电子银行业务5-1

第五章 网络银行 _案例分析 比较中外网络银行在安全防范、业务开展、客户管理方面的差异一、样本选取 国外：花旗银行、安全第一网络银行、康普银行 国内：中国工商银行、招商银行、上海浦东发展银行、建设银行、交通银行二、比较内容 网络银行安全防范措施 网络银行业务开展 网络银行的客户资源管理1. 网络银行安全防范 安全措施 对待安全的态度：对网络银行安全措施的宣传；安全状况信息披露；安全出现漏洞时可有明确的责任确认机制。安全措施 国内银行 网上 “钓鱼 ”如： 黑客利用间谍软件偷取资料：在客户的浏览器端或银行服务器端。网上购物流程 登陆某一网上商城，选择商品 选择某一种银行卡进行支付，该银行的网上支付网页随即被打开，这时你的机器与银行网银服务器通信。 在该银行网页中输入银行卡的账号和密码，该信息传输到网银服务器，支付指令被执行。 指令执行结束，网银服务器自动将执行结果传递给网上商城。你与网银服务器通信链路中断，继续与网上商城服务器连接。网上购物流程客 户网上商城网络银行假网络银行1232安全措施 目前：银行要求客户 问题实质：都是网银 “大众版 ”惹的祸。国内银行：将个人网上银行分为 “大众版 ”（无需申请数字证书）和 “专业版 ”（需申请数字证书）。前者的安全性不能被保证。“大众版 ”网络银行 国内有的商业银行在网上银行起步阶段，为了占领市场、争取客户，在应用层上大量采用了简单鉴别机制，即 “用户名 +口令”的机制进行登录认证，这就是所谓的 “大众版 ”。 “大众版 ”网络银行 人们只需用自己的 ID和口令在商业银行网站上注册，并与自己的卡号绑定，交易时只要提交 ID和口令就可以。 这种认证方法非常简单，客户不用到银行柜台办理手续，只要在自己的 PC机浏览器上，登记卡号、身份证号和口令即可自助式开通，不用下载客户端软件；上网操作方便，适合一些对计算机知识不多，对计算机操作不太熟悉的人群。“大众版 ”网络银行客 户 网络银行只能单方面认证身份“专业版 ”网络银行客 户 网络银行C A颁发数字证书 颁发数字证书通信时察看彼此的数字证书、加密招商银行 “个人银行专业版 ”是 “大众版 ”的扩展和完善。与 “大众版 ”相比，专业版有以下三项区别： （ 1）业务内容不同：个人网上银行 “专业版 ”在 “大众版 ”账务查询、修改密码、卡内定活互转、同身份证帐户互转、专户互转、小额网上支付等功能基础上，增加了同城转账、异地汇款、大额网上支付等功能，并将随着业务发展不断丰富。 （ 2）安全机制不同： “大众版 ”充分利用了浏览器本身的安全机制，而 “专业版 ” 采取了 X.509标准数字证书体系，具有更高的安全性。 （ 3）使用方法不同： “大众版 ”无需下载任何软件，只需一台联网电脑，就可以使用该项功能，在浏览器界面操作。 “专业版 ”则需要下载客户端软件，操作时自动打开 “专业版 ”窗口，且只能在安装个人证书的电脑上使用。中国金融认证中心（ CFCA）CFCA保险 CA 银行 CA 证券 CAA银行总行 B银行总行 C银行总行 数字证书的作用 数字签名 数字加密回顾：加密 加密： E(要被加密的文件，密钥 ) 解密： D(要被解密的文件，密钥 ) 如果 K1、 K2是一对密钥 DE(X,K1),K2=XDE(X,K2),K1=X数字签名 信息发送者使用一单向散列函数（ HASH函数）对信息生成信息摘要； 信息发送者使用自己的私钥签名信息摘要； 信息发送者把信息本身和已签名的信息摘要一起发送出去； 信息接收者通过使用与信息发送者使用的同一个单向散列函数（ HASH函数）对接收的信息本身生成新的信息摘要，再使用信息发送者的公钥对信息摘要进行验证，以确认信息发送者的身份和信息是否被修改过。数字签名信息发送方（持有私钥 K1）X+Ehash(X),K1信息接收方（持有公钥 K2）信息接收方（持有公钥 K2）hash(X) ?DEhash(X),K1,K2数字加密 当信息发送者需要发送信息时，首先生成一个对称密钥，用该对称密钥加密要发送的报文； 信息发送者用信息接收者的公钥加密上述对称密钥； 信息发送者将第一步和第二步的结果结合在一起传给信息接收者，称为数字信封； 信息接收者使用自己的私钥解密被加密的对称密钥，再用此对称密钥解密被发送方加密的密文，得到真正的原文。数字加密信息接收方（持有私钥 K1）信息发送方（持有公钥 K2）信息发送方（持有公钥 K2）生成一对密钥 KE(X,K)+E(K,K2)DE(K,K2),K1=KDE(X,K),K=X数字证书 数字证书采用 PKI公开密钥基础架构技术，利用一对互相匹配的密钥进行加密和解密。 每个用户自己设定一把特定的仅为本人所知的 私钥 ，用它进行 解密和签名 ；同时设定一把 公钥 ，由本人公开，为一组用户所共享，用于 加密和验证签名 。不使用数字证书的风险 数据被窃风险 法律风险央行最近发布的 电子支付指引 (征求意见稿 ) 中第四十五条规定： “非资金所有人盗取他人存取工具发出电子支付指令，并且其身份认证和交易授权通过了发起行或转发人的安全程序，发起行或转发人对该指令进行处理所产生的后果不承担责任。”比较 国内 截止 07年 3月，工行个人网上银行客户数量达到了 1106万户，其中绝大多数都是 大众版 用户。 浦东发展银行电子银行部一位负责人透露其专业版客户少得可怜。 据招商银行统计， 07年 1 4月份，招行超过50% 的个人业务不是在柜台上完成，而是通过网上银行操作的。但大多数都是 “大众版 ”的用户，专业版客户不过数万。如此众多的 “大众版 ”客户在网上银行进行交易，其潜在的风险该多么大！比较 国外以 安全第一网络银行为例： 它采用的安全技术是与保护军队控制系统同安全级别的 专门雇佣一群 “职业黑客 ”对其安全系统进行破坏，以寻找其技术漏洞 联邦法规执行者专门对其安全系统测试。对待安全的态度 对网络银行安全措施的宣传； 安全状况信息披露； 安全出现漏洞时可有明确的责任确认机制。安全状况是否明确传递给客户 许多商业银行由于担心客户的流失，对客户的风险提示都不太明确。招行工作人员表示，所有招行的持卡人都会自动成为个人网上银行 “大众版 ”客户，无需任何注册手续，这样，客户根本没有机会从银行得到风险提示；工行工作人员则表示，他们不会主动向客户提出 “使用 大众版 网银账户被盗用的风险需由客户自己承担 ”的警告。比较 国外以 安全第一网络银行为例： 主页专门设计了一个安全防卫图标，对安全系统结构提供详细描述，并解释说明它是如何运