浅谈网上银行客户端风险防控措施.doc

浅谈网上银行客户端风险防控措施 　　【摘要】大部分网上银行安全事件源于客户端的安全隐患。由于受到木马、钓鱼、嗅探等各种客户端攻击，网上银行安全面临较多威胁。本文通过测试目前主要商业银行的网上银行，了解客户端保护机制，提出网银客户端的主要风险防控措施，对完善网银的安全策略，有现实参考意义。 【关键词】网上银行，风险管理 【中图分类号】F832.2 【文献标识码】A 【文章编号】1672-5158（2013）04-0162-01 一、研究方法与意义 中国大部分商业银行已经建设了网银系统，由于面临较多互联网威胁，如网络钓鱼、恶意代码、暴力破解、恶意锁死用户、假冒客户登录等，因此安全措施是否完善一直备受关注。经过多年的摸索和总结，大型商业银行网银服务器端已经配置较齐全，安全措施较完善，基本经受了考验，其经验值得中小商业银行借鉴。 以普尔2012年发布的《中国五十大银行》中列举的商业银行作为研究对象，通过实际登陆网银进行测试，总结网银客户端的主要风险防控措施，对中小商业银行网银建设和管理，有现实的参考意义。 二、主要风险防控措施 网民安全意识参差不齐，个人电脑防护不够，客户端导致的网上银行案件层出不穷。为了增强客户端的访问控制安全性，各大商业银行主要采取了如下几种措施。 1、SSL安全会话 安全的会话是个人网上银行的安全基础。所有国内50大银行个人网上银行的网络通讯都采用HTTPS的加密传输方式，通过SSL建立安全的通道访问。国内商业银行大部分采用VeriSign颁发的SSL证书，除VeriSign外，Entrust和CFCA也是常见的证书颁发机构。个人网上银行证书普遍采用RSA（2048Bits）公钥，少数采用RSA（1024Bits）公钥。证书有效期集中在24-27个月之间，也有部分短期证书例如9个月。 2、多因素认证 身份鉴别是保障个人网上银行业务安全的关键，好的身份鉴别方式，不但能简化繁杂的登陆过程，更能较好地保障客户的帐号和财产安全。大多数银行都采用不同的身份鉴别手段来区分操作权限。一般“专业版”使用多因素认证，具备转账、交易等多种权限。而用传统客户名加密码简单认证的“大众版”只能查询信息而无法更改金额。目前我国50大银行中有82%在登陆过程中采用了多因素认证，有72%的银行采用了USBKEY证书的认证方式。出于更个性化考虑，客户还可以选择采用个性化登陆名或昵称，银行对客户登陆名的长度、密码长度、密码复杂度等进行了限制。 3、USBKEY保护 USBKEY因物理特性而具有较好的安全性。密钥存储在安全的u盘介质中，无法轻易读出，修改密钥必须经过硬件内程序调用。在接口的外部没有命令能对密钥区进行读删改，较好地保证了介质安全陛。即使客户密码泄漏，只要USBKEY不被盗用，客户身份就不会被仿冒。USBKEY内置CPU或智能卡芯片，可以实现数据摘要、数据加解密和签名的各种算法，加解密运算在硬件内进行，保证了密钥不会出现在计算机内存中。如果USBKEY不慎遗失，拾到者由于不知道客户密码，也无法仿冒客户身份。 USBKEY还使用公私钥密码体制和数字证书，从密码学角度提高了安全性。USBKEY初始化的时将算法写在ROM中，生成一对公私钥，公钥可以导出到USBKEY外，而私钥存储在密钥区，不允许外部访问，计算只在芯片内部进行，全过程中私钥不离开介质。 4、密码输入保护 密码输入是网银保护对象中安全级别最高的部分。当客户初次使用网上银行，一般会提示安装安全控件。安全控件是为确保密码不被恶意程序非法获取的保护措施，可抵御反编译、嗅探、溢出等。控件经过第三方安全测评，方可使用。密码输入保护主要分为安全控件、软键盘或二者结合，部分银行已将安全控件与软键盘功能统一在安全控件中，安全性得到提升。目前商业银行86%的密码输入后可实现自动加密，但仍有14%的商业银行网银密码未采取客户端加密，存在较大风险。 5、验证码增强验证 为防止机器暴力破解密码或自动登陆，90%的网银在登陆界面采用了验证码，但客户体验受到影响，登陆时间平均延迟2秒以上。从长度看，大多数银行的验证码为4位，少数银行采用5位和6位。从内容看，多数验证码为字母和数字相结合，字母不区分大小写，但也有个别银行验证码为纯字母或纯数字，存在风险。从表现形式看，大部分银行验证码在客户每一次登陆就在首页上要求输入验证码；少数银行采用隐藏验证码的形式，只有客户第一次登陆失败后才会显示验证码。隐藏验证码的方式达到了安全与易用的平衡。 6、登陆失败提示 网银常见错误提示包括：帐号或客户名错误，密码错误，验证码失效等。94%的网上银行采用了帐号自动锁定策略，达到特定的失败次数后，帐号会自动锁定一