网上银行安全分析报告

网上银行安全分析报告

网上银行因为其方便快捷而备受用户欢迎，但是现在有一些不法分子通过假电子邮件、假网站、木马（特洛伊）软件，以及其他蓄意诈骗程序等，盗取用户的名称和密码，影响了用户正常使用。银行方面为此设置了不少安全措施，以保证用户安全使用网上银行。

○1目前主要有以下措施：

1浏览器文件数字证书：

目前国内商业银行采用最为普遍的双重认证方式之一。可存储于浏览器中，可任意备份证书和私钥，用户端不需要安装驱动程序，而且没有任何成本。

2移动数字证书：

即USB-Key（U盘数字证书），是目前国内商业银行采用比较普遍的、安全度相对较高的双重认证方式之一。申请移动数字证书后，所有涉及资金对外转移的网银操作，除输入密码外，还必须同时使用移动数字证书才能完成。由于犯罪分子很难同时窃取移动数字证书、移动数字证书的密码、网上银行账号、登录密码和支付密码，所以使用移动数字证书的安全性要大大高于普通的单一使用密码方式。

3智能IC卡：

香港地区的智能身份证（IC卡）已含有内置的安全证书，进行网上银行交易时在电脑上插入IC卡即可有效确认客户身份，但智能身份证中的安全证书必须使用特殊设备读取，在使用时尚有一定程度的不便。

4手机短信密码：

客户在发出交易需求后，银行用手机短信向客户发出一次性密码，只有在输入银行卡密码和一次性密码后，整个交易才能被确认并完成。

5电子密码器：

银行发给客户一个拇指大小的电子密码器。每个密码器都有独特编号，与银行卡号关联。密码器有内置时钟，每次按下按钮，会根据密码器编号和交易时间生成6位数的密码。客户必须同时输入银行卡密码和密码器密码，才能获得身份认证。由于密码器密码与交易时间挂钩，所以每次生成的密码都不一样，而且每个密码在很短时间内就会失效，即使他人偷看或记录下银行卡号、银行卡密码和密码器密码，也很难来得及窃取资金。

6多因素密码校验法：

用户在交易前必须输入姓氏、会员号码、常规密码和其他密码，或在输入生日和个人识别码(PIN)后，必须回答几个随机问题（已在银行卡资料库中预留的答案）。只有所有的号码均正确、回答问题与预留答案一致，才能使用网上银行服务。

7动态口令卡：

相当于一种动态的电子银行密码。每张口令卡与客户在银行的注册信息关联。上以矩阵的形式印有若干字符串，客户在使用电子银行（包括网上银行或电话银行）进行对外转账、B2C购物、缴费等支付交易时，电子银行系统就会随机给出一组口令卡坐标，客户根据坐标从卡片中找到口令组合并输入电子银行系统。只有当口令组合输入正确时，才能完成相关交易。

8批处理密码：

商业银行为持卡人的一张借记卡提供密码单，密码单一般记录50或100个银行卡密码，所有密码的有效期为1-2个月，每个密码使用一次后随即作废。

9动态账号：

客户下载专用软件到电脑后，电脑会自动启动安全功能。客户在线购物时，每次提供用户名和密码，电脑都会自动产生随机号码代替信用卡号码，形成“虚拟账号”。

○2安全原理：

防火墙

防火墙作为第一道防线，处于网上银行中心与Internet之间，限制外界用户对内部网络的访问及管理内部用户访问外界网络的权限，可有效防止非法用户的入侵。防火墙可采用硬件防火墙或软件防火墙。

*安全交易协议

有两种安全交易协议可供选择。一种是SSL协议，另一种是SET协议。SET协议增加了认证，系统更为安全，但是实施过程较为复杂，同时用户操作也较为复杂。

*CA认证

CA认证的关键因素是认证中心和数字证书。认证中心是负责发放和管理数字证书的权威机构。对于大型网络环境采用分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。数字证书的格式一般采用X.509标准。一个标准的X.509数字证书包含证书版本号；证书序列号，证书所使用的签名算法；证书的发行机构名称；证书的有效期；证书持有人的名称；证书持有人的公开密钥；证书发行者对证书的签名等。

○3如何安全使用网上银行：

1.为您的网上银行设置专门的密码，区别于您在其它场合中（例如：其他网上服务、

ATM、存折和银行卡等）使用的用户名和密码。

2.将您的网上银行登录密码和用以对外转账的支付密码设置为不同的密码。

3.切勿向任何人（包括银行职员及警方）透露密码，并妥善保管记有密码的纸条等物

件。

4.不要将登录网上银行的用户号和密码，用作使用电子邮箱或登录其他网站的密码。

5.切勿经电子邮件内的链接或网上搜索引擎登录网上银行。每次应在浏览器上输入网

址或将真正的网站记录在电脑的收藏夹内，由此进入您的银行户口。

6.登入网上银行前，应先关闭所有浏览器窗口，以免其他网站非法取得你的个人资料。

7.每次使用网上银行后，请您切记登出或退出账户，不要简单的关闭窗口。

8.切勿使用公用电脑（如网吧、图书馆提供的电脑等）登入网上银行的网站。

9.随时查阅银行账户余额及交易记录，如发现任何错漏或未经授权的交易，请立即通

知银行。

10.定期留意和遵照银行提供的安全提示。