手機銀行安全評估分析

【摘要】 隨著互聯網大規模發展，網上銀行相對傳統柜面方式，不僅降低業務成本還減少客戶的排隊時間，所以備受各銀行的重視。

【關鍵字】 手機銀行安全

一、手機銀行簡介

手機銀行也可稱為移動銀行（Mobile Banking Service）， 是利用移動通信網絡及終端辦理相關銀行業務的簡稱。

手機銀行是各個商業銀行推出的新一代產品，它是網上銀行的延伸，又是一種方便銀行用戶的金融業務服務方式，有“電子錢包”之稱。他不僅真正的實現了銀行的24 小時服務，延長了服務時間；還擴大了銀行的服務范圍，大力拓展了銀行的中間業務。手機銀行的實現方式有很多種，常見的有SMS、STK、WAP、客戶端（安卓，iphnoe 等）。

二、手機銀行的分類

目前手機銀行主要分為以下幾類：一是SMS 方式。它主要有點就是技術實現簡單，并且適用的范圍光，幾乎所有手機都可以。但是最大的缺點就是業務輸入麻煩，并且及其不安全。二是STK 方式。這種方式改變了上述的危險，它內置了銀行的密鑰，提高了安全級別。但是這種方式需要換卡， 所以業務擴展不方便。三是WAP 方式。該方式設計簡單， 兼容性好。但是界面過于簡單，并且交互性差。四是客戶端方式。是這幾種方式中稍好的，它采用了圖形界面，簡單方便，并且安全級別高，是目前主要采用的方式。但是缺點就是必須使用智能手機，并且對帶寬要求也高。

三、手機銀行的主要策略

1、自助銀行。通過手機銀行的自助銀行這個電子渠道幫你免受排隊之苦。它還能確保及時交易，當無法上網或遭遇銀行座機占線時，開通了手機銀行的你就能真正感受到開通了手機銀行后的方便與快捷。2、遠程支付。遠程支付是指用戶利用手機，基于移動通訊網絡，通過短信、移動夢網、手機互聯網、手機SIM 卡等完成的支付。包括點卡充值、機票購買、電話繳費、支付寶線下付款等業務。3、現場支付。通過POS 機或讀卡設備等近距離通信方式完成的行為，又叫做近場支付。包括的主要是商場pos 消費等業務。

四、手機銀行的評估介紹

手機安全評估服務從多個層面開展，包括操作系統、應有服務和業務等；工作內容涵蓋很多方面，主要有相關和應用的漏洞掃描、安全配置分析和安全測試等。

4.1 操作系統的安全配置

實現操作系統的安全性原理的過程主要通過遠程漏洞掃描系統和安全配置極限檢查工具進行。安全測試包括的內容有安全補丁、用戶管理。安全補丁是指任何系統的漏洞都是通過測試使用發現然后安裝相應的安全補丁進行修正。通過檢查系統是否安裝了最新的安全補丁，避免存在漏洞的組建對操作系統安全產生威脅。用戶管理是指現在的系統都是多用戶操作，這樣實現了系統多級別管理。但多用戶就會產生更多的安全隱患。檢查系統中是否存在了冗余的用戶，因為用戶越多隱患也就越大，尤其是那些弱口令的用戶。刪除不必要的用戶，為用戶設置復雜強壯的密碼，必要是設計口令策略，強制用戶使用復雜密碼。

4.2 應用服務的安全配置

應用服務的安全行，是通過安全配置郟縣檢查工具和手工方式進行，旨在通過某些技術來實現應用的安全檢測，測試的內容包括有應用組件、運行權限、其他設置等。

應用組件：很多應用服務會在用戶不知覺的情況下被動安裝了某些組件，往往這些組件是不必要的，并且多余的安裝能帶來很多不安因素。

運行權限：必須要簡化運行權限，減少其他權限對應用服務的管理，進一步避免系統的安全隱患。檢查應用服務運行權限是否最小化，是否使用了管理員的身份運行引用，避免應用服務產生的安全問題對操作系統造成影響。

4.3 業務服務端安全測試

業務服務端安全測試又叫做應用服務端安全測試。該項測試主要通過人工方式進行，包括測試的內容有：輸入驗證、身份認證、授權管理等。1、輸入驗證。進行輸入的驗證是為了進行系統安全輸入。檢查用戶提交給應用程序的數據是否經過了校驗，校驗規則是否完善，對非法字符是否進行了阻斷。防止不安全的變量進入SQL 語句，導致SQL 注入等漏洞。2、身份認證。用戶登錄系統必須經過身份認證。檢查應用程序中用戶登錄是否符合邏輯，還有確定用戶是否可以繞過認證登錄系統。對于用戶輸入的密碼要進行密碼復雜度的檢查，防止弱口令。提交表單時候，檢查是否有圖形驗證碼，防止暴力提交，進行系統破壞。3、授權管理。檢查應用程序對用戶權限是否進行了嚴格劃分，同級別用戶間、的權限和高權限用戶簡能否越權訪問。

4.4 應用客戶端安全測試

應用客戶端安全測試主要包括：證書有效性、密碼軟鍵盤、安全策略設置。1、證書有效性。測試客戶端程序是否嚴格檢查服務器端證書信息，防止用戶收到嗅探攻擊后密碼泄漏，或者用戶遭受釣魚攻擊。2、密碼軟鍵盤。測試客戶端程序在密碼等輸入框使用軟鍵盤，防止手機被安裝可疑程序后，密碼被記錄，使系統遭受安全威脅。

參 考 文 獻

[1] 蒲石.web 安全滲透測試研究過[D] 西安：西安電子科技大學； 2010