我国电子银行的分类与定义Word格式.docx
《我国电子银行的分类与定义Word格式.docx》由会员分享,可在线阅读,更多相关《我国电子银行的分类与定义Word格式.docx(3页珍藏版)》请在冰豆网上搜索。
各类电子银行的安全性,可以从客户端、传输线路和服务部端三个部分去考虑。
我们在之前的技术文章中,已经讨论过网上银行的安全性问题,其中对银行服务器端的威胁与安全防护已经解释得很详细,在此就不再赘述,主要谈一谈几类电子银行客户端的安全问题。
网上银行
网上银行用户使用PC或笔记本上网,利用网银的B/S或C/S客户端上网,其面临的威胁是多方面的。
攻击目的一般都是获取用户的账号、口令和个人证书等信息,冒充用户身份非法转移资金。
网上银行客户端易受恶意代码、钓鱼、输入截取、证书盗取和交易篡改等攻击。
恶意代码包括蠕虫、病毒、恶意脚本等,通常作为侵入客户端的第一个手段;
钓鱼攻击是伪造网上银行交易系统,诱使投资者使用虚假系统登录,造成账号和口令的泄密;
输入截取是获得用户的击键或鼠标点击记录,通常包括网上银行的账号与口令;
证书盗取是取得用户计算机中个人证书,以冒充用户的身份;
交易篡改是相对较少出现但很有威胁的一种攻击,可以将用户的网上银行操作指令内容进行非法改变,以实现其攻击目的。
网上银行客户端的安全保护需要从两个方面去考虑,一是操作系统的安全性,二是网上银行客户端本身的安全性。
操作系统安全,可以从打补丁、做好安全配置、良好的上网习惯等方面着手。
如果能保障操作系统的安全,可以有效防止攻击者通过控制操作系统而攻击网上银行。
网上银行客户端的安全防护主要由安全控件实现,通常包括输入信息的保护、进程保护、文件保护等功能。
银行要重点加强网上银行客户端的安全性,在客户教育中强调操作系统的安全性。
不过事实证明,无论银行如何加强安全教育,网上银行用户的计算机水平与安全意识还是相差很大,总是有一部分用户的水平不足,操作系统安全性很差。
所以对于银行来说,技术防御手段还主要是从客户端着手,尽量多地考虑可行的安全功能,力争“在不安全的操作系统环境下,实现安全的网上银行交易”。
手机银行
3G和高性能智能手机的普及,使手机银行正式登场,已经向主要的业务渠道去发展。
2G时代手机的带宽不足,很多网络应用无法开展。
到了3G时代,一个手机的网络带宽甚至要比PC的网络带宽还要大,加上1G左右的CPU运算速度和相匹配的内存,大部分的网络应用都可以在手机上实现,例如手机上网、手机炒股、手机钱包、手机支付、移动商务、地图导航等。
将来,手机银行会与网上银行一样,成为被攻击的重点。
目前手机银行的风险主要来自智能手机本身。
从本质上说,手机安全和PC终端安全原理上一致,但手机安全也有其自身的特点,一是现有手机操作系统的安全机制可以被破解,二是手机软件市场的混乱无序。
手机操作系统在设计之初,不约而同地采取了“应用准入”的机制,即只有通过相关厂商或机构验证的软件,才可以安装在手机中。
典型的当然是AppleIOS,在IPhone、IPAD等设备上安装软件,必须要从AppStore下载。
这个限制当然主要是出于商业持续赢利目的而设计,而客观上也确实能够保护那些下载者,AppStore上出售的软件都是经过安全验证的,可以让用户免受恶意软件的入侵。
而针对性的攻击手段也已经存在,这就是越狱,它可以突破限制,让用户免费、自由地下载破解后的软件,受到“广大用户的欢迎”。
但那些破解后的软件全部来自于非正规的地下开发者,其安全性完全得不到保障,很可能会有恶意代码包含在其中。
无独有偶,这方面另一个典型的例子就是Symbian,这个手机操作系统市场曾经的老大。
虽然具有了强制签名机制,但仍然被人找到了漏洞可以突破这个限制。
针对S60的最新固件版本的签名破解程序已经出现,破解之后强制签名机制将不再有效。
很多用户为了不受限制,同样进行了这种破解操作,导致系统本身失去了安全性,也就给恶意软件的入侵带来了机会。
破解之后,智能手机就可以无限制地下载应用软件了,虽然这很方便,但其中的安全隐患大大提升。
由于智能手机的兴起,一个规模巨大的市场被创造出来,各路开发商和团队纷纷抢占地盘,推出自己的手机应用产品,力图分得更大的一块蛋糕。
这些开发团队鱼龙混杂,有非常多的非正规团队,他们编写的程序只注重功能实现,可能存在严重的安全隐患,容易被人利用。
甚至地下开发者也会混迹其中,在各类手机下载网站上发布绑定了恶意软件的应用程序。
客观地讲,目前手机相关的安全事件没有传统PC安全事件那么多,那么严重。
这是由于现阶段传统PC终端还是拥有最大数量的用户群,更受攻击者关注,而不是因为手机更安全。
从大环境看,智能手机的综合安全能力不如传统PC终端。
电话银行
电话银行出现较早,最初可以实现查询的简单功能,后来又逐步加入支付、转账等功能,而且与呼叫中心的人工服务结合起来,成为一个比较简易方便的银行业务渠道。
电话银行的安全问题比较有特点:
安全隐患大而威胁小,所以总体风险不高。
安全隐患大,主要由于电话传输的信号是明文,从电话机到电信运营商中间的路线如果被非法搭接,可以窃听到所有重要信息;
威胁小,是因为实际情况中去非法搭接电话线路、想偷取重要信息的攻击者非常少。
一方面由于攻击者有更方便攻击、更多目标的网上银行,不会去费劲冒风险在电线杆上爬上爬下,一方面由于电话银行的使用者并不广泛,即使监听也很可能不会得到有用的信息。
家居银行
与电话银行类似的家居银行,是有可能受到较大威胁的。
家居银行已经在某些省市出现,其业务终端是用户在家里的电视机与机顶盒,借助广电网络传输银行业务信息,进行查询、缴费等业务处理。
从用户家中到广电那一端的传输是明文的,因为机顶盒通常没有加密功能。
我们在对几个不同家居银行的安全测试中发现,广电网络的线路是可以进行监听的,从某户居民的有线电缆接入,可以监听到其他居民的信号。
家居银行应当在机顶盒软件里加入足够强度的加密功能,防止传输的信息被非法窃听。
自助银行
自助银行目前有ATM,存取款机,多功能终端等形式,是银行在特定地点向用户提供自助服务的一种重要的业务形式。
大部分自助银行设备被直接利用计算机技术攻击的可能性不大。
自助终端设备都是银行特制的机具,虽然操作系统采用的是可能存在较多漏洞的Windows桌面操作系统,如Win98、XP等,但由于输入设备通常为数字和特制的键盘,无法输入计算机命令。
同时终端也没有外接设备的接口,又不直接连接公共网络,因此不太可能进行攻击。
这类可以存取款的设备,主要面临被偷窥用户输入的密码、通过读卡器偷取银行卡信息等威胁。
而多功能终端不同于其他自助银行设备,它可以提供通过Internet访问特定网站和网银的功能。
其本身是一台完整的计算机,利用标准键盘输入,有鼠标,甚至可能有USB接口,供用户插入U盾。
这种终端被攻击的可能性就大大增加了。
攻击者可能利用U盘在多功能终端上植入非法程序,偷取其他用户的信息。
也可能利用一些命令的操作,去打开原本不被允许访问的网站,下载木马程序。
甚至直接跳出多功能终端限定的用户操作环境,进入到操作系统,这样可以进行的攻击就更多了。
3全面考虑电子银行面临的威胁
以上讨论的各类电子银行,都各自面临不同的威胁,但需要注意的是,这些不同种类电子银行的安全性会相互影响,如电话银行/呼叫中心的安全性,可能会影响到网上银行的安全性。
前不久国内银行就出现了这样一个案例:
一位女士在某银行办理了信用卡,但可能个人开卡相关的信息被泄露出去,有人利用这些信息,通过电话银行激活了信用卡的网上支付功能,并且修改了短信通知的手机号码。
结果她的信用卡被人在购物网站上利用网银支付功能,盗刷了2万余元。
这是一个比较有代表性的案例,电话银行的安全漏洞影响到了网上银行的安全性,最终导致了用户资金被盗。
因此银行在考虑不同种类电子银行安全性的同时,也应注意从整体上考虑安全防范手段,如限定交易额、加强身份验证凭据、银行操作的短信通知等,都不应只考虑本类电子银行的安全威胁与保护需求,要同时考虑它们之间的相互作用和影响。
4结语
本文描述了当前电子银行的分类以及所面临的安全问题,对于不同安全威胁的分析结果,提出了解决建议。
了解当前电子银行现状,不仅有利于电子银行自身的发展,也提升了客户的体验度以及满足上级监管部门的要求。
更为重要的是,为以后对于识别风险、规避风险做好了准备。
升级会员 