市场信息简报12Word下载.docx

市场信息简报12Word下载.docx

《市场信息简报12Word下载.docx》由会员分享，可在线阅读，更多相关《市场信息简报12Word下载.docx（22页珍藏版）》请在冰点文库上搜索。

随着网银的大量普及，以及木马偷袭、网络钓鱼、黑客攻击等事件……阅读详情

2012年2月ITbrand网上银行品牌排行榜回目录

发布时间：

2012-02-25来源：

eNet硅谷动力

2011年2月25日——ITbrand第14次发布网络银行品牌排行榜。

ITbrand针对全球IT品牌采用专属的品牌价值评估方法计算品牌影响力，并据此定期发布“最佳IT品牌排行榜”。

该评估方法影响IT品牌排名的因素包括：

　　本次ITbrand共包含30多类品牌排行榜（查看详情）

ITbrand网上银行品牌排行榜

排名

品牌

趋势

指数

最新产品

1

中国工商银行

394

中国工商银行网上银行

2

招商银行

330

招商银行网上银行

3

中国建设银行

311

中国建设银行网上银行

4

中国邮政储蓄银行

288

中国邮政储蓄银行网上银行

5

中国农业银行

286

中国农业银行网上银行

6

中国银行

250

中国银行网上银行

7

交通银行

192

交通银行网上银行

8

中国民生银行

153

中国民生银行网上银行

9

中信银行

148

中信银行网上银行

10

兴业银行

144

兴业银行网上银行

11

中国光大银行

137

中国光大银行网上银行

12

浦发银行

111

浦发银行网上银行

13

华夏银行

96

华夏银行网上银行

14

深圳发展银行

90

深圳发展银行网上银行

15

广发银行

73

广发银行网上银行

16

北京银行

66

北京银行网上银行

2011年第二季度网上银行注册用户数达到3.6亿，同比增长47.8%。

不管你用不用，网络银行已经来到了你的、我的身边。

ITbrand作为中国国内品牌风向标，综合调研发布中国首份“中国网络银行品牌排行榜”。

　　中国工商银行位居本期ITbrand网络银行品牌榜第一位。

事实上，中国工商银行也是最早提供网上交易功能的银行之一。

2011年上半年，中国工商银行网银交易已突破1万亿元。

目前中国工商银行还针对性推出了安全性产品，包括普通电子口令卡用户，柜台开通电话提醒功能的电子口令卡用户，以及使用U盾的用户。

同时，工商银行在用户服务方面也一直保持自身的优势，除了便捷的人工自助服务以外，还会及时更新最新的诈骗消息案例供广大民众加以小心等。

　　中国邮政储蓄网上银行本期进入Top3，其业务兴起较晚，因此业务功能相比其他银行要落后一些。

不过近几年，随着电子商务的迅速发展，邮政储蓄对新兴事物的接受也变得快起来。

相继推出的支付宝卡通以及银联卡通等业务得到了业内一致好评。

同时，由于邮政储蓄的网点分布均匀，密集，量大。

相信在功能以及安全不断完善的情况下，邮政储蓄的网上银行定会迅速发展。

　　中国银行于1912年2月成立至今,是中国连续经营百年的银行，但在网络银行领域并没有成为No1，本期ITbrand排名第五。

中行网上银行业务目前分为个人网上银行和企业网上银行。

个人网上银行提供投资、信用卡、资讯等信息服务，企业网上银行目前提供“汇划即时通”、“集团理财”、“银企对接”、“对公账户查询”、“报关即时通”、“境外账户管理”、“代发工资”等产品。

　　招商银行在网银交易方面不算最早的，但绝对是后起之秀。

无论是在功能，安全性，还是服务方面绝对值得一提。

功能方面，招商银行提供了网银，电话以及手机支付功能，全方位满足客户不同需求。

安全方面，招行也有Ukey作大金额交易的安全保证，手机银行可以通过绑定自己的手机来进行支付，安全快捷。

服务方面，招商银行设有7*24小时的服务同时还有在线服务。

美中不足的是，招商银行网点分布不均且量少，对网上银行发展势必产生影响。

　　关于ITbrand：

ITbrand是eNet硅谷动力旗下品牌，是国内领先的IT品牌调研机构。

ITbrand以帮助消费者选购产品为宗旨，深入调研IT品牌实况，精准点评IT品牌优劣，确保品牌排行榜榜的公正性、准确性，因而获得业内外广泛认同。

同时，也帮助了品牌主有效地创造、认知和管理品牌。

该榜单每月发布一次，是中国IT品牌的风向标。

手机支付成2012年网民最期待支付方式字号回目录

2012-02-24来源：

中国信息产业网

调查数据显示，2011年中国网民主要的支付方式有网银和第三方支付，其在用户使用过、最常使用和2012年计划使用三项调查结果的用户比例分别为82.3%、41.5%、39.2%与63.1%、31.8%、35.1%。

此外，表示2012会使用手机上网、手机短信以及手机近端刷卡支付的网民比例增长显著，分别达到34.3%、28.1%和28.3%。

　　目前中国支付行业呈现出以下趋势。

一、网银支付凭借其在传统金融领域建立起的用户规模资源、资金技术实力、企业客户资源以及网点优势，仍然占据着支付领域的首要地位。

二、随着第三方支付平台的功能和服务日渐完善，尤其是安全性及便捷性不断提升，给予用户更为良好的支付体验，在网民中实现快速渗透。

三、随着手机支付方式的推广，支付技术及安全性的不断提高和完善，未来手机支付逐渐成为主要支付方式之一。

　　该报告的调查结果还包括：

　　超过三成网民上网首选打开聊天软件。

调查数据显示：

2011年中国网民在上网时首选打开聊天软件（如QQ、MSN等）的用户比例最高，为34.1%；

其次是浏览门户网站和使用导航网站，所占比例分别为15.9%和10.1%。

据分析原因在于：

经过多年的培育中国网民通过即时通信软件进行沟通和交际的方式已逐渐养成；

即时通信服务具有电话、E-mail无法比拟的优势，比如便利、快捷、便宜、交互性强等特性，不仅满足了网络用户与朋友沟通联系的需求，而且适合企业内部或企业和客户之间的交流。

互联网在网民日常生活中的信息获取、休闲娱乐等需求中也占据着越来越重要的地位。

中国网民的日常生活正逐渐“互联网化”。

　　超过八成参与调查的网民首选通过网页登录微博，手机登录方式增长迅速。

2011年中国网民登录微博常用的方式中，网页登录居于首位，占比高达82%，其次为手机登录，占比达70.9%。

网页登录仍然是微博最主要的登录方式，与此同时，以手机为代表的移动终端满足了用户对于微博即时性、互动性与使用时间碎片化的需求，促使手机登录用户比例快速上升，占比达七成以上。

随着移动互联网的发展和智能移动终端的普及，未来使用手机登录的用户比例将进一步提升。

　　企业发表促销或优惠信息并及时互动是影响微博用户购买意愿的主要形式。

在2011年微博营销中影响用户购买意愿的主要形式中，选择企业用户发表促销或优惠信息的用户比例最高，为54.4%，其次为企业对用户的关注、留言、评论等有所反馈，用户比例为51.7%。

企业进行微博营销是及时推送企业产品、服务和优惠信息，树立企业形象、增加品牌影响力的有效营销手段。

但企业在进行微博营销时，应注重与消费者保持互动，使微博成为企业与消费者交流的良好平台。

及时关注消费者的诉求，建立和维护企业在消费者中的品牌效应，实施精准营销，引发潜在消费。

　　六成参与调查的网民通过网银月均支付200～5000元，累计金额向高区间转移。

2011年中国网银用户月均支付201～500元的比例最高，为21.5%；

其次为月均支付501～1000元，所占比例为18.1%；

1001～5000元所占比例为17.6%。

与上年同期相比，中国网民网络购物累计购物金额向高区间转移，其中5001～10000元区间由15.7%增长到17.0%，10001～20000元由7.7%增长到8.9%。

而100～1000元区间的购物金额同比均有所下降。

一方面由于网络购物频次提高，垂直类电子商务网站和团购网站的发展，提高了用户网上购物的频率；

另一方面，用户网络购物的目的逐渐由前几年的“淘便宜”向“淘品质”转变，单笔交易额较以往有所提高。

　　2011年超过七成的网民每月团购花费在200元以下。

参与调查的网民在参加团购活动时，月度花费200元以下的用户占比达75.5%。

其中，月度花费81～100元和101～150元的用户分别占17.6%与16.4%。

而月度花费在200元以上的用户相对较少，占比仅为24.5%。

网民月度花费额主要集中在200元以下，主要有以下三方面原因：

首先，团购网站上提供的服务以餐饮和生活娱乐服务为主，消费金额相对偏低；

其次，团购的核心优势在于低价格，低廉的团购价格更能吸引消费者的参与和购买，增加团购网站的流量和用户转化率；

最后，由于团购网站行业整体属于新生事物，在进行高额消费时，网民会对较高额度的消费持谨慎态度。

无卡支付重构第三方支付格局回目录

中国证券报

“无需网银就能付款”的无卡支付模式、开放性的平台定位，有望改变目前第三方支付平台的竞争格局。

　　传统的网上支付需消费者开通网上银行。

但统计数据表明，我国网银注册用户有3.3亿，结合我国银行卡发行量27亿张、人均持卡1.8张的背景，粗略估算至少还有21亿张卡因为没有网银无法做网上交易。

这种巨大的浪费不仅造成了持卡人的支付不便利，也影响到我国电子商务产业的快速发展。

　　目前，大部分通过简单聚合形成的多银行网银平台，虽然在一定程度上便利了持卡人支付，但覆盖的银行范围仍显不足，大量中小银行无法覆盖，支付服务的效率、安全性及规范性也有令人担忧之处。

要比较彻底地实现网上支付便利，有必要对以第三方支付为主体，聚合银行网银的模式进行突破。

一种“无需网银就能付款”的无卡支付模式，即“银联在线支付”现已接入银行180多家，基本涵盖了所有常用银行。

从安全角度来看，这种支付方式采用静态卡号信息+动态短信验证信息双确认的验证模式，在方便持卡人的同时，充分保证支付安全。

再加上其“协调处理、先行赔付”的风险防范机制在最大程度上保障用户利益。

“无卡支付”扩大了网上支付适用银行卡的范围，一定程度上解决了目前制约网上支付的几大关键问题。

互联网场景身份认证方法分析回目录

发布时间:

2012-03-01来源：

IT168

我们分别从身份认证、数据库安全、中间平台、终端用户、云计算等几个角度为大家剖析安全所涉的方方面面。

　　互联网之前的身份认证

　　身份认证是一个古老的话题，从最早的户籍造册，到今天的2代身份证或社会保险号码，“我是谁”或“他是谁”的问题贯穿着人类社会的发展。

　　身份认证的历史，是辨识方式演进的历史。

辨识可能是基于个体，如悬赏缉拿画影图形，也可能是针对群体，比如两军对垒，要身着不同的盔甲以做混战中的辨识。

身份认证的历史，也是与仿冒和窃取对抗的历史，从兵符形状相合到盖在圣旨上的“皇帝之宝”图章，都是在与诈符矫诏进行着斗争。

因此，互联网身份认证，并不是孤立新生的技术，它具有传统的特点，也具有新生的便利性，同时也带来了新的困难与挑战。

　　如果说网络对身份识别方式的最大挑战是身份与物理实体的脱离，那么，一个开放的互联网所带来的最大挑战就是身份的虚拟化一般来说，在现实社会中，一个合法公民的身份是唯一的、终身的，但在网络上并非如此。

对于大多数网络应用，用户都可以自由拥有多个身份，并可以随时新建或废止它们，当然也包括一不小心遗失它们。

　　用户名/口令

　　最原始的用户名/口令安全模式，据说出现在1962年MIT的CTSS计算机之上。

其中用户名用来保证虚拟身份唯一，口令则用于保证虚拟身份安全。

用户名一经建立不可改变，而密码则可以随时更改。

　　没有人发现这其中的革命性意义吗?

身份和凭证被区分开了，因为与现实世界一样，身份是不变的，但凭证则可以更新。

互联网身份认证的威胁也与传统安全要素一脉相承，包括验证场景的安全性、传递通道的安全性、凭据的质量等。

　　第一波威胁

　　传统的用户名/口令机制遇到的威胁，多来自其围绕着早期UNIX系统那种非常明显的君子时代的痕迹，但回头来看，这些威胁实际一直演化至今。

　　口令猜测：

早期系统可以在低权限条件下实现用户名列表的获取，而同时还有默认用户名和内建账户的存在（默认口令可能为空），这就使口令猜测成为可能。

依托某些信息，进行单点的密码猜解是一直存在的安全威胁，并逐渐推演出，单用户大密码档猜测、多用户常见密码猜测和今天的拖库后的撞库攻击。

　　登录过程嗅探：

对于Telnet、FTP这些非常原始的远程行命令工具来说，其连接场景都不是基于加密协议的。

而HUB设备本身却基于广播，Sniffer是非常容易的事情。

而今天基于主机在TDI、NDIS等层次的本机Sniffer，基于ARP欺骗的监听，和针对无线信号的各种威胁都显得更加普遍。

　　口令文件的抓取：

尽管早期的UNIX系统进行了基于MD5或DES的加密，但其权限配置经常相对薄弱，其Shadow文件易于抓取，之后就可以进行从容地猜测或者暴力破解，这也可以视为“拖库攻击”的雏形。

　　但在1998-2000年，随着Switch取代HUB提升了Sniffer的实施成本，随着Server系统的安全性普遍提高，随着SSL的逐步广泛应用，安全威胁呈现出走向桌面的趋势，围绕着登录场景的安全构成了对口令安全的第一轮攻击。

　　登录场景的安全

　　登录场景的安全，焦点在于攻击者通过木马等手段，对系统输入和输出信息的获取。

其中包括KeyLog（键盘记录）、录屏、远程控制等手段。

攻击者利用这些手段截取用户名和口令的输入过程，从而可以在另一地点冒用身份进行登录，或者在用户本机进行非用户本人的操作。

而随着主流桌面系统日趋复杂，更容易遭到相关手段的威胁，根据不完全整理，上述威胁点如表1所示。

表1

从场景安全的角度出发，安全工作者和应用开发者想到了很多方法来改善场景安全，除了主机检查、主机加固和反病毒软件外，也对登录过程的安全做了有针对性的尝试。

　　软键盘：

用以对抗Keylog，通过鼠标点击进行密码输入，其主要问题是不能抵御远程录屏。

　　加扰：

在输入过程加入扰动和解码两部分内容，使原始的Keylog获取不到真正的键盘记录信息，其主要问题在于扰动和解码代码本身难以有效对抗逆向分析，同时攻击者总能实现更底层的获取，实现在加扰前或者解码后获得真实的信息。

　　前置检查：

用以在登录过程之间进行安全检查，包括环境检查（一般是针对Keylog的各个挂接点）和病毒检查两部分。

而病毒检查有独立检查和外调反病毒软件两种。

对于独立检查，由于不能挂载完整的反病毒引擎和库，一般都采用的是有针对性的小规则集或者采用云检测技术。

　　尽管有很多产品，声称已经彻底解决了登录过程的安全问题，但多数安全研究者依然倾向认为，在主机环境安全无法有得到效保障的前提下，很难实现这样一种安全登录方案—其过程是高安全等级的，并能与其他应用良好的兼容。

　　因此，安全工作者开始寻找其他方法，从双因数的思想出发，寻觅不依赖于主机场景的安全机制。

　　密保卡/矩阵卡

　　密保卡/矩阵卡作为一度在网游保护中普遍应用的产品，显然是受到了传统密码本思路的启发。

　　其基本思想是，服务商建立若干组不同的位置+信息数据，每组数据对应唯一ID，这个ID与位置+信息的数据以印刷的方式制成物理介质分发给用户，用户将相关ID与自身账号建立关联绑定。

之后，服务商则不仅要求用户登录过程中输入用户名和密码，亦会要求用户输入在该介质上的一些位置信息。

　　这是一种典型的双因数安全思想。

其密钥分发通过传统的销售渠道来进行，从而不具备在网络上监听的可能。

而其自身又通过了刮刮卡等方式保护ID信息，来避免在分发渠道中遭遇翻拍记录等威胁。

　　但该机制很快遭遇到了安全挑战，那就是所谓的位置累计攻击。

由于用户登录场景安全难以保证，每次位置询问的信息均难以避免不被获取，特别是为了避免对单个位置信息的猜测式破解，一般该机制都是同时生成多个位置，要求用户输入对应信息。

因此，攻击者可以对相关位置信息进行累计。

当信息累计到一定程度，攻击者就可能进行多次登录试探，当全部位置都落入攻击者之手，攻击者就进入系统，取消用户账户与密保/矩阵卡的关联。

　　这其实反映出了矩阵卡面临的主要问题，就是其口令空间明显受到了“工艺”和纸张大小的约束，使其为有限集。

为了对抗这种攻击，服务商只能通过增加张数的方式来增加密码本的厚度，比如每月一张甚至每周一张。

　　如果我们从传统密码学的角度看待这种问题，亦能找到原因。

目前只有一种密码机制具备者理论证明级的安全，那就是一次一密。

但这一机制由于受到密码空间的限制，因此显然是“伪一次一密”。

完全是民用级别的安全性。

当然由于成本、易于携带等因素，其应用依然十分广泛。

　　有人认为由于矩阵卡基于印刷技术，因而成本低廉，但实际并非完全如此。

与一般印刷不同，任何两张密保卡的内容都不同，同时还需要在印刷后准确切割。

因此密保卡都需要特制设备印刷。

在密保卡刚刚兴起的时期，相关印刷设备均价值百万。

只有在印量足够大的情况下，相对电子令牌才有成本优势。

　　当然，作为一种频繁更换的产品，它也为网游厂商创造了一种增值服务的形式。

　　手机动态口令

　　对采用一次一密思路的体系来说，最大的困难不只在于大量密钥的生成和管理，如何低成本安全地传递密钥也是关键。

　　在PKI体系中，公钥算法被作为在同一个信道下可以实施安全会话密钥传递的方案。

但落实到目前的节点安全场景来看，无论是PrivateKey本身，还是用以保护它的Passphrase，都可能被入侵者非常容易地获取。

因此，PKI除非依托专用硬件，保证PrivateKey不被获取，否则在解决登录场景不安全条件下的登录安全的问题方面，并无优势可言。

　　由于手机的普及，使用文字短信作为动态口令分发的方法，成为一种可行的方案。

它的优点是不需要增加其他动态口令设备的成本，而只依托现有电信服务就可以解决问题。

　　但这样的问题，也是明显的：

　　第一，如果短信有一定滞后，用户等待的体验并不理想，开玩笑地说，手机动态口令最普遍的场景是运营商的网上营业厅，因为只有运营商能保证自己的短信及时到达;

　　第二，对GSM网络来说，其监听成本日趋低廉，在定向攻击中，采用GSM动态口令的安全性，可能反而不如PC+静态口令安全。

　　第三，相对更大而更尴尬的问题出在手机上，传统手机的安全性在一定程度上来自于其简单。

当它不再是那个只能进行语音通话和文字短信的无线终端，而变成一个掌上平台，当各种木马开始捆绑进入官方和非官方的AppStore或电子市场，当越来越多的预装和复制的应用难以确定其安全性和真实来源时，手机安全性已经明显呈现出比PC更差的趋势。

　　动态口令卡/令牌/电子密保

　　能否建立一种机制，既能保证动态口令的一次性，同时又不产生密钥传递的成本呢?

如果动态口令的体验能不依赖于第二信道的实时性，就更为理想。

这就要求，在服务器和登录者之间或者存在一个巨大的共有码表，或者拥有一个具有随时一致的元素。

显然，后者最理想的，就是时间。

　　为此，基于随机数种子+时间的动态口令/令牌机制产生了，其工作机理为，服务商为用户分发一个带有口令生成机制+显示屏的电子设备。

该设备在交付给用户时完成初始化，生成用于与时间结合生成动态口令的唯一参数，该参数在服务端保存，从而完成一个依赖于时钟的动态口令机制。

　　有趣的是，这样一个动态口令机制在历史上依然出现过问题。

由于考虑到时钟误差、用户操作时间等因素，这个机制必须能保证在一个较短时差之内（默认一般为五分钟）的登录有效，而攻击者则利用某厂商设计上的疏漏，即允许五分钟之内采用相同凭据重复登录，来获取用户输入内容，之后登录进去取消与动态口令卡的关联，或者窃取用户虚拟物品、修改密码等。

　　这是一个有趣的违反基本原则的设计案例，动态口令卡的设计初衷是保证登录凭据向一次一密的思想靠拢，具有一次性，但这种问题却明显违背了这一原则。

　　动态口令卡的安全性遇到的最大危机是2011年RSA公司被入侵后，计划召回全球超过3000万个电子令牌。

　　USBKEY

　　USBKEY显然是从加强场景安全的角度来入手的。

它利用了USB接口设备内置的算法芯片，实现对数字的加密和签名，通过电路控制，确保凭证不可被远程获取。

　　攻击者即使获得了用户名和密码，也无法在其他位置登录。

USBKEY目前的主要问题是，攻击者可能是通过远程控制在被害者主机上进行操作的，而此时对于USBKEY体系来说，则无能为力。

　　这一问题不仅对USBKEY存在，在用户已经完成登录过程的情况下，远端系统都无法识别出操作来自用户还是来自Backdoor。

　　而我们必须严肃指出的是，目前最大的风险是一部分USBKEY并不是真正的带有加密芯片的设备，而是所谓的隐藏数据U盘，但这种伪安全没有得到足够的揭露和警示。

　　生物识别