网上银行安全保障

时间：2022-02-17 08:08:01 | 来源：信息时代

时间：2022-02-17 08:08:01 来源：信息时代

安全特性

由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。
网上银行

SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的'帮助''关于'中查到。建设银行等已经采用有效密钥长度128位的高强度加密。

'网上银行'系统是银行业务服务的延伸，客户可以通过互联网方便地使用商业银行核心业务服务，完成各种非现金交易。但另一方面，互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。

为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施：

设立防火墙

一般采用多重防火墙方案。其作用为：

（1）分隔互联网与交易服务器，防止互联网用户的非法入侵。

（2）用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。

安全服务器

服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

24小时监控

例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。

身份识别

网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。

在网上银行系统中，用户的身份认证依靠基于'RSA公钥密码体制'的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的唯一身份标识就是银行签发的'数字证书'。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。由于数字证书的唯一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。

认证介质

综述

常用的认证介质有：

1、密码

2、文件数字证书

3、动态口令卡

4、动态手机口令

5、移动口令牌

6、移动数字证书

密码

密码是每一个网上银行必备有认证介质，记得要使用安全好记的密码就是。但是密码非常容易被木马盗取或被他人偷窥。

安全系数30%

便捷系数100%

文件数字证书

文件数字证书是存放在电脑中的数字证书，每次交易时都需用到，如果你的电脑没有安装数字证书是无法完成付款的；已安装文件数字证书的用户只需输密码即可。

未安装文件数字证书的用户安装证书需要验证大量的信息，相对比较安全。

但是文件数字证书不可移动，对经常换电脑使用的用户来说不方便（支付宝等虚拟的一验证手机，而网上银行一般要去银行办理）；而且文件数字证书有可能被盗取（虽然不易，但是能），所以不是绝对安全的。

安全系数70%

便捷系数100%（家庭用户）

30%（网吧用户）

提供商：招商银行中国农业银行

动态口令卡

动态口令卡是一种类似游戏的密保卡样子的卡。

卡面上有一个表格，表格内有几十个数字。当进行网上交易时，银行会随机询问你某行某列的数字，如果能正确地输入对应格内的数字便可以成功交易；反之不能。

动态口令卡可以随身携带，轻便，不需驱动，使用方便，但是如果木马长期在你的电脑中，可以渐渐地获取你的口令卡上的很多数字，当获知的数字达到一定数量时，你的资金便不再安全，而且如果在外使用，也容易被人拍照。

安全系数50%

便捷系数80%

提供商：中国工商银行中国农业银行

动态手机口令

当你尝试进行网上交易时，银行会向你的手机发送短信，如果你能正确地输入收到的短信则可以成功付款，反之不能。

不需安装驱动，只需随身带手机即可，不怕偷窥，不怕木马。相对安全。

但是必须随身带手机，手机不能停机（手机停机，无法付款；无法汇款，就会一直停机。就像给证明就给开箱，不开箱没有证件就无法证明一样了），不能没电，不能丢失。而且有时通信运营商服务质量低导致短信迟迟没到，影响效率。

安全系数80%~90%

便捷系数80%（手机随身，话费充足，信号良好）

30%~80%（手机不随身，经常停机，信号差，有时还会弄丢手机）

提供商：招商银行中国工商银行光大银行邮政储蓄银行

移动口令牌

类似梦幻西游的将军令，一定时间换一次号码。付款时只需按移动口令牌上的键，这时就会出现当前的代码。一分钟内在网上银行付款时可以用凭这个编码付款。如果无法获得该编码，则无法成功付款。

不需要驱动，不需要安装，只要随身带就行，不怕偷窥，不怕木马。口令牌的编码一旦使用过就立即失效，不用担心我付款时输的编码被他们看到他们在一分钟内再付款。

安全系数80%~90%

便捷系数80%

提供商：中国银行

移动数字证书

移动数字证书，工行叫U盾，农行叫K宝，建行叫网银盾，光大银行叫阳光网盾，在支付宝中的叫支付盾。

它存放着你个人的数字证书，并不可读取。同样，银行也记录着你的数字证书。

当你尝试进行网上交易时，银行会向你发送由时间字串，地址字串，交易信息字串，防重放攻击字串组合在一起进行加密后得到的字串A，你的U盾将根据你的个人证书对字串A进行不可逆运算得到字串B，并将字串B发送给银行，银行端也同时进行该不可逆运算，如果银行运算结果和你的运算结果一致便认为你合法，交易便可以完成，如果不一致便认为你不合法，交易便会失败。

（理论上，不同的字串A不会得出相同的字串B，即一个字串A对应一个唯一的字串B；但是字串B和字串A无法得出你的数字证书，而且U盾具有不可读取性，所以任何人都无法获行你的数字证书。并且银行每次都会发不同的防重放字串（随机字串）和时间字串，所以当一次交易完成后，刚发出的B字串便不再有效。综上所述，理论上U盾是绝对安全的）

安全系数95%

便捷系数50%（持有需要驱动的移动数字证书的网吧用户）

80%（持有免驱的移动数字证书的网吧用户或家庭用户）

提供商：中国工商银行、中国农业银行、中国建设银行、招商银行、光大银行和民生银行