安全协议报告.doc

当前网络银行安全问题，网上银行未来发展趋势以及新技术的预测分析1、 当前网上银行的安全问题目前，安全问题已成为我国网上银行业务继续普及和深入发展的最大瓶颈。人们在感受网上银行带来的便利与快捷的同时，经常听到一些使用者“很不幸”地在网上“丢了钱”的事情。例如2008年曝出的上海建设银行卡用户由于进行网络银行业务导致账号被盗，16万元现金被转账的案件再次给网络银行的安全问题敲响了警钟。到如今，尽管案件已经告破，但是在此案件中，网银用户在采用了数字证书签名后账号依旧被盗的事实，不得不让人对网银安全性再次产生怀疑。 到目前为止，国内几乎所有的商业银行都推出自己的网上银行。据公开数据显示，目前中国有近1.6亿网民，而网上银行个人用户数量已超过了4000万个！在网络银行业务日渐发展的同时，其安全性问题已经成为制约网银发展的主要因素。中国金融认证中心发布的2006中国网上银行调查报告显示，2006年，网上银行使用人数同比增长了1.7倍，但是仍旧有61的非网银用户由于怀疑网银安全性而不打算使用或不敢使用网上银行。“网民不使用网上支付的最主要原因是担心交易的安全性和可靠性，一是对网上支付的安全性表示怀疑，主要体现在担心泄露个人私密和错误操作导致对自己造成不必要的损失；二是担心个人账号等信息为人利用盗取，从而造成严重损失等。”（1） 窃案频发，安全成为网银发展的掣肘 事例1： 安徽的曹先生一直喜欢网上购物。今年7月，曹先生在淘宝网购买了一台Sony游戏主机，卖家发给曹先生一个网址，请曹先生注册发货订单号码，待曹先生注册完毕，又要求曹先生点击订单激活网页，并在这个网页上输入网络银行卡号和密码。 “这笔交易是早上8点的时候进行的，下午5点我查了自己的网络银行账户，就发现账号里少了3000多元。”曹先生说。曹先生后来又查了自己的网络银行提款历史记录，发现很多次账号被转账的记录，让曹先生百思不得其解的是，账号历史交易记录中都显示没有转账成功，可是钱确实没了。事例2：浙江的洪先生手机短信显示，其借记卡内少了102500元，遂向警方报案。经调查，有人以洪先生的名义持假身份证到中国农业银行温州市分行开通了网银业务，获取了网银客户证书及密码。其后，此人通过网上银行成功将洪先生借记卡内的10万余元资金分两笔转划到他人账户，后支取了该款。 事例3： 北京的李女士发现，在一周时间里，她和她丈夫的两个银行账 户接连被人用网上转账、网上购物等手段偷走了2.5万余元，最 令李女士疑惑和气愤的是其中一个账户从未开通过网上银行业 务，而另一个账户按照银行要求使用了数字认证证书却依然被盗。 事例4：上海的蔡先生是建设银行卡用户，由于进行网上银行业务导致账号被盗，16万元现金竟被人通过网上银行分11次转出;不久前，上海警方经缜密侦查，在云南警方的大力协助下，一举侦破“3?10”特大网银盗窃案，犯罪嫌疑人白某和葛某在云南昆明落入法网。（2） 手法多样网络“黑手”层出不穷 据了解，现在许多网络诈骗分子在一些合法正规的电子商务网站上租赁一个网页，在上面发布虚假信息，进行诈骗。而出租网页的公司却只负责收取租金，并没有去审查登载的内容是否属实，这就给不法分子留下诈骗的可乘之机。 买家被骗，经常进行网上银行转账交易的卖家更是不敢掉以轻心。一网友介绍，现在出现了针对卖家的网络银行账户骗子，同样通过假链接作案。“他们先是说要买你的物品，要求你提供银行账户，发到他们的邮箱，然后过两天你会收到一封邮件，说款已汇给你(而且上面标明是通过银行留言系统给你留言的)，页面上面有自助银行的假链接，一般如果不注意的话就会直接登录查看银行账户，如果那样的话就上当了。”这名网友表示，自己从来都不会在网银账户上存过多的钱。“目前的网络银行欺诈、盗窃手段可以用层出不穷来形容，而且往往是几种手段交错在一起使用，令网络银行用户防不胜防。”一位负责网络银行安全的业内人士指出，目前对网络银行的攻击主要有钓鱼网站、嵌入浏览器执行、键盘记录、甚至窃取数字证书文件等途径。1. 钓鱼网站的攻击 主要针对电子支付交易中运用比较广泛的一种方式。不法分子首先建立一个酷似网银官方网站的网页，然后给假网页申请一个酷似官方网址的域名，等待用户由于拼写错误进入欺诈网页，或者通过精心制作的电子邮件，以银行或者零售商官方通知的形式声称收件人的账户需要更新或者正在促销新产品诱导用户打开链接。一旦用户上当受骗，他们的账号、密码等隐私数据都会立即被发送到不法分子手中。关于钓鱼网站的攻击可以采取下面的方法进行预防：1) 对要求重新输入账号信息，否则将停掉信用卡账号之类的邮件不予理睬。2) 更重要的是，不要回复或者点击邮件的链接如果你想核实电子邮件的信息，使用电话，而非鼠标；若想访问某个公司的网站，使用浏览器直接访问，而非点击邮件中的链接。3) 留意网址多数合法网站的网址相对较短，通常以.com或者.gov结尾，仿冒网站的地址通常较长，只是在其中包括合法的企业名字（甚至根本不包含）。4) 避免开启来路不明的电子邮件及文件，安装杀毒软件并及时升级病毒知识库和操作系统补丁，将敏感信息输入隐私保护，打开个人防火墙。5) 使用网络银行时，选择使用网络凭证及约定账户方式进行转账交易，不要在网吧、公用计算机上和不明的地下网站做在线交易或转账。6) 大部分的“网络钓鱼”信件是使用英文，除非你在国外申请该服务，不然应该都收到中文信件。7) 将可疑软件转发给网络安全机构。2. “网银大盗”木马 是一种典型的嵌入浏览器执行的窃取网银账号途径。“网银大盗”在监测到用户正在访问某个使用了安全登录控件的地址时，就会让浏览器正常跳转到另一个与登录页面没什么两样的新页面，但是跳转的页面并没有任何安全登录控件的保护。而对于那些只对交易对话进行验证，而没有对交易过程进行验证的系统，嵌入浏览器的恶意代码甚至能够完全控制一次交易。此外，2004年11月的“网银大盗”木马则是键盘记录案例的代表。键盘记录通过木马监视用户正在访问的窗口，如果用户访问到网银系统登录页面，木马就开始记录用户从键盘上输入的内容，获取网银账号和密码。下面是关于某种网银大盗的描述（引自360安全中心）： 据分析，“网银大盗”一般会首先盗用或注册一家网店，以极低的商品价格吸引买家访问，再把木马伪装为“商品优惠码”、“实物拍摄图”等名称的压缩文件，通过聊天软件发给前来咨询的买家。买家在促销活动中容易放松警惕，如果点击运行了“网银大盗”，购物支付页面就会被木马篡改。与之前的网购木马不同，“网银大盗”不仅劫持支付资金流向，还会数百倍放大支付金额，使中招网民蒙受更惨重的经济损失。针对新型“网银大盗”，360网购保镖已更新升级，是目前国内唯一可拦截该木马变种的安全软件。专家同时建议，不要轻易打开陌生人发来的文件，也可有效降低被网购木马攻击的风险。新型“网银大盗”木马分析一、黑客盗用或注册一家网店，以极低的商品价格吸引买家访问，编造借口把伪装商品资料的木马压缩包发给买家；二、木马压缩包中包含三个文件，这些文件单独使用都无法作为木马，但是当它们组装在一起，连环加载运行后就成了极具危害的“网银大盗”。具体流程如下图所示：三、新型“网银大盗”采用多重免杀和劫持技术，传统杀软难以有效拦截。（1）利用某知名播放器的合法程序捆绑恶意dll文件，由于该播放器没有验证自己加载dll文件的真实性，从而成为木马加载器和保护伞，使其能在一些传统杀毒软件的监控下蒙混过关；（2）上述dll文件并不包含网购劫持恶意代码，这部分恶意代码被加密封装在另一个dat数据文件中。当dll文件被播放器程序加载运行后，再解密组装dat文件中的恶意代码，从而成为某些基于文件分片哈希“微特征”技术的天然克星。（3）新型“网银大盗”为了突破常规的网购防护模式，采用了更复杂的网页篡改技术，通过修改订单数据、网页显示数据、订单结算数据等，将网页支付订单的收款人改为木马作者，并把付款金额改为木马作者定制的数目。因此，尽管有传统杀毒厂商宣称已可查杀网购木马，但实际上只是对已知入库木马的检测，并非彻底防御所有采用类似技术的网购木马。只要“网银大盗”稍加变形，仍有可能轻易突破上述杀毒软件。 3. 数字证书攻击 据CFCA的最新监控发现，网银大盗对网银的攻击手段、技术有加快更新的趋势，已经从攻击密码转向攻击数字证书。网银用户假如只将数字证书下载后存放在电脑的IE浏览器上，那么其网银账户仍存在风险数字证书可能因电脑染上木马病毒而被盗取。CFCA监测发现，目前网上银行交易面临的不安全隐患主要有两种：一种是在未申请数字证书的条件下，网银用户密码被盗取，导致资金被盗；另一种是，固然申请了数字证书，但由于没有妥善保管，被网银大盗用木马病毒攻破载有数字证书的电脑，进而造成资金被盗。 有些系统允许网银用户把数字证书保存为硬盘文件，但是，“网银木马是具有复制数字证书的能力的，只要数字证书代码是在电脑内存中运行，黑客就完全可以伪造用户进行登录。”一位业内人士指出。2、 针对安全问题可采取的措施 针对网络安全问题引发的网上盗窃、诈骗等犯罪行为我们建议采取以下措施，以在一定程度上防范风险，增加安全度。（）网上银行的密码设置设置密码的时候尽可能使用字母（最好大小写都有）和数字组合，不要使用过于简单的密码。设置密码的时候尽量不要用与自己个人信息有关的数字，如生日、电话号码、手机号码、身份证号等，因为这样密码很容易泄漏或被破解。不要使用自动完成功能，让电脑记忆密码。尤其是公共场所如网吧、单位。如果有软键盘要尽量用软键盘登陆，这样不容易被记录密码。密码要定期修改，最长不要超过一个月，修改密码的时候不要两组固定的密码轮换着用。（）注意所在银行网上银行网址。最好自己记忆常用的网上银行的地址，而不要用搜索。有的犯罪分子就是利用客户对银行网址记忆不清，造个假的网站骗取用户名和密码，然后作案。（）避免病毒侵袭。尽量在专用电脑上使用网上银行，不去网吧等公共场所上网处理单位银行账务，那样容易泄密和感染病毒。（）增强网上银行安全措施。有的银行为不同客户专门开发了相关的安全措施，比如有的银行使用口令卡、盾或者其他安全软件系统来加强网上交易的安全。3、 网上银行未来发展趋势（1） 电子银行行业的发展 趋势一 产品功能越来越齐全以“客户终端”形式出现的企业网银，现在已经逐渐涉及各种银行业务。从提供查询、支付、代发工资到结算、理财甚至是提供资产业务。企业网银的发展，像高速射出的箭，有起点没有终点。目前招商银行不仅推出网上开设国内国际信用证、网上外币汇款、票据业务，还提供“自助贷款”这样的资产业务。趋势二 集团性越来越强随着全球经济一体化步伐的加快，市场竞争愈演愈烈，国内许多集团企业和超大型集团公司提出了加强集团财务统一集中。为此，工商银行、招商银行、浦东发展银行等都先后推出针对大型客户的网银业务。这种业务满足了客户在时间和空间上的集约化现金管理需要，帮助企业在全国范围内迅速回笼各地分支机构资金，从而可以大大提高企业资金使用效率、节约财务成本，达到监控各分公司资金运作情况及整个集团资金统一调度管理的目的。趋势三“银企直连”层次更高这一业务可以说是“集团性”更高层次的要求。企业网上银行作为一个标准化的产品，能够满足大部分企业的业务需要。客户只需要通过浏览器(微软的IE浏览器)，就可以获得账户管理、付款服务等网银业务。然而，随着我国企业信息化程度的不断提高，一些大型企业均开始采用计算机财务软件系统或ERP系统。在支付量比较大的情况下，企业集团要频繁地在互联网和财务软件两个界面上切换，非常不方便。为了实现企业财务软件系统或ERP系统与网上银行系统的无缝连接，像工商银行、招商银行以及浦东发展银行等都推出了银企互连服务。这一服务可以把企业网上银行系统和企业财务系统或ERP系统相连。企业直接通过财务系统或ERP系统的界面就可以享受账户查询、信息下载、转账支付、收款、资金集中管理等服务，并可根据客户的需要自行在其财务系统中定制更多的个性化功能。（2） 可能应用的新技术（1）防火墙技术。防火墙技术已成为网上银行安全技术中的关键技术之一。人们采用防火墙（Firewall）技术来保护内部系统不受来自外界的安全威胁，诸如黑客入侵、窃取、拷贝、更改内部数据等。防火墙可限定来自源IP和去往目标IP的数据包是否可以通过，限定源和目的主机的端口号，限定特定的服务是否可以访问，如限定FTP（File Transfer Protocol，文件传输协议）、HTTP（Hypertext Markup Language，超文本传输协议）、Telnet（远程登录），也可以根据一定的安全策略制订数据包过滤的规则，将这些设置保存在ACL（Access Control Lists，访问控制表）中并应用。防火墙一般安装在网关或关键位置处。 代理服务机制在防火墙中用一个Internet 中公用的IP地址代替内部与外部的IP地址，当内部向外部请求时，隐藏了内部的IP与网络结构。外部要获得内部的服务，必须通过防火墙的审查才能通过，并负责把请求转换给相应的内部主机。 防火墙产品还提供了数据加密和解密功能、审查跟踪功能、Web页面高速缓存功能、带宽管理功能、虚拟专网功能等扩展性的功能，丰富了防火墙的功效，增强了适用面和生命力。防火墙分为单一防火墙与多机防火墙系统两种。单一防火墙有硬件防火墙与软件防火墙两种，硬件防火墙把大都数的功能固化有芯片中，速度较快；软件防火墙是安装在网络主机或路由器上的软件，有的路由器已自带了防火墙。 多机系统的防火墙配置方案有很多，网上银行的防火墙系统大都是一个屏蔽子网，其配置如下图1所示。典型的做法是，外部防火墙和内部防火墙是两个包过滤路由器，分别来自过滤外部网络的数据包和内部网络的数据包。Web服务器上安装网上银行的Web应用服务系统。堡垒主机是一个特殊的服务器，用来抵御攻击，安装有安全的网络操作系统和服务必要的服务程序，如代理应用程序、身份验证程序等。屏蔽子网也称为“非军事区”、“停火区”，在这个子网里受到的安全不会影响到外部网络和内部网络，是一种比较安全的方案，被有较高安全性要求的应用场合（如网上银行）所大量采用。（2）PKI与CA技术。 PKI（Public Key Infrastructure，公钥基础结构）提供了公钥加密和数字签名服务，其中包括了CA（Certificate Authority，认证机构），RA（Registration Authority，注册机构），通过SSL（Secure Socket Layer，安全套接字层）实现数据加密、身份验证和数字签名。从而保证网上银行中的验证、加密、完整性和不可否认性。在PKI系统中，CA服务器负责发放和管理符合国际标准的X.509v3数字证书，为了保证其认证的公正性、权威性、可依赖性，CA必须为可信赖的第三方组织所拥有；RA服务器负责实现证书与申请人身份、属性之间的绑定；SSL是符合安全协议的Internet标准，在一些常用的客户浏览器中已经集成，如Microsoft IE。利用PKI与CA技术可以建立一个可信任和足够安全的网络，是建设网上银行的安全基石。 我国已建立 “金融CA”，包括“根CA”和“品牌CA”。根CA由中国人民银行负责建设，在全国具有唯一性，“品牌CA”由中国人民银行组织其它金融机构共同建设。2000年6月，中国人民银行联合各商业银行建设了CFCA（China Finance Certificate Authority，中国金融认证中心）和支付网关。CFCA采用的是PKI技术，建成了SET CA和Non-SET CA两种体系，SET CA用于B To C的身份认证，Non-SET CA可用于B To C和B To B两种模式的身份认证。 SET PKI证书用来支持银行卡支付的SET交易。在商业银行中只需配备RA，PKI体系中的CA部份由CFCA完成。交易中的各方可在网上或去商业银行的网点申请证书。证书分为持卡人证书、商户证书和支付网关证书，分别分发给交易中的不同角色。但持卡人客户端必须安装电子钱包软件，商户必须安装SET商户软件，支付网关安装SET支付网关软件，并登录CFCA网站把在商业银行RA处审批通过取得密码后还需将运行电子钱包而产生的公钥卡号及密码等提交给CA，它们之间的交互过程如图2所示。Non-SET PKI证书的申请过程与SET PKI证书基本相同，证书分为个人普通证书、个人高级证书、企业高级证书和服务器站点证书。个人普通证书安全级别较低，用于小额交易；高级证书用于大额交易，服务器站点证书用于提供B To C交易的电子商务网站。（3）防病毒技术。 计算机病毒是一段恶意的程序代码，它具有破坏性、传播性、隐匿性和针对性的特征，是网上银行的一个重大的安全隐患。病毒可通过储存介质、资源共享、Internet服务等途径感染。