ICBC工商銀行安全控件

工商網(wǎng)銀安全控件是工商銀行專用的網(wǎng)銀安全控件程序，它可確保用戶在登錄網(wǎng)銀的過程中不會被竊取賬號及密碼，并可保證用戶在使用過程中的絕對安全。在現(xiàn)實中，如果用戶在登錄工商網(wǎng)銀的過程中出現(xiàn)登錄失敗的問題，那么最明顯的問題就可能是用戶沒有在電腦上安裝“工商網(wǎng)銀安全控件”，該安全空間是工商網(wǎng)上銀行必裝的組件之一，它可以確保用戶的個人賬戶的絕對安全。另外，注意工商網(wǎng)銀安全控件安裝過程中會提示修改IE設(shè)置，選擇“是”即可，若不點擊則會安裝失敗。

使用注意事項

1、您每次使用網(wǎng)上銀行后，請點擊頁面右上角的“安全退出”結(jié)束使用，并拔出U盾妥善保管
2、請您網(wǎng)上購物進行支付時，不要開啟操作系統(tǒng)、MSN和QQ等工具的遠程協(xié)助功能，一定要在核對支付金額和訂單金額無誤后再確認支付
3、請您在登錄網(wǎng)上銀行和進行網(wǎng)上支付時，要注意防范假冒工行網(wǎng)站的欺詐

工商網(wǎng)銀安全控件功能特色

1、傳輸安全  
在“企業(yè)銀行”的客戶端和銀行服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都經(jīng)過了兩層加密
2、病毒防范  
在可靠的數(shù)據(jù)傳輸安全機制的保障下，企業(yè)銀行客戶端和銀行服務(wù)器之間傳輸?shù)氖怯刑囟ǜ袷降臄?shù)據(jù)而不是程序，這確保了任何病毒都不可能侵入企業(yè)銀行系統(tǒng)
3、嚴格的授權(quán)管理  
對于支付和發(fā)工資這類涉及資金交易的敏感業(yè)務(wù)，企業(yè)銀行系統(tǒng)控制企業(yè)必須按照業(yè)務(wù)管理要求經(jīng)過相應(yīng)的經(jīng)辦和授權(quán)步驟系統(tǒng)才會接收
4、網(wǎng)站認證  
工商銀行的網(wǎng)站里安裝了的安全證書。有效地防止了網(wǎng)站被假冒?？蛻糁灰_輸入工商銀行網(wǎng)址，鏈接的是工商銀行網(wǎng)上銀行的網(wǎng)站。  傳輸安全性：網(wǎng)上個人銀行交易采用了國際通行的SSL協(xié)議加強信息傳輸?shù)陌踩?br /> 5、客戶身份認證  
客戶進行網(wǎng)上銀行操作需要輸入賬戶和密碼來確認身份。網(wǎng)上帳務(wù)查詢需輸入查詢密碼，轉(zhuǎn)賬交易要輸入交易密碼。進行網(wǎng)上消費付款需輸入“網(wǎng)上支付”密碼，通過電話銀行向網(wǎng)上專戶轉(zhuǎn)賬需輸入轉(zhuǎn)賬密碼。如果客戶連續(xù)輸錯5次密碼，其賬戶將會被銀行凍結(jié)。  網(wǎng)上交易資金在銀行主機系統(tǒng)內(nèi)封閉流動：網(wǎng)上個人銀行交易的轉(zhuǎn)賬、支付資金都是在銀行主機系統(tǒng)內(nèi)封閉流通。網(wǎng)上轉(zhuǎn)賬只能轉(zhuǎn)向客戶指定的建行賬戶，網(wǎng)上支付資金只能劃入商戶指定的結(jié)算賬戶，不會流向非法賬戶。由于銀行主機系統(tǒng)的封閉性，任何人不可能通過網(wǎng)絡(luò)侵入銀行系統(tǒng)盜用資金

工商網(wǎng)銀安全控件缺點

1、工商銀行的個人網(wǎng)上銀行系統(tǒng)登錄界面中沒有使用驗證碼來防止暴力攻擊，這種成本非常低，但安全性回報很高的做法竟然都不用
2、登錄界面中，只有密碼域使用了安全控件，難道帳號信息就不重要
3、在ieHTTPHeaders捕捉到的登錄 Form 提交的信息中，帳號和密碼是未加密的明文，且沒有任何其它的信息來防止安全攻擊
4、有意思的是，在登錄界面的HTTP Response信息中，不但有IIS 5.0的信息，還有WebSphere Application  Server 4.0的信息，看來其Web Server是IIS，而Application Server又是 WebSphere，這一對組合
5、登錄安全控件的 CAB 包（AxSafeControls.CAB) 大小約為 174 K，經(jīng)過 VeriSign 代碼簽名，里面有三個 DLL ：InputControl.dll 似乎就是界面控件，msvcp60.dll應(yīng)該是Microsoft  C++ Runtime Library，SubmitControl.dll應(yīng)該是與提交有關(guān)的控件，在 SubmitControl.dll 中發(fā)現(xiàn)有 addPair 方法，應(yīng)該與加密有關(guān)，在頁面提交的javascript中，也確實發(fā)現(xiàn)是SubmitControl發(fā)揮了作用，但為什么就是明文的呢？
6、在登錄頁面的源碼中，發(fā)現(xiàn)了一段被注釋的 Javascript 代碼，仔細一看，原來是以前登錄界面未使用安全登錄控件時，使用 Html Input 控件時的處理代碼，界面改了之后，處理代碼沒有刪除，只被注釋，這些源代碼中暴露系統(tǒng)的一些信息，很不專業(yè)，也很危險，因為通過分析就可以發(fā)現(xiàn)，其界面更改前后的服務(wù)器端代碼沒有任何變化
7、最關(guān)鍵的是，雖然 VB 的鍵盤 Hook 程序不能 Hook 密碼域中輸入的值，但是基于.NET 的鍵盤 Hook 程序竟然完全可以捕捉到用戶輸入的任何鍵值，這難道就是大家前幾天討論的捕捉的作用域問題？這樣的話，安全控件幾乎就成了擺設(shè)
8、沒有在登錄頁面中給出如何解決登錄問題的鏈接文檔，可能使得很多用戶由于 ActiveX 不能正確安裝而不能正確登錄系統(tǒng)

工商網(wǎng)銀安全控件使用不了解決方法

一、設(shè)置受信任站點    
請在IE瀏覽器菜單欄依次選擇“工具”→“Internet選項”→“安全”→“受信任的站點”→“站點”，在“站點”窗口打開后，將工行門戶網(wǎng)站、個人網(wǎng)銀、貴賓網(wǎng)銀，添加到[受信任的站點]窗口中
二、設(shè)置ActiveX控件啟用選項
1.IE6.0版本的設(shè)置方法    
請在IE瀏覽器菜單欄依次選擇“工具”→“Internet選項”→“安全”→“internet”→“自定義級別”，然后將“ActiveX控件自動提示”、“標記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本”、“二進制腳本和行為”、“下載已簽名控件”“運行ActiveX控件和插件”這五個選項選擇為“啟用”；將“對沒有標記為安全的ActiveX控件進行初始化和腳本運行”、“下載未簽名控件”選擇為“提示”。   （2）IE7.0版本的設(shè)置方法    請在IE瀏覽器菜單欄依次選擇“工具”→“Internet選項”→“安全”→“internet”→“自定義級別”，將“ActiveX”控件和插件相關(guān)設(shè)置進行如下調(diào)整:
★ActiveX控件自動提示：設(shè)置為“啟用”
★對標記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本：設(shè)置為“啟用”
★對未標記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本：設(shè)置為“提示”；    D、二進制和腳本行為：設(shè)置為“啟用”
★下載未簽名的ActiveX控件：設(shè)置為“提示”
★下載已簽名的ActiveX控件：設(shè)置為“提示”
★允許scriptlet：默認原設(shè)置不做更改
★允許運行以前未使用的ActiveX控件而不提示：設(shè)置為“禁用”
★運行ActiveX控件和插件：設(shè)置為“啟用”
★在沒有使用外部媒體播放機的網(wǎng)頁上顯示視頻和動畫：默認原設(shè)置不做更改；    
以上設(shè)置完成后點擊“安全設(shè)置”窗口下方的“確定”鍵，返回到“Internet選項”中“安全”標簽的頁面，再次點擊該頁面下方的“確定”鍵，使更改完成
2.IE8.0版本的設(shè)置方法   
請在IE瀏覽器菜單欄依次選擇“工具”→“Internet選項”→“安全”→“internet”→“自定義級別”，將“ActiveX”控件和插件相關(guān)設(shè)置進行如下調(diào)整:
★ActiveX控件自動提示：啟用   
★對標記為可安全執(zhí)行腳本的ActiveX控件執(zhí)行腳本：啟用    
★對未標記為可安全執(zhí)行腳本的ActiveX控件初始化并執(zhí)行腳本：提示   
★二進制和腳本行為：啟用   
★僅允許經(jīng)過批準的域在未經(jīng)提示的情況下使用ActiveX：啟用  
★下載未簽名的ActiveX控件：提示   
★下載已簽名的ActiveX控件：提示  
★允許scriptlet:默認原設(shè)置不更改   
★允許運行以前未使用的ActiveX控件而不提示：禁用  
★運行ActiveX控件和插件：啟用    
★在沒有使用外部媒體播放機的網(wǎng)頁上顯示視頻和動畫：默認原設(shè)置不更改  
三、關(guān)閉IE彈出窗口阻止程序    請在IE瀏覽器菜單欄選擇“工具”選項后，查看下拉菜單中是否有彈出窗口阻止程序，如果有此選項，請點擊-》“彈出窗口阻止程序”-“關(guān)閉彈出窗口阻程序”后，重新啟動IE嘗試登錄。如頁面顯示為“啟用彈出窗口阻止程序”可選且“彈出窗口阻止程序設(shè)置”為灰色不可選時，則說明目前IE彈出窗口阻止程序已經(jīng)關(guān)閉

更新日志

v3.2.3.1版本
1、改進相關(guān)功能
2、對部分功能進行全面優(yōu)化