网银安全调查案例.docVIP

学生姓名：熊原 年级专业：08级工商管理 学号：120012008312 网上银行安全分析报告 一、网上银行的发展状况及隐忧：发展与隐患并存 今天，Internet已经渗透到了我们的生活的方方面面。网上娱乐、网上购物、网上银行等新的生活方式正在逐渐影响着我们的生活。尤其是近几年网上银行的快速发展，在为我们的生活提供便利的同时，也改变了我们的生活方式和习惯。 ? 安全隐患是发展的主要障碍： ????加强网上银行用户的身份管理，防止用户身份的泄露，是当前公认的预防网上银行安全隐患的最有效措施。目前，多数网上银行的专业版都采用数字证书作为客户身份证明，一是确保交易的真实性，更重要的是，能有效防止用户身份的泄露。因为即使黑客盗取了客户密码，没有证明身份的数字证书，同样无法操作，无法盗取资金。因此，目前国内银行主要通过采用CA认证（身份认证）的方式来预防用户身份的泄露。 ????在CA认证机构的选择上，我国银行以采用第三方认证机构为主，这也是行业系统化、规范化的发展方向及诚信的基础。记者从我国金融业统一的第三方安全认证机构CFCA（即中国金融认证中心）了解到，CFCA已累计发放证书超过50万张。包括工商银行、农业银行、建设银行、交通银行、中信实业银行、上海浦发银行、民生银行在内的众多银行都已经建立了CFCA证书审批机构，并且有超过9家银行将这一认证在全国范围内推广。华夏、民生等银行还实现了CFCA证书的跨行认证。 ????由于第三方CA独立于当事人的任何一方，比非第三方CA具有更强的权威性、公正性和可信赖性，能够更好的确保网上交易的有效性，技术上也有更好的保障。在互联网这种开放、不设访、复杂的环境中，第三方CA通过发放证书来保障信息的传输安全，对交易双方起到了规避风险的作用。 二、主要的网上银行安全措施： 尽管网上银行因为其方便快捷而备受用户欢迎，但是现在有一些不法分子通过假电子邮件、假网站、木马（特洛伊）软件，以及其他蓄意诈骗程序等，盗取用户的名称和密码，影响了用户正常使用。银行方面为此设置了不少安全措施，以保证用户安全使用网上银行。 　　很多银行的网上银行分为大众版和专业版，一般来说大众版是单一身份认证，所以只提供简单的账户查询功能和受限制的同一客户账户间转账功能；只有采取了双重身份认证或多重身份认证，用户可以通过使用动态密码验证、浏览器文件数字证书或移动数字证书等多种安全认证方式后，才能通过网上银行进行各种转账、支付等操作，这样就大大加强了网上银行的安全性。除上述安全措施外，部分商业银行还提供电脑数字软键盘密码输入方式、即时短信通知卡交易信息等服务，这些都是为保护您的银行账户作出的努力。现有的双重认证方式大致如下： 　　1．浏览器文件数字证书： 　　目前国内商业银行采用最为普遍的双重认证方式之一。可存储于浏览器中，可任意备份证书和私钥，用户端不需要安装驱动程序，而且没有任何成本。 　　2．移动数字证书(主要为U盾)： 　　即USB-Key（U盘数字证书），是目前国内商业银行采用比较普遍的、安全度相对较高的双重认证方式之一。申请移动数字证书后，所有涉及资金对外转移的网银操作，除输入密码外，还必须同时使用移动数字证书才能完成。由于犯罪分子很难同时窃取移动数字证书、移动数字证书的密码、网上银行账号、登录密码和支付密码，所以使用移动数字证书的安全性要大大高于普通的单一使用密码方式。 　　3．智能IC卡： 　　香港地区的智能身份证（IC卡）已含有内置的安全证书，进行网上银行交易时在电脑上插入IC卡即可有效确认客户身份，但智能身份证中的安全证书必须使用特殊设备读取，在使用时尚有一定程度的不便。 　　4．手机短信密码： 　　客户在发出交易需求后，银行用手机短信向客户发出一次性密码，只有在输入银行卡密码和一次性密码后，整个交易才能被确认并完成。 　　5．电子密码器： 　　银行发给客户一个拇指大小的电子密码器。每个密码器都有独特编号，与银行卡号关联。密码器有内置时钟，每次按下按钮，会根据密码器编号和交易时间生成6位数的密码。客户必须同时输入银行卡密码和密码器密码，才能获得身份认证。由于密码器密码与交易时间挂钩，所以每次生成的密码都不一样，而且每个密码在很短时间内就会失效，即使他人偷看或记录下银行卡号、银行卡密码和密码器密码，也很难来得及窃取资金。 　　6．多因素密码校验法： 　　用户在交易前必须输入姓氏、会员号码、常规密码和其他密码，或在输入生日和个人识别码(PIN)后，必须回答几个随机问题（已在银行卡资料库中预留的答案）。只有所有的号码均正确、回答问题与预留答案一致，才能使用网上银行服务。 　　7．动态口令卡： 　　相当于一种动态的电子银行密码。每张口令卡与客户在银行的注册信息关联。上以矩阵的形式印有若干字符串