论文部分内容阅读
摘 要:在银行支付业务办理中,网上支付数据信息安全风险已经不容忽视。基于这种认识,本文在分析网上银行支付数据信息面临的安全风险的基础上,从数据信息认证管理、数据加密保护和后台安全技术运用三个方面提出了抵御风险的对策,从而为关注这一话题的人们提供参考。
关键词:网上银行;支付数据信息;信息认证;数据加密
引言
伴随着“互联网+”时代的到来,银行每天都要开展大量的网上支付业务。而在复杂的网络环境下,银行卡的网上支付需要经历支付业务端、支付客户端和用户等多个环节,面临着较大的安全风险,将给银行业务的开展带来不利影响。因此,还应加强对网上银行支付数据信息安全风险的分析,并寻求对策加强支付数据信息的安全管理,从而为推动银行支付业务的开展提供保障。
一、网上银行支付数据信息面临的安全风险
(一)支付数据信息认证风险
在银行支付业务中,利用网上银行进行电子支付,需要在交易过程中完成双方身份验证。但是就目前来看,不法分子可以采用多种手段进行交易一方身份的冒用,然后通过实施网上交易获得另一方的银行卡信息、动态口令和个人身份信息等数据信息,从而达到窃取他人财产的目标。例如,“钓鱼”网站就会利用高科技手段进行虚假网站或网页的制作,并进行虚假商品信息传播。在用户无法识别的情况下,登录网站提供的支付界面,并进行个人账号和密码输入,将出现个人信息泄露的情况。在掌握用户个人信息之后,不法分子冒充银行向用户发送链接,用户则会提供网上银行动态口令,最终遭受财产损失。此外,一些不法分子甚至可以在用户进行网上支付时冒充银行进行余额不足链接的发送,用户一旦点开就会出现资金被不法分子划走的情况。现阶段,不法分子经常冒充商户进行网页链接的发送,一些送红包、购物券的非法网页也会主动从用户电脑桌面弹出,从而导致用户上当受骗。而面临各种各样的网络欺诈手段,无法实现身份的有效识别,最终将导致网上银行支付数据面临较大安全风险。
(二)支付数据信息传输风险
在复杂的网络环境中,网上银行支付数据信息的传输也面临着较大的安全风险。在网上银行支付的过程中,用户需利用客户端设备进行账号、密码等信息的输入。而在用户键盘录入操作环节,利用键盘记忆程序进行客户端消息、键盘和日志等信息访问,不法分子则能进行网上支付数据信息的窃取。采用木马程序、病毒,黑客也能对用户使用的客户端进行攻击,通过监视网上支付过程进行用户支付数据信息的窃取,然后将信息发送给程序制定的地址,以达到篡改订单信息和转移资金的目标。而在实际生活中,由于客户的安全意识较弱,很容易导致客户端感染各种病毒和木马程序。比如在公共场所中进行免费WiFi的连接,如果不法分子进行开放式WiFi的攻击,就可以对用户手机中绑定的支付密码、姓名等信息进行盗取,并在用户网上支付時进行资金盗刷。而用户在非正规平台进行APP、软件的下载,也可能接入不法分子提供虚假接入点,最终导致支付信息被解密软件破解。此外,一些用户为获得街边的小礼品,也可以扫描植入病毒的二维码,造成客户端被病毒入侵,继而导致客户的网上支付密码被窃取甚至篡改。
(三)支付数据信息存储风险
对于银行来讲,尽管银行已经建立了较为完善的数据信息管理系统,但是依然需要面临支付数据信息存储风险。因为在网上交易的过程中,银行的数据信息系统可能遭受黑客或网络病毒的攻击,最终造成支付数据信息泄露。就目前来看,银行在用户支付信息数据管理方面,将采用数字证书完成用户支付信息核对,以实现网络交易。而在数字证书存储方面,银行主要采用公钥技术进行个人证书认证,并利用专用usbkey进行证书存储,以用于进行用户电子签名、身份信息等数据信息的识别。在银行支付数据信息存储平台遭受黑客攻击时,黑客通过证书认证进行密码信息隐藏,导致后台不得不通过运算处理进行用户数字签名的获取,甚至进行用户密码的重置,就可以出现用户支付信息遭到泄漏的问题。
二、加强网上银行支付数据信息安全的对策
(一)加强银行支付数据信息认证管理
为解决银行支付数据信息安全问题,还要加强数据信息认证管理。具体来讲,就是银行在支付业务办理方面,还应引入PKI/CA(公开密钥基础设施/认证中心)加强用户身份,并实现支付信息数据安全处理。采用该体系,可以采用PKI的公钥基础结构,同时利用数字证书和公钥技术完成用户身份认证。在网上交易的过程中,利用数字证书颁发机构提供的证书,并采用公钥加密技术,则能使双方身份的合法性得到准确验证。由于采用该技术利用的密钥体系为公开密码的密钥体系,可对数字证书拥有者的身份和资源访问权限进行确认,因此能够为网络支付信息管理提供安全保证。对于商户、银行和个人用户来讲,CA为具有较强权威性的第三方机构,在网上交易中只要获得拥有CA认证的数字证书,就可以确认对方的真实身份,然后选择是否进行支付操作。就目前来看,黑客和病毒尚且无法进行证书的伪造,所以网上交易双方只要拥有数字证书并采用数字签名技术,就可以确保证书内容不被篡改,从而证实对方的信息。对于银行来讲,采用该技术进行支付业务办理,也可以避免用户进行行为抵赖,因此能够为网上银行支付数据信息使用提供安全保障。而采取数据证书也难以确保用户客户端不被植入病毒或木马程序,因此银行还要采用人脸识别、虹膜识别的支付介质进行用户身份交叉验证,从而进一步保证网上支付数据信息安全。
(二)通过数据加密确保信息安全传输
在网上银行支付数据信息管理方面,想要使数据信息得到安全传输,还应加强对数据加密技术的使用。在网上银行客户端采用该技术,可以利用密码算法和密钥完成明文信息处理。在数据传输的过程中,想要获得信息,还要利用与算法匹配的解密密钥进行明文翻译。就目前来看,可以采用的密码体制包含公开密钥加密和私密密钥加密两种,采用前一种体制可以使密钥管理得到简化,在网上支付中应用可以确保支付数据信息的安全性和完整性。但是采用该体制需要完成数学分解,所以将导致加密速度遭到降低。采用私密密钥加密体制,尽管能够快速完成网上支付数据信息的加密处理,却无法完成交易双方身份的有效鉴别,因此容易导致数据信息出现安全交换问题和缺失问题。针对这一情况,银行在支付业务方面可以采用公钥结合私钥的数据加密技术,利用私钥体制完成支付数据信息加密,然后使用公钥体制完成密钥分发和身份鉴别。此外,在客户端数据输入方面,可以利用“派遣函数”进行键盘录入风险抵抗,以便在源头上确保网上支付数据信息传输安全。
(三)强化后台数据管理安全技术运用
对于银行来讲,为避免后台存储的网上银行支付数据信息遭到窃取,还要加强后台数据管理安全技术的运用。考虑到银行网上交易服务器大多具有公开性,还要采用放置防火墙技术将银行内部局域网与互联网隔离开来。利用该技术,可以利用软硬件设备进行网上支付信息传输的双向加密处理,发挥阻隔和屏蔽不良信息传输的作用。想要通过系统防火墙,则要完成身份验证,因此能够避免数据信息资源遭到篡改或窃取。此外,还应加强防入侵检测技术的应用,即在用户登录银行网上交易服务器,采用该技术完成用户信息检测,对用户主机安全日志等数据信息进行调取,并通过软硬件组合控制确认系统是否存在违反网络安全的行为。因此采用该技术,能够及早发现系统是否存在遭受黑客攻击的迹象,从而为银行网上支付数据信息存储提供安全保障。
三、结论
通过分析可以发现,在银行发展支付产业的过程中,将不可避免的遭遇支付数据信息安全问题。正视网上银行支付面临的数据信息安全风险,并采用数据信息认证管理、数据加密保护和后台安全技术等多种措施进行风险抵御,则能使银行支付业务开展得到更多的安全保障。因此,还要加强对网上银行支付数据信息安全问题的思考,以便更好的推动银行业的发展。
参考文献:
[1]倪学超.信息安全中的数据加密算法研究[J].电脑编程技巧与维护,2015,(14):125-126.
[2]陈忠菊.试论提升电子支付的安全性探索[J].科技创新导报,2015,12(06):224.
作者简介:
许阳(1978-),男,汉族,籍贯:河北,毕业于中央党校研究生院经济管理专业,研究生学历,现任辽宁省盘锦市盘锦银行于楼支行副行长。
关键词:网上银行;支付数据信息;信息认证;数据加密
引言
伴随着“互联网+”时代的到来,银行每天都要开展大量的网上支付业务。而在复杂的网络环境下,银行卡的网上支付需要经历支付业务端、支付客户端和用户等多个环节,面临着较大的安全风险,将给银行业务的开展带来不利影响。因此,还应加强对网上银行支付数据信息安全风险的分析,并寻求对策加强支付数据信息的安全管理,从而为推动银行支付业务的开展提供保障。
一、网上银行支付数据信息面临的安全风险
(一)支付数据信息认证风险
在银行支付业务中,利用网上银行进行电子支付,需要在交易过程中完成双方身份验证。但是就目前来看,不法分子可以采用多种手段进行交易一方身份的冒用,然后通过实施网上交易获得另一方的银行卡信息、动态口令和个人身份信息等数据信息,从而达到窃取他人财产的目标。例如,“钓鱼”网站就会利用高科技手段进行虚假网站或网页的制作,并进行虚假商品信息传播。在用户无法识别的情况下,登录网站提供的支付界面,并进行个人账号和密码输入,将出现个人信息泄露的情况。在掌握用户个人信息之后,不法分子冒充银行向用户发送链接,用户则会提供网上银行动态口令,最终遭受财产损失。此外,一些不法分子甚至可以在用户进行网上支付时冒充银行进行余额不足链接的发送,用户一旦点开就会出现资金被不法分子划走的情况。现阶段,不法分子经常冒充商户进行网页链接的发送,一些送红包、购物券的非法网页也会主动从用户电脑桌面弹出,从而导致用户上当受骗。而面临各种各样的网络欺诈手段,无法实现身份的有效识别,最终将导致网上银行支付数据面临较大安全风险。
(二)支付数据信息传输风险
在复杂的网络环境中,网上银行支付数据信息的传输也面临着较大的安全风险。在网上银行支付的过程中,用户需利用客户端设备进行账号、密码等信息的输入。而在用户键盘录入操作环节,利用键盘记忆程序进行客户端消息、键盘和日志等信息访问,不法分子则能进行网上支付数据信息的窃取。采用木马程序、病毒,黑客也能对用户使用的客户端进行攻击,通过监视网上支付过程进行用户支付数据信息的窃取,然后将信息发送给程序制定的地址,以达到篡改订单信息和转移资金的目标。而在实际生活中,由于客户的安全意识较弱,很容易导致客户端感染各种病毒和木马程序。比如在公共场所中进行免费WiFi的连接,如果不法分子进行开放式WiFi的攻击,就可以对用户手机中绑定的支付密码、姓名等信息进行盗取,并在用户网上支付時进行资金盗刷。而用户在非正规平台进行APP、软件的下载,也可能接入不法分子提供虚假接入点,最终导致支付信息被解密软件破解。此外,一些用户为获得街边的小礼品,也可以扫描植入病毒的二维码,造成客户端被病毒入侵,继而导致客户的网上支付密码被窃取甚至篡改。
(三)支付数据信息存储风险
对于银行来讲,尽管银行已经建立了较为完善的数据信息管理系统,但是依然需要面临支付数据信息存储风险。因为在网上交易的过程中,银行的数据信息系统可能遭受黑客或网络病毒的攻击,最终造成支付数据信息泄露。就目前来看,银行在用户支付信息数据管理方面,将采用数字证书完成用户支付信息核对,以实现网络交易。而在数字证书存储方面,银行主要采用公钥技术进行个人证书认证,并利用专用usbkey进行证书存储,以用于进行用户电子签名、身份信息等数据信息的识别。在银行支付数据信息存储平台遭受黑客攻击时,黑客通过证书认证进行密码信息隐藏,导致后台不得不通过运算处理进行用户数字签名的获取,甚至进行用户密码的重置,就可以出现用户支付信息遭到泄漏的问题。
二、加强网上银行支付数据信息安全的对策
(一)加强银行支付数据信息认证管理
为解决银行支付数据信息安全问题,还要加强数据信息认证管理。具体来讲,就是银行在支付业务办理方面,还应引入PKI/CA(公开密钥基础设施/认证中心)加强用户身份,并实现支付信息数据安全处理。采用该体系,可以采用PKI的公钥基础结构,同时利用数字证书和公钥技术完成用户身份认证。在网上交易的过程中,利用数字证书颁发机构提供的证书,并采用公钥加密技术,则能使双方身份的合法性得到准确验证。由于采用该技术利用的密钥体系为公开密码的密钥体系,可对数字证书拥有者的身份和资源访问权限进行确认,因此能够为网络支付信息管理提供安全保证。对于商户、银行和个人用户来讲,CA为具有较强权威性的第三方机构,在网上交易中只要获得拥有CA认证的数字证书,就可以确认对方的真实身份,然后选择是否进行支付操作。就目前来看,黑客和病毒尚且无法进行证书的伪造,所以网上交易双方只要拥有数字证书并采用数字签名技术,就可以确保证书内容不被篡改,从而证实对方的信息。对于银行来讲,采用该技术进行支付业务办理,也可以避免用户进行行为抵赖,因此能够为网上银行支付数据信息使用提供安全保障。而采取数据证书也难以确保用户客户端不被植入病毒或木马程序,因此银行还要采用人脸识别、虹膜识别的支付介质进行用户身份交叉验证,从而进一步保证网上支付数据信息安全。
(二)通过数据加密确保信息安全传输
在网上银行支付数据信息管理方面,想要使数据信息得到安全传输,还应加强对数据加密技术的使用。在网上银行客户端采用该技术,可以利用密码算法和密钥完成明文信息处理。在数据传输的过程中,想要获得信息,还要利用与算法匹配的解密密钥进行明文翻译。就目前来看,可以采用的密码体制包含公开密钥加密和私密密钥加密两种,采用前一种体制可以使密钥管理得到简化,在网上支付中应用可以确保支付数据信息的安全性和完整性。但是采用该体制需要完成数学分解,所以将导致加密速度遭到降低。采用私密密钥加密体制,尽管能够快速完成网上支付数据信息的加密处理,却无法完成交易双方身份的有效鉴别,因此容易导致数据信息出现安全交换问题和缺失问题。针对这一情况,银行在支付业务方面可以采用公钥结合私钥的数据加密技术,利用私钥体制完成支付数据信息加密,然后使用公钥体制完成密钥分发和身份鉴别。此外,在客户端数据输入方面,可以利用“派遣函数”进行键盘录入风险抵抗,以便在源头上确保网上支付数据信息传输安全。
(三)强化后台数据管理安全技术运用
对于银行来讲,为避免后台存储的网上银行支付数据信息遭到窃取,还要加强后台数据管理安全技术的运用。考虑到银行网上交易服务器大多具有公开性,还要采用放置防火墙技术将银行内部局域网与互联网隔离开来。利用该技术,可以利用软硬件设备进行网上支付信息传输的双向加密处理,发挥阻隔和屏蔽不良信息传输的作用。想要通过系统防火墙,则要完成身份验证,因此能够避免数据信息资源遭到篡改或窃取。此外,还应加强防入侵检测技术的应用,即在用户登录银行网上交易服务器,采用该技术完成用户信息检测,对用户主机安全日志等数据信息进行调取,并通过软硬件组合控制确认系统是否存在违反网络安全的行为。因此采用该技术,能够及早发现系统是否存在遭受黑客攻击的迹象,从而为银行网上支付数据信息存储提供安全保障。
三、结论
通过分析可以发现,在银行发展支付产业的过程中,将不可避免的遭遇支付数据信息安全问题。正视网上银行支付面临的数据信息安全风险,并采用数据信息认证管理、数据加密保护和后台安全技术等多种措施进行风险抵御,则能使银行支付业务开展得到更多的安全保障。因此,还要加强对网上银行支付数据信息安全问题的思考,以便更好的推动银行业的发展。
参考文献:
[1]倪学超.信息安全中的数据加密算法研究[J].电脑编程技巧与维护,2015,(14):125-126.
[2]陈忠菊.试论提升电子支付的安全性探索[J].科技创新导报,2015,12(06):224.
作者简介:
许阳(1978-),男,汉族,籍贯:河北,毕业于中央党校研究生院经济管理专业,研究生学历,现任辽宁省盘锦市盘锦银行于楼支行副行长。