网络金融安全

单击此处添加标题 TEXT 网络金融安全与个人 一 网络金融安全概述二 网络金融安全技术三 网络金融重要安全事件 Security 一 网络金融安全概述 网络金融安全包括网络安全 数据安全 应用系统安全 通俗来讲 是指网络系统的硬件 软件及其系统中的数据受到保护 不受偶然的或者恶意的原因而遭到破坏 更改和泄漏 1 网络金融用户分类 1 个人用户 2 企业用户 2 网络金融主要活动 1 网络银行包括账户查询 电子支付 代收代缴 理财等等 2 网络证券包括股票交易 债券交易 3 网络保险咨询 评估 购买 理赔 3 网络金融用户面临的问题 资金安全性 信息保密性 协议有效性 4 网络金融活动中的密码安全措施 1 软键盘技术主在是防止计算机中可能存在的木马程序恶意记录键盘输入的密码 2 动态口令可以有效保护交易和登录的认证安全 采用动态口令无需定期密码 对企事业内部应用尤其有用 动态令牌即是用来生成动态口令终端 3 USBkey对于银行来讲叫U盾 对于其他行业讲叫加密狗 将客户端登录时所需的认证信息均可写入到usbkey内 从而让key取代传统的 用户名 密码 的登录方式 二 网络金融安全技术 网络金融安全安全技术包括防火墙技术 入侵检测技术IDS 网络加密安全协议SSL和SET等 这些技术随着网络的发展也在不断进步 单击此处添加标题 TEXT 防火墙和入侵检测系统IDS 1 防火墙 1 定义 2 特性 3 设计原则 4 作用 5 组成 内联网 Email处理域名服务网关代理认证SOCKS过滤器 因特网 安全操作系统 6 分类 数据包过滤应用级网关代理服务 2 入侵检测系统IDS 1 定义 2 分类 基于主机模型基于网络模型基于标识基于异常情况实时入侵检测事后入侵检测 缺点 IDS对数据的检测对IDS自身攻击的防护 单击此处添加标题 TEXT 网络安全加密协议SSL和SET 1 SSL协议 全称是SecuritySocketLayer 为Netscape所研发 用以保障在Internet上数据传输的安全 利用数据加密 Encryption 技术 可确保数据在网络上之传输过程中不会被截取及窃听 1 SSL协议提供的主要服务 认证用户和服务器 确保数据发送到正确的客户机和服务器 加密数据以防止数据中途被窃取 维护数据的完整性 确保数据在传输过程中不被改变 2 基于SSL的电子交易过程 持卡人 特约商店 收单银行 选购商品生成订单 认证商家建立连接 发送订单支付信息 通知交易成功 请求响应支付 2 SET协议 SecureElectronicTransaction 被称之为安全电子交易协议 是由MasterCard和Visa联合Netscape Microsoft等公司 于1997年6月1日推出的一种新的电子支付模型 主要是为了解决用户 商家 银行之间通过信用卡的交易而设计的 目前成为目前公认的信用卡网上交易的国际标准 基于SET的电子交易过程 持卡人 特约商户 收单银行 订单确认 确认签发付款指令 订单支付确认 提供货物或服务 输入订单 请求支付许可 返回确认信息 请求支付 支付完成 3 SET与SSL协议交易过程对比 三 网络金融重要安全事件 随着我国网络经济的迅速发展 一些安全事件频频发生 折射出我国网络金融发展过程中所面对的巨大挑战 超级网银授权漏洞 2013年6月 超级网银 授权漏洞风波爆发 安徽的陈女士在网购时被骗子诱导进行了 超级网银 授权支付操作 短短24秒内10万元被骗 陈女士 店家 厂家 200元衣服 QQ号 代付链接 订货 支付货款 QQ客服 链接 签约授权 陈女士并未泄露密码 骗子如何得逞 那么 问题来了 骗子登陆本人网银账户 选择 签约他行账户 陈女士户名 账号 开户行信息 跳转到陈女士开户行的网银界面 陈女士 链接 证件号码 登陆密码 附加码 插入U盾 确认支付协议完成交易 取得账户操作权包括转账 超级网银 的授权操作存在的安全风险 第一 超级网银 授权不会对双方身份和关系进行验证 第二 授权操作的过程比较简单 只需将授权页面的链接复制下来 通过聊天软件发送给他人 签约 就可以在不同电脑上实现授权 第三 部分银行没有在授权界面中提醒用户设置额度 获得授权的账户可以无限制转账 第四 个别银行解除授权的操作比授权更