网络信息安全课程设计 --网上银行存在的安全问题
目录
一、网上银行简介„„„„„„„„„„„„„„„„„„„3
二、网上银行存在的问题„„„„„„„„„„„„„„„„3
2.1网银安全问题的主要表现„„„„„„„„„„„„„„„„„„3
2.2网络银行安全的技术问题„„„„„„„„„„„„„„„„„„7
三、网络银行的安全缺陷…………………………………………7
3.1、网银安全工具„„„„„„„„„„„„„„„„„„„„„„„9
3.2、几种常见安全工具对比„„„„„„„„„„„„„„„„„„„9
四、确保网银使用安全的方法„„„„„„„„„„„„„„11
五、保证网银安全发展的措施„„„„„„„„„„„„„„12
六、心得体会„„„„„„„„„„„„„„„„„„„„„15
七、参考文献„„„„„„„„„„„„„„„„„„„„„15
[摘要] 网络银行作为21世纪一种新兴的金融业,其低廉的成本和广阔的前景,已越来越得到人们的重视。然而网上银行由于其基础环境的开放性、技术的复杂性、交易的虚拟性、跨国界性、法律法规的不确定性等因素,使其既面临着传统银行所具有的许多业务风险,同时也面临着比传统银行更加复杂的技术风险,本文旨在介绍网上银行安全漏洞的问题所在及解决的方法。
[关键词]网上银行 安全漏洞 解决
一、网上银行简介
网上银行又称网络银行,其实质是为各种通过Internet进行商务活动的客户提供电子支付、结算手段。网上银行以其方便、快捷、跨时空、低成本的特点,极大的提高了银行业的服务效率和服务质量。以高科技、高智能为支持的AAA式银行,即任何时候(Anytime)、任何地点(Anywhere)、任何方式(Anyhow)为客户提供服务的网络电子银行。在中国,1996年6月,中国银行在Internet上设立网站,开始通过国家Internet向社会提供服务。我国开始通过国家Internet向社会提供服务。之后,我国各大商业银行陆续开通了网上银行业务。 近年来,随着电脑技术与互联网应用环境的日益成熟,网上银行业务正以前所未有的速度增长。如今,大家不必再为没有时间去银行处理事务而感到烦恼,也不必为了银行下班无法转账、汇款而发愁,只需安坐家中轻点鼠标,就能完成银行账户的查询、转账、汇款,为信用卡对账、还款,甚至代缴保险费、市话费、手机费、水电煤气费,处理外汇买卖、房屋按揭、证券申购等各种理财事宜。
二、网上银行存在的问题
2.1网银安全问题的主要表现
遗憾的是,据CNNIC的统计数据显示,中国网络用户对网上银行的整体评价并不高,表示非常满意和比较满意的用户仅占46%,表示不太满意和很不满意的用户占16%,而有40%的用户对网上银行的评价是一般。其次,作为网上银行重要功能之一的网上支付功能,也远未得到网络用户的认可,调查显示仅有三分之一的用户网上购物时选择网上支付,其余三分之二的用户则宁愿选择传统的货到付款或者汇款等支付方式。调查显示,这些不满意网上银行或不愿意使用网上支付的用户,76%是出于安全考虑。他们对交易安全性的担心最为普遍。去银行柜台办理业务,有业务员、有票据,看得见摸得着,即使出了问题也有据可查。但在网络世界里,层出不穷的“钓鱼手法”让人防不胜防。那么,网银安全问题主要表现在哪些地方呢?
1.对实体的威胁和攻击。对实体的威胁和攻击主要指对银行等金融机构计算机及其外部设备和网络的威胁和攻击,如各种自然灾害、人为破坏以及各种媒体的被盗和丢失等。
2.对银行信息的威胁和攻击。对银行信息的威胁和攻击主要是指信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪。计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为。有资料指出,目前计算机犯罪的年增长率高达30%。与传统的犯罪相比,计算机犯罪所造成的损失要严重得多。
4.计算机病毒。犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。 不过,只要我们了解了网上银行具体的操作步骤,还是能够练就出一副火眼金睛来辨认一些虚假的钓鱼网站。首先,大家应该了解用户登陆网上银行的过程,具体如下: 用户 银行
---- 申请连接-------》
《----发送登陆界面---
------发送用户登陆信息---》
判断用户信息是否正确
《----网上银行服务---》
高强度加密算法和数字签名的使用已经能够保证用户与银行系统之间数据通联的安
全性(如果设计的当的话,银行系统应该没问题),如果我们假设银行系统是安全的(如果这个假设不成立,我们就应该立刻把钱全取出来),那么网上银行的短板就是用户的计算机。正是基于这个原因,许多网上银行交易系统采用数字证书+用户口令的方式来保护用户的交易安全,并且推出了令牌,即将用户的证书保存在令牌内。令牌的使用无疑大大提高了用户操作的安全性。 但是我相信还是有许多用户没有购买银行的令牌,这种情况下,整个交易的安全性就在用户的口令保护上了。
假设一个黑客入侵了用户的计算机,他想要获取用户网上银行的登陆信息,他会怎么做呢?
1.键盘记录。最简单同时也是使用最多的办法,效果也还是不错的,根据本人的试验,许多银行的交易过程都可以被记录下来
2.本地交易平台劫持。黑客在用户计算机内注入一个病毒,当用户登陆交易平台时,该病毒强行关闭正常的交易平台,弹出虚假的交易平台,诱使用户输入口令。
3.中间人攻击。该方法难以实现,不过威力强大。攻击方式如下:
用户 中间人 银行
---------------------------- 申请连接---------------------》
《----发送登陆界面---
《------发送虚假登陆界面----
------发送用户登陆信息---》
记录用户登陆信息
-------发送登陆信息---》
判断用户信息是否正确
《--------------------------网上银行服务-------------------》
那么这三种攻击方式又有什么方法来保护呢?
1.键盘记录。
用户点击键盘时,计算机内部发生了什么呢? 当用户按下键盘上的一个键时,键盘内的芯片会检测到这个动作,并把这个信号传送到计算机。如何区别是哪一个键被按下了呢?键盘上的所有按键都有一个编码,称作键盘扫描
码。当你按下一个键时,这个键的扫描码就被传给系统。扫描码是跟具体的硬件相关的,同一个键,在不同键盘上的扫描码有可能不同。键盘控制器就是将这个扫描码传给计算机,然后交给键盘驱动程序。键盘驱动程序会完成相关的工作,并把这个扫描码转换为键盘虚拟码。什么是虚拟码呢?因为扫描码与硬件相关,不具有通用性,为了统一键盘上所有键的编码,于是就提出了虚拟码概念。无论什么键盘,同一个按键的虚拟码总是相同的,这样程序就可以识别了。简单点说,虚拟码就是我们经常可以看到的像VK_A,VK_B这样的常数,比如键A的虚拟码是65,写成16进制就是&H41,注意,人们经常用16进制来表示虚拟码。当键盘驱动程序把扫描码转换为虚拟码后,会把这个键盘操作的扫描码和虚拟码还有其它信息一起传递给操作系统。然后操作系统则会把这些信息封装在一个消息中,并把这个键盘消息插入到消息列队。最后,要是不出意外的话,这个键盘消息最终会被送到当前的活动窗口那里,活动窗口所在的应用程序接收到这个消息后,就知道键盘上哪个键被按下,也就可以决定该作出什么响应给用户了。这个过程可以简单的如下表示:
用户按下按键-----键盘驱动程序将此事件传递给操作系统-----操作系统将键盘事件插入消息队列-----键盘消息被发送到当前活动窗口 。
目前银行防止键盘记录的方式主要有:
1)不采取任何保护措施。这是不负责任的做法,虽然从法律上来说,用户有责任保护自己计算机的安全。但是银行作为服务机构有必要给用户提供一个安全的环境,如果某个网上银行频繁发生用户帐户被盗事件,这也将导致用户流失,对银行来所也不是好事。
2)在操作系统中插入自己的钩子,并保证它在最前面,当检测到网上银行登陆界面为当前窗口时,该程序将截获的键盘输入写入登陆界面,最后将该键盘纪录从消息队列中删除。 不过这也可以通过使用winio写成的截获程序来接获用户输入。
3)使用winio来劫持键盘端口,确保用户输入不被截获。 这样做的缺点是: winio只能在管理员权限下运行,且winio有独占性,若其他程序也使用了winio将会导致登陆界面无法打开。招商银行曾经使用过这种方法,但是用户反映不好,现在的版本就放弃这种方式了。
4)强制使用软键盘,每次打开软键盘时,通过随机数发生器来产生键盘序,笔者最认同这种方式,成本低,实现方便,安全性高。目前花旗银行和深圳发展银行采用这种方式 。 不过对于本地交易平台劫持和中间人攻击方法的防范就相对复杂了,个人认为需要采
用双通道认证才能够很好的解决这个问题。例如,使用手机通知使用信息能够较好提高安全性。
2.2网络银行安全的技术问题
以上是针对网银安全提出的非技术性措施,但实际上,最重要的还是技术方面,只有网银的技术做好了,才能预防网银不安全问题的出现。因此针对网络银行安全的技术问题,有关人员提出了以下几项技术措施:
1.操作系统及数据库。许多银行业务系统使用Unix网络系统,黑客可利用网络监听工具截取重要数据;或者利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令等等。
2.网络加密技术。网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。信息加密处理通常有两种方式:链路加密和端到端加密。
3.网络安全访问控制。访问控制的主要任务是保证网络资源不被非法使用和非法访问,通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的,是维护网络系统安全保护网络资源的重要手段。
4.身份认证。身份认证统指能够正确志别用户的各种方法,可通过三种基本方式或其组合形式来实现:用户所知道的密码(如口令),用户持有合法的介质(如智能卡),用户具有某些生物学特征(如指纹、声音、DNA图案、视网膜扫描等)。
5.网络入侵检测系统。入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。
6.防病毒技术。
7.备份和灾难恢复。备份和灾难恢复是对银行网络系统工作中可能出现的各种灾难情况(如计算机病毒、系统故障等)进行的保证系统及数据连续性和可靠性的一种防范措施。
三、 网络银行的安全缺陷
据《北京晚报》报道,中国金融认证中心副总经理曹小青表示,网络银行使用的“软证书”存在安全风险。据称,利用网络银行对外转账,数字证书是不可缺少的。这种证书
分两类,一类存放在类似优盘的USBKey中,俗称“硬证书”,另一类存在电脑里,叫做“软证书”,后者成本低使用方便,更受普通个人用户的青睐。不过,这种证书有一个缺点,那就是不强制用户设置口令,如果多人共用一台电脑,危险增加就是不言自明的了。“软证书”的私钥一旦通过木马程序导出复制到其他电脑上,放着你秘密的电脑也就成了黑客手中随意宰割的“肉鸡”了。
看到这个消息,我想到了美国媒体去年发表的一则报道,虽然讲的不是同一个具体问题,可是说的却都是网络银行的安全缺陷。美国密歇根大学的一项研究发现,被调查的银行网站中,有超过百分之七十五存在设计上的缺陷,这种缺陷使得用户对网络窃贼盗取他们的身份卡以及钱财难以防范。根据此大学的电子工程与计算科学系的教授阿图尔·普拉卡什与博士生劳拉·佛尔克和柯文·博德斯的调查,这些缺陷包括:
第一,将登录框放在不安全网页上。百分之四十七的银行网站有这个问题。黑客为已经输进登录框的数据重新选择路由或者以骗人的把戏来复制网页,从而盗取信息。如果是无线上网,完全可以进行中间人工攻击而不需要改变银行提供给用户的链接,这样一来无论多有警惕性的用户都可能成为受害者。若要解决这个问题,银行应该使用标准且需要敏感信息的安全套接层协议。多数银行的网站在某些网页上使用的是安全套接层协议,但是只有少数银行以这种方式确保其所有网页的安全性。
第二,将联系信息和安全警示信息放在不安全网页上。有百分之五十五的网页存在这种最受攻击的缺陷。黑客可以改变地址或者电话号码,建立自己的呼叫中心以便从需要帮助的用户那里收集私人信息。普拉卡什说,银行好像也不太注意在其他网站是否容易获取那些信息。可是用户认为,放在银行网站上的信息是正确的。采用安全套接层协议制作网页就可以解决这个问题。
第三,允许信任链存在缺口。普拉卡什说,未进行某种交易,银行让链接跳转到银行域名以外的网站,但是却没有任何提示,这样用户不好对安全问题作出明智的判断。他发现他们所调查的银行网站中有百分之三十有这个问题。网站界面改变,链接也会改变,用户很难知道是否应该相信这个新网站。普拉卡什说,要告诉用户,他们要离开银行的网站进入一个新的可信赖的网站。银行也可以将所有网站放在一个服务器上。银行在使用某些外来网站的安全功能时,很容易出现这类问题。
第四,允许使用不合格用户名和密码。研究人员调查了一些网站,发现有的用户使用社会
保险号码或者电子邮件地址作为自己的身份卡,因为这类信息容易让用户记住,可是也很容易让人猜出或者发现。研究人员还发现某些网站并没有对密码设置给出什么限制,要不然就是允许用户使用低密级的密码。百分之二十八的网站有这样或者那样的缺陷。
第五,过电子邮件方式传送数据不安全。普拉卡什说,电子邮件传送数据的路径一般来讲很不安全,然而还是有百分之三十一的银行网站有这个缺陷。这些银行向用户提供电子邮件密码或者结算单。如果是结算单,也常常不告知用户是否应该接收链接、真正的结算单或者可以提供结算单的通知。发一个通知没有问题,但是通过邮件发送密码、链接或者结算单就不行了。
根据种种网银被窃案例,我们可以总结出网银账户遭窃,绝大部分是由于用户自己泄漏了个人信息。确保账户安全,要了解不法分子使用了哪些手段窃取信息,从而有针对性地保护个人账户安全。首先是冒充银行发送警告邮件。一些不法分子冒充银行相关部门工作人员,以垃圾邮件的形式大量发送欺诈性邮件,以银行账号被冻结、银行系统升级等各种理由,要求收件人点击邮件上的链接地址,修改密码。用户一操作,信息就被窃取。其次是制造虚假网站。不法分子先建立一个假的电子商务网站,骗用户通过网站购物,用户点击网站,链接到一个假的银行支付页面。还常利用木马病毒盗取密码。通过垃圾邮件等形式,入侵用户电脑,趁机窃取用户的网银个人信息。当然还会使用短信窃取信息。
3.1、网银安全工具 不过为了充分保障用户网络银行的使用安全,各银行纷纷开发出各种网银安全工具。这些工具包括Active X安全控件、文件数字证书(软文数字证书)、USB KEY(U盾、U宝、Ukey、网盾等)和银行动态口令卡(动态口令卡、电子口令卡等)。
3.2、几种常见安全工具对比
1.Active X安全控件 免费
安全指数:★★ 目前大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登录界面。不过利用Active X安全控件多一层保护也不失为一个办法。
优点:免费安装,有一定的安全保障作用。 缺点:这已被公认为很不安全的一种登录方式,而且由于一些银行将安全技术通过Active X捆绑在了IE上,这给其他操作系统和非IE用户带来了一些不便。
2.文件数字证书 价格低廉
安全指数:★★★
数字证书 是目前电子银行最常见、最基本的安全保障手段。它实际是一串很长的数学编码,包含有客户的基本信息及认证中心的签名,通常被保存在电脑硬盘或IC卡中。 用户登录时,银行系统会通过数字证书自动验证使用人身份,确保用户的真实性和唯一性。
优点:价格低廉,一般在2元到1元之间,部分银行免费,基本能保障用户的安全。 缺点:证书一旦被安装,用户只能在被安装有证书的电脑上使用网上银行。当用户更换计算机时,用户必须回到原来的机器将证书导出,重新安装到新机器上。如果是电脑重装,也必须把证书备份,再重装。因此,这种数字证书最大的风险在于,一旦电脑被盗或被他人挪用,证书就有可能被备份,不法分子获取密码后就能轻松转走网银账号上所有的资金。
3.USB KEY 安全性高
安全指数:★★★★★
USB KEY外形酷似U盘,且从外部无法读出内部保存的关键数据,安全性较高。银行将数字证书保存到U盘里,用户登录时必须插入U盘。U盘内的文件不会被保存在电脑上,因此用户不必担心数字证书被黑客控制。从技术上来讲,USB KEY是目前最为安全的网银认证工具。
优点:携带方便,不可复制。
缺点:价格昂贵,容易丢失。
4.银行口令卡 操作简单
安全指数:★★★★
它相当于一种动态的电子银行密码。只有当口令组合输入正确时,客户才能完成相关交易。使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通
过窃取客户密码盗窃资金,保障电子银行安全。 优点:银行口令卡价格低廉、易于携带、操作简单,不需要在电脑上安装任何软件,
使用起来非常方便。
缺点:银行口令卡容易丢失,网银使用次数越多,口令卡更换就越频繁。如建行的“刮
刮卡”每张最多能使用3次,用户需定时更换。
经过一番比对,我们发现USB KEY的安全性最高。对此,中国金融认证中心(CFCA)
副总经理曹小青表示,目前各银行推出的USB KEY硬件存储的数字证书很难被黑客攻破,
可以有效保证网银安全。
四、确保网银使用安全的方法 福州银行业网银专家表示,网银安全不仅需要相关部门严格监管,用户自身也应该意识到风险的存在,除了要积极使用网络安全工具保护自己外,还要掌握以下五点正确的网
银使用方法,这样才能确保自己网银使用的安全。
第一 USB KEY用完马上拔下 用户要尽量使用专业版的网银,虽然措施越安全往往导致易用性下降,也会带来一定
额外成本,但可以确保网银交易的安全。USB KEY是目前网上银行客户端级别最高的一种安
全工具,它是专门用于保护网上银行客户安全的“智能卫士”。一定要记住,使用USB KEY网银的用户,在每次完成网银操作后,要尽快拔下。否则不法分子通过网银木马可以远程
操作用户的计算机,从而窃取用户网银账户中的资产。
第二 要用正版杀毒软件 进行网银交易的计算机要安装正版杀毒软件,要及时更新杀毒软件,确保病毒库升级到最新版本,同时确保各种主动防御和实时监控处于开启状态。在访问银行网站时直接输
入网址登录,不要通过其他网址、搜索或链接方式间接访问银行网站。
第三 不要在网吧使用网银 提高网络安全意识,不要登录一些来源不明的网站,不要打开可疑邮件,不要在网吧、
酒吧等公共场所内多人共用的计算机上登录网银账号、使用网上银行,不要登录一些技术
不完善的支付平台;不要轻信他人以邮件、即时聊天工具等方式发布的商品信息及支付请
求,谨防“小额支付测试”的支付陷阱。
第四 养成定期更换密码的习惯 定期更换密码也能起到保护网银安全的作用。不要将个人邮箱、网络游戏、聊天工具、网上银行的密码设置为同一个。密码设置有诀窍,“本人好记,别人难猜”,请将大家的网上银行登录密码设置为数字、字母组合形式(字母识别大小写),避免使用与本人相关的信息作为密码(如生日、电话号码等)。如果条件允许,最好将娱乐和工作分别在两台
电脑中进行,确保交易环境无毒。
第五 转账金额不要设得太高 合理设置网上银行转账和支付金额,不要将网银转账和支付金额设定太高。目前,银行为保护用户的资金安全,对网上转账和网上支付都实行了金额限制,用户可根据自己的
需要对额度进行控制。
另外还有很重要一点,大家都知道,在网上银行登陆多次失败后会冻结网上银行的功
能,需要客户自己那身份证与银行卡去银行网点进行重置密码。然而就是这个看似保护客
户的举动可能就会被一些别有用心的人利用,从而造成一些不必要的麻烦。 比如有人知道
了你的银行账号(已开通网上银行),之后他用你的卡号登陆网上银行,随便输入几次密
码。之后就会恭喜你,你的网上银行的功能被冻结了,这时要想恢复,就得跑到银行重置
密码了。这对于一些大卖家影响很大,因为他们的账号很多都是公开在网上的,非常容易
获取。而一旦网上银行被冻结,对他们的生意影响也很大,同时也扰乱了市场秩序。而且
即使你重置了密码,还是无法避免这种悲剧的再次发生。因此希望我们的网上银行可以寻
求更多方法来弥补这个致命缺陷,至少要降低影响。与此相呼应,中国的各大银行正在大
力推广网上银行,鼓励支付行为的信息网络化。其中,网上银行成绩斐然的中国工商银行
也在前不久推出新版网上银行,实现全天候即时转账、汇款。目前已有云网、搜狐、阿里
巴巴、盛大、海航集团等12家国内知名电子商务企业和工商银行签署了战略合作协议。
五、保证网银安全发展的措施
终上所述,要想实现我国网上银行的健全发展,我们应该做到以下几个方面:
第一,银行业必须积极创新,完善服务方式,丰富服务品种,强调个性化服务。进入
21世纪,以人为本的理念越来越深入人心,人们越来越追求个性的张扬。由于传统银行提
供的服务是一成不变的,因而不能满足不同人的需求,或者是另一种情况,金融产品太多,
个人面对诸多金融产品无从下手,这样就需要为每个人定制不同的产品组合。另外对企业
的战略重点的理解也是有助于我们认识网上银行发展个性化趋势。起初一个企业的发展注
重于产品的开发,所有战略中心重点都注重于开发新的产品,因为当时的市场之大使他们
无须考虑新产品生产出来以后卖给谁,而到了经济危机的出现,大量的滞销产品为企业好
好上了一课,让他们明白有市场需求的产品才真正有经济价值,所以战略重点又转移到对
市场需求的研究,企业根据需求来开发新产品。现在又有一种说法就是企业的战略重点应
该由需求转向客户,因为大众化的产品已经不在受到人们的推崇,人们更希望按照自己的
需求获得自己所需要的与别人不同的个性化产品。
第二、依靠标准化产生规模效应。网络的特点是相互的开放、兼容与联接。没有统一
的标准,各自为政所开发的技术是与网络化时代相违背的。国际上最著名的标准化组织要
数ISO(国际标准化组织),国内主要政府牵头制定一系列标准。网上银行应尽早的实现行
业标准的统一。制定标准包括硬件和软件两个方面。在软件方面主要系统平台,网络协议
数据库应用软件等;在硬件方面主要是网络接入的设备,包括服务器、客户端、网络连接
设备。要加强金融电子化标准的制定,颁布和实施工作,应该由人民银行牵头,做好对涉
及我国金融电子化发展全局的各种标准,规范和制度的制定颁布和实施工作。在积极采用
国际标准的制度和先进国家标准的前提下,银行业务信息传输格式标准,银行卡技术标准,
商行网上业务和电子商务相关标准等。以便使我国金融电子化向深层次发展创造必要的条
件。
第三、提高网上银行的服务水平,更新银行经营理念。网上银行的服务水平直接影响
到客户的兴趣选择。网上银行所提供的产品的种类、质量、服务及信息等方面,应该满足
消费者特殊的需要,网上银行的服务要体现出人性化、个性化、特色化,使客户享受更加
方便快捷的服务。要以客户为中心,建立新型的组织管理制度,提高智能化、标准化、个
性化的业务发展模式。要坚持以人为本,切实保护消费者利益。对不断发生的网银资金盗
窃案件,银行方面基本上将责任归咎于用户对账号密码信息保管不善,消费者一般都很难
举证自己无过错,但如果对不断发生的网银盗窃事件的责任都推给消费者,显然不利于我
国网络银行整体形象的改善和产业的迅速发展。为此,应当切实采取相应措施,如:银行
可以设立网络银行发展风险基金,直接帮助受损用户或间接地帮助用户通过司法手段追讨
损失,切实保护消费者利益。
第四、加强网络银行的网络安全。一是从银行防范。建立严密的安全体系,保证网络
银行的安全运行。为防止交易服务器受攻击,银行应采取隔离相关网络、高安全级的Web应
用服务及实施全天候的安全监控等技术措施;二是从客户防范。客户的安全意识是影响网
络银行安全性的重要因素。客户要防止自己网络银行账号及密码流失,上网时应设置好电脑
安全措施,不随便点击恶意网站;三是建立全国统一的认证中心,充分发挥第三方认证机构
的中立、权威的作用;四是加快电子化应用环境风险防范,如加大对计算机物理安全设施
的投入和严格中心机房的管理制度等。
第五、提高社会整体信用水平,为网络银行的发展培根固本。这是一个综合的系统工
程,必须运用法律、经济、道德等多种手段来提升整个社会的信用水平,以降低网络银行
可能面临的信用风险。一方面要加强全民信用教育,发挥强大的舆论宣传力量,大力弘扬
“守信光荣、违约可耻”的信用观念,将守信观念深植人心;另一方面要建立完善的社会
信用管理体系和法律制度,营造一个良好的信用环境。
第六、加强立法与监管。作为中央银行的金融监管部门要针对信息技术在金融行业中
的广泛应用作战略性的思考,既要鼓励和支持商业银行的业务创新,避免限制性的政策或
立法,又要规范和引导国内的商业银行有序开展网络银行业务,促进我国网络银行快速、
健康发展;既要认真研究网络银行开展的业务种类和特点,尽快制定网络银行发展的指导
意见和原则,又要针对现有的相关金融法律规章进行必要的调整和修改,制定和完善相应
的监管办法和措施,加强对网络银行业务的监管,有效防范新的金融风险。
第七、真正的做到随时随地的服务。网上银行自然离不开网络,其实银行发展的过程
本身就一个不断网络化的过程。银行由起初的各自为政,资金流只能在自身内部快速进行,
而无法在自身以外快速流动;逐渐发展为几个银行相互信任,加速了银行间的资金流动;
而后发展为现在的国际间资金的往来融通,其实网络就是一个从封闭到开放,从相互独立
到相互联系的过程,网络就是由点到线,再到面的过程,现在的网络就是点线结合时期。
而发展到面的时期,才实现了真正意义的高科技,高智能的AAA银行,即在任何时候
(Anytime)任何地点(Anywhere)任何方式(Anyhow)为客户提供服务的银行,网络这时
既是银行的,又不是银行。因为单靠一家银行已经无法让自己的POS机,ATM分理处设到全
球的每一个角落,当然也无须把自己的设备和部门放在世界上的每一个地方。一方面网络
就是银行的设备,就是银行的部门,人们只要通过网络就能获得所需要的各种金融服务;
另一方面,银行不是网络的所有者,他们无须也无力支付如此庞大的建设费用,银行只要
有网络的使用权即可。每个客户都是整个网络的主人,他能获得全球各地的资源和服务。
而每个客户又不是网络的唯一主人。每家银行都是整个网络的收益人,他能将业务开展到
全球各地,而他又不是网络的唯一受益者,我想这才是网上银行形成的真正标志之一。
六、心得体会
虽然只有两周的课程设计,但还是学到了很多。首先是选取话题,有关网络信息安全方
面的话题有很多,比如:病毒,电子商务等。但感觉这些题材包含太广,不好把握,联想
到自己经常网上购物,就想到了网上银行的问题。网上银行既有方便,也有不足,近年来
关于网银失窃案例屡见报端,我就关于网银的基本原理,存在的技术问题及安全缺陷展开
查询,由于这方面的问题蛮多的,很容易找资料,所以本次设计进行的比较顺利。以此同
时,也知道了今后该怎样识别钓鱼网站和如何安全的使用网上银行。
七、参考文献
[1]谢兴龙,付玉嘉,廖春良.中国网络银行的发展策略研究[J].西 北工业大学学报(社会科学版), 2002,(01).
[2]杨开霞.我国网上银行风险防范问题研究[D].2004:11.
[3]于志刚.计算机犯罪研究[M].北京:中国检察出版社,1999.
[4] 周光斌.计算机犯罪与信息安全在国外[C].北京:中国信息化
法制建设研讨会论文集,1997.
网络信息安全课程设计 --网上银行存在的安全问题
目录
一、网上银行简介„„„„„„„„„„„„„„„„„„„3
二、网上银行存在的问题„„„„„„„„„„„„„„„„3
2.1网银安全问题的主要表现„„„„„„„„„„„„„„„„„„3
2.2网络银行安全的技术问题„„„„„„„„„„„„„„„„„„7
三、网络银行的安全缺陷…………………………………………7
3.1、网银安全工具„„„„„„„„„„„„„„„„„„„„„„„9
3.2、几种常见安全工具对比„„„„„„„„„„„„„„„„„„„9
四、确保网银使用安全的方法„„„„„„„„„„„„„„11
五、保证网银安全发展的措施„„„„„„„„„„„„„„12
六、心得体会„„„„„„„„„„„„„„„„„„„„„15
七、参考文献„„„„„„„„„„„„„„„„„„„„„15
[摘要] 网络银行作为21世纪一种新兴的金融业,其低廉的成本和广阔的前景,已越来越得到人们的重视。然而网上银行由于其基础环境的开放性、技术的复杂性、交易的虚拟性、跨国界性、法律法规的不确定性等因素,使其既面临着传统银行所具有的许多业务风险,同时也面临着比传统银行更加复杂的技术风险,本文旨在介绍网上银行安全漏洞的问题所在及解决的方法。
[关键词]网上银行 安全漏洞 解决
一、网上银行简介
网上银行又称网络银行,其实质是为各种通过Internet进行商务活动的客户提供电子支付、结算手段。网上银行以其方便、快捷、跨时空、低成本的特点,极大的提高了银行业的服务效率和服务质量。以高科技、高智能为支持的AAA式银行,即任何时候(Anytime)、任何地点(Anywhere)、任何方式(Anyhow)为客户提供服务的网络电子银行。在中国,1996年6月,中国银行在Internet上设立网站,开始通过国家Internet向社会提供服务。我国开始通过国家Internet向社会提供服务。之后,我国各大商业银行陆续开通了网上银行业务。 近年来,随着电脑技术与互联网应用环境的日益成熟,网上银行业务正以前所未有的速度增长。如今,大家不必再为没有时间去银行处理事务而感到烦恼,也不必为了银行下班无法转账、汇款而发愁,只需安坐家中轻点鼠标,就能完成银行账户的查询、转账、汇款,为信用卡对账、还款,甚至代缴保险费、市话费、手机费、水电煤气费,处理外汇买卖、房屋按揭、证券申购等各种理财事宜。
二、网上银行存在的问题
2.1网银安全问题的主要表现
遗憾的是,据CNNIC的统计数据显示,中国网络用户对网上银行的整体评价并不高,表示非常满意和比较满意的用户仅占46%,表示不太满意和很不满意的用户占16%,而有40%的用户对网上银行的评价是一般。其次,作为网上银行重要功能之一的网上支付功能,也远未得到网络用户的认可,调查显示仅有三分之一的用户网上购物时选择网上支付,其余三分之二的用户则宁愿选择传统的货到付款或者汇款等支付方式。调查显示,这些不满意网上银行或不愿意使用网上支付的用户,76%是出于安全考虑。他们对交易安全性的担心最为普遍。去银行柜台办理业务,有业务员、有票据,看得见摸得着,即使出了问题也有据可查。但在网络世界里,层出不穷的“钓鱼手法”让人防不胜防。那么,网银安全问题主要表现在哪些地方呢?
1.对实体的威胁和攻击。对实体的威胁和攻击主要指对银行等金融机构计算机及其外部设备和网络的威胁和攻击,如各种自然灾害、人为破坏以及各种媒体的被盗和丢失等。
2.对银行信息的威胁和攻击。对银行信息的威胁和攻击主要是指信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息,尤其是敏感信息而造成泄漏事件;信息破坏是指由于偶然事故或人为破坏,使信息的正确性、完整性和可用性受到破坏。
3.计算机犯罪。计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为。有资料指出,目前计算机犯罪的年增长率高达30%。与传统的犯罪相比,计算机犯罪所造成的损失要严重得多。
4.计算机病毒。犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等,严重危及网银用户的安全。 不过,只要我们了解了网上银行具体的操作步骤,还是能够练就出一副火眼金睛来辨认一些虚假的钓鱼网站。首先,大家应该了解用户登陆网上银行的过程,具体如下: 用户 银行
---- 申请连接-------》
《----发送登陆界面---
------发送用户登陆信息---》
判断用户信息是否正确
《----网上银行服务---》
高强度加密算法和数字签名的使用已经能够保证用户与银行系统之间数据通联的安
全性(如果设计的当的话,银行系统应该没问题),如果我们假设银行系统是安全的(如果这个假设不成立,我们就应该立刻把钱全取出来),那么网上银行的短板就是用户的计算机。正是基于这个原因,许多网上银行交易系统采用数字证书+用户口令的方式来保护用户的交易安全,并且推出了令牌,即将用户的证书保存在令牌内。令牌的使用无疑大大提高了用户操作的安全性。 但是我相信还是有许多用户没有购买银行的令牌,这种情况下,整个交易的安全性就在用户的口令保护上了。
假设一个黑客入侵了用户的计算机,他想要获取用户网上银行的登陆信息,他会怎么做呢?
1.键盘记录。最简单同时也是使用最多的办法,效果也还是不错的,根据本人的试验,许多银行的交易过程都可以被记录下来
2.本地交易平台劫持。黑客在用户计算机内注入一个病毒,当用户登陆交易平台时,该病毒强行关闭正常的交易平台,弹出虚假的交易平台,诱使用户输入口令。
3.中间人攻击。该方法难以实现,不过威力强大。攻击方式如下:
用户 中间人 银行
---------------------------- 申请连接---------------------》
《----发送登陆界面---
《------发送虚假登陆界面----
------发送用户登陆信息---》
记录用户登陆信息
-------发送登陆信息---》
判断用户信息是否正确
《--------------------------网上银行服务-------------------》
那么这三种攻击方式又有什么方法来保护呢?
1.键盘记录。
用户点击键盘时,计算机内部发生了什么呢? 当用户按下键盘上的一个键时,键盘内的芯片会检测到这个动作,并把这个信号传送到计算机。如何区别是哪一个键被按下了呢?键盘上的所有按键都有一个编码,称作键盘扫描
码。当你按下一个键时,这个键的扫描码就被传给系统。扫描码是跟具体的硬件相关的,同一个键,在不同键盘上的扫描码有可能不同。键盘控制器就是将这个扫描码传给计算机,然后交给键盘驱动程序。键盘驱动程序会完成相关的工作,并把这个扫描码转换为键盘虚拟码。什么是虚拟码呢?因为扫描码与硬件相关,不具有通用性,为了统一键盘上所有键的编码,于是就提出了虚拟码概念。无论什么键盘,同一个按键的虚拟码总是相同的,这样程序就可以识别了。简单点说,虚拟码就是我们经常可以看到的像VK_A,VK_B这样的常数,比如键A的虚拟码是65,写成16进制就是&H41,注意,人们经常用16进制来表示虚拟码。当键盘驱动程序把扫描码转换为虚拟码后,会把这个键盘操作的扫描码和虚拟码还有其它信息一起传递给操作系统。然后操作系统则会把这些信息封装在一个消息中,并把这个键盘消息插入到消息列队。最后,要是不出意外的话,这个键盘消息最终会被送到当前的活动窗口那里,活动窗口所在的应用程序接收到这个消息后,就知道键盘上哪个键被按下,也就可以决定该作出什么响应给用户了。这个过程可以简单的如下表示:
用户按下按键-----键盘驱动程序将此事件传递给操作系统-----操作系统将键盘事件插入消息队列-----键盘消息被发送到当前活动窗口 。
目前银行防止键盘记录的方式主要有:
1)不采取任何保护措施。这是不负责任的做法,虽然从法律上来说,用户有责任保护自己计算机的安全。但是银行作为服务机构有必要给用户提供一个安全的环境,如果某个网上银行频繁发生用户帐户被盗事件,这也将导致用户流失,对银行来所也不是好事。
2)在操作系统中插入自己的钩子,并保证它在最前面,当检测到网上银行登陆界面为当前窗口时,该程序将截获的键盘输入写入登陆界面,最后将该键盘纪录从消息队列中删除。 不过这也可以通过使用winio写成的截获程序来接获用户输入。
3)使用winio来劫持键盘端口,确保用户输入不被截获。 这样做的缺点是: winio只能在管理员权限下运行,且winio有独占性,若其他程序也使用了winio将会导致登陆界面无法打开。招商银行曾经使用过这种方法,但是用户反映不好,现在的版本就放弃这种方式了。
4)强制使用软键盘,每次打开软键盘时,通过随机数发生器来产生键盘序,笔者最认同这种方式,成本低,实现方便,安全性高。目前花旗银行和深圳发展银行采用这种方式 。 不过对于本地交易平台劫持和中间人攻击方法的防范就相对复杂了,个人认为需要采
用双通道认证才能够很好的解决这个问题。例如,使用手机通知使用信息能够较好提高安全性。
2.2网络银行安全的技术问题
以上是针对网银安全提出的非技术性措施,但实际上,最重要的还是技术方面,只有网银的技术做好了,才能预防网银不安全问题的出现。因此针对网络银行安全的技术问题,有关人员提出了以下几项技术措施:
1.操作系统及数据库。许多银行业务系统使用Unix网络系统,黑客可利用网络监听工具截取重要数据;或者利用用户使用telnet、ftp、rlogin等服务时监听这些用户的明文形式的账户名和口令等等。
2.网络加密技术。网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。信息加密处理通常有两种方式:链路加密和端到端加密。
3.网络安全访问控制。访问控制的主要任务是保证网络资源不被非法使用和非法访问,通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的,是维护网络系统安全保护网络资源的重要手段。
4.身份认证。身份认证统指能够正确志别用户的各种方法,可通过三种基本方式或其组合形式来实现:用户所知道的密码(如口令),用户持有合法的介质(如智能卡),用户具有某些生物学特征(如指纹、声音、DNA图案、视网膜扫描等)。
5.网络入侵检测系统。入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。
6.防病毒技术。
7.备份和灾难恢复。备份和灾难恢复是对银行网络系统工作中可能出现的各种灾难情况(如计算机病毒、系统故障等)进行的保证系统及数据连续性和可靠性的一种防范措施。
三、 网络银行的安全缺陷
据《北京晚报》报道,中国金融认证中心副总经理曹小青表示,网络银行使用的“软证书”存在安全风险。据称,利用网络银行对外转账,数字证书是不可缺少的。这种证书
分两类,一类存放在类似优盘的USBKey中,俗称“硬证书”,另一类存在电脑里,叫做“软证书”,后者成本低使用方便,更受普通个人用户的青睐。不过,这种证书有一个缺点,那就是不强制用户设置口令,如果多人共用一台电脑,危险增加就是不言自明的了。“软证书”的私钥一旦通过木马程序导出复制到其他电脑上,放着你秘密的电脑也就成了黑客手中随意宰割的“肉鸡”了。
看到这个消息,我想到了美国媒体去年发表的一则报道,虽然讲的不是同一个具体问题,可是说的却都是网络银行的安全缺陷。美国密歇根大学的一项研究发现,被调查的银行网站中,有超过百分之七十五存在设计上的缺陷,这种缺陷使得用户对网络窃贼盗取他们的身份卡以及钱财难以防范。根据此大学的电子工程与计算科学系的教授阿图尔·普拉卡什与博士生劳拉·佛尔克和柯文·博德斯的调查,这些缺陷包括:
第一,将登录框放在不安全网页上。百分之四十七的银行网站有这个问题。黑客为已经输进登录框的数据重新选择路由或者以骗人的把戏来复制网页,从而盗取信息。如果是无线上网,完全可以进行中间人工攻击而不需要改变银行提供给用户的链接,这样一来无论多有警惕性的用户都可能成为受害者。若要解决这个问题,银行应该使用标准且需要敏感信息的安全套接层协议。多数银行的网站在某些网页上使用的是安全套接层协议,但是只有少数银行以这种方式确保其所有网页的安全性。
第二,将联系信息和安全警示信息放在不安全网页上。有百分之五十五的网页存在这种最受攻击的缺陷。黑客可以改变地址或者电话号码,建立自己的呼叫中心以便从需要帮助的用户那里收集私人信息。普拉卡什说,银行好像也不太注意在其他网站是否容易获取那些信息。可是用户认为,放在银行网站上的信息是正确的。采用安全套接层协议制作网页就可以解决这个问题。
第三,允许信任链存在缺口。普拉卡什说,未进行某种交易,银行让链接跳转到银行域名以外的网站,但是却没有任何提示,这样用户不好对安全问题作出明智的判断。他发现他们所调查的银行网站中有百分之三十有这个问题。网站界面改变,链接也会改变,用户很难知道是否应该相信这个新网站。普拉卡什说,要告诉用户,他们要离开银行的网站进入一个新的可信赖的网站。银行也可以将所有网站放在一个服务器上。银行在使用某些外来网站的安全功能时,很容易出现这类问题。
第四,允许使用不合格用户名和密码。研究人员调查了一些网站,发现有的用户使用社会
保险号码或者电子邮件地址作为自己的身份卡,因为这类信息容易让用户记住,可是也很容易让人猜出或者发现。研究人员还发现某些网站并没有对密码设置给出什么限制,要不然就是允许用户使用低密级的密码。百分之二十八的网站有这样或者那样的缺陷。
第五,过电子邮件方式传送数据不安全。普拉卡什说,电子邮件传送数据的路径一般来讲很不安全,然而还是有百分之三十一的银行网站有这个缺陷。这些银行向用户提供电子邮件密码或者结算单。如果是结算单,也常常不告知用户是否应该接收链接、真正的结算单或者可以提供结算单的通知。发一个通知没有问题,但是通过邮件发送密码、链接或者结算单就不行了。
根据种种网银被窃案例,我们可以总结出网银账户遭窃,绝大部分是由于用户自己泄漏了个人信息。确保账户安全,要了解不法分子使用了哪些手段窃取信息,从而有针对性地保护个人账户安全。首先是冒充银行发送警告邮件。一些不法分子冒充银行相关部门工作人员,以垃圾邮件的形式大量发送欺诈性邮件,以银行账号被冻结、银行系统升级等各种理由,要求收件人点击邮件上的链接地址,修改密码。用户一操作,信息就被窃取。其次是制造虚假网站。不法分子先建立一个假的电子商务网站,骗用户通过网站购物,用户点击网站,链接到一个假的银行支付页面。还常利用木马病毒盗取密码。通过垃圾邮件等形式,入侵用户电脑,趁机窃取用户的网银个人信息。当然还会使用短信窃取信息。
3.1、网银安全工具 不过为了充分保障用户网络银行的使用安全,各银行纷纷开发出各种网银安全工具。这些工具包括Active X安全控件、文件数字证书(软文数字证书)、USB KEY(U盾、U宝、Ukey、网盾等)和银行动态口令卡(动态口令卡、电子口令卡等)。
3.2、几种常见安全工具对比
1.Active X安全控件 免费
安全指数:★★ 目前大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登录界面。不过利用Active X安全控件多一层保护也不失为一个办法。
优点:免费安装,有一定的安全保障作用。 缺点:这已被公认为很不安全的一种登录方式,而且由于一些银行将安全技术通过Active X捆绑在了IE上,这给其他操作系统和非IE用户带来了一些不便。
2.文件数字证书 价格低廉
安全指数:★★★
数字证书 是目前电子银行最常见、最基本的安全保障手段。它实际是一串很长的数学编码,包含有客户的基本信息及认证中心的签名,通常被保存在电脑硬盘或IC卡中。 用户登录时,银行系统会通过数字证书自动验证使用人身份,确保用户的真实性和唯一性。
优点:价格低廉,一般在2元到1元之间,部分银行免费,基本能保障用户的安全。 缺点:证书一旦被安装,用户只能在被安装有证书的电脑上使用网上银行。当用户更换计算机时,用户必须回到原来的机器将证书导出,重新安装到新机器上。如果是电脑重装,也必须把证书备份,再重装。因此,这种数字证书最大的风险在于,一旦电脑被盗或被他人挪用,证书就有可能被备份,不法分子获取密码后就能轻松转走网银账号上所有的资金。
3.USB KEY 安全性高
安全指数:★★★★★
USB KEY外形酷似U盘,且从外部无法读出内部保存的关键数据,安全性较高。银行将数字证书保存到U盘里,用户登录时必须插入U盘。U盘内的文件不会被保存在电脑上,因此用户不必担心数字证书被黑客控制。从技术上来讲,USB KEY是目前最为安全的网银认证工具。
优点:携带方便,不可复制。
缺点:价格昂贵,容易丢失。
4.银行口令卡 操作简单
安全指数:★★★★
它相当于一种动态的电子银行密码。只有当口令组合输入正确时,客户才能完成相关交易。使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通
过窃取客户密码盗窃资金,保障电子银行安全。 优点:银行口令卡价格低廉、易于携带、操作简单,不需要在电脑上安装任何软件,
使用起来非常方便。
缺点:银行口令卡容易丢失,网银使用次数越多,口令卡更换就越频繁。如建行的“刮
刮卡”每张最多能使用3次,用户需定时更换。
经过一番比对,我们发现USB KEY的安全性最高。对此,中国金融认证中心(CFCA)
副总经理曹小青表示,目前各银行推出的USB KEY硬件存储的数字证书很难被黑客攻破,
可以有效保证网银安全。
四、确保网银使用安全的方法 福州银行业网银专家表示,网银安全不仅需要相关部门严格监管,用户自身也应该意识到风险的存在,除了要积极使用网络安全工具保护自己外,还要掌握以下五点正确的网
银使用方法,这样才能确保自己网银使用的安全。
第一 USB KEY用完马上拔下 用户要尽量使用专业版的网银,虽然措施越安全往往导致易用性下降,也会带来一定
额外成本,但可以确保网银交易的安全。USB KEY是目前网上银行客户端级别最高的一种安
全工具,它是专门用于保护网上银行客户安全的“智能卫士”。一定要记住,使用USB KEY网银的用户,在每次完成网银操作后,要尽快拔下。否则不法分子通过网银木马可以远程
操作用户的计算机,从而窃取用户网银账户中的资产。
第二 要用正版杀毒软件 进行网银交易的计算机要安装正版杀毒软件,要及时更新杀毒软件,确保病毒库升级到最新版本,同时确保各种主动防御和实时监控处于开启状态。在访问银行网站时直接输
入网址登录,不要通过其他网址、搜索或链接方式间接访问银行网站。
第三 不要在网吧使用网银 提高网络安全意识,不要登录一些来源不明的网站,不要打开可疑邮件,不要在网吧、
酒吧等公共场所内多人共用的计算机上登录网银账号、使用网上银行,不要登录一些技术
不完善的支付平台;不要轻信他人以邮件、即时聊天工具等方式发布的商品信息及支付请
求,谨防“小额支付测试”的支付陷阱。
第四 养成定期更换密码的习惯 定期更换密码也能起到保护网银安全的作用。不要将个人邮箱、网络游戏、聊天工具、网上银行的密码设置为同一个。密码设置有诀窍,“本人好记,别人难猜”,请将大家的网上银行登录密码设置为数字、字母组合形式(字母识别大小写),避免使用与本人相关的信息作为密码(如生日、电话号码等)。如果条件允许,最好将娱乐和工作分别在两台
电脑中进行,确保交易环境无毒。
第五 转账金额不要设得太高 合理设置网上银行转账和支付金额,不要将网银转账和支付金额设定太高。目前,银行为保护用户的资金安全,对网上转账和网上支付都实行了金额限制,用户可根据自己的
需要对额度进行控制。
另外还有很重要一点,大家都知道,在网上银行登陆多次失败后会冻结网上银行的功
能,需要客户自己那身份证与银行卡去银行网点进行重置密码。然而就是这个看似保护客
户的举动可能就会被一些别有用心的人利用,从而造成一些不必要的麻烦。 比如有人知道
了你的银行账号(已开通网上银行),之后他用你的卡号登陆网上银行,随便输入几次密
码。之后就会恭喜你,你的网上银行的功能被冻结了,这时要想恢复,就得跑到银行重置
密码了。这对于一些大卖家影响很大,因为他们的账号很多都是公开在网上的,非常容易
获取。而一旦网上银行被冻结,对他们的生意影响也很大,同时也扰乱了市场秩序。而且
即使你重置了密码,还是无法避免这种悲剧的再次发生。因此希望我们的网上银行可以寻
求更多方法来弥补这个致命缺陷,至少要降低影响。与此相呼应,中国的各大银行正在大
力推广网上银行,鼓励支付行为的信息网络化。其中,网上银行成绩斐然的中国工商银行
也在前不久推出新版网上银行,实现全天候即时转账、汇款。目前已有云网、搜狐、阿里
巴巴、盛大、海航集团等12家国内知名电子商务企业和工商银行签署了战略合作协议。
五、保证网银安全发展的措施
终上所述,要想实现我国网上银行的健全发展,我们应该做到以下几个方面:
第一,银行业必须积极创新,完善服务方式,丰富服务品种,强调个性化服务。进入
21世纪,以人为本的理念越来越深入人心,人们越来越追求个性的张扬。由于传统银行提
供的服务是一成不变的,因而不能满足不同人的需求,或者是另一种情况,金融产品太多,
个人面对诸多金融产品无从下手,这样就需要为每个人定制不同的产品组合。另外对企业
的战略重点的理解也是有助于我们认识网上银行发展个性化趋势。起初一个企业的发展注
重于产品的开发,所有战略中心重点都注重于开发新的产品,因为当时的市场之大使他们
无须考虑新产品生产出来以后卖给谁,而到了经济危机的出现,大量的滞销产品为企业好
好上了一课,让他们明白有市场需求的产品才真正有经济价值,所以战略重点又转移到对
市场需求的研究,企业根据需求来开发新产品。现在又有一种说法就是企业的战略重点应
该由需求转向客户,因为大众化的产品已经不在受到人们的推崇,人们更希望按照自己的
需求获得自己所需要的与别人不同的个性化产品。
第二、依靠标准化产生规模效应。网络的特点是相互的开放、兼容与联接。没有统一
的标准,各自为政所开发的技术是与网络化时代相违背的。国际上最著名的标准化组织要
数ISO(国际标准化组织),国内主要政府牵头制定一系列标准。网上银行应尽早的实现行
业标准的统一。制定标准包括硬件和软件两个方面。在软件方面主要系统平台,网络协议
数据库应用软件等;在硬件方面主要是网络接入的设备,包括服务器、客户端、网络连接
设备。要加强金融电子化标准的制定,颁布和实施工作,应该由人民银行牵头,做好对涉
及我国金融电子化发展全局的各种标准,规范和制度的制定颁布和实施工作。在积极采用
国际标准的制度和先进国家标准的前提下,银行业务信息传输格式标准,银行卡技术标准,
商行网上业务和电子商务相关标准等。以便使我国金融电子化向深层次发展创造必要的条
件。
第三、提高网上银行的服务水平,更新银行经营理念。网上银行的服务水平直接影响
到客户的兴趣选择。网上银行所提供的产品的种类、质量、服务及信息等方面,应该满足
消费者特殊的需要,网上银行的服务要体现出人性化、个性化、特色化,使客户享受更加
方便快捷的服务。要以客户为中心,建立新型的组织管理制度,提高智能化、标准化、个
性化的业务发展模式。要坚持以人为本,切实保护消费者利益。对不断发生的网银资金盗
窃案件,银行方面基本上将责任归咎于用户对账号密码信息保管不善,消费者一般都很难
举证自己无过错,但如果对不断发生的网银盗窃事件的责任都推给消费者,显然不利于我
国网络银行整体形象的改善和产业的迅速发展。为此,应当切实采取相应措施,如:银行
可以设立网络银行发展风险基金,直接帮助受损用户或间接地帮助用户通过司法手段追讨
损失,切实保护消费者利益。
第四、加强网络银行的网络安全。一是从银行防范。建立严密的安全体系,保证网络
银行的安全运行。为防止交易服务器受攻击,银行应采取隔离相关网络、高安全级的Web应
用服务及实施全天候的安全监控等技术措施;二是从客户防范。客户的安全意识是影响网
络银行安全性的重要因素。客户要防止自己网络银行账号及密码流失,上网时应设置好电脑
安全措施,不随便点击恶意网站;三是建立全国统一的认证中心,充分发挥第三方认证机构
的中立、权威的作用;四是加快电子化应用环境风险防范,如加大对计算机物理安全设施
的投入和严格中心机房的管理制度等。
第五、提高社会整体信用水平,为网络银行的发展培根固本。这是一个综合的系统工
程,必须运用法律、经济、道德等多种手段来提升整个社会的信用水平,以降低网络银行
可能面临的信用风险。一方面要加强全民信用教育,发挥强大的舆论宣传力量,大力弘扬
“守信光荣、违约可耻”的信用观念,将守信观念深植人心;另一方面要建立完善的社会
信用管理体系和法律制度,营造一个良好的信用环境。
第六、加强立法与监管。作为中央银行的金融监管部门要针对信息技术在金融行业中
的广泛应用作战略性的思考,既要鼓励和支持商业银行的业务创新,避免限制性的政策或
立法,又要规范和引导国内的商业银行有序开展网络银行业务,促进我国网络银行快速、
健康发展;既要认真研究网络银行开展的业务种类和特点,尽快制定网络银行发展的指导
意见和原则,又要针对现有的相关金融法律规章进行必要的调整和修改,制定和完善相应
的监管办法和措施,加强对网络银行业务的监管,有效防范新的金融风险。
第七、真正的做到随时随地的服务。网上银行自然离不开网络,其实银行发展的过程
本身就一个不断网络化的过程。银行由起初的各自为政,资金流只能在自身内部快速进行,
而无法在自身以外快速流动;逐渐发展为几个银行相互信任,加速了银行间的资金流动;
而后发展为现在的国际间资金的往来融通,其实网络就是一个从封闭到开放,从相互独立
到相互联系的过程,网络就是由点到线,再到面的过程,现在的网络就是点线结合时期。
而发展到面的时期,才实现了真正意义的高科技,高智能的AAA银行,即在任何时候
(Anytime)任何地点(Anywhere)任何方式(Anyhow)为客户提供服务的银行,网络这时
既是银行的,又不是银行。因为单靠一家银行已经无法让自己的POS机,ATM分理处设到全
球的每一个角落,当然也无须把自己的设备和部门放在世界上的每一个地方。一方面网络
就是银行的设备,就是银行的部门,人们只要通过网络就能获得所需要的各种金融服务;
另一方面,银行不是网络的所有者,他们无须也无力支付如此庞大的建设费用,银行只要
有网络的使用权即可。每个客户都是整个网络的主人,他能获得全球各地的资源和服务。
而每个客户又不是网络的唯一主人。每家银行都是整个网络的收益人,他能将业务开展到
全球各地,而他又不是网络的唯一受益者,我想这才是网上银行形成的真正标志之一。
六、心得体会
虽然只有两周的课程设计,但还是学到了很多。首先是选取话题,有关网络信息安全方
面的话题有很多,比如:病毒,电子商务等。但感觉这些题材包含太广,不好把握,联想
到自己经常网上购物,就想到了网上银行的问题。网上银行既有方便,也有不足,近年来
关于网银失窃案例屡见报端,我就关于网银的基本原理,存在的技术问题及安全缺陷展开
查询,由于这方面的问题蛮多的,很容易找资料,所以本次设计进行的比较顺利。以此同
时,也知道了今后该怎样识别钓鱼网站和如何安全的使用网上银行。
七、参考文献
[1]谢兴龙,付玉嘉,廖春良.中国网络银行的发展策略研究[J].西 北工业大学学报(社会科学版), 2002,(01).
[2]杨开霞.我国网上银行风险防范问题研究[D].2004:11.
[3]于志刚.计算机犯罪研究[M].北京:中国检察出版社,1999.
[4] 周光斌.计算机犯罪与信息安全在国外[C].北京:中国信息化
法制建设研讨会论文集,1997.