市场信息简报110401.docx

1、市场信息简报110401动联信息简报 11/04/01 行业信息行业动态部分银行调低网银转账支付限额层出不穷的钓鱼网站让银行不得不对网银转账支付看得越来越严。日前，招商银行发出通知，从今年4月11日起调整通过第三方支付公司进行的网上交易限额阅读详情7大网上银行比拼免去了排队的烦恼，如今网上银行已经成为个人理财的左膀右臂。网银就像是一个金融超市，你可以自助汇款、买基金、买理财产品阅读详情网银安全事故概率比飞机失事低当前，网银面对的安全形势十分严峻。据统计，仅2010年全国就新增木马病毒近1800万种，平均每天新增与网购相关的钓鱼欺诈网站约1500个阅读详情坚不可摧 保证密码持久到100年文章主要

2、向大家描述的是数据安全之保证密码持久到100年坚不可摧的秘诀，即使你的密码从为被破解过，在没有密钥的情况下，我们将永远需要相同的CPU阅读详情Gartner：RSA SecurID遭攻击 但并非致命缺陷通过对RSA的攻击获得的机密资料可能使攻击者伪装成RSASecurID令牌用户，可以访问企业系统，但不会获得更多的信息阅读详情光大“白名单”保网银安全近日，光大银行推出“白名单”，以进一步提升网银安全。该行网上银行系统新一轮升级时，对于升级前客户设置的友好账户阅读详情明年手机支付规模将超千亿 企业运营商争抢布局随着3G的普及推广，以及移动互联网的快速发展，2011年移动支付市场成为一个诱人的蛋糕

3、，而与此同时，手机支付交易安全依然成为大家关注的焦点阅读详情 行业信息竞争对手飞天诚信CEO黄煜：海外输出问题不大 新产品支持苹果设RSA2011大会在美国旧金山落下了帷幕。RSA大会是信息安全界最有影响力的业界盛会之一。恰好RSA大会走过20年，很多专家和学者阅读详情部分银行调低网银转账支付限额 回目录发布时间：2011-03-31 来源：北京青年报本报讯层出不穷的钓鱼网站让银行不得不对网银转账支付看得越来越严。日前，招商银行发出通知，从今年4月11日起调整通过第三方支付公司进行的网上交易限额，大众版一卡通客户的支付限额从5000元下调为500元，信用卡支付限额也由原来客户自定变为单笔最高5

4、00元。此前，中行、农行、建行等银行也先后下调了网银转账限额。中行从今年3月4日起调整了网上银行个人服务业务规则，不仅强化了网银转账安全认证，还下调了网银转账限额，单笔和每日累计最高限额原来为100万元和200万元，现在调整为10万元和20万元。交行在今年年初将当日转账累计上限调整为100万元。建设银行本月也将个人网银盾客户转账交易单笔限额和日累计交易限额分别调整为50万元和100万元人民币，使用动态口令卡和证书转账，也从以前的20万元下调到3000元 以前使用农行K宝网银转账无限额，现在最高限额为单笔100万元，每日累计是500万元。除了调低网银支付转账的限额，各银行还纷纷采取短信、公告等方

5、式提醒客户防范网上交易的风险。专家指出，访问银行网站时一定直接输入网址登录，不要采用超级链接方式间接访问网站。银行绝对不会通过邮件、短信、电话等方式，要求客户到指定的网页修改密码或进行身份验证，如果收到此类信息请不要相信。此外，要保护好硬件证书及密码，硬件证书使用完毕后应及时从电脑上取回。当然还要确保登录网上银行的电脑安全可靠，定期更新杀毒软件，使用网络防火墙，及时下载补丁程序，不打开不明的程序、链接、邮件，避免让太多人使用自己的个人电脑。7大网上银行比拼 回目录发布时间：2011-03-30 来源：第一财经日报免去了排队的烦恼，如今网上银行已经成为个人理财的左膀右臂。网银就像是一个金融超市，

6、你可以自助汇款、买基金、买理财产品本期财富机会盘点众多网上银行，看看哪家网银功能更强大、费用更节约、口碑更好。工行：全面功能需耐心发掘王琦作为电子银行方面的专业人士，李先生亲身使用并研究过几乎所有国内银行的网银，至今他仍认为，工行网银在业务种类的全覆盖、功能深化、安全性以及商户渠道拓展等方面尚未遇到敌手。“工行是国内最先发展、最重视网银业务的银行，他们最早与微软合作开发网银系统，因此在银行系统与微软系统的对接中，工行运转得较好，系统安全性也最高。”李先生说。另一方面，他指出，工行绝大部分适合和能够在网络上展开的业务的都能够集成到网银上供客户使用，从基础的汇款服务、支付缴费、信用卡业务、到账户管

7、理，以及理财、基金、股票、保险、账户贵金属等投资产品，不一而足。而在各类电子支付商户中，特别是目前最为活跃的各大网购平台上，客户通过工行网银进行网络支付，也几乎不会遇到商户不认可的情形。“在整个网银市场的交易总量中，目前接近一半都被工行占据，规模优势相当明显。”他说。然而，在李先生看来，工行在网点业务上的服务不到位和操作不便等问题，也同样蔓延到了网银平台上。从事IT系统研发的张先生更是感叹，自己一个搞技术出身的，居然操作工行网银时遇到了障碍。“安全控件的下载、证书导入导出、身份验证很复杂，弄着弄着一个下午的时间就没了，周围很多朋友都放弃了。”“工行网银功能很全面很强大，但用户可能用了很久才无意

8、间点开一个界面，发现原来还有这个功能，这需要用户有足够的耐心来发掘。”李先生认为，网银安装和使用的方便性、网页界面的友好程度对用户影响很大，如果操作不便，可能导致用户一两年内都不会使用网银。费率高是用户向记者集中反映的另一问题。记者了解到，该行电子银行口令卡工本费仅为2元，但如果想办理U盾，工本费则根据不同类型分为58、60、85元三个标准。与其他银行动辄五折的优惠相比，客户使用工行网银的成本较高。使用最多的传统汇款业务方面，工行网点上同城业务不收费，行内异地业务和跨行汇款均按汇款金额0.9%收取，每笔业务最低1.8元，45元封顶，贵宾和银牌、金牌会员分别按0.45%和0.27%收取。网银则在

9、此基础上提供八折优惠。“工行柜台汇款费率本来就高，与其他银行网银五折的优惠相比，八折的折扣优势也不大。” 张先生说。中行：动态口令PK操作细节王琦杨小姐是一位资深的网络商铺老板，经销国外高级化妆品和手表多年，网上支付交易几乎每天都在她手上进行。谈及手头上众多网银，杨小姐认为中行网银在自己的网购生意上比较适用。“我用过其他银行的网银，以工行为例，电子口令卡工本费只有2元，但是每日单笔限额很低，最高只有1000元，如果要多付款就要花五六十元去银行办U盾，成本比较高。中行的e-token原来只需要10元工本费，现在需要20元，成本小，限额却是1万元，最近又提升到5万。对我这种频繁网络支付的人来说，比

10、较方便。”她说。除此之外，e-token这种动态口令装置也让她感觉很便利。e-token是一种内置电源、密码生成芯片和显示屏、每隔一段时间自动更新动态口令的专用硬件。“与U盾相比，e-token不需要安装驱动和链接电脑USB接口，安全控件五分钟就能下载完，然后直接在网上银行页面上输入口令就行。”外币业务一直是中行的优势所在，杨小姐也开通了外币网银业务。“开卡的时候，柜台就问我是否需要外币功能。反正是免费，万一以后有外币交易，也方便，就开了。”但对工作异常繁忙的外企白领汪小姐而言，中行网银的申请过程却十分繁琐和消耗时间。“在中行网点排队排了快1小时才轮到我。柜员说，要先开通电话银行，才能开通网上

11、银行，我填了好多张单子才把这些业务都办理好，可到现在我也没用过电话银行。”“感觉中行网银操作细节上，设计不是太人性化。”在某IT公司工作的陈小姐说，以登录方式为例，中行采取了用户自行设定登录名的方式，好处是被盗用的几率大大降低。“但日常使用的各种网站登录名很多，而自己常用的登录名在中行网银上又被人提前注册了，新注册的用户名不常用，经常忘记，要找回来非常麻烦。”而费率方面，除网银工本费比较优惠外，中行一如其他国有银行，对用户并不具备特别的吸引力。但该行在今年调低了网银异地同行汇款费率至万分之六，每笔最低1元，最高12元，是该行应对网银竞争白热化的手段之一。交行：开通视频客服周小雍除了资费竞争，一

12、些银行也尽力开发网银的服务功能，力图通过提升便捷性和体验度来巩固客户。交通银行电子银行部处长王兵近日就表示，为了方便和客户的沟通，交通银行在网上开通了视频客服，通过点击就可以和客服人员进行沟通。同时，交行还和MSN进行合作开发交行“点点通”服务，客户在自己的MSN上可以看到交行最新的服务。此外，为了达到网上交易的安全性和用户体验的简单、便捷性之间的平衡，交行一直在推行短信动态密码方式。“现在我们交行80%的用户都在使用动态密码方式，这种方式非常受客户欢迎。”王兵表示。资费方面，与前两家银行相比，交行在最高收费档的手续费金额要略高一些。同城本行汇款也是免费;同城跨行汇款：交易金额的0.2% ，最

13、低2元，最高20元;异地本行汇款 ：交易金额的0.15% ，最低1元，最高50元;异地跨行汇款：交易金额的0.7%，最低2元，最高50元。农行：手续费相对便宜周小雍相比其他银行，农业银行在四大行网上银行业务发展中起步较晚, 但目前发展势头也很快。高小姐表示：“我在淘宝购物时就用农行的网银，感觉速度很快，也很畅通，没有出现过交易堵塞的情况。”目前各家银行网银的资费水平还有差异，例如工商银行、建设银行的同城跨行转账手续费、异地同行转账手续费和异地跨行转账手续费在同业中比较高，而一些中小银行，如浙商银行、平安银行等收费很少或是免费，之间可能相差十几倍。为了扩大竞争优势，农行的手续费也相对较便宜。同城

14、本行汇款免费;同城跨行汇款为交易金额的0.5%，最低1元，最高35元;异地本行汇款为交易金额的0.4%，最低1元，最高20元;异地跨行汇款则为交易金额的0.5%，最低1元，最高35元。高小姐表示，过去使用农行网银不需要用密码卡，但现在也开始用密码卡了。虽然方便性降低，但是安全性有了显著提高。招行：功能与服务的全能型选手王琦记者在调查中发现，招行网银拥有相当数量的铁杆粉丝，王小姐便是其中之一。除工资卡外，她所有的在线支付、转账乃至基金、炒股、外汇、国债、理财业务都通过招行网银操作。“招行网银业务覆盖面广，日常的支付、转账和各种各样的投资都可以在网上做。而且申请开通业务也都可以在网上完成，不需要经

15、常跑柜台。”她告诉记者，一般在银行首次购买理财产品，都需要到网点进行用户风险评估，在招行这一步都可以通过专业版网银完成。另一个吸引王小姐的，是招行网银开发的财务分析功能。通过网银关联多张招行借记卡、信用卡，用户可以在财务分析功能中，一目了然地掌握自己某段时期收入、支出的分配图、明细表、现金流量以及收支对比情况。“有了这个功能，对自己的收支很容易把握。”而跑了多年IT新闻的李记者认为，招行网银优势有两点，一是签约商户多，认可度高，支付无障碍;二是金融信息化较好，界面友好程度高，从申请、安全控件安装、身份验证到业务操作设计都更人性化。“如果用户体验做得不好，对客户影响非常大，很容易放弃网银注册和使

16、用。”对精打细算的客户来说，招行在网银工本费上的优惠也很是诱人。个人网银专业版的文件认证可免费领取，移动认证也就是U盾工本费60元，在很多地区五折出售。而今年，在网银市场竞争升温的情况下，招行在京沪等大城市更是对金卡客户免费发放U盾。费率方面，招行的普卡客户并未享受太多实惠。以网银用户使用较多的汇款业务方面为例，招行费率执行央行在关于改进个人支付结算服务的通知中的标准，同城跨行每笔2元，同行异地和异地跨行汇划分别按汇款额的千分之二、百分之一收费，50元封顶。而如果是金卡客户，网银费率可享受五折优惠，金葵花客户则全部免费。但也要提醒消费者，招行基金申购与赎回费率相加达到2%，在业内属于最高水平。

17、兴业：大打价格牌周小雍和农行类似，兴业银行的网银推销也是大打“价格牌”，在这几家银行当中，以兴业银行的手续费优惠最多。CBN记者致电兴业银行客服得到的资费标准答复是：“目前网银的同城本行汇款、异地本行汇款以及同城跨行汇款均为免费。”此外，异地跨行汇款的收费标准是：1万元(含)以下5.5元;1万10万元(含)10.5元;10万50万元(含)15.5元;50万100万元(含)20.5元;100万元以上0.002%，最高200元。在网银安全性方面，兴业银行目前有数字证书、USB Key以及第三方认证。据悉，兴业银行在客户的各个细分市场上也有其优势，其黄金买卖的网上交易量目前在国内可以跟工行相抗衡。此

18、外，还提供对数字电视增值账户进行网上充值等便捷服务。浦发：菜单简单明了周小雍“网上银行不用去柜台排队，节省时间，而且还有手续费的优惠，当然方便。”在某外企工作的高小姐表示，她经常使用的是浦发和农行两家银行的网银，“平时主要是在网上购物时通过网银支付，还会通过网银购买基金和理财产品，以及账户查询之类的一些基础功能。”浦发银行的网上银行菜单包括：账户管理、贷款、银行理财产品、手机银行、爱心捐款等项目。相比招商银行“自助缴费”、“网上支付”、“实物黄金”、“财务分析”等名目繁多的菜单选项，浦发虽没有那么丰富，但基础网银功能基本具备。“我平时也就主要利用基础网银功能，浦发网上银行这些菜单设置基本也就够

19、了。”高小姐说。目前一般的银行网银基本都设置有账户查询、转账支付等账户管理，以及包括国债、基金、外汇投资在内的投资理财服务等功能，网上银行平台设置及信息丰富度也在不断增加。从资费上看，浦发银行的整体资费水平基本在各银行中在处于中游水平。其同城本行汇款为免费;同城跨行汇款为交易金额的0.2%，最低2元，最高10元;异地本行汇款为交易金额的0.2%，最低2元，最高30元;异地跨行汇款则为交易金额的0.8%，最低2元，最高40元。除了资费外，交易的安全性也是网银用户关注焦点。从交易平台安全性设定看，浦发银行设有动态密码、数字证书、USB Key以及第三方认证。网银安全事故概率比飞机失事低 回目录20

20、11年03月31日 来源：晶报 在任何情况下，银行和监管机构、执法部门都不会向您索要密码，不要相信任何套取网银密码的行为。在使用网银进行支付时，不要开启操作系统及MSN、QQ等即时通讯工具的远程协助功能。去年，我国网银个人客户已突破2.7亿户，约占网民总数的60%。时有发生的安全事件，让人们在使用时不禁多了一份担心：网上银行安全吗？该怎样安全使用网银？对此专家给出了答案。 网银安全事故概率百万分之一银行端没发生过任何事故当前，网银面对的安全形势十分严峻。据统计，仅2010年全国就新增木马病毒近1800万种，平均每天新增与网购相关的钓鱼欺诈网站约1500个。即使在如此恶劣的网络环境下，我国网银也

21、是非常安全的。有业内专家算了一笔账：去年我国网银交易额约500万亿元，客户资金被盗涉案金额数约千万元。以此匡算，网银安全事故的概率仅为百万分之一，远低于国外第三方支付公司网上支付业务千分之一的欺诈率，甚至比飞机失事的概率还小。“每一起事件都会在媒体上充分曝光，让人感觉网银好像不大安全。然而这就像飞机一样，尽管每一起空难都会被详实报道，但飞机仍是最安全的交通工具。”这位专家说。网银业务在我国开办13年来，银行端没有发生过任何事故，国内各家银行都有专门的团队应对黑客攻击。银行端和客户端之间的信息传输采用128位加密算法，以当今技术须耗费上万年时间才能破解这种加密信息。因此，网银的风险主要来自客户端

22、。网银安全事件可分为三类木马偷袭、网络钓鱼、黑客攻击网银安全事件大体上可分为三类，客户应当擦亮眼睛认清这些骗局。其一是木马偷袭。不法分子将木马病毒挂在网站、聊天工具上，一旦有人点击，就会窃取其账号、密码信息，从而转走网银中的资金。2005年之前，网银安全认证就是账号、密码，自从有了硬件设备如USB KEY后，这种形式的犯罪就很少了。因为木马病毒能偷走账号、密码等电子信息，但无法偷走独立于电脑的硬件设备U盾。其二是网络钓鱼。不法分子以系统升级、低价商品等诱骗客户进入一个与真实网银极为相似的“山寨网银”页面（俗称钓鱼网站），在得到客户的网银身份信息后盗取资金。这是目前最多的网银安全事件形式。其三是

23、黑客攻击。不法分子对电脑或网址植入木马病毒，一旦点击进入，就可能染毒而使电脑受到远程控制，个人账户信息就能被窃取。这时客户的电脑就成了“肉鸡”，即使使用USB KEY，如果用完后没有及时拔出，也会被黑客操控。应怎样安全使用网银？选择安全工具，养成良好的使用习惯目前各家银行推出的硬件设备主要有USB KEY、动态密码器、动态口令卡等三种类型。USB KEY有工行的U盾、农行的K宝、建行的网银盾等；动态密码器有中行“E令”等；动态口令卡则有工行的电子银行口令卡、建行的电子银行“刮刮卡”等。业内人士认为，USB KEY安全系数相对较高。要充分利用银行提供的各种安全助手。比如，工行有短信提醒，只要网银

24、账户资金有变动甚至有人登录您的网银，银行就会发短信。再如，中行有预留信息验证，您在第一次登录网银时可以设一个欢迎信息，下次再登录时如果看不到这条信息，那无疑就是假网银了。“在任何情况下，银行和监管机构、执法部门都不会向您索要密码，不要相信任何套取网银密码的行为。”中国银行电子银行部总经理蒋昕提醒道。要养成良好的网银使用习惯。比如，要妥善保管自己的USB KEY、口令牌/卡等安全工具，切勿交给他人。交易完成后要及时将USB KEY从电脑上拔出。设置密码应本着“本人易记、别人难猜”的原则，避免直接使用与本人明显相关的信息。不要点击或登录不明网站，防止电脑中毒。不要在网吧、公共图书馆等公共场所的电脑

25、上登录网银。在使用网银进行支付时，不要开启操作系统及MSN、QQ等即时通讯工具的远程协助功能。最新措施工行推出了二代U盾，要完成资金支付，还需按下U盾上的按键。这样一来，黑客也无能为力，毕竟，他能偷走没有拔出的U盾的信息，但不能伸手来按键。一些银行推出了“手机交易码”服务，在网银转账时，银行会向客户发送一条包含手机交易码及相关交易信息的短信，客户只有确认短信交易信息并输入正确的手机交易码后，方可完成交易。坚不可摧 保证密码持久到100年 回目录发布时间：2011-03-29 来源：ZDNET安全频道文章主要向大家描述的是数据安全之保证密码持久到100年坚不可摧的秘诀，即使你的密码从为被破解过，

26、在没有密钥的情况下，我们将永远需要相同的CPU平均时钟周期数来解密某一指定密码加密的东西;任何密码无论它在鼎盛时期多么强大，最终都会成为脆弱的密码，这似乎是不言而喻的。当人们使用目前相当强大的密码时，他们担心最终也会有人能够将它破解在不知道密钥的情况下，通过找到一条捷径大大减小暴力破解所需要的时间。即使密码从没被破解过，在没有密钥的情况下，我们将永远需要相同的CPU平均时钟周期数来解密某一指定密码加密的东西;与几个月前相比，几个月后要想破解同样的东西需要时间会少一些。这是因为计算机至始至终都在变得更快，这允许我们把相同数目的时钟周期压缩在更短的时间内。更加复杂和巧妙的加密算法设计，使得暴力破解

27、的方法越来越困难，并且将取代已经被破解了的、或者说即将过时的老旧算法。这就像是一场持久的军备竞赛保护隐私与企图渗透隐私行为之间的对抗。虽然几乎所有被破解或者过时的密码都被历史所淘汰，但有一种密码却经受住了93年的时间，这就是一次性密码。1917年，Gilbert Vernam发明了维尔南(Vernam)密码，该密码使用了纸带作为密钥的电传(teletype)技术来加密和解密数据，随之诞生了一种在当时相当强大的对称密码。美国陆军上尉Joseph Mauborgne意识到，使用真正随机的密钥，即密钥没有一部分是重复的(除了有时随机出现相同的情况)，维尔南密码能够变得更加强大。受纸带密钥的启发，一种

28、每页纸上的一列随机字母或数据作为记录密钥的便笺(pad of paper)被发展起来。两份相同的便笺分发给两个人，每页纸上的每个字符只使用一次(当最后一个字符被用来加密或解密信息后，该页纸就被毁掉)，他们传递信息时不用担心被截获后的信息在没有密钥的情况下被破解。因为这项在便笺纸上分发密钥流数据的技术，人们又这种密码称为一次性便笺加密。信息理论之父Claude Shannon从数学上证明了一次性加密算法在正确使用时是不可破解的正确的使用包括毁掉含有已用密钥数据的页面，以便它不再被利用，这样即使有人获得了便笺中已用的页面，也不能解密任何未授权的信息拷贝。密钥管理可以使用相同的数字化概念，但附加条件

29、是人们使用时必须非常小心，以避免计算机固有的弱点给一次性密钥系统带来缺陷。例如，代价高昂的数据恢复也许能够重建已经删除的数据，包括一次性密钥数据。 当简单的删除仍不够可靠时，尽管有办法可以用来对这些数据进行模糊化处理，但也一定要谨慎。一次性加密算法有时会非常麻烦，这是它为什么没有被广泛使用的原因。由于这种不便性，我们实际需要的是在理论上稍弱一些的密码，也可以说它是一种更聪明的密码，比如AES/Rijndael和Twofish加密算法。由于一次性密码是对称密码，双方必须使用完全相同的密钥数据来加密通信。对于某些加密用例，使用一次性加密完全没有意义，因为如果双方要能够数据安全的交换密钥以拥有它，他

30、们必然有共享数据的安全方法，这种方法也可以用来共享最终的信息本身。只有在你不知道将会发送什么信息的情况下，或者当你们在将来的某个时候不能找到任何安全的方法来交换密钥数据时，一次性加密才会派上用场。一次性加密密钥必须同它所加密或解密的信息一样长。因此，当你想要加密或者解密一个3 G字节的文件时，你还需要一个大小为3G字节的一次性加密密钥。同样的一次性加密数据不能在多于两人时被安全共享。比如，不同的信息将要在拥有同一密钥的某些接收者之间发送时，有些数据对于其它接收者是不可读的，在它们之间使用相同的一次性加密会破坏密码的安全性。相比之下，你可以使用非对称密码为多个人提供一个相同的公钥，他们将能够使用

31、相同的公钥来给你的信息加密，而不用担心其它拥有公钥的人能读到它只要该加密算法不被破解，并且计算机技术目前的发展水平还没有先进到可以合理的暴力破解信息。这是因为对于公钥加密的数据，只有对应的私钥才能解开。重复使用密钥潜在的破坏了一次性密码的数据安全性，因为它面临着一个已知明文的漏洞。Kerckhoff准则说到，当密钥仍然保密时，一个密码体系就是安全的，但是如果同时知道某个指定信息的加密和未加密版本，一次性密码的密钥就能够被破解。如果一串密钥数据只被使用一次，这也不是什么问题，因为如果连明文被破解者获取，加密强度再大也是徒劳的。如果一个密钥被重复使用，一段信息的明文就能够作为获得密钥的工具，而该密钥可以用来解密其它信息。我们可以从中获得的教训是：不要重复使用一次性密码。这也正是它被称之为“一次性”密码的原因。当一次性密钥用尽以后，你不能再安全的重复发送信息使用相同的密码加密除非你能够数据安全的交换新的随机密钥数据。当你试图与世界另一头的某个人通信时，这种情况将会让你的处境显得很窘迫。如果在某些情况下使用一次性加密不太现实，你可以使用其它的加密方法，而你也应该意识到其它在理论上加密强度稍弱的密码仍