8四大银行网上银行安全性比较.ppt

四大银行网上银行安全性比较 网上银行安全问题 1. 银行交易系统被非法入侵。 2. 信息通过网络传输时被窃取或篡改。 3. 交易双方的身份识别;账户被他人盗用。 从银行的角度来看，开展网上银行业务将承担比客户更多的风险。因此，我国已开通“网上银行”业务的招商银行、建设银行、中国银行等，都建立了一套严密的安全体系，包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等，以保证“网上银行”的安全运行。 银行交易系统的安全性 为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施： 1. 设立防火墙，隔离相关网络 一般采用多重防火墙方案。其作用为： (1) 分隔互联网与交易服务器，防止互联网用户的非法入侵。 (2) 用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。 2. 高安全级的Web应用服务器 服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。 3. 24小时实时安全监控 例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。 身份识别和CA认证 在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。 网络通讯的安全性 由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。 SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。目前，建设银行等已经采用有效密钥长度128位的高强度加密。 交易安全措施 ·1）文件数字证书：本地硬盘存储的ie数字证书等，容易被窃取且远控木马容易控制装有文件证书的电脑进行伪造交易。 ·2）传输加密：HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版，即HTTP下加入SSL层。SSL协议使用不对称加密技术实现会话双方之间信息的安全传递。 ·3）Usb Key：移动数字证书，里面保存着数字证书和用户私钥。 ·4）软键盘：动态弹出键盘，利用鼠标输入防止击键记录。 5）·图形验证码：防范暴力破解密码或者恶意登录。 6）·返回确认图片：一些银行为了防止木马修改交易数据采取的一种安全技术手段，交易时由服务器返回带有交易信息和验证码的图片，用户确认交易信息后输入验证码完成交易。 7）·安全控件：防止木马通过击键记录和ie的com接口获取密码等重要信息。 8）·动态口令：一次一密，理论上木马即使获得密码也无用。包括动态口令卡和口令牌等。 9）·驱动保护：为了防止击键记录所采用的驱动层技术手段，有破坏系统稳定性的隐患。 网银系统的现状和风险案例 双重身份认证 ??第一重认证是指网银客户的用户名和密码 ??第二重认证是指网上银行用户持有、保管并使用可实现其他身份认证方式的信息（物理介质或电子设备等）。附加身份认证信息应不易被复制、修改和破解。 ??数字证书（USB Key） ??动态密码（令牌、指纹、密码卡、刮刮卡） ??生物认证（虹膜、指纹等） 银行信息系统的薄弱环节 网银网站系统 ??客户端 ??黑客窃取网银认证信息的过程和技术 ??双因素认证系统的缺陷分析 ?提高银行网银系统安全性的措施 网上银行系统由用户系统、网站系统、业务数据中心、银行柜台和CA中心等组成。 从用户可接触的层面，网银系统可分为 ??网上银行网站系统 ??传输网 ??客户端 ?黑客攻击