网络银行安全支付应用研究 以中国银行“网络钓鱼”事件为例

PAGEI编号：本科毕业论文题目：网络银行安全支付的应用研究—以中国银行“网络钓鱼”事件为例院系：姓名：学号：专业：年级：指导教师：职称完成日期：摘要随着网络技术的提高以及电子商务的发展，网上银行这一新生事物逐渐被人们所接受和喜爱，它是未来银行业发展的主流形式。最近十几年我国的网上银行也发生了巨大的变化，得到了突飞猛进的发展。但是在蓬勃发展现象的背后，存在着许多的问题，如:网上银行网站被假冒，网银服务器被攻击，用户资料被窃取，键盘登录使密码被盗，用户的网上银行数字证书文件被窃取等。网络银行的安全性和稳定性成为人们关注的问题。因此，研究合理有效的网络安全支付措施，构建和完善网络银行风险监管体系，建立和平的金融环境，增强社会公众对网络银行安全性的信心，促进银行业在新的技术条件下稳步发展，无疑具有重要意义。本文以中国银行“网络钓鱼”事件为例，对我国网上银行安全支付现状分析，得出当前主要的攻击手段。从案例中分析出，中国银行网银支付认证的不足，以及我国网络银行中普遍存在的安全支付问题。针对这些问题提出相应有效的对策。目的在于保障网上银行交易安全，使网上银行取得长期健康的发展。关键词：电子商务；网络银行；身份认证；网上支付安全AbstractAlongwiththenetworktechnologyandtheimprovementofthedevelopmentofelectroniccommerce,theInternetbankingisanewthingthathasbeenacceptedandadoredbypeople,itisthemainformofthefuturedevelopmentofbankingindustry.InrecentyearsChina'sInternetbankingalsoproducedtremendouschange,obtainedmakeaspurtofprogressinthedevelopmentof.Butintheboomingdevelopmentbehindthephenomenon,theexistenceofmanyproblems,suchas:onlinebankingwebsiteisfake,netserverbeingattacked,theuserdatatheft,keyboardentrythepasswordtheft,usersofonlinebankfigurecertificatefilesfrombeingstolen.Networkbanksecurityandstabilitytobecomethepeoplematterofconcern.Therefore,studythereasonableandeffectivenetworkpaymentsecuritymeasures,andimprovetheconstructionofInternetbankingrisksupervisionsystem,establishpeacefinancialenvironment,enhancethepublictothenetworkbanksecurityconfidence,promotethebankingindustryinthenewtechnologyundertheconditionsofsteadydevelopment,haveimportantsenseundoubtedly.AccordingtotheBankofChina"phishing"incidentasanexample,ontheInternetbankpaymentsecuritypresentsituationanalysis,concludesthemainmeansofattack.FromthecaseofChina,thebanknetsilverpaymentauthenticationdeficiency,aswellasthenetworkbankofourcountryexistsinsecurepayment.Aimedatthesequestionstoproposethecorrespondingeffectivecountermeasures.PurposeistoprotecttheInternetbankingtransactionsecurity,theonlinebanktoobtainlong-termhealthydevelopment.Keyword：Electroniccommerce;Internetbank;Identityauthentication;Thesecurityofonlinepayment目录TOC\o"1-2"\u一、绪论 1（一）研究背景及意义 1（二）国内外研究现状 1（三）研究的主要内容 2二、网上安全支付的应用现状 2（一）我国网上安全支付现状 3（二）当前主要的网络攻击手段 3三、中国银行“网络钓鱼”事件分析 5（一）中国银行“网络钓鱼”事件 5（二）中国银行网络支付缺陷技术分析 7（三）我国网络银行普遍存在的支付安全问题 8四、针对中国银行网络安全支付的改进措施 9（一）安全技术措施 9（二）对高仿网站问题的解决 12（三）建立可靠的网上支付信用体系 12（四）加强客户的安全意识和网络通讯的安全性 13五、结论 14参考文献 15致谢 16PAGE16一、绪论（一）研究背景及意义当前，伴随着数码通讯技术和网络技术突飞猛进的发展，银行业正在进入网络时代，网络银行正以成倍递增的速度向世界的各个角落，向人们生产生活的各个方面渗透，并代表着未来银行业的发展方向。目前，世界各国都把网络银行作为创新传统银行服务，提高银行竞争力的有力手段，正在加紧网络银行发展战略的研究。在我国，顺应世界网络银行的发展潮流，网络银行也获得了快速的发展。据中国互联网网络信息中心(CNNIC)于2021年1月发布的《第21次中国互联网络发展状况统计报告》显示：截止2021年12月31日，我国网民总数已达到2.1亿人，略低于美国的2亿，位居世界第二。其中网上银行使用率为19.2%，可见我国的网上银行仍有较大的发展空间。但根据中国金融认证中心(CFCA)的《2021年中国网上银行调查》显示：我国有61%的非网上银行用户由于怀疑网银安全性而不使用网上银行，网银的安全性仍旧是制约网上银行发展的主要因素。在这种情况下，研究我国网络银行安全支付的发展策略，具有十分重要的理论与实践意义。本文是在讨论国内外网上银行的应用现状下，对出现的安全支付问题进行分析，选择目前最为关键的安全支付技术—身份识别技术进行改进，来弥补目前身份识别的漏洞。并针对目前的网上银行的监管和用户防范意识方面提出一些建议。（二）国内外研究现状1、国外网络银行研究现状国外对网上银行的风险监管的研究比较多，对我国的网上银行风险监管有很大的借鉴意义。ZakariaI.Saleh（2021）认为虽然网络银行虽然已经被建立多年，但公众对网上交易安全性的关注可能是减缓网络银行推广的最重要的因素，这一因素也使得公众是否信任电子渠道和网络银行的风险而不是技术本身成为影响网络银行是否被接受的主要原因，并提出随着网络银行的发展，对网络银行的关注要从狭义的安全逐步转化为更广义的风险管理。BomilSuh（2021）通过在网上对845个案例的调查以及研究也得出信任对网络银行的接受程度有重要的影响。ZiqiLiao（2021）在新加坡对网络银行的有效性及顾客愿意使用网络银行的因素进行了研究，结果表明正确性、安全性、网络速度、用户友好程度、参与程度和便利性是影响网络银行有效性的最重要的因素，而前五个因素又决定着顾客是否使用网络银行。KeldonJ.Bauer（2021）首先提到截止到2021年，使用网络银行的美国家庭占总数的比例不到20%，然后从消费者的角度入手用效用最大化模型研究了影响网络银行使用率的因素，同时将传统银行和银行作为网络银行的替代物进行了对比研究，结果表明在没有风险的情况下，消费者的选择是无差异的，而当风险存在时，网络银行的接受率则与使用网络银行增加的效用、增加的成本及风险的大小等三个因素有关。西方国家对网络银行的监管都注重一致性，并且有一系列完备的法律体系支持监管部门的工作开展，实行的是多部门联动的监管措施。这方面内容很值得我国借鉴。2、国内网络银行研究现状国内对网上银行的研究起步比较晚，开始的研究主要侧重于对电子银行存在问题的描述及研究，之后出现了一些针对网上银行的研究。以下只叙述最近几年再网上银行风险及对策研究方面的一些进展。黄益（2021）认为提高网上银行的安全性，打消用户的疑虑，使更多的客户使用网上银行，已成为我国商业银行业务发展过程中亟待解决的一项重要课题。并提出五个方面的安全措施：加强网络安全体系建设，注重研发具有自主知识产权的网络银行系统，改进网上银行登陆方式，推行低成本网上交易认证方式，使用户安全地使用网上银行。加强与相关机构的横向合作，提高网络安全水平。陈伟（2021）在文章中给出了网上银行交易风险的防范对策，对防止交易过程中的各种风险的防范提供了有重要参考价值的策略。总之，诸多的研究显示国内银行目前在应用电子商务业务深度和广度非常有限，业务品种不够丰富，盈利能力较低。虽然通过各类防范措施及最新的技术手段可以在一定程度上解决当前网银客户端存在的各类安全隐患，但仍无法彻底消除客户端所存在的数据安全风险，因此，我国还应在网络银行安全技术方面加大研究力度，确保我国的网络银行健康快速的发展。（三）研究的主要内容本论文从国内外网络银行发展现状出发，对网络银行安全支付现状分析，总结当前主要的攻击手段。以中国银行网络漏洞事件为例，分析网络银行支付存在的安全问题。并从安全技术、信用体系、增强网民防范意识等方面提出了解决目前网络银行安全支付问题的策略，以促进我国网络银行更好更快的发展。本论文通过对2021年受到广泛关注的“中行E令升级”用户网银被窃案例的分析，描述了中国银行网络支付中存在的问题，提出解决该案例中电子口令牌缺陷的方案—电子口令牌+U盾认证过程的改进方法。该方案能够有效防止网络钓鱼、木马软件等网络支付问题。本论文在最后针对网上银行安全支付存在的普遍问题提出了解决的措施及建议，以使网上银行外部环境能够更有利的促进网上银行的发展。二、网上安全支付的应用现状（一）我国网上安全支付现状根据国家互联网应急中心的统计，2021年5月和6月针对大型电子商务、金融机构、第三方在线支付网站网页仿冒事件开始出现大幅下降，但是7月和8月又出现增长趋势。对比2021年2季度第三方在线支付市场月平均54479万笔的交易规模，仿冒事件仅占交易的百万分之一，如果再把网银的交易笔数统计在内的话，这个比例仍将下降。2021年国家互联网应急中心共接到网络钓鱼事件举报1597件，而去年全年仅第三方支付交易笔数则达到373094万笔，占比仅为千万分之四，如果把网银交易笔数统计在内，这个比例将继续下降。所以整体网络支付安全环境比用户担心的要好很多。通过互联网用户调研发现，网络支付工具的使用率已达到较高的水平，有73.1%的互联网用户使用过网络支付工具。但受访互联网用户中仍有54%的用户，因为担心安全问题未使用网络支付，根据对行业内主要支付厂商进行深入访谈发现，目前拥有网络支付账户且曾遇到过安全问题的用户比例不足万分之五，而这些安全问题中，大部分是虚假网站通过网页仿冒，或以低价诱骗用户上当的方式实现的。虽然用户通过提高自身警惕，能有效降低被欺诈的风险。银行方面应提出安全防范措施，加大对技术风险的研究和评估，尽快研究出一套切实可行的支付安全解决措施。（二）当前主要的网上银行攻击手段当前主流的网上银行系统已采用了多种安全防护措施，为用户提供客户端数据安全保护，包括软键盘、图形认证码、动态口令认证、数字证书认证等。这些安全防护措施的核心，是对客户在网银业务操作过程中的数据生成、处理、传输和存储各环节进行安全加固，保护客户在网银交易过程中的敏感数据，防止外来攻击对这些敏感数据的截取、篡改和破坏。通过综合利用这些安全防护措施，网银客户端的外来攻击风险已得到有效降低。随着技术的进步，黑客的攻击手段在不断翻新，常用的技术手段已经无法对最新的网络攻击进行有效防护。目前具有较高技术水平的攻击手段主要包括键盘记录攻击、客户端进程攻击、传输数据攻击及客户身份认证过程攻击等。1、键盘记录攻击攻击者首先通过各种方式在网银用户的计算机中植入键盘记录程序，然后通过键盘记录程序获取用户在计算机上的键盘输入数据。通过分析用户键盘输入的各类数据，攻击者可以获得网银用户的网银账号、登录密码及交易数据等关键信息。2、客户端进程攻击部分恶意程序、木马程序采用读取网银系统客户端程序进程内存数据，对网银客户端发起攻击。此类攻击除了通过监控网银客户端内部运行程序以获取用户敏感信息外，还可以通过篡改网银系统客户端程序代码，截取、修改用户交易信息、签名数据内容及数字证书PIN码等关键信息，并通过调试工具跟踪、分析客户端程序交易执行流程及保护机制。3、传输数据攻击目前网银系统的传输环节大多采用基于SSL的安全传输协议。网银客户端及服务器端建立安全的SSL连接是网银数据能够得到安全传输的基础。但是对于数据传输的安全防护不能仅局限于SSL安全传输过程本身，还要把安全防护过程延伸到客户端数据产生并进入到SSL安全传输通道之前，这一环节完全在客户端操作系统中实现。例如Windows操作系统在内的常用客户端操作系统，以及运行在其上的浏览器等应用软件，都存在可被黑客利用的安全漏洞。黑客通过此类安全漏洞，可以实现对传输数据的截取、篡改和破坏。4、身份认证过程攻击在网银交易过程中，对客户进行身份认证是保障客户操作权限、敏感信息和交易行为安全的重要措施。通过分析当前主要网上银行系统的身份认证过程可以发现，网银系统在对客户进行身份认证时，客户仅需提交相关个人认证信息，然后由身份认证系统自动进行客户身份比对，返回客户身份认证结果，完成整个身份认证过程。在这一过程中，客户往往无法参与和控制其中涉及身份比对、交易数据审查、交易确认等关键环节，而一旦这些关键环节中的全部或部分环节被攻击者控制，就会导致在客户完全不知情的情况下，被攻击者假冒客户合法身份实现攻击行为。攻击者利用流程设计上的缺陷，对身份认证过程发起远程攻击，利用合法用户的认证信息进行非法交易，或者对合法交易的数据进行篡改，从而达到非法获利的目的。三、中国银行“网络钓鱼”事件分析近年来,“网银大盗”等电脑病毒开始有针对性地盗取网民的银行账号和密码,使得网银安全问题时有发生。“网络钓鱼”是近年出现的一种比较典型的诈骗方式。“网络钓鱼”顾名思义,就是骗子利用一些不被人注意的诱饵,来骗取用户的账号和密码,从而坐收渔翁之利。通常骗子都是利用向别人发送垃圾邮件,将受害者引导到一个假的网站,这个假网站会做得与某些电子银行网站一摸一样,粗心的用户往往会将自己的账户和密码送到骗子那里。据统计显示,有80.5%的网民正在使用网上支付的形式,或者愿意接受网上支付的形式。总之,电子商务已逐渐成为一种销售方式,越来越多的人在网上购物,但消费者对于网络支付安全问题不可掉以轻心。本文将以对我国影响较大的中国银行的“网络钓鱼”事件为例，详细分析犯罪分子利用中国银行的哪些漏洞实施攻击，最后提出该漏洞的解决办法。（一）中国银行“网络钓鱼”事件“尊敬的网银用户，你的中行E令将于次日过期，请尽快进行升级，给您带来不便请谅解，详询95566(中国银行)。”2021年1月10日至今，省内不少网银用户收到这样一条提示短信。电子口令牌是现今国际上使用比较多的身份认证技术，其具有密码的动态性、便捷性及安全性的特点，但是，从2021年1月至今，电子口令牌的安全性遭到了普遍的怀疑。一个以“中行E令升级”为幌子引发的100多起网络诈骗案件无一例外的是针对中国银行现阶段的电子口令牌，在这些案件中，中国银行受骗的网银用户先是收到一条“您的中行E令即将过期，请您尽快登录/k进行升级，详询95566。”等类似的提示短信，接着就是在登陆该网页时密码、账号及动态口令被截获，然后在有限的60秒内账户的资金被转走。1、网络钓鱼实施步骤在“中行E令升级”的诸多案件中，犯罪分子主要通过三步完成诈骗活动：第一步，设置“钓鱼网站”，群发短信，提供链接。犯罪分子事先设置等虚假的中国银行网站，俗称“钓鱼网站”，与正规的中国银行官网非常相似，而且，页面中大多数内容均能自动连接到中国银行的官网，犯罪分子只在页面上加入一个“登录中行网银E令升级”的栏目，诱使用户点击。第二步，诱使用户提供账号、密码及动态口令一旦用户根据短信提示，登录到指定的网页并进行相关操作，“钓鱼网站”将通过早已设置的木马程序，盗取用户的用户名、密码以及动态口令。此时犯罪分子在后台窃取当事人的账号和密码此时犯罪分子在后台窃取当事人的账号和密码图3-1犯罪分子盗取账号密码犯罪分子以引导网民进入假可乱真的高仿网站为前提，并在高仿在网站上置入木马程序，网民一旦登陆网站，账户密码就被钓鱼网站所记录，事后以其他链接方式转到真正的银行网站，普通用户无法识别的钓鱼网站，就会在毫无所知的情况下，账户资金被转走。第三步，盗取用户存款。犯罪分子用木马盗取了用户的用户名、密码以及动态口令后，会在极短时间内，把这些信息输入到正规的中国银行官网，将用户账户内的资金瞬间转走。由于此类诈骗手法新，只要用户网上“升级”操作，无需与犯罪分子进行任何形式的接触，账户内的所有资金就会在两分钟内被全部转走。2、网络钓鱼诈骗方法通过对上述三步的分析，可以看出此类诈骗手法的问。只要用户网上“升级”操作，无需与犯罪分子进行任何接触，账户内的所有资金就会在两分钟内被全部转走。犯罪嫌疑人的作案手法均采取诈骗与盗窃相结合的形式，具体如下：一是短信群发“善意”提醒，诱使网民上网操作。在此类案中，犯罪团伙有针对性地选择江浙等经济发达地区的用户作为作案对象。由于这些对象文化层次相对较高，防范心理较强，普通的诈骗手法已无法得手，进而选择“密码丢失索取”“网络升级提示”等“善意”提醒诱惑网民。二是境外注册网站域名，逃避互联网监管。在所有已发案件中，犯罪嫌疑人开设假网站使用的域名均不在国内注册，都是在境外网站注册的免费域名。由于目前对境外域名注册行为无法实施有效管理，使得域名注册人的信息难以获取。三是高仿真网站制作，欺骗网民透出账户密码。要获取网民的网银账户及密码，必须配套几可乱真的银行假网站。在同类案件中，犯罪嫌疑人均制作极为精美、与真实网站相似程度极高、普通用户无法识别的钓鱼网站。在网民登录网站后，网站页面有相应的提示性指示，简单操作后，网民的账户密码就被钓鱼网站所记录。四是连贯的转账操作，迅速转移网银款项。在获取网民的网银账户密码后，犯罪嫌疑人迅速登陆真实银行网银网站窃取资金。网银的动态口令卡所提供的动态口令只有时间很短的有效期，犯罪嫌疑人在极短时间内完成网银转账操作，达到窃取的目的。此种案例中犯罪分子使用的是变通了的“钓鱼网站”和木马程序，而这些是由于电子口令牌只能完成网银服务器对用户身份的认证，而不能完成相反的认证功能造成的。另外，也充分折射出了电子口令牌不具有信息的机密性、完整性和不可抵赖性的缺陷。3、中国银行对此漏洞采取的措施在解决该案件的方案中，中国银行的补救办法是:网银转账业务上增设防线。从1月21日起，大幅降低用户单笔转账金额，网银转账单笔最高限额至500元。并自动向用户发送交易口令确认码，一旦有人从某个账户上转账，系统会提示用户，只有用户确认后，才能转账，防止诈骗得逞。而这个方案并没有从根本上解决电子口令牌的缺陷问题，只能让用户提高警惕，防止网络诈骗而已。（二）中国银行网络支付缺陷技术分析中国银行选择的是用动态口令。动态口令牌由内置电源、密码生成芯片和显示屏等组成。工作原理是：通过特定的计算方式，每隔60秒产生一个随机变化的密码，同时银行处也能产生一个相同的密码，用户使用这个密码登录网银时，两个密码若匹配则表示已通过验证，用户可进行下一步的操作。此轮网银诈骗，绝大部分案例都以“中行E令”为幌子，众多用户质疑号称动态安保的“中行E令”此时已形同虚设。他们表示“中行E令”本是银行提供的一种安全服务，现在反而被犯罪分子利用。但是国内主流银行中，唯一与中行同样使用动态口令的光大银行网银，却一直在用户中获得不错的美誉度，类似遭遇钓鱼网站攻击的事件也少有。业内一位不愿具名的专家透露，问题不在动态口令，而在于中国银行动态口令的设计存在一个明显漏洞。光大银行的动态口令生成器命名为阳光令牌，用户在登录时需要输入随机口令，转账时还需要再度输入事先设置的转账密码，两道防护线保护安全。而中国银行网银之前只需要输入口令就可以完成转账，一旦遭遇钓鱼网站拦截或口令牌遗失，客户账户安全就难以保障。（三）我国网络银行普遍存在的支付安全问题1、网上银行支付安全认证技术存在风险现阶段国内各大银行都在积极的推进网上银行业务和产品。新型的网上支付产品提升了网上支付的便捷度，但也引起了严重的网上支付安全问题，目前的身份识别技术面临着极大地挑战，解决好这个问题，将能很好地促进网上银行的发展。2、网上银行网站存在的风险在网络银行中,企图非法窃取密码的作案者如果使用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况下就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规的站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能。3、信用风险网络银行的发展受到信用风险的制约，即交易在到期日交易双方或其中一方不能完全履行其业务所带来的风险。虽然现在网上交易中大量使用第三方支付平台，但实际在网络虚拟世界中，交易双方不直接见面，在违约责任的追究上存在很大的困难，因此发生信用风险的概率比传统银行大。我国信用体系的建设尚处建设阶段，企业信息和个人信息也未完全向大众开放。企业之间以及个人和企业之间信任度不高，这是导致网络银行现阶段客户资源不足的一个重要原因。4、网民的安全防范意识薄弱用户网络安全意识是制约网络安全发展的重要因素，但是国内很多用户都存在网络安全意识薄弱的状况。据CNNIC数据显示，74.2%的网民不更换或者很少更换密码，依照使用地点更换密码的用户只有4.8%，每月更换以及每周更换的比例更低，分别为5.2%和1.9%。360公司总裁齐向东表示，目前国内针对网银的犯罪手段并不高明，多数是采取网络钓鱼和木马攻击这两种常见方式。网银系统本身的安全性还是很高的，但是网民往往缺乏安全意识，对那些比较复杂的安全措施在理解应用上存在困难，甚至轻信一些钓鱼网站。四、针对中国银行网络安全支付的改进措施从案例分析可知，网上银行支付存在着技术、信用等许多问题。本部分将针对这些问题提出以下措施：（一）安全技术措施1、对中国银行漏洞提出解决办法由以上案例可见电子口令牌不具有信息的机密性、不可抵赖性的特点，不能完成网银服务器与用户的双向认证。另外，USBKey认证过程中，静态PIN码容易被黑客利用。但是，电子口令牌具有USBKey所不具有的动态码，USBKey具有信息的机密性、不可抵赖性，可以完成网银服务器和用户之间的双向认证。在综合了两者之间的优缺点之后，针对网银目前的状况，更安全的方法是结合电子口令牌的动态因素以及USBKey的消息完整性、防抵赖性等特性，建立更加坚固的网银系统。电子口令牌与USBKey结合的网银认证步骤如下：第一步、客户端登陆网银页面，按照提示输入账号、密码以及一次性口令OTP1；网银服务器端根据时间同步的OTP1验证用户身份。第二步、验证客户端身份后，服务器将自身的证书和第二次随机生成的一次性口令OTP2共同散列值传送给客户端，用于实现客户端对服务器方的认证。客户端根据服务器传送的信息验证服务器证书的真实性，解密后将OTP2显现于Web浏览器上供网银用户核对，进而完成对服务器端的验证。第三步、用户成功登陆后进行业务操作，系统提示插入USBKey，并且输入动态PIN码OTP3以启动USBKey的证书功能。随后要求输入OTP4作为临时验证码。第四步、USBKey把当前的临时验证码OTP4和业务操作指令一同加密并签名传输给网银服务器，网银服务器验证动态口令码并完成客户业务需求的操作。电子口令牌与USBKey结合的网银认证流程如下图4-1所示：用户客户端登陆提示输入账用户客户端登陆提示输入账号、密码、OTP1网银服务器端 登陆网银页面 提交 完成验证网银用户OTP2完成验证网银用户OTP2核对根据OTP1验证用户身份发出服务器证书OTP2核对 核对根据OTP1验证用户身份发出服务器证书OTP2 ①插入①插入USBKey②输入动态PIN码OTP3启动USBKey证书功能③USBKey提示输入临时验证码OTP4及业务指令接到用户成功登陆信息提示插入USBKey验证动态口令完成业务操作接到用户成功登陆信息提示插入USBKey验证动态口令完成业务操作 执行 加密签名 图4-1电子口令牌与USBKey结合的网银认证流程改进后的网银身份认证系统要求每次使用USBKey加密指令的同时都重新输入一次动态PIN码，并且USBKey数字证书中融入了电子口令牌的不确定性，比单一使用电子口令牌的系统增加了数字证书的消息完整性、防抵赖性功能。同时，较之单一使用USBKey的认证系统又增加了动态密码的不确定性因素。2、键盘记录攻击解决办法近年来，网银客户端遭受键盘记录攻击的事件日益增多。对于此类攻击的防范，各家网上银行还基本停留在采用软键盘及图形认证码的阶段。由于现有的键盘记录程序采用了多种键盘记录技术，包括WindowsHooks技术、内核设备过滤技术、InlineHook技术及键盘设备中断截取技术等，某些键盘记录程序甚至还能获取计算机显示器屏幕及鼠标移动轨迹。因此，软键盘及图形认证码方式仅能对某些键盘记录攻击具有防范作用。为防止网银用户客户端数据遭受键盘记录攻击，应通过技术手段对网银客户使用的计算机操作系统进行加固，对已知的各类键盘记录技术进行防范，避免恶意程序获取键盘输入数据。3、客户端进程攻击解决办法分析此类攻击的方式可以发现，恶意程序发起攻击前，必须首先从操作系统获取对客户端程序进程的访问权限。因此，可以采用技术手段对网银客户端程序进行加固，阻止恶意程序获取对网银客户端程序进程的访问权限。4、传输数据攻击解决办法为防止网银客户端遭受传输数据攻击，首先应对常用的客户端操作系统下的相关关键通讯模块的安全漏洞进行弥补，防止漏洞被攻击者利用。其次，还应该通过技术手段对浏览器等客户端应用软件进行安全加固，使其能对加载的恶意控件的行为进行检测，从而保护传输数据的明文不被恶意控件截取、篡改和破坏。通过这两项措施的实施，可有效防止客户端遭受传输数据攻击，避免网银用户的敏感信息及交易数据被截取、篡改和破坏。5、身份认证攻击解决办法对于此类攻击的防范，比较有效的措施是改进身份认证的过程，在整体流程设计中引入人工干预的步骤和环节，使客户在这一过程中能够对部分关键环节进行人工控制和再次确认，从而防范攻击者在客户不知情的情况下实施远程攻击。例如在身份认证过程中增加用户互动环节，使客户在认证过程中通过人工方式对签名、敏感交易数据确认等操作进行控制，使这一过程不再处于客户不可见的状态。对付这种攻击方式的有效措施是：（1）加入验证码，当前身份认证过程中使用最广泛的是加入短信密码身份认证，短信密码以短信形式请求包含6位随机数的动态密码，身份认证系统以短信形式发送随机的6位密码到客户的上。客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性，且这种认证方式具有安全性、普及性、易收费、易维护等优点。此类措施已经被广泛应用到各个行业的身份认证中。（2）利用USBKEY也就是我们常说的U盾进行身份认证，U-Key它内置单片机或智能卡芯片，可以存储用户的密钥或数字证书，利用U-Key内置的密码算法实现对用户身份的认证。基于USBKey的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。这种认证方式目前被工商和招商银行所普遍推广应用。另外，因为各个银行的认证方式的不同，还可以根据目前的网络银行技术和成本综合因素，考虑实施，用户不同的需求选用不同的认证方式。（1）很少使用网上银行的客户，他们没有支付网上银行资金的权限，所以对安全性要求不是很高，只需要简单的认证身份就可以了。从客户成本的角度来讲，推荐选用简单的静态口令进行客户端身份认证方式。（2）交易额不大且频率不高的客户，推荐使用动态口令即OTP技术进行客户端身份认证，大部分网银用户属于此类。（3）交易额一般但登陆频繁的网银客户，对网上银行的安全性要求要较高，推荐使用OTP技术+USBKey作为其客户端身份认证方式，但是该策略成本比大。（4）此类客户是网上银行的大客户，或者是银行的高级管理人员，他们对网上银行的使用频率很高而且金额都很大，因此对安全性要求非长高。推荐使用生物特征作为其客户端身份认证方式。随着网络技术的发展和技术成本的降低，银行可以普遍推行高端身份认证技术及双因素身份认证技术如：生物识别技术。指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等；双因素认证方法是进一步加强认证的安全性，目前使用最为广泛的双因素认证方法有动态口令牌+静态密码、USBKEY+静态密码、二层静态密码。（二）对高仿网站问题的解决（1）域名对比法，对比该网站的域名是不是官方域名，看是否与真正网址一致。如果不是官方域名，哪怕页面再相似，也可以断定其为钓鱼网站。（2）尝试输入法，意思是一旦他人发送来的一个网站提示需要登录或者输入其它信息，网友可以随意输入一个用户名及密码，如果这个网站提示登陆成功的话，那么就可以断定其为钓鱼网站。（3）选妥和保管好密码，不要选诸如身份证号码、出生日期、号码等作为密码，建议用字母、数字混合密码，尽量避免在不同系统使用同一密码。（4）做好交易记录，对网上银行、网上证券等平台办理的转账和支付等业务做好记录，定期查看“历史交易明细”和打印业务对账单，如发现异常交易或差错，立即与有关单位联系。（5）对异常动态提高警惕，如不小心在陌生的网址上输入了账户和密码，并遇到类似“系统维护”之类提示时，应立即拨打有关客服热线进行确认，万一资料被盗，应立即修改相关交易密码或进行银行卡、证券交易卡挂失。（三）建立可靠的网上支付信用体系1、建立完善CA认证系统 在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营，标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。目前，中国已有32家CA认证中心，如中国电信CA安全认证体系、中国金融认证中心。还有一些行政区也建立了或正在建立区域性的CA体系，如上海电子商务CA认证中心。目前，我国的CA建设还处于一个起步的阶段，没有完整的统筹和协调，CA的发展还是各自为政，独立发展的混乱局面。但是相信经过政府的监管和管理，及我国的CA建设积累的经验和教训，一定会形成一个全国性的、完整的和层次性合理的CA基础设施。真正为我国的网络银行安全支付保驾护航。2、建立完善的信用体系建立信用档案，健全共享的信用数据库。把守信、失信的行为记录在案，分类管理，并尽可能的公开、透明。西方消费信贷发达的国家己形成了一套比较完整的信用体系，包括个人和企业资信档案登记制度、个人和企业资信档案评估制度、信用风险预警机制、信用风险管理机制等。在建立我国个人和企业信用制度的过程中，应该充分借鉴西方国家的经验。培育我国自己的信用评级机构。一方面帮助投资者获得准确的市场信息，选择投资项目和减少投资风险，另一方面对被评级企业起到社会监督作用。2021年3月，中国电子商务协会颁布了《中国企业电子商务诚信基本规范》。尽快完善数据库的建设，建立健全个人资信档案，不仅包括个人的银行信用信息，还应包括个人支付、水、电、燃气等公用事业费用的信息，建立与整合各个省份的企业征信系统，并将企业征信系统进行全国联网，相关的企事业单位与个人都可以共享这些信息，实施资信评估制度，增强社会信用力量，为社会提供高质量的信用服务，建立惩罚制度，通过立法来警示、恐吓一些信用缺失行为。希望类似的文件规范会多增加，更全面的保护网络支付的安全。（四）加强客户的安全意识和网络通讯的安全性强化宣传教育，提高网上支付客户自身安全意识及安全水平，增强操作安全性宣传教育包括的网络安全教育和交易提供者的功能使用安全教育，如安全风险识别、新功能使用、安全习惯培养等，增强操作安全性。（1）使用安全的计算机进行网上支付。安装必要的杀毒软件、防火墙软件，及时做好系统漏洞修补，不在网吧等公用计算机操作。不使用密码保存功能，对于浏览器自动打开、防病毒软件不能正常工作要及时解决，防止病毒和木马感染。（2）访问正确的网站，谨防钓鱼。访问网上银行和交易网站时，可以将正确的网址收藏起来，避免通过“超链接”操作，登录时核对信息是否正确。记住正确的网站名称、特服号码，对于要求提供身份、账户及密码的邮件、、短信保持高度警惕。学会判断其服务真实性，不打开非正常弹出的链接。（3）应熟悉所使用的交易规程，避免被欺诈。如第三方支付中不良卖方会诱导买方提前确认付款或者欺骗买方导致第三方机构“超时打款”。（4）保护好自己的账号和密码。不要轻易将个人信息告诉他人，密码要有足够的强度，对于网上银行支付密码要与访问密码不同，尽量使用动态口令密码、USBKey、短信服务等增强安全工具进行支付，要经常核对账户资金是否正确。五、结论电子商务和网上支付正在形成庞大的产业，改变着我们的消费、生活乃至思维方式。我们可以通过网络支付在网上购买任何东西，网上支付在未来将扮演一个极其重要的角色，让我们的生活变得更加便捷。本文在写作期间收集了大量资料，研究网络银行安全支付现状及当前攻击手段。对中国银行“网络钓鱼”存在的漏洞进行全面分析，由此总结当前的网络银行普遍存在的漏洞和问题，最后提出针对中国银行“网络钓鱼”改进措施，对我国网络银行安全支付具有一定的借鉴意义。本文通过对网络银行安全支付技术进行研究，虽然能通过各种防范措施解决当前网银客户端存在的安全隐患，但这些还远远不够，仍无法消除客户端所存在的数据安全风险。因此，从银行方面而言，应继续从技术角度加强网银客户端的数据安全保护，健全网上银行的业务和技术风险防范体系。对广大网银客户而言，应加强安全防范意识。另外，政府方面也应积极建立完善的信用体系及法律监管。只有多方共同努力，才能使网上银行系统免受各类风险危害，促使网上银行健康发展。参考文献[1]刘凯.电子银行业下的银行管理研究[M].兰州：兰州大学学报，2021：176-195.[2]贺继东.网络银行安全威胁[M].安徽：安徽师范大学出版社，2021：263-278.[3]姜静静.网络银行安全[M].上海：华东师范大学出版社，2021：10-18.[4]唐立楠.浅谈电子商务以及我国银行业的发展[J].管理科学，2021，(4)：34-41.[5]王晓华.网上银行在电子商务应用中存在的问题及对策[J].河北企业，2021，(6)：33-35.[6]陈伟.电子商务与网络银行的协同发展[J].维普资讯，2021，(5)：10-28.[7]李辛培.西方网上银行的发展[J].科技情报开发与经济，2021，(9)：19-23.[8]彭楚均.关于电子商务安全解决方案的探讨[J].华南金融电脑，2021，(3)：27-28.[9]黄益.防控网上银行操作风险[J].维普资讯，2021，(7)：15-21.[10]李钢.电子商务环境下我国网上银行业务发展对策[J].经济论坛，2021，(6)：3-14.[11]王振武.银行网络管理存在的问题与建议[J].华南金融电脑，2021，(3)：12-13. [12]凌江怀.现代商业银行经营与管理[J].广东旅游出版社，2021，(7)：12-14.[13]Garrity.Anexperimentalinvestigationofweb-basedinformationsystemssuccessinthecontextofelectroniccommerce[J].DecisionSupportSystems，2021，(9)：5-13.[14][15]致谢从最初的论文选题到最后的论文定稿，四个多月过去了，本论文终于顺利完成。在这期间，离不开我的论文指老师的关心和帮助、监督和鼓励，经过秦老师的多次批改、指导才完成了最终的定稿。在论文的选题、搜集资料和写作阶段，她都倾注了极大的关怀和鼓励。在论文的写作过程中，每当我有所疑问时，秦老师总会放下繁忙的工作，对我的论文进行认真的批改，不厌其烦地指点，字字句句把关，提出许多指导意见。她严谨的治学之风和对事业的孜孜追求将影响和激励我的一生，我将永远铭记老师的关心和教诲。借此机会，我谨向秦老师致以深深地谢意。其次，我还要感谢黄淮学院经管系的各位老师，正是因为有了他们严格、无私、高质量的教导，才使我在这两年的学习过程中，汲取更多的专业知识。此外，我还要感谢我的辅导员李留青老师，及与我互勉互励的诸位同学，在我遇到困难的时候，他们不离不弃，伸出援助之手，帮我度过难关。最后，感谢在百忙之中评阅论文和参加答辩的各位老师，谢谢大家。

中国企业物流运作现状及发展战略探讨摘要：自从2001年中国加入WTO之后，市场竞争就更加激烈。每个企业为了提高自身的竞争力，努力提高物流水平，降低物流成本。本文将中国物流现状与发达的国家和地区的企业物流运作模式进行对比，提出了中国的企业物流发展战略关键词：企业物流现状；运行模式；发展战略一、中国企业物流的运作现状及弊端

物流战略是很多企业总体战略中必须考虑到的一个重要因素。为了在市场中提升自我竞争了，企业不断在降低物流成本和提高物流水平上下功夫。无论是在国内还是国际市场上，都能够最大程度上的降低成本，同时又不减低服务水平，获得竞争优势。企业物流的管理整体上来说还是处于不完善的阶段，大多停留在纸币时代。比较先进的企业已经配备了电脑，但是依旧没有形成系统的体系和网络。EDL、个人电脑、人工智能、专家系统、通信和扫描等先进的信息技术还未在物流运作中广泛地运用。但是物流是一种新型的管理技术，涉及领域宽广。因此物流管理人员要熟悉掌握企业内物流和因此延伸的整条供应链的管理知识，掌握整个工艺流程，精通物流管理技术。而我国现在十分缺乏具备综合物流知识的管理和技术人才，难以满足企业物流现代化的需求。二、中国企业物流的发展战略1990年以来，在国外，物流已经成为了该国一个重要的经济增长点。但是在中国，物流才刚刚起步。企业之间生产经营，市场运行的各个方面展开竞争。具体体现在技术、人才上包括了物流和供应链。在竞争如此激烈的背景之下，企业进入了一个微利时代，产品的成本和利润变得十分透明。而这用竞争还会不断加深，变得更加激烈，三、发展物流为当务之急

社会的经济环境在不断地发展变化之中，这就要求中小企业从战略发展的高度出发去思考物流的发展问题。在大企业实时物流战略的同时，作为灵活的反应者，中小企业在市场中，也积极采取了行动。希望通过积极的物流战略提升自身的竞争力。信息技术的发展前景大好，经济贸易的高速发展，物流业已经显示出了蓬勃的活力和蕴藏的无限商机，物流服务正逐渐成为中国企业之中最为经济合理的综合服务模式。中国进入WTO的时间还不算长，我国的中小企业应该及时把握住这一机会，在物流市场竞争比较不激烈时加入物流领域，迅速地占领一定的市场份额。但是如果中小企业不作为，等时间再长久一些，将会失去发展物流的优势。

四、从战略角度做物流

现下，我国的许多中小企业还未意识到物流战略以及控制物流成本的重要性。中小企业应当认识到物流战略是提升竞争力的重要手段，并且重视自身物流系统地建设，将物流系统的建设上升到战略高度。事实上，企业物流成本是除了原材料成本之外的最大成本项目。在国外发达国家，它们的物流成本一般控制在10％左右。而我国的现状就不太乐观。我国物流成本一般占总成本30％－40％，鲜活产品占60％左右甚至更多。我们应该看到的是系统完善的物流管理可以节省15％－30％物流成本，很大程度上减少库存和运输成本，对于中小企业来说，技术上和产品质量都比不上大企业。但不得不承认的是，中小企业产品价格更加受消费者青睐，市场需求反应更加灵活迅速。一旦中小企业将物流上升到战略高度，利用先进的物流管理模式，就可以大大的节省产品成本，进一步发挥自身的优势。想要在变幻莫测的市场中屹立不倒。谋求更加长远的发展，中小企业就要把物流放到企业经营管理的战略高度上进行思考。除了考虑要怎样解决仓储运输和商品配送这些物流的基本问题，还要思考怎样把采购、生产和销售过程中的物流活动的有机结合。做到以业务流程为基础，使得物流的一体化。最终达到加强企业的在瞬息万变的市场当中的竞争能力。

我国的中小企业只有突破地域限制、行业的局限，放眼于国内外，才能说真正意义上做好了战略制定，最大限度地把握住了机遇，有效规避风险。具体来的说，就是首先着眼于当前的地域市场的开拓，在获得了本地竞争的优势之后，辐射全国，放眼于全球。

五、重视物流系统的全面改造

发展物流并不是一蹴而就的，它需要一步步地前进。因此中小企业要注重制定详细的物流重组的长期实施计划和发展策略。物流重组需要从物流业务流程、组织机构、企业资源管理系统等方面展开，这样一来才有可能慢慢实现企业物流向供应链管理的“横向一体化”。达到降低生产、库存、运输等环节的成本，最终给客户带来更大的效益，给消费者带去更大的实惠。与此同时，企业的经营者应该打破传统的观念，不再只是局限于投入产出管理问题，如流程再造、压缩成本、加强培训以及有限资源的合理配置问题。企业的经营者应当认识到物流是企业市场营销的基础，从战略高度去思考物流运营成本与市场拓展需要、物流顾客服务的特殊要求之间的动态平衡，做到将物流系统与营销战略有机结合。现代化的物流在国际上又被称为一体化物流、供应链管理、销售链管理等等。不同于传统的物流，现代物流包括了运输、储存、装卸、搬运、包装、流通加工、配送、信息处理、回收等功能。对我国的中小企业来说，发展物流必须重视物流系统的全面改造。以物流供应链思想作为指导，注意对物流管理的强化，积极运用有效策略，全新打造物流的运作与管理体系。

六、从服务角度做物流

在国外，广泛认为物流业归属于服务业。但是现代物流在中国还是新兴产业。它的发展也就紧密伴随着企业经营管理理念而在发展。当代企业政府对物流管理的认识也逐渐提高到了企业和地区的战略理论的高度。当代企业经营管理理念的核心正在从产品制造转向产品销售再转向现代营销和客户服务。并且提出了“一切为客户创造价值”的现代经营理念。人们对于物流的认识早已经从企业自身的“功能性活动”上升为“以满足客户需求为目的”、“努力为客户创造价值，尽力增加顾客让渡价值”的“从供应到消费的运动、储存和配送的计划、执行和控制”的管理过程。消费者的需求不仅仅是商品。以企业的经营和发展的角度来看，物流就等同于服务。服务也是物流的物品之一。它是企业所提供的服务，“服务的实质上也是一种商品”，但是这一点却常常被人们所忽视。七、引进专业物流管理咨询公司中小企业自身的专业力量不足，因此要懂得借助相关的管理顾问公司以及相关研究机构来科学规划企业的物流战略、实施战略和管理体系。要去了解先进物流企业的作以及这样运作的原因所在。在这一过程之中，它们的物流服务理念是如何变化的，怎样做到满足客户需求和市场竞争，企业经营战略相衔接。这有这样，我国的中小企业才有可能成功地进入一个新的市场领域，在现有的市场基础上进一步地替身自身的服务水平，拓展市场份额。许多的企业在管理咨询方面下了许多的功夫，用以探索新管理方式和学习物流技术的运用。中小企想要全面提升企业的物流运作以及管理的水平，更加迅速地构建起一个先进的物流系统以及管理平台，就应当充分利用专业管理顾问公司的优势能力。结语：战略性的规划、投资以及技术开发是最近几年促进物流现代化发展的重要因素。企业亟需解决的不仅仅是仓促运输以及商品配送等最为基本的物流问题，最重要是为了解决怎么样才能在在变化莫测的市场竞争之中谋求生存与发展这一问题。因此企业必须做到将物流放在企业经营管理这一战略高度上去考虑怎样将采购、生产和销售则一系列过程与物流相结合。从而形成以业务流程为基础，形成物流一体化，达到增强企业市场竞争力的目的。物流已然是企业市场营销的基础。作业企业的经理，在物流决策方面应当从战略高度去考虑物流运营成本和市场拓展需要、物流顾客服务的特殊要求之间的动态平衡，仔细思考怎样才能把物流系统与营销战略以及企业的总体战略灵活结合。不再像传统上，只注重如何解决流程再造、压缩成本等投入产出的管理问题以及有限资源的合理配置问题。参考文献【1】孟祥茹

-中国企业物流运作现状及发展战略探讨\o"《山东交通学院学报》"《山东交通学院学报》

-

2013【2】刘铁钢

-

我国第三方物流的发展现状与运作模式探讨\o"《湖南经济管理干部学院学报》"《湖南经济管理干部学院学报》

-

2015【3】郑金花，HYPERLINK"/s?wd=authoruri:(13ac067f5d9fcc64)%20author:(%E4%BD%99%E6%B4%AA%E6%98%8E)%20%E6%AD%A6