《计算机安全技术-网上银行.ppt》由会员分享,可在线阅读,更多相关《计算机安全技术-网上银行.ppt(37页珍藏版)》请在三一办公上搜索。
1、计算机安全技术,网上银行安全,电 子 银 行,1 我国电子银行的建设与发展 中国第一家上网银行是中国银行(),成立时间是1996年下半年。当时,中国银行就已经认识到因特网是未来银行赖以进行客户服务的最好的物质基础,电子银行将导致的是一场深刻的银行业革命。上网初期,中国银行网页主要用于发布中国银行的广告信息和业务信息,进行全球范围的通信(E-mail)。在以后的几年里,中国银行逐步开展了家庭银行、信用卡、商业银行等网上业务。,招商银行(http:/)也是国内较早开展网上业务的银行。1997年2月,招商银行在因特网上推出了自己的主页及网上转账业务,在国内引起极大反响。在此基础上,招商银行又推出了“
2、一网通”网上业务,包括“企业银行”、“个人银行”和“网上支付”三种服务。该项目的推出,大大促进了招商银行的网站建设,树立了招商银行的网上形象,使招商银行在短短几年中成为国内网上银行的排头兵。自进入21世纪以来,网上银行的用户也象互联网一样成几何级数增长,2005年全国网上银行交易金额达60万亿元人民币。网上银行占银行全部业务的比重越来越高,交易替代率也在飞速增长。据悉,工商银行和招商银行网银的交易替代率均已超过25%,也就是说,有1/4的银行支付业务是通过网上完成的。,2 电子银行的特点与主要业务电子银行,又称网络银行、虚拟银行,是指通过因特网或公共计算机通信网络提供金融服务的银行机构。电子银
3、行业务是指“商业银行等银行业金融机构利用面向社会公众开放的通信通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。”,网上银行具有以下特点,(1)功能丰富。网上银行可以打破传统银行的部门局限,综合客户的多种需求,提供多种类型的金融服务,如信用卡业务、储蓄业务、融资业务、投资业务、居家服务、理财服务、信息服务等。(2)操作简单。客户使用网上银行服务,只需到银行营业网点登记,填写有关表格。在使用中,网上银行以登录卡为主线,可为不同类型的账户申请不同功能,并可在线对各种账户的各项功能进行修改。,(3)跨越时空。网上银行可以提供跨区域和全天候的服务,即可以在任何
4、时候、任何地点、以任何方式为客户提供金融服务,超越了传统银行受时间、地点、人员等多方面的限制。(4)信息共享。网上银行通过因特网可以更广泛地收集和分析最新的金融信息,并以快捷便利的方式传递给网络银行客户。由于网络资源的全球共享性,使银行与客户之间都能相互全面了解对方的信用及资产状况,从而大大减少了信用风险和道德风险,降低传统银行业务的交易成本。,电子银行业务包括四个部分:(1)利用计算机和互联网开展的银行业务(简称网上银行业务)。(2)利用电话等声讯设备和电信网络开展的银行业务(简称电话银行业务)。(3)利用移动电话和无线网络开展的银行业务(简称手机银行业务)。(4)其他利用电子服务设备和网络
5、,由客户通过自助服务方式完成金融交易的银行业务。,图 电子银行运作的基本流程,4 支付网关支付网关是银行金融系统和因特网之间的接口,是由银行操作的、将因特网上的传输数据转换为金融机构内部数据的设备。支付网关也可以是指派的第三方支付平台,通过设在第三方支付平台的接口处理信息和顾客的支付指令。支付网关是网上银行的关键设备,离开了支付网关,电子银行的电子支付功能就无从实现。,银行使用支付网关可以实现以下功能:(1)配置和安装Internet网络,实现支付。(2)避免对现有主机系统的修改。(3)采用直观的用户图形接口进行系统管理。(4)适应诸如扣账卡、电子支票、电子现金以及微电子支付等电子支付手段。(
6、5)通过采用RSA公共密匙加密和SET协议,确保网络交易的安全性。,(6)提供完整的商户支付处理功能,包括授权、数据捕获和结算、对帐等。(7)通过对Internet网上交易的报告和跟踪,对网上活动进行监视。(8)使Internet网络的支付处理过程与当前支付处理商的业务模式相符,确保商户信息管理上的一致性。,5 电子银行的监管 随着电子银行业务品种的不断增加和业务量的快速上升,电子银行业务的经营风险也随之扩大。加强电子银行业务的监管,进一步增强商业银行发展电子银行业务的风险控制能力,就成为银行监管机构的一项重要任务。,5 第三方支付,1 第三方支付简介第三方支付机构是最近几年出现的新的支付清算
7、组织,它是为银行业金融机构或其他机构及个人提供电子支付指令交换和计算的法人组织。在第三方支付模式下,支付者必须在第三方支付机构平台上开立账户,向第三方支付机构平台提供信用卡信息或账户信息,在账户中“充值”,通过支付平台将该账户中的虚拟资金划转到收款人的账户,完成支付行为。收款人可以在需要时将账户中的资金兑成实体的银行存款。,2 第三方支付流程第三方支付是典型的应用支付层架构。提供第三方支付服务的商家往往都会在自己的产品中加入一些具有自身特色的内容。但是总体来看,其支付流程都是付款人提出付款授权后,平台将付款人账户中的相应金额转移到收款人账户中,并要求其发货。有的支付平台会有“担保”业务,如支付
8、宝。担保业务是指将付款人将要支付的金额暂时存放于支付平台的账户中,等到付款人确认已经得到货物(或者服务)、或在某段时间内没有提出拒绝付款的要求,支付平台才将款项转到收款人账户中。,图 第三方支付平台结算支付流程,第三方平台结算支付模式的资金划拨是在平台内部进行的,此时划拨的是虚拟的资金。真正的实体资金还需要通过实际支付层来完成。,图中各数字序号含义如下:(1)付款人将实体资金转移到支付平台的支付账户中。(2)付款人购买商品(或服务)。(3)付款人发出支付授权,第三方平台将付款人账户中相应的资金转移到自己的账户中保管。,(4)第三方平台告诉收款人已经收到货款,可以发货。(5)收款人完成发货许诺(
9、或完成服务)。(6)付款人确认可以付款。(7)第三方平台将临时保管的资金划拨到收款人账户中。(8)收款人可以将账户中的款项通过第三方平台和实际支付层的支付平台兑换成实体货币,也可以用于购买商品。,3 第三方支付的优缺点第三方支付模式有如下优点:(1)比较安全。信用卡信息或账户信息仅需要告知第三方支付机构,而无需告诉每一个收款人,大大减少了信用卡信息和账户信息失密的风险。(2)支付成本较低。第三方支付机构集中了大量的电子小额交易,形成规模效应,因而支付成本较低。,(3)使用方便。对支付者而言,他所面对的是友好的界面,不必考虑背后复杂的技术操作过程。(4)第三方支付机构的支付担保业务可以在很大程度
10、上保障付款人的利益。,第三方支付模式同时也存在以下缺点:(1)这是一种虚拟支付层的支付模式,需要其他的“实际支付方式”完成实际支付层的操作。(2)付款人的银行卡信息将暴露给第三方支付平台,如果这个第三方支付平台的信用度或者保密手段欠佳,将带给付款人相关风险。(3)第三方支付机构的法律地位尚缺乏规定,一旦该机构终结破产,消费者所购买的“电子货币”可能成为破产债权,无法追回。(4)由于有大量资金寄存在支付平台账户内,而第三方支付机构并非金融机构,所以存在资金寄存的风险。,6 加强引导,推动我国电子支付的快速发展,1.加强银行与客户之间关系的调整随着电子商务的发展,作为银行向客户提供的新型金融服务产
11、品,大量的电子支付服务面对的是个人消费者和商业企业在经济交往中产生的一般性支付需求。这类电子支付参与主体众多,涉及银行、客户、商家、系统开发商、网络运营服务商、认证服务提供机构等。加强银行与客户之间关系的调整,才能营造电子支付应用的良好环境。,2.高度重视电子支付的安全管理安全性是电子支付的重中之重。办理电子支付的银行应当采取下列措施保证电子支付的安全:(1)采用符合有关规定的信息安全标准、技术标准、业务标准。(2)建立针对电子支付业务的管理制度,采取适当的内部制约机制。(3)保证电子支付业务处理系统的安全性,以及数据信息资料的完整性、可靠性、安全性、不可抵赖性。,(4)提倡银行和客户使用第三
12、方认证,妥善保管密码、密钥等认证数据。(5)银行对客户的责任不因相关业务的外包关系而转移,并应与开展与电子支付业务相关的专业化服务的机构签订协议,并确立综合性、持续性的程序,以管理其外包关系。(6)银行要建立电子支付业务运作重大事项报告制度,按有关法律法规披露电子支付交易信息,及时向有关部门报告电子支付业务经营过程中发生的危及安全的事项。,3.加强电子支付信息的管理电子支付是通过开放的网络来实现的,支付信息很容易受到来自各种途径的攻击和破坏,信息的泄露和受损直接威胁到企业和用户的切身利益,因此信息安全是树立和维护客户对电子交易信心的关键。(1)银行在物理上保证电子支付业务处理系统的设计和运行能
13、够避免电子支付交易数据在传送、处理、存储、使用和修改过程中被泄露和篡改。,(2)银行应采取有效的内部控制措施为交易数据保密。(3)在法律法规许可和客户授权的范围内妥善保管和使用各种信息和交易资料。(4)必须按照会计档案要求保管电子支付交易数据。(5)提倡由合法的第三方认证机构提供认证服务,以保证认证的公正性。(6)及时在境内完成境内发生的人民币电子支付交易信息处理及资金清算。,网上银行安全保障,安全网上银行,公网部分,内网部分,安全风险分析,网络窃听:在传输中获取银行卡号和密码网络钓鱼:登录到虚假的银行网站,在服务器端丢失木马窃取:在终端丢失机密信息,终端保护技术,防病毒:各种木马,蠕虫等可能
14、窃取你的银行帐号等秘密信息。口令保护:需要复杂的口令。动态软键盘采用动态软键盘技术初看确实能使攻击者无法截获密码,但是截取密码不仅仅只有接截获键盘记录一种方法,黑客们还可以通过IE的COM获取密码。对于中国建设银行和中国银行,通过IE的COM接口获取的密码框里的内容就是密码,其他大部分采用软键盘技术的网站大都也是这样。中国农业银行曾经也使用过这种安全方式,不过现在已经升级为Active X安全控件。,终端保护技术,Active X安全控件 防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登陆界面。数字证书和USB key 银行依用
15、户的有效证件,如银行卡号、身份证号码等为依据,生成一个数字证书文件,配合用户自定义的用户名和密码使用以提高安全性。USB Key证书就是一种USB接口形式的硬件设备,内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。,线路保护技术,使用SSL传输层安全协议保障用户到银行的通信安全。,服务器端认证,确保登录的网站是真正的网站,非假冒。URL地址输入正确:,与中国工商银行网站,也只是1和I一字之差SSL连接时检查证书是否属实,要一致,双击打开证书,在支付的时候,需要通过口令卡,或者USBkey认证才能进行支付,保
16、障支付安全。定期查询详细交易 做好自己的交易日志,保证对自己的每一项有记录的交易印象深刻,银行业网络安全建议,第一招:客户应核对网址。客户在登录网上银行时,最好要留意核对自己所登录的网址与自己和银行签订的协议书中的法定网址是否一致。第二招:客户应妥善保管好自己的密码。客户切不要把自己的出生日期、家庭电话号码以及自己的身份证号码等作为密码,建议选择有代表性的数字和字母混合的方式设定密码,以提高密码破解的难度。第三招:客户应做好交易的记录。客户应对自己在网上银行办理的每一笔转账和支付交易等业务做好详细的记录,并定期查看自己的“历史交易明细”和定期打印自己的网上交易业务对账单。第四招:客户应管好数字
17、证书。客户应避免在公用的计算机上使用网络银行交易,以防止自己的数字证书等相关机密资料落入不法分子的手中,从而让自己的网上身份识别系统遭到不法分子的蓄意破坏,使自己的网上账户被他人盗用。,银行业网络安全建议,第五招:客户应对异常的动态提高警惕。假如客户不小心把自己的银行卡卡号和密码输入了陌生的网址上,并出现了类似于“系统维护”等提示语,客户应立即拨打银行的客服热线进行确认,一旦发现自己的资料已经被盗,必须马上修改自己的相关密码并去银行进行银行卡挂失。第六招:客户应安装防病毒软件。银行客户应为自己使用的电脑安装防火墙和防病毒软件,并经常为自己的电脑升级。第七招:客户应堵住软件漏洞。为了能够更好地防止不法分子利用软件中的漏洞进入自己的计算机窃取资料,在使用网络银行、网络游戏时必须开启杀毒软件的实时监控,并启用个人防火墙,且杀毒软件必须经常升级,下载补丁程序。第八招:每次使用网上银行个人服务后,请选择“退出登录”选项退出,以防数字证书等机密资料落入他人之手。,考试说明,时间2009.6.16 15:30-17:10地点 7218 共 6道题类型简答题,分析题,论述题,名词解释考试内容包括病毒知识,漏洞分析,安全扫描,系统安全设置身份认证,网上银行密码学,