1、网银安全检测分类/ 说明 可参与检测情况说明检测方法代码安全 (主要由软件开发商进行)strcat、wcscat、strncat、wcsncat、strcpy、wcscpy、strncpy、 wcsncpy、WideCharToMultiByte 等;ActiveX 控件安全:利用COMRaider。第三方安全检测 可以作为中立第三方进行安全检测,具有丰富的相关经验抗逆向、反汇编等 Peid 查看是否加壳;是否可以使用 VMUnpacker 等通用脱壳工具脱壳;是否必须手工脱壳临时文件(如 cookies)安全防击键记录 KBHookTest 工具基本要求(最低安全要求)防信息篡改 是否具有安
2、全输入控件(b/s:enumformval、c/s:spy+);是否采用回传交易确认图片;是否采用短信交易确认和正确实现二代 usb key;进程保护 利用 icesword、snipesword查看 ssdt 是否有zwopenprocess 等 hook防调试 直接利用 od 或 windbg 查看是否退出客户端程序增强要求(网银安全规范下发之日起三年内必须达到)防屏幕录像 查看是否屏蔽截屏键或者利用 CaptureAVI(gdi 方式)禁止明文密码 是否明文显示密码;是否使用同一特殊字符(*、#等)密码复杂度 至少六位、简单密码提示强制修改初始密码 首次登录强制修改初始密码安全技术规范客
3、户端安全密码保护 基本要求静态密码防暴力破解(图片附加 数字、字母、随机、防自动识别码等)软键盘随机布局 密码的加密密钥安全客户密码类别提醒 提醒客户区分转帐密码和其它密码辅助安全设备(usb key 等)增强要求输入后立即加密 10 次以下登录失败锁定退出浏览器等立即终止会话基本要求退出提示移除usb key 等安全设备登录控制增强要求 屏蔽重复登录 屏蔽 ctrl+n 检测 js 中event.keycode 等于 78第三方检测 部分可以安全环境 芯片安全 Cos 安全 私钥安全 随机数安全 密钥文件安全 状态机复位 Pin 码密钥安全 算法安全 Usb key 驱动安全Usb key
4、后门 Usb key 旁路攻击基本要求Usb key 外部环境安全防远程劫持 按键确认 Usb key增强要求签名数据显示 显示应该与签名数据联动私钥密码保护 客户端生成公私密钥专用辅助安全设备安全文件证书(基本要求(仅对 c/s)私钥导出身份认 证支持私钥不可导出私钥备份强制移动设备增强要求 短信提示等第二通道第三方中立机构检测算法安全 不低于六位 防物理手段攻击 抗旁路攻击 基本要求外部环境 挑战应答口令 挑战应答并不能防范中间人攻击双因素认证 Pin 码保护 安全存储 pin 和种子Otp 令牌增强要求Pin 输入错误次数低于六次口令长度不低于六位 i随机口令坐标 密码卡有效期 使用涂层
5、 动态密码卡基本要求客户唯一绑定 客户端不便检测可靠开通、更改 密码动态生成,长度不低于六位有效时长低于十分钟手机短信关键数据和确认码同时发送防记录和重放 其它专用辅助安全设备指纹识别(未实际研究)禁止远程采用 算法安全 协议安全 密钥长度 网络通信安全通信协议 基本要求防重放攻击等 双向认证 保持安全连接 空闲结束会话 基本要求根证书安全 唯一 ip、mac 安全认证增强要求Ca 有效性 合理部署 访问控制 网络设备管理规范安全审计和日志 网络架构安全基本要求入侵防范 敏感客户参数修改历史登录信息 禁止提供不必要数据屏蔽身份证信息 详细交易记录 帐户信息变动提醒基本要求防钓鱼 金额限制 不便检测系统设计安全增强要求线索排查等功能 资源控制 不便检测编码规范约束 不便检测会话安全 源代码管理 不便检测防止敏感信息泄露防止 sql 注入 防止 xss Web 应用安全基本要求防 dos/ddos 身份鉴别访问控制安全审计日志管理基本要求灾难备份和恢复监控软件保证日志一致性和完整性网银服务器端安全(检测需授权)数据安全增强要求保护审计进程安全管理规范 业务运作安全规范
