搜狐网站
搜狐 ChinaRen 17173 焦点房地产 搜狗
搜狐IT-搜狐网站
IT频道 > 互联网 > 国内互联网

防范网上交易风险 桌面安全是关键(图)

  网上银行有风险,作为普通大众,如何在桌面防范风险?

  桌面是最薄弱环节

  我们仔细分析一下Web安全问题主要内容。W

  eb安全问题主要包括三方面的内容:Web服务器及其数据的安全、Web服务器和用户之间传递的信息的安全以及终端用户的计算机及其他连入Internet的设备的安全。


  1.Web服务器及其数据的安全问题。主要包括:保证服务器能够持续稳定运行;保证只有经过授权才能修改服务器上的信息;保证能够把数据发送给指定的接受者。

  2.Web服务器和用户之间传递的信息的安全问题。主要包括:确保用户提供给Web服务器的信息如用户名、密码、财务信息、访问的网页名等不被第三方所阅读、修改和破坏;保护用户和服务器之间的链路,使得攻击者不能轻易地破坏该链路。

  3.终端用户的计算机及其他连入Internet的设备的安全问题。主要包括:用户需要使用Web浏览器和安全计算平台上的软件,必须保证这种平台不会被病毒感染或被恶意程序破坏;用户需要保护自己的私人信息,确保它们无论是在自己的计算机上还是通过在线服务时都不会遭到破坏。

  通过对电子商务攻击难度的评估,以及对近年来网上电子交易案件分析,可发现直接攻击Web服务器端或Web服务器和用户之间连接的案例并不多见,技术难度也较高。因此,攻击者往往把目光盯上了疏于保护的用户的桌面电脑上,通过种植木马病毒等方式,窃取用户的用户名、口令、账号及数字证书,进而冒充用户进行电子交易,达到窃取资金的目的。

  曾经有专业机构对网上交易攻击手段难易度进行评估,发现对桌面电脑客户端的攻击是最容易的,其次依次是对供应商的攻击、网页欺诈攻击、DNS抢劫、在浏览器上偷听、认证机构的渗透以及对加密密钥的分析,最难的是对密钥的分析。如图所示。

  谨慎保护身份信息

  对于黑客来说,冒充用户身份进行电子交易的首要条件是通过电子交易系统的身份认证,可见保障网银资金安全,关键在于身份认证这一环节。近年来频频发生的网上银行资金被盗案无一例外都是通过攻击者持有用户表明身份的用户名、口令、数字证书后,冒充用户骗过了网银服务器身份认证而完成的。数字身份认证是基于国际PKI标准的网上身份认证系统,它以数字签名的方式通过第三方权威认证有效地进行网上身份认证,帮助各个实体识别对方身份和表明自身的身份,具有真实性和防抵赖功能。生物认证是通过人体的生物学特征进行个人数字证书签名。

网上交易攻击手段难易度评估图

  电子交易系统身份认证方式主要分为静态口令、动态口令、数字证书、生物认证等四种主要方式。

  静态口令是由用户自行设定的口令,一般情况下,用户不会在一个相对短的时间间隔内频繁地更换自己的口令,因此这种口令基本上是静态方式。

  动态口令是由是由特定手持终端设备生成的,根据某种加密算法,产生一个随某一个不断变化的参数(例如时间,事件等)不停地、没有重复变化的一种口令。动态口令令牌是用户每隔一分钟变换一次口令,攻击者没有办法推测出用户的下一次登录口令。

  数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件,能够保证用户在网上传送信息的安全,防止其他人对信息的窃取或篡改。

  生物认证是通过人体的唯一生物特征对身份进行识别的方法,如指纹认证、掌纹认证、面容认证、声音认证、虹膜认证、视网膜认证等,目前指纹认证运用最为广泛。

  静态口令、动态口令、数字证书、生物认证四种认证方式的安全程度是有差异的,通常情况下,生物认证安全性最高,数字证书、动态口令次之,静态口令安全性最差。

  人们要安全使用网上交易系统,必须保护好相应的认证信息,以免被黑客冒充,丢失资金。需要注意以下几点:

  1.选择高安全性的网上交易系统。窃取静态口令比窃取人体指纹无疑要容易得多,提供了有双重身份认证(如数字证书加一次性手机短信密码)的网上银行系统比采用单一认证方式的系统要安全许多,因此选择一家提供了高安全性的网上交易系统至关重要。选择网银时还可参考银行以往处理客户网银资金丢失时做法,以确定银行在这方面的防风险能力。

  2.妥善保管好相应的认证信息。不要在网吧等公共场所使用网银等敏感的网上交易系统,不要轻易相信陌生的电话或者短信、邮件,泄漏个人资料。静态口令应牢记脑中,动态口令要谨慎保管,以免丢失特定的动态口令令牌。数字证书不要存储在硬盘文件夹上,而应存储在IC卡或USBKey中,一旦使用完毕立即从电脑上拔除。

  3.及时升级操作系统安全补丁和更新防病毒软件。避免攻击者利用操作系统相关漏洞进行攻击,并在网上交易时打开防毒软件和个人防火墙,保护个人资料。

  4.谨防进入钓鱼网站。在登录网上交易系统时应留意核对所登录的网址是否相符,谨防攻击者恶意模仿相应网站,骗取账户和密码等信息。

  5.选择好的密码。好的密码很难被猜出,应注意字符、数字及标点符号、控制符号组合,大小写组合,并且避免使用如生日、电话号码等容易猜测的组合,同时将网上银行登录密码和对外支付的密码设置成不同的密码并定期更新。

  6.不随意下载网上可执行程序和图片。原则上只下载和使用经过代码签名的可执行程序,以免被木马病毒感染。

  7.充分利用银行提供的增值服务。现在大多数银行都提供了交易的短信和邮件提醒,可以充分利用银行的贴心服务,及时掌握自己的账户变动情况。

  链 接:银行不能推卸的责任

  应该提醒的是,桌面客户端的安全不只是最终用户的事,网上交易系统提供商也有义务为用户提供从客户端到服务器的贯穿交易全过程的安全防范措施。因此,商业银行必须采取的、不能推卸的安全责任有如下几点。

  1.增加生物认证方式及双重认证机制。目前银行的认证方式主要是静态口令、动态口令、数字证书,除北京某商业银行外,都不支持生物认证方式,而生物认证方式具有难仿冒,不丢失,安全性更高的特点;同时进一步加强双因素身份认证机制,如数字证书加一次性手机短信密码等做法,能大大增强某一身份认证信息被窃而导致资金被盗的难度。

  2.大力宣传桌面客户端计算机安全的重要性,增加人们的风险意识,并及时向人们推荐安全的认证方式。前不久上海某银行客户因数字证书被盗导致丢失16万资金案中,该银行其实早就提供了USBkey等其他安全认证方式,如果客户能及时知晓数字证书保存重要性,并结合其他安全认证方式,该案件是完全可以避免发生。

  3.建立完善的事后处理机制。目前大部分银行没有用户资金被盗后的处理机制,这样在用户发现资金被盗及时通知银行后,银行工作人员往往爱莫能助,眼睁睁看着资金转来转去,如果发生跨行转账,则更难跟踪资金的流向了。因此,我们呼吁,银行应建立完善的事后处理机制,在确定用户资金被盗后,及时采取冻结等措施,保障储户利益,并在银行间建立互动协查机制,使犯罪分子即使跨行转账,也无处遁形。

  4.限制“大众版”网银交易系统使用。在网上银行发展初期,为方便鼓励使用网上银行,大多数银行推出的网上银行系统都有“大众版”和“专业版”之分。“大众版”只需要客户在网上输入身份证号、账号、密码即可自动开通,并提供小金额资金转账。这无疑给攻击者提供了便利。

  当然,安全是相对的安全,没有绝对的安全,是系统就一定有漏洞,对于银行系统来说也是如此。只要我们不断加强自身的防范意识,努力做好桌面客户端认证信息保密工作,再加上银行不断升级的安全服务,相信能做到“魔高一尺,道高一丈”。
(责任编辑:romp)
用户:  匿名  隐藏地址  设为辩论话题

*搜狗拼音输入法,中文处理专家>>

我要发布Sogou推广服务

新闻 网页 博客 音乐 图片 说吧  
央视质疑29岁市长 邓玉娇失踪 朝鲜军事演习 日本兵赎罪
石首网站被黑 篡改温总讲话 夏日减肥秘方 日本瘦脸法
宋美龄牛奶洗澡 中共卧底结局 慈禧不快乐 侵略中国报告



说 吧更多>>

说 吧 排 行

搜狐分类 | 商机在线
投 资 创 业 健 康

茶 余 饭 后更多>>