上网安全范文
时间:2023-10-28 03:31:17
上网安全篇1
【关键词】网上银行;第三方支付;安全;风险
一、网上支付的现状
网络和银行卡的普及推动了网上支付的发展,应用形式多种多样,包括网上转账、网上炒股、网上购基金、网上炒黄金和网上购物等。来自“国家金卡工程第十二次全国IC卡/RFID应用工作会议”的资料显示,2009年中国网上银行个人用户已达1.5亿户,网上银行企业用户超过400万户,交易额超过400万亿元。
依照《电子支付指引(第一号)》规定,网上支付是电子支付指令发起方式在网络的电子支付类型。从形式上可以分为两大类:直接支付和间接支付,直接支付最主要的表现形式为网上银行,常见形式是证券账户和银行账户之间的网上转账,网上证券的股票、基金买卖,其他形式还包括电信企业小额代收费(如手机付费、电话付费)、虚拟货币支付(如Q币、联众币等);间接支付主要表现形式为独立第三方支付(如支付宝、财付通等)和银联的第三方支付(CHINAPAY)。独立第三方支付成功解决了相互不了解的人的交易诚信问题,自身也得到了快速发展,连续五年增长超过100%,从2005年的年交易额196亿元发展到2009年的5766亿元。2009年网上支付交易额占全年社会零售总额的0.46%,预计2012年将超过2万亿元,将占社会零售总额的1%。
二、网上支付的风险分析
(一)支付流程和安全性分析
网上直接支付是付款人直接通过计算机网络将银行(或证券公司等机构)账户的资金划转给收款人,从而实现转账的相应交易,付款和收款两个环节顺次完成(不考虑银行系统内部流转),资金直接在银行系统内完成转移。网上间接支付是付款人通过网络把资金先划至第三方支付公司,通过担保和代保管,在交易确认成功后再由第三方支付公司划给收款人,包括付款、代保管、收款三个环节。从网上支付流程中可以看出,整个支付系统的安全包括银行(或证券)系统安全、第三方支付机构系统安全、客户安全(收款人、付款人)和网络支持系统安全四个方面。绝大多数支付行为都离不开银行系统的支持,因此,网上银行的安全性成为网上支付安全的核心。
(二)风险分析
1.系统风险分析,包括网上银行(证券)系统、第三方支付系统、网络支持系统,具体体现在实体安全风险和技术安全风险。其中,实体安全风险有经营风险、环境风险(如火灾、水灾)、设备风险等,技术安全风险有业务系统安全风险、数据安全风险、操作系统及网络安全风险、网络攻击风险、网站被假冒风险等。
在实体安全经营风险方面,银行(证券)系统受到较为严格的监管,有严格的市场准入和经营管理机制,网上业务也受到相应的约束,证券系统实行客户资金银行第三方存管,经营风险控制较完善,但第三方支付目前监管缺失,主要依靠企业自身自律完成,只有少数企业实行自有资金和客户资金分离的形式,如经营风险,则可能导致挪用甚至侵占客户资金。环境风险可能导致业务设备、业务系统损坏,如2005年4月某直辖市联社数据中心受到火灾威胁,在消防人员的特别保护下才保护住核心数据。
在技术安全风险方面,2007年4月6日,某银行总行的数据中心网络出现故障,北京分行各营业网点和网上交易业务被迫中断4小时;2010年2月3日另一家银行系统瘫痪4小时,影响涉及全国分支机构,自动取款机、网银均不能办理业务。网络的开放性让网络攻击可以随时随地进行,如采用Dos拒绝服务攻击可以使一个网站不堪重负而瘫痪,网络攻击也可能找到访问服务器的漏洞从而窃取客户访问数据。网站被假冒,即做一个和网上银行或第三方支付界面一样的网站,域名和真实网站相近,如出现过工行的.cn曾被.cn在2004年底仿冒,许多利用“中奖”骗人的网站也作类似的仿冒。和假冒网站狼狈为奸是域名劫持,通常是利用病毒修改上网机器的hosts文件或解析服务器地址,将地址解析到一个假的网站上去,2010年1月12日百度域名劫持事件性质更为严重,黑客直接修改了域名服务商域名解析数据,从源头将百度网站的地址指向了伊朗网军和雅虎错误界面。
2.客户风险分析,客户风险主要来自于欺骗和盗用,病毒和木马威胁着网上银行和第三方支付账户安全和支付过程的安全。最常见的是利用病毒和木马盗窃资料,如网银大盗、网银窃贼等木马病毒。2009年央视“315”晚会曝光的名叫“顶狐”黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,并出售给他人导致部分网银客户资金受损。
虽然网银或第三方支付提供了一些技术手段来增强客户支付的安全性,但其通常是防范已知危险行为,不法入侵者并不需要破解这些防护行为,而且通过别的漏洞从而绕过防护。一种是来自假冒交易网站(如假淘宝、假网银)的钓鱼行为,如客户不能正确识别登录了假冒网站进行交易,轻者导致客户丢失自己的网上银行或第三方支付账户资料,重者直接把款项付给了黑客虚设的账户。另一种是更为严重的情况客户机器已经成为了“肉鸡”,黑客利用木马程序获得账号密码,然后利用用户数字证书甚至是USB Key来完成网上银行转账。如果该客户没有银行卡使用手机通知服务,则不能及时发现资金被盗。还有更糟糕的是不法入侵者得到了银行卡账号和密码,在现实生活中制造假卡盗取客户银行资金。
三、网上支付安全评估
(一)增强网上支付安全手段及效果
1.增强系统安全手段,包括银行(证券)系统、第三方支付系统、网络支持系统。主要体现在技术方面,有两层防火墙技术(保证核心数据库不受攻击)、网络数据传输加密(保证口令、数据和控制信息的安全)、权限控制(内部权限控制和外部网络访问权限控制)、备份与灾难恢复、入侵检测等。通过以上措施,能够保证核心数据库安全,但灾害、拒绝服务攻击等有可能让服务器中断服务,与外部联系紧密的访问服务器也有较多风险。另外要进行身份验证,因为牵涉到网络和前台客户端,容易产生漏洞,一直处于不断完善中。
2.增强客户安全手段。由网上银行和第三方支付服务提供商为客户提供,具体包括客户动态密码、USB Key、数字证书(含第三方认证证书)、短信服务、预留信息验证、128位SSL安全通信协议、图形码动态密码键盘等。其中,客户动态密码和USB Key为物理移动设备,难以被盗用,安全特征明显;短信服务是让客户了解账户变动情况;数字证书第三方认证是个人用户使用的电子签名安全认证,由第三方机构提供,主要是增强对交易过程中行为和责任的认定。通过几种方式的组合,增强了非法入侵和盗用的难度。
3.其他手段。一是加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,防范欺诈;二是第三方支付公司借鉴证券公司使用第三方存管,增强了客户资金安全性。
(二)常见网上支付行为安全性评估
网上支付的后台核心数据库安全性很高,更多的风险来自前台用户端的仿冒、盗用和外部欺骗。网上支付安全的实质是资金会不会被盗用,最安全的支付是能够被有效跟踪审计的资金流动且所需要银行信息少的支付,能够确保支付以后达到付款者目的为安全支付,可能被欺诈等不能被有效跟踪的资金支付为不安全支付。
1.最安全的支付是使用证券客户端进行银证转账和购买证券,因在此客户端中不会提示出银行账号和身份证号等重要信息,资金只能在证券账户和对应的银行账户流动,不会造成资金被盗。
2.在网上银行直接购买基金、外汇、纸黄金,在基金公司网上直销点购买基金等资金流走向明确,不受网银交易额限制,为安全支付。
3.企业网上转账、个人汇款、交纳电费、水费、通信费、在知名的公司网上平台购买、商品支付等交易对象明确可信,为安全支付。
4.在知名的交易网站(如淘宝网、拍拍网)购物,使用第三方支付的,为安全支付。
5.通过知名网站专门广告连接在普通企业网站或不知名的交易网站购物支付,一般为安全支付;通过搜索引擎查找,并能确认真实性的企业网上购物支付,一般也为安全支付。
6.通过知名网站论坛等非正常广告链接和小网站广告链接,尤其是超低价购物、中奖消息为虚假消息,为此付出的货款、税费、手续费的支付均为不安全支付。通过搜索引擎查找,无法确认真实性的企业网上购物支付,也为不安全支付。
以上6种情况安全性逐渐降低,第2-5的风险主要来自于使用者的计算机安全,如木马和病毒对客户信息的盗用,第6种是不安全支付,也是用户信息被盗用和计算机感染木马病毒的渠道。因为绝大多数网上支付属于前4项行为,所以网上支付总体上是安全的。
四、增强网上支付安全性的建议
虽然网上支付发生风险的比例很低,但风险的存在依然让很多人对其安全性能心存疑虑。如《2009中国网上银行调查报告》显示,有80%参与调查者使用了网上银行业务,说明认可网银安全性能的人较多;另一方面,拒绝开通网上银行的受访者中间,将近70%的人对网银的安全性表示担忧。要增强人们对网上支付的信心,应加强法律环境建设、系统安全管理和使用者安全教育,让人们能够安全安心地使用网上支付,从而享受网络的便捷性。
(一)完善网上支付相关法律,规范网上支付环境
1.完善网上支付法律建设,尤其是要尽早出台第三方支付法律规范。我国网上支付相关的法律法规有《电子签名法》、《电子支付指引(第一号)》、《电子银行业务管理办法》、《证券公司网上证券信息系统技术指引》等,但还不是完善的体系,如与《票据法》相关法律对接问题。另外,以上规范主要用于约束金融机构,目前对第三方支付机构没有约束力,建议将其业务纳入结算管理范畴,并出台第三方支付业务规范,明确其法律责任。
2.加强监管,落实网上支付风险控制。银行和证券监管部门落实网上银行、网上证券各环节监管监测,从制度、内控、客户教育上落实与技术体系相配套的风险控制,保证网上银行、网上证券安全。
3.打击网上违法犯罪行为,建立诚信网络环境。切实打击网络攻击、、诈骗、盗窃他人信息和资金等违法犯罪行为,教育广大网民遵纪守法,建立诚信网络环境。
(二)加强系统和运行安全建设,防患于未然
1.加强系统安全建设和管理,确保网上银行、网上证券和第三方支付系统安全运行。包括加强内部管理,切实做好系统运行监测、维护和入侵检测,及时发现和处理潜在风险,避免系统中断运行;做好备份和灾难恢复,建设异地备份数据处理中心,确保核心数据安全。
2.完善网上支付平台安全设计,不断减少安全漏洞。要不断完善网上支付平台设计,运用新技术增强支付的安全性,同时要优化客户的操作便利性。如网上支付客户端控件时主动关闭计算机远程服务,对威胁网上支付的应用进行报警,防止别人用远程控制盗窃客户信息和资金;在客户端设计上,应避免客户重要资料需要经常输入等。
3.通过技术手段或人工检测加强网上支付各交易环节的监控,妥善记录和保存交易内容及技术信息,便于交易分析和事后追溯。如发现可能存在的洗钱、套现、、欺诈等非法活动,应及时处置或报相关部门,避免他人的违法犯罪活动影响正常的网上支付行为。
(三)强化宣传教育,提高网上支付客户自身安全意识及安全水平,增强操作安全性宣传教育包括的网络安全教育和交易提供者的功能使用安全教育,如安全风险识别、新功能使用、安全习惯培养等,增强操作安全性
1.使用安全的计算机进行网上支付。安装必要的杀毒软件、防火墙软件,及时做好系统漏洞修补,不在网吧等公用计算机操作。不使用密码保存功能,对于浏览器自动打开、防病毒软件不能正常工作要及时解决,防止病毒和木马感染。
2.访问正确的网站,谨防钓鱼。访问网上银行和交易网站时,可以将正确的网址收藏起来,避免通过“超链接”操作,登录时核对信息是否正确。记住正确的网站名称、特服号码,对于要求提供身份、账户及密码的邮件、电话、短信保持高度警惕。学会识别正规经营网站的红盾标志,对没有把握的交易对象要通过搜索判断其服务真实性,不打开非正常弹出的链接。
3.应熟悉所使用的交易规程,避免被欺诈。如第三方支付中不良卖方会诱导买方提前确认付款或者欺骗买方导致第三方机构“超时打款”。
4.保护好自己的账号和密码。不要轻易将个人信息告诉他人,密码要有足够的强度,对于网上银行支付密码要与访问密码不同,尽量使用动态口令密码、USB Key、短信服务等增强安全工具进行支付,要经常核对账户资金是否正确。
上网安全篇2
随着网络信息技术的发展和电子商务的普及,以互联网技术为核心的网上银行正日渐取代传统的银行业务。“网上银行”为金融企业的发展带来了前所未有的商机,也为广大用户提供了快速便捷、形式多样的金融服务。作为一种全新的交易渠道,客户不必亲自去银行网点办理业务,只要能够上网,无论在家、办公室,还是在旅途中,都可以全天24小时安全便捷地管理自己的资产,办理查询、转账、缴费等银行业务。
然而近年来,假网站、假电子邮件、假短信、恶意木马病毒等各种新的犯罪手段层出不穷,很多人对处于推广普及阶段的网上银行了解得不多,特别是对如何确保安全并有效防范各种网络诈骗和网络盗窃行为知之甚少。为此,国内各大商业银行相继推出了一系列安全工具,保障网上银行交易安全。国内最大的商业银行中国工商银行推出了网银高端安全工具――U盾(个人客户证书)和最新的电子银行口令卡,让客户在享受网上银行便利服务的同时,确保支付交易安全。
U盾是工行在国内率先推出的网上银行物理数字证书,外形小巧别致,类似U盘。可以说,U盾就是网上银行的“身份证”和“安全钥匙”,是目前国内高端的网银安全工具。申请了U盾,所有涉及资金对外转移的网银操作,都必须在它的伴随下完成。U盾能够轻松防止网络病毒、木马、黑客和假网站等网上诈骗手段窃取客户资金。拥有U盾,即可安心享受时尚的网上金融生活。
电子银行口令卡是工行8月份新推出的一项电子银行安全产品,相当于动态的电子银行密码。口令卡上以矩阵的形式印有若干字符串,客户在使用网上银行进行对外转账、B2C购物、缴费等支付交易时,系统就会随机给出一组口令卡坐标,客户根据坐标从卡片中找到相应的口令组合,只有当口令组合输入正确时,相关交易方可成功。这种口令组合是动态变化的,具有随机性,客户每次使用时输入的密码各不相同,交易结束后密码自动失效。薄薄一张口令卡,可以有效杜绝不法分子通过盗用他人密码窃取资金,保障电子银行安全。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极度重视,包括工行在内的各大商业银行都采取了有效的技术和业务手段确保网上银行安全。相信随着国民金融意识的增强和国家规范网上行为等相关法律法规的出台,广大用户会享受到更好的网上银行使用环境。为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得越来越多用户的青睐。
上网安全篇3
下载“Windows软件包”(/zh-CN/windows-live/essentials-other-programs)并运行,选择安装“家庭安全设置”程序,安装完毕后重新启动电脑即可通过开始菜单启动“Windows Live家庭安全设置”功能。为了有效地保护家庭成员,所有受保护的账户将只拥有普通用户权限,并且来宾(Guest)账户会被禁用,而拥有管理员权限的账户则都需要设置密码。启动软件后,我们首先要使用Windows Live ID登录并进行设置,还要选择需要保护的账户。而之后的其他设置我们可以在“”网站上使用同一个Windows Live ID登录进行设置和管理。
配置家庭安全
通过“”网站我们可以对所有受保护的账户分别设置具体的安全选项。除了网络应用以外,应用程序和游戏的监控设置对于拥有管理员权限的账户无效,因而,如上所述,我们应该为孩子准备只拥有普通用户权限的账户。注意在整个配置的过程中,只阻止我们认为必须禁止的应用,避免孩子在使用电脑的过程中,由于限制过多而无法完成必要的操作或者因频繁出现被禁止的提示而受到困扰。
管理过滤器
一定记住,设置过滤器的限制不应过于严格,孩子们应该通过学习知道如何正确地使用互联网。对于被禁止的内容,孩子们需要访问时将能够发出访问请求。请求信息将通过电子邮件发送给我们,登录到家庭安全设置的网站,单击“请求”链接即可查看请求的内容,之后我们可以决定同意或拒绝请求。因而,我们需要设置有效的电子邮箱地址,以便我们能够及时收到和处理孩子们的请求。在设置和处理请求时,必须充分考虑孩子的需要,特别是要注意根据孩子的具体情况做出明智的选择。例如一个适用于8岁孩童的过滤器设置,对于一个16岁的孩子来说明显是不适用的。
设置管理
选择账户 使用Windows Live家庭安全设置,首先要选择需要保护的账户,选中“监视帐户”复选项的账户都将被保护起来。
增加家庭成员 我们随时可以通过“Windows Live家庭安全设置”添加新的账户到家庭安全设置中,在其他电脑上也可以使用相同的Windows Live ID登录进行管理。
显示状态 指定保护账户后登录到家庭安全设置网站,这里将显示所有家庭成员当前的保护状态,单击某个家庭成员名称下方的“编辑设置”链接可以做进一步的管理。
编辑设置 进入家庭成员的个人设置页面,可以查看当前各种安全设置的状态。
控制过滤 单击“网站筛选”可以设置指定账户的网站过滤方式,软件以分类限制的方式管理目标账户可以访问的网站类别。我们可以通过滑块设置限制的类别。
筛选器列表 单击“网站筛选器列表”,我们可以手动输入一个禁止或者允许访问的网站,并可以通过后面的下拉菜单选择是否将该设置应用到每一个孩子的安全设置中或者仅用于当前的账户。
检查活动 “活动报告”为我们提供了当前账户近一周访问网站和相关搜索关键字的简单摘要,孩子的活动情况一目了然。
上网安全篇4
超级兔子
“超级兔子魔法设置”您肯定用过吧?“上网精灵”就是超级兔子的系列产品,它可以完美拦截各种弹出、漂浮或iCast广告,还你一个干净的网络世界,它还具备上万种恶意程序、木马病毒检测及清除功能,可全面查杀有害代码,清除恶意插件。
让网页广告见鬼去吧
启动“上网精灵”(如图1),勾选“禁止恶意网页修改IE”、“禁止IE窗口及漂浮广告”、“禁止浏览色情网址及内容”,最后点击界面下部的“确定”即可。现在再访问网站试试,浮动广告和弹出窗口全不见了。你还可以到“安全防护”、“IE广告”、“网址过滤”等功能中进行更加灵活的设置。
清理系统和卸载软件
点击桌面上的“优化王”(如图2),在左边选择“清理系统”,然后就可以分别清理文件、注册表、IE记录。这样不仅能加快电脑的运行速度,还能保护自己的隐私;对于特别难以卸载的插件,我们可以使用“专业卸载”功能,在左侧选中该功能后,在右侧窗口(如图3)就会列出所支持卸载的软件,看看有没有你不想要的软件,点击需要卸载的软件,按“下一步”再重启就OK了。
全面修复IE系统
运行“IE修复专家”(如图4),首先选择左侧的“检测恶意程序及木马”功能,让该软件对你的系统进行全面的检测,如果发现恶意程序和木马病毒,便会在右侧窗口中显示出来,这时只要单击“一键清除”按钮即可清除恶意程序及恢复IE原有设置。如果你是电脑高手,那么可使用“全面修复IE系统”功能来通过手工设置来修复IE。
流氓软件清理助手
“流氓软件清理助手”可以轻松清理包括DUDU下载加载器、网络猪、3721上网助手等在内的15个强制安装或难以卸载的软件。它本身是绿色软件,无需安装,直接运行Roguecleaner.exe即可(如图5),点击“检测”按钮,很快在左侧窗口中就看到检测结果。点击“清理”按钮后软件会自动将它们清理掉。
如果你不想清除某个功能,如“完美网译通”,那么在清理前你可以在“设置”中将“完美网译通”前的勾去掉(如图6),这样在清理时就会将“完美网译通”给您留下了。
最好在安全模式下使用该软件,清理前最好备份注册表,以便清理后如果出现系统问题能够及时恢复。
该软件采用了独特的查杀引擎,在检测流氓软件的同时,也可以把流氓软件清除得更彻底,即使用您用别的软件清理后未清理干净的残留文件它也能清理。
IE优化修复专家2006
“IE优化修复专家2006”是一款集IE浏览器修复、网络浏览加速、系统安全修复和设置、Active控件免疫等多项功能于一体、全面解决IE浏览器常见问题的功能强大的工具软件,其修复选项多达100项,彻底解决常见的IE错误。
1.IE高级设置(如图7):可以根据用户的需要对IE菜单、Internet选项、IE右键菜单和IE附加地址栏进行全面设置。
2.IE快速修复(如图8),可快速修复IE标题栏、首页、搜索引擎、分级审查密码、工具栏按钮、工具栏菜单等;
3.系统快速修复(如图9):可以快速修复被禁止的注册表编辑器、控制面板、被非法隐藏的驱动器、EXE文件关联等多种系统错误,彻底解决用户的后顾之忧。
4.流氓插件免疫(如图10):软件内置了常见的几十种插件的免疫,可以彻底屏蔽我们上网时那些烦人的弹出式安装证书对话框,但没有清除流氓软件的功能。
另外,该软件还有“启动项目管理”(管理启动时自动运行的程序)、“IE设置备份”、“IE地址栏管理”和“网络浏览加速”等功能,对我们也大有帮助。
上网安全篇5
优视科技CEO俞永福表示:“保护手机用户上网安全、打造移动互联网产业健康有序的发展环境是我们全体移动互联网从业者义不容辞的责任。UC浏览器作为手机上网入口,将提供技术和服务解决方案,帮助用户从上网入口处就对安全风险进行防范。我们将与产业链上下游其他企业一同携手,共同保证所有手机上网用户都能安全上网。”
专家分析:
移动互联网的发展有其自身的独特性,特别以手机浏览器为代表的应用,其在移动互联网产业中有较高战略地位,手机浏览器运营厂商可以借由向后端应用及内容的整合塑造一个满足用户大多数需求的移动互联网平台化入口。现阶段行业领先厂商UCWEB开始借助于大量的用户基础逐渐扩展其产品线。日前,在互联网大会上优势科技CEO余永福表示将以保护用户上网安全为切入口,从网址监控及下载安全两个维度保护移动互联网用户的上网安全。易观国际(Analysys International)结合对手机浏览器及手机安全市场的分析认为:UCWEB扩展上网安全功能只是从用户需求端的正常延伸,并不会和手机安全应用形成正面碰撞,也不会对手机安全行业格局产生明显影响。主要的原因基于以下几方面:
上网安全是基于手机浏览器用户需求出现的自然延伸,优势科技运营仍将以手机浏览器业务为主要发展业务。手机浏览器的用户主要是借助于更好的技术更方便、更快速的浏览各类手机网站,而对于移动互联网浏览安全需求的满足,只是浏览器业务的正常延伸,优势科技将仍以手机浏览器业务为主要业务。对于市场竞争格局已经逐渐呈现的手机安全产业,优势科技并没有太多的安全行业积累及相应资源支持其进入这一细分市场进行竞争,进入手机安全行业也不是其好的战略选择。
手机安全应用满足用户全方位使用移动互联网的安全需求,有较高的产品架构门槛。相较UCWEB支持的网址监控及下载监控两方面的功能,典型的手机安全产品还包括用户隐私管理,木马查杀,全盘扫描等功能,这些多样化的功能需要有单独的应用客户端才能全面支持,这也是基于浏览器的安全应用所难以形成直接竞争的门槛所在。
现有手机安全产业参与厂商均有其较强的资源及优势,其他应用厂商很难成功进行跨业竞争。现有的手机安全厂商主要包括两部分,一部分是在专门在移动互联网端运营手机安全的厂商,这类厂商对手机端的应用有较深了解,特别是对手机端的安全应用也有较深的技术、运营、推广的积累。另外一部分的参与厂商是在互联网端安全市场有较多积累的手机安全运营厂商,这部分的厂商无论是在资金实力、技术团队、产品运营能力、市场推广能力方面均有较强的能力,基于以上两点原由,现有手机安全市场已经形成了较高的市场竞争门槛,其他的应用厂商很难成功进行跨业竞争。
上网安全篇6
关键词:网上银行 网络支付 安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
5.加强客户的安全意识和网络通讯的安全性
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。
互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
参考文献:
[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.
[3]吴百福.国际贸易结算实务[M].北京:中国对外经济贸易出版社,1997.
上网安全篇7
根据《》的要求,大队高度重视,结合检查内容及相关要求,认真组织落实,对相关网络系统的各个方面进行逐一排查。现将自查情况总结汇报如下:
一、加强领导,成立了网络安全工作领导小组
为进一步加强大队信息网络系统安全管理工作,大队成立了以大队负责人为组长、中队负责人为副组长、全体人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:大队负责人为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。中队负责人分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。全体人员负责计算机网络安全管理工作的日常事务。
二、计算机和网络安全情况
(一)网络安全。大队所有计算机均配备了防病毒软件,采用了登陆密码、移动存储设备管理等安全防护措施,明确了网络安全责任,强化了网络安全工作。
(二)日常管理。切实抓好内网、外网和应用软件管理,确保;涉密计算机不上网,上网计算机不涉密,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好三大安全排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;二是加强网络安全管理,对大队计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用安全管理,包括邮件系统、软件管理等。定期组织大队工作人员学习有关网络知识,提高计算机使用水平,确保网络安全。
三、计算机涉密信息管理情况
大队加强组织领导,强化宣传教育,加强日常监督检查,重点加大对涉密计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的移动介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。严格区分内网和外网,对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,落实保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保了大队网络信息安全。
四、硬件、软件使用置规范,设备运行状况良好
为进一步加强大队网络安全,每台电脑都安装了防病毒软件,硬件的运行环境符合要求;目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
五、严格管理、规范设备维护
大队对电脑及其设备实行谁使用、谁管理、谁负责的管理制度。在管理方面我们一是坚持制度管人。二是强化信息安全教育、提高工作人员计算机技能。在设备维护方面,对出现问题的设备及时进行维护和更换,对外来维护人员,要求有相关人员陪同,并对其身份进行核实,规范设备的维护和管理。
六、存在的问题及下一步打算
上网安全篇8
根据《》的要求,大队高度重视,结合检查内容及相关要求,认真组织落实,对相关网络系统的各个方面进行逐一排查。现将自查情况总结汇报如下:
一、加强领导,成立了网络安全工作领导小组
为进一步加强大队信息网络系统安全管理工作,大队成立了以大队负责人为组长、中队负责人为副组长、全体人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:大队负责人为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。中队负责人分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。全体人员负责计算机网络安全管理工作的日常事务。
二、计算机和网络安全情况
(一)网络安全。大队所有计算机均配备了防病毒软件,采用了登陆密码、移动存储设备管理等安全防护措施,明确了网络安全责任,强化了网络安全工作。
(二)日常管理。切实抓好内网、外网和应用软件管理,确保;涉密计算机不上网,上网计算机不涉密,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好三大安全排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;二是加强网络安全管理,对大队计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用安全管理,包括邮件系统、软件管理等。定期组织大队工作人员学习有关网络知识,提高计算机使用水平,确保网络安全。
三、计算机涉密信息管理情况
大队加强组织领导,强化宣传教育,加强日常监督检查,重点加大对涉密计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、涉密文件单独存放,严禁携带存在涉密内容的移动介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。严格区分内网和外网,对涉密计算机实行了与国际互联网及其他公共信息网物理隔离,落实保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非涉密计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保了大队网络信息安全。
四、硬件、软件使用置规范,设备运行状况良好
为进一步加强大队网络安全,每台电脑都安装了防病毒软件,硬件的运行环境符合要求;目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
五、严格管理、规范设备维护
大队对电脑及其设备实行谁使用、谁管理、谁负责的管理制度。在管理方面我们一是坚持制度管人。二是强化信息安全教育、提高工作人员计算机技能。在设备维护方面,对出现问题的设备及时进行维护和更换,对外来维护人员,要求有相关人员陪同,并对其身份进行核实,规范设备的维护和管理。
六、存在的问题及下一步打算