网上银行信息安全风险及防范举措 网银安全三大抓手
46 /中国信息安全/2011.08
服务,具有权威性、可信赖性及公正性。
网银服务器端处理系统存储客户提交的信息,一方面对客户提交信息的真实性和有效性进行验证,并将合法数据提交给银行核心帐务处理系统;另一方面对核心帐务处理系统返回的交易结果进行处理,并生成动态页面展示给客户。
简析网银风险
目前国内网上银行安全风险大多集中在客户端,相对于服务端,客户端分布在国际互联网各个角落,网上银行用户一般并不是专业技术人员,由于安全意识不足或操作不规范,给了犯罪分子可乘之机,成为网上银行系统的风险多发
摸清网银结构
传统柜台和ATM机一样,网上银行本质
上是一个银行业务渠道系统,其基本架构可分为客户端、通信网络、服务器端处理系统和CA认证中心,通过银行自身的金融业务网接入其核心账务处理系统。
客户端一般采用浏览器或专用客户端软件的方式,其主要功能是通过CA中心提供的认证技术,在位于国际互联网上的网银客户端和后台之间建立安全网络连接,并通过信息交互,完成交易的提交和结果的确认。
CA认证中心是一个第三方认证机构,其主要功能是颁发数字证书,提供身份鉴别和数字签名
网银安全三大抓手
文/王梅
网上银行信息安全风险及防范举措
同
C N I T S E C
焦 点Focus
地。主要包括以下几方面:
一是网站钓鱼风险。一些不法分子经常利用与银行网站相似的域名,或通过电子邮件提供假链接,骗取用户登录,获取用户账户及密码信息,进行非法操作,造成用户资金损失和银行名誉损失。
二是客户端设备安全风险。不法分子针对防护不足的客户端设备漏洞进行渗透和攻击,获取用户账户、密码等敏感信息。一种情况是,不法分子可以通过客户端设备上存在的漏洞直接种植木马的“主动挂马”,也有用户不小心的网上“冲浪”过程中被恶意网站感染木马的“被动挂马”。不法分子通过木马程序监控用户的操作过程和处理数据,当发现用户进入某个网上银行时,记录其敏感信息,盗取数字证书(如文件型证书),伪造签名交易等。另一种情况是,不法分子利用客户端漏洞远程控制用户的硬件数字证书(USBKey),使得不法分子可冒充用户进行非法交易。
三是客户口令设置不够强壮。有些客户为了方便记忆,客户口令往往选用诸如身份证号码、出生日期、电话号码等,容易被犯罪分子猜出。有些客户口令密码强度不够,未选用字母、数字混合方式,容易被暴力破解。有些客户将密码写在纸上,或者经常在不同的系统间使用同一密码,容易造成失密。
从发生的网上银行信息安全事件情况来看,网上银行信息安全风险呈现扩散趋势,主要是因为网络犯罪趋于集团化和专业化,一些犯罪分子在互联网上公然销售盗窃网银的木马和入侵技术,降低了犯罪的技术门槛。另一方面,这种推销犯罪的方式又推动了木马和入侵技术的不断发展,随之形成了黑色利益链条,进一步加大了网上银行信息安全风险。
三大战略防范举措
1.加强风险提示和安全常识宣传,提高公众风险防范意识。
银行在为客户开通网上银行业务时,必须进行明确的风险提示,必要时应印制网上银行安全使用常识手册(或卡片)并提供给网上银行客
户。银行的网上银行网站应明确提示风险,提示
客户安装防病毒软件,指导客户养成良好的使用
网上银行系统习惯,比如不要设置容易被猜测和
破解的口令、输入帐号密码时尽量使用软键盘、
在业务完成以后应及时拔除USBKey、办理网上银
行业务的计算机不随意浏览不熟悉的互联网网站
等。电视和平面媒体应普及如何正确使用电子银
行的常识性、公益性宣传,以此提高社会公众的
信息安全素质和抗风险能力。
2.加强技术防范体系,提高网上银行系统
风险防范能力。
银行在其客户端程序上线前要进行严格的代
码测试,并关注最新的安全技术和安全漏洞,定
期对客户端程序进行检查,从而能够及时发现客
户端程序存在的漏洞并采取相应的规避措施。同
时,银行应通过专业的第三方中立测试机构对客
户端程序进行安全检测。
银行提供给用户的USBKey能够防范常见的
物理攻击和逻辑攻击,PIN码加密传输,并在进
行敏感操作时具有提示功能。要对网上银行经常
使用的USBKey、OTP令牌、动态口令卡和其他
专用安全设备进行安全性检测。
银行应为用户设置预留信息。在进行确认
时,推荐使用手机短信或电话等第二通信渠道请
求客户确认交易信息。对于大额转账等高风险操
作发生后,及时告知客户资金变化。
银行在Web应用设计中应注意防范SQL注
入、跨站脚本攻击、拒绝服务攻击等攻击,保障
网上银行系统能够经受黑客等不法分子的攻击,
从而保证系统持续、安全提供业务服务。
3.加强评估与检测,完善网上银行系统安
全建设。
银行应针对网上银行系统成立专职安全攻防
技术保障团队,跟进网上银行信息安全攻击和防
范技术的动态发展。建立网上银行系统信息安全
风险评估与检测机制,定期开展信息安全风险自
评估和第三方检测,及时发现、整改安全隐患,
动态不断完善网上银行系统安全建设,从根本上
提升网上银行系统风险防范能力。
隋朝钱币
C
N
I
T
S
E
C
2011.08/中国信息安全/47
- 网上银行系统信息安全通用规范
- 金融机构信息数据安全解决方案V2.0
- 银行业信息安全解决方案
- 四大银行网上银行安全性比较
- 网上银行系统信息安全通用规范(2020年最新版)
- 网上银行信息系统安全通常规范标准
- 银行业信息安全管理实践-工行张艳
- 银行信息系统安全管理方案
- 网上银行信息系统安全通用规范
- 网上银行信息系统安全通用规范
- 网上银行系统信息安全通用规范标准
- 银行新员工入行培训:员工信息安全培训
- 网上银行安全与隐私保护管理办法及策略
- 网上银行系统信息安全通用规范
- 网上银行系统信息安全通用规范标准
- 2018年银行业信息安全解决方案精选版
- 《网上银行系统信息安全通用规范》解读
- 网上银行系统信息安全通用规范
- 网上银行系统信息安全通用规范word版
- 网上银行系统信息安全通用规范(试行)