您现在的位置: 新晨范文网 >> 金融论文 >> 电子银行论文 >> 正文

我国电子银行的分类与定义

2012/07/03 阅读:

1电子银行的定义与分类

中国银监会发布的《电子银行业务管理办法》中对电子银行进行了定义:“是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。电子银行业务包括利用计算机和互联网开展的银行业务,利用电话等声讯设备和电信网络开展的银行业务,利用移动电话和无线网络开展的银行业务,以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。”国内电子银行概念的提出是从网上银行普及开始的,各银行已经普遍建立了电子银行的业务渠道体系。下一步,分别建立的电话银行、网上银行、自助银行等系统将整合在一起,形成完整的电子银行系统。

2不同种类电子银行的安全威胁

各类电子银行的安全性,可以从客户端、传输线路和服务部端三个部分去考虑。我们在之前的技术文章中,已经讨论过网上银行的安全性问题,其中对银行服务器端的威胁与安全防护已经解释得很详细,在此就不再赘述,主要谈一谈几类电子银行客户端的安全问题。

2.1网上银行

网上银行用户使用PC或笔记本上网,利用网银的B/S或C/S客户端上网,其面临的威胁是多方面的。攻击目的一般都是获取用户的账号、口令和个人证书等信息,冒充用户身份非法转移资金。网上银行客户端易受恶意代码、钓鱼、输入截取、证书盗取和交易篡改等攻击。恶意代码包括蠕虫、病毒、恶意脚本等,通常作为侵入客户端的第一个手段;钓鱼攻击是伪造网上银行交易系统,诱使投资者使用虚假系统登录,造成账号和口令的泄密;输入截取是获得用户的击键或鼠标点击记录,通常包括网上银行的账号与口令;证书盗取是取得用户计算机中个人证书,以冒充用户的身份;交易篡改是相对较少出现但很有威胁的一种攻击,可以将用户的网上银行操作指令内容进行非法改变,以实现其攻击目的。网上银行客户端的安全保护需要从两个方面去考虑,一是操作系统的安全性,二是网上银行客户端本身的安全性。操作系统安全,可以从打补丁、做好安全配置、良好的上网习惯等方面着手。如果能保障操作系统的安全,可以有效防止攻击者通过控制操作系统而攻击网上银行。网上银行客户端的安全防护主要由安全控件实现,通常包括输入信息的保护、进程保护、文件保护等功能。银行要重点加强网上银行客户端的安全性,在客户教育中强调操作系统的安全性。不过事实证明,无论银行如何加强安全教育,网上银行用户的计算机水平与安全意识还是相差很大,总是有一部分用户的水平不足,操作系统安全性很差。所以对于银行来说,技术防御手段还主要是从客户端着手,尽量多地考虑可行的安全功能,力争“在不安全的操作系统环境下,实现安全的网上银行交易”。

2.2手机银行

3G和高性能智能手机的普及,使手机银行正式登场,已经向主要的业务渠道去发展。2G时代手机的带宽不足,很多网络应用无法开展。到了3G时代,一个手机的网络带宽甚至要比PC的网络带宽还要大,加上1G左右的CPU运算速度和相匹配的内存,大部分的网络应用都可以在手机上实现,例如手机上网、手机炒股、手机钱包、手机支付、移动商务、地图导航等。将来,手机银行会与网上银行一样,成为被攻击的重点。目前手机银行的风险主要来自智能手机本身。从本质上说,手机安全和PC终端安全原理上一致,但手机安全也有其自身的特点,一是现有手机操作系统的安全机制可以被破解,二是手机软件市场的混乱无序。手机操作系统在设计之初,不约而同地采取了“应用准入”的机制,即只有通过相关厂商或机构验证的软件,才可以安装在手机中。典型的当然是AppleIOS,在IPhone、IPAD等设备上安装软件,必须要从AppStore下载。这个限制当然主要是出于商业持续赢利目的而设计,而客观上也确实能够保护那些下载者,AppStore上出售的软件都是经过安全验证的,可以让用户免受恶意软件的入侵。而针对性的攻击手段也已经存在,这就是越狱(Jailbreaking),它可以突破限制,让用户免费、自由地下载破解后的软件,受到“广大用户的欢迎”。但那些破解后的软件全部来自于非正规的地下开发者,其安全性完全得不到保障,很可能会有恶意代码包含在其中。无独有偶,这方面另一个典型的例子就是Symbian,这个手机操作系统市场曾经的老大。虽然SymbianOS9.x具有了强制签名机制,但仍然被人找到了漏洞可以突破这个限制。针对S60的最新固件版本的签名破解程序已经出现,破解之后强制签名机制将不再有效。很多用户为了不受限制,同样进行了这种破解操作,导致系统本身失去了安全性,也就给恶意软件的入侵带来了机会。破解之后,智能手机就可以无限制地下载应用软件了,虽然这很方便,但其中的安全隐患大大提升。由于智能手机的兴起,一个规模巨大的市场被创造出来,各路开发商和团队纷纷抢占地盘,推出自己的手机应用产品,力图分得更大的一块蛋糕。这些开发团队鱼龙混杂,有非常多的非正规团队,他们编写的程序只注重功能实现,可能存在严重的安全隐患,容易被人利用。甚至地下开发者也会混迹其中,在各类手机下载网站上发布绑定了恶意软件的应用程序。客观地讲,目前手机相关的安全事件没有传统PC安全事件那么多,那么严重。这是由于现阶段传统PC终端还是拥有最大数量的用户群,更受攻击者关注,而不是因为手机更安全。从大环境看,智能手机的综合安全能力不如传统PC终端。

2.3电话银行

电话银行出现较早,最初可以实现查询的简单功能,后来又逐步加入支付、转账等功能,而且与呼叫中心的人工服务结合起来,成为一个比较简易方便的银行业务渠道。电话银行的安全问题比较有特点:安全隐患大而威胁小,所以总体风险不高。安全隐患大,主要由于电话传输的信号是明文,从电话机到电信运营商中间的路线如果被非法搭接,可以窃听到所有重要信息;威胁小,是因为实际情况中去非法搭接电话线路、想偷取重要信息的攻击者非常少。一方面由于攻击者有更方便攻击、更多目标的网上银行,不会去费劲冒风险在电线杆上爬上爬下,一方面由于电话银行的使用者并不广泛,即使监听也很可能不会得到有用的信息。

2.4家居银行

与电话银行类似的家居银行,是有可能受到较大威胁的。家居银行已经在某些省市出现,其业务终端是用户在家里的电视机与机顶盒,借助广电网络传输银行业务信息,进行查询、缴费等业务处理。从用户家中到广电那一端的传输是明文的,因为机顶盒通常没有加密功能。我们在对几个不同家居银行的安全测试中发现,广电网络的线路是可以进行监听的,从某户居民的有线电缆接入,可以监听到其他居民的信号。家居银行应当在机顶盒软件里加入足够强度的加密功能,防止传输的信息被非法窃听。

2.5自助银行

自助银行目前有ATM(自动柜员机,取款),存取款机,多功能终端等形式,是银行在特定地点向用户提供自助服务的一种重要的业务形式。大部分自助银行设备被直接利用计算机技术攻击的可能性不大。自助终端设备都是银行特制的机具,虽然操作系统采用的是可能存在较多漏洞的Windows桌面操作系统,如Win98、XP等,但由于输入设备通常为数字和特制的键盘,无法输入计算机命令。同时终端也没有外接设备的接口,又不直接连接公共网络,因此不太可能进行攻击。这类可以存取款的设备,主要面临被偷窥用户输入的密码、通过读卡器偷取银行卡信息等威胁。而多功能终端不同于其他自助银行设备,它可以提供通过Internet访问特定网站和网银的功能。其本身是一台完整的计算机,利用标准键盘输入,有鼠标,甚至可能有USB接口,供用户插入U盾。这种终端被攻击的可能性就大大增加了。攻击者可能利用U盘在多功能终端上植入非法程序,偷取其他用户的信息。也可能利用一些命令的操作,去打开原本不被允许访问的网站,下载木马程序。甚至直接跳出多功能终端限定的用户操作环境,进入到操作系统,这样可以进行的攻击就更多了。

3全面考虑电子银行面临的威胁

以上讨论的各类电子银行,都各自面临不同的威胁,但需要注意的是,这些不同种类电子银行的安全性会相互影响,如电话银行/呼叫中心的安全性,可能会影响到网上银行的安全性。前不久国内银行就出现了这样一个案例:一位女士在某银行办理了信用卡,但可能个人开卡相关的信息被泄露出去,有人利用这些信息,通过电话银行激活了信用卡的网上支付功能,并且修改了短信通知的手机号码。结果她的信用卡被人在购物网站上利用网银支付功能,盗刷了2万余元。这是一个比较有代表性的案例,电话银行的安全漏洞影响到了网上银行的安全性,最终导致了用户资金被盗。因此银行在考虑不同种类电子银行安全性的同时,也应注意从整体上考虑安全防范手段,如限定交易额、加强身份验证凭据、银行操作的短信通知等,都不应只考虑本类电子银行的安全威胁与保护需求,要同时考虑它们之间的相互作用和影响。

4结语

本文描述了当前电子银行的分类以及所面临的安全问题,对于不同安全威胁的分析结果,提出了解决建议。了解当前电子银行现状,不仅有利于电子银行自身的发展,也提升了客户的体验度以及满足上级监管部门的要求。更为重要的是,为以后对于识别风险、规避风险做好了准备。

我国电子银行的分类与定义

2012/07/03 阅读:

推荐度:

免费复制文章