如何跨越“網(wǎng)銀安全”這道坎

申請免費試用、咨詢電話：400-8352-114

網(wǎng)上銀行作為商業(yè)銀行業(yè)務發(fā)展及轉型的戰(zhàn)略選擇，是展示銀行整體形象和競爭實力的重要窗口。但是，隨著其整體功能的不斷完善、跨行業(yè)支付特征的日趨明顯，網(wǎng)銀在提升銀行核心競爭力的同時，也引發(fā)了一系列的客戶端應用問題。其中，尤以安全問題備受監(jiān)管當局、銀行和客戶的共同關注，安全問題已經(jīng)成為支撐網(wǎng)銀業(yè)務發(fā)展的命脈。從商業(yè)銀行實際應用角度看，采用PKI技術的USB Key是當前比較普遍的網(wǎng)銀安全基礎設施之一。如何利用PKI技術為客戶的網(wǎng)上交易保駕護航？如何跨越“網(wǎng)銀安全”這道坎？

案例回放：不能回避的安全隱患

國內(nèi)第一家正式運行的網(wǎng)上銀行在1999年開通，至今已經(jīng)有10余年。林立峰表示：“這種新的業(yè)務模式自誕生之日起，針對它的攻擊行為就層出不窮，隨著網(wǎng)銀應用的大量普及，現(xiàn)在，安全隱患已經(jīng)成為網(wǎng)銀應用中不可回避的嚴重問題?！?/P>

2011年初，某中資銀行網(wǎng)銀系統(tǒng)被黑客惡意仿制，并利用短信通知形式制造網(wǎng)銀系統(tǒng)升級假象，誘導客戶進入偽網(wǎng)站輸入賬號、密碼、動態(tài)口令等3項關鍵身份認證信息，并借助中間人和網(wǎng)絡釣魚攻擊技術在幾分鐘內(nèi)轉移客戶資金。據(jù)360安全中心數(shù)據(jù)統(tǒng)計，2010年假冒銀行網(wǎng)銀的釣魚網(wǎng)站達1044家，而據(jù)中國互聯(lián)網(wǎng)信息舉報中心2011年1季度監(jiān)測數(shù)據(jù)顯示，假冒上述中資銀行的網(wǎng)站已達70多個。

握奇數(shù)據(jù)安全支付與可信計算產(chǎn)品線總監(jiān)林立峰分析道：“根據(jù)此類案件的犯罪手法，可以推斷，幾乎所有銀行的網(wǎng)銀以及網(wǎng)上金融服務都有可能成為不法分子的釣魚目標。事實告訴我們，網(wǎng)銀數(shù)據(jù)安全的兩個關鍵點是交易可信和客戶可參與，我們考慮的是如何將這兩點通過USB Key的介質實現(xiàn)，在當前市場中，最大限度地保障客戶資金安全?！?/P>

審視安全：從銀行端和客戶端深入分析

釣魚網(wǎng)站問題始終威脅著網(wǎng)銀產(chǎn)業(yè)的健康發(fā)展，甚至引發(fā)了業(yè)界關于“網(wǎng)銀系統(tǒng)脆弱性”的質疑，這種脆弱性不僅僅包括系統(tǒng)自身的缺陷，還包含安全技術水平和操作流程上的不足。林立峰認為，可以從銀行業(yè)和客戶端兩個角度檢視網(wǎng)銀是否安全。

一方面，從網(wǎng)銀自身安全角度，依據(jù)監(jiān)管部門出臺的規(guī)章審視本行網(wǎng)銀是否合規(guī)。比如，是否依據(jù)《電子銀行安全評估指引》要求的8個方面進行了評估；是否按照《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范（試行）》建設或改良了網(wǎng)上銀行信息系統(tǒng)；是否對客戶端的保護盡到了相應的義務。

另一方面，從客戶端角度審視網(wǎng)銀安全。林立峰認為：“近年來，國內(nèi)網(wǎng)銀的大多數(shù)攻擊對象還是集中在客戶端，這是由攻擊成本、攻擊風險和攻擊收益幾個因素決定的?！惫粽呖梢岳镁W(wǎng)絡將木馬傳播到成千上萬的用戶計算機中，通過擊鍵記錄、截屏等方式獲得網(wǎng)上銀行的賬號口令，同時獲得軟證書，以此控制用戶賬戶；如果用戶使用的是動態(tài)令牌，不法分子則可以想辦法進行社會工程學攻擊，即網(wǎng)絡釣魚或者中間人攻擊，或者利用動態(tài)令牌的脆弱性，讓“交易劫持”和“交易偽造”等威脅有可乘之機。

深入分析問題所在后，林立峰表示：“握奇公司沒有拋開USB Key的設計思路，以‘把簡單做到純粹’為研究主旨，有針對性地根據(jù)網(wǎng)銀業(yè)務系統(tǒng)特點設計適合客戶端安全的身份鑒別方法?！?/P>

網(wǎng)上銀行業(yè)務可以分為客戶端、傳輸線路和服務器3個環(huán)節(jié)，而在這三個環(huán)節(jié)中受威脅最大的是客戶端，其次是傳輸線路。

林立峰表示：“傳輸線路主要面臨信息監(jiān)聽、篡改和重放攻擊，而客戶端攻擊者可以利用植入木馬的方式，獲取網(wǎng)上銀行的賬號、口令和軟證書，從而完全控制客戶的網(wǎng)銀賬戶?！?/P>

為解決動態(tài)令牌在設計之初的自身脆弱性問題，握奇公司設計出了基于顯示屏和按鍵的二代USB Key產(chǎn)品，能夠有效防治客戶端和傳輸線路的數(shù)據(jù)安全。早在2005年，握奇公司就提出了一種數(shù)字簽名設備與其對端設備實現(xiàn)數(shù)據(jù)交互的方法，可以保證用戶從“被動防御”到“主動防御”，這個裝置最早叫OCL交易驗證器。由于2010年網(wǎng)上銀行市場的安全問題暴露嚴重，握奇在兩個多月的時間里，將5項“主動防御”客戶端身份認證USB Key專利經(jīng)研發(fā)形成產(chǎn)品，即二代USBKey----可視化的智能密碼鑰匙。將網(wǎng)銀身份鑒別技術提升到新的高度?！?/P>

立足易用：注重客戶體驗

動態(tài)口令具有兩個明顯弱點，一是不能確定銀行服務器端接受的交易數(shù)據(jù)是否是客戶本人發(fā)出的，是否為客戶真實意愿；二是客戶不能參與后臺數(shù)據(jù)的確認過程?？梢暟存I產(chǎn)品很好地解決了這兩個問題。林立峰表示：“可視按鍵產(chǎn)品首先將用戶交易的關鍵數(shù)據(jù)信息，如銀行賬號、轉賬金額等，傳送到USB Key屏幕上，在客戶確認無誤并進行按鍵操作后，方可執(zhí)行數(shù)據(jù)簽名和數(shù)據(jù)加密，保證交易的內(nèi)容未被惡意修改，真正做到了‘所見即所簽’。”

握奇公司二代USB Key又名Watch KEY OCL ITA(Identity & Transaction Authentication)，簡稱OCL Key ,它提出“基于可參與性的網(wǎng)絡可信交易”思想，并以此為基礎，針對具體工程實現(xiàn)，提出操作控制列表技術（Operation Control List，簡稱OCL技術）。它從硬件認證設備端入手，注重用戶體驗，同時充分考慮現(xiàn)有應用環(huán)境的兼容性和便利性，避免對平臺及交易環(huán)境的改變，能夠解決終端交易環(huán)境不安全所帶來的“交易偽造”和“交易劫持”等一系列問題，將網(wǎng)銀業(yè)務的客戶端風險將到最低。

林立峰強調，“任何先進的技術、產(chǎn)品、解決方案和服務，只有轉化為客戶的商業(yè)成功才能產(chǎn)生價值。在保證產(chǎn)品穩(wěn)定性、易用性的前提下，深入挖掘網(wǎng)銀個人用戶和企業(yè)用戶的需求，提供網(wǎng)銀供能應用的解決方案是獲得競爭優(yōu)勢的關鍵策略。聚焦客戶關注的挑戰(zhàn)和壓力，移情換位，實現(xiàn)共贏。希望讓每個金融信息處理者都擁有自己可信的計算環(huán)境。”

目前，“OCL技術”已經(jīng)成為中國網(wǎng)絡銀行高端安全設備的事實標準，成為幾乎每個主流商業(yè)銀行“高端USB Key”的招標要求促進了中國網(wǎng)絡銀行安全性的提升，并成為中國密碼管理行業(yè)標準“智能密碼鑰匙應用接口規(guī)范”的一部分。網(wǎng)銀安全的技術革命即將掀起……

握奇金融大事跡：

1997年 握奇完成了中國銀行的“長城卡網(wǎng)絡授權系統(tǒng)”的開發(fā)與實施，獲得中國人民銀行金融科技進步一等獎；

1999年 推出符合《中國金融集成電路（IC）卡規(guī)范》的卡TimeCOS V2.0；

2001 握奇通過了中國金融認證中心（CFCA）的測試；

2002 握奇獲準加入Visa組織的低成本智能卡計劃--(Global Platform)國際平臺卡片系列，成為該計劃的首家中國銷售代理商；

2003中國銀聯(lián)邀請握奇參與修訂《中國金融集成電路（IC）卡規(guī)范》；

2003 握奇中標中國銀行企業(yè)網(wǎng)上銀行項目；

2004握奇中標中國農(nóng)業(yè)銀行人民幣結算密押系統(tǒng)；

2005 握奇首批通過銀行卡檢測中心關于PBOC2.0借貸記卡片的資格檢測；

2007握奇中標中國銀行網(wǎng)銀新平臺項目，并成為中國銀行網(wǎng)銀新平臺USB Key唯一外觀設計單位；

2007 握奇中標中國建設銀行網(wǎng)上銀行項目，標志著握奇在網(wǎng)銀領域取得了重大突破；

2008 握奇中標光大銀行、中國農(nóng)業(yè)銀行、韓亞銀行網(wǎng)上銀行項目；

2009握奇中標農(nóng)信銀網(wǎng)銀結算中心USB Key項目，提供普通USB Key、按鍵USB Key、液晶顯示USB Key (OCL)；

2010-1握奇雙界面CPU卡Timecos/Pay Wing通過MasterCard國際信用卡組織檢測中心測試，獲得MasterCard產(chǎn)品資質證書

2010-5握奇獨家向中國農(nóng)業(yè)銀行遠程辦公系統(tǒng)提供帶有TF卡的USBkey安全設備；

2010-7 握奇為北京建行網(wǎng)上銀行業(yè)務推廣開發(fā)的電子商務類營銷平臺正式上線，標志著握奇從提供網(wǎng)銀產(chǎn)品到提供差異化營銷服務上的創(chuàng)新；

2010-10 握奇為江蘇銀行提供的網(wǎng)銀客戶端在線升級系統(tǒng)正式上線，江蘇銀行成為國內(nèi)首個實現(xiàn)網(wǎng)銀客戶端自動升級的銀行；

2010-10握奇正式為中國建設銀行股份有限公司寧波市分行、浙江移動寧波分公司供貨“移動龍卡”；

2010-11 握奇獨家向中國銀行、中國電信提供集手機SIM卡與芯片銀行卡于一體的手機銀行卡——銀聯(lián)標準“天翼長城卡”；

2011-12握奇通過銀聯(lián)生產(chǎn)資質審核，獲得銀聯(lián)卡生產(chǎn)資質；

2011-2 握奇獨家入圍銀河證券互聯(lián)網(wǎng)安全接入系統(tǒng)之USB key設備；

2001-3握奇成功入圍浦發(fā)銀行二代USB key；

2011-4握奇入圍宇信數(shù)據(jù)金牌USB key 合作伙伴（握奇和宇信數(shù)據(jù)達成戰(zhàn)略合作伙伴）

2011-4中國銀聯(lián)邀請握奇參與制定《中國移動支付業(yè)務管理辦法》；