ICBC工商银行安全控件

工商网银安全控件是针对工商银行网银用户的一款专用安全程序，旨在保护用户账号和密码不被盗取，确保用户在网银操作中的绝对安全。如果用户在登录工商网银时遇到失败，很可能是因为未在电脑上安装该安全控件。作为工商网上银行的重要组成部分，它保障了用户个人账户的安全。此外，在安装该控件时，系统会提示修改IE浏览器设置，用户需选择是以完成安装，若不进行此操作则会导致安装失败。

使用注意事项

1、您每次使用网上银行后，请点击页面右上角的安全退出结束使用，并拔出U盾妥善保管

2、请您网上购物进行支付时，不要开启操作系统、MSN和QQ等工具的远程协助功能，一定要在核对支付金额和订单金额无误后再确认支付

3、请您在登录网上银行和进行网上支付时，要注意防范假冒工行网站的欺诈

软件特色

1、传输安全  

在企业银行的客户端和银行服务器之间传输的所有数据都经过了两层加密

2、病毒防范  

在可靠的数据传输安全机制的保障下，企业银行客户端和银行服务器之间传输的是有特定格式的数据而不是程序，这确保了任何病毒都不可能侵入企业银行系统

3、严格的授权管理  

对于支付和发工资这类涉及资金交易的敏感业务，企业银行系统控制企业必须按照业务管理要求经过相应的经办和授权步骤系统才会接收

4、网站认证  

工商银行的网站里安装了的安全证书。有效地防止了网站被假冒。客户只要正确输入工商银行网址，链接的是工商银行网上银行的网站。  传输安全性：网上个人银行交易采用了国际通行的SSL协议加强信息传输的安全

5、客户身份认证  

客户进行网上银行操作需要输入账户和密码来确认身份。网上帐务查询需输入查询密码，转账交易要输入交易密码。进行网上消费付款需输入网上支付密码，通过电话银行向网上专户转账需输入转账密码。如果客户连续输错5次密码，其账户将会被银行冻结。  网上交易资金在银行主机系统内封闭流动：网上个人银行交易的转账、支付资金都是在银行主机系统内封闭流通。网上转账只能转向客户指定的建行账户，网上支付资金只能划入商户指定的结算账户，不会流向非法账户。由于银行主机系统的封闭性，任何人不可能通过网络侵入银行系统盗用资金

工商网银安全控件缺点

1、工商银行的个人网上银行系统登录界面中没有使用验证码来防止暴力攻击，这种成本非常低，但安全性回报很高的做法竟然都不用

2、登录界面中，只有密码域使用了安全控件，难道帐号信息就不重要

3、在ieHTTPHeaders捕捉到的登录 Form 提交的信息中，帐号和密码是未加密的明文，且没有任何其它的信息来防止安全攻击

4、有意思的是，在登录界面的HTTP Response信息中，不但有IIS 5.0的信息，还有WebSphere Application  Server 4.0的信息，看来其Web Server是IIS，而Application Server又是 WebSphere，这一对组合

5、登录安全控件的 CAB 包（AxSafeControls.CAB) 大小约为 174 K，经过 VeriSign 代码签名，里面有三个 DLL ：InputControl.dll 似乎就是界面控件，msvcp60.dll应该是Microsoft  C++ Runtime Library，SubmitControl.dll应该是与提交有关的控件，在 SubmitControl.dll 中发现有 addPair 方法，应该与加密有关，在页面提交的javascript中，也确实发现是SubmitControl发挥了作用，但为什么就是明文的呢？

6、在登录页面的源码中，发现了一段被注释的 Javascript 代码，仔细一看，原来是以前登录界面未使用安全登录控件时，使用 Html Input 控件时的处理代码，界面改了之后，处理代码没有删除，只被注释，这些源代码中暴露系统的一些信息，很不专业，也很危险，因为通过分析就可以发现，其界面更改前后的服务器端代码没有任何变化

7、最关键的是，虽然 VB 的键盘 Hook 程序不能 Hook 密码域中输入的值，但是基于.NET 的键盘 Hook 程序竟然完全可以捕捉到用户输入的任何键值，这难道就是大家前几天讨论的捕捉的作用域问题？这样的话，安全控件几乎就成了摆设

8、没有在登录页面中给出如何解决登录问题的链接文档，可能使得很多用户由于 ActiveX 不能正确安装而不能正确登录系统

工商网银安全控件使用不了解决方法

一、设置受信任站点    

请在IE浏览器菜单栏依次选择工具→Internet选项→安全→受信任的站点→站点，在站点窗口打开后，将工行门户网站、个人网银、贵宾网银，添加到[受信任的站点]窗口中

二、设置ActiveX控件启用选项

1.IE6.0版本的设置方法    

请在IE浏览器菜单栏依次选择工具→Internet选项→安全→internet→自定义级别，然后将ActiveX控件自动提示、标记为可安全执行脚本的ActiveX控件执行脚本、二进制脚本和行为、下载已签名控件运行ActiveX控件和插件这五个选项选择为启用；将对没有标记为安全的ActiveX控件进行初始化和脚本运行、下载未签名控件选择为提示。   （2）IE7.0版本的设置方法    请在IE浏览器菜单栏依次选择工具→Internet选项→安全→internet→自定义级别，将ActiveX控件和插件相关设置进行如下调整:

★ActiveX控件自动提示：设置为启用

★对标记为可安全执行脚本的ActiveX控件执行脚本：设置为启用

★对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本：设置为提示；    D、二进制和脚本行为：设置为启用

★下载未签名的ActiveX控件：设置为提示

★下载已签名的ActiveX控件：设置为提示

★允许scriptlet：默认原设置不做更改

★允许运行以前未使用的ActiveX控件而不提示：设置为禁用

★运行ActiveX控件和插件：设置为启用

★在没有使用外部媒体播放机的网页上显示视频和动画：默认原设置不做更改；    

以上设置完成后点击安全设置窗口下方的确定键，返回到Internet选项中安全标签的页面，再次点击该页面下方的确定键，使更改完成

2.IE8.0版本的设置方法   

请在IE浏览器菜单栏依次选择工具→Internet选项→安全→internet→自定义级别，将ActiveX控件和插件相关设置进行如下调整:

★ActiveX控件自动提示：启用   

★对标记为可安全执行脚本的ActiveX控件执行脚本：启用    

★对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本：提示   

★二进制和脚本行为：启用   

★仅允许经过批准的域在未经提示的情况下使用ActiveX：启用  

★下载未签名的ActiveX控件：提示   

★下载已签名的ActiveX控件：提示  

★允许scriptlet:默认原设置不更改   

★允许运行以前未使用的ActiveX控件而不提示：禁用  

★运行ActiveX控件和插件：启用    

★在没有使用外部媒体播放机的网页上显示视频和动画：默认原设置不更改  

三、关闭IE弹出窗口阻止程序    请在IE浏览器菜单栏选择工具选项后，查看下拉菜单中是否有弹出窗口阻止程序，如果有此选项，请点击-弹出窗口阻止程序-关闭弹出窗口阻程序后，重新启动IE尝试登录。如页面显示为启用弹出窗口阻止程序可选且弹出窗口阻止程序设置为灰色不可选时，则说明目前IE弹出窗口阻止程序已经关闭

更新日志

v3.2.3.1版本

1、改进相关功能

2、对部分功能进行全面优化