网上银行客户端的风险防控措施的解决方式

　一、研究方法与意义
　　中国大部分商业银行已经建设了网银系统，由于面临较多互联网威胁，如网络钓鱼、恶意代码、暴力破解、恶意锁死用户、假冒客户登录等，因此安全措施是否完善一直备受关注。经过多年的摸索和总结，大型商业银行网银服务器端已经配置较齐全，安全措施较完善，基本经受了考验，其经验值得中小商业银行借鉴。
　　以普尔2012年发布的《中国五十大银行》中列举的商业银行作为研究对象，通过实际登陆网银进行测试，总结网银客户端的主要风险防控措施，对中小商业银行网银建设和管理，有现实的参考意义。
　　二、主要风险防控措施
　　网民安全意识参差不齐，个人电脑防护不够，客户端导致的网上银行案件层出不穷。为了增强客户端的访问控制安全性，各大商业银行主要采取了如下几种措施。
　　1、SSL安全会话
　　安全的会话是个人网上银行的安全基础。所有国内50大银行个人网上银行的网络通讯都采用HTTPS的加密传输方式，通过SSL建立安全的通道访问。国内商业银行大部分采用VeriSign颁发的SSL证书，除VeriSign外，Entrust和CFCA也是常见的证书颁发机构。个人网上银行证书普遍采用RSA（2048Bits）公钥，少数采用RSA（1024Bits）公钥。证书有效期集中在24-27个月之间，也有部分短期证书例如9个月。
　　2、多因素认证
　　身份鉴别是保障个人网上银行业务安全的关键，好的身份鉴别方式，不但能简化繁杂的登陆过程，更能较好地保障客户的帐号和财产安全。大多数银行都采用不同的身份鉴别手段来区分操作权限。一般“专业版”使用多因素认证，具备转账、交易等多种权限。而用传统客户名加密码简单认证的“大众版”只能查询信息而无法更改金额。目前我国50大银行中有82%在登陆过程中采用了多因素认证，有72%的银行采用了USBKEY证书的认证方式。出于更个性化考虑，客户还可以选择采用个性化登陆名或昵称，银行对客户登陆名的长度、密码长度、密码复杂度等进行了限制。
　　3、USBKEY保护
　　USBKEY因物理特性而具有较好的安全性。密钥存储在安全的u盘介质中，无法轻易读出，修改密钥必须经过硬件内程序调用。在接口的外部没有命令能对密钥区进行读删改，较好地保证了介质安全陛。即使客户密码泄漏，只要USBKEY不被盗用，客户身份就不会被仿冒。USBKEY内置CPU或智能卡芯片，可以实现数据摘要、数据加解密和签名的各种算法，加解密运算在硬件内进行，保证了密钥不会出现在计算机内存中。如果USBKEY不慎遗失，拾到者由于不知道客户密码，也无法仿冒客户身份。
　　USBKEY还使用公私钥密码体制和数字证书，从密码学角度提高了安全性。USBKEY初始化的时将算法写在ROM中，生成一对公私钥，公钥可以导出到USBKEY外，而私钥存储在密钥区，不允许外部访问，计算只在芯片内部进行，全过程中私钥不离开介质。
　　4、密码输入保护
　　密码输入是网银保护对象中安全级别最高的部分。当客户初次使用网上银行，一般会提示安装安全控件。安全控件是为确保密码不被恶意程序非法获取的保护措施，可抵御反编译、嗅探、溢出等。控件经过第三方安全测评，方可使用。密码输入保护主要分为安全控件、软键盘或二者结合，部分银行已将安全控件与软键盘功能统一在安全控件中，安全性得到提升。目前商业银行86%的密码输入后可实现自动加密，但仍有14%的商业银行网银密码未采取客户端加密，存在较大风险。
　　5、验证码增强验证
　　为防止机器暴力破解密码或自动登陆，90%的网银在登陆界面采用了验证码，但客户体验受到影响，登陆时间平均延迟2秒以上。从长度看，大多数银行的验证码为4位，少数银行采用5位和6位。从内容看，多数验证码为字母和数字相结合，字母不区分大小写，但也有个别银行验证码为纯字母或纯数字，存在风险。从表现形式看，大部分银行验证码在客户每一次登陆就在首页上要求输入验证码；少数银行采用隐藏验证码的形式，只有客户第一次登陆失败后才会显示验证码。隐藏验证码的方式达到了安全与易用的平衡。
　　6、登陆失败提示
　　网银常见错误提示包括：帐号或客户名错误，密码错误，验证码失效等。94%的网上银行采用了帐号自动锁定策略，达到特定的失败次数后，帐号会自动锁定一段时间，在满足时间要求后，帐号自动解锁，避免正常客户帐号被恶意长期锁死。登陆失败提示是一把双刃剑，在使用较为严格的“帐号自动锁定策略”后，因模糊的反馈提示，无法提供给客户足够帮助，降低了客户体验感，增加了错误处理成本。
　　7、浏览器功能屏蔽
　　商业银行为了降低客户端风险而屏蔽了浏览器部分功能。一般包括屏蔽菜单栏功能、屏蔽导航栏功能、屏蔽右键功能等。88%的网上银行仅支持IE浏览器，而其中又仅有8%采用功能屏蔽。只有少数银行支持IE、谷歌等多种浏览器，并分别不同程度采用了功能屏蔽的措施。
　　8、预留信息
　　预留信息是为了帮助防止钓鱼网站的一种安全措施。网银需要对客户进行身份认证，同样的，客户也需要对网银的真实性进行确认。客户在银行预留信息，当登陆个人网上银行的时候，网页上自动显示客户预留的特定信息，可辨认真伪。个性化的预留信息，能够帮助客户.陕速、有效地识别网银真伪，保护客户资产。目前个人网上银行采用的预留信息主要为文字为主，少数银行提供图片防伪的预留信息。
　　9、首页登陆提醒
　　成功登陆网银后，首页提供一些客户个人信息和以往登陆记录，一方面类似预留信息的防伪作用，另一方面可方便客户了解网上银行的使用情况，提高安全意识。当前网银的登陆提醒信息有很多种，较多的是提醒上次登陆时间信息，也有少数银行提醒更加多样化，如“总的登陆次数”、“上次登陆的IP地址”、“上次安全退出的时间”、“密码错误次数”等。
　　三、结论
　　本文通过对目前国内主要商业银行的个人网上银行进行测试，总结了客户端的主要风险防控措施，包括安全会话、多因素认证、USBKEY保护、输入保护、验证码、失败处理、登陆提醒、浏览器功能屏蔽、预留信息等。
　　随着网上银行在银行渠道建设中的重要性不断提升，客户端风险防控越来越得到银行重视。本文总结的网银客户端风险防范措施，是实现网上银行安全保护的众多方法之一，措施本身可以随业务发展和技术需要进一步细化、扩展和完善，值得银行同业参考借鉴。