網(wǎng)上銀行系統(tǒng)結(jié)構(gòu)與安全控制措施

1、淺析網(wǎng)上銀行系統(tǒng)結(jié)構(gòu)與安全控制措施中國(guó)工商銀行股份有限公司數(shù)據(jù)中心（北京） 周芙蓉網(wǎng)上銀行從上個(gè)世紀(jì)90年代產(chǎn)生到現(xiàn)在，經(jīng)歷了飛速的發(fā)展。網(wǎng)上銀行業(yè)務(wù)作為電子銀行業(yè)務(wù)的一種形式在國(guó)內(nèi)得到了迅猛的發(fā)展。網(wǎng)上銀行業(yè)務(wù)已經(jīng)成為全國(guó)范圍內(nèi)的普及型業(yè)務(wù)。據(jù)CFCA2010中國(guó)電子銀行調(diào)查報(bào)告顯示：2010年，全國(guó)城鎮(zhèn)人口中，全國(guó)各銀行的個(gè)人用戶已經(jīng)有26.9%開(kāi)通了網(wǎng)上銀行，在經(jīng)濟(jì)發(fā)達(dá)的城市中網(wǎng)上銀行的開(kāi)通率更是高；全國(guó)個(gè)人網(wǎng)銀用戶中，活躍用戶比例達(dá)到80.7%，交易用戶平均每月使用次數(shù)高達(dá)5.6次。除了在消費(fèi)領(lǐng)域網(wǎng)上銀行得到廣泛使用外，2010年全國(guó)范圍內(nèi)開(kāi)通網(wǎng)上銀行的企業(yè)用戶占全部用戶的40.9%，

2、可以說(shuō)網(wǎng)上銀行已經(jīng)成為人們生活中不可或缺的一部分。網(wǎng)上銀行的相關(guān)概念網(wǎng)上銀行的特點(diǎn)利用計(jì)算機(jī)和通信技術(shù)實(shí)現(xiàn)資金劃撥的電子銀行業(yè)務(wù)已經(jīng)有幾十年的歷史了，傳統(tǒng)的電子銀行業(yè)務(wù)主要包括資金清算業(yè)務(wù)和用POS網(wǎng)絡(luò)及ATM網(wǎng)絡(luò)提供服務(wù)的銀行卡業(yè)務(wù)。網(wǎng)上銀行是隨著Internet的普及和電子商務(wù)的發(fā)展在近幾年逐步成熟起來(lái)的新一代電子銀行，它依托于傳統(tǒng)銀行業(yè)務(wù)，并為其帶來(lái)了根本性的變革，同時(shí)也拓展了傳統(tǒng)的電子銀行業(yè)務(wù)功能。與傳統(tǒng)銀行和傳統(tǒng)電子銀行相比，網(wǎng)上銀行在運(yùn)行機(jī)制和服務(wù)功能方面都具有不同的特點(diǎn)。其特點(diǎn)主要有：全球化、無(wú)分支機(jī)構(gòu)；開(kāi)放性與虛擬化；智能化；創(chuàng)新化；運(yùn)營(yíng)成本低；親和性增強(qiáng)。網(wǎng)上銀行的功能網(wǎng)上銀

3、行功能一般包括：銀行業(yè)務(wù)項(xiàng)目、網(wǎng)上銀行服務(wù)、信息發(fā)布和商務(wù)服務(wù)幾個(gè)部分。（1）銀行業(yè)務(wù)項(xiàng)目。主要包括家庭銀行（儲(chǔ)蓄業(yè)務(wù)）、企業(yè)銀行（對(duì)公業(yè)務(wù)）、信用卡業(yè)務(wù)、國(guó)際業(yè)務(wù)、各種支付、信貸及特色服務(wù)等傳統(tǒng)的銀行業(yè)務(wù)功能。（2）商務(wù)服務(wù)。商務(wù)服務(wù)主要提供資本市場(chǎng)、投資理財(cái)和網(wǎng)上購(gòu)物等子功能。對(duì)資本市場(chǎng)來(lái)說(shuō)，除人員直接參與的現(xiàn)金交易之外的任何交易均可通過(guò)網(wǎng)上銀行進(jìn)行。投資理財(cái)服務(wù)可通過(guò)客戶主動(dòng)進(jìn)入銀行的網(wǎng)站進(jìn)行金融、賬戶等的信息查詢以及處理自己的財(cái)務(wù)賬目；也可由網(wǎng)上銀行系統(tǒng)對(duì)用戶實(shí)施全程跟蹤服務(wù)，即根據(jù)用戶的儲(chǔ)蓄、信貸情況進(jìn)行理財(cái)分析，適時(shí)向用戶提供符合其經(jīng)濟(jì)狀況的理財(cái)建議或計(jì)劃。在網(wǎng)上購(gòu)物方面，網(wǎng)上銀行

4、可以網(wǎng)上商店的形式向供求雙方提供交易平臺(tái)，商戶在此可建立自己的訂購(gòu)系統(tǒng)，向網(wǎng)上客戶展示商品并接受訂單，商戶在收到來(lái)自銀行的客戶已付費(fèi)的通知后即可向客戶發(fā)貨；客戶可進(jìn)入銀行的網(wǎng)上商店選購(gòu)自己所需的商品，并通過(guò)銀行直接進(jìn)行網(wǎng)上支付。這種供求雙方均通過(guò)網(wǎng)上銀行這一中介機(jī)構(gòu)建立聯(lián)系和實(shí)現(xiàn)收支，降低了交易的風(fēng)險(xiǎn)度。（3）信息發(fā)布。目前網(wǎng)上銀行研制發(fā)布的信息主要有：國(guó)際市場(chǎng)外匯行情、對(duì)公利率、儲(chǔ)蓄利率、匯率、證券行情等金融信息，以及行史、業(yè)務(wù)范圍、服務(wù)項(xiàng)目、經(jīng)營(yíng)理網(wǎng)上銀行的架構(gòu)各商業(yè)銀行由于自身業(yè)務(wù)系統(tǒng)的差異，對(duì)網(wǎng)銀系統(tǒng)應(yīng)用架構(gòu)會(huì)有不同的設(shè)計(jì)，但基本的技術(shù)構(gòu)成是類(lèi)似的，其各部分的功能也相似。圖1是較為典型

5、的網(wǎng)銀應(yīng)用系統(tǒng)結(jié)構(gòu)。其包括以下幾個(gè)主要部分：圖1 網(wǎng)銀系統(tǒng)結(jié)構(gòu)圖網(wǎng)銀站點(diǎn)服務(wù)器網(wǎng)銀站點(diǎn)服務(wù)器是網(wǎng)銀業(yè)務(wù)面向互聯(lián)網(wǎng)客戶的主用界面，當(dāng)前互聯(lián)網(wǎng)上有很多基于WEB應(yīng)用的攻擊，由于網(wǎng)銀站點(diǎn)直接暴露于互聯(lián)網(wǎng)上，因此站點(diǎn)服務(wù)器前不僅要通過(guò)防火墻實(shí)現(xiàn)基于網(wǎng)絡(luò)層或傳輸層的訪問(wèn)控制，通過(guò)部署IPS實(shí)現(xiàn)深度安全檢測(cè)，還需要通過(guò)流量清洗設(shè)備實(shí)現(xiàn)DDOS攻擊防御。另外，由于安全防護(hù)要求不同，通常將網(wǎng)銀站點(diǎn)服務(wù)器與銀行門(mén)戶站點(diǎn)服務(wù)器部署在不同的網(wǎng)絡(luò)區(qū)域內(nèi)，可以防止門(mén)戶站點(diǎn)的安全漏洞對(duì)網(wǎng)銀業(yè)務(wù)的影響。網(wǎng)銀站點(diǎn)服務(wù)器與用戶瀏覽器間通過(guò)HTTPS協(xié)議保證數(shù)據(jù)的私密性與完整性，為了減少站點(diǎn)服務(wù)器進(jìn)行密鑰交換與加解密的工作負(fù)擔(dān)，

6、在網(wǎng)銀站點(diǎn)服務(wù)器前部署負(fù)載均衡設(shè)備既可實(shí)現(xiàn)HTTPS協(xié)議加速，又可實(shí)現(xiàn)業(yè)務(wù)負(fù)載均衡和服務(wù)高可用性。 網(wǎng)銀應(yīng)用服務(wù)器網(wǎng)銀應(yīng)用服務(wù)器提供網(wǎng)銀系統(tǒng)的業(yè)務(wù)邏輯，包括會(huì)話管理、提交后臺(tái)處理以及向站點(diǎn)服務(wù)器提交應(yīng)答頁(yè)面等。應(yīng)用服務(wù)器與站點(diǎn)服務(wù)器共同構(gòu)成網(wǎng)銀業(yè)務(wù)（如網(wǎng)上支付與結(jié)算、網(wǎng)銀轉(zhuǎn)帳、基金交易、網(wǎng)上理財(cái)?shù)龋┻\(yùn)行環(huán)境。由于站點(diǎn)服務(wù)器與互聯(lián)網(wǎng)客戶瀏覽器之間承載數(shù)據(jù)的SSL協(xié)議不具備數(shù)字簽名功能，所以網(wǎng)銀客戶端的數(shù)字簽名通常由瀏覽器插件程序完成，而服務(wù)器端的驗(yàn)簽工作則由單獨(dú)的驗(yàn)簽服務(wù)器完成?？蛻艉灻慕灰讛?shù)據(jù)經(jīng)由站點(diǎn)服務(wù)器提交給應(yīng)用服務(wù)器，再由應(yīng)用服務(wù)器向驗(yàn)簽服務(wù)器發(fā)起驗(yàn)簽請(qǐng)求。上述工作流程決定了應(yīng)用服務(wù)器

7、作為網(wǎng)銀系統(tǒng)的核心組件，保障其服務(wù)高可用性與網(wǎng)絡(luò)訪問(wèn)安全性。在應(yīng)用服務(wù)器前部署服務(wù)器負(fù)載均衡設(shè)備來(lái)實(shí)現(xiàn)業(yè)務(wù)流量在多臺(tái)服務(wù)器間的均勻分配，從而提升業(yè)務(wù)的響應(yīng)速度和服務(wù)高可用性。另外，部署負(fù)載均衡設(shè)備后，根據(jù)網(wǎng)銀業(yè)務(wù)量的大小動(dòng)態(tài)配置應(yīng)用服務(wù)器，可提高業(yè)務(wù)擴(kuò)展能力。網(wǎng)銀數(shù)據(jù)庫(kù)服務(wù)器網(wǎng)銀數(shù)據(jù)庫(kù)服務(wù)器的主要作用是保存、共享各種及時(shí)業(yè)務(wù)數(shù)據(jù)（如客戶支付金額）和靜態(tài)數(shù)據(jù)（如利率表），支持業(yè)務(wù)信息系統(tǒng)的運(yùn)作，對(duì)登錄客戶進(jìn)行合法性檢查。數(shù)據(jù)庫(kù)服務(wù)器通常需要與存儲(chǔ)整列連接，并且數(shù)據(jù)庫(kù)服務(wù)器通常采用雙機(jī)互為備份的方式以保證高可用性。數(shù)據(jù)庫(kù)服務(wù)器只允許來(lái)自應(yīng)用服務(wù)器的訪問(wèn)，站點(diǎn)服務(wù)器禁止直接訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器。應(yīng)用服務(wù)

8、器與數(shù)據(jù)庫(kù)服務(wù)器可以部署在同一個(gè)安全區(qū)域內(nèi)，也可分別部署在兩個(gè)不同的安全區(qū)域內(nèi)。RA服務(wù)器、簽名驗(yàn)證服務(wù)器RA服務(wù)器與簽名驗(yàn)證（驗(yàn)簽）服務(wù)器都是與網(wǎng)銀交易中數(shù)字簽名相關(guān)的系統(tǒng)。RA （Registration Authority，數(shù)字證書(shū)注冊(cè)審批機(jī)構(gòu)）服務(wù)器是PKI體系中CA服務(wù)器的延伸，RA負(fù)責(zé)向CFCA（中國(guó)金融認(rèn)證中心）的CA或銀行自建的CA申請(qǐng)審核發(fā)放證書(shū)。驗(yàn)簽服務(wù)器負(fù)責(zé)對(duì)用戶提交的交易數(shù)據(jù)進(jìn)行數(shù)字簽名驗(yàn)證。RA服務(wù)器與驗(yàn)簽服務(wù)器都與應(yīng)用服務(wù)器間有數(shù)據(jù)交互，但RA服務(wù)器還需要通過(guò)互聯(lián)網(wǎng)（或?qū)＞€）與CFCA的CA服務(wù)器相連，因此RA與驗(yàn)簽服務(wù)器部署在不同的安全區(qū)域內(nèi)。應(yīng)用服務(wù)器與RA服務(wù)

9、器的訪問(wèn)通過(guò)防火墻做訪問(wèn)控制。綜合業(yè)務(wù)系統(tǒng)、網(wǎng)銀前置機(jī)、網(wǎng)銀管理服務(wù)器網(wǎng)銀的帳務(wù)處理、客戶數(shù)據(jù)及密碼的存放都在綜合業(yè)務(wù)系統(tǒng)中完成。網(wǎng)銀前置機(jī)負(fù)責(zé)將應(yīng)用服務(wù)器提交的業(yè)務(wù)請(qǐng)求經(jīng)過(guò)協(xié)議處理、數(shù)據(jù)格式轉(zhuǎn)換或加密后轉(zhuǎn)交到綜合業(yè)務(wù)系統(tǒng)的主機(jī)進(jìn)行處理。位于網(wǎng)點(diǎn)的客戶端通過(guò)訪問(wèn)網(wǎng)銀管理服務(wù)器實(shí)現(xiàn)網(wǎng)銀用戶管理功能（如開(kāi)戶、注銷(xiāo)、證書(shū)下載、密碼修改等）。上述三種業(yè)務(wù)系統(tǒng)都部署在銀行數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)，應(yīng)用服務(wù)器與三者間都存在直接或間接的訪問(wèn)關(guān)系，由于網(wǎng)銀應(yīng)用服務(wù)器與數(shù)據(jù)中心內(nèi)網(wǎng)區(qū)分屬不同的網(wǎng)絡(luò)安全區(qū)域，所以兩者間的網(wǎng)絡(luò)通信通過(guò)防火墻進(jìn)行訪問(wèn)控制。網(wǎng)上銀行的安全措施目前網(wǎng)上銀行的交易已經(jīng)成為主流交易渠道，全國(guó)網(wǎng)上銀行業(yè)

10、務(wù)的交易額在2010年已經(jīng)突破了550萬(wàn)億元，各大型商業(yè)銀行的日均交易筆數(shù)均超過(guò)百萬(wàn)。如今國(guó)內(nèi)不少銀行開(kāi)通的網(wǎng)上銀行都可以實(shí)現(xiàn)資金劃轉(zhuǎn)、跨行匯款、在線支付、繳納水電氣費(fèi)等。當(dāng)網(wǎng)銀逐漸進(jìn)入普通百姓理財(cái)領(lǐng)域的時(shí)候，如何提升網(wǎng)上銀行交易安全性就成了大家關(guān)心的首要問(wèn)題。CFCA2010中國(guó)電子銀行調(diào)查報(bào)告報(bào)告顯示，意向用戶中有高達(dá)71.9%的用戶認(rèn)為個(gè)人網(wǎng)銀是安全的，證明了市場(chǎng)對(duì)于網(wǎng)銀安全性的信賴也正穩(wěn)步提升。安全問(wèn)題的表現(xiàn)網(wǎng)上銀行安全問(wèn)題主要表現(xiàn)在以下幾個(gè)方面：一是數(shù)據(jù)傳輸，一旦數(shù)據(jù)傳輸系統(tǒng)被攻破，就有可能造成用戶的銀行資料泄密，并由此威脅到用戶的資金安全；二是網(wǎng)上銀行應(yīng)用系統(tǒng)的設(shè)計(jì)，一旦其在安全設(shè)

11、計(jì)上存在缺陷并被黑客利用，將直接危害到系統(tǒng)的安全性，造成嚴(yán)重?fù)p失；三是計(jì)算機(jī)病毒的攻擊，即由于網(wǎng)絡(luò)防范不嚴(yán)，導(dǎo)致計(jì)算機(jī)病毒通過(guò)網(wǎng)上銀行入侵到銀行主機(jī)系統(tǒng)，從而造成數(shù)據(jù)丟失等嚴(yán)重后果。從用戶的角度來(lái)看，網(wǎng)絡(luò)釣魚(yú)或是交易電腦被植入木馬都可能帶來(lái)資金的損失，因此需要我們有更強(qiáng)的安全意識(shí)。從銀行的角度來(lái)看，開(kāi)展網(wǎng)上銀行業(yè)務(wù)將承擔(dān)比客戶更多的風(fēng)險(xiǎn)。 網(wǎng)上銀行的安全體系我國(guó)已開(kāi)通“網(wǎng)上銀行”業(yè)務(wù)的各大銀行都建立了一套嚴(yán)密的安全體系，包括安全技術(shù)措施、安全策略、安全管理制度和流程等，以保證“網(wǎng)上銀行”的安全運(yùn)行。從技術(shù)層面來(lái)說(shuō)，數(shù)據(jù)管理和網(wǎng)絡(luò)通信安全是網(wǎng)上銀行業(yè)務(wù)技術(shù)風(fēng)險(xiǎn)管理的核心部分。銀行應(yīng)適當(dāng)?shù)卦O(shè)計(jì)和配

12、置不同的服務(wù)器和防火墻，采用合適的加密技術(shù)，在保證網(wǎng)上銀行業(yè)務(wù)平穩(wěn)運(yùn)行的基礎(chǔ)上，確保數(shù)據(jù)傳輸?shù)恼鎸?shí)性和保密性。防火墻則包括外部防火墻和內(nèi)部防火墻。為保證系統(tǒng)不受黑客侵入，銀行應(yīng)在站點(diǎn)服務(wù)器和Internet之間設(shè)置外部防火墻，在站點(diǎn)服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器或銀行內(nèi)部計(jì)算機(jī)系統(tǒng)之間設(shè)置內(nèi)部防火墻。加密技術(shù)主要包括密碼算法和密鑰長(zhǎng)度兩個(gè)方面的內(nèi)容，通過(guò)采用合適長(zhǎng)度的密鑰和密碼算法，可以有效地防止系統(tǒng)傳輸?shù)男畔⒑拖到y(tǒng)存儲(chǔ)的信息被破譯，從而保證網(wǎng)上銀行業(yè)務(wù)信息的安全。使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。SSL協(xié)議研制的首要目的是在兩個(gè)通信間提供秘密而可靠的連接，目前大部分站點(diǎn)服務(wù)器和瀏覽器都支持此協(xié)議。用戶

13、登錄并通過(guò)身份認(rèn)證之后，用戶和服務(wù)方之間在網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)全部用會(huì)話密鑰加密，直到用戶退出系統(tǒng)為止。而且每次會(huì)話所使用的加密密鑰都是隨機(jī)產(chǎn)生的。這樣，攻擊者就不可能從網(wǎng)絡(luò)上的數(shù)據(jù)流中得到任何有用的信息。同時(shí)，引入了數(shù)字證書(shū)對(duì)傳輸數(shù)據(jù)進(jìn)行簽名，一旦數(shù)據(jù)被篡改，則必然與數(shù)字簽名不符。SSL協(xié)議的加密密鑰長(zhǎng)度與其加密強(qiáng)度有直接關(guān)系，一般是40128位。目前，各銀行等已經(jīng)采用有效密鑰長(zhǎng)度128位的高強(qiáng)度加密。 應(yīng)用程序安全則主要涉及對(duì)交易客戶的身份的認(rèn)證（CA）和對(duì)交易的確認(rèn)，這是網(wǎng)上銀行業(yè)務(wù)運(yùn)作的關(guān)鍵環(huán)節(jié)。網(wǎng)上銀行業(yè)務(wù)突破了傳統(tǒng)銀行業(yè)務(wù)經(jīng)營(yíng)的概念，客戶不用到銀行柜臺(tái)就可以操作，銀行業(yè)務(wù)人員和客戶

14、之間也沒(méi)有面對(duì)面的接觸，這就要求銀行必須有一套有效的系統(tǒng)確認(rèn)客戶的資格，保證客戶和銀行雙方無(wú)法否認(rèn)已發(fā)生的交易。在網(wǎng)上銀行系統(tǒng)中，用戶的身份認(rèn)證依靠基于“RSA公鑰密碼體制”的加密機(jī)制、數(shù)字簽名機(jī)制和用戶登錄密碼的多重保證。銀行對(duì)用戶的數(shù)字簽名和登錄密碼進(jìn)行檢驗(yàn)，全部通過(guò)后才能確認(rèn)該用戶的身份。用戶的惟一身份標(biāo)識(shí)就是銀行簽發(fā)的“數(shù)字證書(shū)”。用戶的登錄密碼以密文的方式進(jìn)行傳輸，確保了身份認(rèn)證的安全可靠性。數(shù)字證書(shū)的引入，同時(shí)實(shí)現(xiàn)了用戶對(duì)銀行交易網(wǎng)站的身份認(rèn)證，以保證訪問(wèn)的是真實(shí)的銀行網(wǎng)站，另外還確保了客戶提交的交易指令的不可否認(rèn)性。 系統(tǒng)平臺(tái)安全則主要指構(gòu)成系統(tǒng)的軟硬件本身的安全系數(shù)。如軟硬件的

15、配置是否達(dá)到先進(jìn)水平，是否符合安全標(biāo)準(zhǔn)，業(yè)務(wù)人員和管理人員的專(zhuān)業(yè)能力和管理能力是否達(dá)到風(fēng)險(xiǎn)控制和業(yè)務(wù)發(fā)展的要求等。例如，網(wǎng)上銀行的主機(jī)系統(tǒng)應(yīng)采用可持續(xù)運(yùn)行技術(shù)，一旦出現(xiàn)故障，能啟動(dòng)備份系統(tǒng)或不停機(jī)更換設(shè)備，以保證系統(tǒng)的不間斷運(yùn)行，從而維護(hù)整個(gè)網(wǎng)上銀行的正常運(yùn)行。安全防御系統(tǒng)來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)中心的全方位安全防護(hù)。AFC（流量清洗中心）對(duì)外部訪問(wèn)流量進(jìn)行檢測(cè)，當(dāng)發(fā)現(xiàn)有DDoS攻擊時(shí)，采用動(dòng)態(tài)路由技術(shù)牽引攻擊流量并加以清洗，在不影響正常業(yè)務(wù)的同時(shí)，徹底清除DDoS攻擊流量；防火墻集成了包過(guò)濾和狀態(tài)檢測(cè)技術(shù)，防范入侵者越權(quán)訪問(wèn)獲取敏感信息；IPS集成入侵檢測(cè)與防御、病毒防護(hù)等功能，精確實(shí)時(shí)地識(shí)別并防御蠕蟲(chóng)

16、、病毒、木馬等網(wǎng)絡(luò)攻擊，防止攻擊者對(duì)數(shù)據(jù)中心的破壞，保障敏感數(shù)據(jù)不被竊取以及業(yè)務(wù)的持續(xù)運(yùn)行。從管理層面上來(lái)說(shuō)，就是要求銀行高級(jí)管理層對(duì)網(wǎng)上銀行業(yè)務(wù)的技術(shù)性風(fēng)險(xiǎn)管理給予高度重視，并針對(duì)網(wǎng)上銀行業(yè)務(wù)的特點(diǎn)，制訂全面、綜合、重點(diǎn)突出的系統(tǒng)及信息安全規(guī)章制度和操作程序，再根據(jù)重要性、復(fù)雜性和敏感性等方面對(duì)整個(gè)系統(tǒng)進(jìn)行分類(lèi)、分層次的保護(hù)，以保證銀行能集中精力管理關(guān)鍵部分。 還要提供有形的物理設(shè)施安全。這主要指對(duì)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、密鑰等關(guān)鍵設(shè)備及信息的安全防衛(wèi)措施。例如，計(jì)算機(jī)房要安裝電子門(mén)戶控制系統(tǒng)，關(guān)鍵場(chǎng)所要安裝監(jiān)視器，關(guān)鍵設(shè)備之間要保證相互隔離，進(jìn)入密鑰保管房間要有雙人控制等。各大銀行網(wǎng)銀安全控

17、制技術(shù)任何一家銀行的網(wǎng)上銀行系統(tǒng)都不能保證絕沒(méi)有安全隱患，任何安全都是相對(duì)而言的。即便如此，各銀行還是在不予余力地尋找更為安全的措施來(lái)保障用戶的資金安全。通過(guò)調(diào)查發(fā)現(xiàn)，各家銀行采用了不同的安全控制技術(shù)，下面列出了幾家銀行現(xiàn)有的安全控制措施（比較見(jiàn)表1）。表1 幾大銀行的安全控制技術(shù)比較銀行名稱是否使用網(wǎng)銀盾（即移動(dòng)證書(shū)）是否使用短信認(rèn)證是否使用口令卡是否使用密碼軟件盤(pán)其他安全措施補(bǔ)充中國(guó)工商銀行是是是否中國(guó)銀行否是否否Token中國(guó)建設(shè)銀行是是是是中國(guó)農(nóng)業(yè)銀行是是是是密碼簡(jiǎn)單性符合檢查交通銀行是是否否招商銀行是是否否禁止截屏中信銀行是是否否工行：口令卡+U盾+短信認(rèn)證 工商銀行主要才用的是U盾

18、和口令卡的控制措施。U盾是獲得國(guó)家專(zhuān)利的硬件加密工具，它存放著個(gè)人的數(shù)字證書(shū)，不可讀取。銀行也記錄著個(gè)人的數(shù)字證書(shū)，當(dāng)交易發(fā)起時(shí)，兩個(gè)數(shù)字證書(shū)進(jìn)行某種計(jì)算，所得結(jié)果用于驗(yàn)證客戶身份。電子銀行口令卡是一種動(dòng)態(tài)的電子銀行密碼。口令卡上以矩陣的形式印有若干字符串，客戶在使用電子銀行（包括網(wǎng)上銀行或電話銀行）進(jìn)行對(duì)外轉(zhuǎn)賬、B2C購(gòu)物、繳費(fèi)等支付交易時(shí)，電子銀行系統(tǒng)就會(huì)隨機(jī)給出一組口令卡坐標(biāo)，客戶根據(jù)坐標(biāo)從卡片中找到口令組合并輸入電子銀行系統(tǒng)。只有當(dāng)口令組合輸入正確時(shí)，客戶才能完成相關(guān)交易。使用者每次使用時(shí)輸入的密碼都不一樣，交易結(jié)束后即失效。現(xiàn)在為了加強(qiáng)安全性，工行也推出了手機(jī)短信動(dòng)態(tài)密碼的方式，配合

19、口令卡及U盾使用，為用戶提供了更高的安全性。中行：Token+短信認(rèn)證中國(guó)銀行采取靜態(tài)密碼，配合Token（動(dòng)態(tài)口令牌）的控制措施。在登錄中國(guó)銀行網(wǎng)上銀行時(shí)，使用用戶設(shè)置的靜態(tài)密碼，配合Token生成的6位動(dòng)態(tài)口令進(jìn)行登錄。在用戶進(jìn)行轉(zhuǎn)賬、用戶名/密碼找回等重要交易時(shí)，需再次輸入動(dòng)態(tài)口令進(jìn)行身份驗(yàn)證。這種方式與靜態(tài)口令類(lèi)似，但使用相比靜態(tài)口令卡有效次數(shù)就沒(méi)有限制了，因此相對(duì)方便。從今年1月開(kāi)始，中國(guó)銀行個(gè)人客戶通過(guò)中行網(wǎng)銀向他人轉(zhuǎn)賬或進(jìn)行網(wǎng)上支付交易時(shí)，需輸入手機(jī)交易碼。建行：動(dòng)態(tài)口令卡+網(wǎng)銀盾+短信認(rèn)證建設(shè)銀行采用動(dòng)態(tài)口令卡及網(wǎng)銀盾的控制措施。建行也采用動(dòng)態(tài)口令卡的方式提供安全保障。這種口令

20、卡覆蓋有30個(gè)不同的密碼，客戶每次在網(wǎng)上銀行進(jìn)行資金交易時(shí)，只需按順序輸入刮刮卡上的密碼，每個(gè)密碼只允許使用一次。建設(shè)銀行也為用戶提供網(wǎng)銀盾（U盾），在進(jìn)行網(wǎng)上轉(zhuǎn)賬、B2C支付等業(yè)務(wù)時(shí)，插入網(wǎng)銀盾并輸入網(wǎng)銀盾密碼即可完成交易。建行也推出了短信認(rèn)證的方式，客戶開(kāi)通短信認(rèn)證之后，在進(jìn)行轉(zhuǎn)賬，繳費(fèi)等交易時(shí)，通過(guò)輸入短信認(rèn)證碼的方式即可完成。農(nóng)行：K寶+動(dòng)態(tài)口令卡+短信認(rèn)證農(nóng)業(yè)銀行采用K寶及動(dòng)態(tài)口令卡的控制措施。農(nóng)行K寶是用于存放客戶證書(shū)及私鑰的物理介質(zhì)。企業(yè)客戶證書(shū)全部存放在IC智能卡或者USB-KEY中，因?yàn)槠渲械淖C書(shū)不可復(fù)制，從而可以獲得最佳的安全性。動(dòng)態(tài)口令卡和工行一樣，采用坐標(biāo)定位的方式，客戶在進(jìn)行網(wǎng)上轉(zhuǎn)賬，繳費(fèi)等業(yè)務(wù)時(shí)，需要驗(yàn)證動(dòng)態(tài)口令。今年開(kāi)始，農(nóng)行在個(gè)別地方也開(kāi)始試點(diǎn)手機(jī)短信認(rèn)證的方式，應(yīng)用在手機(jī)銀行（短信）的自助繳費(fèi)和農(nóng)戶小額貸款借還款功能中?？v觀幾大銀行的安全技術(shù)比較，手機(jī)短信動(dòng)態(tài)密碼正作為一種跨渠道的認(rèn)證方式越來(lái)越多的使用在各銀行的認(rèn)證中。我們還可以看出各大銀行更傾向于使用U盾和口令卡的強(qiáng)認(rèn)證方式來(lái)保障客戶資金的安全。然而網(wǎng)絡(luò)上黑客的手