《《网络银行安全现状》ppt课件》由会员分享,可在线阅读,更多相关《《网络银行安全现状》ppt课件(144页珍藏版)》请在金锄头文库上搜索。
1、构建现代安全网络银行,一、网络银行概念,网上银行,是指利用互联网/WWW技术,通过建立互联网站点和WEB主页,为客户提供有关银行业务与信息服务(如提供存贷、电子商务、帐户管理)等服务的各种金融服务的银行机构。,网上银行的定义:,网络银行中,用户通过个人电脑、掌上电脑、手机或者其它数字终端设备,采用拨号连接、专线连接、无限连接等方式,登录互联网,享受网上银行的服务。,网上银行,网上银行提供的金融业务大致分为三大类: 信息、查询和交易,目前,网上银行已经遍布180多个国家,容纳了360万个网络,接入了1亿多台电脑,有100多万信息源,5亿多用户。,网银操作流程,网上银行发展概况,1999年6月,I
2、BM公司的一项统计数字标明, 斯堪的那维亚地区网上银行业务的发展在 欧洲处于领先地位。德国1997年开始提供 网上银行业务是目前最大的网上零售国, 随后,日本、韩国、新加坡也迅速发展起来。,自1995年世界上第一家网上银行 美国安全第一网络银行诞生,短短十几年间, 网上银行便在世界范围内得到了迅速的发展。,我国网上银行的发展始于1997年,招商银行率先推出网上银行,接着中国工商银行、中国建设银行、交通银行、中国银行、中国农业银行等也纷纷开通网上支付业务。,网银国内外发展状况,起初在 美国,其他国家发展状况,我国发展状况,网上银行发展概况,二、网银安全现状,国外网络银行受到攻击的典型案例,花旗银
3、行网站遭遇黑客,20万信用卡用户信息被盗;,韩国农协银行遭遇攻击导致系统长时间瘫痪及大量交易数据丢失;,94年末,俄罗斯黑客弗拉基米尔利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。,国外网络银行受到攻击的典型案例,2000年2月6日前后,美国YAHOO等8家大型网站接连遭受黑客的攻击,直接经济损失约为12亿美元;,国际知名黑客-凯文米特尼克,凯文米特尼克是美国20世纪最 著名的黑客之一,他是“社会工 程学”的创始人。 1979年他和他的伙伴侵入了北美 空防指挥部1
4、983年的电影战争 游戏演绎了同样的故事,在片 中,以凯文为原型的少年黑客几 乎引发了第三次世界大战。,著名病毒-莫里斯蠕虫(Morris Worm),时间-1988年 肇事者-Robert T. Morris , 美国康奈尔 大学学生,其父是美国国家安全局安全专家。 机理-利用sendmail, finger 等服务的漏 洞,消耗CPU资源,拒绝服务。 影响Internet上大约6000台计算机感染, 占当时Internet 联网主机总数的10%,造成 9600万美元的损失。 CERT/CC的诞生DARPA成立CERT(Computer Emergency Response Team),以应
5、付类似 “蠕虫(Morris Worm)”事件,国内网络银行受到攻击的典型案例,2004年至2005年两年间,电脑高手刘某利用木马软件7次作案,破解网上银行,盗窃3万元.,2006年04月5月,北京地区使用工商银行网上银行的客户,陆续有人发现自己账户中的存款被人转移到陌生账号上,被盗金额从几百到一万不等. 黑客使用伪造的工商银行的假网站,用户登录假网站后,网站的病毒程序会将盗窃来的账号密码发到指定的邮箱.,国内网络银行受到攻击的典型案例,江苏21岁的大专生汪某,利用把淘宝网会员号借给网友购物之机,暗中记下网友的网络银行卡号,套走存款3177元;,甘肃王某趁公司演示网上银行业务,快速地记公司账号
6、及网上银行客户卡密码。并找机会将12万元资金划拨到了其事先开立的“楚鑫”账户上;,哈尔滨市某高校名大学生利用网上银行转账,盗取哈尔滨工商银行多个储蓄所万余元巨款;,国内网络银行受到攻击的典型案例,2004年10月,三名犯罪分子从网上搜寻某银行储蓄卡卡号,然后登陆该银行网上银行网站,尝试破解弱口令,并屡屡得手;,2005年7月,某市一17岁在校生刘某,利用互联网传播“网银大盗”木马程序,盗取了134个网民的银行账号和密码,并将他人银行账户上的钱款转到自己的账户中,先后共盗取他人存款5万余元;,国内网络银行受到攻击的典型案例,贵州11岁儿童在网上购买了专门用于套取工行银行网上银行个人账户和密码的假
7、冒网址,并冒充工行网上客户服务人员,以帮助李某某解决网上银行不能登录问题为由,骗取信任后让李某某在自己购买的中国工商银行假冒网站上填写银行账户相关信息进行网上银行卡的升级,从而盗取了李某某的工行个人网上银行账号及密码。,17,荆州人赵蓉的网上银行帐户上的资金被划走 : 2004年7月,黑龙江人付某使用了一种木马程序,挂在自己的网站上; 荆州人赵蓉下载付某的软件,木马就“进入”电脑 ; 屏幕上敲入的信息通过邮件发出:账户、密码; 付某成功划出1万元; 抓获付某时,他已获取7000多个全国各地储户的网上银行密码。,利用木马进行攻击,安全事件:,付某:,三、网银典型网络犯罪工具,网络银行受到攻击的典
8、型案例,网银大盗,灰鸽子,钓鱼网站,网银安全现状,不法分子在向木马作者缴纳一定注册费后(费用标准与所选择的功能挂钩),再填入收取所盗网银帐号密码的FTP服务器地址,便可以生成专为自己进行网银盗号的木马。它所生成的木马无论通过何种形式传播,盗取的网银帐号和密码都会自动发送到不法分子指定的服务器中,网银大盗,网银安全现状,网银大盗生成器,灰鸽子,灰鸽子-远程控制木马的控制界面,不法分子可以对中招机器进行的操作包括:文件管理、获取系统信息、剪贴板查看、进程管理、窗口管理、键盘记录、服务管理、共享管理,捕获屏幕,视频监控,音频监控可以说,用户在本地能看到的信息,使用灰鸽子远程监控也能看到。如果用户在电
9、脑上进行网上银行交易,则远程屏幕监控容易暴露用户的帐号,再加上键盘监控,用户的密码也岌岌可危。,网银安全现状,灰鸽子,网银安全现状,在观察一个伪造工行网银支付界面的钓鱼网页时,通过地址栏可以看到,它的URL(网页地址)与正当工行支付网页的URL(网页地址)完全不同,这也是当前常见的网银盗窃手段,即不法分子利用各类诱惑信息欺骗网银用户首先进行一个小额支付(通常为1元),发来的链接却是钓鱼网页,以此偷取受害用户的网银信息,钓鱼网站,网银安全现状,http:/ http:/ http:/ 1、存放在电脑中 2、存放在USB KEY中 二、动态口令(一次性口令)认证方式 1、口令卡 2、认证令牌 3、
10、手机动态密码 三、双渠道交易确认方式,网上银行认证方式,一、数字证书(私钥)认证方式(第三方:CFCA) 目前正在使用CFCA提供的证书的银行有: 中国工商银行 中国农业银行 中国建设银行 交通银行 中信银行 中国光大银行 华夏银行 中国民生银行 广东发展银行 深圳发展银行 上海浦东发展银行 兴业银行 其他银行(50家以上) 二、手机动态密码认证方式,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体 2、动态密码保护 3、双重密码保护 4、及时语短信提醒 5、交易限额设置,客户申请成为我行个人网银的数字证书用户后,我行即颁发唯一标志此用户的数字证书,供客户装载到
11、计算机里,或者装在形似小优盘的USBKey中随身携带。 当客户进行网上银行操作时,证书会帮助我行认证客户的身份,防止他人伪冒客户身份。 对交易信息进行加密,使他人无法破解客户和我行互相传递的信息。 对交易信息进行数字签名,使他人无法篡改交易信息。,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体 2、动态密码保护 3、双重密码保护 4、及时语短信提醒 5、交易限额设置,客户登录网银或进行汇款、支付等关键交易时,我行会向其预留的手机上发送短信,告知客户一个随机生成、一次有效的动态密码,这样一来,即使他人窃取了客户的卡号、密码等信息,甚至截取了以前的动态密码,也无法
12、冒名使用网银,盗用资金。 动态密码中包含用户所进行的交易中的收款账号、交易金额等敏感信息,供用户核对,防止黑客的“中间人攻击”。 动态密码的短信发送号码为95528。 动态密码如没有收到,相关页面上均有“重发动态密码”按钮,客户点击便可重获动态密码,可重获两次动态密码。,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体 2、动态密码保护 3、双重密码保护 4、及时语短信提醒 5、交易限额设置,用户使用查询密码登录网银,若使用初始密码登录,系统将强制用户修改查询密码,此后方可登录,查询密码与客户号相关联。 交易密码用于资金交易、预约交易、重要信息修改等,交易密码与
13、具体某张凭证相关联 查询密码连续输错3次,系统自动将该客户锁定一段时间 交易密码连续输错3次,需到柜面解锁,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体 2、动态密码保护 3、双重密码保护 4、及时语短信提醒 5、交易限额设置,资金变动 即时发送 投资信息 理财助理 接收设置 个性选择 开通方便 收费低廉 通知方式 多样选择,网上银行多重安全防范措施,1、CFCA数字证书认证/USB KEY 固态证书载体 2、动态密码保护 3、双重密码保护 4、及时语短信提醒 5、交易限额设置,客户可个性化设置单笔、单日累计的对外转账、支付限额 单日对外转账支付限额小于等于
14、单日累计对外转账支付限额 单笔、单日累计的对外转账支付限额不包含银证转账、基金买卖、外汇买卖、活转活、活转定等客户本人名下资产划转 动态密码用户的单日累计对外转账支付限额不超过20万元 数字证书用户的单日累计对外转账支付限额无上限,数字证书版,浏览器证书,USBKEY固态证书,数字证书: 浦发网上银行专业版采用由国内独立权威机构颁发的、符合国际标准(X.509)的数字证书。而且,我们的客户可以根据自己上网的条件,自由选择浏览器证书或移动证书。,动态密码: 每次交易时,浦发银行向您绑定的手机号码上发送一个6位字符的随机密码,用于当前交易使用,数字证书、动态密码怎么选?,什么是动态密码? 每次交易
15、时,浦发银行向您绑定的手机号码上发送一个6位字符的随机密码,用于当前交易使用。 什么是取款密码? 凡是需要变更银行账户资金的交易所需要使用的密码。如ATM取款密码,刷卡消费用的密码,一卡一密。 什么是查询密码? 只进行账户余额查询的密码,如登录网上银行的密码,登录电话银行的密码。本人名下所有的银行卡、存折都用同一个查询密码,初始密码6个8,1、打开网页,点击左上角“首次登陆”:,2、阅读责任条款,并点击“接受”:,3、选择“证件类型”,输入“证件号码”,点击“确定”:,4、点击“确定”:,5、输入“动态密码”(步骤四结束后,手机收到短信中显示),点击“确定”:,6、输入“交易密码”(交易密码:即取款密码),点击“确定”:,7、首次登陆完毕,显示一下画面,点击“动态密码用户登陆”:,请记录客户号,动态密码版网上银行登录演示,浦发银行网址:http:/ 浦发银行网上银行网址:http:/,五、网银安全漏洞分析,TCP/IP体系结构,TCP/IP体系结构,网络层的安全漏洞主要原因,IP协议设计中的错误和疏忽使得网络先天不足,为黑客攻击提供了条件。例如,IEEE802.11b 中出现的WEP漏洞。,TCP/I
