手機(jī)銀行安全評(píng)估分析

【摘要】 隨著互聯(lián)網(wǎng)大規(guī)模發(fā)展，網(wǎng)上銀行相對(duì)傳統(tǒng)柜面方式，不僅降低業(yè)務(wù)成本還減少客戶的排隊(duì)時(shí)間，所以備受各銀行的重視。

【關(guān)鍵字】 手機(jī)銀行安全

一、手機(jī)銀行簡(jiǎn)介

手機(jī)銀行也可稱(chēng)為移動(dòng)銀行（Mobile Banking Service）， 是利用移動(dòng)通信網(wǎng)絡(luò)及終端辦理相關(guān)銀行業(yè)務(wù)的簡(jiǎn)稱(chēng)。

手機(jī)銀行是各個(gè)商業(yè)銀行推出的新一代產(chǎn)品，它是網(wǎng)上銀行的延伸，又是一種方便銀行用戶的金融業(yè)務(wù)服務(wù)方式，有“電子錢(qián)包”之稱(chēng)。他不僅真正的實(shí)現(xiàn)了銀行的24 小時(shí)服務(wù)，延長(zhǎng)了服務(wù)時(shí)間；還擴(kuò)大了銀行的服務(wù)范圍，大力拓展了銀行的中間業(yè)務(wù)。手機(jī)銀行的實(shí)現(xiàn)方式有很多種，常見(jiàn)的有SMS、STK、WAP、客戶端（安卓，iphnoe 等）。

二、手機(jī)銀行的分類(lèi)

目前手機(jī)銀行主要分為以下幾類(lèi)：一是SMS 方式。它主要有點(diǎn)就是技術(shù)實(shí)現(xiàn)簡(jiǎn)單，并且適用的范圍光，幾乎所有手機(jī)都可以。但是最大的缺點(diǎn)就是業(yè)務(wù)輸入麻煩，并且及其不安全。二是STK 方式。這種方式改變了上述的危險(xiǎn)，它內(nèi)置了銀行的密鑰，提高了安全級(jí)別。但是這種方式需要換卡， 所以業(yè)務(wù)擴(kuò)展不方便。三是WAP 方式。該方式設(shè)計(jì)簡(jiǎn)單， 兼容性好。但是界面過(guò)于簡(jiǎn)單，并且交互性差。四是客戶端方式。是這幾種方式中稍好的，它采用了圖形界面，簡(jiǎn)單方便，并且安全級(jí)別高，是目前主要采用的方式。但是缺點(diǎn)就是必須使用智能手機(jī)，并且對(duì)帶寬要求也高。

三、手機(jī)銀行的主要策略

1、自助銀行。通過(guò)手機(jī)銀行的自助銀行這個(gè)電子渠道幫你免受排隊(duì)之苦。它還能確保及時(shí)交易，當(dāng)無(wú)法上網(wǎng)或遭遇銀行座機(jī)占線時(shí)，開(kāi)通了手機(jī)銀行的你就能真正感受到開(kāi)通了手機(jī)銀行后的方便與快捷。2、遠(yuǎn)程支付。遠(yuǎn)程支付是指用戶利用手機(jī)，基于移動(dòng)通訊網(wǎng)絡(luò)，通過(guò)短信、移動(dòng)夢(mèng)網(wǎng)、手機(jī)互聯(lián)網(wǎng)、手機(jī)SIM 卡等完成的支付。包括點(diǎn)卡充值、機(jī)票購(gòu)買(mǎi)、電話繳費(fèi)、支付寶線下付款等業(yè)務(wù)。3、現(xiàn)場(chǎng)支付。通過(guò)POS 機(jī)或讀卡設(shè)備等近距離通信方式完成的行為，又叫做近場(chǎng)支付。包括的主要是商場(chǎng)pos 消費(fèi)等業(yè)務(wù)。

四、手機(jī)銀行的評(píng)估介紹

手機(jī)安全評(píng)估服務(wù)從多個(gè)層面開(kāi)展，包括操作系統(tǒng)、應(yīng)有服務(wù)和業(yè)務(wù)等；工作內(nèi)容涵蓋很多方面，主要有相關(guān)和應(yīng)用的漏洞掃描、安全配置分析和安全測(cè)試等。

4.1 操作系統(tǒng)的安全配置

實(shí)現(xiàn)操作系統(tǒng)的安全性原理的過(guò)程主要通過(guò)遠(yuǎn)程漏洞掃描系統(tǒng)和安全配置極限檢查工具進(jìn)行。安全測(cè)試包括的內(nèi)容有安全補(bǔ)丁、用戶管理。安全補(bǔ)丁是指任何系統(tǒng)的漏洞都是通過(guò)測(cè)試使用發(fā)現(xiàn)然后安裝相應(yīng)的安全補(bǔ)丁進(jìn)行修正。通過(guò)檢查系統(tǒng)是否安裝了最新的安全補(bǔ)丁，避免存在漏洞的組建對(duì)操作系統(tǒng)安全產(chǎn)生威脅。用戶管理是指現(xiàn)在的系統(tǒng)都是多用戶操作，這樣實(shí)現(xiàn)了系統(tǒng)多級(jí)別管理。但多用戶就會(huì)產(chǎn)生更多的安全隱患。檢查系統(tǒng)中是否存在了冗余的用戶，因?yàn)橛脩粼蕉嚯[患也就越大，尤其是那些弱口令的用戶。刪除不必要的用戶，為用戶設(shè)置復(fù)雜強(qiáng)壯的密碼，必要是設(shè)計(jì)口令策略，強(qiáng)制用戶使用復(fù)雜密碼。

4.2 應(yīng)用服務(wù)的安全配置

應(yīng)用服務(wù)的安全行，是通過(guò)安全配置郟縣檢查工具和手工方式進(jìn)行，旨在通過(guò)某些技術(shù)來(lái)實(shí)現(xiàn)應(yīng)用的安全檢測(cè)，測(cè)試的內(nèi)容包括有應(yīng)用組件、運(yùn)行權(quán)限、其他設(shè)置等。

應(yīng)用組件：很多應(yīng)用服務(wù)會(huì)在用戶不知覺(jué)的情況下被動(dòng)安裝了某些組件，往往這些組件是不必要的，并且多余的安裝能帶來(lái)很多不安因素。

運(yùn)行權(quán)限：必須要簡(jiǎn)化運(yùn)行權(quán)限，減少其他權(quán)限對(duì)應(yīng)用服務(wù)的管理，進(jìn)一步避免系統(tǒng)的安全隱患。檢查應(yīng)用服務(wù)運(yùn)行權(quán)限是否最小化，是否使用了管理員的身份運(yùn)行引用，避免應(yīng)用服務(wù)產(chǎn)生的安全問(wèn)題對(duì)操作系統(tǒng)造成影響。

4.3 業(yè)務(wù)服務(wù)端安全測(cè)試

業(yè)務(wù)服務(wù)端安全測(cè)試又叫做應(yīng)用服務(wù)端安全測(cè)試。該項(xiàng)測(cè)試主要通過(guò)人工方式進(jìn)行，包括測(cè)試的內(nèi)容有：輸入驗(yàn)證、身份認(rèn)證、授權(quán)管理等。1、輸入驗(yàn)證。進(jìn)行輸入的驗(yàn)證是為了進(jìn)行系統(tǒng)安全輸入。檢查用戶提交給應(yīng)用程序的數(shù)據(jù)是否經(jīng)過(guò)了校驗(yàn)，校驗(yàn)規(guī)則是否完善，對(duì)非法字符是否進(jìn)行了阻斷。防止不安全的變量進(jìn)入SQL 語(yǔ)句，導(dǎo)致SQL 注入等漏洞。2、身份認(rèn)證。用戶登錄系統(tǒng)必須經(jīng)過(guò)身份認(rèn)證。檢查應(yīng)用程序中用戶登錄是否符合邏輯，還有確定用戶是否可以繞過(guò)認(rèn)證登錄系統(tǒng)。對(duì)于用戶輸入的密碼要進(jìn)行密碼復(fù)雜度的檢查，防止弱口令。提交表單時(shí)候，檢查是否有圖形驗(yàn)證碼，防止暴力提交，進(jìn)行系統(tǒng)破壞。3、授權(quán)管理。檢查應(yīng)用程序?qū)τ脩魴?quán)限是否進(jìn)行了嚴(yán)格劃分，同級(jí)別用戶間、的權(quán)限和高權(quán)限用戶簡(jiǎn)能否越權(quán)訪問(wèn)。

4.4 應(yīng)用客戶端安全測(cè)試

應(yīng)用客戶端安全測(cè)試主要包括：證書(shū)有效性、密碼軟鍵盤(pán)、安全策略設(shè)置。1、證書(shū)有效性。測(cè)試客戶端程序是否嚴(yán)格檢查服務(wù)器端證書(shū)信息，防止用戶收到嗅探攻擊后密碼泄漏，或者用戶遭受釣魚(yú)攻擊。2、密碼軟鍵盤(pán)。測(cè)試客戶端程序在密碼等輸入框使用軟鍵盤(pán)，防止手機(jī)被安裝可疑程序后，密碼被記錄，使系統(tǒng)遭受安全威脅。

參 考 文 獻(xiàn)

[1] 蒲石.web 安全滲透測(cè)試研究過(guò)[D] 西安：西安電子科技大學(xué)； 2010