我國電子銀行的分類與定義范文
本站小編為你精心準備了我國電子銀行的分類與定義參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
中國銀監會的《電子銀行業務管理辦法》中對電子銀行進行了定義:“是指商業銀行等銀行業金融機構利用面向社會公眾開放的通訊通道或開放型公眾網絡,以及銀行為特定自助服務設施或客戶建立的專用網絡,向客戶提供的銀行服務。電子銀行業務包括利用計算機和互聯網開展的銀行業務,利用電話等聲訊設備和電信網絡開展的銀行業務,利用移動電話和無線網絡開展的銀行業務,以及其他利用電子服務設備和網絡,由客戶通過自助服務方式完成金融交易的銀行業務。”國內電子銀行概念的提出是從網上銀行普及開始的,各銀行已經普遍建立了電子銀行的業務渠道體系。下一步,分別建立的電話銀行、網上銀行、自助銀行等系統將整合在一起,形成完整的電子銀行系統。
2不同種類電子銀行的安全威脅
各類電子銀行的安全性,可以從客戶端、傳輸線路和服務部端三個部分去考慮。我們在之前的技術文章中,已經討論過網上銀行的安全性問題,其中對銀行服務器端的威脅與安全防護已經解釋得很詳細,在此就不再贅述,主要談一談幾類電子銀行客戶端的安全問題。
2.1網上銀行
網上銀行用戶使用PC或筆記本上網,利用網銀的B/S或C/S客戶端上網,其面臨的威脅是多方面的。攻擊目的一般都是獲取用戶的賬號、口令和個人證書等信息,冒充用戶身份非法轉移資金。網上銀行客戶端易受惡意代碼、釣魚、輸入截取、證書盜取和交易篡改等攻擊。惡意代碼包括蠕蟲、病毒、惡意腳本等,通常作為侵入客戶端的第一個手段;釣魚攻擊是偽造網上銀行交易系統,誘使投資者使用虛假系統登錄,造成賬號和口令的泄密;輸入截取是獲得用戶的擊鍵或鼠標點擊記錄,通常包括網上銀行的賬號與口令;證書盜取是取得用戶計算機中個人證書,以冒充用戶的身份;交易篡改是相對較少出現但很有威脅的一種攻擊,可以將用戶的網上銀行操作指令內容進行非法改變,以實現其攻擊目的。網上銀行客戶端的安全保護需要從兩個方面去考慮,一是操作系統的安全性,二是網上銀行客戶端本身的安全性。操作系統安全,可以從打補丁、做好安全配置、良好的上網習慣等方面著手。如果能保障操作系統的安全,可以有效防止攻擊者通過控制操作系統而攻擊網上銀行。網上銀行客戶端的安全防護主要由安全控件實現,通常包括輸入信息的保護、進程保護、文件保護等功能。銀行要重點加強網上銀行客戶端的安全性,在客戶教育中強調操作系統的安全性。不過事實證明,無論銀行如何加強安全教育,網上銀行用戶的計算機水平與安全意識還是相差很大,總是有一部分用戶的水平不足,操作系統安全性很差。所以對于銀行來說,技術防御手段還主要是從客戶端著手,盡量多地考慮可行的安全功能,力爭“在不安全的操作系統環境下,實現安全的網上銀行交易”。
2.2手機銀行
3G和高性能智能手機的普及,使手機銀行正式登場,已經向主要的業務渠道去發展。2G時代手機的帶寬不足,很多網絡應用無法開展。到了3G時代,一個手機的網絡帶寬甚至要比PC的網絡帶寬還要大,加上1G左右的CPU運算速度和相匹配的內存,大部分的網絡應用都可以在手機上實現,例如手機上網、手機炒股、手機錢包、手機支付、移動商務、地圖導航等。將來,手機銀行會與網上銀行一樣,成為被攻擊的重點。目前手機銀行的風險主要來自智能手機本身。從本質上說,手機安全和PC終端安全原理上一致,但手機安全也有其自身的特點,一是現有手機操作系統的安全機制可以被破解,二是手機軟件市場的混亂無序。手機操作系統在設計之初,不約而同地采取了“應用準入”的機制,即只有通過相關廠商或機構驗證的軟件,才可以安裝在手機中。典型的當然是AppleIOS,在IPhone、IPAD等設備上安裝軟件,必須要從AppStore下載。這個限制當然主要是出于商業持續贏利目的而設計,而客觀上也確實能夠保護那些下載者,AppStore上出售的軟件都是經過安全驗證的,可以讓用戶免受惡意軟件的入侵。而針對性的攻擊手段也已經存在,這就是越獄(Jailbreaking),它可以突破限制,讓用戶免費、自由地下載破解后的軟件,受到“廣大用戶的歡迎”。但那些破解后的軟件全部來自于非正規的地下開發者,其安全性完全得不到保障,很可能會有惡意代碼包含在其中。無獨有偶,這方面另一個典型的例子就是Symbian,這個手機操作系統市場曾經的老大。雖然SymbianOS9.x具有了強制簽名機制,但仍然被人找到了漏洞可以突破這個限制。針對S60的最新固件版本的簽名破解程序已經出現,破解之后強制簽名機制將不再有效。很多用戶為了不受限制,同樣進行了這種破解操作,導致系統本身失去了安全性,也就給惡意軟件的入侵帶來了機會。破解之后,智能手機就可以無限制地下載應用軟件了,雖然這很方便,但其中的安全隱患大大提升。由于智能手機的興起,一個規模巨大的市場被創造出來,各路開發商和團隊紛紛搶占地盤,推出自己的手機應用產品,力圖分得更大的一塊蛋糕。這些開發團隊魚龍混雜,有非常多的非正規團隊,他們編寫的程序只注重功能實現,可能存在嚴重的安全隱患,容易被人利用。甚至地下開發者也會混跡其中,在各類手機下載網站上綁定了惡意軟件的應用程序。客觀地講,目前手機相關的安全事件沒有傳統PC安全事件那么多,那么嚴重。這是由于現階段傳統PC終端還是擁有最大數量的用戶群,更受攻擊者關注,而不是因為手機更安全。從大環境看,智能手機的綜合安全能力不如傳統PC終端。
2.3電話銀行
電話銀行出現較早,最初可以實現查詢的簡單功能,后來又逐步加入支付、轉賬等功能,而且與呼叫中心的人工服務結合起來,成為一個比較簡易方便的銀行業務渠道。電話銀行的安全問題比較有特點:安全隱患大而威脅小,所以總體風險不高。安全隱患大,主要由于電話傳輸的信號是明文,從電話機到電信運營商中間的路線如果被非法搭接,可以竊聽到所有重要信息;威脅小,是因為實際情況中去非法搭接電話線路、想偷取重要信息的攻擊者非常少。一方面由于攻擊者有更方便攻擊、更多目標的網上銀行,不會去費勁冒風險在電線桿上爬上爬下,一方面由于電話銀行的使用者并不廣泛,即使監聽也很可能不會得到有用的信息。
2.4家居銀行
與電話銀行類似的家居銀行,是有可能受到較大威脅的。家居銀行已經在某些省市出現,其業務終端是用戶在家里的電視機與機頂盒,借助廣電網絡傳輸銀行業務信息,進行查詢、繳費等業務處理。從用戶家中到廣電那一端的傳輸是明文的,因為機頂盒通常沒有加密功能。我們在對幾個不同家居銀行的安全測試中發現,廣電網絡的線路是可以進行監聽的,從某戶居民的有線電纜接入,可以監聽到其他居民的信號。家居銀行應當在機頂盒軟件里加入足夠強度的加密功能,防止傳輸的信息被非法竊聽。
2.5自助銀行
自助銀行目前有ATM(自動柜員機,取款),存取款機,多功能終端等形式,是銀行在特定地點向用戶提供自助服務的一種重要的業務形式。大部分自助銀行設備被直接利用計算機技術攻擊的可能性不大。自助終端設備都是銀行特制的機具,雖然操作系統采用的是可能存在較多漏洞的Windows桌面操作系統,如Win98、XP等,但由于輸入設備通常為數字和特制的鍵盤,無法輸入計算機命令。同時終端也沒有外接設備的接口,又不直接連接公共網絡,因此不太可能進行攻擊。這類可以存取款的設備,主要面臨被偷窺用戶輸入的密碼、通過讀卡器偷取銀行卡信息等威脅。而多功能終端不同于其他自助銀行設備,它可以提供通過Internet訪問特定網站和網銀的功能。其本身是一臺完整的計算機,利用標準鍵盤輸入,有鼠標,甚至可能有USB接口,供用戶插入U盾。這種終端被攻擊的可能性就大大增加了。攻擊者可能利用U盤在多功能終端上植入非法程序,偷取其他用戶的信息。也可能利用一些命令的操作,去打開原本不被允許訪問的網站,下載木馬程序。甚至直接跳出多功能終端限定的用戶操作環境,進入到操作系統,這樣可以進行的攻擊就更多了。
3全面考慮電子銀行面臨的威脅
以上討論的各類電子銀行,都各自面臨不同的威脅,但需要注意的是,這些不同種類電子銀行的安全性會相互影響,如電話銀行/呼叫中心的安全性,可能會影響到網上銀行的安全性。前不久國內銀行就出現了這樣一個案例:一位女士在某銀行辦理了信用卡,但可能個人開卡相關的信息被泄露出去,有人利用這些信息,通過電話銀行激活了信用卡的網上支付功能,并且修改了短信通知的手機號碼。結果她的信用卡被人在購物網站上利用網銀支付功能,盜刷了2萬余元。這是一個比較有代表性的案例,電話銀行的安全漏洞影響到了網上銀行的安全性,最終導致了用戶資金被盜。因此銀行在考慮不同種類電子銀行安全性的同時,也應注意從整體上考慮安全防范手段,如限定交易額、加強身份驗證憑據、銀行操作的短信通知等,都不應只考慮本類電子銀行的安全威脅與保護需求,要同時考慮它們之間的相互作用和影響。
4結語
本文描述了當前電子銀行的分類以及所面臨的安全問題,對于不同安全威脅的分析結果,提出了解決建議。了解當前電子銀行現狀,不僅有利于電子銀行自身的發展,也提升了客戶的體驗度以及滿足上級監管部門的要求。更為重要的是,為以后對于識別風險、規避風險做好了準備。