2019-07-22 來源:安全付 作者:Memory
相對于互聯網具有的發散性和強大的交互性特點,電話銀行支付的產品開發設計理念則是建立在“封閉系統”之上,因此,電話支付是獨立、封閉的語音系統;同時,電話是專線系統,是點對點的數據傳輸,其安全性更有保證。盡管如此,電話支付仍然存在一定的安全性問題,同樣需要采取一定的安全措施來防范這些問題,降低風險。
1.電話支付存在的安全性問題
(1)客戶缺乏安全意識。客戶對電話銀行交易的安全了解較少,在缺乏安全機制或措施的環境中進行電話支付,導致登錄賬號和密碼被竊取,資金波劃走的情況,如利用公用電話支付等。
(2)電話的鍵盤存在安全隱患。我們平時使用的P0S、ATM等交易終端輸人鍵盤,都是采用通過中國人民銀行嚴格安全檢測的加密建盤模式,每個數字鍵在操作時所發出的聲音頻率和電子輻射都是一樣的。而我們日常使用的手機、固定電話和小靈通,其數字輸人鍵盤都沒有經過加密處理,也沒有經過安全測試和檢驗。在操作的時候,每個數字鍵所發出聲音的頻率大小不一樣,電子輻射也不一樣,容易被人通過聲音接受設備或電子輻射接收設備,輕易地辨別出操作的是哪一個數字鍵,這就造成了電話支付在商業或公共場合的應用中,存在極大的安全隱患。
(3)密碼簡單,易被破解。由于輸人字母不便,電話銀行的密碼相對簡單,在先進設備和技術下,其被破解的難度也大打折扣。另外,由于電話銀行和網絡銀行的關聯性,用戶往往用網絡銀行的密碼兼當電話銀行的密碼,使黑客在知曉銀行卡密碼后能輕松盜取。
(4)易受木馬程序攻擊。如果客戶使用智能手機進行電話支付,犯罪分子可以通過電腦或手機木馬程序盜取密碼,面智能手機終端的殺毒、防毒工作還遠遠不及智能手機的普及速度,這顯然制造了一個漏洞。
(5) 客戶不能及時獲取資金變動情況。除非用戶辦理相關業務,否則使用電話銀行支付后,銀行是不會對用戶的資金變動情況與用戶進行主動溝通的,這大大降低了用戶追回損失的可能性。
2.電話支付的安全性保障措施
如何才能使簡便、快捷的電話支付更加安全呢?下面將從幾個方面進行探討。
(1)客戶應采取的安全防護措施。客戶要提高自身的安全意識,不給犯罪分子任何可乘之機。保護好自己的卡號、密碼等重要信息。
①盡量在安全的環境F進行電話支付。要盡量避免使用公用電話等公共通信設備;避免使用免提電話,以防他人偷聽。
②客戶在申請電話銀行支付時,最好綁定一個特定的電話。在這種情況下,即使不法分子偷聽到了銀行卡的卡號和密碼,也不能對客戶電話銀行的賬戶進行任何操作。因為電話銀行支付必須要通過用戶綁定的電話進行支付,也就是說賬號、密碼以及綁定電話缺一不可,其他人是無法盜用的。這就類似于網上支付時的電子口令卡等手段,同密碼--起為支付提供雙保險,手機號碼、密碼的雙重驗證保證了電話支付的安全性。
③設置科學的密碼,并且使用與其他支付環境盡量不同的密碼。客戶在設置電話銀行密碼時,不要使用過于簡單的數字(如6個6, 6個8等),不要使用自己的出生日期、電話號碼等容易被人猜中的數字作為密碼;密碼最好定期進行修改。另外,客戶在使用ATM、P0S、網上銀行以及電話銀行時,盡量使用不同的密碼。這樣,就算不法分子通過偷聽設備等手段獲得了客戶的銀行卡卡號和電話銀行的支付密碼,并且復制了銀行卡,也無法得到交易密碼。
④注意防治木馬病毒。如果客戶使用的是智能手機,那么就要注意這個高科技產物的安全性了。由于現在智能手機已經逐漸地向掌上電腦的方向發展,其功能不斷完善,一方面為客戶提供了更多的功能,但另一方面也為木馬病毒提供了生存的土壤。
(2)銀行應采取的防范措施。在電話支付過程中,銀行有責任為客戶提供一個安全的支付環境,這一方面需要嚴格的管理措施,另一方面也需要-定的技術支持。
中國銀監會2007年11月28日下發通知,對商業銀行電話銀行業務發出風險提示。銀監會在《關于商業銀行電話銀行業務風險提示的通知》中對商業銀行提出了幾項要求:
①商業銀行應面向客戶開展各種形式的電話銀行風險教育和安全提示,明示電話銀行業務操作應注意的各類安全事項,幫助客戶培養良好的密碼設置習慣和密碼保護意識;
②商業銀行應積極開展電話銀行轉賬功能風險評估和分類,依據收款賬戶的潛在風險高低,相應設置不同的轉賬額度和次數限制;
③對應用銀行卡卡號和密碼相組合完成登錄的電話銀行業務,商業銀行應在客戶使用潛在風險較高的轉賬功能時,增加其他身份信息檢驗要求,如銀行卡cVV碼、身份證信息或其他預注冊信息等;
④商業銀行應嚴格控制規定時間內同-卡號、賬號、密碼等登錄信息在電話銀行操作中的輸人次數,避免無次數限制的允許輸入錯誤登錄信息,嚴格防范犯罪分子采用試探手段獲取密碼信息;
⑤商業銀行應建立電話銀行異常交易監測預警機制。
除此之外,銀行也應該作好其客戶關系管理。銀行有責任及時通知客戶的賬戶支出情況,一旦發生資金變動,就應當及時通知客戶,不過這需要客戶事先綁定電話。
電話銀行計算機系統主要處理客戶通過電話提出的各種服務請求,必須滿足較高的安全性要求,特別是數據的正確性,保密性和完整性。
①保證數據庫安全。數據庫是所有計算機應用系統的核心。數據庫中保存了客戶的各種相關數據,- -旦數據庫遭到篡改或破壞,會給銀行和客戶的利益帶來嚴重的損害,甚至使整個電子銀行陷人癱瘓,引起十分嚴重的后果。在保證數據庫安全方面采用了以下技術措施:
A校驗數據的真實性、合法性。電話銀行計算機系統所有客戶在進人系統操作之前,必須經過驗證;用戶密碼全部采用密文方式保存在數據庫中,一旦發生驗證失敗,系統要作出安全處理。另外,為了防止惡意破譯密碼,系統中還設置了驗證錯誤次數的限制,如果超過次數,禁止客戶再試。
B.進行訪問控制。對不同類別的客戶采用不同的標記。例如,將注冊客戶與非注冊客戶用不同的標記來區分對待,他們的操作權限也根據標記的不同而有所差異。
C.保護數據的完整性。這里數據的完整性保護包括存儲數據的完整性保護和傳輸數據的完整性保護。
對于存儲數據的完整性保護,采用對關鍵數據進行MAC ( message authenticationcode)校驗的方式。關鍵數據包括:客戶號、客戶密碼、證件號碼、賬號、更新日期等。將這些數據組成一個字符串,通過調用函數,生成MAC,在保存數據的同時,將MAC也保存下來。在需要進行關鍵數據操作時,首先需要校驗MAC,如果MAC不正確,禁止該操作,MAC校驗通過后,才能夠繼續進行操作。如果關鍵數據進行更改后,MAC也需要進行重新計算,更新到數據庫中。
對于傳輸數據的完整性保護主要包括兩部分: IVR (交互語音應答系統)交易平臺的數據交互和交易平臺與后臺業務系統的數據交互。這兩種數據交互方式都采用MAC校驗來保證數據傳輸的完整性。
②保證網絡安全。網絡安全是信息安全的基礎,也是銀行數據安全、系統安全的前提條件。客戶的基本信息和賬戶資料都存放在銀行的數據庫中,面數據庫與銀行系統卻是通過網絡連接起來的,不論是銀行內部網絡還是銀行外部網絡,都可能存在著對電話銀行系統的威脅。保證電話銀行系統的網絡安全可以采用以下措施:
A.數據加密。網絡中為了保證數據的安全傳輸,首要的就是對數據加密。數據加密是利用數據加密算法來實現數據保密的方法和技術。與數據加密緊密相關的就是密鑰管理機制,它主要考慮密鑰的產生、分發和存儲的安全。
B.信息認證。信息認證是信息安全的另一個重要方面,它要驗證信息是否的確來自授權方。網絡中互不認識的雙方要進行通信,必須事先取得權威認證機構的身份證書,這樣才能取得對方的信任。
C.信息的完整性保護。信息在網絡中傳輸可能會被篡改、重播或遲延。為了防止這些情況的發生,就要采取信息的完整性控制。序號機制、信息識別碼和數字簽名都可以有效地用于數據完整性控制。
D.訪問控制。與數據庫中的訪問控制類似,給每個客戶賦予適當的操作和訪問權限,目的是為了拒絕非法訪問和使用網絡資源,以保障網絡系統的安全。每個網絡資源(如各種服務器、文件系統和數據庫等)都有訪問控制表( ACL),通過ACL規定客戶的訪問權限。
E.路由控制。路由控制一般由網絡服務商提供,使信息通過安全可靠的子網、中繼網或節點進行傳送。當發現或懷疑信息受到監視或非法處理時,就重新建立路由。正確的路由控制可以避免使敏感數據進人危險的節點和鏈路。
