青青子衿, 悠悠我心, 但为君故, 沉吟至今
« FeedBurner的邮件订阅功能试用中国网银安全分析:动态密码锁 »

中国网上银行系统安全性分析

  前言:本文是对于一般性质的网上银行系统安全性的技术分析文章,对于目前中国国内具体银行的安全性不具有评测功能,也不对任何第三方评测数据负责。以下是正文。

  网上银行是中国大多数银行的标配,中国的网络银行大多是对现有银行专用网的延伸和对银行传统业务方式的补充,银行增加一些软、硬件设备,使得用户可以通过家用电脑连接银行系统,进行各种普通的银行业务,以弥补传统银行业务中营业网点少和营业时间短的不足。

  中国的网上银行起步比较早的是深圳招商银行,他们开发过第一个面向最终用户的网银系统。招行的网络银行有大众版和专业版之分。随着网络的大规模普及,中国各个银行也都逐步开启自己的网银系统,有些银行的系统仅局限在账户信息查询方面,有些则包含转账付款等功能,还有的已经涉及贷款、投资等方面的内容。随着网银的普及,网银的安全性成为整个系统中最为至关重要的部分了。

  今年以来,大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通过窃取用户的卡号和密码,大量盗窃资金和冒用消费,因此虽然网银对于银行和用户都有不少好处,但是发生这些情况使得银行在推广网银面临非常巨大的风险,提高网银的安全性也是刻不容缓。

  根据一般的报道分析,不法分子窃取用户信息主要通过木马程序来进行,比如,黑客首先在用户电脑系统注入木马程序后,驻留在中招电脑系统里的监控系统就可以截取、监控系统及用户上网时打开的网银密码窗口。也就是说当用户在网银程序里输入卡号或密码时计算机就会自动将相关信息的编码发送给黑客,他们再据此进行反读取以破译,钱便被黑走了。

  目前的网银系统的主要问题是,用户安全性过于依赖用户本身的素质,对于安全观念较差的用户,其密码很容易被盗取,因此这种“信任用户”的安全模式设计是很不合理的。用户的电脑可能安装木马程序,用户的一举一动都可能被监听和窃取,安全的网银系统应该设计成为这样的:假设网银的管理员是黑客,并在最终用户电脑安装木马并且可以监听用户的一切键盘鼠标操作,网银的管理员还可以进行系统管理和操作,但是网银的管理员依旧无法通过网银系统来窃取最终用户的资金。如果能做到这一点,那么这个网银系统就算是比较安全了。

  明天,我将继续介绍,这样的网银系统安全性是如何实现,从那些方面可以保证系统的安全性,以及这样的系统存在什么样的漏洞。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/751.html
  • 文章排行:
  • 1.heven
  • 銀行系統老是有問題.登不進去
  • 2007/7/22 9:22:57   支持(13)反对(7) 回复
  • 2.曹诺皮
  • 黑客是如何记录弹出页面的密码输入?(位置每次都是随机的)
  • 2007/1/8 19:42:45   支持(11)反对(6) 回复
  • 3.仲和博客
  • 不知道我的招行到底如何
  • 2008/8/15 19:52:50   支持(10)反对(6) 回复
  • 4.漫游神
  • 当然了,截获敲键盘的输入密码方式最简单了,加个钩子(HOOK)就可以啦~目前工行有个叫做口令卡的东西,类似于盛大的E-KEY(不同处在于口令卡只是一张可以用1000次的卡),可以说比较安全了。
  • 2007/1/8 20:05:39   支持(8)反对(5) 回复
  • 5.Washun
  • 招行的应该不差吧 我对它还是比较信赖的
  • 2007/1/8 22:42:22   支持(10)反对(7) 回复
  • 6.cartoon
  • 要安全,用户操作就繁杂,
  • 2007/1/9 11:11:10   支持(8)反对(5) 回复
  • 7.lsbx
  • 我也有在用啊,不会象大家说得那样恐怖吧
  • 2007/1/9 16:33:09   支持(7)反对(4) 回复
  • 8.bus
  • 现在用的是工商银行网上银行,有口令卡.
    觉得也并不太安全,口令卡虽然是随机的,但只有一张卡,如果每次使用网上银行,把数字都记录下来,那还是没用啊.
  • 2007/1/9 12:14:35   支持(10)反对(8) 回复
  • 9.邹静
  • 我想办个网络银行
    这样我可以尽情的玩
  • 2007/3/24 15:38:02   支持(7)反对(5) 回复
  • 10.帮帮忙
  • 能请教高手问问:我的银行在广州开的户,在深圳进行网上操作要手续费吗??就只是查询余额要手续费吗???
    若方便的话能发到我的邮箱里吗!谢谢!!!

  • 2007/6/5 16:25:57   支持(7)反对(5) 回复
  • 11.帮帮忙
  • 20楼的 “帮帮忙”的邮箱是:[email protected]
  • 2007/6/5 16:28:29   支持(8)反对(6) 回复
  • 12.williamlong
  • 无论校验码的是什么随机数字,你的网银密码却是固定的,这就是不安全的。 高级黑客可以通过木马截获你所有的鼠标键盘操作,甚至看你屏幕显示的全部内容。
  • 2007/1/8 19:49:05   支持(10)反对(9) 回复
  • 13.福建墨汉
  • 推荐建设银行广告语:银行建设中国,中国建设银行。巧妙而又有号召力。著作权人13015987822
  • 2007/7/19 11:59:55   支持(8)反对(7) 回复
  • 14.king
  • 本人拥有招行,建行,工行,农行等网上银行。我个人觉得招商银行网上银行做得最成功,客户端开发得非常简便。其次是工行,建行,农行最难用
  • 2007/8/27 11:51:24   支持(5)反对(4) 回复
  • 15.小草
  • 我几年前就开始在中国农业银行荆门市东宝支行漳河分理处购买基金,但都是在柜台进行操作的。2008年漳河农行工作人员向我推荐了K宝,于是我开通了网上银行。开通网上银行以后,我也曾相继申购过几只基金。
    2009年开年以后,我们一直很忙,没有时间查看网上银行里的基金,加上从来没有想到过网上银行还会出什么问题,就没有登录我的网上银行仔细查看相关基金。在6月份的一天,我登录了我的网上银行,在“持有基金”项里发现一只我不熟悉,并从来没有购买过的叫“荷银精选”的基金,后又仔细查看网上银行账户明细,发现在2009年4月份分别赎回了几只基金,过了几天,又将赎回的钱“转支”出去了。我到开户行查询,他们的回复是我的这几笔“转支”都通过网上银行购卖了基金。“荷银精选”应该就是这次买进的。可是,我在我的网上银行的“基金历史委托”与“基金历史交易”却没看到应该正常显示的任何记录(在记录的保存期内)。也就是说什么时间买了或者是赎回了什么基金应该看到相关记录,在我的网上银行却看不到。而这些赎回和申购的操作我和妻子都没有进行过,不知道是怎么回事。我到开户行去问,银行的工作人员说可能是我们两口子通过网上银行误操作赎回和申购了的,但是我们两人确实没有进行过这样的操作。
    问题是,无论什么人通过什么方式对我的基金进行购买或赎回,在网上银行承诺的期限内,在 “基金历史委托”与“基金历史交易”里都应该看到相关记录,而我的却看不到。
    开户行答应帮我查,但是一直没有结果。我打95599问了,他们开始说可能是的操作有问题,将上门为我服务,人却至今没有来。再打电话,总是说对我的问题进行了反馈,五个工作日内给我答复。一个多月过去了,他们也没有给我任何答复。
    后来我在网上发贴反映此问题,农行人员才带着科技人员找上门来,要我打开了网上银行,在我网上银行的基金历史委托交易记录中,输入了与交易日期完全一致的日期后,这时又能看到基金历史委托交易记录,但历史成交记录又看不到,我原来是输入的日期范围却从来没有看到过任何记录。就在这一天,我在下午4点多的时候打开我的网上银查我的执有基金信息,居然还能看到。我原来只有在早上9点之后,下午3点之前才能看到的。农行系统一定出了问题。我的这个情况是不是农行系统问题引起的。QQ:526783545

  • 2009/8/15 13:30:07   支持(5)反对(4) 回复
  • 16.wiki
  • 网银加电话确认,单纯用网络不能永久安全.不过打电话有点烦,我看还是视频确认好玩,不是马上就3G了吗?
  • 2007/1/9 2:45:40   支持(6)反对(6) 回复
  • 17.银行家
  • 现在就只有工行的做得算比较好,我觉得。
  • 2007/11/2 21:08:11   支持(7)反对(7) 回复
  • 18.rocky
  • 这有点像“零知识证明”,如果真的能找到一种高明的算法实现文中设想的模式就好了。
  • 2007/1/8 20:41:07   支持(8)反对(9) 回复
  • 19.重听王子
  • 我是在淘宝等网站开网店的
    用的是工行的U盾 很好用 如果你所在的城市没有招行的话 那就用工行吧
    看来招行的口碑不错的 以后有机会我会用招行的试试
    建行和农行的网银我也开过 太垃圾了 注销不用了 呕!
  • 2008/6/12 17:47:33   支持(9)反对(10) 回复
  • 20.go2act
  • 建行的那个usb key在我的电脑上不能用。最后就退掉了。
  • 2008/8/4 11:26:09   支持(4)反对(5) 回复
  • 21.neptune
  • 嗯,保存好自己的口令卡应该是比较安全的了~
  • 2007/1/8 20:17:07   支持(7)反对(9) 回复
  • 23.北辰
  • 不知道工行的U盾什么的用没用?
  • 2007/1/8 22:27:19   支持(8)反对(10) 回复
  • 25.zhu
  • 我从建行柜面开通网上银行后到回家下载证书时间不到40分钟,帐户上的十万块钱就被人盗走。银行照样不承认是系统有问题。
  • 2007/4/25 12:34:10   支持(7)反对(9) 回复
  • 26.漫游神
  • 期待一下了。工行的那个BUG还真是白痴的很
  • 2007/1/8 19:43:10   支持(6)反对(9) 回复
  • 29.waltsin
  • 最近有个项目,需要先对网银的安全性做一下分析,我了解了一些,只是有些地方不太明白,想请教一下。
    方便的话加我QQ:68022804
  • 2008/12/17 13:58:43   支持(5)反对(8) 回复
  • 30.俊华
  • 对文章后面提到的 管理员是黑客,这个不大明白,你说管理员帮助使用人提高安全意识,还可以,至于后面说的那些就不明白了。
  • 2007/9/11 17:15:21   支持(7)反对(11) 回复
  • 31.BlueDrifter
  • 目前的网银系统的主要问题是,用户安全性过于依赖用户本身的素质,对于安全观念较差的用户,其密码很容易被盗取,因此这种“信任用户”的安全模式设计是很不合理的。

    这句话感觉的非常正确,这也正式当前中国国内的基本国情——普遍用户并不具备相关的电脑知识,甚至连简单的基本知识尚不具备。

    感觉通过“双网路模式”是比较简单易行的安全实现方式。
  • 2008/4/1 9:56:13   支持(8)反对(12) 回复
  • 32.GeorgeWang
  • 最大的缺陷确实在于过于信任用户,其实往往被盗的人都肯定是自己安全保护不过关的。
    当然高级黑客可以直接盗银行系统,更厉害
  • 2008/8/13 11:40:46   支持(4)反对(8) 回复
  • 33.Thyme
  • 我常用招商银行的网上银行,不知道有没有中招哦,我电脑小白,比较害怕,总觉得木马就像办证那样的狗皮膏药,甩也甩不掉,我应该怎么办啊,不用网银好不方便啊。
  • 2007/1/9 11:24:33   支持(5)反对(10) 回复
  • 34.月靓公主
  • 我现在用的就是网上银行,因为在网上有店,注入资金比较方便些。但是感觉危机还是有的。时时得担心一些不法分子使坏事的。
  • 2008/1/20 15:54:02   支持(7)反对(12) 回复
  • 35.漫游神
  • To 曹诺皮
    也许获取鼠标指向的那个句柄然后读取比较可能,但是并不适用于所有的系统。。。本人比较笨,只想到检测到银行系统的输入界面就对每次鼠标点击处进行截图。。。Er,我顶多算个不合格的程序员
  • 2007/1/8 19:45:43   支持(6)反对(15) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.