网银时代下的隐患

来源：中国企业报-中国企业新闻网　　　　　时间：2010/1/19 11:25:25　　　　　

随着计算机网络信息技术的发展以及网购平台的运营和完善，网银支付也应运而生。近年互联网的应用越来越深入人心，网购甚至已经成为当下的一种时尚。鼠标一点，网银支付后，自会有人把你订购的东西送到家中。可以说我们的生活已经发生了变化，进入了一个全新的“网银时代”　

随着计算机网络信息技术的发展以及网购平台的运营和完善，网银支付也应运而生。近年互联网的应用越来越深入人心，网购甚至已经成为当下的一种时尚。鼠标一点，网银支付后，自会有人把你订购的东西送到家中。可以说我们的生活已经发生了变化，进入了一个全新的“网银时代”。

　　一：认证隐患当我们和银行签约开通网上银行的时候，银行会给我们一个凭证。这可能是一个密码，也可能是个U盾，或者是其他的密码卡等。这将是在网上银行支配个人资金时的凭证，就像到银行取钱需要存折/卡、身份证一样。这些凭证在我们使用网银的时候需要我们通过电脑以及外接设备输入，然后通过网络链路传输到银行的服务终端。那么哪个过程会存在隐患呢？

　　1、密码输入即使我们使用了比较复杂的密码，也有可能被病毒或者黑客行为取得。比如曾令人闻声色变的 “网银大盗”就是通过键盘记录的方式，监视用户操作。当用户使用个人网上银行进行交易时，该病毒会恶意记录用户所使用的账号和密码，记录成功后，病毒会将盗取的账号和密码发送给病毒作者。

　　2、文件数字证书文件数字证书是存放在电脑中的数字证书，每次交易时都需用到，如果你的电脑没有安装数字证书是无法完成付款的；已安装文件数字证书的用户只需输密码即可。

　　未安装文件数字证书的用户安装证书需要验证大量的信息，相对比较安全。但是文件数字证书不可移动，对经常换电脑使用的用户来说不方便，而且文件数字证书同样有可能被盗取（虽然不易，但是能），所以不是绝对安全的。

　　3、动态口令卡动态口令卡的卡面上有一个表格，表格内有几十个数字。当进行网上交易时，银行会随机询问你某行某列的数字，如果能正确地输入对应格内的数字便可以成功交易；反之不能。

　　动态口令卡可以随身携带，轻便，不需驱动，使用方便，但是如果木马长期在你的电脑中，可以渐渐地获取你的口令卡上的很多数字，当获知的数字达到一定数量时，你的资金便不再安全，而且如果在外使用，也容易被人拍照。

　　4、移动数字证书（U盾）移动数字证书，工行叫U盾，建行叫网银盾，光大银行叫阳光网盾，在支付宝中的叫支付盾。

　　它存放着你个人的数字证书，并不可读取。同样，银行也记录着你的数字证书。当你尝试进行网上交易时，银行会向你发送由时间字串、地址字串、交易信息字串、防重放攻击字串组合在一起进行加密后得到的字串A，你的U盾将根据你的个人证书对字串A进行不可逆运算得到字串B，并将字串B发送给银行，银行端也同时进行该不可逆运算，如果银行运算结果和你的运算结果一致便认为你合法，交易便可以完成，如果不一致便认为你不合法，交易便会失败。

　　理论上U盾相对来说是比较安全的。但是如果你的机器被黑客控制，成为传说中的“肉机”后，在U盾没有拔掉的情况下，依然是可能被盗用。并且据黑客宣称某些U盾已经可以被穿透，虽然很难，但是的确存在这样的可能！

　　二：服务隐患认证隐患虽然存在着这样诸多的漏洞，但是如果注意防范，合理使用多重身份认证，虽然麻烦一些，在一定程度上还是可以避免一些问题的。但是如果网银的服务端，也就是存储着金钱数量的服务器出问题的话，轻则造成暂时无法使用网上支付，严重的话，可能将直接导致金钱数量丢失，结果就是账面的钱没有了或数据不正确。

　　当然这种情况已经超出了用户自己的控制。这是需要银行自身来考虑的一个大问题。服务器宕机以后如何在最短的时候内恢复业务，保证业务的连续性；硬件损毁或者被非法入侵破坏数据后，如何能够修正被逻辑破坏的数据，这都是要考虑的问题。

　　这就必须让关键数据得到持续保护（CDP），只要用户的数据有所变更，除了写到服务器内，还需要实时地将这种变更备份到1台以上的服务器内。并且要记录全部的过程，以便可以追溯到历史任何一点的数据情况。并且需要备份机在关键时刻可以接替中心服务器提供与中心服务器相同的职能！这就是目前业内炙手可热的容灾备份领域，在这个领域里涌现出了一些优秀的公司和系统，比如国内自主创新的北京和力记易科技有限公司的UPM备特佳容灾备份系统。

责任编辑：贾迪

【字号大中小】【打印】【关闭】

推广：网银, 时代, 隐患, ,

CENN 瞭望台