网上银行论文

网上银行存在的安全问题

学校：山西金融职业学院

专业：金融务实与管理

班级：金融133

姓名：段博

学号：03

目录

一、网上银行简介 (3)

二、网上银行存在的问题 (3)

2.1网银安全问题的主要表现 (3)

2.2网络银行安全的技术问题 (7)

三、网络银行的安全缺陷 (7)

3.1、网银安全工具 (9)

3.2、几种常见安全工具对比 (9)

四、确保网银使用安全的方法 (11)

五、保证网银安全发展的措施 (12)

六、心得体会 (15)

七、参考文献 (15)

[摘要]网络银行作为21世纪一种新兴的金融业，其低廉的成本和广阔的前景,已越来越得到人们的重视。然而网上银行由于其基础环境的开放性、技术的复杂性、交易的虚拟性、跨国界性、法律法规的不确定性等因素,使其既面临着传统银行所具有的许多业务风险,同时也面临着比传统银行更加复杂的技术风险,本文旨在介绍网上银行安全漏洞的问题所在及解决的方法。

[关键词]网上银行安全漏洞解决

一、网上银行简介

网上银行又称网络银行,其实质是为各种通过Internet进行商务活动的客户提供电子支付、结算手段。网上银行以其方便、快捷、跨时空、低成本的特点,极大的提高了银行业的服务效率和服务质量。以高科技、高智能为支持的AAA式银行,即任何时候(Anytime)、任何地点(Anywhere)、任何方式(Anyhow)为客户提供服务的网络电子银行。在中国,1996

年6月,中国银行在Internet上设立网站,开始通过国家Internet向社会提供服务。我国开始通过国家Internet向社会提供服务。之后,我国各大商业银行陆续开通了网上银行业务。

近年来，随着电脑技术与互联网应用环境的日益成熟，网上银行业务正以前所未有的速度增长。如今，大家不必再为没有时间去银行处理事务而感到烦恼，也不必为了银行下班无法转账、汇款而发愁，只需安坐家中轻点鼠标，就能完成银行账户的查询、转账、汇款，为信用卡对账、还款，甚至代缴保险费、市话费、手机费、水电煤气费，处理外汇买卖、房屋按揭、证券申购等各种理财事宜。

二、网上银行存在的问题

2.1网银安全问题的主要表现

遗憾的是，据CNNIC的统计数据显示，中国网络用户对网上银行的整体评价并不高，表示非常满意和比较满意的用户仅占46%，表示不太满意和很不满意的用户占16%，而有40%的用户对网上银行的评价是一般。其次，作为网上银行重要功能之一的网上支付功能，也远未得到网络用户的认可，调查显示仅有三分之一的用户网上购物时选择网上支付，其余三分之二的用户则宁愿选择传统的货到付款或者汇款等支付方式。调查显示，这些不满意网上银行或不愿意使用网上支付的用户，76%是出于安全考虑。他们对交易安全性的担心最为普遍。去银行柜台办理业务，有业务员、有票据，看得见摸得着，即使出了问题也有据可查。但在网络世界里，层出不穷的“钓鱼手法”让人防不胜防。那么，网银安全问题主要表现在哪些地方呢？

1.对实体的威胁和攻击。对实体的威胁和攻击主要指对银行等金融机构计算机及其外部设备和网络的威胁和攻击，如各种自然灾害、人为破坏以及各种媒体的被盗和丢失等。

2.对银行信息的威胁和攻击。对银行信息的威胁和攻击主要是指信息泄漏和信息破坏。信息泄漏是指偶然或故意地获得目标系统中的信息，尤其是敏感信息而造成泄漏事件；信息破坏是指由于偶然事故或人为破坏，使信息的正确性、完整性和可用性受到破坏。

3.计算机犯罪。计算机犯罪是指破坏或者盗窃计算机及其部件或者利用计算机进行贪污、盗窃、侵犯个人隐私等行为。有资料指出，目前计算机犯罪的年增长率高达30%。与传统的犯罪相比，计算机犯罪所造成的损失要严重得多。

4.计算机病毒。犯罪分子通过计算机病毒入侵网银用户以非法获取个人隐私等，严重危及网银用户的安全。

不过，只要我们了解了网上银行具体的操作步骤，还是能够练就出一副火眼金睛来辨认一些虚假的钓鱼网站。首先，大家应该了解用户登陆网上银行的过程，具体如下：

用户银行

---- 申请连接-------》

《----发送登陆界面---

------发送用户登陆信息---》

判断用户信息是否正确

《----网上银行服务---》

高强度加密算法和数字签名的使用已经能够保证用户与银行系统之间数据通联的安全性（如果设计的当的话，银行系统应该没问题），如果我们假设银行系统是安全的（如果这个假设不成立，我们就应该立刻把钱全取出来），那么网上银行的短板就是用户的计算机。正是基于这个原因，许多网上银行交易系统采用数字证书+用户口令的方式来保护用户的交易安全，并且推出了令牌，即将用户的证书保存在令牌内。令牌的使用无疑大大提高了用户操作的安全性。但是我相信还是有许多用户没有购买银行的令牌，这种情况下，整个交易的安全性就在用户的口令保护上了。

假设一个黑客入侵了用户的计算机，他想要获取用户网上银行的登陆信息，他会怎么做呢？

1.键盘记录。最简单同时也是使用最多的办法，效果也还是不错的，根据本人的试验，许多银行的交易过程都可以被记录下来

2.本地交易平台劫持。黑客在用户计算机内注入一个病毒，当用户登陆交易平台时，该病毒强行关闭正常的交易平台，弹出虚假的交易平台，诱使用户输入口令。

3.中间人攻击。该方法难以实现，不过威力强大。攻击方式如下：

用户中间人银行

---------------------------- 申请连接---------------------》

《----发送登陆界面---

《------发送虚假登陆界面----

------发送用户登陆信息---》

记录用户登陆信息

-------发送登陆信息---》

判断用户信息是否正确

《--------------------------网上银行服务-------------------》

那么这三种攻击方式又有什么方法来保护呢？

1.键盘记录。

用户点击键盘时，计算机内部发生了什么呢？

当用户按下键盘上的一个键时，键盘内的芯片会检测到这个动作，并把这个信号传送到计算机。如何区别是哪一个键被按下了呢？键盘上的所有按键都有一个编码，称作键盘扫描码。当你按下一个键时，这个键的扫描码就被传给系统。扫描码是跟具体的硬件相关的，同一个键，在不同键盘上的扫描码有可能不同。键盘控制器就是将这个扫描码传给计算机，然后交给键盘驱动程序。键盘驱动程序会完成相关的工作，并把这个扫描码转换为键盘虚拟码。什么是虚拟码呢？因为扫描码与硬件相关，不具有通用性，为了统一键盘上所有键的编码，于是就提出了虚拟码概念。无论什么键盘，同一个按键的虚拟码总是相同的，这样程序就可以识别了。简单点说，虚拟码就是我们经常可以看到的像VK_A,VK_B这样的常数，比如键A的虚拟码是65，写成16进制就是&H41，注意，人们经常用16进制来表示虚拟码。当键盘驱动程序把扫描码转换为虚拟码后，会把这个键盘操作的扫描码和虚拟码还有其它信息一起传递给操作系统。然后操作系统则会把这些信息封装在一个消息中，并把这个键盘消息插入到消息列队。最后，要是不出意外的话，这个键盘消息最终会被送到当前的活动窗口那里，活动窗口所在的应用程序接收到这个消息后，就知道键盘上哪个键被按下，也就可以决定该作出什么响应给用户了。这个过程可以简单的如下表示：

用户按下按键-----键盘驱动程序将此事件传递给操作系统-----操作系统将键盘事件插入消息队列-----键盘消息被发送到当前活动窗口。

目前银行防止键盘记录的方式主要有：

1）不采取任何保护措施。这是不负责任的做法，虽然从法律上来说，用户有责任保护自己计算机的安全。但是银行作为服务机构有必要给用户提供一个安全的环境，如果某个