亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        網(wǎng)上銀行的安全認證問題研究

        2012-04-29 00:00:00王勉
        現(xiàn)代管理科學(xué) 2012年4期

        摘要:網(wǎng)上銀行指銀行通過信息網(wǎng)絡(luò)提供的各種金融服務(wù)。銀行對網(wǎng)銀安全性管理要求很高,通過持續(xù)技術(shù)升級,為用戶提供多重安全保障。目前國內(nèi)網(wǎng)上銀行的安全認證方式呈現(xiàn)多樣化發(fā)展, 從最初依賴簡單帳號密碼,發(fā)展新增了數(shù)字證書、 動態(tài)密碼、 一次性密碼等新的認證方式, 單一的認證已不能滿足用戶需求,網(wǎng)銀認證正朝著多重認證的方向發(fā)展。

        關(guān)鍵詞:網(wǎng)上銀行;安全認證;身份識別

        一、 引言

        目前國內(nèi)網(wǎng)上銀行的安全認證方式呈現(xiàn)多樣化發(fā)展,從之前更多依賴簡單的帳號密碼,逐漸新增了數(shù)字證書、動態(tài)密碼、一次性密碼等新的認證方式。2008年至今各大銀行在安全認證方面不斷加大力度,工行推出了手機短信認證服務(wù)、浦發(fā)推出了“移動數(shù)字證書+動態(tài)密碼”認證新方式等??梢园l(fā)現(xiàn),單一的認證已不能滿足用戶的需求,網(wǎng)銀認證正朝著多重認證的方向發(fā)展。

        二、 網(wǎng)絡(luò)銀行安全系統(tǒng)概述

        1. 網(wǎng)絡(luò)節(jié)點安全。網(wǎng)絡(luò)銀行的節(jié)點安全的內(nèi)容包括:計算機網(wǎng)絡(luò)設(shè)備安全、計算機網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫安全等,主要靠防火墻實現(xiàn)。

        (1)防火墻:防火墻是在連接Internet和Intranet保證安全最為有效的方法,防火墻能夠有效地監(jiān)視網(wǎng)絡(luò)的通信信息,并記憶通信狀態(tài),從而做出允許/拒絕等正確的判斷。通過靈活有效運用這些功能,制定正確的安全策略,將能提供一個安全高效的Intranet系統(tǒng)。

        (2)防火墻安全策略:基于防火墻的安全策略建立了全方位的防御體系來保護機構(gòu)的信息資源,安全策略應(yīng)包括:規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠地的用戶認證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措施,以及管理制度等。所有可能受到網(wǎng)絡(luò)攻擊的地方都必須以同樣安全級別加以保護。

        (3)安全操作系統(tǒng):防火墻是基于操作系統(tǒng)的。如果信息通過操作系統(tǒng)后門繞過防火墻進入內(nèi)部網(wǎng),則防火墻失效。所以,要保證防火墻發(fā)揮作用,必須保證操作系統(tǒng)的安全。只有在安全操作系統(tǒng)的基礎(chǔ)上,才能充分發(fā)揮防火墻的功能。在條件許可的情況下,應(yīng)考慮將防火墻單獨安裝在硬件設(shè)備上。

        2. 商務(wù)安全。

        (1)通信和鏈路安全。電子商務(wù)系統(tǒng)的數(shù)據(jù)通信主要存在于:①客戶瀏覽器端與電子商務(wù)WEB服務(wù)器端的通訊;②電子商務(wù)WEB服務(wù)器與電子商務(wù)數(shù)據(jù)庫服務(wù)器的通訊;③銀行內(nèi)部網(wǎng)與業(yè)務(wù)網(wǎng)之間的數(shù)據(jù)通訊。

        此外,在客戶端瀏覽器和電子商務(wù)WEB服務(wù)器之間采用SSL協(xié)議建立安全鏈接,所傳遞的重要信息都是經(jīng)過加密的,這在一定程度上保證了數(shù)據(jù)在傳輸過程中的安全。

        (2)應(yīng)用程序的安全。即使正確地配置了訪問控制規(guī)則,要滿足計算機系統(tǒng)的安全性也是不充分的,因為編程錯誤也可能引致攻擊。

        (3)用戶的認證管理。

        ①身份認證:電子商務(wù)企業(yè)用戶身份認證可以通過服務(wù)器CA證書與IC卡相結(jié)合實現(xiàn)的。CA證書用來認證服務(wù)器的身份,IC卡用來認證企業(yè)用戶的身份。個人用戶由于沒有提供交易功能,所以只采用ID號和密碼口令的身份確認機制。

        ②CA證書:要在網(wǎng)上確認交易各方的身份以及保證交易的不可否認性,需要一份數(shù)字證書進行驗證,這份數(shù)字證書就是CA證書,它由認證授權(quán)中心(CA中心)發(fā)行。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核后,為其發(fā)放數(shù)字證書,證書分為服務(wù)器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的服務(wù)器證書(下載可以在訪問之前或訪問時進行)。

        三、 各種安全認證的比較

        目前安全認證技術(shù)主要有:動態(tài)口令、USB卡、IC卡、磁卡、虹膜、指紋、CA數(shù)字證書、掌紋、聲紋、面像等。在此對主要認證技術(shù)簡單進行應(yīng)用安全性和實現(xiàn)方便性上的比較。

        1. 安全性比較,(如表2示)。

        2. 便捷性比較,(如表3示)。

        在安全認證領(lǐng)域,安全性與便捷性成反向關(guān)系,U盾的安全等級高于動態(tài)令牌,但是U盾會遇到計算機、操作系統(tǒng)、防火墻等軟硬件適配性方面的問題,也會面臨手機、iPad等移動終端沒有USB接口方面的問題。原來認為短信密碼相對安全性比較高,但在單獨使用過程中,會遭遇無線信號未覆蓋、短信的時間滯后,SIM卡被克隆,電信主機被侵入,密碼被盜后無法確認是電信責(zé)任還是網(wǎng)上銀行的責(zé)任等方面的問題。因此,一般認證體系在相同便捷性情況下,選擇安全等級高的認證系統(tǒng),在認證強度不足的情況下,采用雙因素的認證。另外,將認證強度與交易金額上限相關(guān),實現(xiàn)既便捷又相對安全的的認證方式。

        四、 安全認證系統(tǒng)遭到攻擊的事件

        理論上被認為需要幾百萬年才能被攻破的系統(tǒng),存在事后被認為顯而易見的漏洞。

        1. 美國網(wǎng)絡(luò)安全認證巨頭RSA公司遭受攻擊,4 000萬個種子文件被盜。2011年3月,RSA公司透露其受到網(wǎng)絡(luò)攻擊,攻擊造成SecurID的關(guān)鍵信息丟失。6月2日,RSA確認了在3月份的被盜的數(shù)據(jù)被用來攻擊洛克希德—馬丁公司和其他美國國防承包商。6月6日,該公司在全球范圍召回4 000萬只SecurID。

        為規(guī)避種子文件庫被攻破,可以采用兩次SecurID激活方案,既在出廠時激活一次,在發(fā)放給用戶是再設(shè)一次SecurID。理論上,只有獲得兩個SecurID庫,并知道兩個SecurID庫之間的對應(yīng)關(guān)系才能攻破動態(tài)令牌。

        2. 第一代U盾遭受攻擊。原來被公認為安全等級最高的U盾,也遭受攻擊。2011年4月,北京一犯罪分子利用木馬突破網(wǎng)銀U盾30秒竊30萬。犯罪分子通過將木馬程序,遠程控制用戶電腦,然后在U盾尚未拔掉的情況下,完成轉(zhuǎn)帳。隨即,招商銀行等銀行宣布,下調(diào)通過第三方支付進行的網(wǎng)上交易限額。其中,招商銀行大眾版一卡通客戶的網(wǎng)上支付、轉(zhuǎn)賬上限由原來的5 000元/日調(diào)整為500 元/日;而信用卡客戶的網(wǎng)上支付單日限額也由原來的自行設(shè)置調(diào)整為單筆不超過500元。除招行外,其他商業(yè)銀行也以支付安全為理由將網(wǎng)銀交易上限大幅下調(diào)。

        3. 中國銀行第一代動態(tài)令牌遭受釣魚網(wǎng)站攻擊。持有中行“E令”(動態(tài)令牌)的用戶登錄仿冒中國銀行主頁的釣魚網(wǎng)站后,即暴露靜態(tài)密碼和動態(tài)密碼,而釣魚網(wǎng)站利用動態(tài)密碼在60秒鐘內(nèi)有效的特點,有程序自動登陸中國銀行主頁并轉(zhuǎn)賬。據(jù)業(yè)內(nèi)人士估計,此輪中行遭受的損失上億元。此后,中國銀行增加短信密碼作為第二個認證因素。

        目前,生成與賬戶、轉(zhuǎn)賬金額相關(guān)的挑戰(zhàn)/應(yīng)答型動態(tài)令牌可以有效化解這方面的風(fēng)險。

        五、 電子安全認證相關(guān)法律法規(guī)

        網(wǎng)絡(luò)銀行和電子商務(wù)相關(guān)的主要法律法規(guī)包括:《中華人民共和國電子簽名法》、《電子銀行業(yè)務(wù)管理辦法》、《電子認證服務(wù)管理辦法》、《電子認證服務(wù)密碼管理辦法》、《商用密碼管理條例》、《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》、《商用密碼產(chǎn)品銷售管理規(guī)定》、《商用密碼產(chǎn)品使用管理規(guī)定》、《境外組織和個人在華使用密碼產(chǎn)品管理辦法》、《電子支付指引(第一號)》、《電子銀行安全評估指引》、《關(guān)于網(wǎng)上交易的指導(dǎo)意見(暫行)》、《信息安全等級保護管理辦法》。

        2004年8月28日,十屆全國人大常委會第十一次會議通過了《中華人民共和國電子簽名法》是該領(lǐng)域比較基礎(chǔ)性的法律,主要規(guī)定了四方面的內(nèi)容:確立了電子簽名的法律效力;規(guī)范了數(shù)據(jù)電文;設(shè)立電子認證服務(wù)市場準(zhǔn)入制度;制定了電子簽名安全保障制度。雖然在《電子簽名法》誕生后,完成了對《公司法》、《票據(jù)法》、《證券法》、《拍賣法》的修訂工作,但仍然存在許多銜接方面的問題?!逗贤ā返?2條規(guī)定:“當(dāng)事人采用合同書形成訂立合同的,自雙方當(dāng)事人簽字或蓋章時合同成立”。該合同書很明顯指的是傳統(tǒng)的書面合同并不涉及電子合同。與電子合同有關(guān)的是《合同法》第33條:“當(dāng)事人采用信件、數(shù)據(jù)電文形式訂立合同的,可以在合同成立之前要求簽訂確認書,簽訂確認書時合同成立”。但在這里《合同法》并沒有解決電子合同的簽名問題,而是將其拋給了當(dāng)事方自己處理。當(dāng)事人既可以要求簽訂確認書,也可以不要求簽訂確認書。事實上,由于當(dāng)事方在現(xiàn)實中客戶與銀行的財力、技術(shù)水平、經(jīng)驗等方面并不是一樣的,客戶與銀行很難通過協(xié)商達成公平的解決方案。《電子簽名法》傾向但不強制要求采用第三方認證。1999年由中國人民銀行牽頭組織工商銀行、建設(shè)銀行、中國銀行、農(nóng)業(yè)銀行等多家商業(yè)銀行聯(lián)合共建國家金融認證中心(CFCA)。事實上,中農(nóng)工建交招等大型銀行依然采用本銀行內(nèi)部認證機制,未采用CFCA認證。另外,《電子簽名法》傾向于電子簽名,但由于現(xiàn)實情況、技術(shù)水平?jīng)Q定電子簽名效率比較低、依然存在安全漏洞,而且與用戶習(xí)慣不符,因此為其他安全認證方法留下足夠的空間。如“第三十四條第三款:電子簽名認證證書,是指可證實電子簽名人與電子簽名制作數(shù)據(jù)有聯(lián)系的數(shù)據(jù)電文或者其他電子記錄”??傮w看來,《電子簽名法》的表述上有較大的彈性,實際情況是象征意義大于操作意義。

        銀監(jiān)會公布《電子銀行業(yè)務(wù)管理辦法》和《電子銀行安全評估指引》,于2006年3月1日起施行?!掇k法》上所指的電子銀行包括網(wǎng)上銀行、電話銀行、手機銀行,也包括其他利用電子服務(wù)設(shè)備和網(wǎng)絡(luò),由客戶通過自助服務(wù)方式完成金融交易的銀行業(yè)務(wù),例如自助銀行、ATM機等。由于電子銀行的銀行風(fēng)險很大程度上與第三方有關(guān),比如技術(shù)風(fēng)險,銀監(jiān)會在管理辦法中,重點強調(diào)了風(fēng)險管理和相應(yīng)的法律責(zé)任,明確了電子銀行風(fēng)險管理體系和內(nèi)控制度建設(shè)、授權(quán)管理機制等要求。按照辦法規(guī)定,金融機構(gòu)應(yīng)當(dāng)與客戶簽訂電子銀行服務(wù)協(xié)議或合同,在協(xié)議中告知風(fēng)險,比如金融機構(gòu)已經(jīng)采取的風(fēng)險控制措施和客戶應(yīng)采取的風(fēng)險控制措施,相關(guān)風(fēng)險的責(zé)任承擔(dān)等。在責(zé)任部分,辦法規(guī)定,因電子銀行系統(tǒng)存在安全隱患、金融機構(gòu)內(nèi)部違規(guī)操作和其他非客戶原因等造成損失的,金融機構(gòu)應(yīng)承擔(dān)相應(yīng)責(zé)任。因客戶有意泄露交易,或者未按照服務(wù)協(xié)議盡到應(yīng)盡的安全防范與保密義務(wù)造成損失的,金融機構(gòu)可以根據(jù)協(xié)議的約定免于承擔(dān)相應(yīng)責(zé)任。如果涉及到兩家金融機構(gòu)造成客戶損失,盡職的不擔(dān)責(zé)任,但提供電子銀行服務(wù)的金融機構(gòu)有義務(wù)協(xié)助其客戶處理有關(guān)事宜。由于電子銀行涉及到的安全和技術(shù)風(fēng)險,銀行依靠傳統(tǒng)的風(fēng)險管理機制很難識別、監(jiān)測、控制和管理,大部分國家依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估,銀監(jiān)會因此頒布了指引以規(guī)范電子銀行安全評估活動。

        參考文獻:

        1. 梁爽.我國網(wǎng)上銀行風(fēng)險現(xiàn)狀及對策.財經(jīng)界(學(xué)術(shù)版),2011,(3):90-92.

        2. 孫旖.我國網(wǎng)上銀行發(fā)展歷程及現(xiàn)狀淺析.東方企業(yè)文化,2010,(7):283-284.

        3. 陳曉慧,吳應(yīng)宇.我國網(wǎng)絡(luò)銀行發(fā)展的制約因素及完善對策,2008,(6):104-105.

        4. 呂志祥,何紅金.我國網(wǎng)上銀行安全保障機制探析,2010,(3):113-114.

        作者簡介:王勉,南京大學(xué)經(jīng)濟學(xué)院博士生。

        收稿日期:2011-03-11。

        日韩一区在线精品视频| 对白刺激的老熟女露脸| av网站可以直接看的| 在线观看国产视频你懂得| 久久久久亚洲精品无码蜜桃| 亚洲乱码日产精品bd在线观看| 亚洲中文无码精品久久不卡| 激情五月六月婷婷俺来也| 高清毛茸茸的中国少妇| 欧美gv在线观看| 久热re在线视频精品免费| 精品国产日韩亚洲一区在线| 国产av国片精品有毛| 欧美国产日韩a在线视频| 欧美人与动牲交片免费| 亚洲自拍偷拍一区二区三区| 无码字幕av一区二区三区| 久久精品国产夜色| 日韩精品成人一区二区三区久久久| 日本一区二区不卡精品| 毛片a级毛片免费观看| 亚洲小说图区综合在线| 北岛玲亚洲一区二区三区 | 人人妻人人做人人爽| 最近日本中文字幕免费完整| 久久精品美女久久| 黄色国产精品福利刺激午夜片| 熟女少妇精品一区二区| 色婷婷精品| 国产黄三级三级三级三级一区二区| 亚洲av成人一区二区三区本码| 国产精品va无码一区二区| 精品久久亚洲一级α| 最新69国产精品视频| 国产无吗一区二区三区在线欢| 97性视频| 国产成人高清亚洲一区二区| 国产午夜精品无码| 国内揄拍国内精品少妇国语| 加勒比熟女精品一区二区av| 久久精品国产av一级二级三级|