【正文】 些用戶可以形成于 inter 的直接的 SLIP（串行 IP）或 PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）連接，從而繞過防火墻，造成一個(gè)潛在的后門攻擊渠道。因?yàn)楝F(xiàn)有的各類病毒、加密和壓縮的二進(jìn)制文件種類太多，不能指望防火墻逐個(gè)掃描每個(gè)文件查找病毒。（4）防火墻不能防止數(shù)據(jù)驅(qū)動(dòng)式攻擊。數(shù)據(jù)驅(qū)動(dòng)式攻擊常常會(huì)先修改一臺(tái)主機(jī)有關(guān)的安全文件，從而為下次入侵做準(zhǔn)備。雖然防火墻不能抵御有些安全威脅，但是作為網(wǎng)絡(luò)安全的一個(gè)重要切點(diǎn)，銀行要權(quán)衡利弊，在網(wǎng)絡(luò)服務(wù)高效靈活、安全保障和應(yīng)用成本之間找到一個(gè)“最佳平衡點(diǎn)” ，最大限度的抵消安全保障帶來的影響。包括網(wǎng)絡(luò)邊界出口鏈路的帶寬要求數(shù)量等情況，比如邊界連接多個(gè) ISP；IP 地址規(guī)劃對(duì)防火墻地址轉(zhuǎn)換要求，比如路由模式和透明網(wǎng)橋模式的支持；是否需要按照不同安全級(jí)別設(shè)立多個(gè)網(wǎng)段，如設(shè)置內(nèi)網(wǎng)、外網(wǎng)、?；饏^(qū)等三個(gè)或三個(gè)以上網(wǎng)段。（2）要考慮到業(yè)務(wù)應(yīng)用系統(tǒng)要求。（3）要考慮用戶及通信流量規(guī)模方面的需求。支撐高可用、高可靠的網(wǎng)絡(luò)平臺(tái)，要求防火墻必須達(dá)到的一定的沉余，包括對(duì)雙機(jī)熱備、負(fù)載均衡、多機(jī)集群等的支持能力。為防止網(wǎng)銀服務(wù)器系統(tǒng)受到攻擊，首先，絕大多數(shù)銀行都在 Inter 與網(wǎng)銀服務(wù)器間建立起了數(shù)道防火墻，使黑客無法攻破防火墻進(jìn)入銀行內(nèi)部網(wǎng)絡(luò)。再者，銀行多采用國(guó)際先進(jìn)的網(wǎng)絡(luò)安全檢測(cè)和監(jiān)控系統(tǒng)，對(duì)進(jìn)出各級(jí)局域網(wǎng)的常見操作進(jìn)行 24 h 實(shí)時(shí)監(jiān)控、報(bào)警和阻斷，并定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正漏洞；客戶在網(wǎng)上銀行使用的密碼，都經(jīng)過不可逆加密算法存放在數(shù)據(jù)庫中，即使黑客侵入數(shù)據(jù)庫系統(tǒng)，也無法破譯原密碼。所以客戶端稱為網(wǎng)上銀行安全的最大威脅。密碼是每一個(gè)網(wǎng)上銀行必備有認(rèn)證介質(zhì)，記得要使用安全好記的密碼就是。（2）文件數(shù)字證書。未安裝文件數(shù)字證書的用戶安裝證書需要驗(yàn)證大量的信息，相對(duì)比較安全。15 / 37（3）動(dòng)態(tài)口令卡?？嫔嫌幸粋€(gè)表格，表格內(nèi)有幾十個(gè)數(shù)字。動(dòng)態(tài)口令卡可以隨身攜帶，輕便，不需驅(qū)動(dòng)，使用方便，但是如果木馬長(zhǎng)期在你的電腦中，可以漸漸地獲取你的口令卡上的很多數(shù)字，當(dāng)獲知的數(shù)字達(dá)到一定數(shù)量時(shí)，你的資金便不再安全，而且如果在外使用，也容易被人拍照。當(dāng)你嘗試進(jìn)行網(wǎng)上交易時(shí)，銀行會(huì)向你的手機(jī)發(fā)送短信，如果你能正確地輸入收到的短信則可以成功付款，反之不能。相對(duì)安全。就像給證明就給開箱，不開箱沒有證件就無法證明一樣了） ，不能沒電，不能丟失。（5）移動(dòng)口令牌。付款時(shí)只需按移動(dòng)口令牌上的鍵，這時(shí)就會(huì)出現(xiàn)當(dāng)前的代碼。如果無法獲得該編碼，則無法成功付款?？诹钆频木幋a一旦使用過就立即失效，不用擔(dān)心建付款時(shí)輸?shù)木幋a被他們看到他們?cè)谝环昼妰?nèi)再付款。它存放著你個(gè)人的數(shù)字證書，并不可讀取。當(dāng)你嘗試進(jìn)行網(wǎng)上交易時(shí)，銀行會(huì)向你發(fā)送由時(shí)間字串，地址字串，交易信息字串，防重放攻擊字串組合在一起進(jìn)行加密后得到的字串 A，你的 U 盾將跟據(jù)你的個(gè)人證書對(duì)字串 A 進(jìn)行不可逆運(yùn)算得到字串 B，并將字串 B 發(fā)送給銀行，銀行端也同時(shí)進(jìn)行該不可逆運(yùn)算，如果銀行運(yùn)算結(jié)果和你的運(yùn)算結(jié)果一致便認(rèn)為你合法，交易便可以完成，如果不一致便認(rèn)為你不合法，交易便會(huì)失敗。并且銀行每次都會(huì)發(fā)不同的防重放字串（隨機(jī)字串）和時(shí)間字串，所以當(dāng)一次交易完成后，剛發(fā)出的 B 字串便不再有效。現(xiàn)行網(wǎng)上銀行一般都是密碼＋后五種中的一種。16 / 37從便捷角度，家庭用戶使用文件數(shù)字證書最方便，付款只需密碼即可，而且也比較安全。 客戶端主要受到的威脅 客戶端的漏洞通常使用的 Windows 操作系統(tǒng)及其瀏覽器存在許多漏洞，防范意識(shí)不強(qiáng)的客戶易被黑客在系統(tǒng)內(nèi)植入木馬、病毒，如“網(wǎng)銀大盜” 、 “灰鴿子” 。2022 年 12 月，李強(qiáng)租用了一臺(tái)網(wǎng)絡(luò)服務(wù)器，并將“網(wǎng)銀大盜”和“灰鴿子”程序下載到服務(wù)器上，用于接收信息、儲(chǔ)存資料和遠(yuǎn)程控制他人電腦。在收繳的證據(jù)中，記者看到李強(qiáng)保存在 U 盤里的賬戶資料，有 300 多條個(gè)人信息，身份證號(hào)、賬號(hào)、密碼、手機(jī)號(hào)、余額等信息一應(yīng)俱全。因此，李強(qiáng)跑到長(zhǎng)沙市內(nèi)一些銀行大廳，將“網(wǎng)銀大盜”和“灰鴿子”安裝到大廳里的自助電腦上，市民在電腦上使用“網(wǎng)銀” ，有效信息就會(huì)被竊取。網(wǎng)銀大盜 II( )傳播方式：網(wǎng)絡(luò) （1）生成病毒文件。 （其中，%System%在 Windows95/98/Me 下為C:\Windows\System，在 Windows NT/2022 下為 C:\Winnt\System32，在 Windows XP 下為 C:\Windows\System32） 。病毒修改注冊(cè)表，以達(dá)到隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行的目的，在 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Current Version\Run 下創(chuàng)建：““”=%System%\=%System%\ ”。病毒運(yùn)行后檢查 IE 窗口標(biāo)題欄，判定當(dāng)前窗口是否為網(wǎng)上銀行的登錄頁面，涉及到國(guó)內(nèi)多家銀行的網(wǎng)上交易系統(tǒng)。竊取的用戶信息包括網(wǎng)上銀行的賬號(hào)、密碼、驗(yàn)證碼等。病毒截獲被感染計(jì)算機(jī)所輸入的鍵盤值后，將其竊取到的信息發(fā)送到指定的地址。解決辦法：①終止病毒進(jìn)程 。③刪除病毒釋放的文件 。 客戶端被黑客木馬攻擊有些網(wǎng)銀客戶習(xí)慣將數(shù)字證書保存在軟、硬盤中，而一旦系統(tǒng)中了木馬，黑客很容易將證書、銀行賬號(hào)和密碼一起拷走，使客戶蒙受經(jīng)濟(jì)損失?？蛻舳私缑妫?8 / 37具體功能：（ 1） 自 動(dòng) 跟 蹤 目 標(biāo) 機(jī) 屏 幕 變 化 ， 同 時(shí) 可 以 完 全 模 擬 鍵 盤 及 鼠 標(biāo) 輸 入 ， 即在 同 步 被 控 端 屏 幕 變 化 的 同 時(shí) ， 監(jiān) 控 端 的 一 切 鍵 盤 及 鼠 標(biāo) 操 作 將 反 映 在 被 控 端屏 幕 (局 域 網(wǎng) 適 用 )。（ 3） 獲 取 系 統(tǒng) 信 息 ： 包 括 計(jì) 算 機(jī) 名 、 注 冊(cè) 公 司 、 當(dāng) 前 用 戶 、 系 統(tǒng) 路 徑 、操 作 系 統(tǒng) 版 本 、 當(dāng) 前 顯 示 分 辨 率 、 物 理 及 邏 輯 磁 盤 信 息 等 多 項(xiàng) 系 統(tǒng) 數(shù) 據(jù) 。（ 5） 遠(yuǎn) 程 文 件 操 作 ： 包 括 創(chuàng) 建 、 上 傳 、 下 載 、 復(fù) 制 、 刪 除 文 件 或 目 錄 、文 件 壓 縮 、 快 速 瀏 覽 文 本 文 件 、 遠(yuǎn) 程 打 開 文 件 （ 提 供 了 四 中 不 同 的 打 開 方 式——正 常 方 式 、 最 大 化 、 最 小 化 和 隱 藏 方 式 ） 等 多 項(xiàng) 文 件 操 作 功 能 。（ 7） 發(fā) 送 信 息 ： 以 四 種 常 用 圖 標(biāo) 向 被 控 端 發(fā) 送 簡(jiǎn) 短 信 息 。圖 22 木馬客戶端界面19 / 37 客戶端進(jìn)入仿冒網(wǎng)站不法分子以垃圾郵件的形式大量發(fā)送欺詐性郵件，這些郵件多以中獎(jiǎng)、顧問、對(duì)賬等內(nèi)容，或是以銀行賬號(hào)被凍結(jié)、銀行系統(tǒng)升級(jí)等各種理由，要求收件人點(diǎn)擊郵件上的鏈接地址，登錄一個(gè)酷似銀行網(wǎng)頁的界面，而用戶一旦在這個(gè)指定的登錄界面輸入了自己的卡（賬）號(hào)、密碼等，這些信息就會(huì)被竊取。用戶登錄頁面過程中很容易被“網(wǎng)絡(luò)釣魚” 。2022 年 2 月 28 日，網(wǎng)友小姚在一個(gè)名為“利好交易網(wǎng)”的網(wǎng)站上，點(diǎn)擊進(jìn)入了某銀行網(wǎng)上支付系統(tǒng)，他在輸入了自己的卡號(hào)和密碼后卻無法登錄。幾個(gè)小時(shí)后，當(dāng)小姚再次查詢余額時(shí)，發(fā)現(xiàn)卡里除了僅有的 1 元錢外，其他的 70 元錢早已不翼而飛。 如某行曾經(jīng)發(fā)現(xiàn)的“ 、“ “與某行網(wǎng)站地址“ 、 “十分相似。 網(wǎng)上銀行短信服務(wù)中國(guó)建設(shè)銀行網(wǎng)上銀行提供了從登陸、查詢、交易、直到退出的每一個(gè)環(huán)節(jié)的短信提示服務(wù)，客戶只要開通了短信服務(wù)，定制個(gè)性化的服務(wù)功能，就可以直20 / 37接通過網(wǎng)上銀行捆綁其手機(jī)，隨時(shí)掌握網(wǎng)上銀行使用情況，了解資金賬戶的信息。 （2）選擇短信提示功能項(xiàng)； （3）選擇“同意”后，點(diǎn)擊“獲取確認(rèn)碼”，建行將會(huì)把確認(rèn)碼發(fā)到您所輸入的手機(jī)上； （4）輸入確認(rèn)碼； （5）點(diǎn)擊“確認(rèn)”如果您的手機(jī)號(hào)碼更換了，您需要進(jìn)入“安全中心”下的“短信服務(wù)”中，選擇“撤銷短信服務(wù)”，輸入您開通短信服務(wù)時(shí)建行發(fā)送給您的確認(rèn)碼。點(diǎn)擊“確認(rèn)”后，您的短信服務(wù)將撤銷。建行網(wǎng)上銀行提供了從登陸、查詢、交易、直到退出的每一個(gè)環(huán)節(jié)的短信提醒服務(wù)，您可以直接通過網(wǎng)上銀行捆綁其手機(jī)，隨時(shí)掌握網(wǎng)上銀行使用情況。網(wǎng)銀盾具有安全性、移動(dòng)性、使用的方便性，在推廣網(wǎng)銀盾證書的時(shí)候，考慮到客戶的需求，在網(wǎng)銀盾款式、附加功能上進(jìn)行了創(chuàng)新。 網(wǎng)銀盾是一個(gè)具備 USB 接口，具有一定的存儲(chǔ)空間，用以存儲(chǔ)用戶（網(wǎng)上銀行客戶）數(shù)字證書，實(shí)現(xiàn)對(duì)用戶身份認(rèn)證和交易信息加密的硬件設(shè)備，常稱 USBkey（網(wǎng)銀盾是建設(shè)銀行 USBkey 品牌，工商銀行的 USBkey 品牌叫 U 盾，農(nóng)業(yè)銀行叫 K 寶）。圖 1 建行網(wǎng)銀盾圖例21 / 37 建行網(wǎng)上銀行系統(tǒng)可支持 USBkey——網(wǎng)銀盾證書功能。由于網(wǎng)銀盾能夠確保網(wǎng)上交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。 網(wǎng)銀盾的使用特點(diǎn)（1）無驅(qū)無軟、預(yù)制證書，真正做到即插即用。（3）進(jìn)行網(wǎng)上銀行業(yè)務(wù)的最佳選擇。 網(wǎng)銀盾的辦理流程 客戶攜帶本人有效身份證件、賬戶介質(zhì)（龍卡、存折）到建設(shè)銀行網(wǎng)點(diǎn)申請(qǐng)使用建行網(wǎng)銀盾。圖 2 網(wǎng)銀盾的辦理流程 動(dòng)態(tài)口令卡建行網(wǎng)上銀行除了向客戶提供證書保護(hù)模式外，還推出了動(dòng)態(tài)口令卡，可以免除了您攜帶證書和使用證書的不便，動(dòng)態(tài)口令卡樣式輕小、安全性高。動(dòng)態(tài)口令是一種動(dòng)態(tài)密碼技術(shù)，簡(jiǎn)單地說，就是客戶每次在網(wǎng)上銀行進(jìn)行資金交易時(shí)使用不同的密碼，進(jìn)行交易確認(rèn)。22 / 37建設(shè)銀行推出的網(wǎng)上銀行動(dòng)態(tài)口令卡是一種大小、形狀與銀行卡一樣的卡片（如圖 4510 所示），俗稱刮刮卡。 動(dòng)態(tài)口令卡的使用特點(diǎn)（1）一次一密、安全可靠。為了便于記憶，經(jīng)常使用位數(shù)少、簡(jiǎn)單，或有規(guī)律的靜態(tài)密碼，這樣的密碼容易被犯罪分子破解，而設(shè)置位數(shù)多、復(fù)雜的靜態(tài)密碼并經(jīng)常更換，又很容易造成密碼混亂或遺忘的情況。（2）操作簡(jiǎn)單、方便快捷?？蛻糁恍枰褂勉y行提供的刮刮卡，并按照提示進(jìn)行操作即可，過程簡(jiǎn)單，使用方便。動(dòng)態(tài)口令技術(shù)經(jīng)過二十多年的發(fā)展，已經(jīng)相當(dāng)成熟，在國(guó)外網(wǎng)上銀行的使用也有六年多的時(shí)間，尤其是在網(wǎng)上銀行業(yè)務(wù)較發(fā)達(dá)的北歐地區(qū)，動(dòng)態(tài)口令的使用十分普及。（4）量身定做、便于攜帶。每張刮刮卡上印有 30個(gè)密碼，按照客戶平均每月辦理 23 次網(wǎng)上銀行資金交易計(jì)算，一張卡可以滿足客戶一年的使用需求。 動(dòng)態(tài)口令卡的證書下載23 / 37（1）簽約后首次登錄建設(shè)銀行網(wǎng)上銀行時(shí)，系統(tǒng)提示下載證書，見下圖，輸入手機(jī)接收的短信驗(yàn)證碼，證書存儲(chǔ)介質(zhì)欄中選擇“本機(jī)硬盤（中級(jí)加密）”，然后點(diǎn)擊“下一步”按鈕，如圖 4511 所示。 （3）提示證書安裝成功，點(diǎn)擊“完成”，然后可以進(jìn)行正常的登錄操作。請(qǐng)輸入兩次動(dòng)態(tài)口令卡號(hào)、卡的第一道動(dòng)態(tài)口令密碼及您的交易密碼，點(diǎn)擊 “確認(rèn)”，即登記成功。動(dòng)態(tài)口令卡的操作如下：（1）登錄網(wǎng)上銀行后，進(jìn)入活期轉(zhuǎn)賬匯款頁面，輸入轉(zhuǎn)賬信息，點(diǎn)擊“下一步”，如圖 4512 所示。（1）您的動(dòng)態(tài)口令卡一旦登記成功，原交易密碼將不能使用。 （3）若用動(dòng)態(tài)口令卡最后一端密碼換卡失敗，此時(shí)您的網(wǎng)上銀行交易功能已被凍結(jié)，請(qǐng)到建行營(yíng)業(yè)網(wǎng)點(diǎn)辦理換卡。（1）自助更換流程 ①進(jìn)入“安全中心”菜單，選擇“動(dòng)態(tài)口令”； ②點(diǎn)擊“用戶自助換卡”；25 / 37 ③輸入新卡卡號(hào)、新卡的第一道動(dòng)態(tài)口令卡密碼、舊卡的當(dāng)前口令卡密碼；④點(diǎn)擊“確認(rèn)”。 圖 4515 建行動(dòng)態(tài)口令卡自助更換流程 （2）在柜臺(tái)更換補(bǔ)辦流程 如果動(dòng)態(tài)口令卡丟失、損壞或由于其他原因無法在網(wǎng)上銀行自助換卡，可攜帶本人有效身份證件、一張已簽約網(wǎng)上銀行的賬戶資料（龍卡、存折） ，到建設(shè)銀行儲(chǔ)蓄網(wǎng)點(diǎn)申請(qǐng)更換補(bǔ)辦。 雙密碼控制，并設(shè)定了密碼安全強(qiáng)度網(wǎng)上銀行系統(tǒng)采取登錄密碼和交易密碼兩種控制，并對(duì)密碼錯(cuò)誤次數(shù)進(jìn)行了限制，超出限制次數(shù)，使用者當(dāng)日即無法進(jìn)行登錄。在系統(tǒng)登錄時(shí)，建們?yōu)槟峁┝烁郊哟a和密碼小鍵盤等服務(wù)，避免泄露您的信息。新版動(dòng)態(tài)口令卡重新設(shè)計(jì)了卡樣，選取以建行藍(lán)為標(biāo)志的圖案，美觀醒目；制卡工藝由創(chuàng)新技術(shù)的低碳紙代替了舊版的 PVC 材料，起到了環(huán)保效應(yīng)，并增強(qiáng)了柔韌性，從而使動(dòng)態(tài)口令卡客戶可以更便捷地使用網(wǎng)上銀行。建設(shè)銀行推出的網(wǎng)上銀行動(dòng)態(tài)口令卡是一種大小、形狀與銀行卡一樣的卡片，俗稱刮刮卡。 動(dòng)態(tài)口令業(yè)務(wù)特色（1）一次一密、安全可靠新版動(dòng)態(tài)口令卡重點(diǎn)針對(duì)大眾客戶（如學(xué)生、工薪青年等），具有一次一密、成本低廉、易用性強(qiáng)等多種優(yōu)勢(shì)，具有較大的市場(chǎng)推廣空間。（2）操作簡(jiǎn)單、方便快捷客戶無需記憶復(fù)雜的靜態(tài)密碼，只需要使用建行提供的動(dòng)態(tài)口令卡，并按照提示進(jìn)行操作即可，過程簡(jiǎn)單，使用方便。（4）量身定做、便于攜帶建行使用的動(dòng)態(tài)口令卡，是專門針對(duì)客戶的需要設(shè)計(jì)開發(fā)的，外表和銀行卡一樣大小，便于客戶攜帶。27 / 37 動(dòng)態(tài)口令客戶操作流程（一）動(dòng)態(tài)口令卡客戶首次登錄個(gè)人網(wǎng)銀如果您已在建行辦理個(gè)人網(wǎng)上銀行業(yè)務(wù)簽約，預(yù)留手機(jī)號(hào)碼，并申領(lǐng)動(dòng)態(tài)口令卡的客戶。如圖： 輸入在柜臺(tái)開通網(wǎng)銀時(shí)的“證件號(hào)碼”和“姓名”，點(diǎn)擊登錄。設(shè)置網(wǎng)銀登錄密碼并進(jìn)行確認(rèn)。輸入簽約手機(jī)時(shí)接收到的短信驗(yàn)證碼，選擇證書存儲(chǔ)介質(zhì)和證書設(shè)置。證書下載完畢，您需要記錄證書編號(hào)用于網(wǎng)銀資金交易，證書超過有效期需要更換證書。 動(dòng)態(tài)口令卡客戶進(jìn)行網(wǎng)銀資金交易（以活期轉(zhuǎn)賬為例）登錄個(gè)人網(wǎng)銀，選擇“轉(zhuǎn)賬匯款”項(xiàng)下的“活期轉(zhuǎn)賬匯款”，輸入收款人姓名、收款人賬號(hào)和轉(zhuǎn)賬金額，點(diǎn)擊下一步。 活期轉(zhuǎn)賬交易成功。（1）在柜臺(tái)申領(lǐng)及補(bǔ)辦新的動(dòng)態(tài)口令卡