银行网上银行安全性分析

＃＃银行网上银行安全性分析
摘要：网上银行代表着一种全新的业务模式和发展方向，它给银行带来的表面
变化是减少了固网点和经营成本，为用户提供24小时全天候的不间断服务。更
深刻的变化是在于，银行由经营金融产品的中介机构开始向提供信息和投资理财
的服务性机构转换。这是金融业经营理念上的重大变化，更是网络经济时代金融
业发展的大趋势。然而，随着网络技术的发展，网上银行业务也带来了各种各样
的风险。对网上银行进行安全性的分析，有利于更好的开展网上银行业务。
＃＃银行是最先成为国内实现全国连通“网上银行”的商业银行。目前，无
论是网络银行技术，还是业务量均在国内同业中处于领先地位。被许多著名电子
商务网站列为首选的网上支付工具。

关键词：
＃＃银行、系统安全、网上支付、系统风险
1

目录
1. 网上银行概述…………………………………………………………………………2
1.1 网上银行的产生和发展的原因 ………………………………………………2
1.2 网上银行的发展状况 …………………………………………………………2
2. ＃＃银行网上银行的系统功能和特点………………………………………………2
2.1 系统功能………………………………………………………………………2
2.2 系统特点………………………………………………………………………2
3. ＃＃银行网上银行的安全机制…………………………………………………3
3.1 ＃＃银行网上银行业务中的相关风险 …………………………………3
3.1.1操作风险 …………………………………………………………………3
3.1.2 战略风险 …………………………………………………………………3
3.1.3信誉风险 …………………………………………………………………3
3.1.4法律风险 …………………………………………………………………3
3.2 网上“企业银行”的安全机制………………………………………………3
3.2.1 传输安全………………………………………………………………………3
3.2.2 病毒防范………………………………………………………………………3
3.2.3严格的授权管理 ………………………………………………………………3
3.2.4变码印鉴的使用 ………………………………………………………………4
3.3 个人银行服务的安全机制 ……………………………………………………4
3.3.1技术手段 ……………………………………………………………………4
3.3.2业务安全监控办法 ………………………………………………………4
3.4＃＃银行网上银行支付体系的安全保障措施 …………………………………5
4＃＃银行网上银行的特点、问题和发展对策 ………………………………………5
4.1＃＃银行网上银行的特点和问题 ……………………………………………5
4.2＃＃银行发展的应对策略 …………………………………………………6
主要参考文献 ………………………………………………………………………7
致谢词 ………………………………………………………………………………8
2

1、 网上银行概述
1.1 网上银行产生和发展的原因
1.1.1 信息技术革命是网上银行产生和发展的根本原因
信息技术革命对人类社会的发展产生了及其深远的影响。因特网的出
现给人类生活带来了质的飞跃，也给金融业带来了一次前所未有的革命。
构建在因特网上的网上银行给商业银行提供了创造银行知识优势的
平台。在这个平台上，商业银行形成了全行业乃至整个金融服务业有别
于其他行业或产业的无边界发展空间。它突破了网点约束对银行业务扩
张的限制，使金融服务从有形的物理世界延伸到无形的数字世界。
1.1.2 网上银行是电子商务发展的要求
电子商务作为信息流、资金流和物流的统一，它的运行从根本上离不
开银行网上支付的支撑。因此，发展电子商务客观上要求银行业必须同
步实现电子商务化，以保证资金流正确、安全地在网上流通，进而保证
电子商务目的的最终实现。而银行业适应电子商务发展的基本途径就是
大力发展网上银行。
1.1.3 网上银行是银行业自身发展的要求
激烈的同业竞争是网上银行发展的必然选择。为了在竞争中谋求生
存发展，任何一家不甘落后的银行都有足够的内在动力来发展网上银行。
利用因特网开展新的银行业务成了各家银行竞争的新领域。
1.2 网上银行的发展状况
我国自1997年以来，＃＃银行、中国银行、建设银行、工商银行陆续推
出网上银行，开通了网上支付、网上自助转账和网上缴费等业务，初步实现
真正的在线金融服务。
2 ＃＃银行网上银行的系统功能和特点
2.1 系统功能
2.1.1用户管理功能：包括增加用户、修改用户密码、日志查询。
2.1.2一卡通管理功能：包括安装一卡通、删除一卡通。
2.1.3数字证书管理功能：包括证书申请、下载、更新、查询、备份、恢复。
2.1.4业务功能：账户、帐务查询业务，转账和汇款业务，挂失、修改密码，
自助贷款，网上支付，外汇买卖等功能。
2.2 系统特点
2.2.1 完善的安全机制
 在交易认证上采用完整的证书机制，符合国际标准；
 在网络通讯上采用了＃＃银行自主开发的封闭通讯协议，避免被他
人截获分析；
 在加密算法上达到了国际先进系统的强度，防止被他人破译；
 在业务控制上采用了多项措施，确保他人不能从业务环节进行渗透。
2.2.2增强的服务功能
在完善的安全机制之下，系统增加了如个人汇款、转账等对安全要
求较高的新功能，使得对个人的理财服务更加完善。
2.2.3可自行设定支付限额
3

用户可以自主设定甚至取消支付限额，一方面使得用户对安全的控
制更加个性化，另一方面方便了用户进行大额网上支付。
2.2.4自动软件升级
用户软件可随着整个系统的发展而自动升级，使得用户可以随时获得
招行的最新服务。

3 ＃＃银行网上银行的安全机制
3.1 ＃＃银行网上银行业务中的相关风险
3.1.1操作风险
 安全性风险：比如不完善的访问控制使得黑客可以通过互联网成功地攻击银
行的系统，从而可以访问、获取和使用机密的信息。
 系统设计、实施和维护方面的风险：比如设计、实施的联完善，对外部服务
提供商的依赖。
 客户误操作风险：如果银行没能就安全预防问题向客户进行足够的宣传教
育，这种风险就会增加。
 银行内部组织与管理风险
网上银行业务改变了银行传统的业务模式，银行必须对内部组织和管理方
式进行变革，这给银行造成了很大的操作风险。
3.1.2 战略风险
如果银行业务的决策和实施与该银行的总体业务目标不一致，这将给银行造
成战略风险。
3．1.3信誉风险
比如公众对网上银行运行情况产生负面的印象而损坏了银行与客户之间的关
系，网上银行系统的安全性出现问题而损害了客户对银行的信心，客户在网上银
行服务中碰到了问题而银行没能给出恰当的问题解决程序，第三方欺诈，等等。
3.1.4法律风险
目前，网上银行业务还不完善，电子商务的法律环境还未建立，银行必须将
面临各种形式的法律风险。另外，如过银行使用了自建的认证机构，认证机构本
身也承担着相应的法律风险。

3.2 网上“企业银行”的安全机制
3.2.1 传输安全
在“企业银行”的客户端和银行服务器之间传输的所有数据都经过了两层
加密。第一层加密采用标准SSL协议，该协议能够有效地防破译、防篡改、防重
发，是一种经过长期发展并被实践证明安全可靠的加密协议。第二层加密采用私
有的加密协议，该协议不公开、不采用公开算法并且有非常高的加密强度。两层
加密确保了企业银行的传输安全。
3.2.2 病毒防范
在可靠的数据传输安全机制的保障下，企业银行客户端和银行服务器之间传
输的是有特定格式的数据而不是程序。企业银行服务器严格检查接受到的数据的
格式是否合法，校验码是否正确。这些措施确保了任何病毒都不可能侵入企业银
行系统。
3.2.3严格的授权管理
对于支付和发工资这类涉及资金交易的敏感业务，企业银行系统控制企业必
4

须按照业务管理要求经过相应的经办和授权步骤系统才会接收。
3.2.4变码印鉴的使用
使用变码印鉴对每一笔交易签上一串数（变码）加押，确保了企业银行的交
易安全。

3.3 个人银行服务的安全机制
网上个人银行服务包括个人理财、网上支付和网上证券服务等内容，＃＃银行
采取了先进的技术手段和严格的业务管理措施来保证业务安全。
3.3.1技术手段
✓ 网站认证
＃＃银行的网站里安装了美国Verisign公司发放的安全证书。有效地防止了
网站被假冒。客户只要正确输入＃＃银行网址，链接的必定是＃＃银行网站。
✓ 传输安全性
网上个人银行交易采用了国际通行的SSL协议加强信息传输的安全。在
传输数据时使用加密的因特网安全传输协议HTTPS，在一个会话过程开始
时，HTTPS先在客户端和银行端的WEB SERVER之间用102bit的RSA算法交
换一次加密密钥，以后HTTPS就使用该加密密钥用40bit的RC4算法对所有
往来于客户端和银行端的数据进行加密，具有很高的安全性。
✓ 客户身份认证
客户进行网上银行操作需要输入账户和密码来确认身份。网上帐务查询
需输入查询密码，转账交易要输入交易密码。进行网上消费付款需输入“网
上支付”密码，通过电话银行向网上专户转账需输入转账密码。如果客户
连续输错5次密码，其账户将会被银行冻结。
✓ 网上交易资金在银行主机系统内封闭流动
网上个人银行交易的转账、支付资金都是在银行主机系统内封闭流通。网
上转账只能转向客户指定的招行账户，网上支付资金只能划入商户指定的结算
账户，不会流向非法账户。由于银行主机系统的封闭性，任何人不可能通过网
络侵入银行系统盗用资金。
✓ 网上支付的信息保护
客户使用“网上支付卡”付款时，浏览器自动把客户的付款指令用一个HTTPS
命令从商户的网站引导到＃＃银行的网站，＃＃银行的网站处理完付款指令后
把处理结果回送客户。这种机制保证了客户付款时输入的支付卡卡号和支付密
码只能由银行得到，商户不可能获取持卡人支付信息。从而保证了支付过程的
安全性。
3.3.2业务安全监控办法
✓ 功能申请
对部分有一定风险的网上交易，如网上自助转账、网上支付等，要求客户进行
功能申请，申请时银行要验证客户身份。
✓ 设定交易限额
网上转账的限额由客户在功能申请时自行设定，网上消费单笔限额控制在1万
元，将客户的资金风险控制在限额以内。
✓ “网上支付”账号与银行主账号分离
在“一卡通”主账号下设“网上支付”专户，通过电话银行向专户转账。客户
交易时使用网上支付账号，“一卡通”主账号不在支付活动中出现。资金风险仅