网银发展安全性及防范措施

3 、网上银行安全防范工具
（1） 静态密码 用户具备银行帐号和密码，在联网的电脑上通过输入正 确的账号、密码登录网上银行系统，进行网上银行业务交 易。这里密码是静态的，也就是用户无论在什么时候什么 地方登录网上银行所用的密码都是固定不变的。 以静态密码为基础的认证方式存在着种种安全隐患，如 密码容易被人猜测、输入密码被人窥视、黑客软件破解、 木马程序攻击、钓鱼网站欺骗。一旦账号和静态密码被第 三方获取，第三方就拥有了和合法用户完全相同的权限， 极大威胁合法用户的资金安全。因此目前国内以工行为代 表的各家商业银行开始限制静态口令进行网络支付，甚至 关闭通过静态口令进行的网络支付服务。
（2）数据加密和身份鉴别技术 用户账号、密码等信息以明文的形式在互联网上传输是非常危险的，很 容易被第三方截获。因此，当需要在非银行控制的公网上传输机密信息时， 必须采用有效的措施对网络上传输的数据进行加密处理。足够强度加密后的 数据即使被第三方截获，也无法在短期内破解，不会对数据构成威胁。因此， 数据加密技术是保障信息安全核心的技术措施和理论基础。 网上银行交易时，必须要相互确认对方的真实身份，这样的交易才是安 全的。 由于交易的双方不一定会面对面的接触，因此需要一个具有权威性和公 正性的第三方认证机构来完成身份的相互确认，中国金融认证中心（CFCA） 就是经中国人民银行和国家信息安全管理机构批准成立的国家级权威的安全 认证机构。数字证书是用于标识个人或者机构身份的一种技术手段，是各类 终端实体和最终用户在网上进行信息交流以及商务活动的身份证明，网上银 行交易双方使用该中心下发的数字证书既可以确保交易双方的真实身份又能 保证交易数据的真实和完整。
网银发展安全性及防 范措施
我国网银发展概况 网银的常用功能 安全性问题及防范措施 未来发展方向
我国网银发展概况
（一）我国网银Biblioteka Baidu展概况
网上银行应该是“网络+银行业务经 营管理”。这个概念是动态发展的，自 从美国提出建立“信息高速公路”以来， 网络已经从简单的计算机有线网络转变 到的“三网合一 三网合一”，提供 “3A式”服务 三网合一 已经不存在技术瓶颈
(7)保护账号密码。在任何时候及情况下，不要将 自己的账号、密码告诉别人，并与其他密码区分 开来，避免因某项密码的丢失而造成所有其他密 码的泄漏。
(8)应对异常的动态提高警惕。假如不小心把自己的银行卡 卡号和密码输入了陌生的网址上，并出现了类似于“系统 维护”等提示语，应立即拨打银行的客服热线进行确认， 一旦发现资料被盗，必须马上修改密码并挂失银行卡。 (9)每次使用网上银行个人服务后，请选择“退出登录”选 项，以防数字证书等 机密资料落入他人之手。如果网上银行用户能在安全意 识上有所加强，使用网上银行的过程中时刻保持清醒的头 脑，很多网上银行事故其实是可以避免的。
(3)登录正确网址，例如访问工行网站时请直接在地址栏输 入工行网址（www.icbc.com.cn）登录，尽量不要采用不 知名的搜索网站或其他方式提供的超级链接方式间接访问 工行网站。防止网络钓鱼，对于不了解的网站也不要随意 的访问。 (4)不要在公共场所如网吧使用网上银行，动态口令卡在公 共场所有被人拍照的可能，即使是目前安全度最好的移动 数字证书使用不当也会给他人可乘之机。 (5)定期登陆网上银行查看自己账户的情况，确保资金安全， 有意外情况可以及时处理。 (6)在线交易操作需反复确认，在按“确定”之前，一定要 反复确认自己的交费金额，并随时注意浏览器地址栏、弹 出窗口的各项内容等细节信息，如有怀疑应立即终止交易。
三网融合
三网融合是一种广义的、社会化 三网融合 的说法，在现阶段它并不意味着电信 网、计算机网和有线电视网三大网络 的物理合一，而主要是指高层业务应 用的融合。其表现为技术上趋向一致， 网络层上可以实现互联互通，形成无 缝覆盖，业务层上互相渗透和交叉， 应用层上趋向使用统一的IP协议，在 经营上互相竞争、互相合作，朝着向人类提供多样化、多媒体化、个性 化服务的同一目标逐渐交汇在一起，行业管制和政策方面也逐渐趋向统 一。三大网络通过技术改造，能够提供包括语音、数据、图像等综合多 媒体的通信业务。这就是所谓的三网融合。
网上银行业务品种简述 银行服务资料提供：产品资料、最新推广服务 基本银行交易服务：账户查询、转账、集团账户管理、代 收代付、汇率查询等 增值服务：购买保险、远期付款指示、贷款申请、信用卡 等
常用功能
“如今，网银的功能设计，越来越贴近 客户的需求，方便客户操作。”客户通过 网上银行，不仅可进行包括账户查询、转 账、24小时汇款、缴费、在线支付等常规 功能操作，还可以体验网上外汇、网上证 券、网上保险、网上黄金、网上期货等服 务。 最常用功能：转账、查询
（二）业务分类
按客户对象划分： 个人网上银行业务 公司网上银行业务
按新技术应用程度划分： 通过网上提供的传统银行业务：如转账、存款、贷款等 利用因特网特点开发的新兴网上银行业务：如B2B、B2C网上支付 通过网上银行提供与金融服务相互关联的附属业务产品：如CA认证 服务、ATM电子商务
（三）业务品种简称
三网融合的好处
信息服务将由单一业务转向文字、话音、数据、图像、视频等多媒体 综合业务。 有利于极大地减少基础建设投入，并简化网络管理，降低维护成本。 将使网络从各自独立的专业网络向综合性网络转变，网络性能得以提 升，资源利用水平进一步提高。 三网融合是业务的整合，它不仅继承了原有的话音、数据和视频业务， 而且通过网络的整合，衍生出了更加丰富的增值业务类型，如图文电 视、VOIP、视频邮件和网络游戏等，极大地拓展了业务提供的范围。 三网融合打破了电信运营商和广电运营商在视频传输领域长期的恶性 竞争状态，各大运营商将在一口锅里抢饭吃，看电视、上网、打电话 资费可能打包下调。
安全性问题及防范措施
（一）存在安全风险的原因
网上银行作为实体银行的一种虚拟工作 方式， 因其具有高技术性、无纸化和瞬时 性等特点， 导致其经营风险与传统银行的 风险相比要大得多， 且目前技术措施和立 法保障等方面不尽完善， 因此其存在的问 题也日益显现。
（二）常见的网上银行攻击
网络攻击是指网络攻击者利用目前网络 通信协议(如TCP/IP协议)或操作系统自身存 在的或因配置不当而产生的安全漏洞，未 经授权非法进入本地或者远程用户主机系 统，非法获得、修改、删除用户系统的信 息等一系列过程。
（三）风险防范措施
1 、加强用户安全防范意识 由于中国网上银行业务推广还处于初级阶段，目前许多用 户对电子支付和网上银行市场的认知程度还很有限，对此 知之甚少，往往成为黑客的诈骗对象。为此，银行在对用 户进行网上银行安全的宣传、推广和教育上应承担相应责 任，提高客户的安全防范意识。 (1)安装防火墙和防病毒软件，并经常升级；及时给操作系 统打补丁，及时更新相关软件，堵塞软件漏洞。 (2)不下载不点击不明程序，不打开不明来源的邮件，特别 是邮件附件，防止病毒、木马的直接入侵。不要相信任何 通过电子邮件、短信、电话等方式索要卡号和密码的行为。
(2)黑客攻击 近年来，网上黑客活动日趋频繁，规模逐渐 增大，组织化趋向明显。入侵银行、证券等金融 网络犯罪行为增加，危害国家基础设施网络的苗 头和迹象时有发生。黑客攻击常用漏洞扫描、数 据包嗅探、Root-kit技术、恶意代码、社会工程学 等技术手段入侵到保护不够的客户端PC，从中窃 取用户保密信息如密码，或者修改用户与银行之 间的通信数据，再定期或者不定期将监视到的数 据打包发送给黑客。
(3)网络钓鱼
网络钓鱼攻击(Phishing Attacks)是最 常见的攻击手段，钓鱼攻击通过发送一种 看似来自一个合法网站的具有欺骗性的邮 件而实施，用户很容易上当的一个重要原 因在于：这个所谓的看似合法的网站拥有 在线交易的信息，如一个银行、信用卡公 司或账号等。这种邮件为了所谓的“更新安全性”，可能会要求你 用 你的账户细节应答。骗取用户对该邮件的信任，并要求用户在表单 中输入相关账户信息，引诱收信人给出敏感信息，如用户名、账 号、密码等详细信息。 钓鱼邮件还可能指引你到达一个欺骗性站点，或者弹出一个窗 口，这个窗口看起来像是一个真实的站点，不过它是为了窃取你的 个人信息而建立起来的。当用户误以为是银行的合法表单填入信息 并提交后，这些收集到的信息将被转发给攻击者，进而导致用户网 上银行资金的损失。
2、网上银行安全技术保障 、
（1）防火墙和入侵检测技术 顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障， 其目的就是防止外部网络用户未经授权的访问。网上银行防火墙是指 在网上银行和其它外部网络的接口处专门建立的安全系统。它由硬件 和软件结合而成，用于对进出网上银行的数据进行检查和控制，隔离 来自外部网络对内部网络的安全威胁，保护网络和资源的安全不受非 法入侵。 入侵检测的目的是提供实时的入侵检测以及采取相应的防护手段，其 入侵检测系统包括基于主机的入侵检测系统和基于网络的入侵检测系 统两种。入侵检测一方面通过实时的监视、报警和主动的漏洞检测， 堵住黑客入侵的途径；另一方面设置伪装的安全陷阱（即假冒服务器 方式），捕捉黑客对系统侵犯的证据。通常把防火墙和入侵检测结合 起来，综合各自的长处，守护网上银行服务端的安全。
（3）手机动态口令 手机动态口令是基于手机绑定的更高级别的安全保护产 品。当用户转账支付等操作时，银行会把随机生成的一次 性动态口令以短信的方式发送给用户绑定的手机，用户同 时输入正确的静态账户密码和动态口令才能通过银行的身 份认证，完成相应的操作。 手机动态口令使用简单方便，但安全性也并非是万无一 失。手机动态口令的安全性完全依赖于手机的安全性，在 手机与银行之间还存在手机运营商这一环节，无论是在手 机运营商的有线网络中还是空中无线部分，手机短信都有 被非法拦截、监听的可能。因此，手机动态口令也不是绝 对安全，万无一失的。
（2）动态口令卡 为了解决静态密码存在的诸多安全隐患，工行、建行等 都推出了基于动态口令卡的网上银行服务。动态口令卡一 般是以表格形式印有若干字符串的卡片，表格内有几十个 数字。当进行网上交易时，银行会询问你随机的某行某列 的数字作为密码，如果能正确地输入对应格内的数字便可 以成功交易；反之不能。由于系统每次以随机方式指定若 干坐标，使客户每次使用的密码都具有动态变化性和不可 预知性。 相对于静态口令，动态口令卡提高了网上银行的安全性， 它可以满足一般用户的需要。但是如果木马长期潜伏在用 户的电脑中，就可以渐渐地获取用户口令卡上的很多数字， 当获知的数字达到一定数量时，用户的资金便不再安全。 如果在外使用，也容易被窥视、抄写、拍照、复印等安全 隐患。因此，尽量不要在公共场所使用动态口令卡。
(1)病毒入侵
电脑上传统的冲击 波等病毒已经慢慢成为 过去，而一系列包括盗 号木马、间谍软件、流 氓软件等网络威胁成为 新的隐患。与传统病毒 相比，这些病毒直接以 经济利益为驱动，对电 脑系统本身的攻击弱化， 甚至隐藏起来对电脑系 统本身不构成危害，但 却会影响到用户网上银 行账户的安全，威胁更 大。
（4） 动态口令令牌 动态口令令牌是一种内置电源、口令生成芯片和显示屏，根据专门的 算法每隔一定时间自动更新口令的专用硬件。使用十分简单，用户只 要根据网上银行系统的提示，输入动态口令令牌当前显示的动态口令 即可。 将动态口令令牌运算产生的随机数作为口令，无法猜测和破译，具有 不可预测和重复的特性。动态口令令牌的口令一旦使用过就立即失效， 不怕偷窥，不怕木马。动态口令令牌设有PIN码保护，即使检到动态 口令令牌也无法使用，能有效防止动态口令令牌丢失造成口令泄露。
回顾国内的网上银行发展历史，1997年招商银行的“一网通”开通了 网上业务，从此拉开了国内网上银行的序幕，2000年中国银行开展网 上业务，2001年工商银行大刀阔斧开拓网上市场，2002年交通银行 和建设银行分别推出自己的网站。自此国内四大商业银行全部被“一 网打尽”。据中国人民银行统计，我国目前已经有20多家银行的200 多个分支机构拥有网址和主页，其中开展实质性网上银行业务的分支 机构达50余家，客户数量达40万，远远超过了电话银行和手机银行。