网银系统客户端数据安全技术防范.docxVIP

随着金融业务的快速稳定发展，金融数据呈现海量增长。数据安全是企业持续经营的核心命脉，保护金融数据安全是银行等金融机构工作中的重点。本栏目结合 当前金融机构在保护数据安全方面的热点问题，如网银客户终端的数据安全保护、等级保护工作中的数据安全防护、数据备份工作以及保护数据安全的关键环节与技术手段等，编辑节选以下几篇文章，供行业同仁探讨。网银系统客户端数据安全技术防范文 随着金融业务的快速稳定发展，金融数据呈现海量增长。数据安全是企业持续 经营的核心命脉，保护金融数据安全是银行等金融机构工作中的重点。本栏目结合 当前金融机构在保护数据安全方面的热点问题，如网银客户终端的数据安全保护、 等级保护工作中的数据安全防护、数据备份工作以及保护数据安全的关键环节与技 术手段等，编辑节选以下几篇文章，供行业同仁探讨。 网银系统客户端 数据安全技术防范 文 /中国银行信息科技部 刘敬轩 马 龙 冯 恺 近 年来，电子银行业务特别是网上银行业务得到迅猛发 技术依赖风险、技术选择风险及外来攻击风险，其中外来攻 击风险为最主要的安全技术风险。 展，国内网上银行用户数目已连续 4年以超过 90％的 速度增长，网上银行交易额屡创新高。与此同时，大量的网 银安全事件见诸报端，网银的安全性受到银行客户的普遍关 1.技术依赖的风险 注。有数据显示，截至 2007年底，只有不足 40％的银行客户 选择使用网上银行。担心网上银行不安全是导致大多数银行 客户拒绝使用网银的原因之一，其中超过 70%的客户认为目 前网银的安全性偏低。 网上银行交易环节大体可分为服务器端处理环节、客户端 处理环节及数据传输环节。对于服务器端处理环节，网银的服 务器位于银行内部网络，并且拥有多重防火墙及入侵检测系统 的保护，相对比较安全；对于数据传输环节，网银数据传输大 多采用基于 SSL （安全套接层协议）的安全传输协议，在目前 的技术条件下，此环节也相对安全。因此，网上银行交易的安 全薄弱区一般位于客户端处理环节，目前已发生的各类网银安 全事件主要是黑客针对此环节进行攻击而产生的。 本文将对网银客户端存在的安全技术风险进行初步分析， 并结合在网银客户端安全防范领域的一些思考和经验，提出 加强网银客户端数据安全防范的相关建议。 绝大多数的网银系统基于 B /S 模式，网银用户登录网银 系统需要使用各种操作系统平台下多种类型的浏览器。如果 操作系统无法稳定运行，浏览器存在安全缺陷，网银客户端 的数据安全便无从谈起。网银客户端的安全性在很大程度上 依赖于用户所选择的操作系统及浏览器的稳定性与安全性。 为有效降低客户端的技术依赖风险，网上银行系统在设计 时必须充分考虑客户端计算机操作系统及浏览器的多样性和复 杂性，并有针对性地提供统一的安全保护措施，而不能完全依 赖客户所使用的操作系统及浏览器自身的安全设施。此类安全 保护措施包括开发专用网银客户端、选择特定的操作系统及浏 览器或提供客户端安全保护控件等。通过实施上述保护措施， 可以对操作系统及浏览器的安全缺陷进行一定程度的弥补，从 而降低网银客户端对操作系统及浏览器安全性的依赖。 2.技术选择的风险 无论是网银客户端的身份认证还是数据传输，都必须选 择一种安全且成熟的技术方案来支持，这就使得在技术选择 上存在选择失误的风险。该风险既来自于选择的技术方案兼 容性不足所导致的身份认证失败或者数据传输中断的可能， 一、安全技术风险分析 对银行而言，网银客户端存在的主要安全技术风险包括 编者按 栏目编辑 张丽霞 4 8 金融电子化 技术与应用 也来自于选择了将被淘汰的技术方案，造成技术相对落后的状况。而且一旦选择错误，可能造成整个网上银行系统体系 架构的安全性能缺失，从而无法保障网银业务的正常开展。 为降低技术选择风险，在选择网银客户端的身份认证及数 据传输技术方案时，一方面要从技术角度入手，组织技术专家对现有的身份认证及数据传输技术进行深入研究。另一方面， 也要从实际应用角度入手，对国内外各家商业银行的网上银行 技术与应用 也来自于选择了将被淘汰的技术方案，造成技术相对落后的 状况。而且一旦选择错误，可能造成整个网上银行系统体系 架构的安全性能缺失，从而无法保障网银业务的正常开展。 为降低技术选择风险，在选择网银客户端的身份认证及数 据传输技术方案时，一方面要从技术角度入手，组织技术专家 对现有的身份认证及数据传输技术进行深入研究。另一方面， 也要从实际应用角度入手，对国内外各家商业银行的网上银行 系统进行充分调研。通过综合两方面的调研结果，选择适合自 己的技术方案。例如在身份认证技术的选择上，可以根据网银 交易的风险程度，由低到高分别选用“用户名 +密码”身份认 证、动态口令身份认证及数字证书身份认证等技术。 同时，在技术选择的过程中，