网银安全组件”,包括网银安全检测工具、网银安全控件、密码保护控件等一系列安全增值服务,并且通过升级至最新的网银盾管理工具,可进一步提升网银盾的安全性,实现“所见即所签”功能,有效防范木马病毒的侵袭,通过使用网银盾证书更新工具,在客户端进行证书更新,提高证书更新成功率。如图2所示,为中国建设银行E路护航测试工具: 图2 中国建设银行E路护航测试工具 2﹒中国招商银行
随着经济、金融、电子商务的发展,我国的支付市场和支付体系也正在发生重大变化。非银行机构开始介入支付市场,如一些地方为公用事业缴费成立的代收付中心、一些地方为满足多用途储值卡使用的需要建立的清算机构,网上支付机构也随着经济的发展正在日益兴起。 一、网上支付发展现状 2005年初,国务院办公厅2号文件《关于加快我国电子商务发展的若干意见》和《电子签名法》的出台以及《电子支付指引》的推出为网上支付的发展提供了法律和政策上的支持,短短一年时间内,仅国内的第三方支付平台就已经发展到50多家。对比六年前,电子支付系统的运用已经取得了迅速的发展,非凡是第三方支付平台的出现,引发了支付方式的变革。 网上支付的发展,疏通了电子商务交易过程的资金流,打通了电子商务发展的支付瓶颈。从整个支付体系看,网上支付将逐步成为我国支付市场和支付体系的重要组成部分。目前,十七家全国性的商业银行都开办了电子银行业务,并且大部分都设立了专门的电子银行部门,为网上银行的发展奠定了良好的基础。据工商银行数据显示,2004年,工商银行企业交易额是206870亿,网上笔数是3486万笔,个人网上支付交金额已经突破了2351亿,个人交易笔数是3683万笔,说明网上支付方式取得了飞速的发展。网上支付由于其独具的方便性得到了广大消费者的喜爱,通过对阿里巴巴支付宝进行的调查显示,过半的被调查用户对网上支付有极大爱好。其中60以上的用户是因为其便捷性、节省时间而选择使用的。个人网上支付涵盖网上购物、网络游戏、定房订票、网络教育等多个行业,支付方式则多以银行储蓄卡为主。 二、网上支付面临的问题 1.安全问题 根据对网上支付使用情况的调查显示,目前网民不使用网上支付的原因,最主要是因为担心安全,其次是个人隐私,以及注册麻烦和不太习惯使用这些工具等因素。央视生活频道近日播出的节目中,披露了一种新型金融造假手段,不法分子在网民网上购物交易时,利用与银行网站相类似的网络页面,盗取银行卡密码等私人信息,然后通过网上转账的方式将资金转走,导致网民在支付的过程中受到损失。另外,黑客、木马病毒的攻击让网民在支付的过程中防不胜防。木马潜伏在计算机中,时刻监视用户的一举一动,从而盗取帐户密码和信息。而黑客,则利用系统漏洞、用户的安全意识薄弱入侵用户的计算机,盗取用户的相关信息和密码,导致网民在网上支付受损。安全问题已经成为影响网上支付发展的主要因素。 2.金融监管问题 网上支付虽然给网民带来很多方便,解决了电子商务的支付瓶颈问题,但由于目前我国关于电子支付的法律法规并不完善,网上支付无序的发展存在一定金融安全隐患。 (1)缺乏对吸储行为的监管 目前,第三方支付平台利用资金暂时停留,在交易过程中约束和监督了买家和卖家,保护了买卖双方的利益。专家认为,在支付过程中,资金在第三方里面会出现一段时间上的滞留,随着将来用户数量的急剧增长,这个资金沉淀量将会非常巨大。据了解,目前国内一些第三方支付系统的年交易额已经达到了数亿元,而据估计,在今后两年内,这个数字将达到十几亿甚至几十亿元,即使按照简单测算,天天滞留在第三方平台上的资金也至少有数百万元,而根据目前的交易规则,支付金额将可以在第三方支付平台中停留3天到一周不等。这样,平台中随时都有数以千万的资金停留。假如他们出现经营风险,则必将危及其吸存资金安全,损害买卖交易双方的利益,假如支付服务商(非凡是专门从事支付服务的第三方服务商)的 服务领域扩大到在定程度,假如交易客户和沉淀资金达到一定规模,很有可能引发系统性支付风险,并引发社会问题。 在国内,法律规定只有金融机构才有权利吸纳代理用户的钱,其他企业和机构不得从事类似的活动。但由于第三方支付平台出现不久,而且交易数额仍显不大,所以目前还没有相
摘要 随着中国加入WTO,外国银行进入中国市场,国内银行的业务越来越多的移植到网络银行上,因此网上银行的需求日益增加。但是Internet 的开放性特点,使网上银行面临种种风险,可以说安全性是网上银行最大的考核要素。所以一套完善的安全系统是网上银行的必备。本文介绍国内外网上银行所普遍采用的安全技术和方案,将从数据和业务逻辑的两个角度详细地分析一般网上银行系统的安全需求,并据此引入以PPDRR 为安全模型的安全设计方案。主要安全技术包括SSL 数据加密、CFCA 数字证书认证、动态口令技术、基于角色的访问控制机制等。通过阅读本文,读者不但可以了解网上银行普遍采用的安全系统架构以及相关技术,而且对开发实际安全应用系统具有一定的指导意义。 回页首网上银行的安全系统概述 背景 安全是网上银行应用推广的基础,网上银行的安全系统是为了保证网上银行系统的数据不被非法存取或修改,保证业务处理按照银行规定的流程被执行。 网络与信息安全涉及的领域非常广泛,就安全保密技术要实现的目标来看,一般可包括以下6 个方面,或叫做安全服务模型,即:身份认证、授权控制、审计确认、数据保密、数据完整和可用性。 为保证网上银行的网络与信息安全,银行一般采用多层次体系结构的网上银行安全系统。可以划分为:网络层、系统层和应用层三个层次。网络层的组成部件包括:物理线路、路由器、交换机、网管软件、防火墙、加密机等;系统层主要由主机、操作系统、数据库、杀毒软件等部件构成;应用层主要由Web 服务器、应用服务器、网上银行系统软件、RA 服务器、动态密码服务器等组成。
业务逻辑安全需求 业务逻辑安全主要是为了保护网上银行业务逻辑按照特定的规则和流程被存取及处理。 身份认证需求 在双方进行交易前,首先要能确认对方的身份要求交易双方的身份不能被假冒或伪装。同时客户端容易感染木马病毒,普通的静态密码认证已不能满足网络银行的安全需求。网银系统需要更有效的身份认证系统。 访问控制需求 访问控制是网上银行安全子系统中的核心安全策略,对关键网络、系统和数据的访问必须得到有效的控制,这就要求系统能够确认访问者的身份,谨慎授权,并对任何访问进行跟踪记录。网银系统访问控制需求体现在以下几个方面: 1. 制卡和卡数据维护必须指定专门的管理人员; 2. 企业用户不能访问面向个人的交易; 3. 个人网银用户不能访问面向企业用户的交易; 4. 批量制卡操作和制卡数据导出只能由动态密码管理的系统管理员操作; 5. 柜员建立卡信息和客户信息的关联应采取授权机制。 交易重复提交控制需求 交易重复提交就是同一个交易被多次提交给网银系统。查询类的交易被重复提交将会无故占用更多的系统资源,而管理类或金融类的交易被重复提交后,后果则会严重的多。交易被重复提交可能是无意的,也有可能是蓄意的攻击。 网银安全子系统必须对管理类和金融类交易提交的次数进行控制,这种控制即要有效的杜绝用户的误操作,还不能影响用户正常情况下对某个交易的多次提交。 数据安全需求
电子商务环境下移动支付的安全性分析 2009.2.28 21:23 中国移动手机支付业务网站 电子商务环境下的移动支付是指单位或个人通过移动设备,直接或间接向银行业金融机构发出支付指令,实现货币支付与资金转移的行为移动支付所使用的移动设备可以是手机、PDA、移动PC等。从移动支付的实质上讲,移动支付就是将移动网络与金融系统结合,把移动网络作为实现移动支付的工具和手段,为用户提供货币支付、缴费等金融服务的业务。 移动支付通常有以下几种实现方式:(1)短信(SMS)支付,终端用户通过发送短消息的形式请求服务内容,从用户的话费中扣除费用,通常只适合于小额支付。(2)WAP(Wireless Application Protocol),终端用户通过访问WAP站点,进行简单的金融业务。(3)USSD(Unstructured Supplementary ServiceData,非结构化补充数据业务),是一种基于GSM网络的新型交互式数据业务,如证券交易、移动银行业务。(4)N FC((Near Field Communication),是一种短距离的无线连接技术,支付和票务业务是应用最早的NFC业务。 一、移动支付中的安全问题 在整个移动支付的过程中涉及到的支付参与者包括:消费用户、商户用户、移动运营商、第三方服务提供商、银行。消费用户和商户用户是系统的服务对象,移动运营商提供网络支持,银行方提供银行相关服务,第三方服务提供商提供支付平台服务,通过各方的结合以实现业务。移动支付需要考虑以下安全问题:(1)移动终端接入支付平台的安全,包括用户注册时,签约信息的安全传递,以及用户通过移动终端登录系统,其间传递的数据如签约用户名、签约密码等的安全性。(2) 支付平台内部数据传输的安全,即支付平台内部各模块之间数据传输的安全性。(3)支付平台数据存储的安全,涉及到签约用户的机密性的银行卡账户、密码、签约用户名、签约密码等的安全性。 二、移动支付的安全认证技术 当前,移动设备的大量普及为移动支付的实现提供了必要的条件,但也存在许多问题制约着移动支付的实施,如移动终端的计算环境和通信环境都非常有限,这就需要对相应的安全认证做一些特殊要求。 1.WPKI安全标准概况 WPKI (Wireless PKI)是有线PKI的一种扩展,它将互联网电子商务中PKI的安全机制引入到移动电子商务中。WPKI采用公钥基础设施、证书管理策略、软件和硬件等技术,有效地建立了安全和值得信赖的无线网络通信环境。WPKI以WAP的安全机制为基础,通过管理实体间关系、密钥和证书来增强电子商务安全。WAP安全机制包括WIM(WAP Identity Module,无线应用协议识别模块)、WMLSCrypt(WMLScript Crypto AP
Through the reasonable organization of the production process, effective use of production resources to carry out production activities, to achieve the desired goal. 影响网上银行的安全因素和风险防范对策正式版
影响网上银行的安全因素和风险防范 对策正式版 下载提示:此安全管理资料适用于生产计划、生产组织以及生产控制环境中,通过合理组织生产过 程,有效利用生产资源,经济合理地进行生产活动,以达到预期的生产目标和实现管理工作结果的把控。文档可以直接使用,也可根据实际需要修订后使用。 网络时代为大家提供了便捷、有效的手段。在这个追求效率的社会,(略) 一、网上银行的发展现状及其优势 正当传统银行仍陶醉在开设众多分行以扩张版图之际,看不见摸不着的网上银行正悄悄攻占市场。冲击着整个金融业的网上银行革命已经展开,网上银行的产生把传统银行业带入一个全新的时代,是时代的要求,也将是时代的结果。 (一)网上银行的产生发展及其现状 1995年10月,美国三家银行联合在互联网上成立了全球第一家真正意义上的网
上银行-安全第一网络银行(Securty First Network Bank),它通过互联网提供全球范围的金融服务,客户足不出户便可以办理存款、取款、转账、付款等业务,网上银行由此诞生。 网上银行就是信息技术、互联网与传统银行等三要素融为一体,为客户提供综合、统一、安全、实时金融服务的银行形态。 网上银行实际上是银行业务在网络上的延伸,是信息革命在世纪之交贡献给金融电子化领域的最新创意。网上银行(略) (二)网上银行与传统银行相比存在的显著优势
电子支付与安全 Document serial number【UU89WT-UU98YT-UU8CB-UUUT-UUT108】
练习: 货币的世界货币职能具体表现之一是:作为国际间的购买手段,用于购 买外国商品。对 狭义货币:指流通中的现钞和存款货币。对 金属货币向信用货币形式转化是货币的形式演变三个阶段之一。 对 确定有限法偿和无限法偿是货币制度的构成要素之一。对 贵金属充当交易媒介。这种支付制度存在缺陷:货币重量过大,导致运 输困难,资源数量有限,不能适应商品交易大规模的发展. 对 广义货币:除现钞外,还包括非现金形式的货币对 支票制度也有缺陷:一是运送支票需要时间,特别是异地付款需要比同 地付款更长的时间。支票存入银行也不能在当日进行支付,往往需要几 个工作日之后才能使用这笔存款。二是处理支票的费用较高。对 铸币的质量不断下降,重量减轻,成色下降是货币制度的形成原因之 一。对 “创造发明说”“保存财富说”是中国古代提出的。错 货币的世界货币职能具体表现之一是:作为社会财富的代表,由一国转 移到另一国。对 货币的世界货币职能具体表现之一是:国际市场上的支付手段,用于平 衡国际收支差额。对
确定本位币和辅币的铸造、发行和流通程序是货币制度的构成要素之一。对 随着电子计算机和网络技术的发展,支付制度正朝着电子化方向发展。 电子货币充当主要的媒介,社会正朝着无现金社会迈进。对 在商品流通中充当交换的媒介是货币的()职能流通手段 货币的形式演变大致分为()阶段。货币的现在与未来——电子货币 第一代ETF/POS系统既可用借记卡,也可用信用卡。错 支付清算系统一般由政府授权的中央银行组织建设、运营和管理,各家商业银行和金融机构共同参加。对 支付服务系统包括公司业务系统。对 中国现代化支付系统主要应用系统中,HVPS指的是小额批量支付系统。错 金融支付系统是金融业生存、发展、参与竞争的重要基础。对 支付清算系统是防范和化解金融风险的必由之路。错 POS系统结账清算处理功能是指:用借记卡交易时,从持卡人账户扣除消费额,并以联机方式或批处埋方式将账款转入特约商店账户中去。错POS系统授权处理功能有联机处理和脱机处理两种方式。对 ATM终端的种类包括大堂式、穿墙式、室外方式。对
数字现金的发展及安全性问题 内容摘要:电子商务中的数字现金的安全问题是制约电子商务健康发展的瓶颈。本文分析了数字现金的安全性问题、如何防范犯罪分子利用数字现金的安全性问题进行网络犯罪以及强化某些安全问题的一些对策。 关键词:数字现金安全性犯罪对策 现代商务领域正在进行着巨大的变革,其中的电子商务正在成为人们关注和研究的焦点。电子商务就是利用计算机网络进行产品、服务和信息的买卖。电子商务离不开资金的流动。如果我们是通过现代网络获取商务信息,而交易时却使用传统的银行业务系统,即支付手段不能在网上进行,或网上支付不安全,这将会使支付成为电子商务发展的瓶颈。网上银行及电子支付系统的建立与完善是电子商务健康发展的重要条件之一。 电子商务中的电子支付方式 电子支付相对于传统支付来说,具有更加方便、快捷、高效、经济等方面的优势。这里所说的“经济”是指在进行电子支付时的费用低廉,例如,节省时间、减少纸张支票的处理费用。然而电子支付也同时带来了新的风险,特别是安全问题,一直困扰电子支付发展。 电子支付的安全问题包括:完整地认证客户,信息完整地传输,无拒付的支付,有效的查帐机制,隐私权的保护,可靠的信息服务等。虽然这些安全问题在传统支付中也存在,但是因为电子信息易于变更,而且交易对象也不谋面,所以电子支付使这些安全问题更加突出。 电子商务中典型的支付手段有电子信用卡、电子支票和电子现金(即数字现金)。前两种支付手段在现今阶段都可以比较安全地进行交易,数字现金的安全性和可靠性主要是依靠密码技术来实现的,例如分割选择技术、零知识证明、认证、盲数字签名等(见后面详细叙述)。但是前两种支付手段都有一个很大的缺点,就是能给会计检查留下踪迹,即人们在交易后不能隐瞒将钱付给谁了,但是人们往往不愿意将自己的财政事务处于别人的监督之下,希望有自己的隐私权,即在支付完成双方分手以后,接受的一方无法获取支付的一方的任何身份信息(称之为匿名性),或是接受一方无法追踪支付的一方(称之为不可追踪性),特别是在企业对消费者和企业对企业的电子商务中。数字现金能满足人们的这一要求。数字现金是一种以数字形式存在而通过计算机网络流通的货币。数字现金中
目录 1 银行系统的安全设计 1 1.1 非法访问 (1) 1.2 窃取PIN/密钥等敏感数据 (1) 1.3 假冒终端/操作员 (1) 1.4 截获和篡改传输数据 (1) 1.5 网络系统可能面临病毒的侵袭和扩散的威胁 (1) 1.6 其他安全风险 (1) 2 银行系统的网络拓扑图及说明 (2) 3 银行系统的网络安全部署图及说明 (3) 3.1 敏感数据区的保护 (3) 3.2 通迅线路数据加密 (3) 3.3 防火墙自身的保护 (4) 4 系统的网络设备选型及说明 (5) 4.1 核心层交换机 (5) 4.2 汇聚层交换机 (5) 4.3 接入层交换机 (6) 4.4 路由器 (6) 4.5 服务器 (7) 5 安全配置说明 (8) 5.1 防火墙技术 (8) 5.2 网络防病毒体系 (8) 5.3 网络入侵检测技术 (8) 5.4 网络安全审计技术 (9) 5.5 VPN技术 (9) 总结 (10) 一.银行系统的安全设计
银行网络作为一个金融网络系统,由于涉及信息的敏感性自然会成为内部和外部黑客攻击的目标,当前银行面临的主要风险和威胁有: 1.1非法访问:银行网络是一个远程互连的金融网络系统。现有网络系统利用操作系统网络设备进行访问控制,而这些访问控制强度较弱,攻击者可以在任一终端利用现有的大量攻击工具发起攻击;由于整个网络通过公用网络互连同样存在终端进行攻击的可能;另一方面银行开发的很多增值业务、代理业务,存在大量与外界互连的接口这些接口现在没有强的安全保护措施存在外部网络通过这些接口攻击银行,可能造成巨大损失。 1.2窃取PIN/密钥等敏感数据:银行信用卡系统和柜台系统采用的是软件加密的形式保护关键数据,软件加密采用的是公开加密算法(DES),因此安全的关键是对加密密钥的保护,而软件加密最大的安全隐患是无法安全保存加密密钥,程序员可修改程序使其运行得到密钥从而得到主机中敏感数据。 1.3假冒终端/操作员:银行网络中存在大量远程终端通过公网与银行业务前置机相连国内银行以出现多起在传输线路上搭接终端的案例。银行网络同样存在大量类似安全隐患。现有操作员身份识别唯一,但口令的安全性非常弱因此存在大量操作员假冒的安全风险。 1.4截获和篡改传输数据:银行现有网络系统通过公网传输大量的数据没有加密,由于信息量大且采用的是开放的TCP/IP,现有的许多工具可以很容易的截获、分析甚至修改信息,主机系统很容易成为被攻击对象。 1.5网络系统可能面临病毒的侵袭和扩散的威胁: (1)黑客侵扰类似于网络间谍,但前者没有政治和经济目的,利用自己精通计算机知识,利用他人编程的漏洞,侵入金融信息系统,调阅各种资料,篡改他人的资料,将机密信息在公用网上散发广播等。 (2)计算机病毒是一种依附在各种计算机程序中的一段具有破坏性、能自我繁衍的计算机程序,它通过软盘、终端或其它方式进入计算机系统或计算机网络,引起整个系统或网络紊乱,甚至造成瘫痪。 1.6其他安全风险:主要有系统安全(主要有操作系统、数据库的安全配置)以及系统的安全备份等。 二.银行系统的网络拓扑图及说明 随着信息技术的发展,社会的信息化程度提高了,网络银行、电子银行出现了,整个银行业、金融业都依赖于信息系统。交易网络化、系统化、快速化和货币数字经是当前金融业的特点,这对金融信息系统的安全保密性提出了严格的要求。金融信息系统必须保证
一电子支付安全问题分析 社会信用度欠缺,用户对电子支付的安全性信心不足 据《中国电子商务诚信状况调查》显示,有%的企业和26. 34%的个人认为电子商务最让人担心的是诚信问题,电子商务的诚信已经成为公众和企业最关注的问题之一。目前,在网上传得沸沸扬扬的“江西精彩生活”利用传销电子商务“外衣”拉人事件就给了人们不良印象,唐庆南创办开通的太平洋直购官方网站,以“收取保证金”“购物返利”等形式推出了涉及供应商、渠道商、消费者和电子商务平台四方的BMC模式。以“拉人头”“收取入门费”等方式发展渠道商,收取保证金,获取非法利益,造成了严重的社会危害,涉嫌传销违法犯罪。这一案例使得人们对于网上交易又开始望而却步。电子支付产业发展迅速,但市场秩序仍不规范 随着互联网的迅猛发展,网上金融服务在世界范围内部如火如荼地开展了起来。2010年,江西省农村信用社网上银行--“百福网上银行”正式开通,江西省农村信用社发放的百福借记卡数量增长明显,同时积极与第三方机构合作,成功开发多功能受理终端并快速实现投放和应用,有效满足了江西省农村信用社持卡用户和中小商户的支付需求。与以往相比,用户可选择的支付手段和方式丰富了许多。 然而,电子支付的巨大市场前景与目前整体产业环境形成较大落差,造成了这一产业方向不明的现状。目前国内有关法律法规对电子支付的权利和义务规定不清晰,缺乏网络消费和服务权益保护管理规则,没有专门的法律来规范网络银行的经营和使用。特别是在客户信息披露和隐私权保护方面,还缺乏比较成熟的经验。第三方支付企业的法律性质的定位问题;第三方支付企业是否具备向用户提供电子支付服务的资质与能力的问题;银行与第三方支付机构对电子支付过程中应当采取哪些风险防范的问题;在电子支付过程中发生纠纷时责任的划分与举证责任的认定问题等。另外,我国网络银行的信息跟踪、检测、信息报告交流制度的相关法律规则都未建立,在利用网络签订经济合同、提供金融服务和保护银行与客户双方权利的过程中存在诸多尚待改进之处。网络侵权行为和网络信息恶意被盗行为时有发生网络侵权行为主要有: (1)互联网服务提供商(ISP Internet ServiceProvider)的侵权行为。例如:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。 (2)互联网内容提供商( ICP
信息系统安全与维护 网上银行安全问题及对策 班级:经管0801 组长:张贵艳(200809010121)
组员:代志付(200809010102) 白琼琼(200809010126) 目录 第一章绪论 (3) 1.1 选题背景 (3) 1.2 选题目的和意义 (4) 1.3国内外网上银行进展现状 (5) 1.3.1国外网上银行进展现状 (5) 1.3.2国内网上银行进展现状 (5) 第二章网上银行概述 (10) 2.1网上银行的概念及含义 (11) 2.1.1网上银行的概念 (11) 2.1.2网上银行的含义 (11) 2.2我国进展网上银行的动机 (12)
2.3网上银行的特点 (12) 2.3.1网上银行的共同特点 (12) 2.3.2我国网上银行进展的自身特点 (14) 第三章我国网上银行交易中存在的要紧问题 (14) 3.1 服务器端系统存在的要紧问题 (15) 3.2客户端认证环节存在的要紧问题 (17) 3.3数据传输环节存在的要紧问题 (18) 第四章我国网上银行安全交易的对策 (19) 4.1构建全方位的服务器安全系统 (19) 4.2 SSL在网上银行中的应用 (21) 4.2.1 SSL协议的概述 (21) 4.3网上银行交易安全治理模型 (24) 第五章总结与展望 (27)
第一章绪论 1.1 选题背景 自20世纪70年代以来,世界各国出现了一场以金融创新为标志的金融革命,这场大规模的金融革命对世界各国的经济进展产生了巨大震动,使各国的银行业受到了巨大冲击。金融创新使金融产品和金融服务的技术含量增加,且便捷化。为了获得更多的利益,需要在金融活动中充分导入计算机技术和网络化技术,最后导致了以电子计算网络技术为核心和基础的网上银行的产生,网上银行正是这场革命的产物。 网上银行是与电子商务紧密联系在一起的,是网络经济进展的产物。20世纪90年代以来,在信息技术取得了突破性进展的基础上,电子通讯网络技术也得到了飞速的进展。这极大推动了以互联网为基础的电子商务的进展。电子商务通过互联网以及其他多种电
练习: 货币的世界货币职能具体表现之一是:作为国际间的购买手段,用于购买外国商品。对 狭义货币:指流通中的现钞和存款货币。对 金属货币向信用货币形式转化是货币的形式演变三个阶段之一。对确定有限法偿和无限法偿是货币制度的构成要素之一。对 贵金属充当交易媒介。这种支付制度存在缺陷:货币重量过大,导致运输困难,资源数量有限,不能适应商品交易大规模的发展. 对 广义货币:除现钞外,还包括非现金形式的货币对 支票制度也有缺陷:一是运送支票需要时间,特别是异地付款需要比同地付款更长的时间。支票存入银行也不能在当日进行支付,往往需要几个工作日之后才能使用这笔存款。二是处理支票的费用较高。对 铸币的质量不断下降,重量减轻,成色下降是货币制度的形成原因之一。对“创造发明说”“保存财富说”是中国古代提出的。错 货币的世界货币职能具体表现之一是:作为社会财富的代表,由一国转移到另一国。对 货币的世界货币职能具体表现之一是:国际市场上的支付手段,用于平衡国际收支差额。对 确定本位币和辅币的铸造、发行和流通程序是货币制度的构成要素之一。对 随着电子计算机和网络技术的发展,支付制度正朝着电子化方向发展。电子货币充当主要的媒介,社会正朝着无现金社会迈进。对 在商品流通中充当交换的媒介是货币的()职能流通手段 货币的形式演变大致分为()阶段。货币的现在与未来——电子货币
第一代ETF/POS系统既可用借记卡,也可用信用卡。错 支付清算系统一般由政府授权的中央银行组织建设、运营和管理,各家商业银行和金融机构共同参加。对 支付服务系统包括公司业务系统。对 中国现代化支付系统主要应用系统中,HVPS指的是小额批量支付系统。错金融支付系统是金融业生存、发展、参与竞争的重要基础。对 支付清算系统是防范和化解金融风险的必由之路。错 POS系统结账清算处理功能是指:用借记卡交易时,从持卡人账户扣除消费额,并以联机方式或批处埋方式将账款转入特约商店账户中去。错 POS系统授权处理功能有联机处理和脱机处理两种方式。对 ATM终端的种类包括大堂式、穿墙式、室外方式。对 支付信息管理系统连接金融综合业务处理系统,对基础数据进行采集、加工、分析和处理。对 ATM系统中AD指的是自动取款机。错 支付服务系统功能包括跨行AM、POS授权服务。{FALSE} 支付是是围绕银行、银行客户、客户、客户开户行的资金收付关系。对 银行与客户之间的支付与结算是银行向客户提供的一种金融服务,是支付系统的基础。对 小额批量电子支付系统贷记支付工具有:支票、银行汇票、定期借记、预先授信借记、银行本票等。错
网上银行安全技术手段知多少 网上银行安全技术手段知多少? 只要轻点鼠标就可以缴费、转账、买基金和股票,网上银行拥有的便利使越来越多的人开始尝试使用。然而,网上银行的安全性却始终让不少消费者心存忐忑。为了提高网上银行的安全性,各大银行可谓费尽心思。那么,银行提供的安全服务措施有哪些?网银用户如何使用?在交易时应该注意些什么?记者为此进行了一番探访。 USBKey安全性较高 现在,很多银行都在采用USBKey数字证书技术,如工商银行的U盾和招商银行的UKEY等。USBKey外形类似于U盘,是一种USB接口的硬件存储设备。使用时,直接将USBKey插入电脑的USB接口上即可,但必须安装相应的支持软件。USBKey便于随身携带,不受重装电脑的影响,能够在不同机器上安全地使用,所以现在大多银行都推荐用户选用。 专家介绍说,USBKey内置微型智能卡处理器,能对网上数据进行加密、解密和数字签名。消费者申请了USBKey数字证书之后,所有涉及资金对外转移的网银操作,都必须使用USBKey才能完成,是一种较为完美的安全技术手段。 动态口令牌国际通用 2008年,中国银行将其网银业务全面升级,并在国内首家采用了动态口令牌,其他外资银行如汇丰、花旗等也都使用了动态口令牌。 动态口令牌是一种每隔一定时间就可以自动更新密码的专用硬件。长期以来,客户为自己的银行卡设置的都是静态密码,而且经常使用位数少或有规律的密码,这样的密码容易被犯罪分子破解。 与目前银行多采用的USBKey不同,动态口令牌实现了与电脑的完全物理隔离,无需安装驱动,也不需要记忆密码,使用十分简单。密码每60秒随机更新一次,一次有效,不可重复使用,大大提升了网银的安全,是目前国际上通用的较为先进的网银安全系统。 动态软键盘存漏洞 客户在网上银行进行相关交易时,通常都是通过电脑上的键盘来输入相关卡号和密码。目前,一些网上银行在客户交易时,会自动在电脑屏幕上生成密码软键盘输入器。客户用鼠标在上面直接点击输入相关卡号或密码即可,这就是动态软键盘。使用动态软键盘的好处是木马程序无法监测到用户的密码输入,而且软键盘上的数字是动态显示的,每次登录时数字在软键盘上的位置显示位置不同,可以避免密码被旁边的人窃取。采用动态软键盘技术虽然能使攻击者无法截获密码,但是黑客可以通过IE浏览器的COM接口获取密码,因此这种技术手段仍存在安全漏洞。 电子口令卡须定期更换 一些银行还推出了电子口令卡,如中国工商银行、中国农业银行等都在使用。电子口令卡相当于一种动态的网银密码,在口令卡上以坐标的形式印有若干字符串,用户在使用网银或电话银行进行对外转账、网上购物、缴费等支付交易时,网银系统就会随机给出一组口令卡坐标,用户可根据坐标从卡片中找到口令并输入网银系统。只有当口令组合输入正确时,用户才能完成相关交易。 专家指出,这种口令组合是动态变化的,使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通过窃取客户密码盗窃资金,保障网银的安全。然而,使用口令卡有使用次数的限制,如工商银行的可使用1000次,如果使用完后还想继续使用的话必须到银行更换。
电子支付的安全问题分析 一、电子商务概述 电子商务是一种采用最先进信息技术的买卖方式,整个电子商务过程并不是工业经济阶段商务活动的翻版,电子商务是将“通信服务”、“数据管理服务”、“安全服务”等三项基本服务融为一体的商业活动。电子商务有巨大的市场与无限的商机,蕴含着现实的和潜在的丰厚商业利润。狭义的电子商务也称作电子交易,主要利用web提供的通信手段在网上进行的交易活动,也通过In ternet买卖商品和服务。广义的电子商务还包括企业内部的商务活动以及企业间的商务活动,它不仅仅是硬件和软件的组合,还是买家、卖家、厂家和合作伙伴在 In ternet、Intranet和Extra net上利用互联网技术与现有的系统结合起来开展业务的综合系统。 二、电子支付的基本概念 电子支付,是指从事电子商务交易的当事人,包括消费者、厂商和金融机构,通过信息网络,使用安全的信息传输手段,采用数字化方式进行的货币支付或资金流转。与传统的支付方式相比,电子支付具有以下特征: 电子支付是采用先进的技术通过数字流转来完成信息传输的,其各种支付方式都是采用数字化的方式进行款项支付的;而传统的支付方式则是通过现金的流 转、票据的转让及银行的汇兑等实体是流转来完成款项支付的。 电子支付的工作环境是基于一个开放的系统平台(即因特网)之中;而传统支付则是在较为封闭的系统中运作。 电子支付使用的是最先进的通信手段,如因特网、Extra net ;而传统支付使 用的则是传统的通信媒介。电子支付对软、硬件设施的要求很高,一般要求有联网的微机、相关的软件及其它一些配套设施;而传统支付则没有这么高的要求。 电子支付具有方便、快捷、高效、经济的优势。用户只要拥有一台上网的PC 机,便可足不出户,在很短的时间内完成整个支付过程。支付费用仅相当于传统支付的几十分之一,甚至几百分之一。 三、电子商务的电子支付安全要求 目前电子商务工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于In ternet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的电子支付安全主要体现在以下几方面:
建设银行网上银行的安全措施 (新编版) Understand the common sense of safety, you can understand what safety issues should be paid attention to in daily work, and enhance your awareness of prevention. ( 安全管理 ) 单位:______________________ 姓名:______________________ 日期:______________________ 编号:AQ-SN-0708
建设银行网上银行的安全措施(新编版) 安全是我行网上银行应用的关键和核心。为了能让您安全、放心地使用网上银行,我行制定了八大安全策略,以全面保护您的信息资料与资金的安全。 1.短信服务 我行网上银行提供了从登陆、查询、交易、直到退出的每一个环节的短信提醒服务,您可以直接通过网上银行捆绑其手机,随时掌握网上银行使用情况。 2.加强证书存贮安全 我行网上银行系统支持网银盾证书功能。网银盾具有安全性、移动性、使用的方便性,我行在推广网银盾证书的时候,考虑到客户的需求,在网银盾款式、附加功能上进行了创新,使我行的网银盾更具吸引力。为保证您的资金安全,请用完后立即拔下网银盾。
3.动态口令卡 我行网上银行除了向客户提供证书保护模式外,还推出了动态口令卡,可以免除了您携带证书和使用证书的不便,动态口令卡样式轻小、安全性高。 4.先进技术的保障 中国建设银行网上银行系统采用了严格的安全性设计,通过密码校验、CA证书、SSL(加密套接字层协议)加密和服务器方的反黑客软件等多种方式来保证客户信息安全。 5.双密码控制,并设定了密码安全强度 网上银行系统采取登录密码和交易密码两种控制,并对密码错误次数进行了限制,超出限制次数,使用者当日即无法进行登录。在您首次登录网上银行时,系统将引导您设置交易密码,并对密码强度进行了检测,拒绝使用简单密码,有利于提高您使用账户的安全性。在系统登录时,我们为您提供了附加码和密码小键盘等服务,避免泄露您的信息。 6.交易限额控制