網(wǎng)上銀行安全保障

時(shí)間：2022-02-17 08:08:01 | 來(lái)源：信息時(shí)代

時(shí)間：2022-02-17 08:08:01 來(lái)源：信息時(shí)代

安全特性

由于互聯(lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò)，客戶在網(wǎng)上傳輸?shù)拿舾行畔?如密碼、交易指令等)在通訊過(guò)程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發(fā)生，網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施，使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。
網(wǎng)上銀行

SSL協(xié)議是由Netscape首先研制開(kāi)發(fā)出來(lái)的，其首要目的是在兩個(gè)通信間提供秘密而可靠的連接，大部分Web服務(wù)器和瀏覽器都支持此協(xié)議。用戶登錄并通過(guò)身份認(rèn)證之后，用戶和服務(wù)方之間在網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)全部用會(huì)話密鑰加密，直到用戶退出系統(tǒng)為止。而且每次會(huì)話所使用的加密密鑰都是隨機(jī)產(chǎn)生的。這樣，攻擊者就不可能從網(wǎng)絡(luò)上的數(shù)據(jù)流中得到任何有用的信息。同時(shí)，引入了數(shù)字證書(shū)對(duì)傳輸數(shù)據(jù)進(jìn)行簽名，一旦數(shù)據(jù)被篡改，則必然與數(shù)字簽名不符。SSL協(xié)議的加密密鑰長(zhǎng)度與其加密強(qiáng)度有直接關(guān)系，一般是40～128位，可在IE瀏覽器的'幫助''關(guān)于'中查到。建設(shè)銀行等已經(jīng)采用有效密鑰長(zhǎng)度128位的高強(qiáng)度加密。

'網(wǎng)上銀行'系統(tǒng)是銀行業(yè)務(wù)服務(wù)的延伸，客戶可以通過(guò)互聯(lián)網(wǎng)方便地使用商業(yè)銀行核心業(yè)務(wù)服務(wù)，完成各種非現(xiàn)金交易。但另一方面，互聯(lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò)，銀行交易服務(wù)器是網(wǎng)上的公開(kāi)站點(diǎn)，網(wǎng)上銀行系統(tǒng)也使銀行內(nèi)部網(wǎng)向互聯(lián)網(wǎng)敞開(kāi)了大門(mén)。因此，如何保證網(wǎng)上銀行交易系統(tǒng)的安全，關(guān)系到銀行內(nèi)部整個(gè)金融網(wǎng)的安全，這是網(wǎng)上銀行建設(shè)中最至關(guān)重要的問(wèn)題，也是銀行保證客戶資金安全的最根本的考慮。

為防止交易服務(wù)器受到攻擊，銀行主要采取以下三方面的技術(shù)措施：

設(shè)立防火墻

一般采用多重防火墻方案。其作用為：

（1）分隔互聯(lián)網(wǎng)與交易服務(wù)器，防止互聯(lián)網(wǎng)用戶的非法入侵。

（2）用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔，有效保護(hù)銀行內(nèi)部網(wǎng)，同時(shí)防止內(nèi)部網(wǎng)對(duì)交易服務(wù)器的入侵。

安全服務(wù)器

服務(wù)器使用可信的專用操作系統(tǒng)，憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查，保證只有合法用戶的交易請(qǐng)求能通過(guò)特定的代理程序送至應(yīng)用服務(wù)器進(jìn)行后續(xù)處理。

24小時(shí)監(jiān)控

例如采用ISS網(wǎng)絡(luò)動(dòng)態(tài)監(jiān)控產(chǎn)品，進(jìn)行系統(tǒng)漏洞掃描和實(shí)時(shí)入侵檢測(cè)。在2000年2月Yahoo等大網(wǎng)站遭到黑客入侵破壞時(shí)，使用ISS安全產(chǎn)品的網(wǎng)站均幸免于難。

身份識(shí)別

網(wǎng)上交易不是面對(duì)面的，客戶可以在任何時(shí)間、任何地點(diǎn)發(fā)出請(qǐng)求，傳統(tǒng)的身份識(shí)別方法通常是靠用戶名和登錄密碼對(duì)用戶的身份進(jìn)行認(rèn)證。但是，用戶的密碼在登錄時(shí)以明文的方式在網(wǎng)絡(luò)上傳輸，很容易被攻擊者截獲，進(jìn)而可以假冒用戶的身份，身份認(rèn)證機(jī)制就會(huì)被攻破。

在網(wǎng)上銀行系統(tǒng)中，用戶的身份認(rèn)證依靠基于'RSA公鑰密碼體制'的加密機(jī)制、數(shù)字簽名機(jī)制和用戶登錄密碼的多重保證。銀行對(duì)用戶的數(shù)字簽名和登錄密碼進(jìn)行檢驗(yàn)，全部通過(guò)后才能確認(rèn)該用戶的身份。用戶的唯一身份標(biāo)識(shí)就是銀行簽發(fā)的'數(shù)字證書(shū)'。用戶的登錄密碼以密文的方式進(jìn)行傳輸，確保了身份認(rèn)證的安全可靠性。數(shù)字證書(shū)的引入，同時(shí)實(shí)現(xiàn)了用戶對(duì)銀行交易網(wǎng)站的身份認(rèn)證，以保證訪問(wèn)的是真實(shí)的銀行網(wǎng)站，另外還確保了客戶提交的交易指令的不可否認(rèn)性。由于數(shù)字證書(shū)的唯一性和重要性，各家銀行為開(kāi)展網(wǎng)上業(yè)務(wù)都成立了CA認(rèn)證機(jī)構(gòu)，專門(mén)負(fù)責(zé)簽發(fā)和管理數(shù)字證書(shū)，并進(jìn)行網(wǎng)上身份審核。2000年6月，由中國(guó)人民銀行牽頭，12家商業(yè)銀行聯(lián)合共建的中國(guó)金融認(rèn)證中心(CFCA)正式掛牌運(yùn)營(yíng)。這標(biāo)志著中國(guó)電子商務(wù)進(jìn)入了銀行安全支付的新階段。中國(guó)金融認(rèn)證中心作為一個(gè)權(quán)威的、可信賴的、公正的第三方信任機(jī)構(gòu)，為今后實(shí)現(xiàn)跨行交易提供了身份認(rèn)證基礎(chǔ)。

認(rèn)證介質(zhì)

綜述

常用的認(rèn)證介質(zhì)有：

1、密碼

2、文件數(shù)字證書(shū)

3、動(dòng)態(tài)口令卡

4、動(dòng)態(tài)手機(jī)口令

5、移動(dòng)口令牌

6、移動(dòng)數(shù)字證書(shū)

密碼

密碼是每一個(gè)網(wǎng)上銀行必備有認(rèn)證介質(zhì)，記得要使用安全好記的密碼就是。但是密碼非常容易被木馬盜取或被他人偷窺。

安全系數(shù)30%

便捷系數(shù)100%

文件數(shù)字證書(shū)

文件數(shù)字證書(shū)是存放在電腦中的數(shù)字證書(shū)，每次交易時(shí)都需用到，如果你的電腦沒(méi)有安裝數(shù)字證書(shū)是無(wú)法完成付款的；已安裝文件數(shù)字證書(shū)的用戶只需輸密碼即可。

未安裝文件數(shù)字證書(shū)的用戶安裝證書(shū)需要驗(yàn)證大量的信息，相對(duì)比較安全。

但是文件數(shù)字證書(shū)不可移動(dòng)，對(duì)經(jīng)常換電腦使用的用戶來(lái)說(shuō)不方便（支付寶等虛擬的一驗(yàn)證手機(jī)，而網(wǎng)上銀行一般要去銀行辦理）；而且文件數(shù)字證書(shū)有可能被盜?。m然不易，但是能），所以不是絕對(duì)安全的。

安全系數(shù)70%

便捷系數(shù)100%（家庭用戶）

30%（網(wǎng)吧用戶）

提供商：招商銀行中國(guó)農(nóng)業(yè)銀行

動(dòng)態(tài)口令卡

動(dòng)態(tài)口令卡是一種類似游戲的密?？幼拥目?。

卡面上有一個(gè)表格，表格內(nèi)有幾十個(gè)數(shù)字。當(dāng)進(jìn)行網(wǎng)上交易時(shí)，銀行會(huì)隨機(jī)詢問(wèn)你某行某列的數(shù)字，如果能正確地輸入對(duì)應(yīng)格內(nèi)的數(shù)字便可以成功交易；反之不能。

動(dòng)態(tài)口令卡可以隨身攜帶，輕便，不需驅(qū)動(dòng)，使用方便，但是如果木馬長(zhǎng)期在你的電腦中，可以漸漸地獲取你的口令卡上的很多數(shù)字，當(dāng)獲知的數(shù)字達(dá)到一定數(shù)量時(shí)，你的資金便不再安全，而且如果在外使用，也容易被人拍照。

安全系數(shù)50%

便捷系數(shù)80%

提供商：中國(guó)工商銀行中國(guó)農(nóng)業(yè)銀行

動(dòng)態(tài)手機(jī)口令

當(dāng)你嘗試進(jìn)行網(wǎng)上交易時(shí)，銀行會(huì)向你的手機(jī)發(fā)送短信，如果你能正確地輸入收到的短信則可以成功付款，反之不能。

不需安裝驅(qū)動(dòng)，只需隨身帶手機(jī)即可，不怕偷窺，不怕木馬。相對(duì)安全。

但是必須隨身帶手機(jī)，手機(jī)不能停機(jī)（手機(jī)停機(jī)，無(wú)法付款；無(wú)法匯款，就會(huì)一直停機(jī)。就像給證明就給開(kāi)箱，不開(kāi)箱沒(méi)有證件就無(wú)法證明一樣了），不能沒(méi)電，不能丟失。而且有時(shí)通信運(yùn)營(yíng)商服務(wù)質(zhì)量低導(dǎo)致短信遲遲沒(méi)到，影響效率。

安全系數(shù)80%~90%

便捷系數(shù)80%（手機(jī)隨身，話費(fèi)充足，信號(hào)良好）

30%~80%（手機(jī)不隨身，經(jīng)常停機(jī)，信號(hào)差，有時(shí)還會(huì)弄丟手機(jī)）

提供商：招商銀行中國(guó)工商銀行光大銀行郵政儲(chǔ)蓄銀行

移動(dòng)口令牌

類似夢(mèng)幻西游的將軍令，一定時(shí)間換一次號(hào)碼。付款時(shí)只需按移動(dòng)口令牌上的鍵，這時(shí)就會(huì)出現(xiàn)當(dāng)前的代碼。一分鐘內(nèi)在網(wǎng)上銀行付款時(shí)可以用憑這個(gè)編碼付款。如果無(wú)法獲得該編碼，則無(wú)法成功付款。

不需要驅(qū)動(dòng)，不需要安裝，只要隨身帶就行，不怕偷窺，不怕木馬。口令牌的編碼一旦使用過(guò)就立即失效，不用擔(dān)心我付款時(shí)輸?shù)木幋a被他們看到他們?cè)谝环昼妰?nèi)再付款。

安全系數(shù)80%~90%

便捷系數(shù)80%

提供商：中國(guó)銀行

移動(dòng)數(shù)字證書(shū)

移動(dòng)數(shù)字證書(shū)，工行叫U盾，農(nóng)行叫K寶，建行叫網(wǎng)銀盾，光大銀行叫陽(yáng)光網(wǎng)盾，在支付寶中的叫支付盾。

它存放著你個(gè)人的數(shù)字證書(shū)，并不可讀取。同樣，銀行也記錄著你的數(shù)字證書(shū)。

當(dāng)你嘗試進(jìn)行網(wǎng)上交易時(shí)，銀行會(huì)向你發(fā)送由時(shí)間字串，地址字串，交易信息字串，防重放攻擊字串組合在一起進(jìn)行加密后得到的字串A，你的U盾將根據(jù)你的個(gè)人證書(shū)對(duì)字串A進(jìn)行不可逆運(yùn)算得到字串B，并將字串B發(fā)送給銀行，銀行端也同時(shí)進(jìn)行該不可逆運(yùn)算，如果銀行運(yùn)算結(jié)果和你的運(yùn)算結(jié)果一致便認(rèn)為你合法，交易便可以完成，如果不一致便認(rèn)為你不合法，交易便會(huì)失敗。

（理論上，不同的字串A不會(huì)得出相同的字串B，即一個(gè)字串A對(duì)應(yīng)一個(gè)唯一的字串B；但是字串B和字串A無(wú)法得出你的數(shù)字證書(shū)，而且U盾具有不可讀取性，所以任何人都無(wú)法獲行你的數(shù)字證書(shū)。并且銀行每次都會(huì)發(fā)不同的防重放字串（隨機(jī)字串）和時(shí)間字串，所以當(dāng)一次交易完成后，剛發(fā)出的B字串便不再有效。綜上所述，理論上U盾是絕對(duì)安全的）

安全系數(shù)95%

便捷系數(shù)50%（持有需要驅(qū)動(dòng)的移動(dòng)數(shù)字證書(shū)的網(wǎng)吧用戶）

80%（持有免驅(qū)的移動(dòng)數(shù)字證書(shū)的網(wǎng)吧用戶或家庭用戶）

提供商：中國(guó)工商銀行、中國(guó)農(nóng)業(yè)銀行、中國(guó)建設(shè)銀行、招商銀行、光大銀行和民生銀行