淺析網上銀行客戶端的風險防控措施

張松濱

【摘要】大部分網上銀行安全事件源于客戶端的安全隱患。由于受到木馬、釣魚、嗅探等各種客戶端攻擊，網上銀行安全面臨較多威脅。本文通過測試目前主要商業銀行的網上銀行，了解客戶端保護機制，提出網銀客戶端的主要風險防控措施，對完善網銀的安全策略，有現實參考意義。

【關鍵詞】網上銀行，風險管理

【中圖分類號】F832.2 【文獻標識碼】A 【文章編號】1672-5158（2013）04-0162-01

一、研究方法與意義

中國大部分商業銀行已經建設了網銀系統，由于面臨較多互聯網威脅，如網絡釣魚、惡意代碼、暴力破解、惡意鎖死用戶、假冒客戶登錄等，因此安全措施是否完善一直備受關注。經過多年的摸索和總結，大型商業銀行網銀服務器端已經配置較齊全，安全措施較完善，基本經受了考驗，其經驗值得中小商業銀行借鑒。

以普爾2012年發布的《中國五十大銀行》中列舉的商業銀行作為研究對象，通過實際登陸網銀進行測試，總結網銀客戶端的主要風險防控措施，對中小商業銀行網銀建設和管理，有現實的參考意義。

二、主要風險防控措施

網民安全意識參差不齊，個人電腦防護不夠，客戶端導致的網上銀行案件層出不窮。為了增強客戶端的訪問控制安全性，各大商業銀行主要采取了如下幾種措施。

1、SSL安全會話

安全的會話是個人網上銀行的安全基礎。所有國內50大銀行個人網上銀行的網絡通訊都采用HTTPS的加密傳輸方式，通過SSL建立安全的通道訪問。國內商業銀行大部分采用VeriSign頒發的SSL證書，除VeriSign外，Entrust和CFCA也是常見的證書頒發機構。個人網上銀行證書普遍采用RSA（2048Bits）公鑰，少數采用RSA（1024Bits）公鑰。證書有效期集中在24-27個月之間，也有部分短期證書例如9個月。

2、多因素認證

身份鑒別是保障個人網上銀行業務安全的關鍵，好的身份鑒別方式，不但能簡化繁雜的登陸過程，更能較好地保障客戶的帳號和財產安全。大多數銀行都采用不同的身份鑒別手段來區分操作權限。一般“專業版”使用多因素認證，具備轉賬、交易等多種權限。而用傳統客戶名加密碼簡單認證的“大眾版”只能查詢信息而無法更改金額。目前我國50大銀行中有82%在登陸過程中采用了多因素認證，有72%的銀行采用了USBKEY證書的認證方式。出于更個性化考慮，客戶還可以選擇采用個性化登陸名或昵稱，銀行對客戶登陸名的長度、密碼長度、密碼復雜度等進行了限制。

3、USBKEY保護

USBKEY因物理特性而具有較好的安全性。密鑰存儲在安全的u盤介質中，無法輕易讀出，修改密鑰必須經過硬件內程序調用。在接口的外部沒有命令能對密鑰區進行讀刪改，較好地保證了介質安全陛。即使客戶密碼泄漏，只要USBKEY不被盜用，客戶身份就不會被仿冒。USBKEY內置CPU或智能卡芯片，可以實現數據摘要、數據加解密和簽名的各種算法，加解密運算在硬件內進行，保證了密鑰不會出現在計算機內存中。如果USBKEY不慎遺失，拾到者由于不知道客戶密碼，也無法仿冒客戶身份。

USBKEY還使用公私鑰密碼體制和數字證書，從密碼學角度提高了安全性。USBKEY初始化的時將算法寫在ROM中，生成一對公私鑰，公鑰可以導出到USBKEY外，而私鑰存儲在密鑰區，不允許外部訪問，計算只在芯片內部進行，全過程中私鑰不離開介質。

4、密碼輸入保護

密碼輸入是網銀保護對象中安全級別最高的部分。當客戶初次使用網上銀行，一般會提示安裝安全控件。安全控件是為確保密碼不被惡意程序非法獲取的保護措施，可抵御反編譯、嗅探、溢出等?？丶涍^第三方安全測評，方可使用。密碼輸入保護主要分為安全控件、軟鍵盤或二者結合，部分銀行已將安全控件與軟鍵盤功能統一在安全控件中，安全性得到提升。目前商業銀行86%的密碼輸入后可實現自動加密，但仍有14%的商業銀行網銀密碼未采取客戶端加密，存在較大風險。

5、驗證碼增強驗證

為防止機器暴力破解密碼或自動登陸，90%的網銀在登陸界面采用了驗證碼，但客戶體驗受到影響，登陸時間平均延遲2秒以上。從長度看，大多數銀行的驗證碼為4位，少數銀行采用5位和6位。從內容看，多數驗證碼為字母和數字相結合，字母不區分大小寫，但也有個別銀行驗證碼為純字母或純數字，存在風險。從表現形式看，大部分銀行驗證碼在客戶每一次登陸就在首頁上要求輸入驗證碼；少數銀行采用隱藏驗證碼的形式，只有客戶第一次登陸失敗后才會顯示驗證碼。隱藏驗證碼的方式達到了安全與易用的平衡。

6、登陸失敗提示

網銀常見錯誤提示包括：帳號或客戶名錯誤，密碼錯誤，驗證碼失效等。94%的網上銀行采用了帳號自動鎖定策略，達到特定的失敗次數后，帳號會自動鎖定一段時間，在滿足時間要求后，帳號自動解鎖，避免正常客戶帳號被惡意長期鎖死。登陸失敗提示是一把雙刃劍，在使用較為嚴格的“帳號自動鎖定策略”后，因模糊的反饋提示，無法提供給客戶足夠幫助，降低了客戶體驗感，增加了錯誤處理成本。

7、瀏覽器功能屏蔽

商業銀行為了降低客戶端風險而屏蔽了瀏覽器部分功能。一般包括屏蔽菜單欄功能、屏蔽導航欄功能、屏蔽右鍵功能等。88%的網上銀行僅支持IE瀏覽器，而其中又僅有8%采用功能屏蔽。只有少數銀行支持IE、谷歌等多種瀏覽器，并分別不同程度采用了功能屏蔽的措施。

8、預留信息

預留信息是為了幫助防止釣魚網站的一種安全措施。網銀需要對客戶進行身份認證，同樣的，客戶也需要對網銀的真實性進行確認?？蛻粼阢y行預留信息，當登陸個人網上銀行的時候，網頁上自動顯示客戶預留的特定信息，可辨認真偽。個性化的預留信息，能夠幫助客戶.陜速、有效地識別網銀真偽，保護客戶資產。目前個人網上銀行采用的預留信息主要為文字為主，少數銀行提供圖片防偽的預留信息。

9、首頁登陸提醒

成功登陸網銀后，首頁提供一些客戶個人信息和以往登陸記錄，一方面類似預留信息的防偽作用，另一方面可方便客戶了解網上銀行的使用情況，提高安全意識。當前網銀的登陸提醒信息有很多種，較多的是提醒上次登陸時間信息，也有少數銀行提醒更加多樣化，如“總的登陸次數”、“上次登陸的IP地址”、“上次安全退出的時間”、“密碼錯誤次數”等。

三、結論

本文通過對目前國內主要商業銀行的個人網上銀行進行測試，總結了客戶端的主要風險防控措施，包括安全會話、多因素認證、USBKEY保護、輸入保護、驗證碼、失敗處理、登陸提醒、瀏覽器功能屏蔽、預留信息等。

隨著網上銀行在銀行渠道建設中的重要性不斷提升，客戶端風險防控越來越得到銀行重視。本文總結的網銀客戶端風險防范措施，是實現網上銀行安全保護的眾多方法之一，措施本身可以隨業務發展和技術需要進一步細化、擴展和完善，值得銀行同業參考借鑒。