大銀行網(wǎng)上銀行安全性比較.ppt

1、四大銀行網(wǎng)上銀行安全性比較,制作人：張婷,網(wǎng)上銀行安全問題,1. 銀行交易系統(tǒng)被非法入侵。 2. 信息通過網(wǎng)絡(luò)傳輸時被竊取或篡改。 3. 交易雙方的身份識別;賬戶被他人盜用。 從銀行的角度來看，開展網(wǎng)上銀行業(yè)務(wù)將承擔比客戶更多的風險。因此，我國已開通“網(wǎng)上銀行”業(yè)務(wù)的招商銀行、建設(shè)銀行、中國銀行等，都建立了一套嚴密的安全體系，包括安全策略、安全管理制度和流程、安全技術(shù)措施、業(yè)務(wù)安全措施、內(nèi)部安全監(jiān)控和安全審計等，以保證“網(wǎng)上銀行”的安全運行。,銀行交易系統(tǒng)的安全性,為防止交易服務(wù)器受到攻擊，銀行主要采取以下三方面的技術(shù)措施： 1. 設(shè)立防火墻，隔離相關(guān)網(wǎng)絡(luò) 一般采用多重防火墻方案。其作用為：

2、(1) 分隔互聯(lián)網(wǎng)與交易服務(wù)器，防止互聯(lián)網(wǎng)用戶的非法入侵。 (2) 用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔，有效保護銀行內(nèi)部網(wǎng)，同時防止內(nèi)部網(wǎng)對交易服務(wù)器的入侵。,2. 高安全級的Web應(yīng)用服務(wù)器 服務(wù)器使用可信的專用操作系統(tǒng)，憑借其獨特的體系結(jié)構(gòu)和安全檢查，保證只有合法用戶的交易請求能通過特定的代理程序送至應(yīng)用服務(wù)器進行后續(xù)處理。 3. 24小時實時安全監(jiān)控 例如采用ISS網(wǎng)絡(luò)動態(tài)監(jiān)控產(chǎn)品，進行系統(tǒng)漏洞掃描和實時入侵檢測。在2000年2月Yahoo等大網(wǎng)站遭到黑客入侵破壞時，使用ISS安全產(chǎn)品的網(wǎng)站均幸免于難。,身份識別和CA認證,在網(wǎng)上銀行系統(tǒng)中，用戶的身份認證依靠基于“RSA公鑰密碼體制”的加

3、密機制、數(shù)字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數(shù)字簽名和登錄密碼進行檢驗，全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發(fā)的“數(shù)字證書”。用戶的登錄密碼以密文的方式進行傳輸，確保了身份認證的安全可靠性。數(shù)字證書的引入，同時實現(xiàn)了用戶對銀行交易網(wǎng)站的身份認證，以保證訪問的是真實的銀行網(wǎng)站，另外還確保了客戶提交的交易指令的不可否認性。,網(wǎng)絡(luò)通訊的安全性,由于互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)，客戶在網(wǎng)上傳輸?shù)拿舾行畔?如密碼、交易指令等)在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發(fā)生，網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施，使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。

4、 SSL協(xié)議是由Netscape首先研制開發(fā)出來的，其首要目的是在兩個通信間提供秘密而可靠的連接，目前大部分Web服務(wù)器和瀏覽器都支持此協(xié)議。用戶登錄并通過身份認證之后，用戶和服務(wù)方之間在網(wǎng)絡(luò)上傳輸?shù)乃袛?shù)據(jù)全部用會話密鑰加密，直到用戶退出系統(tǒng)為止。而且每次會話所使用的加密密鑰都是隨機產(chǎn)生的。這樣，攻擊者就不可能從網(wǎng)絡(luò)上的數(shù)據(jù)流中得到任何有用的信息。同時，引入了數(shù)字證書對傳輸數(shù)據(jù)進行簽名，一旦數(shù)據(jù)被篡改，則必然與數(shù)字簽名不符。SSL協(xié)議的加密密鑰長度與其加密強度有直接關(guān)系，一般是40128位，可在IE瀏覽器的“幫助”“關(guān)于”中查到。目前，建設(shè)銀行等已經(jīng)采用有效密鑰長度128位的高強度加密。,四

5、大國有銀行網(wǎng)銀安全性綜合評估,如今國內(nèi)不少銀行開通的網(wǎng)上銀行都可以實現(xiàn)資金劃轉(zhuǎn)、跨行匯款、在線支付、繳納水電氣費等。然而，當網(wǎng)銀逐漸進入普通百姓理財領(lǐng)域的時候，如何提升網(wǎng)上銀行交易安全性就成了市民關(guān)心的首要問題。,中行：安全只因功能簡陋,中國銀行自1996年起開始投入網(wǎng)絡(luò)銀行的開發(fā)，1997年在網(wǎng)上建立自己的網(wǎng)頁。它以高起點，在網(wǎng)絡(luò)支付系統(tǒng)中采用先進的SET標準，海內(nèi)外網(wǎng)點多，經(jīng)營規(guī)范。目前，中國銀行其主頁提供的網(wǎng)絡(luò)銀行業(yè)務(wù)主要有個人金融服務(wù)、企業(yè)金融服務(wù)、資金及國際業(yè)務(wù)、客戶交流。中國銀行網(wǎng)銀注冊的前提是開通電話銀行，如果電話銀行未開通的話是不可以進行網(wǎng)銀注冊的。所以你一定要先到銀行柜臺辦理

6、電話銀行開戶手續(xù)才可以到網(wǎng)上進行網(wǎng)銀注冊，辦理電話銀行開戶手續(xù)時柜員會提示你自設(shè)一個電話銀行的密碼,三道防線保證網(wǎng)上銀行用戶的資金和信息安全,1.第一道防線：由網(wǎng)上銀行用戶名（6-20位數(shù)字和英文字母）和密碼（8-20位數(shù)字和英文字母）組成的基礎(chǔ)性防護。 2.第二道防線：動態(tài)口令牌隨機生成的動態(tài)口令（6位數(shù)字）。 3.第三道防線：用戶使用網(wǎng)上銀行進行他人轉(zhuǎn)賬，投資服務(wù)的開通，基金、國債業(yè)務(wù)的開戶，代繳費、用戶名/密碼找回等重要交易時，需再次輸入動態(tài)口令進行身份驗證。,中國銀行網(wǎng)上銀行安全機制,九重安全措施構(gòu)成全方位防護網(wǎng),1.安全控件防范惡意程序 2.短信提醒服務(wù)隨時了解網(wǎng)銀變動情況 3.預(yù)留

7、“歡迎信息”辨別假網(wǎng)站 4.登入記錄監(jiān)控異常情況 5.登錄保護防范惡意攻擊 6.關(guān)鍵信息屏蔽保障賬戶安全 7.控制交易限額降低風險 8.會話超時控制防止惡意操作 9.柜臺關(guān)聯(lián)賬戶確保身份真實,在四大銀行里面建行和中行的網(wǎng)銀功能單調(diào)，只能查詢或者掛失。此外，中行在網(wǎng)上開通了買賣開放式基金外匯黃金，但是轉(zhuǎn)賬也只能在同一個戶名下不同賬戶劃轉(zhuǎn)，不支持不同名之間的匯款轉(zhuǎn)賬，錢被劃走或盜取比起其他銀行可能因為可以在網(wǎng)上支付和轉(zhuǎn)給他人風險更低。因為只可以同名轉(zhuǎn)賬，所以中行網(wǎng)銀沒有密碼卡或電子令牌等額外的加密措施，因此也就不收費，所以適合廣大基金迷購買基金使用，既安全又便宜。,綜述：中行網(wǎng)銀的安全性來源于功能

8、的簡陋性，優(yōu)點是絕對保障你賬號的安全，缺點是處理起事情不太方便，適合不進行網(wǎng)上交易的用戶使用。,建行：三重保護也有漏洞,建設(shè)銀行是緊跟隨中國銀行，招商銀行而推出網(wǎng)絡(luò)銀行業(yè)務(wù)的，其業(yè)務(wù)范圍與中國銀行大體相似，其網(wǎng)絡(luò)支付較有特色的是提供退款功能。對于網(wǎng)銀的便利性與安全性，建行一直做出了很大的努力。去年10月份新版建行網(wǎng)銀重點優(yōu)化了查詢、轉(zhuǎn)賬、匯款、繳費和支付等五大個人日?；窘鹑诜?wù)。在網(wǎng)銀安全方面，建行更聲稱新版網(wǎng)銀增加了密碼控件、安全控件、預(yù)留防偽信息驗證、賬戶保護、短信通知等安全手段，配合原有的雙重密碼保護、電子證書等各種安全手段組合，進一步提升了網(wǎng)上銀行安全性能。,通常保存在電腦硬盤或IC

9、卡中。在建行網(wǎng)上銀行系統(tǒng)中，有兩種證書：建行網(wǎng)銀系統(tǒng)的服務(wù)器證書和每個網(wǎng)上銀行用戶在瀏覽器端的客戶證書。有了這兩個證書，就可以在瀏覽器與網(wǎng)銀服務(wù)器之間建立起SSL連接（SSL是一種國際標準的加密及身份認證通信協(xié)議，你用的瀏覽器就支持此協(xié)議）。這樣，您使用的瀏覽器與建行網(wǎng)銀服務(wù)器之間就有了一個安全的加密信道。,數(shù)字證書是建行電子爭行最常見的安全保障手段。數(shù)字證書也被稱作CA證書（簡稱證書），實際是一串很長的數(shù)學編碼，包含有客戶的基本信息及CA的簽字，,建行數(shù)字證書的獲取是在你成為建行網(wǎng)銀簽約用戶后，第一次登陸建行網(wǎng)站時，它會提示你安裝證書（只提示一次）。有了數(shù)字證書，你完全可以放心地使用網(wǎng)上銀行

10、的各項功能。,不過數(shù)字證書有一個漏洞，那就是若你換了一臺機器時，網(wǎng)銀只會向你要證書，不會再給你安裝了。這時你只能回到你安裝證書的機器，將證書導出，再安到你的新機器上。如果是電腦重裝，也要把證書備份，再重安。這樣導致的結(jié)果是一旦你的電腦被盜或者挪作他人，那么證書就有可能被別人備份（備份操作很簡單并且過程不需要密碼等支持），而那個將你證書備份的人一旦獲取密碼就能輕松轉(zhuǎn)走你賬號上所有的錢。,建行數(shù)字證書導出,除了安裝數(shù)字證書外，建行在國內(nèi)銀行中首家推出為大眾客戶量身定做的動態(tài)口令卡（口令卡要2塊錢）。這種動態(tài)口令卡是一種大小、形狀與銀行卡一樣的卡片，俗稱刮刮卡。每張刮刮卡覆蓋有30個不同的密碼，客戶

11、每次在網(wǎng)上銀行進行資金交易時，只需按順序輸入刮刮卡上的密碼，每個密碼只允許使用一次。使用動態(tài)口令卡能夠有效防范“假網(wǎng)站”和“木馬”病毒竊取網(wǎng)上銀行密碼所帶來的安全風險，提高網(wǎng)上銀行交易的安全性。不過，這種口令卡沒有預(yù)留信息，一旦釣魚網(wǎng)站誘惑你成功登陸后，就直接獲取了你的賬號、登陸密碼，甚至 誘騙你刮一次口令卡，然后盜取口令卡上的口令盜走賬戶的錢。,建行覺得2元的口令卡還不保障，于是從2007的5月1日起，建設(shè)銀行為提高網(wǎng)上銀行交易的安全性出臺了這一新規(guī)定：申請開通網(wǎng)上銀行，必須先花64元購買一個提高安全性的USBKEY安全鑰匙，否則網(wǎng)銀用戶就不能在網(wǎng)上購物、轉(zhuǎn)賬。的確，相比數(shù)字證書與口令卡，U

12、SBKEY安全鑰匙具有唯一性和不可導出性，可以有效防范“木馬”病毒在內(nèi)的各類可能的獲取個人私鑰的風險。但是從用戶的角度來看，建行這種做法無疑是強制向客戶銷售安全鑰匙，等于加重了消費者的負擔，而逃避了自己對網(wǎng)上銀行安全的責任。,綜述：建行數(shù)字證書與口令因為存有漏洞，如果你不能保證你的電腦只是你個人使用并且絕對安全，那么就不要選擇將存有大額存款的賬號開通建行的電子銀行。如果一定要開通建行網(wǎng)銀，那么64元的USBKEY安全鑰匙就必不可少了。,工行：口令卡挽回了聲譽 U盾保證了安全,工商銀行于2000年6月30起在31個城市正式開通網(wǎng)絡(luò)銀行業(yè)務(wù)，其網(wǎng)絡(luò)銀行主要業(yè)務(wù)有個人網(wǎng)絡(luò)銀行、企業(yè)網(wǎng)絡(luò)銀行，業(yè)務(wù)覆蓋

13、全國大小300多個城市。相比中行與建行，中行的網(wǎng)銀業(yè)務(wù)要豐富得多，因此客戶也多。截至今年6月底，工行已累計發(fā)展個人網(wǎng)銀客戶1987萬，企業(yè)網(wǎng)銀客戶46.7萬，居國內(nèi)第一。但正如葛尤說的，吃飯，街上哪個飯館人多就去哪個。樹大招風，工行很自然成為黑客攻擊的主要目標。2005年，在國內(nèi)就出現(xiàn)兩例嚴重的釣魚網(wǎng)站事件，目標都是中國工商銀行，影響十分巨大。去年轟動全國的“工行網(wǎng)銀受害者集體維權(quán)聯(lián)盟”事件，牽連的人極多，影響力比釣魚網(wǎng)站事件有過之而無不及。,工商銀行采用了一系列先進的安全防范技術(shù)，從銀行端來說，包括多重防火墻、1024位非對稱加密算法的證書簽名、SSL128位加密傳輸、實時掃描、實時監(jiān)控、數(shù)

14、據(jù)加密存放等，使工行網(wǎng)銀系統(tǒng)達到了較高的安全級。從客戶端來說，為了保護客戶端的安全，工商銀行為客戶提供了U盾、電子銀行口令卡、防病毒安全控件、余額變動提醒、預(yù)留信息驗證等一系列安全措施，其中以U盾和電子銀行口令卡最出名。,U盾是獲得國家專利的硬件加密工具，辦理一個U盾一般80元，有了U盾等于加了一把安全鎖，即使客戶的賬號、密碼等個人信息被竊，若沒有U盾，也無法將客戶資金轉(zhuǎn)移?？蛻糁灰ＷCU盾、U盾密碼、賬號（別名）、登錄密碼和支付密碼這些所有的安全措施不被同一個人竊取，資金損失的可能性幾乎為零?？梢赃@樣說，U盾是目前網(wǎng)上銀行客戶端安全級別最高的一種安全工具，只是價格較高。,電子銀行口令卡的保密

15、性也是極高，客戶只需攜帶有效證件和注冊過網(wǎng)上銀行的銀行卡，即可到工行營業(yè)網(wǎng)點領(lǐng)取電子銀行口令卡（因為在推廣期，所以免費）。這種銀行電子口令卡相當于一種動態(tài)的電子銀行密碼?？诹羁ㄉ弦跃仃嚨男问接∮腥舾勺址蛻粼谑褂秒娮鱼y行（包括網(wǎng)上銀行或電話銀行）進行對外轉(zhuǎn)賬、B2C購物、繳費等支付交易時，電子銀行系統(tǒng)就會隨機給出一組口令卡坐標，客戶根據(jù)坐標從卡片中找到口令組合并輸入電子銀行系統(tǒng)。只有當口令組合輸入正確時，客戶才能完成相關(guān)交易。這種口令組合是動態(tài)變化的，使用者每次使用時輸入的密碼都不一樣，交易結(jié)束后即失效，從而杜絕不法分子通過竊取客戶密碼盜竊資金，保障電子銀行安全。,其次，由于口令卡是一個同

16、電腦無關(guān)的物理卡片，直接切斷了黑客種植木馬盜用賬號和密碼后，依然無法直接盜用用戶的存款。如果用戶能保存好口令卡，理論上用戶的存款是非常安全的。最后，相比建行，工行還對電子銀行口令卡提供了網(wǎng)絡(luò)預(yù)留信息，如果黑客要“釣魚”，那必須同時竊取到兩個密碼區(qū)域橫縱坐標信息以及預(yù)留信息，但這可能性幾乎沒有。另外，工行口令卡一次最多只能拿到1000元，一天也最多5000元，即使被盜損失也可減至最少。,綜述：與U盾相比，電子銀行口令卡的加密認證手段雖不如前者先進，但口令卡價格低廉、使用方便，十分適合對支付限額要求不高，尤其是每日轉(zhuǎn)款在5k之內(nèi)的用戶使用。而且工行口令卡取消單機文件證書這樣的模式，使很多普通的用戶

17、，尤其對計算機操作不是很理解的人，降低了他們操作的門檻。因此很快得到客戶的喜愛，工行聲譽也由此挽回。不過，如果你想享受網(wǎng)上銀行的全部功能，并且轉(zhuǎn)賬金額較大，建議申請工行U盾。,農(nóng)行：手續(xù)麻煩，先苦后甜,四大國有銀行中，農(nóng)業(yè)銀行網(wǎng)絡(luò)銀行業(yè)務(wù)雖然有自己的特色，但是業(yè)務(wù)并不十分豐富。因此，開通農(nóng)行網(wǎng)上銀行的用戶遠沒有工行多，被黑客盯上的機會相對也比工行少。不過，農(nóng)行對于網(wǎng)銀安全還是十分重視，安全措施也做了不少，只是開通農(nóng)行網(wǎng)銀的手續(xù)比起其它銀行較為繁雜開通農(nóng)行網(wǎng)銀方法與建行辦法差不多，需要去開戶的營業(yè)廳，銀行會給你一張密封的信封，里面有口令和密碼，18天內(nèi)到農(nóng)業(yè)銀行的首頁申請下載證書。農(nóng)行數(shù)字證書包

18、含個人的賬戶信息，具有惟一性和不可復制性，說明安全系數(shù)高。,手續(xù)麻煩，先苦后甜,除了數(shù)字證書之外，農(nóng)行網(wǎng)銀也有類似“U盾”的安全鑰匙K寶。K寶與U盾相同，價格100元左右，它也是目前網(wǎng)銀客戶端安全級別最高的一種移動證書工具，使用后，可以有效防范用戶網(wǎng)銀操作中出現(xiàn)的風險環(huán)節(jié)，可以輕松確保個人資金安全。除了具有不可復制唯一性的特點外，K寶還有安全自鎖機制的特點，即密碼連續(xù)輸錯六次K寶將自動失效，確保意外情況的客戶網(wǎng)行安全。,許多用戶會在網(wǎng)上買東西，網(wǎng)上支付，每次所花的錢不會太多，如果用存款金額較大的銀行卡支付又擔心賬號在網(wǎng)上泄漏造成損失。這時，較好的方法是開通農(nóng)行電子支付卡。所謂的電子支付卡是虛擬的，只有賬號和密碼，專門用于網(wǎng)上支付。它可以自設(shè)限額，但最高不超過200元，能像羊城通一樣隨時充值。由于里面的金額少，因此即使被“黑”了損失也不大。在農(nóng)行首頁有申請電子支付卡，把卡號和密碼填好進入到你的卡的頁面，有申請支