安全措施 |
这么多银行业务在一部小小的手机上实现,一般人恐怕要问,手机银行安全吗?个人信息、银行账户密码等资料在无线传输会不会泄露?手机丢失后相关资料会不会被人窃取? 下面我们从建行手机银行独有的安全特性及系统层、应用层、客户关心的手机丢失问题等四个方面介绍建行手机银行的安全性。 一、手机银行独特的安全特性 (一)客户身份信息与手机号码的绑定 手机不同于电脑等设备,随身携带是它的一个重要特性,现代人基本上离不开它,即使丢失也会很快发现,并且手机号码也已成为个人的身份识别标志。同其它电子银行渠道相比,建行手机银行安全性最具特点的是客户身份信息与手机号码建立了惟一绑定关系。客户使用手机银行服务时,必须使用其开通手机银行服务时所指定的手机号码,也就是说,只有客户本人的手机才能以该客户的身份登录手机银行,他人是无法通过其它手机登录。 这种硬件的身份识别办法,加上登录密码的验证与控制,建立了客户身份信息、手机号码、登录密码三重保护机制,构建了手机银行业务独特的安全特性。 (二)封闭的通讯网络防黑客木马攻击 大家熟悉的网上银行风险,很大程度上由于其处于开放性的互联网,容易受到黑客攻击,特别是黑客通过放置恶意的木马程序,非法获取客户的账户信息和密码,导致风险的存在。而手机银行处于相对封闭的移动数据网络,并且手机终端本身没有统一的操作系统等病毒所需的滋生环境,因此,手机银行业务几乎不受黑客和木马程序的影响,其安全性也大大提高。 二、系统层的安全 为确保“手机银行”的安全,建行手机银行在技术层面采用了多种先进的加密手段和方法,即要保证手机银行的安全又不失便捷性。 (一)建立安全通道 手机银行整个系统全程采用端对端的加密数据传送方式,交易数据在传送之前,手机端必须和手机银行服务器端建立安全通道。由于客户第一次登陆需用提供客户账号和密码等关键信息,手机银行系统对这些数据采用1024位的RSA公钥加密,验证客户信息和DES密钥,如果正确,则客户和服务器端连接就建立起。 (二)数据传输全程加密 建行手机银行系统采用硬件方式实现RSA和DES的加、解密算法,数据在传输过程中全程加密,此方式的实现即保证了系统运算的速度,又确保了手机银行服务的实时性、安全性和可靠性。 (三)防数据破坏,确保数据的完整性 对于所有交易数据,手机和银行加密机都会对交易数据进行摘要处理,产生交易数据的校验信息,以防止数据在传输中途被修改或丢失。若接收到数据的摘要验证不通过,即认为数据被破坏,要求交易重新进行,确保数据的完整性。 (四)安全方面的其他措施 手机银行系统在安全通道的基础上,在客户登录前将由服务器产生图形附加码传至手机上,由用户输入上传至服务器验证,在端对端加密的安全方案基础上加上附加码的验证措施便可有效地防止自动尝试密码、避免了黑客的网络攻击,从而保证了手机电子银行交易平台的安全。 另外,客户每次退出手机银行之后,手机内存中关于卡号、密码等关键信息将会被自动清除,而交易信息和账户密码等内容只保存在银行核心主机里,不会因为手机丢失而影响客户的资金安全。 三、应用层安全 (一)密码控制 登录建行手机银行系统时需要输入的登录密码。登录密码不是账户密码,是客户在开通手机银行服务时自行设定。如在银行网点签约时,通过柜台上的密码键盘,或在网站开通时,通过网页界面,或在手机上直接开通手机银行服务时,在手机界面上由客户自己输入。登录密码为6~10位的数字和字母混合组成。客户通过登陆密码才能使用手机银行服务,并可自行更改密码。 客户号和登录密码是手机银行进行客户身份验证的一个重要环节,银行先进行用户密码的验证,若密码错误,交易终止。为防止有人恶意试探别人密码,系统设置了密码错误次数日累计限制,当达到限制时,将置该客户手机银行服务为暂停状态。 (二)签约机制 建行手机银行为进一步保障客户资金安全,引入了签约机制。对于通过建设银行网站(WWW.CCB.COM)或在手机上直接开通手机银行服务的客户可以使用查询、缴费、小额支付等功能。如果客户持本人有效证件原件及账户凭证(卡或存折)到账户所在地的银行营业网点进行身份认证,签署相关协议,并经银行认证后,此类客户才成为手机银行的签约客户,签约客户可享受手机银行提供的全部服务,包括转账、汇款等业务。 (三)限额控制 为进一步降低业务风险,建行手机银行业务对诸如支付、缴费、转账、汇款、外汇买卖等业务都采用了日累计限额的控制。以后将引入个人交易限额,客户可以根据自身情况灵活地设置自己交易限额,即满足个性化需求,又控制了业务风险。附:中国建设银行手机银行交易限额表 四、客户关心的手机丢失问题 客户可能十分担心手机丢失后会对本人账户信息和资金构成危险。其实,手机银行有密码保护,此密码存储在银行核心业务系统中,即使他人捡到遗失的手机,在不知道密码的情况下,是无法使用手机银行业务的。当然,如果客户发现手机遗失,可以立刻向移动运营商报失停机,这样这部手机就无法作联机银行交易了,即使窃贼知道客户密码也毫无用处。另外,客户也可以通过手机、互联网站、银行柜台等渠道取消手机银行服务,待手机找回或使用新的手机号码,再开通手机银行服务。 |