日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

【.com 綜合消息】與傳統(tǒng)的商業(yè)銀行相比，網(wǎng)絡(luò)銀行具有許多競爭優(yōu)勢(shì)，主要體現(xiàn)在方便快捷、成本領(lǐng)先、個(gè)性化服務(wù)、信息積累和市場(chǎng)發(fā)現(xiàn)等方面。

創(chuàng)新互聯(lián)為企業(yè)級(jí)客戶提高一站式互聯(lián)網(wǎng)+設(shè)計(jì)服務(wù)，主要包括網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、手機(jī)APP定制開發(fā)、重慶小程序開發(fā)、宣傳片制作、LOGO設(shè)計(jì)等，幫助客戶快速提升營銷能力和企業(yè)形象，創(chuàng)新互聯(lián)各部門都有經(jīng)驗(yàn)豐富的經(jīng)驗(yàn)，可以確保每一個(gè)作品的質(zhì)量和創(chuàng)作周期，同時(shí)每年都有很多新員工加入，為我們帶來大量新的創(chuàng)意。 

《Netguide 2007中國互聯(lián)網(wǎng)調(diào)查報(bào)告》顯示，2003-2006年，企業(yè)網(wǎng)上銀行用戶數(shù)從33萬增長到84萬，同期個(gè)人用戶數(shù)從810萬增長到6500萬。隨著安全技術(shù)的進(jìn)步、電子商務(wù)的發(fā)展，個(gè)人網(wǎng)上銀行將會(huì)取得較快的進(jìn)展，近幾年中國網(wǎng)上銀行市場(chǎng)規(guī)模保持高速增長，而2007年則出現(xiàn)加速增長的態(tài)勢(shì)。全年網(wǎng)上銀行用戶數(shù)漲幅達(dá)54.7%，而交易量更是有100.8%的增長。預(yù)計(jì)2010年用戶數(shù)將有望超億。

網(wǎng)銀安全嗎？這是網(wǎng)銀用戶最關(guān)心的問題，也是制約網(wǎng)銀業(yè)務(wù)發(fā)展的關(guān)鍵性問題?！叭绻木W(wǎng)銀采用我們的動(dòng)態(tài)口令卡很安全，如果采用Usb key那就絕對(duì)安全，如果使用動(dòng)態(tài)口令卡+Usb key的話。。。，我看沒那個(gè)必要”，銀行小姐如是說。甚至更有銀行放出狠話“如果誰能破解我行網(wǎng)銀采用**的**，將獲獎(jiǎng)勵(lì)**萬元”。上述話音未落，**銀行的網(wǎng)銀用戶**先生呆呆的問道：“為何我的網(wǎng)銀采用了Usb key，怎么還被盜了n萬元呢，這是為什么呢？”，“你的機(jī)器中了木馬，與銀行無關(guān)，況且這種情況純屬個(gè)案，不具有代表性，網(wǎng)銀還是很安全的”，就是！這么明白的道理還問，地球人都知道。但君不見“**網(wǎng)銀維權(quán)聯(lián)盟”中那些受害者無助、欲哭無淚的經(jīng)歷欲與何人訴說。

“一般我自己能辦到的事從來不求別人”----求人不如求己，因此我們應(yīng)該完善自己關(guān)于網(wǎng)銀安全方面的知識(shí)。做到知其然并知其所以然，進(jìn)而才能做到防患于未然。接下來我們將逐步剖析網(wǎng)銀客戶端的安全現(xiàn)狀。

己

“知己知彼”方能百戰(zhàn)不殆，下面我們就先看看網(wǎng)銀所采用的幾種主要技術(shù)手段：

文件數(shù)字證書：本地硬盤存儲(chǔ)的ie數(shù)字證書等，容易被竊取且遠(yuǎn)控木馬容易控制裝有文件證書的電腦進(jìn)行偽造交易。

傳輸加密：HTTPS是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版，即HTTP下加入SSL層。SSL協(xié)議使用不對(duì)稱加密技術(shù)實(shí)現(xiàn)會(huì)話雙方之間信息的安全傳遞。

Usb Key：移動(dòng)數(shù)字證書，里面保存著數(shù)字證書和用戶私鑰。

軟鍵盤：動(dòng)態(tài)彈出鍵盤，利用鼠標(biāo)輸入防止擊鍵記錄。

圖形驗(yàn)證碼：防范暴力破解密碼或者惡意登錄。

返回確認(rèn)圖片：一些銀行為了防止木馬修改交易數(shù)據(jù)采取的一種安全技術(shù)手段，交易時(shí)由服務(wù)器返回帶有交易信息和驗(yàn)證碼的圖片，用戶確認(rèn)交易信息后輸入驗(yàn)證碼完成交易。

安全控件：防止木馬通過擊鍵記錄和ie的com接口獲取密碼等重要信息。

動(dòng)態(tài)口令：一次一密，理論上木馬即使獲得密碼也無用。包括動(dòng)態(tài)口令卡和口令牌等。

驅(qū)動(dòng)保護(hù)：為了防止擊鍵記錄所采用的驅(qū)動(dòng)層技術(shù)手段，有破壞系統(tǒng)穩(wěn)定性的隱患。

彼

網(wǎng)銀客戶端雖然在安全方面力所能及的做了很多努力，但“道高一尺，魔高一丈”，網(wǎng)銀大盜們夜以繼日的挖掘著網(wǎng)銀的安全漏洞?！肮Ψ虿回?fù)有心人”對(duì)誰都是公平的。

你有“金鐘罩”，他會(huì)“挖地道”，什么“動(dòng)態(tài)軟鍵盤”、“安全控件”，木馬制作者只需“見招拆招”。分析javascript軟鍵盤的加密過程，反其道而行之，動(dòng)態(tài)軟鍵盤迎刃而解；“安全控件”采用各種消息鉤子，甚至使用鍵盤過濾驅(qū)動(dòng)攔截鍵盤輸入，但鍵盤過濾驅(qū)動(dòng)就是最底層的攔截嗎？答案是否定的。

我有“動(dòng)態(tài)口令”，一次一密，看你“小馬”怎么辦。哦，這樣啊，但那些“網(wǎng)銀大盜”也不是吃“干飯”的。假設(shè)你用動(dòng)態(tài)口令卡在輸入動(dòng)態(tài)口令后被木馬截獲、木馬隨后關(guān)閉ie，結(jié)束你的交易過程，然后“養(yǎng)馬人”在遠(yuǎn)程偽造交易結(jié)果會(huì)怎樣呢？“不可能，我會(huì)讓你隨機(jī)輸入動(dòng)態(tài)口令的”，“真是每次都隨機(jī)嗎？不盡然吧！”，“網(wǎng)銀”的臉有些紅了。“我還有動(dòng)態(tài)口令牌，定時(shí)會(huì)改變動(dòng)態(tài)口令，可以達(dá)到隨機(jī)了吧”，但是假如你的時(shí)間間隔夠長，網(wǎng)銀大盜的手夠快，結(jié)果又會(huì)怎樣呢？網(wǎng)銀無語了。

“我有殺手锏---Usb key，沒招了吧”；“是人都會(huì)犯錯(cuò)誤的，假如你的主人沒有及時(shí)將Usb key取走，“養(yǎng)馬人”是否就可以遠(yuǎn)程控制它，需要身份認(rèn)證時(shí)喂它正常的數(shù)據(jù)，它也應(yīng)該吐出想要的驗(yàn)證數(shù)據(jù)呢？”。

上述一些隱患可以認(rèn)為只是在認(rèn)證階段，但假如木馬繞過認(rèn)證階段，對(duì)交易的數(shù)據(jù)進(jìn)行修改，例如你要轉(zhuǎn)帳給張三，而你所看到的所有可見信息包括確認(rèn)信息、交易查詢信息都是正常的，可結(jié)果錢卻轉(zhuǎn)給了李四，不用疑惑“這是為什么呢？”。一定是木馬攔截了你的網(wǎng)銀通信數(shù)據(jù)，在ssl等加密措施前將相應(yīng)張三的數(shù)據(jù)改為李四，再修改用戶所見數(shù)據(jù)欺騙你的眼睛。無論是基于ie的b/s客戶端還是招行的c/s客戶端其實(shí)它們都是“一樣一樣的”。

一些銀行的服務(wù)器會(huì)返回一個(gè)含有重要交易信息和確認(rèn)碼的圖片，確認(rèn)碼智能識(shí)別確實(shí)是個(gè)難題，但木馬為什么這么做呢？它完全可以將交易信息抹掉，再配以欺騙性的提示，結(jié)果會(huì)怎樣呢？甚至木馬制作者完全可以采取相對(duì)“笨拙”的手段在遠(yuǎn)程控制端雇傭幾個(gè)“民工”專門負(fù)責(zé)識(shí)別木馬發(fā)來的驗(yàn)證碼，然后返回識(shí)別后的結(jié)果進(jìn)行偽造，相信“龐大”的“木馬帝國”有這樣的能力和財(cái)力。

防

1.嚴(yán)防“李鬼”：

登錄網(wǎng)上銀行時(shí)，須核對(duì)登錄網(wǎng)址與自己同銀行簽訂的協(xié)議書中的網(wǎng)址是否相符。要避免使用搜索引擎等第三方途徑登錄網(wǎng)銀，以防落入一些假網(wǎng)銀網(wǎng)址設(shè)下的陷阱。同時(shí)警惕電子郵件鏈接。網(wǎng)銀一般不會(huì)通過電子郵件發(fā)出“系統(tǒng)維護(hù)、升級(jí)”提示，若遇重大事件，系統(tǒng)會(huì)暫停服務(wù)，銀行會(huì)提前公告。一旦發(fā)現(xiàn)資料被盜，應(yīng)立即修改相關(guān)交易密碼或進(jìn)行銀行卡掛失。

充分利用銀行提供的一些防釣魚手段，如預(yù)留信息、登陸次數(shù)及相關(guān)信息提示，甚至還有的銀行提供了釣魚網(wǎng)站檢測(cè)的小工具。

2.定期檢查詳細(xì)交易記錄

做好自己的交易日志，保證對(duì)自己的每一項(xiàng)有記錄的交易印象深刻。結(jié)合網(wǎng)銀的詳細(xì)交易記錄，確認(rèn)沒有被木馬偽造、篡改交易?？赡艿脑捒梢赃x擇非進(jìn)行交易的電腦進(jìn)行查詢，防止交易機(jī)被木馬控制后會(huì)篡改網(wǎng)銀交易信息使網(wǎng)銀用戶不能查詢真實(shí)交易信息。

3．充分利用銀行提供的附加增值服務(wù)
   
現(xiàn)在很多銀行都提供了交易的短信、郵件提醒，用戶可以充分利用銀行的貼心服務(wù)，掌握自己的財(cái)務(wù)消費(fèi)狀態(tài)，反正大多數(shù)是免費(fèi)，但有些服務(wù)可能需要網(wǎng)銀用戶申請(qǐng)開通。

4．盡量使用“干凈”的系統(tǒng)

可能的話，網(wǎng)銀用戶盡量使用“干凈”、專用的系統(tǒng)進(jìn)行網(wǎng)銀操作，為Windows系統(tǒng)打開自動(dòng)更新功能，及時(shí)更新補(bǔ)丁程序；專用的機(jī)器可能有些不切實(shí)際，但可以采用“干凈”的虛擬機(jī)代替。同時(shí)切記不要在公用電腦（如網(wǎng)吧的）上進(jìn)行網(wǎng)銀操作，那里是木馬、病毒的“溫床”。

5. 安裝殺毒軟件
    
盡管現(xiàn)在的殺毒軟件還是以“特征碼”查毒為主，多有詬病，但畢竟可以對(duì)那些“登記造冊(cè)”有案底的病毒、木馬起到查殺和防范作用，聊勝于無。況且現(xiàn)在的主要?dú)⒍拒浖S商還在主動(dòng)防御方面都號(hào)稱有所突破和創(chuàng)新。我們還可以結(jié)合一些銀行為防范網(wǎng)銀木馬通過殺軟公司定制的專用小工具或者360安全衛(wèi)士等一些免費(fèi)工具在網(wǎng)銀操作前查殺木馬。

6．Usb Key注意事項(xiàng)

沒事的時(shí)候不要將Usb Key接入電腦，只在交易時(shí)候進(jìn)行接入。交易時(shí)接入U(xiǎn)sb Key，輸入pin碼完成交易后，立即將Usb Key取走。

存于硬盤的文件數(shù)字證書較容易被竊取，有些銀行已經(jīng)開始棄用。所以建議網(wǎng)銀用戶不要采用此種方式。

瞻

由于Windows等平臺(tái)的不可信性，決定了基于其上的網(wǎng)銀客戶端安全性不可能得到根本的保障，只能不斷通過技術(shù)手段增強(qiáng)其安全性，增加其被破解的難度。若要從根本上解決網(wǎng)銀的安全問題，必須借助一個(gè)相對(duì)安全、可信的第三方。

基于手機(jī)的解決方案：手機(jī)的普及及其相對(duì)安全的特性使其具有了成為可信第三方硬件的可能，而且現(xiàn)在很多銀行都在業(yè)務(wù)上有對(duì)手機(jī)短信的使用。銀行服務(wù)端只需在網(wǎng)銀用戶進(jìn)行到交易確認(rèn)步驟時(shí)，給用戶注冊(cè)的手機(jī)返回主要交易信息（如轉(zhuǎn)帳業(yè)務(wù)中轉(zhuǎn)入帳號(hào)、轉(zhuǎn)入金額等）以及一個(gè)用于完成交易的確認(rèn)碼，用戶確認(rèn)交易信息無誤并輸入確認(rèn)碼后才能正確完成交易。這樣基本可以杜絕在客戶端利用信息偽造進(jìn)行網(wǎng)銀盜竊。但現(xiàn)在幾乎所有的銀行都沒有采用這種方式，可能是基于成本或者短信實(shí)時(shí)性方面還不完善等方面的考慮。

基于帶有顯示屏、確認(rèn)鍵的Usb Key：通過Usb Key中足夠安全的加密我們可以假設(shè)從Usb Key輸出的內(nèi)容是安全的，那么如何保證輸入信息的真實(shí)性和用戶的可參與性則成為網(wǎng)銀安全的關(guān)鍵。顯示屏用來將用戶通過客戶端輸入的內(nèi)容真實(shí)的顯示出來，用戶完成交易信息確認(rèn)后通過Usb Key的確認(rèn)鍵完成交易。這樣也可以有效的防止交易信息的偽造。

值得慶幸的是金融行業(yè)已經(jīng)開始出現(xiàn)了帶有顯示屏、確認(rèn)鍵的二代Usb Key的網(wǎng)銀系統(tǒng)，盡管還處于內(nèi)測(cè)階段，相信不久就會(huì)正式面市，其價(jià)格肯定會(huì)比一代Usb Key貴些，應(yīng)該在百元左右，盡管價(jià)格不菲，如果其安全性果如其然，對(duì)進(jìn)行頻繁網(wǎng)銀業(yè)務(wù)或者大額網(wǎng)銀業(yè)務(wù)的用戶還是物有所值的。

鑒于成本等方面的考慮，未來的網(wǎng)銀的安全手段不可能在短時(shí)間內(nèi)出現(xiàn)某種技術(shù)一枝獨(dú)秀、一統(tǒng)天下的局面，“裸奔”（只依賴計(jì)算機(jī)安全）的用戶、動(dòng)態(tài)口令用戶、Usb Key用戶等諸侯割據(jù)的局面還會(huì)在相當(dāng)長的一段時(shí)間內(nèi)共存，網(wǎng)銀用戶可以根據(jù)自己對(duì)安全性的不同需求進(jìn)行相應(yīng)的選擇。

當(dāng)前文章：道高一尺魔高一丈淺析網(wǎng)銀安全
網(wǎng)站鏈接：http://www.5511xx.com/article/dpehohd.html