冯旭杭:手机银行安全风险研究与应对

2015-06-03 14:30 来源:中国网信网  我有话说
2015-06-03 14:30:27来源:中国网信网作者:责任编辑:田媛

冯旭杭:手机银行安全风险研究与应对

  一、手机银行概述

  手机银行是利用移动通信网络及终端办理相关银行业务的简称,作为一种结合了货币电子化与移动通信的崭新服务,手机银行业务不仅可以使人们在任何时间、任何地点处理多种金融业务,而且极大地丰富了银行服务的内涵,使银行能以便利、高效而的方式为客户提供传统和创新的服务。而移动终端所独具的贴身特性,使之成为继ATM、互联网、POS之后银行开展业务的强有力工具,越来越受到国际银行业者的关注。在中国,随着智能手机的普及和手机上网速度的提高,手机银行已经被越来越多的人所认可。

  然而在便利、高效的背后,制约手机银行发展的最大因素就是信息安全,而实现手机银行普及的最核心因素也正是信息安全问题。如何切实保障手机银行的信息安全,并让广大使用者接受手机银行是安全的重要理念,是摆在各家银行以及各大监管机机构面前的一项重课题。

  二、手机银行普遍采用的安全控制措施分析

  通过调研分析,我们总结了手机银行现有的安全控制措施可以分为以下几种方式:1、签约机制,如果客户持本人有效证件原件及账户凭证(卡或存折)到账户所在地的银行营业网点进行身份认证,签署相关协议,并经银行认证后,此类客户才成为手机银行的签约客户,签约客户可享受手机银行提供的全部服务,包括转账、汇款等业务。2、手机号码与账号绑定,用户使用手机银行服务时,必须使用其开通手机银行服务时所指定的手机号码,也就是说只有客户本人的手机才能以该客户的身份登录手机银行,他人是无法通过其它手机登录。3、密码控制,以及验证码、密码尝试次数锁定机制,手机银行系统在采用安全通道进行信息交互的基础上,在客户登录前将由服务器产生图形附加码传至手机上便可有效地防止自动尝试密码、避免黑客的试探性攻击,从而保证手机银行交易平台的安全。登录手机银行系统时需要输入的登录密码。客户号和登录密码是手机银行进行客户身份验证的一个重要环节,银行先进行用户密码的验证,若密码错误,交易终止。为防止有人恶意试探别人密码,系统设置了密码错误次数日累计限制,当达到限制时,将设置该客户手机银行服务为暂停状态。另外,客户每次退出手机银行之后,交易信息和账户密码等内容只保存在银行核心主机里,不会因为手机丢失而影响客户的资金安全。4、认证和加密技术,为确保手机银行的安全,多数银行在技术层面采用了多种先进的加密手段和方法来建立安全通道,从而使手机银行整个数据交互全程采用端对端的加密数据传送方式。5、使用动态密码,动态口令是一连串定期变化着的银行密码,动态口令卡是动态口令的载体,口令卡上以矩阵的形式印有若干字符串,只有拥有口令卡的用户才能拥有最新更换后的密码。

  三、手机银行现有安全控制措施的不足

  手机银行业务是一项系统性的业务,虽然多数银行已经采用了上述安全控制措施,但仍然存在着以下风险。

  1、业务组件本身的安全:如手机银行APP的安全是非常重要的,应用本身的安全性应该得到切实的保障,现有的安全控制措施多数未提及。

  2、业务过程的安全:手机银行业务是动态的,数据的传输经过很多环节,安全的核心是敏感数据的传输和存储以及身份验证,现有的加密算法大多数是公开的,身份验证机制基本上没有采用硬件方式,不能满足高安全性的需要。

  3、异常场景的使用:手机银行运行的介质是智能手机,智能手机相当于一台电脑,智能手机可能会中病毒和木马,手机也可能更换、丢失或维修,在这样的异常场景发生时,现有的安全控制措施显然做的不够。

  4、安全技术的发展:信息安全技术日新月异,针对手机银行的攻击手段也发展的很快,如重放攻击、截屏攻击、钓鱼攻击、中间人攻击等方式可能对现有的安全控制措施造成威胁。

  全面的分析手机银行的安全风险是保障手机银行安全的基础,针对上述的情况,以下提出几种手机银行安全风险分析的方法。

[责任编辑:田媛]

手机光明网

光明网版权所有

光明日报社概况 | 关于光明网 | 报网动态 | 联系我们 | 法律声明 | 光明员工 | 光明网邮箱 | 网站地图

光明网版权所有