如何安全地使用网银.doc

如何安全地使用网上银行 改革开放近30年来，随着我国的市场经济体制不断完善，经济的广度与深度不断扩大，金融市场也顺应了时代的潮流，发生了深刻的变革。现代金融市场的这场革命不仅是体现在资产交易范围和内容延伸，多样化金融衍生物的更新，更重要的是在金融资产交易过程中逐渐形成“以人为本”的发展趋势， 也就是让客户享受更快捷更周到更安全的金融服务。进入到信息时代，金融业与IT业的结合也更加的紧密。其中银行业更是我国金融行业IT化的排头兵，IT能力逐渐成为银行核心竞争力之一，致使各银行不断加强其信息化的投入。自从1996年6月份，中国银行于Internet上建立主站，开办中国第一家网上银行开始，国内的电子银行通过互联网向社会公众提供银行服务已有12年之久。网上银行基于网络信息技术的虚拟性为其创造多样化交易手段与精简复杂交易过程提供了可能，这使网上银行与传统银行的经营模式相比具有方便快捷、成本低廉、无地域限制的竞争优势。但因网络银行对信息技术的高度依赖，由此也导致了大量无法避免的基于网络技术的固有缺陷与风险。国内知名互联网研究与咨询机构iResearch公布的一项调查结果显示，因为担心交易安全问题，有56.1%的网民拒绝使用网上银行。其实，现阶段我国网上银行的安全技术已经达到了世界先进水平，完全有能力抵御来自个人和组织的入侵与破坏，只要网银用户能够提高自己的网络安全意识，规范自己的网银使用方法，就能够避开黑客与计算机病毒的威胁，最大限度地保护自己的财产免受不必要的损失。为了让大家对网上银行的安全性重拾信心，也为读者能更好地理解之后介绍的安全使用网银方法，我先简要介绍主要的网上银行技术，为文章下半部分打下基础。 （上部分） 网上银行安全技术简介现阶段网上银行安全技术主要包括：防火墙技术、入侵检测技术、漏洞扫描技术和网络病毒的防治四大部分内容。（一）防火墙技术 防火墙指的是一个由软、硬件组成的安全网关。在软件实现上，防火墙主要通过控制出入一个网络的权限，强迫所有流入流出的所有网络通信均要经过检查；在硬件的实现上，防火墙则是位于网络特殊位置上的一组在内部网和外部网之间构造的保护屏障，从而保护内部网免受黑客的侵入。具体来说，首先，防火墙可以禁止不安全的协议例如NFS协议访问其保护的网络，只有经过防火墙审查的安全级别很高的网络通信协议才能通过防火墙，这样网络中的黑客就不能够利用这些脆弱的协议来攻击内部网络；其次，防火墙也可以保护内网免受如IP选项中的源路由攻击和ICMP重定向中的重定向路径基于路由的攻击；最后，防火墙不仅能对流经受保护的网络的数据进行监控，而且还能记录下这些访问并作出日志记录，同时也能对网络使用的情况进行数据的统计。对于可疑的数据流动，防火墙还能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。 例如华为公司提出的网上银行的防火墙安全解决方案：首先，将银行网络划分为办公计算域和生产计算域，在两个计算域边界设置Eudemon防火墙，由其提供IPSEC VPN功能保证数据在传输过程中的保密性与完整性；其次，华为会根据网上银行提供的网银服务的复杂程度配置防火墙，保证绝对安全；最后，华为公司将所有安全软件（如口令、加密、身份认证、审计等）与防火墙进行合并。（二）入侵检测技术 入侵检测系统（IDS）是一个数据监听设备，配置于所有网络流量都必须经过的链路上一般是部署在防火墙之后对网络违规事件跟踪、实时报警并做记录，在特殊的情况下还能阻断恶意网络行为与系统的连接。网上银行的服务器全部采用UNIX操作系统，其系统以其安全性著称。但是，随着类UNIX的Linux操作系统使用的越来越广泛，其源码的开放性又成为其一大隐患。今年的黑客年会上，虽然Linux（代表参加测试的是Ubanto操作系统）直到散会也没有被黑客攻破，但已有人称发现其漏洞，且在最近国内的几大黑客网站上接连报出Linux内核的bug，更是引起了不小的震动。可见，再优秀的操作系统也不是牢不可破的，在网上银行的服务器上配备先进的入侵检测系统是很有必要的。（三）漏洞扫描技术 漏洞扫描主要通过对服务器端口扫描后得知其开启的端口及这些端口对应开启的网络服务,然后将收集的信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在。若检查到服务器存在漏洞，就模拟黑客进行入侵渗透，并将其结果及时通报给系统管理员以便提高该计算机的安全等级。对于网上银行的服务器管理人员来说，检测其存在的安全漏洞，分析系统的安全性，并要未雨绸缪，提前制定出针对不同安全事故的应急处理预案。（四）、网络病毒的防治随着网络的发展，计算机技术乃至黑客技术的不断更新，计算机病毒也随之具有了更强的传染性与生命力，并逐渐成为影响网上银行安全运营的首要威胁。就目前我国银行的反病毒技术来看，主要包括实时监视技术、自动解压缩技术和全平台反病毒技术三类。对于网上银行的服务器，首先不仅是要对各个内网加以控制，更重要的是建立起多层次的网络病毒防范架构，安装防火墙或网络防杀计算机病毒软件，并且通过对其操作系统的修改达到操作系统本身具备反病毒的功能。该技术主要应用于UNIX或Linux服务器上。由于UNIX和Linux系统的开源性，所以服务器的管理人员不必在该类系统上安装杀毒软件，而是可以根据实际的需要对操作系统进行修改，对来自系统外部的数据进行实时监视，阻止计算机病毒对服务器的感染，将病毒隔绝在系统外部。针对越来越多的网上银行安全事故，中国金融认证中心（CFCA）和国家计算机病毒应急处理中心联合开发了一套专门帮助网银用户解决盗取网银密码、木马远控和网上银行域名非法解析的“网银病毒专杀工具“促进了网银服务的客户端安全性的提高。（下部分）网上银行安全使用小贴士2003至2004年可谓是网上银行发展的“灾难年”，伴随着网上银行业务的普及，大量的网银安全事件频发，不但给银行和用户带来了巨大的经济损失，同时也严重打击了人们使用网上银行业务的积极性，更有甚者将批评矛头直至银行的网络安全管理疏漏，在社会上引起轩然大波。但冷静思考之后，我认为网上银行用户安全常识的缺失才是导致网上银行安全问题发生的最重要原因。调查结果显示，有33.2%的网民是因为“不知道如何使用”而拒绝使用网上银行的。中国金融认证中心的李晓峰总经理在接受采访时也表示，法律和技术都已经不再是国内网上银行安全问题的关键，大量消费者网银常识缺失才是导致安全问题发生的重要因素。另据VISA信用卡国际组织发布的一份调查结果显示，有85%的网上银行事故是由于消费者误操作和不具备基本的常识所造成的。 以下列举出一些典型网上银行安全事故：2003年12月至2004年2月初期间，湖南长沙发生国内首例利用木马病毒盗窃网络银行资金案，两犯罪分子通过发送电子邮件等方式，利用植入的黑木马病毒窃取到多名受害人的招商银行和民生银行的账户及密码，先后从中支取8万余元。2004年9月，网上一种名叫“快乐耳朵”的病毒可以窃取招商银行的用户账号和密码。 如用户点击进入所谓的“偷拍电影”网站后，会被提示“观看本站的电影必须安装新编码器”，该编码器即是木马程序，用户下载运行后就被感染，被感染用户再次使用招行的网上银行业务时，用户账号、密码和数字证书被记录的同时以邮件的形式发向病毒原码内指定的邮箱。2004年12月，假中国银行网站、假中国工商银行、假银联、假农业银行的网站相继被发现，骗取网银帐号和密码的木马程序，名为Trojan_Banker.YY。例如：窃取工行网银的木马程序首先会监视浏览器正在访问的网页，若发现用户登陆工商银行网上银行并且进行了提交时，就会弹出一个伪造的IE窗口，并显示信息：“为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”。若用户真的再次输入自己的账号和密码，该木马程序会自动将用户的个人信息以邮件的方式发送到指定的邮箱中，从而造成网银用户信息失窃。在该种“钓鱼”类的安全事件中，还有利用手机短信进行诈骗的案例。2007年12月湖南省长沙市交行网上银行客户杨某某为与香港某公司合作存入交行借记卡100万人民币，实行“资金双控”，由杨某掌握着存单、身份证、银行卡，和“电子密钥”(USBKey)；密码则由港方单独设定和掌握。第二天却发现资金被转走，虽然在一审判决不利的形式下再次决定上诉，但胜算不大。交通银行新一代网上银行系统于2006年10月经过中国信息安全产品测评认证中心的系统安全风险评估，认定该行网银系统可以满足银监会电子银行安全评估指引关于网上银行的安全要求，导致该款被转移的原因是原告自己把密码泄露给了设置借记卡交易密码、查询密码的第三人。综合以上案例可以发现，现阶段国家对于网上银行服务端的安全措施及制度考虑的是很周到的，而以往发生的关于网上银行的失窃案中，由于网银用户的错误使用还是而导致的资金损失的最主要因素。为了更好地了解网银使用过程中的问题，笔者特意申请了建设银行的web式的网上银行服务、招商银行和工商银行的带有移动证书（usb key）的网上银行服务，分别使用并加以对比。建设银行的网上银行对于计算机使用不太熟练的人群最合适不过了，其网上银行页面清晰整洁，提示信息清楚明了，有助于人们日常正确、快捷地使用网银服务。老版建设银行的纯Web式网上银行的安全性相对于以下两家银行还有一定的差距。但现在，建设银行的网上银行已经升级了，新型的建行网银不但提供.5元张的口令卡，（即一种作为网银支付最后一步要求输入的密码，而此密码一直密封在动态口令卡中，在没刮开前，作为动态口令卡的主人自己都不知道密码是什么），而且根据使用者对安全性的要求还可以申请”优盾”（usb key的一种，成本为元个）。另外，在登陆页面时还会要求用户输入机密问题，使用户可以很容易地判断是否进入到正确的建设银行页面，避免落入钓鱼网站设下的圈套。对于安全性明显增强建设银行网银，绝对是您一个好的选择。招商银行的网上银行在笔者看来最具有人情味儿。作为最早使用Usb Key的银行，其经营的理念已经由单纯强调网银安全性转为“以人为本”，除了上述建行的防钓鱼手段和加密手段（口令卡为元张，网银盾约为元左右）外，为了便于网银用户正确使用“网银盾”（Usb Key）,招商银行提供的网银盾中已经安装好了客户证书，使用者不必再去下载安装。而对于每次及每天的交易上限则可以由客户自己设定，这就使网银客户的使用自主性大大提高。但是招商银行电子银行部总经理王刚在接受采访时表示，虽然每次需要输入的字符串都不同，但如果被人将密码卡复印或抄写下来，那么动态密码的保护作用就可能被攻破。所以对于那些计算机水平一般且交易的次数频繁数额偏大的人们，采用有Usb Key保驾护航的招行网银绝对是您的首选。最后再说一说工商银行的网上银行。工商银行网上银行近两年发展很快，被国外一些媒体评为中国最佳网上银行。对于要求网上银行安全性极高的用户群体，应该选择工商银行的网上银行。在使用网上银行业务之前，先要在使用的计算机上下载安装个人网上银行控件；然后再下载安装工行根证书；再次根据U盾型号安装证书驱动程序；最后，下载个人客户证书，并将个人客户证书安装到U盾并验证通过后才会出现密码输入页面。正确输入帐号和密码后方可进行交易结算。如果一天之内连续6次输入错误密码，当天的帐号会被暂时琐定，以防止U盾丢失后被不法分子暴力破解登陆使用密码。据笔者使用的经验来看，初时使用工行的网银时会感觉比较烦琐，但适应一段时间后就能感觉到其强大安全性带来的好处。最后，根据人们日常的生活习惯，笔者概括出八条常用的网上银行安全使用技巧，希望能对读者日后使用网银有些许的帮助，现总结如下：第一，设置网银密码时首先应避免使用过于简单的密码，（如888888、123456等），建议使用由字母和数字混合搭配的密码，以增加暴力破解的难度；其次，不要使用和自己个人资料有关系的密码，如个人的生日、结婚纪念日等；最后，要定期更改其密码。第二，浏览对于网上银行开户行的银行首页时，应能够使用自己固定的计算机，并且确认登陆的是非“钓鱼网站”的正确网址时最好将该网址加入到自己的收藏夹中，便于日后进入网银系统，要尽量避免在通过“超链接”进入的银行系统上进行操作。假如一定要在公共计算机中使用网银服务，在输入交易信息前应注意检查网银首页的个人验证信息是否存在及是否正确。第三，对于银行卡的帐号和密码等私密信息要妥善保管，不要轻易告诉别人。很多受害者都是有意或无意地将自己的银行信息透露给熟人或陌生人从而导致了自己的经济蒙受损失。此外，为了保证用户的财产安全，银行一般不会通过第三方来与用户进行业务的沟通，这就要求网银使用者对于涉及银行帐号密码陌生的电话、短信和邮件应持以谨慎的态度或向直接向开户行咨询。第四，要充分利用银行的各种配套增值服务，比如招商银行等银行开通的免费的交易短信、邮件提醒，时刻了解自己的资金状况，明确消费记录，并查看您的交易，核对银行对账单。对自己的情况做到心中有数。这样即使出现问题，也能最快最清楚地向有关方面反映，有利于将损失下降到最低。第五，日常网上冲浪时，不要在随便透露包括银行账号、信用卡号码在内的个人资料（如身份证号码、地址、用户名称及密码），以免增加黑客利用社会工程学成功进行入侵和窃取的可能性。在提供个人资料给网站前，先查阅网站的保密条款及安全防护措施声明。 第六，对于广大的网银客户，日常应该养成良好的计算机使用习惯，不要轻易打开来历不明的电子邮件，也不要随便下载其中的附件。而QQ、MSN等即时聊天工具的日益普及也会给不法分子有机可乘，所以在使用网络软件时一定要对别人发送过来的网页超级链接 慎重对待。第七不要点击可疑的网站，而该类网站常常