《银行网上银行安全性分析》由会员分享,可在线阅读,更多相关《银行网上银行安全性分析(8页珍藏版)》请在金锄头文库上搜索。
1、银行网上银行安全性分析摘要:网上银行代表着一种全新的业务模式和发展方向,它给银行带来的表面变化是减少了固网点和经营成本,为用户提供 24 小时全天候的不间断服务。更深刻的变化是在于,银行由经营金融产品的中介机构开始向提供信息和投资理财的服务性机构转换。这是金融业经营理念上的重大变化,更是网络经济时代金融业发展的大趋势。然而,随着网络技术的发展,网上银行业务也带来了各种各样的风险。对网上银行进行安全性的分析,有利于更好的开展网上银行业务。银行是最先成为国内实现全国连通“网上银行”的商业银行。目前,无论是网络银行技术,还是业务量均在国内同业中处于领先地位。被许多著名电子商务网站列为首选的网上支付工
2、具。关键词:银行、系统安全、网上支付、系统风险 1目录1. 网上银行概述21.1 网上银行的产生和发展的原因 21.2 网上银行的发展状况 22. 银行网上银行的系统功能和特点22.1 系统功能22.2 系统特点23. 银行网上银行的安全机制33.1 银行网上银行业务中的相关风险 33.1.1 操作风险 33.1.2 战略风险 33.1.3 信誉风险 33.1.4 法律风险 33.2 网上“企业银行”的安全机制33.2.1 传输安全33.2.2 病毒防范33.2.3 严格的授权管理 33.2.4 变码印鉴的使用 43.3 个人银行服务的安全机制 43.3.1 技术手段 43.3.2 业务安全监
3、控办法 43.4银行网上银行支付体系的安全保障措施 54银行网上银行的特点、问题和发展对策 54.1银行网上银行的特点和问题 54.2银行发展的应对策略 6主要参考文献 7致谢词 8 21、 网上银行概述1.1 网上银行产生和发展的原因1.1.1 信息技术革命是网上银行产生和发展的根本原因信息技术革命对人类社会的发展产生了及其深远的影响。因特网的出现给人类生活带来了质的飞跃,也给金融业带来了一次前所未有的革命。构建在因特网上的网上银行给商业银行提供了创造银行知识优势的平台。在这个平台上,商业银行形成了全行业乃至整个金融服务业有别于其他行业或产业的无边界发展空间。它突破了网点约束对银行业务扩张的
4、限制,使金融服务从有形的物理世界延伸到无形的数字世界。1.1.2 网上银行是电子商务发展的要求电子商务作为信息流、资金流和物流的统一,它的运行从根本上离不开银行网上支付的支撑。因此,发展电子商务客观上要求银行业必须同步实现电子商务化,以保证资金流正确、安全地在网上流通,进而保证电子商务目的的最终实现。而银行业适应电子商务发展的基本途径就是大力发展网上银行。1.1.3 网上银行是银行业自身发展的要求激烈的同业竞争是网上银行发展的必然选择。为了在竞争中谋求生存发展,任何一家不甘落后的银行都有足够的内在动力来发展网上银行。利用因特网开展新的银行业务成了各家银行竞争的新领域。1.2 网上银行的发展状况
5、我国自 1997 年以来,银行、中国银行、建设银行、工商银行陆续推出网上银行,开通了网上支付、网上自助转账和网上缴费等业务,初步实现真正的在线金融服务。2 银行网上银行的系统功能和特点2.1 系统功能2.1.1 用户管理功能:包括增加用户、修改用户密码、日志查询。2.1.2 一卡通管理功能:包括安装一卡通、删除一卡通。2.1.3 数字证书管理功能:包括证书申请、下载、更新、查询、备份、恢复。2.1.4 业务功能:账户、帐务查询业务,转账和汇款业务,挂失、修改密码,自助贷款,网上支付,外汇买卖等功能。2.2 系统特点2.2.1 完善的安全机制 在交易认证上采用完整的证书机制,符合国际标准; 在网
6、络通讯上采用了银行自主开发的封闭通讯协议,避免被他人截获分析; 在加密算法上达到了国际先进系统的强度,防止被他人破译; 在业务控制上采用了多项措施,确保他人不能从业务环节进行渗透。2.2.2 增强的服务功能 3在完善的安全机制之下,系统增加了如个人汇款、转账等对安全要求较高的新功能,使得对个人的理财服务更加完善。2.2.3 可自行设定支付限额用户可以自主设定甚至取消支付限额,一方面使得用户对安全的控制更加个性化,另一方面方便了用户进行大额网上支付。2.2.4 自动软件升级用户软件可随着整个系统的发展而自动升级,使得用户可以随时获得招行的最新服务。3 银行网上银行的安全机制3.1 银行网上银行业
7、务中的相关风险3.1.1 操作风险 安全性风险:比如不完善的访问控制使得黑客可以通过互联网成功地攻击银行的系统,从而可以访问、获取和使用机密的信息。 系统设计、实施和维护方面的风险:比如设计、实施的联完善,对外部服务提供商的依赖。 客户误操作风险:如果银行没能就安全预防问题向客户进行足够的宣传教育,这种风险就会增加。 银行内部组织与管理风险网上银行业务改变了银行传统的业务模式,银行必须对内部组织和管理方式进行变革,这给银行造成了很大的操作风险。3.1.2 战略风险如果银行业务的决策和实施与该银行的总体业务目标不一致,这将给银行造成战略风险。31.3 信誉风险比如公众对网上银行运行情况产生负面的
8、印象而损坏了银行与客户之间的关系,网上银行系统的安全性出现问题而损害了客户对银行的信心,客户在网上银行服务中碰到了问题而银行没能给出恰当的问题解决程序,第三方欺诈,等等。3.1.4 法律风险目前,网上银行业务还不完善,电子商务的法律环境还未建立,银行必须将面临各种形式的法律风险。另外,如过银行使用了自建的认证机构,认证机构本身也承担着相应的法律风险。3.2 网上“企业银行”的安全机制3.2.1 传输安全在“企业银行”的客户端和银行服务器之间传输的所有数据都经过了两层加密。第一层加密采用标准 SSL 协议,该协议能够有效地防破译、防篡改、防重发,是一种经过长期发展并被实践证明安全可靠的加密协议。
9、第二层加密采用私有的加密协议,该协议不公开、不采用公开算法并且有非常高的加密强度。两层加密确保了企业银行的传输安全。3.2.2 病毒防范在可靠的数据传输安全机制的保障下,企业银行客户端和银行服务器之间传输的是有特定格式的数据而不是程序。企业银行服务器严格检查接受到的数据 4的格式是否合法,校验码是否正确。这些措施确保了任何病毒都不可能侵入企业银行系统。3.2.3 严格的授权管理对于支付和发工资这类涉及资金交易的敏感业务,企业银行系统控制企业必须按照业务管理要求经过相应的经办和授权步骤系统才会接收。3.2.4 变码印鉴的使用使用变码印鉴对每一笔交易签上一串数(变码)加押,确保了企业银行的交易安全
10、。3.3 个人银行服务的安全机制网上个人银行服务包括个人理财、网上支付和网上证券服务等内容,银行采取了先进的技术手段和严格的业务管理措施来保证业务安全。3.3.1 技术手段 网站认证银行的网站里安装了美国 Verisign 公司发放的安全证书。有效地防止了网站被假冒。客户只要正确输入银行网址,链接的必定是银行网站。 传输安全性网上个人银行交易采用了国际通行的 SSL 协议加强信息传输的安全。在传输数据时使用加密的因特网安全传输协议 HTTPS,在一个会话过程开始时,HTTPS 先在客户端和银行端的 WEB SERVER 之间用 102bit 的 RSA 算法交换一次加密密钥,以后 HTTPS
11、就使用该加密密钥用 40bit 的 RC4 算法对所有往来于客户端和银行端的数据进行加密,具有很高的安全性。 客户身份认证客户进行网上银行操作需要输入账户和密码来确认身份。网上帐务查询需输入查询密码,转账交易要输入交易密码。进行网上消费付款需输入“网上支付”密码,通过电话银行向网上专户转账需输入转账密码。如果客户连续输错 5 次密码,其账户将会被银行冻结。 网上交易资金在银行主机系统内封闭流动网上个人银行交易的转账、支付资金都是在银行主机系统内封闭流通。网上转账只能转向客户指定的招行账户,网上支付资金只能划入商户指定的结算账户,不会流向非法账户。由于银行主机系统的封闭性,任何人不可能通过网络侵
12、入银行系统盗用资金。 网上支付的信息保护客户使用“网上支付卡”付款时,浏览器自动把客户的付款指令用一个 HTTPS命令从商户的网站引导到银行的网站,银行的网站处理完付款指令后把处理结果回送客户。这种机制保证了客户付款时输入的支付卡卡号和支付密码只能由银行得到,商户不可能获取持卡人支付信息。从而保证了支付过程的安全性。3.3.2 业务安全监控办法 功能申请对部分有一定风险的网上交易,如网上自助转账、网上支付等,要求客户进行功能申请,申请时银行要验证客户身份。 设定交易限额 5网上转账的限额由客户在功能申请时自行设定,网上消费单笔限额控制在 1 万元,将客户的资金风险控制在限额以内。 “网上支付”
13、账号与银行主账号分离在“一卡通”主账号下设“网上支付”专户,通过电话银行向专户转账。客户交易时使用网上支付账号, “一卡通”主账号不在支付活动中出现。资金风险仅限于网上支付专户,不影响主账号资金安全。 严格的网上商户管理银行制定了详细的网上支付管理制度,发展网上商户时必须进行严格的考察评审。只有信誉良好、具备开展网上业务技术并提供优质的商家才有可能成为网上特约商户,同时对网上商户服务质量进行监控管理。 网上交易的可追溯性在持卡的订购商品时要求输入用户信息,包括身份证号码、联系电话、地址等内容,送货时签收核实。一旦发现异常交易,可以根据线索追溯到责任人。3.4、招行网上银行支付体系的安全保障方法
14、 3.4.1.保护好自己账号密码 银行卡账号和密码是绝对私人所有,不要轻易告诉别人。不要在网上随便透露个人资料(如身份证号码、地址、银行账号、信用卡号码、用户名称及密码),除非确认使用的是可靠及信誉良好的网站。在提供个人资料给网站前,先查阅网站的保密条款及安全防护措施声明。定期更改上网密码,并查看交易,核对银行对账单。还有,银行不会通过第三方来转告用户一些事情,当接到陌生的电话或者短信、邮件的时候还需要小心核对。 3.4.2.使用单独的银行密码 将平时在其他网站使用的各类密码与银行密码区分开,不采用同一密码,避免因在其他网站泄漏密码导致您的银行密码同时失窃;使用不同的银行查询密码、取款密码和网上支付密码;不同的多重密码能更有效地保障账户资金的安全;不要在银行网上银行系统以外的其他地方输入卡号和密码;要不定期的修改密码。 3.4.3.谨防钓鱼网站 其实真正由于银行安全漏洞钱财失窃的事情是少数,更多的人是因为上了钓鱼网站的当
