网上银行系统的安全性研究

刘亚军

山东省农村信用社信息科技部 山东 266520

0 引言

国际互联网(Internet)在世界范围的飞速发展对社会各方面产生了巨大而深远的影响，并正在从根本上改变着人类的生活方式，应运而生的网上银行，充分利用了信息产业日新月异的科技成果，给银行业注入了新的活力，代表着未来银行的发展方向。

网上银行与传统银行不同就在于其是开放性的支付系统，而开放性的支付系统在为银行带来方便和快捷的同时，也带来了新的安全问题。巴塞尔委员会电子银行小组的调查表明，安全风险是网上银行中最受关注的风险。如何保证系统的安全性，成为网上银行系统建设的重要内容。

1 网上银行系统安全现状

据中国互联网信息中心(CNNIC)近日发布的数据显示，截至2012年6月底，国内网上银行用户规模为1.91亿，增速达到 14.8%。互联网的高速发展不仅给包括银行在内的金融企业带来巨大机遇，同时也让传统银行面临挑战，因为银行正越来越“虚拟”。目前网上银行安全事故频繁发生，对网上银行安全性的担忧一直是广大网民不敢或不愿尝试使用网上银行的最主要原因。据 CNNIC相关调查报告显示，不愿选择网上银行的客户中有 76%是出于安全考虑。目前虽然采用了一定的安全措施，但仍存在一些安全隐患。据OWASP(Open Web Application Security Project，发布网络攻击组织)调查，应用系统遭受攻击主要源自以下几个方面：应用软件、操作系统、硬件设备等，具体如表1所示。

表1 应用系统攻击占比

黑客通常利用注入用户电脑中的木马程序获取网上银行用户的账号和密码，“钓鱼网站”也是网上银行一个非常大的安全隐患。目前我国“假银行”欺诈短信的单月用户举报量已超过6千条，其中35%的短信中内嵌钓鱼网站链接, 据中国互联网信息举报中心监测数据显示，假冒中国银行网站的钓鱼网站数量已多达近70个，欺骗性极强，而且均为在境外网站注册的免费域名，国内目前无法对此实施有效管理。除此之外，对网银系统威胁较大的手段还有：服务器攻击、键盘记录、嵌入浏览器恶意代码、屏幕录像、窃取数字证书文件、伪装窗口等。

网上银行安全隐患还表现在系统架构设计不合理、操作系统存在漏洞、安全设备不完善等方面。虽然这是些小概率事件，但是一次这样的风险事件就足以挑战公众的信任。所以，随着网上银行的普及，网上银行的安全性成为整个系统中最为至关重要的部分了。

2 网上银行系统安全措施

网上银行系统的安全性极为重要，如何确保其安全关系到系统的建设成败。网上银行系统安全手段是全方位、多层次的，可从系统层、应用层和管理层三个方面来提高系统安全性，如图1所示。

图1 网上银行系统安全层次

2.1 系统层安全

2.1.1 系统架构安全

根据不同的安全级别，应对网上银行系统架构划分安全区域，如图 2所示，将系统划分为互联网(INTERNET)区、停火(DMZ)区、应用(APP)区和办公(OFFICE)区。并在各安全区域之间部署异构防火墙，在各安全区域内部部署安全防护设备，如安全网关、漏洞扫描、抗DDoS攻击设备、入侵检测设备IDS、入侵防御设备IPS等，从而有效控制非法用户入侵、防范恶意攻击，对应用系统进行全面安全防护。

图2 网上银行系统安全架构

2.1.2 数据安全

(1) 数据传输安全：数据传输时，可利用SSL协议，通过安全网关设备(部署在DMZ区)在服务器端与客户端建立安全通道，以保证数据在公网传输的机密性；同时在系统内部可通过加密机对待传输数据加密保证数据在内网传输的安全。

(2) 数据存储安全：制订并严格执行科学合理的数据备份机制、数据访问机制和灾难恢复计划，以保证业务连续性。

2.2 应用层安全

(1) 安全输入控件：在使用电脑键盘输入时能有效防范键盘窃听敏感信息，在使用软键盘输入时能对整体键盘布局进行随机干扰并有效防范屏幕录像，有效保护客户交易密码的安全。

(2) 图形认证码：能有效避免对网上银行客户的恶意重复攻击。

(3) 数字证书：对客户提交的交易信息进行数字签名，从而确保交易信息的不可否认性和完整性。

(4) 服务器站点证书：帮助用户更直观的判断网站的真实性，有效避免假冒网站和钓鱼网站给客户带来的风险，同时还可保证信息传输的机密性。

(5) 安全控制机制：不同的控制机制如权限控制、限额控制、复核机制、授权机制、防重发机制可确保系统使用安全。

2.3 管理层安全

(1) 加强内部管理，切实做好系统运行监测、维护和入侵检测，及时发现和处理潜在风险，避免系统中断运行；做好备份和灾难恢复，建设异地备份数据处理中心，确保核心数据安全。

(2) 定期进行安全评估，根据《电子银行安全评估指引》等相关规定(至少每两年对电子银行进行一次全面的安全评估)，定期组织网上银行系统的安全测试、渗透性测试和外部安全评估工作。

(3) 强化宣传教育，提高网上支付客户自身安全意识及安全水平，增强操作安全性。

3 结论

本文通过对网上银行系统安全性的分析，给出多种安全措施。综合使用各种安全技术，可有效确保网上银行系统的安全，从而为客户提供安全、快捷的银行服务。

[1]中国互联网信息中心(CNNIC)第三十次中国互联网络发展状况统计报告.2010.

[2]陈艳.网上银行的安全运行问题及其对策[J].经济与社会发展.2010.

[3]龙冬阳.网络安全技术及应用[M].华南理工大学出版社.2006.