财务网上银行业务的安全性分析.docx

资源描述

《财务网上银行业务的安全性分析.docx》由会员分享，可在线阅读，更多相关《财务网上银行业务的安全性分析.docx（6页珍藏版）》请在优知文库上搜索。

1、财务网上银行业务的安全性分析一、前言网上银行是信息化高度发展的产物，用户可通过它在线办理一些传统的银行业务，如查询、对账、转账等。由于其具有不受任何时间、空间、方式(Anytime, Any-where, AnyhOW)的限制，因此又被称作 3A银行。凭借其服务方便、快捷、运营成本低、工作效率高等诸多优势，网上银行近年迅猛发展，已经深入生活的方方面面，为人们提供了极大的便利。如何通过开通网上银行业务以提高服务能力得到了越来越多高校的关注，并且不少高校已经开始使用了网上银行。以缴纳学费为例，对部份教育部直属高校进行调研，已有将近30所学校开通了网上缴纳学费业务。日常核算中的转账、电

2、汇业务也可通过网银进行支付，且在高校中开展的更加广泛。通过电话问询的方式对61所教育部直属高校进行了咨询，其中已有42所高校开通了此项业务(其中部份高校使用的是更加高效、快捷的银校直连业务)，占总数的6885%o此外，部份未开通网银业务的高校已故意向开通此项业务。止匕外，根据第三方支付平台支付宝在20XX年发布的统计数据显示，全国已有132所高校可以通过其完成学费缴纳、考试报名、重修费缴纳、一卡通充值等业务。随着互联网技术的进一步发展，将会有更多的高校选择开通网上银行业务。随着高校内涵式发展的不断推进，必然对财务的管理水平和服务能力提出更高的要求，而网上银行业务的开通无疑将

3、会对这两方面能力的提升起到十分积极的作用。二、网上银行业务服务的优势网上银行作为传统银行业务与信息化技术结合的产物，对高校财务而言，除具备传统金融服务的基本特性外，还具有实体银行无法比拟的优势。（一）服务方便、快捷，不受时间、空间限制银行通过Internet 向用户提供转账汇款、账户查询、银行对账、工资发放等服务，高校财务人员可以足不出户的完成相关工作，与实体银行不同，不存在办公时间等因素的限制，增加了财务工作的灵便性，提升了财务的整体服务能力。例如，在传统模式下，在进行教职工工资和学生奖助学金的发放工作时，需将发放数据送至银行进行代发，如遇数据格式错误、人员信息不符等问题时，要

4、将信息修正后再送至银行发放，推迟了发放的时间。而通过使用网上银行的代发业务，在浮现上述问题时，财务人员能够在第一时间获得反馈信息并及时进行后续处理，从而不影响工资、奖助学金的发放。（二）实现了无纸化交易，提高工作效率在开通网上银行业务后，传统的转账、汇款等业务将不必单独打印票据，只需统一打印对应的明细单，进而减少了财务人员的工作量。因无需打印票据，还可节省购买相关票据的费用。此外，使用网上银行业务后，当汇款单位信息有误而导致转账、汇款业务未能完成时，财务人员能够及时、快捷的从系统中查询到相关信息并通知汇款人。在传统的模式下，这些工作需在银行交换单据后方可进行，费时费力。（三）

5、简单易用，便于科学化管理网上银行能够为客户提供更加方便、专业的服务，财务人员只需简单的操作即可完成如资金划转、查询、薪金代发、电子对账等业务。止匕外，其强大的账单查询功能方便用户实时掌握高校资金使用情况；其角色和权限机制可进一步加强财务内部监控。三、高校财务推行网上银行存在的风险分析网上银行具有许多传统实体银行所不具备的优势，加之各个银行的大力推广，近年来在我国发展十分迅猛。据中国银行业协会发布的 20XX年度中国银行业服务改进情况报告显示，截止到20XX年年末，网上银行个人客户数达到909亿户，交易笔数达60846亿笔，可见在我国网上银行用户数量已经达到了一定的规模。据CNN

6、IC （中国互联网络信息中心）的相关调查报告显示，在不选择使用网上银行的客户中，有八成人是出于对网银安全性的耽心。网银安全事故主要发生在交易环节，按数据交互的流程可将网银交易分为三个部份，即客户端、银行服务器端和数据传送部份。在数据传送部份，客户与银行服务器通讯采用基于SSL的安全传输协议,因其采用128位数据加密，可确保数据在通过Internet传输过程中不会被他人截取及窃听,因此在数据传送部份能够确保网上银行交易的安全。截止目前，尚未有该部份被骇客破解的报导。在服务器端，银行在物理容灾备份、网络防火墙使用、路由访问控制、系统防黑加固、应用层安全控制等方面都建立了比较完善

7、的保障措施，在理论上已经风险控制到了最低，因此是比较安全的。对网银安全事故进行分析可知，大多数问题均发生在客户端部份。这是因为网银用户数量众多、分布广泛，并且个体网络安全防护意识、计算机使用水平、计算机系统安全防护措施等方面差异较大，目前尚无法建立一套合用性强、操作简单、成本低廉的网银客户端防护体系，因此骇客主要针对部份未采取防护措施或者不足的网银用户进行攻击，造成一定的财产损失。（-）网站密码暴力破解暴力破解是在获取到用户账号的情况下, 通过软件不断地将破解词典中的字符按照一定的规则罗列组合后进行尝试，直至找到正确的登录密码。该方法虽然在理论上可以破解任何密码，但是由于现在的

8、大部份网站已采取密码多次输入错误后禁止登录或者登录需输入验证码等方式，该办法已很少使用。（二）键盘敲击记录该方法通过向系统植入木马程序，当用户登录网银时，记录用户所有的键盘敲击内容，从而获得用户的账号名、密码等相关信息，造成财产损失。现在不少网站均采用虚拟键盘技术，即在用户输入密码的过程中，只需点击鼠标即可录入密码，从而防范了风险。（三）屏幕快照该方法与键盘敲击记录相似，只是增加了屏幕录像功能。因此，当用户登录带有虚拟键盘的银行网站时，骇客依然可以通过记录鼠标的点击顺序，获得客户的账户名及密码。（四）获取系统控制权骇客通过流光、superscan等软件对计算机系统进行扫描，在发

9、现漏洞后，远程进行攻击并获得电脑控制权。在获得电脑控制权后，骇客很容易就可以获取用户的用户名、数字证书等相关信息。（五）钓鱼网站钓鱼网站是犯罪份子建立的与银行官网十分相似的网站，其普通包含恶意的代码。当用户误登录到此网站时，因警惕性不高而按网站提示将重要的个人信息透露给了犯罪份子，从而造成财产损失。除了上述的风险外，财务人员的人为风险也是需要引起我们关注的，如存在工资发放金额填写错误、转账单位填选有误等情况。同传统的银行业务相比，网上银行业务具有非常好的实时性，即在高校财务人员提交业务申请后，银行系统能够即将对此申请进行处理。虽然其良好的实时性能够提高工作效率，但同时也加大了

10、处理人为误操作的难度，可能会造成一定的经济损失，存在一定的财务风险。四、防范高校财务网上银行业务风险采取措施网上银行风险防范措施旨在保证用户信息不被篡改、泄露，提供高效、便利、安全的网银服务，其主要可分为技术保障和管理制度两部份。虽然网上银行业务存在一定的风险，但只要做好相关的防范措施，便可将风险降至最低，确保资金使用的安全。（一）利用技术手段，降低网银使用风险1.多方式进行身份识别，保证交易安全确保网银业务安全的核心工作是对进行交易的人员进行身份的核实，以保证网银业务的真实、准确、合法。在第二部份介绍的屏幕快照、钓鱼网站等攻击手段便是通过获取用户的账户名、密码等相关信息，进而

11、通过银行系统的身份验证，获得被盗用户的网银权限，将资金转移到其账户，造成财产损失。为了防范骇客攻击所带来的风险，近年银行采取新的技术手段对网银用户的身份进行验证，以保证网银资金的使用安全。（1）数字证书数字证书是由第三方权威机构CA证书授权中心（CertifiCateAUthOrity）签发的文件，它主要包含公开密钥等信息，是在网银交易中识别对方身份的一种标识。通过使用数字证书，能够建立起一套严密的身份认证系统，使银行能够确认客户的身份，并且保证信息在双方传送过程中不被其它人窃取和篡改，确保信息的安全。（2） USBKey （U盾）USBKey也称为U盾，是一种具有USB接口

12、的硬件设备，外形与U盘十分相似，内置微型智能卡处理器，从外部无法读取内部保存的证书私钥数据，从而保证了网上交易的安全性。USBKey的安全性极高，但是使用也相对复杂，在使用前，需在系统中安装对应的驱动程序，在使用时需将其插在电脑上方可进行某些特定的网银操作。此外，第二代U盾均带有液晶显示屏，可将网银的交易信息显示在屏幕上，在确认交易金额、收款单位等信息无误后，点击U盾的确认键方可完成交易，这样的操作方式无疑将进一步加强资金的使用安全。（3）短信息动态口令短信息动态口令是用户在进行网银交易时，银行将验证信息以短信的方式发送用户预留的手机中，惟独正确的填写验证信息后，才干完成交易。使用此方式进行验证十分简单、方便，用户只需携带手机便可完成验证，而不需购买或者使用其他设备。此外，通过短信息可传递更多的附加信息，例如告知用户此条短信是对哪项操作进行验证，从而降低安全风险。对高校财务而言，通过上述3种技术的混合使用，可以大大加强网银业务的风险防范能力，即使骇客攻占了系统，获得了财务账户名和密码，因无法使用U盾和短信息动态口令进行身份验证 ,依旧无法进行网银交易，从而保证了高校资金的安全。以转账业务为例，当财务人员进行该项业务时，首先需要登录网上银行系统进行第一步身份

展开阅读全文