第3章电子银行的安全

第三章电子银行的安全1、电子银行安全概述2、影响电子银行安全的因素3、电子银行的入侵探测与安全控制4、计算机信息系统安全理论和评价准则5、密码技术与安全密码系统6、协议技术与数字签名2电子银行安全概述•电子银行与网上银行•我国电子银行现状•电子银行安全的重要性•三个案例分析•六家电子银行安全性能大PK（着重讲述中国银行）•如何确保电子银行的安全（Howtobesafe）？!3电子银行与网上银行•电子银行的定义电子银行是指通过因特网终端、电话、手机等电子设备渠道向社会提供的银行服务，具有信息查询、支付结算、投资理财等金融服务功能的新型银行。•电子银行包括电话银行、手机银行、网上银行等。网上银行只是电子银行的一种。4我国电子银行现状5网民最关注的银行业务是什么？•电子银行超过银行卡，成为网民最关注的银行业务•百度数据显示：2010年上半年，最受网民关注的银行业务是电子银行，关注份额接近四成；其次是银行卡业务，关注份额为27.71%。这一数据与2009年有了明显变化，一直以来都是最受网民关注的银行卡业务被电子银行所取代。67网上银行是网民最关注的电子银行类型•从电子银行类型关注分布数据可以看出：网上银行依然是网民最关注的电子银行类型，关注占比高达98.69%。相比电话银行和手机银行，网上银行与网民的天然属性完美结合，成为其最为关注的电子银行也在情理之中。8910电子银行安全的重要性•当前，我国各家商业银行的电子银行业务正在快速发展，不少银行相继成立了电子银行部，把电子银行作为未来主要的发展方向。电子银行业务是指银行通过手机、电视、电话、电脑、ATM等电子渠道向公、私客户提供金融产品和服务的过程，已在我国商业银行各项业务中占有重要的地位。11•2006年上半年，工商银行电子银行业务共实现电子银行交易额22.9万亿元，其中网上银行交易额20.9万亿元，电子银行业务笔数17.4亿笔，占同期全行业务量的25.7%。然而，随着电子银行业务的快速发展，其安全问题也日益突出，短信诈骗、黑客入侵、病毒爆发、内控漏洞等问题使电子银行的发展面临着严峻的考验。•全球每年因计算机犯罪损失的资金达数百亿美元。•电子银行的安全是电子银行的生命线。12案例1交易前的危险•要攻击防御体系基本完善的银行系统，取得重要信息或破解经过数字签名认证、加密传输的数据对大多数“黑客”来说无疑是很困难的，于是他们纷纷将黑手伸向了防范意识不是很高的普通用户。下面就结合相关案例来谈一下安全使用网上银行方面的几个要注意的地方。13•杨先生在卡上存入100万元，第二天卡内就少了995050元，仅剩下4950元，而此时卡、USBKey等文件资料都还好好地躺在他的保险柜里。为此，杨先生将银行告上法庭，索赔100万元。昨日，法院作出一审判决，认为原告未妥善保管密码是巨款被取走的原因，遂驳回其诉讼请求，并判令其负担案件受理费13800元。14•“因业务需要，我与第三方约定对此100万元存款双控，也就是双方同时控制账号”，经过分析，问题终于浮出水面，主要原因就是该用户开通了网上银行,设置了网上银行的密码,设置了帐户安全方式：USBKEY验证，但是他却将帐户、密码告诉了第三方，以为第三方没有USBKEY就无法转帐，看起来好像是没有问题的，但实际操作中，该用户应该在USBKEY下载了证书之后再将密码告诉第三方。问题就出在该用户还没有下载USBKEY证书就把密码告诉了第三方，那么第三方很容易就可以去再买个USBKEY，马上下载证书，配合密码就可以转款了。像这种双方控款的情形，应该是把查询密码可以告诉第三方，把转款密码不能告诉任何人。现在一般的网上银行都是设置查询密码和转帐密码的，转帐密码是绝对不可以告诉任何人的。15•总结：用户开户后应该尽快登陆网上银行,按提示下载证书,设置新的查询和取款密码等。如果你开户时密码让第三方知道了，那么，第三方可以马上登陆银行网站，抢在你的前面把合法的证书下载到他的电脑上面，或者装进他的USBkey中，那么他就变成了合法的用户。所以，必须尽快得到证书并保护好自己的密码。16案例2利用黑客技术手段窃取用户信息•主要是利用木马手段。木马制作者通过发送邮件或在网站中隐藏木马通过漏洞触发等方式传播木马，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱。17•近日清远市清城区人民法院获悉，谭某等7名被告人利用网络技术窃取网上银行客户资料盗窃存款一案经该院一审后，已于近日二审终结，7名被告人分别被判处1年至14年不等有期徒刑，并处罚金。据了解，谭某、梁×鹏、黄×风、黄×俊、曾×航、蔡某、骆某7人均是20岁左右的年轻人，彼此通过互联网QQ相识。去年1月，黄×俊通过QQ发给梁×鹏一个“香港某集团”的网址，告知梁×鹏内有许多网上银行客户资料，要求梁入侵该网站，下载数据库资料，想办法将别人的银行存款拿出来。梁×鹏发现了该网站的漏洞，破坏了该网站的服务器，并上传某病毒程序下载了该网站数据库，取得了上万个网上银行客户的资料，然后与黄×俊两人通过QQ分别将客户资料提供给谭某、蔡某、骆某、黄×风、曾×航等人密谋盗窃。7人主要通过远程操控他人电脑在网上转账，或利用假身份证办理银行信用卡取款的方法盗取存款。7人共作案9次盗得他人存款85万多元。持卡人发现账户上资金被他人转走，当即报案。经公安侦查，上述7人先后被抓获归案。18•案例2总结：对要求输入账号信息、信用卡账号之类的邮件和短信中奖等信息不予理睬，如确需验证应手工输入正确的网银网址并认真核对确保其正确，也可将其保存于本机的收藏夹内方便使用，不要轻易点击邮件、邮件附件及不知名网站内的链接地址。19案例3木马分11次“驮“走16万———2007上海特大网银盗窃案引发的质疑•网上支付是否安全？数字证书是否安全？出事后倒霉的只能是用户自己吗？20•涉及金额16余万元，上海发生过的最大的网络盗窃案———“3·10”特大盗窃案日前告破。在上海市警方缜密侦查和云南警方的大力协助下，犯罪嫌疑人白某和葛某在云南昆明落网。•蔡先生是上海一家美资软件公司的总经理，在上海工作多年。2005年，建行的客户经理推荐他办理了一张白金理财卡。在IT行业工作的蔡中对网络非常熟悉，早在建行刚开始有网上银行业务的时候就在使用了，后来蔡先生成了签约客户，再后来又办理了数字证书，之后他就经常通过网上银行购物、缴费、转账。21•2007年3月10日，蔡先生上网查看自己银证通账户情况。然而，令人意想不到的是，原本16余万元的账户资金只剩下36.62元，蔡先生赶紧登录建行网上银行，但是连续出错，无法查询。通过拨打客服电话查询，卡内钱款果然被人转走了。两个账户共计被转走163204.5元(含转账手续费)。•当天，蔡先生向卢湾分局报案，卢湾警方接报后，迅速成立专案组，展开案件侦查工作。22•在分析案情和银行反馈信息并向被害人了解上网情况后，侦查员进行了综合判断，认为被害人的电脑极有可能被黑客侵入，从而导致账号内存款被盗。侦查员通过查询银行转账记录，查出被盗资金全部转入一个开户在云南昆明的建设银行活期账户内，并已被人取走。警方迅速派员赶往云南昆明开展侦查工作，在云南警方的大力协助下，侦查员查明犯罪嫌疑人的大致身份，以及实施网上盗窃的地点。2007年3月28日晚上，专案组在云南警方的配合下，顺利抓获犯罪嫌疑人白某和葛某，并查获了作案用的电脑和部分赃物。23•经查，犯罪嫌疑人在网上利用发照片之际，将携带木马程序的病毒植入被害人的电脑，获取被害人的银行账号、密码和认证信息，随后盗取被害人银行账户里的人民币。24•评析•随着互联网技术的飞速发展，网络已经进入千家万户，从网上购物、网上支付、网上证券交易，到交水电费、手机费等这些网上金融活动，有些已经成为了我们日常生活中不可或缺的东西。正是因为我们越来越离不开网络，所以网络安全也就越来越重要。25•目前，由于网络盗窃案件时有发生，网络银行的安全性成为人们关注的焦点，一些人利用木马病毒和“钓鱼”网站，获取了用户的密码和个人资料，从而盗走用户的存款，那么，一旦人们遇到网络盗窃的情况该如何解决？作为运营机构的银行或者网上支付平台将承担怎样的责任？由于涉及到每个消费者的切身利益，一直是媒体和广大用户非常关心的焦点问题。由于本案不仅涉及金额高，影响广泛，而且很重要的是被盗用户还办理了建行提供的数字证书，就必然引发了人们更多的质疑甚至恐慌———网上支付太不安全了！数字证书也不管用了！出事后倒霉的只能是用户自己！26六家电子银行安全性能大PK•招商银行•招商银行的网银较受专业人士的青睐。招行的专业版，采用证书+客户端。其中的证书下载前必须去银行柜台登记，并领用专门的号码后才可以下载。下载下来不允许直接备份在硬盘上，基本上免除了用户误用钓鱼网站而导致失窃的情况。可以说，在不考虑证书的前提下，招行现在的电子银行安全性相对是最高的，也是最复杂了。复杂到如果你电脑格式化，有不少人都不得不重新跑一次招行，因为有很多人忘记了自己设定的3个问题的答案。可以说，招行的电子银行对用户的个人计算机知识水平的要求是最高的。操作上也最麻烦。这个也直接导致了，在文件证书丢失情况下，很多用户不得不重新跑一次银行。27•建设银行电脑是靠不住的网银特性：防不专业的用户却不防小人。建行把“宝”压在文件证书上面。因为文件证书的存在，一下子抬高了使用门槛。但是这恰恰是建行的软肋所在。证书下载和备份有一个最大的问题，就是一旦电脑被别人窃取，对于一个普通的计算机操作人员，都可以很容易通过ie把用户证书备份出来，这个备份过程并不需要密码等支持。•建行也提供口令卡，但是不够彻底的是，口令卡要2块钱，建行的口令卡只能用29次。而且是顺序排列，且建设银行的网银没有预留信息，这又直接给钓鱼网站一个机会。不建议有大额存款的人开建行的电子银行。如果有开，看紧你的电脑，也要看紧你的口令卡，还要关心你自己的余额。超过一定额度，立刻就转到其他银行卡上。28•工商银行简单就无忧了吗？•网银特性：操作方便，口令卡把电子银行大众化，工行提供web版本。不需要同个体用户关联的文件证书。如果你知道账号和查询密码，可以在任意电脑上安装工行的插件，并登录使用。可以在网络上直接申请开通电子银行，这个政策也被人深为诟病，并成为一个比较公开的漏洞。现在工行大力推广口令卡，单张工行的口令卡能够使用次数远远超过建行。工行口令卡的推广，尤其对计算机操作不是很理解的人，降低了他们操作的门槛，因为工行不需要个人用户独立的文件证书，这种模式迅速降低电子银行使用难度。29•兴业银行•手机是靠不住的~~•转资金我比他们强吼吼•买基金就找我吧！•网银特性：在电子银行里面是“新兵”。虽然兴业提供文件证书作为安全模式，但是和所有大银行不同的是，文件证书必须交20元年费。兴业通过手机短信来确认最后密码。用查询号码登陆，转账时候，输入取款密码，同时兴业会发送一条短信到用户手机上，这个短信里面包含了一次性的验证密码。不少人认为同手机关联的模式是最安全的，其实不然。因为手机短信的内容并非只有用户知晓。电信公司的技术人员能看到所在区域某手机的短信，这是公知的秘密。这样安全性立刻大大打折扣。兴业银行网银可取之处在于，转资金时还要有取款密码，比工行、建行要好。它还是国内唯一可以买所有基金的网银，在网上可做质押贷款。30•恒生银行外资盛誉下的弱安全性用户名密码OK！•网银特性：安全性最低，恒生是港资，恒生提供web版本。如果只从投资买卖股票方面考量，恒生的安全性最低，只要用户名密码正确，就可以操作买卖港股。甚至没有取款密码做第二次校验保障。31•中国银行“变”让金融更美好•中国银行的网银有一个动态口令牌采用航空高科技数码计算机芯片，每分钟变化一次，每次的号码只能登陆一次。在你每次发生业务时都要输这个动态口令所以安全性是很高的.•而且在你使用中行网银之前，需要下载一个安全控件，可以阻拦很多病毒软件。32三道防线保证网上银行用户的资金和信息安全•1.第一道防线：由网上银行用户名（6-20位数字和英文字母）和密码（8-20位数字和英文字