论文部分内容阅读
随着以Internet技术为核心的现代计算机网络技术在银行业的推广应用,银行的服务效率和业务范围有了较大的提高,金融全球化发展趋势进一步增强,银行业进入了一个新的历史阶段——网上银行发展阶段,它是金融领域的一场革命。当前在各商业银行的网上银行突飞猛进的发展过程中,虽然取得了很多显著的成功,有效地降低了银行的运营成本。3A的服务模式(即任何时间(Anytime)、任何地方(Any-where)和任何方式(Anyway))给客户带来了很大的便利,但是随之而来的一些问题也逐步显现:正确认识这些网上银行面临的安全问题,进一步提高商业银行的网上银行风险控制能力,对网上银行业务实施有效监管,促进国内网上银行的健康发展,已经成为当前我国银行业发展面临的一项重要任务。 安全技术是网上银行安全控制的重要手段,许多网上银行的安全性保障都要依靠技术手段来实现。但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理措施的支持。网上银行出现的安全问题,除了网上银行系统的安全保障和网上银行的安全管理措施是否得当外,很大程度上是由于客户对网上银行的账号和密码操作不当,被不法分子盗用,利用窃取到的客户的账号和密码,对账户资金进行了转移。随着互联网上日益猖獗的木马、形形色色的钓鱼网站以及网络犯罪的规模化、集团化,网上银行的发展面临着更加严峻的形势和更大的挑战。 总结起来,目前国内发生过的网上银行的安全案例主要有三类: 第一类,利用假网站来骗取用户名与口令。这类案件其实技术含量很低,网络骗子会做网站并稍懂在互联网上窃取信息的技术即可,但它却占到了网银安全案例总数的95%以上。其实在这种案例当中,用户连真正的网上银行的大门都没进,银行的各种安全机制在用户进错门的情况下自然无法发挥作用了。 第二类,用户自己没能妥善保管卡号和口令。比如犯罪分子通过电子邮件、短信等方式骗取了卡号和口令作案。 第三类,是通过在互联网上的网上银行的客户端的电脑中植入木马、病毒等方式作案。通过驻留的木马程序在用户使用网上银行时窃取了用户的账号和密码,利用网上银行安全认证防范措施不足漏洞,对客户账户资金进行转移。通过直接攻击网上银行的网站服务器等方式的案件所占的比重是非常少的,因为银行网站都采用了安全的物理手段来防范此类病毒,即使漏洞会出现,也会在非常短的时间内加以解决。 针对这种情况,2007年6月29日,中国银监会颁布了《关于做好网上银行风险和服务的通知》,即银监办发[2007]134号重要文件,要求各商业银行最迟于2007年12月31日前,应对所有网上银行高风险账户操作统一使用双重身份认证。这一文件的出台,不仅标志着中国的网上银行正在与国际接轨,也标志着中国的网上银行的安全即将进入一个新的时代。 因而,采用各种技术手段,以高效便捷的方法保证网上银行的安全,成为各个商业银行必须采取的做法。而双因素身份认证技术,再次成为了网上银行安全的首选技术。虽然双因素身份认证技术被各商业银行普遍采用,也是目前解决网上银行安全认证问题的最佳方案,但它也不是无懈可击。假如,用户在已经中了木马的电脑上使用USBKEY进行网上银行交易,PIN码是在用户的电脑上输入的,黑客可以通过木马来截获,如果用户不及时取走USBKEY,而是让USBKEY一直插在电脑上,那么黑客可以通过截获的PIN码来取得USBKEY的使用权。在后台,假冒用户便可进行非法交易。尽管这种场景实现起来有较高的难度,但毕竟存在着这样的安全隐患。 那进一步提高USBKEY安全性的方法,首先需要对现有的网上银行系统的进行深入的分析和总结,对于网上银行安全认证措施,尤其是对目前广泛应用的双因素安全认证技术进行完善。基于这样的情况,我们有了一种新型的网上银行系统的设计思路,这种新型的网上银行系统可在现有的网上银行双因素身份认证技术的基础上对网上银行进行安全加强和功能扩展。 1)从系统安全角度对USBKEY进行改造,消除双因素认证中USBKEY可能存在的安全隐患;改造USBKEY的具体方案:一是增加输入键,使其PIN码在USBKEY上输入,防止被电脑上的木马拦截。二是增加显示屏和确认键,将要被签名的信息通过显示屏显现出来,让用户自己确认,完成交易。 2)从网络安全角度,通过增加VPN,建立网上银行交易信息在网络传输过程中的专用安全通道; 3)从业务应用的角度对USBKEY硬件进行扩展,实现对网上银行应用范围的合理扩展,这样既能提高网上银行的安全性又能对网上银行的业务应用进行创新。 改造后的这种新型的网上银行系统,既解决了目前网上银行普遍采用的双因素安全认证技术中存在的隐患,极大的提高了网上银行的安全性。同时通过技术改造,在USBKEY上扩展有相关性的硬件组件,促进网上银行与行业应用的结合,扩展网上银行的业务功能,提高网上银行的便利性。 新型网上银行系统如果能够得到推广应用,对于有效提高网上银行的安全性,扩展网上银行的业务范围、增加客户对网上银行的信任度,促进网上银行的健康发展有着及其重要的意义。由此引出对网上银行安全风险与对策研究的课题。 本文首先分析了目前国内网上银行面临的安全风险,以及当前国内外网上银行的发展情况及安全现状;然后指出了我国网上银行面临的安全风险,以及监管部门对网上银行安全认证问题的提出的解决策略,并主要分析了当前网上银行普遍采用的双因素安全认证技术及其存在的安全隐患,提出了新型的网上银行系统的设计思路,这种新型的网上银行安全认证系统不仅解决了当前网上银行存在的安全隐患,还促进了网上银行与行业应用的结合,拓展了网上银行的业务范围。 笔者以网上银行的安全认证风险与对策研究作为论文选题,意在抛砖引玉,希望能够引起广大网上银行安全问题的研究人员对当前网上银行安全认证存在的问题和面临的安全风险高度重视,不断研究出安全强度更好的保护措施,为网上银行的健康发展保驾护航,让客户能够真正放心的使用网上银行。