手機銀行安全評估分析

【摘要】 隨著互聯(lián)網(wǎng)大規(guī)模發(fā)展，網(wǎng)上銀行相對傳統(tǒng)柜面方式，不僅降低業(yè)務成本還減少客戶的排隊時間，所以備受各銀行的重視。

【關鍵字】 手機銀行安全

一、手機銀行簡介

手機銀行也可稱為移動銀行（Mobile Banking Service）， 是利用移動通信網(wǎng)絡及終端辦理相關銀行業(yè)務的簡稱。

手機銀行是各個商業(yè)銀行推出的新一代產(chǎn)品，它是網(wǎng)上銀行的延伸，又是一種方便銀行用戶的金融業(yè)務服務方式，有“電子錢包”之稱。他不僅真正的實現(xiàn)了銀行的24 小時服務，延長了服務時間；還擴大了銀行的服務范圍，大力拓展了銀行的中間業(yè)務。手機銀行的實現(xiàn)方式有很多種，常見的有SMS、STK、WAP、客戶端（安卓，iphnoe 等）。

二、手機銀行的分類

目前手機銀行主要分為以下幾類：一是SMS 方式。它主要有點就是技術(shù)實現(xiàn)簡單，并且適用的范圍光，幾乎所有手機都可以。但是最大的缺點就是業(yè)務輸入麻煩，并且及其不安全。二是STK 方式。這種方式改變了上述的危險，它內(nèi)置了銀行的密鑰，提高了安全級別。但是這種方式需要換卡， 所以業(yè)務擴展不方便。三是WAP 方式。該方式設計簡單， 兼容性好。但是界面過于簡單，并且交互性差。四是客戶端方式。是這幾種方式中稍好的，它采用了圖形界面，簡單方便，并且安全級別高，是目前主要采用的方式。但是缺點就是必須使用智能手機，并且對帶寬要求也高。

三、手機銀行的主要策略

1、自助銀行。通過手機銀行的自助銀行這個電子渠道幫你免受排隊之苦。它還能確保及時交易，當無法上網(wǎng)或遭遇銀行座機占線時，開通了手機銀行的你就能真正感受到開通了手機銀行后的方便與快捷。2、遠程支付。遠程支付是指用戶利用手機，基于移動通訊網(wǎng)絡，通過短信、移動夢網(wǎng)、手機互聯(lián)網(wǎng)、手機SIM 卡等完成的支付。包括點卡充值、機票購買、電話繳費、支付寶線下付款等業(yè)務。3、現(xiàn)場支付。通過POS 機或讀卡設備等近距離通信方式完成的行為，又叫做近場支付。包括的主要是商場pos 消費等業(yè)務。

四、手機銀行的評估介紹

手機安全評估服務從多個層面開展，包括操作系統(tǒng)、應有服務和業(yè)務等；工作內(nèi)容涵蓋很多方面，主要有相關和應用的漏洞掃描、安全配置分析和安全測試等。

4.1 操作系統(tǒng)的安全配置

實現(xiàn)操作系統(tǒng)的安全性原理的過程主要通過遠程漏洞掃描系統(tǒng)和安全配置極限檢查工具進行。安全測試包括的內(nèi)容有安全補丁、用戶管理。安全補丁是指任何系統(tǒng)的漏洞都是通過測試使用發(fā)現(xiàn)然后安裝相應的安全補丁進行修正。通過檢查系統(tǒng)是否安裝了最新的安全補丁，避免存在漏洞的組建對操作系統(tǒng)安全產(chǎn)生威脅。用戶管理是指現(xiàn)在的系統(tǒng)都是多用戶操作，這樣實現(xiàn)了系統(tǒng)多級別管理。但多用戶就會產(chǎn)生更多的安全隱患。檢查系統(tǒng)中是否存在了冗余的用戶，因為用戶越多隱患也就越大，尤其是那些弱口令的用戶。刪除不必要的用戶，為用戶設置復雜強壯的密碼，必要是設計口令策略，強制用戶使用復雜密碼。

4.2 應用服務的安全配置

應用服務的安全行，是通過安全配置郟縣檢查工具和手工方式進行，旨在通過某些技術(shù)來實現(xiàn)應用的安全檢測，測試的內(nèi)容包括有應用組件、運行權(quán)限、其他設置等。

應用組件：很多應用服務會在用戶不知覺的情況下被動安裝了某些組件，往往這些組件是不必要的，并且多余的安裝能帶來很多不安因素。

運行權(quán)限：必須要簡化運行權(quán)限，減少其他權(quán)限對應用服務的管理，進一步避免系統(tǒng)的安全隱患。檢查應用服務運行權(quán)限是否最小化，是否使用了管理員的身份運行引用，避免應用服務產(chǎn)生的安全問題對操作系統(tǒng)造成影響。

4.3 業(yè)務服務端安全測試

業(yè)務服務端安全測試又叫做應用服務端安全測試。該項測試主要通過人工方式進行，包括測試的內(nèi)容有：輸入驗證、身份認證、授權(quán)管理等。1、輸入驗證。進行輸入的驗證是為了進行系統(tǒng)安全輸入。檢查用戶提交給應用程序的數(shù)據(jù)是否經(jīng)過了校驗，校驗規(guī)則是否完善，對非法字符是否進行了阻斷。防止不安全的變量進入SQL 語句，導致SQL 注入等漏洞。2、身份認證。用戶登錄系統(tǒng)必須經(jīng)過身份認證。檢查應用程序中用戶登錄是否符合邏輯，還有確定用戶是否可以繞過認證登錄系統(tǒng)。對于用戶輸入的密碼要進行密碼復雜度的檢查，防止弱口令。提交表單時候，檢查是否有圖形驗證碼，防止暴力提交，進行系統(tǒng)破壞。3、授權(quán)管理。檢查應用程序?qū)τ脩魴?quán)限是否進行了嚴格劃分，同級別用戶間、的權(quán)限和高權(quán)限用戶簡能否越權(quán)訪問。

4.4 應用客戶端安全測試

應用客戶端安全測試主要包括：證書有效性、密碼軟鍵盤、安全策略設置。1、證書有效性。測試客戶端程序是否嚴格檢查服務器端證書信息，防止用戶收到嗅探攻擊后密碼泄漏，或者用戶遭受釣魚攻擊。2、密碼軟鍵盤。測試客戶端程序在密碼等輸入框使用軟鍵盤，防止手機被安裝可疑程序后，密碼被記錄，使系統(tǒng)遭受安全威脅。

參 考 文 獻

[1] 蒲石.web 安全滲透測試研究過[D] 西安：西安電子科技大學； 2010