网上支付与网上金融服务

授课教师：殷锋网上支付与网上金融服务第二节 电子银行的不安全

因素和防范电子银行的安全因素很多，主要可以归纳为如下几类：一、自然灾害二、环境因素三、软硬件质量及其安全漏洞四、误操作五、人为破坏六、非授权存取一、自然灾害电子银行很容易受到自然灾害的袭击，在作系统分析和设计时，要充分考虑可能产生的各种自然灾害，使应用系统在大自然袭击破坏时仍能不中断运行。二、环境因素电子银行会受到工作环境的影响。战争的破坏、掉电、电力波动过大、工作环境温度和湿度过高或过低等，都可能对电子银行构成安全威胁。三、软硬件质量及其安全漏洞电子银行中的软硬件虽是高科技产品，但也总存在一定的薄弱环节和不足之处，甚至存在严重错误和安全漏洞。从安全角度考虑，目前的操作系统存在如下安全漏洞：1）操作系统体系结构上的安全漏洞2）操作系统支持在网上传输文件，包括传输可执行的文件映像，即在网络上加载程序；操作系统还允许远程登陆和远程执行命令，包括支持在网络节点上进行远程进程的创建和激活。将操作系统这两个功能结合起来，就为黑客创造了可在远端服务器上安装“间谍”软件的条件。3）操作系统通常都提供一些后台守护进程的系统命令，黑客可通过网络利用这些系统命令对计算机进行攻击。4）操作系统安排的无口令的入口，本是为系统开发人员提供的便捷入口，但它也可能成为黑客的通道。除了操作系统外，数据库管理系统、网络管理系统和应用系统都存在不同程度的安全漏洞。四、误操作误操作有时也会引起严重的安全问题。为解决操作问题，必须提高操作人员的技术水平；重要数据的录入需要有复核。五、人为破坏由于计算机和存储媒体相当脆弱，破坏者很容易对其造成破坏。破坏者可能是局外人，也可能是系统中的职员所为；可能是有意破坏，也可能是错误操作引起的。六、非授权存取非授权存取方式，有被动攻击和主动攻击方式。侦听就是一种被动攻击，截获通信线路中的数据并对之进行篡改，就是主动攻击。要防止非授权存取，就是要建立保护措施，验明用户身份和用户权限，以防止非授权用户访问系统和越权使用系统资源。第三节 防范对电子银行实施

攻击的方法一、攻击的类型二、电子银行的安全层次三、银行网络形式的描述四、防止高科技犯罪的主要技术和方法五、加强电子银行安全应遵循的原则一、攻击的类型电子银行中易遭受攻击的资源主要是硬件、软件和数据。如图所示，对电子银行资源的攻击造成的安全威胁，可分为中断（Interruption）、截取（Interception）、修改（Modification）和伪造（Fabrication）等四种。中断是使系统资源遭受损失、损坏或不可用，从而使用户得不到所需资源；截取是指非授权实体对资源的存取；修改是指非授权实体对资源进行篡改而产生的失效方式；伪造是指非授权实体伪造计算机系统中的实体。二、电子银行的安全层次要确保电子银行的安全，需要从安全立法、安全管理和安全技术等多个领域实施综合治理。从安全技术保障来说，安全技术必须实施于主体和客体之间进行交互活动的全过程。从安全控制角度看，包括电子银行在内的任何一个计算机网络，都有图3-2所示的网络、主机系统和应用软件等三个层次构成，每一层次又由若干部件构成，每个层次都必须采取相应的安全控制措施。三、银行网络形式的描述为适应电子商务和网上金融发展的需要，金融网络将逐步向采用IP/TCP协议的内联网（Intranet）和外联网（Extranet）方向发展，各银行的数据将逐步向区域中心或总行集中。对于大商业银行来说，数据从分散到高度集中是一个浩大的工程，数据集中反映到网络结构上必然是一个渐进的过程。当上述过程完成后，中国金融信息网络的基本框架将如图3-3所示。从图中可见，各银行总行与自己的分行之间用内联网连接，互相以内防火墙隔开。各银行之间以外联网连接，为防止黑客从公网上实施攻击，各级银行的网站除了要架设外防火墙外，还要有认证服务器。四、防止高科技犯罪的主要技术和方法保障系统安全、防止信息系统脆弱性被利用的方法有很多，主要有如下几种：1）数据加密信息系统安全的最有效的工具是对数据进行加密，数据加密不仅可使数据保密，还使加密后得数据不能以常规的方法读取和修改，此外密码技术是保证信息系统具有保密性、完整性和可用性的核心技术。2）数字签名和电文识别技术在通信过程中，数据加密只起保密性作用，要使通信的双方互相信任，要保证传输数据的完整性，重点在协议，协议是为完成某些通信任务而协同一致的动作系列，它在数据通信过程中有效地应用加密技术，以确保数据通信的安全。3）身份识别技术通过电子银行进行金融交易时，必须先识别对方的合法身份后才能进行交易。网上支付和网上金融是通过完全开放的互联网进行金融交易的。互不认识的通信双方要取得信任，必须进行双向身份认证。为了使通信的双方能建立临时的信任环境，进行安全的网上交易，必须采用基于PKI技术的安全识别协议和安全认证机制。4）软件控制软件控制包括：系统软件控制、程序内部控制、开发专门的安全监控软件和电子金融的经营风险管理软件。软件控制会影响用户和计算机系统打交道的方式，因此软件控制的设计必须十分谨慎，软件控制既要功能齐全又要使用方便。5）硬件控制在计算机系统安全中，硬件安全设备主要起辅助作用。6）物理控制物理控制用于确保系统内所有计算机、通信设备、通信线路和机房环境等的物理安全。它常常是花费最少、最简单、最有效的控制方法。7）稽核控制对电子银行的稽核控制，是使任何实体在电子银行系统中的操作都要记录下每项操作的属性，这些记录必须保留必要的时限，以备日后审查。8）规章管理制度9）法律和伦理道德控制电子银行中的各种安全控制措施必须有效才能达到安全的目的。控制的有效性的含义是，安全控制必须在内存空间上、在时间上、在人员的活动上和在资源的利用上都足够有效。安全控制必须有效，便于使用，还必须是合理的。提高控制有效性的因素主要包括：提高员工对安全的认