招商银行网上银行安全性分析

招商银行网上银行安全性分析
摘要：网上银行代表着一种全新的业务模式和发展方向，它给银行带来的表面变化是减少了固网点和经营成本，为用户提供24小时全天候的不间断服务。

更深刻的变化是在于，银行由经营金融产品的中介机构开始向提供信息和投资理财的服务性机构转换。

这是金融业经营理念上的重大变化，更是网络经济时代金融业发展的大趋势。

然而，随着网络技术的发展，网上银行业务也带来了各种各样的风险。

对网上银行进行安全性的分析，有利于更好的开展网上银行业务。

招商银行是最先成为国内实现全国连通“网上银行”的商业银行。

目前，无论是网络银行技术，还是业务量均在国内同业中处于领先地位。

被许多著名电子商务网站列为首选的网上支付工具。

关键词：招商银行、系统安全、网上支付、系统风险
目录
1.网上银行概述 (2)
1.1网上银行的产生和发展的原因 (2)
1.2网上银行的发展状况 (2)
2.招商银行网上银行的系统功能和特点 (2)
2.1系统功能 (2)
2.2系统特点 (2)
3.招商银行网上银行的安全机制 (3)
3.1招商银行网上银行业务中的相关风险 (3)
3.1.1操作风险 (3)
3.1.2 战略风险 (3)
3.1.3信誉风险 (3)
3.1.4法律风险 (3)
3.2 网上“企业银行”的安全机制 (3)
3.2.1 传输安全 (3)
3.2.2 病毒防范 (3)
3.2.3严格的授权管理 (3)
3.2.4变码印鉴的使用 (4)
3.3 个人银行服务的安全机制 (4)
3.3.1技术手段 (4)
3.3.2业务安全监控办法 (4)
3.4招商银行网上银行支付体系的安全保障措施 (5)
4招商银行网上银行的特点、问题和发展对策 (5)
4.1招商银行网上银行的特点和问题 (5)
4.2招商银行发展的应对策略 (6)
主要参考文献 (7)
致谢词 (8)
1、网上银行概述
1.1网上银行产生和发展的原因
1.1.1信息技术革命是网上银行产生和发展的根本原因
信息技术革命对人类社会的发展产生了及其深远的影响。

因特网的出现给人类生活带来了质的飞跃，也给金融业带来了一次前所未有的革命。

构建在因特网上的网上银行给商业银行提供了创造银行知识优势的平台。

在这个平台上，商业银行形成了全行业乃至整个金融服务业有别
于其他行业或产业的无边界发展空间。

它突破了网点约束对银行业务扩
张的限制，使金融服务从有形的物理世界延伸到无形的数字世界。

1.1.2网上银行是电子商务发展的要求
电子商务作为信息流、资金流和物流的统一，它的运行从根本上离不开银行网上支付的支撑。

因此，发展电子商务客观上要求银行业必须同
步实现电子商务化，以保证资金流正确、安全地在网上流通，进而保证
电子商务目的的最终实现。

而银行业适应电子商务发展的基本途径就是
大力发展网上银行。

1.1.3网上银行是银行业自身发展的要求
激烈的同业竞争是网上银行发展的必然选择。

为了在竞争中谋求生存发展，任何一家不甘落后的银行都有足够的内在动力来发展网上银行。

利用因特网开展新的银行业务成了各家银行竞争的新领域。

1.2网上银行的发展状况
我国自1997年以来，招商银行、中国银行、建设银行、工商银行陆续推出网上银行，开通了网上支付、网上自助转账和网上缴费等业务，初步实现真正的在线金融服务。

2招商银行网上银行的系统功能和特点
2.1 系统功能
2.1.1用户管理功能：包括增加用户、修改用户密码、日志查询。

2.1.2一卡通管理功能：包括安装一卡通、删除一卡通。

2.1.3数字证书管理功能：包括证书申请、下载、更新、查询、备份、恢复。

2.1.4业务功能：账户、帐务查询业务，转账和汇款业务，挂失、修改密码，
自助贷款，网上支付，外汇买卖等功能。

2.2 系统特点
2.2.1 完善的安全机制
●在交易认证上采用完整的证书机制，符合国际标准；
●在网络通讯上采用了招商银行自主开发的封闭通讯协议，避免被他
人截获分析；
●在加密算法上达到了国际先进系统的强度，防止被他人破译；
●在业务控制上采用了多项措施，确保他人不能从业务环节进行渗透。

2.2.2增强的服务功能
在完善的安全机制之下，系统增加了如个人汇款、转账等对安全要求较高的新功能，使得对个人的理财服务更加完善。

2.2.3可自行设定支付限额
用户可以自主设定甚至取消支付限额，一方面使得用户对安全的控制更加个性化，另一方面方便了用户进行大额网上支付。

2.2.4自动软件升级
用户软件可随着整个系统的发展而自动升级，使得用户可以随时获得招行的最新服务。

3招商银行网上银行的安全机制
3.1招商银行网上银行业务中的相关风险
3.1.1操作风险
●安全性风险：比如不完善的访问控制使得黑客可以通过互联网成功地攻击银
行的系统，从而可以访问、获取和使用机密的信息。

●系统设计、实施和维护方面的风险：比如设计、实施的联完善，对外部服务
提供商的依赖。

●客户误操作风险：如果银行没能就安全预防问题向客户进行足够的宣传教
育，这种风险就会增加。

●银行内部组织与管理风险
网上银行业务改变了银行传统的业务模式，银行必须对内部组织和管理方式进行变革，这给银行造成了很大的操作风险。

3.1.2 战略风险
如果银行业务的决策和实施与该银行的总体业务目标不一致，这将给银行造成战略风险。

3．1.3信誉风险
比如公众对网上银行运行情况产生负面的印象而损坏了银行与客户之间的关系，网上银行系统的安全性出现问题而损害了客户对银行的信心，客户在网上银行服务中碰到了问题而银行没能给出恰当的问题解决程序，第三方欺诈，等等。

3.1.4法律风险
目前，网上银行业务还不完善，电子商务的法律环境还未建立，银行必须将面临各种形式的法律风险。

另外，如过银行使用了自建的认证机构，认证机构本身也承担着相应的法律风险。

3.2 网上“企业银行”的安全机制
3.2.1 传输安全
在“企业银行”的客户端和银行服务器之间传输的所有数据都经过了两层加密。

第一层加密采用标准SSL协议，该协议能够有效地防破译、防篡改、防重发，是一种经过长期发展并被实践证明安全可靠的加密协议。

第二层加密采用私有的加密协议，该协议不公开、不采用公开算法并且有非常高的加密强度。

两层加密确保了企业银行的传输安全。

3.2.2 病毒防范
在可靠的数据传输安全机制的保障下，企业银行客户端和银行服务器之间传输的是有特定格式的数据而不是程序。

企业银行服务器严格检查接受到的数据的格式是否合法，校验码是否正确。

这些措施确保了任何病毒都不可能侵入企业银行系统。

3.2.3严格的授权管理
对于支付和发工资这类涉及资金交易的敏感业务，企业银行系统控制企业必
须按照业务管理要求经过相应的经办和授权步骤系统才会接收。

3.2.4变码印鉴的使用
使用变码印鉴对每一笔交易签上一串数（变码）加押，确保了企业银行的交易安全。

3.3 个人银行服务的安全机制
网上个人银行服务包括个人理财、网上支付和网上证券服务等内容，招商银行采取了先进的技术手段和严格的业务管理措施来保证业务安全。

3.3.1技术手段
✓网站认证
招商银行的网站里安装了美国Verisign公司发放的安全证书。

有效地防止了网站被假冒。

客户只要正确输入招商银行网址，链接的必定是招商银行网站。

✓传输安全性
网上个人银行交易采用了国际通行的SSL协议加强信息传输的安全。

在传输数据时使用加密的因特网安全传输协议HTTPS，在一个会话过程开始时，HTTPS先在客户端和银行端的WEB SERVER之间用102bit的RSA算法交换一次加密密钥，以后HTTPS就使用该加密密钥用40bit的RC4算法对所有往来于客户端和银行端的数据进行加密，具有很高的安全性。

✓客户身份认证
客户进行网上银行操作需要输入账户和密码来确认身份。

网上帐务查询需输入查询密码，转账交易要输入交易密码。

进行网上消费付款需输入“网上支付”密码，通过电话银行向网上专户转账需输入转账密码。

如果客户连续输错5次密码，其账户将会被银行冻结。

✓网上交易资金在银行主机系统内封闭流动
网上个人银行交易的转账、支付资金都是在银行主机系统内封闭流通。

网上转账只能转向客户指定的招行账户，网上支付资金只能划入商户指定的结算账户，不会流向非法账户。

由于银行主机系统的封闭性，任何人不可能通过网络侵入银行系统盗用资金。

✓网上支付的信息保护
客户使用“网上支付卡”付款时，浏览器自动把客户的付款指令用一个HTTPS 命令从商户的网站引导到招商银行的网站，招商银行的网站处理完付款指令后把处理结果回送客户。

这种机制保证了客户付款时输入的支付卡卡号和支付密码只能由银行得到，商户不可能获取持卡人支付信息。

从而保证了支付过程的安全性。

3.3.2业务安全监控办法
✓功能申请
对部分有一定风险的网上交易，如网上自助转账、网上支付等，要求客户进行功能申请，申请时银行要验证客户身份。

✓设定交易限额
网上转账的限额由客户在功能申请时自行设定，网上消费单笔限额控制在1万元，将客户的资金风险控制在限额以内。

✓“网上支付”账号与银行主账号分离
在“一卡通”主账号下设“网上支付”专户，通过电话银行向专户转账。

客户交易时使用网上支付账号，“一卡通”主账号不在支付活动中出现。

资金风险仅
限于网上支付专户，不影响主账号资金安全。

✓严格的网上商户管理
招商银行制定了详细的网上支付管理制度，发展网上商户时必须进行严格的考察评审。

只有信誉良好、具备开展网上业务技术并提供优质的商家才有可能成为网上特约商户，同时对网上商户服务质量进行监控管理。

✓网上交易的可追溯性
在持卡的订购商品时要求输入用户信息，包括身份证号码、联系电话、地址等内容，送货时签收核实。

一旦发现异常交易，可以根据线索追溯到责任人。

3.4、招行网上银行支付体系的安全保障方法
3.4.1.保护好自己账号密码
银行卡账号和密码是绝对私人所有，不要轻易告诉别人。

不要在网上随便透露个人资料（如身份证号码、地址、银行账号、信用卡号码、用户名称及密码），除非确认使用的是可靠及信誉良好的网站。

在提供个人资料给网站前，先查阅网站的保密条款及安全防护措施声明。

定期更改上网密码，并查看交易，核对银行对账单。

还有，银行不会通过第三方来转告用户一些事情，当接到陌生的电话或者短信、邮件的时候还需要小心核对。

3.4.2.使用单独的银行密码
将平时在其他网站使用的各类密码与银行密码区分开，不采用同一密码，避免因在其他网站泄漏密码导致您的银行密码同时失窃；使用不同的银行查询密码、取款密码和网上支付密码；不同的多重密码能更有效地保障账户资金的安全；不要在招商银行网上银行系统以外的其他地方输入卡号和密码；要不定期的修改密码。

3.4.3.谨防钓鱼网站
其实真正由于银行安全漏洞钱财失窃的事情是少数，更多的人是因为上了钓鱼网站的当才不幸中招。

当我们打开银行首页时，可以将正确的网址收藏起来，不要随便开启来历不明并载有附件的电子邮件，切勿点击可疑邮件内的超级链接。

尽量避免在通过“超链接”进入的银行系统上进行操作。

3.4.4.杀毒软件防火墙的使用
防火墙具有很好的保护作用。

入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

你可以将防火墙配置成许多不同保护级别。

高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

在进行网上银行支付活动时尽量使用自己的电脑，并且电脑的防火墙设置最高级别，及时升级杀毒软件，避免“网银大盗”的侵入。

3.4.5.利用银行提供的各种增值服务
招商银行提供了免费的增值服务，如交易的短信、邮件提醒，用户可以充分利用银行的贴心服务，掌握自己的财务消费状态。

银行提供的增值服务能够让用户定期的查询详细交易情况。

及时的了解自己的交易情况就能够对有疑虑的交易进行及时的查询，一旦发现有出现交易上的安全问题就能立即做出制止，大大减少了用户在不知情的情况下出现资金流失的损失。

4招商银行的特点、问题和发展对策
4.1招商银行网上银行的特点和问题
基于我国的金融体制、银行电子网络基础设施电子商务的安全性标准及相应的法律框架等因素的影响，招商银行网上银行目前存在以下特点和问题：
4.1.1网上银行依托于现有银行是传统银行的网络化，是传统银行业务的延伸和提高；
4.1.2网上银行个人客户科技知识水平和文化素养层次较高，但企业经营的信息化和电子化应用程度不高；
4.1.3外部监管滞后，法规体系不配套；
4.1.4网络基础设施建设有待加强，网络环境需进一步改善。

4.2招商银行发展的应对策略
4.2.1在业务体系上，银行必须积极创新，完善服务方式，丰富服务品种，提供“金融超市”式的服务。

为客户提供“一站式”的全方位服务。

4.2.2在经营方式上，招行应该把传统营销渠道和网络营销渠道结合起来，走“多渠道并存”的道路。

4.2.3在经营理念上，招行必须实现由“产品中心主义”向“客户中心主义”的转变。

从客户的需求出发，为客户提供“量身定做”的个性化金融产品和金融服务。

4.2.4在战略导向上，招行必须调整与其他金融机构的关系，争取成为网络经济的金融门户。

主要参考文献【1】网上银行业务风险控制研究.时代金融.2008年02期【2】招商银行网
【3】唐晓东、邓顺国.网上银行与网上金融服务.清华大学【4】杨国明、蔡军.网络金融 . 中国金融.2006-8-1 【5】顾浩.银行计算机系统.清华大学出版社2006-10-01。