安全措施 |
這麼多銀行業務在一部小小的手機上實現,一般人恐怕要問,手機銀行安全嗎?個人資訊、銀行賬戶密碼等資料在無線傳輸會不會洩露?手機丟失後相關資料會不會被人竊取? 下面我們從建行手機銀行獨有的安全特性及系統層、應用層、客戶關心的手機丟失問題等四個方面介紹建行手機銀行的安全性。 一、手機銀行獨特的安全特性 (一)客戶身份資訊與手機號碼的綁定 手機不同於電腦等設備,隨身攜帶是它的一個重要特性,現代人基本上離不開它,即使丟失也會很快發現,並且手機號碼也已成為個人的身份識別標誌。同其他電子銀行渠道相比,建行手機銀行安全性最具特點的是客戶身份資訊與手機號碼建立了惟一綁定關係。客戶使用手機銀行服務時,必須使用其開通手機銀行服務時所指定的手機號碼,也就是説,只有客戶本人的手機才能以該客戶的身份登錄手機銀行,他人是無法通過其他手機登錄。 這種硬體的身份識別辦法,加上登錄密碼的驗證與控制,建立了客戶身份資訊、手機號碼、登錄密碼三重保護機制,構建了手機銀行業務獨特的安全特性。 (二)封閉的通訊網路防駭客木馬攻擊 大家熟悉的網上銀行風險,很大程度上由於其處於開放性的網際網路,容易受到駭客攻擊,特別是駭客通過放置惡意的木馬程式,非法獲取客戶的賬戶資訊和密碼,導致風險的存在。而手機銀行處於相對封閉的移動數據網路,並且手機終端本身沒有統一的作業系統等病毒所需的滋生環境,因此,手機銀行業務幾乎不受駭客和木馬程式的影響,其安全性也大大提高。 二、系統層的安全 為確保“手機銀行”的安全,建行手機銀行在技術層面採用了多种先進的加密手段和方法,即要保證手機銀行的安全又不失便捷性。 (一)建立安全通道 手機銀行整個系統全程採用端對端的加密數據傳送方式,交易數據在傳送之前,手機端必須和手機銀行伺服器端建立安全通道。由於客戶第一次登陸需用提供客戶賬號和密碼等關鍵資訊,手機銀行系統對這些數據採用1024位的RSA公鑰加密,驗證客戶資訊和DES密鑰,如果正確,則客戶和伺服器端連接就建立起。 (二)數據傳輸全程加密 建行手機銀行系統採用硬體方式實現RSA和DES的加、解密演算法,數據在傳輸過程中全程加密,此方式的實現即保證了系統運算的速度,又確保了手機銀行服務的實時性、安全性和可靠性。 (三)防數據破壞,確保數據的完整性 對於所有交易數據,手機和銀行加密機都會對交易數據進行摘要處理,産生交易數據的校驗資訊,以防止數據在傳輸中途被修改或丟失。若接收到數據的摘要驗證不通過,即認為數據被破壞,要求交易重新進行,確保數據的完整性。 (四)安全方面的其他措施 手機銀行系統在安全通道的基礎上,在客戶登錄前將由伺服器産生圖形附加碼傳至手機上,由用戶輸入上傳至伺服器驗證,在端對端加密的安全方案基礎上加上附加碼的驗證措施便可有效地防止自動嘗試密碼、避免了駭客的網路攻擊,從而保證了手機電子銀行交易平臺的安全。 另外,客戶每次退出手機銀行之後,手機記憶體中關於卡號、密碼等關鍵資訊將會被自動清除,而交易資訊和賬戶密碼等內容只保存在銀行核心主機裏,不會因為手機丟失而影響客戶的資金安全。 三、應用層安全 (一)密碼控制 登錄建行手機銀行系統時需要輸入的登錄密碼。登錄密碼不是賬戶密碼,是客戶在開通手機銀行服務時自行設定。如在銀行網點簽約時,通過櫃檯上的密碼鍵盤,或在網站開通時,通過網頁界面,或在手機上直接開通手機銀行服務時,在手機界面上由客戶自己輸入。登錄密碼為6~10位的數字和字母混合組成。客戶通過登陸密碼才能使用手機銀行服務,並可自行更改密碼。 客戶號和登錄密碼是手機銀行進行客戶身份驗證的一個重要環節,銀行先進行用戶密碼的驗證,若密碼錯誤,交易終止。為防止有人惡意試探別人密碼,系統設置了密碼錯誤次數日累計限制,當達到限制時,將置該客戶手機銀行服務為暫停狀態。 (二)簽約機制 建行手機銀行為進一步保障客戶資金安全,引入了簽約機制。對於通過建設銀行網站(WWW.CCB.COM)或在手機上直接開通手機銀行服務的客戶可以使用查詢、繳費、小額支付等功能。如果客戶持本人有效證件原件及賬戶憑證(卡或存摺)到賬戶所在地的銀行營業網點進行身份認證,簽署相關協議,並經銀行認證後,此類客戶才成為手機銀行的簽約客戶,簽約客戶可享受手機銀行提供的全部服務,包括轉賬、匯款等業務。 (三)限額控制 為進一步降低業務風險,建行手機銀行業務對諸如支付、繳費、轉賬、匯款、外匯買賣等業務都採用了日累計限額的控制。以後將引入個人交易限額,客戶可以根據自身情況靈活地設置自己交易限額,即滿足個性化需求,又控制了業務風險。附:中國建設銀行手機銀行交易限額表 四、客戶關心的手機丟失問題 客戶可能十分擔心手機丟失後會對本人賬戶資訊和資金構成危險。其實,手機銀行有密碼保護,此密碼存儲在銀行核心業務系統中,即使他人撿到遺失的手機,在不知道密碼的情況下,是無法使用手機銀行業務的。當然,如果客戶發現手機遺失,可以立刻向移動運營商報失停機,這樣這部手機就無法作連線銀行交易了,即使竊賊知道客戶密碼也毫無用處。另外,客戶也可以通過手機、網際網路站、銀行櫃檯等渠道取消手機銀行服務,待手機找回或使用新的手機號碼,再開通手機銀行服務。 |