手机银行安全评估分析
2015年11月11日 15:20 作者:□强璐璐 吉林省经济信息中心□强璐璐 吉林省经济信息中心
【摘要】 随着互联网大规模发展,网上银行相对传统柜面方式,不仅降低业务成本还减少客户的排队时间,所以备受各银行的重视。
【关键字】 手机银行 安全
一、手机银行简介
手机银行也可称为移动银行(Mobile Banking Service), 是利用移动通信网络及终端办理相关银行业务的简称。
手机银行是各个商业银行推出的新一代产品,它是网上银行的延伸,又是一种方便银行用户的金融业务服务方式, 有“电子钱包”之称。他不仅真正的实现了银行的24 小时服务,延长了服务时间;还扩大了银行的服务范围,大力拓展了银行的中间业务。手机银行的实现方式有很多种,常见的有SMS、STK、WAP、客户端(安卓,iphnoe 等)。
二、手机银行的分类
目前手机银行主要分为以下几类:一是SMS 方式。它主要有点就是技术实现简单,并且适用的范围光,几乎所有手机都可以。但是最大的缺点就是业务输入麻烦,并且及其不安全。二是STK 方式。这种方式改变了上述的危险,它内置了银行的密钥,提高了安全级别。但是这种方式需要换卡, 所以业务扩展不方便。三是WAP 方式。该方式设计简单, 兼容性好。但是界面过于简单,并且交互性差。四是客户端方式。是这几种方式中稍好的,它采用了图形界面,简单方便,并且安全级别高,是目前主要采用的方式。但是缺点就是必须使用智能手机,并且对带宽要求也高。
三、手机银行的主要策略
1、自助银行。通过手机银行的自助银行这个电子渠道帮你免受排队之苦。它还能确保及时交易,当无法上网或遭遇银行座机占线时,开通了手机银行的你就能真正感受到开通了手机银行后的方便与快捷。2、远程支付。远程支付是指用户利用手机,基于移动通讯网络,通过短信、移动梦网、手机互联网、手机SIM 卡等完成的支付。包括点卡充值、机票购买、电话缴费、支付宝线下付款等业务。3、现场支付。通过POS 机或读卡设备等近距离通信方式完成的行为,又叫做近场支付。包括的主要是商场pos 消费等业务。
四、手机银行的评估介绍
手机安全评估服务从多个层面开展,包括操作系统、应有服务和业务等;工作内容涵盖很多方面,主要有相关和应用的漏洞扫描、安全配置分析和安全测试等。
4.1 操作系统的安全配置
实现操作系统的安全性原理的过程主要通过远程漏洞扫描系统和安全配置极限检查工具进行。安全测试包括的内容有安全补丁、用户管理。安全补丁是指任何系统的漏洞都是通过测试使用发现然后安装相应的安全补丁进行修正。通过检查系统是否安装了最新的安全补丁,避免存在漏洞的组建对操作系统安全产生威胁。用户管理是指现在的系统都是多用户操作,这样实现了系统多级别管理。但多用户就会产生更多的安全隐患。检查系统中是否存在了冗余的用户,因为用户越多隐患也就越大,尤其是那些弱口令的用户。删除不必要的用户,为用户设置复杂强壮的密码,必要是设计口令策略,强制用户使用复杂密码。
4.2 应用服务的安全配置
应用服务的安全行,是通过安全配置郏县检查工具和手工方式进行,旨在通过某些技术来实现应用的安全检测,测试的内容包括有应用组件、运行权限、其他设置等。
应用组件:很多应用服务会在用户不知觉的情况下被动安装了某些组件,往往这些组件是不必要的,并且多余的安装能带来很多不安因素。
运行权限:必须要简化运行权限,减少其他权限对应用服务的管理,进一步避免系统的安全隐患。检查应用服务运行权限是否最小化,是否使用了管理员的身份运行引用,避免应用服务产生的安全问题对操作系统造成影响。
4.3 业务服务端安全测试
业务服务端安全测试又叫做应用服务端安全测试。该项测试主要通过人工方式进行,包括测试的内容有:输入验证、身份认证、授权管理等。1、输入验证。进行输入的验证是为了进行系统安全输入。检查用户提交给应用程序的数据是否经过了校验,校验规则是否完善,对非法字符是否进行了阻断。防止不安全的变量进入SQL 语句,导致SQL 注入等漏洞。2、身份认证。用户登录系统必须经过身份认证。检查应用程序中用户登录是否符合逻辑,还有确定用户是否可以绕过认证登录系统。对于用户输入的密码要进行密码复杂度的检查,防止弱口令。提交表单时候,检查是否有图形验证码,防止暴力提交,进行系统破坏。3、授权管理。检查应用程序对用户权限是否进行了严格划分,同级别用户间、的权限和高权限用户简能否越权访问。
4.4 应用客户端安全测试
应用客户端安全测试主要包括:证书有效性、密码软键盘、安全策略设置。1、证书有效性。测试客户端程序是否严格检查服务器端证书信息,防止用户收到嗅探攻击后密码泄漏,或者用户遭受钓鱼攻击。2、密码软键盘。测试客户端程序在密码等输入框使用软键盘,防止手机被安装可疑程序后,密码被记录,使系统遭受安全威胁。
参 考 文 献
[1] 安全 security 2012 /17
[2] 蒲石.web 安全渗透测试研究过[D] 西安:西安电子科技大学; 2010