第一篇:网银安全防范措施
安全防控-个人网银
中国银行电子银行岗位资格认证考试试题库
安全防控(个人网银)
一、不定项选择题
1、电子银行外部欺诈风险防范策略包括:(ABC) A 事前防范 B 事中控制 C 事后处置 D 技术加固
2、以下哪些交易支持通过“动态口令+手机交易码”方式进行认证:(BCD) A 投资理财 B 跨行转账 C 行内转账 D 网上支付
3、我行网银外部欺诈事件原因包括:(ABC) A 犯罪分子猖獗 B 客户风险防范意识薄弱 C 第三方运营商运营不规范 D 银行未履行告知义务
4、以下属于网上银行安全防范措施的是:(ABCD) A 中银e信短信提醒 B 预留欢迎信息 C 交易限额控制
D 安全控件
5、对客户进行安全教育可以消除银行与客户间的信息不对称,提高客户正确使
1 用网银的安全意识。我行已采取客户安全教育的渠道包括:(ABCD) A 网银全局消息 B 门户网站 C 官方微博 D 手机短信
6、客户使用网上银行过程中暂时离开或完成电子银行交易后,应该怎么办?(ABC )
A、 及时退出网上银行 B、 拔下USBKey数字证书 C、 清除遗留的操作记录 D、 等待网上银行自动关闭
7、手机交易码服务是指用手机短信验证的一种交易确认方式。手机交易码与具体转账交易信息绑定,具有交易签名性质,可以进一步保障客户交易和资金安全。这里绑定的转账交易信息指的是(ABC ) A、收款人姓名 B、 账号 C、 金额 D、 付款人姓名
10、客户登录中行网银后,可看到个性化的预留欢迎信息。预留欢迎信息验证的作用是( ABC ) A 识别真正的银行网站 B 防范不法分子的网络诈骗 C 保证购物网站的支付安全 D 只是一段文字而已,无具体意义
2
11、同一客户连续登录验证无效累计( C )次,冻结该客户登录功能,客户须持有效身份证明到银行柜台办理解锁。 A. 5次 B. 10次 C. 15次 D. 20次
13、安全认证工具“中银e盾”数字证书(USBKey)的有效期为( D )。 A. 半年 B. 3年 C. 4年 D. 5年
14. 在进行网上支付操作时,应注意:(ABCD)
A 不在不明网站上进行网上购物,访问时注意核对网址。 B 注意核对支付信息,防止误付、错付。 C 不在网吧等公共场所的计算机上使用网上支付。 D 采用无规律的字母、数字组合,提高支付密码安全性。
15. 下列操作中符合网银操作安全习惯的为( D )。 A. 使用本人身份证号、生日等容易记的信息做为密码 B. 在网吧、图书馆等公共场所使用网上银行
C. 操作结束后直接点击网上银行页面右上角的“×”关闭浏览器结束使用 D. 在任何情况下,坚持账号和密码自己保管,不透漏给任何人
16、当客户连续( B )次输错数字安全证书密码,系统将锁定该数字安全证书。 A.3次 B.5次 C.10次
3 D.15次
17、《中国银行股份有限公司涉案账户网上银行及手机银行信息查询工作流程》(以下简称“信息查询工作流程”)中涉及的部门包括(BC) A 运营服务部 B 保卫部 C 电子银行部 D 信息科技部
18、 根据《信息查询工作流程》,一级分行电子银行部直接受理来哪里的网银及手机银行信息查询需求(B) A 公安局
B 一级分行保卫部 C 总行保卫部 D 信息科技部
19、根据《信息查询工作流程》的规定,总行及一级分行电子银行部可查询的信息包括(AC) A 手机银行 B ATM机 C 网上银行 D 柜台交易
20、客户端身份认证是保障整个电子银行系统安全的基础。常见的身份认证技术一般基于哪些信息(ABCD) A 用户知道的 (如静态口令,密码) B 用户拥有的(如动态口令牌、USBKEY) C 用户具有的(如指纹、语音、面部识别) D 计算机硬件信息(MAC 地址,CPU、硬盘信息) 4
21、新一代USBKey数字安全证书的特点是(ABC) A 集成了液晶显示和按键确认功能 B 预植证书,首次使用无需下载 C 无需安装驱动程序 D 需要安装电池
23、我行电子银行安全管理策略包括(ABC) A 全流程控制 B 差异化管理 C 实施/储备机制
24、手机交易码服务是客户在使用E-TOKEN进行交易确认过程中,用手机短信配合验证的一种交易确认方式。客户需在()开通手机交易码功能后,在进行向第三方转账和网上支付类交易时,将收到()位手机验证码。(B) A 网银自助 6位 B 网点柜台 6位 C 网银自助 5位 D 网点柜台 5位
25、输错USBKey密码被锁定后,客户需要进行哪些操作(ABCD) A 对USBKey进行初始化 B 重新设置USBKey密码
C 到柜台进行证书补发操作,得到参考号和授权码 D 重新下载USBKey证书
27、下列答案哪些属于中行网银的安全机制?(ABCD) A 网银登录防护、重要交易防护、手机验证码防护 B安全控件、关键信息屏蔽、交易限额设置、
5 C中银e信、预留欢迎信息、登入记录、登录保护、 D会话超时控制、安全退出
28、安全控件有什么作用?(AC) A 防范恶意程序的攻击 B 警示假冒钓鱼网站
C 保护网上银行用户的信息安全 D 查杀客户电脑上的木马病毒
29、假冒网站(钓鱼网站)的说法正确的有(ABCD) A 假冒网站的网址与真网站网址较为接近 B 假冒网站的页面形式及内容与真网站较为相似 C 假冒网站也被称为“钓鱼网站”
D 假冒网站的目的在于骗取他人网银用户名、口令、帐号等敏感信息
30、“预留欢迎信息”有什么作用?(ABCD) A 主要用于防范恶意程序的攻击,如木马程序等 B 是客户辨别真假网站的方式之一
C 客户设置预留欢迎信息后,每次登录时该信息将显示在欢迎页面上
D 如客户设置了预留欢迎信息,但登录时没有显示该信息,或信息与预留的内容不一致,说明该网站不是中行网站
31、以下做法正确的是?(ABC) A 不在网吧等公共场所登录网银
B 不使用邮件或其它网站上的链接登录网上银行,以免被假网站欺骗 C 不将自己的网银用户名、密码、动态口令等信息告诉银行员工 D 个人电脑没必要及时更新Windows补丁
32、下列哪些情况应引起客户高度重视?(ABCD)
6 A 银行通过邮件、短信、电话等方式要求客户到指定的陌生网址修改密码 B 银行打电话通知客户中奖,并要求客户在领取奖金前先通过网银向指定账户支付税金、邮费等
C 客户点击邮件中的链接登录中行网站,但发现网址并非。(B) A. 正确 B. 错误
6、为加强客户网银开户风险提示,柜员为客户开通网银服务时应让客户阅知相关风险提示内容。(A) A. 正确 B. 错误
7、客户可通过个人网银自助添加定向收款人账户。(B) A. 正确 B. 错误
8、我行推出的二代USBKey可同时应用于网上银行和手机银行。(B) A. 正确 B. 错误
9、我行网上银行/手机银行案件处置工作坚持“预防为主、快速反应、防查并举、打击犯罪、保障安全”的原则。(A) A. 正确 B. 错误
10、总行电子银行部、一级分行电子银行部在受理保卫部门网银/手机银行信息 14 查询申请时,可查询除网银/手机银行外的交易信息。(B) A. 正确 B. 错误
11、电子银行涉案客户应急止付处置工作组包括电子银行部、保卫部、个金部、客服中心等部门。(A) A. 正确 B. 错误
12、电子银行信息查询工作流程工作组中涉及的部门是保卫部及电子银行部。(A)
A. 正确 B. 错误
13、客户可设置使用手机交易码服务的触发金额下限。设置后转账及支付类交易高于该限额才需短信验证,低于该限额的交易可直接用E-TOKEN完成交易认证。(A) A、正确 B、错误
15、网银登录用户名用于用户初次登录网银,用户首次登录网银后必须重新设定用户名和登录密码。( A ) A. 正确 B. 错误
16、手机交易码可以在客户端自助开通。(B) A、正确 B、错误
17、我行及公安、司法、人行、银监会等单位不会向客户索要网银及手机银行登录密码及动态口令。( A ) A. 正确 B. 错误
18、中行网银密码可以设置8到30位长度,较长的密码的安全系数相对较高。(B)
15 A、正确 B、错误
19、登录个人网上银行理财版、贵宾版,需同时输入网上银行用户名(6-20位数字和英文字母)、静态密码(8-20位数字和英文字母)和中银e令(即动态口令牌)随机生成的6位数字的动态口令。(B) A、正确 B、错误
20、E-TOKEN又称动态口令牌,或称中银E令,是我行为增强电子银行交易的安全而采取的第二因子认证工具。针对个人客户,一个客户号仅能绑定一个E-TOKEN;针对企业客户,一个客户号下每个操作员仅能绑定一个E-TOKEN。( A ) A. 正确 B. 错误
21、电子支付案件涉及客户开户行、商户所属分行及外部第三方支付平台及商户,应建立案件协查沟通机制。各商户所在一级分行应与第三方支付公司密切合作,明确电子支付案件防查工作的专门联系人,并将本行及合作第三方支付公司的案件防查联系人名单报送总行电子银行部备案。( A ) A. 正确 B. 错误
22、各一级分行电子银行部门在受理网上欺诈客户投诉时,应积极引导客户提供案件发生过程的准确信息,并根据客户提供的详细信息,各行应在接到客户投诉当日填写《中国银行电子支付案情报告表》(客户端),发送商户所在一级分行,并抄送总行电子银行部。( A ) A. 正确 B. 错误
23、涉案商户所属一级分行电子银行部门收到客户所属一级分行发送的《中国银行电子支付案情报告表》(客户端),应及时联系商户,并联合科技部门通过商户系统中留存的订单、支付相关信息,结合我行查询结果详细分析案情,在收到客户端案情报告后3个工作日内完成案件类型与案件原因分析,提出相应的解决措施和建议,并向客户所在一级分行发送案件分析报告。( A )
16 A. 正确 B. 错误
24、一个客户能够申请且绑定多个认证工具,手机银行认证工具与网上银行认证工具可以重复申请,分别绑定。( B ) A. 正确 B. 错误
25、中国银行利用电子证书令牌加密存储用户数字证书及相关密钥,从根本上避免数字证书被复制盗用,并通过网上银行用户名、密码、电子证书令牌三重校验,对客户的身份进行严格的认证,确保用户身份和中国银行网上银行网站身份的合法性。( A ) A. 正确 B. 错误
26、客户在设置网上银行、手机银行密码时,密码字符组合尽量复杂。使用数字和字母混排的、无规律性的字符串作为密码将有利于提高密码的安全系数,才会更安全。(A) A. 正确 B. 错误
29、我行电子银行安全管理策略包括:全流程控制、差异化管理、实施/储备机制。(A)
A. 正确 B. 错误
30、安全控件主要用于防范恶意程序的攻击,如木马程序等,它通过切断键盘操作与木马病毒之间的通道,来更好地保护网上银行用户的信息安全。中国银行网上银行所有密码和动态口令输入区域都设置了安全控件保护,有效防范木马程序窃取密码,大大提高了交易安全性。(A) A. 正确 B. 错误
31、我行的网上银行安全控件适用于各版本的32/64位Windows操作系统和IE浏览器,包括Windows 2000、XP(32位)和 Vista(32位)。(A)
17 A. 正确 B. 错误
32、预留信息验证是中国银行为帮助客户有效识别正版银行网站、防范不法分子利用假网站进行网上诈骗的一项服务。当客户登录中国银行电子银行或进行网上购物支付时,网页上会自动显示客户预留的信息,以便客户验证是否登录了真实的中国银行网站。(A) A. 正确 B. 错误
33、预留验证信息内容可以是任意的汉字、英文字母或符号,长度不超过60个汉字。(B)
A. 正确 B. 错误
34、手机交易码服务是客户在使用中银e令进行交易确认过程中,用手机短信配合验证的一种交易确认方式。当客户进行向第三方转账、自助缴费、网上支付、密码修改等操作时,将收到手机交易码短信,可以进一步保证客户交易和资金安全。(A) A. 正确 B. 错误
38、客户来我行投诉欺诈事件,因为主要原因是客户自身不小心,我行无需进行任何处置,仅需建议客户报警。(B) A. 正确 B. 错误
39、手机银行客户端软件可以很方便的在任意软件市场上下载。(B) A. 正确 B. 错误
40、USBKEY的静态密码只能尝试15次,否则只能去柜台解锁。(B) A. 正确 B. 错误
41、我行不应向外部客户透露内部欺诈处置流程及工作进度。(A) A. 正确 B. 错误
18
42、客户在进行快捷支付时,仅适用手机交易码确认交易。(A) A. 正确 B. 错误
43、手机交易码适用于通过中银E令进行交易认证的网银理财版和贵宾版客户。(A)
A. 正确 B. 错误
44、手机交易码对于以我行网银升级或动态口令过期诱导客户登录假冒网站的欺诈行为有良好的防控能力,因为客户在收到手机交易码短信时就会明白对方在将自己账户内的资金转出。只要客户不再配合输入手机交易码,其账户资金就是安全的。(A) A. 正确 B. 错误
45、中银e信为客户提供短信提醒服务,通过此服务客户可实现网银多种操作的实时短信提醒。中银e信可以方便客户随时随地了解网上银行变动情况,有效防护网上银行安全。目前,中国银行面向全部客户提供免费的中银e信服务。(A)
A. 正确 B. 错误
46、中国银行个人网上银行查询版、理财版、贵宾版客户均可登录网上银行开通并定制中银e信服务。(A) A. 正确 B. 错误
47、客户可在网银内 “个人设定”菜单项下定制中银e信服务。(B) A. 正确 B. 错误
48、当客户使用中银e盾时,如果中银e盾密码连续输错10次(单日或多日累计),系统将自动锁定该证书,客户需要携带本人有效身份证件到当地中国银行网点办理证书重置,领取证书下载授权码和序列号,并登录中行网站,在网银
19 登录页面右侧点击“CA证书下载”下载新证书。(B) A. 正确 B. 错误
49、中银e盾内置的数字证书有效使用时间为发证后五年。超过有效使用时间后,中银e盾将自动失效。客户需在证书有效期的最后六个月内登录中国银行网站,在中行网银登录页面右侧点击“CA证书下载”更新数字证书。如超过证书有效期,客户需持有效身份证件、中银e盾到柜台办理数字证书更新手续。(B) A. 正确 B. 错误
50、“中银e令”使用安全、方便。一个口令在认证过程中只使用一次,下次认证时则更换使用另一个口令,使不法分子难以仿冒合法用户的身份。(A) A. 正确 B. 错误
51、中银E令密码自动更换周期为90秒。(B) A. 正确 B. 错误
第二篇:安全知识 如何保障网银安全
摘要:保护网银安全我们需要做什么?作为网银用户,网银的安全性不仅仅是银行的责任,作为使用者的我们,身上也担负着保卫网银的责任。让我们从自己做起,保护网银安全。Active X安全控件
中国工商银行的网银安全曾经因为“使用工行网银系统资金被盗”一事倍受网友质疑,不过当时银行在解决问题时曾经提到过:“财产被盗的用户大多都是大众版用户。”而很不幸,大众版又多采用的就是Active X安全控件。除工行外,招商银行、中国农业银行、交通银行的个人版登陆同样采取的是Active X安全控件,也就是说,大部分的银行向非证书认证用户提供的安全手段都是安装安全控件,而不同之处只是安装的方式各有特色。 这种安全技术防止了键盘/消息钩子,而且使通过IE的COM接口获取密码的方法也无能为力,当控件安装完成后用户才能见到网上银行的登陆界面。不过这被公认为最不安全的一种登陆方式,而且由于一些银行将安全技术通过Active X捆绑在了IE上,这给其它操作系统和非IE用户带来了一些不便。
数字证书和USB key
较Active X安全控件而言,相对安全的就是采用数字证书和USB key认证的登陆方式。银行依用户的有效证件,如银行卡号、身份证号码等为依据,生成一个数字证书文件,配合用户自定义的用户名和密码使用以提高安全性。因其成本低,使用方便,因此被众多银行所使用。
USB Key证书就是一种USB接口形式的硬件设备,内置微型智能卡处理器,采用1024位非对称密钥算法对网上数据进行加密、解密和数字签名,确保网上交易的保密性、真实性、完整性和不可否认性。因成本问题和设置上的原因被个别银行采用,并且与数字证书共存仅作为可选项。不过交通银行一样不支持单独的数字证书安全方式,他们提供的是数字证书与USB key共同发挥作用的一种安全认证。
动态软键盘
采用动态软键盘技术初看确实能使攻击者无法截获密码,但是截取密码不仅仅只有接截获键盘记录一种方法,黑客们还可以通过IE的COM获取密码。对于中国建设银行和中国银行,通过IE的COM接口获取的密码框里的内容就是密码,其他大部分采用软键盘技术的网站大都也是这样。中国农业银行曾经也使用过这种安全方式,不过现在已经升级为Active X安全控件。
虽然银行为了保护网银绞尽脑汁,但是仍有财产被盗事件出现,也许,作为用户的我们也应该从自身检讨起?
保护网银安全我们需要做什么?
作为网银用户,网银的安全性不仅仅是银行的责任,作为使用者的我们,身上也担负着保卫网银的责任。让我们从自己做起,保护网银安全。
1、谨防钓鱼网站
其实真正由于银行安全漏洞钱财失窃的事情是少数,更多的人是因为上了钓鱼网站的当才不幸中招。当我们打开银行首页时,可以将正确的网址收藏起来,尽量避免在通过“超链接”进入的银行系统上进行操作。
2、保护好帐号密码
银行卡的帐号和密码是绝对私人所有,不要轻易告诉别人。还有,银行不会通过第三方来转告用户一些事情,当接到陌生的电话或者短信、邮件的时候还需要小心核对。
3、定期查询详细交易
做好自己的交易日志,保证对自己的每一项有记录的交易印象深刻。
4、对杀毒软件的使用
将电脑的防火墙设置最高安全级别,及时升级杀毒软件,避免“网银大盗”的侵入。
5、利用银行提供的各种增值服务
现在很多银行都提供了交易的短信、邮件提醒,用户可以充分利用银行的贴心服务,掌握自己的财务消费状态,反正是免费。
是系统就一定有漏洞,对于银行系统来说也是如此。所以我们也不要埋怨银行的安全系统做的多么不好,只要我们先从自身做起,再加上银行不断升级的安全服务,相信总会有一天“魔高一尺,道高一丈”,毕竟银行背后有千千万万的支持者。
第三篇:如何保证网银安全
网上银行安全技术手段知多少?
网上银行安全技术手段知多少? 只要轻点鼠标就可以缴费、转账、买基金和股票,网上银行拥有的便利使越来越多的人开始尝试使用。然而,网上银行的安全性却始终让不少消费者心存忐忑。为了提高网上银行的安全性 ...
网上银行安全技术手段知多少?
只要轻点鼠标就可以缴费、转账、买基金和股票,网上银行拥有的便利使越来越多的人开始尝试使用。然而,网上银行的安全性却始终让不少消费者心存忐忑。为了提高网上银行的安全性,各大银行可谓费尽心思。那么,银行提供的安全服务措施有哪些?网银用户如何使用?在交易时应该注意些什么?记者为此进行了一番探访。
USBKey安全性较高
现在,很多银行都在采用USBKey数字证书技术,如工商银行的U盾和招商银行的UKEY等。USBKey外形类似于U盘,是一种USB接口的硬件存储设备。使用时,直接将USBKey插入电脑的USB接口上即可,但必须安装相应的支持软件。USBKey便于随身携带,不受重装电脑的影响,能够在不同机器上安全地使用,所以现在大多银行都推荐用户选用。专家介绍说,USBKey内置微型智能卡处理器,能对网上数据进行加密、解密和数字签名。消费者申请了USBKey数字证书之后,所有涉及资金对外转移的网银操作,都必须使用USBKey才能完成,是一种较为完美的安全技术手段。
动态口令牌国际通用
2008年,中国银行将其网银业务全面升级,并在国内首家采用了动态口令牌,其他外资银行如汇丰、花旗等也都使用了动态口令牌。
动态口令牌是一种每隔一定时间就可以自动更新密码的专用硬件。长期以来,客户为自己的银行卡设置的都是静态密码,而且经常使用位数少或有规律的密码,这样的密码容易被犯罪分子破解。
与目前银行多采用的USBKey不同,动态口令牌实现了与电脑的完全物理隔离,无需安装驱动,也不需要记忆密码,使用十分简单。密码每60秒随机更新一次,一次有效,不可重复使用,大大提升了网银的安全,是目前国际上通用的较为先进的网银安全系统。 动态软键盘存漏洞
客户在网上银行进行相关交易时,通常都是通过电脑上的键盘来输入相关卡号和密码。目前,一些网上银行在客户交易时,会自动在电脑屏幕上生成密码软键盘输入器。客户用鼠标在上面直接点击输入相关卡号或密码即可,这就是动态软键盘。使用动态软键盘的好处是木马程序无法监测到用户的密码输入,而且软键盘上的数字是动态显示的,每次登录时数字在软键盘上的位置显示位置不同,可以避免密码被旁边的人窃取。采用动态软键盘技术虽然
能使攻击者无法截获密码,但是黑客可以通过IE浏览器的COM接口获取密码,因此这种技术手段仍存在安全漏洞。
电子口令卡须定期更换
一些银行还推出了电子口令卡,如中国工商银行、中国农业银行等都在使用。电子口令卡相当于一种动态的网银密码,在口令卡上以坐标的形式印有若干字符串,用户在使用网银或电话银行进行对外转账、网上购物、缴费等支付交易时,网银系统就会随机给出一组口令卡坐标,用户可根据坐标从卡片中找到口令并输入网银系统。只有当口令组合输入正确时,用户才能完成相关交易。
专家指出,这种口令组合是动态变化的,使用者每次使用时输入的密码都不一样,交易结束后即失效,从而杜绝不法分子通过窃取客户密码盗窃资金,保障网银的安全。然而,使用口令卡有使用次数的限制,如工商银行的可使用1000次,如果使用完后还想继续使用的话必须到银行更换。
第四篇:多种信息安全服务为网银保驾护航
【行业动态】多种信息安全服务为网银保驾护航
为进一步推动、巩固我国网上银行安全应用,进一步促进完善网银安全风险防控,积极推进“统一的金融安全认证体系”建设,中国金融认证中心向商业银行及各行业用户提供安全可信赖的第三方电子认证服务,同时,也为商业银行提供数字证书预植、“证书保险箱”、防欺诈全球服务器证书、网银病毒专杀工具、网银安全评估以及网银托管等服务。并且通过一线(4008809888)、二线、三线客户服务体系,向用户提供周到、贴心的技术支持服务和客户化开发。
多种信息安全服务进一步扩充了网上银行安全保障措施,为网银发展起到了至关重要的作用。
第五篇:【网银诈骗频发 多家银行下调网银转账限额】
今年以来,各地陆续发生多起网银用户被钓鱼网站诈骗案件。从本月起,有多家银行开始下调网银单笔及每日累计的转账上限,其中中国银行下调比例超过九成,还有一些银行升级了网银安全控件。专家提醒,只要认真核实所登录的银行网址及该银行的服务电话和短信号码,钓鱼网站就很难得逞。
中行近期向使用该行动态口令e-Token的用户发送了短信通知,从3月5日起下调网银转账限额,理财版客户进行行内或跨行转账汇款时,单笔最高限额由每日累计限额100万元、200万元调整到10万元、20万元;贵宾版客户进行行内或跨行转账汇款时,单笔最高限额及每日累计限额由5000万元调到25万元、50万元。
中行同时还新增网上银行手机交易码,即客户在使用用户名、密码、动态口令e-Token向他人转账、电子支付等交易确认时,必须使用手机短信
密码再次验证。
建行也在3月2日发布公告,从当日起调整个人网银盾客户转账类交易单笔限额,单笔限额50万元不变,每日累计交易限额由500万元调整到100万元。
稍早前,农行就调整个人网银盾客户的转账限额,原来客户凭网银盾转账不受单笔和每日累计金额限制,但是从2010年12月10日起调整为:单笔上限100万元,每日累计上限500万元。
除了下调转账限额外,还有多家银行近期对网银安全控件进行升级。
光大银行3月5日升级了个人网银系统,升级后,使用阳光令牌登录个人网银专业版初次进行资金变动类业务时,必须输入系统自动向客户手机发送的6位动态密码进行验证。
兴业银行则在3月8日对证书签名控件进行了升级,当日起,客户进入网上银行指令签名页面后,需更新签名控件以继续操作。该银行还在3月5日推出电子银行统一安全认证体系,将“网银短信保护”升级为“电子银行短信口令”,适用于网上银行、电话银行、手机银行转账汇款等资金变动类业务。