尋找網(wǎng)上銀行的“門神”

申請免費(fèi)試用、咨詢電話：400-8352-114

舊時(shí)農(nóng)歷新春，人們都喜歡把門神的畫像貼于自家兩扇門上，希望以此驅(qū)邪避鬼、守衛(wèi)家宅、保護(hù)平安。信息時(shí)代，網(wǎng)上銀行越來越流行，面對泛濫的“肉雞”、肆意的盜號(hào)木馬、猖獗的掛馬網(wǎng)頁，用戶不禁要問，誰是網(wǎng)上銀行的“門神”？誰能承擔(dān)起網(wǎng)上銀行的安全保護(hù)工作？

網(wǎng)上銀行在中國是一個(gè)快速發(fā)展的新生事物，據(jù)《2008中國網(wǎng)上銀行調(diào)查報(bào)告》顯示: 2008年，全國范圍內(nèi)，個(gè)人網(wǎng)銀用戶比例為19.9%。在10個(gè)經(jīng)濟(jì)發(fā)達(dá)城市中，2008年使用個(gè)人網(wǎng)上銀行的用戶比例達(dá)到44.9%。而在企業(yè)用戶市場，這一趨勢則更為明顯: 2008年全國企業(yè)網(wǎng)銀用戶的比例達(dá)到42.8%。

同時(shí)，根據(jù)中國金融認(rèn)證中心（CFCA）對于網(wǎng)上銀行用戶行為特征的調(diào)查結(jié)果顯示，安全性再次成為網(wǎng)上銀行用戶的關(guān)注重點(diǎn)。無論對企業(yè)網(wǎng)銀用戶還是個(gè)人用戶（包含活動(dòng)用戶和潛在用戶）而言，網(wǎng)上銀行的安全性能仍然是他們選擇網(wǎng)銀時(shí)最看重的因素。

由于技術(shù)等方面的原因，網(wǎng)上銀行用戶和銀行實(shí)體之間進(jìn)行的是虛擬形式的交易，雙方通過互聯(lián)網(wǎng)傳遞數(shù)據(jù)信息來完成交易，因此如何保證這些數(shù)據(jù)信息的安全，實(shí)際上就是網(wǎng)銀安全的核心。

就像舊時(shí)人們喜歡將白臉的秦瓊和黑臉的尉遲敬德，一左一右貼在大門上來“看家護(hù)院”，網(wǎng)上銀行其實(shí)也有自己的兩大“門神”。只要能將它們“請”來，廣大網(wǎng)上銀行用戶受安全問題困擾的時(shí)候就會(huì)越來越少。

門神一: 使用第三方電子認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書

由于網(wǎng)上銀行的安全是屬于互聯(lián)網(wǎng)應(yīng)用層的安全問題，因此它需要解決四個(gè)方面的問題，一個(gè)是身份的真實(shí)性; 二是信息的私密性; 三是數(shù)據(jù)的完整性; 四是交易的不可抵賴性。其中最基礎(chǔ)的就是身份的真實(shí)性，因?yàn)樵诨ヂ?lián)網(wǎng)這個(gè)虛擬世界中，如果不能確定網(wǎng)上銀行用戶身份的真實(shí)性，與之相關(guān)的網(wǎng)上銀行賬戶信息、資金信息、交易數(shù)據(jù)的私密性、完整性和不可抵賴性就無從談起，所以身份的真實(shí)性是網(wǎng)上銀行安全的核心。

根據(jù)《中國人民共和國電子簽名法》（下稱《電子簽名法》）規(guī)定，有效電子簽名的法律效力等同于手寫簽名和蓋章，它可以用來判定網(wǎng)上銀行用戶的真實(shí)性。也就是說，雖然交易是在網(wǎng)上進(jìn)行的，沒有紙介質(zhì)一類的物理憑證，但只要使用了有效的電子簽名，法律上就是完全有效的。而如何來保證電子簽名的有效性，根據(jù)《電子簽名法》相關(guān)法律條款，使用合法第三方電子認(rèn)證機(jī)構(gòu)簽發(fā)的數(shù)字證書是關(guān)鍵。

目前，國內(nèi)依法設(shè)立的第三方電子認(rèn)證機(jī)構(gòu)所簽發(fā)的數(shù)字證書，都是基于公鑰密碼體系（PKI）。在實(shí)際操作中，采用對稱密碼算法對數(shù)據(jù)加密，解決信息的機(jī)密性問題; 采用雜湊算法計(jì)算數(shù)據(jù)摘要，解決數(shù)據(jù)的完整性問題; 采用公鑰密碼算法生成數(shù)字信封，解決對稱密碼算法密鑰的保護(hù)和傳遞問題; 采用公鑰密碼算法生成數(shù)字簽名和驗(yàn)證簽名，解決信息的真實(shí)性和不可抵賴性問題。因此，從技術(shù)層面而言，由中國金融認(rèn)證中心、北京CA、廣東CA這樣的第三方電子認(rèn)證機(jī)構(gòu)頒發(fā)的網(wǎng)銀數(shù)字證書絕對是安全可靠的。

而且，根據(jù)《電子簽名法》規(guī)定，如果交易雙方在民事活動(dòng)中遭受損失，電子認(rèn)證服務(wù)提供者是有舉證義務(wù)的，如果不能證明自己無過錯(cuò)，第三方認(rèn)證機(jī)構(gòu)要承擔(dān)賠償責(zé)任。這意味著，如果發(fā)生網(wǎng)上銀行安全問題，產(chǎn)生了資金等方面的糾紛，網(wǎng)銀用戶完全不用擔(dān)心存在舉證等方面的困難。

門神二: 提高安全意識(shí)，正確使用網(wǎng)上銀行

網(wǎng)上銀行是一個(gè)綜合系統(tǒng)，因此要從事前、事中、事后多角度來提高安全保護(hù)措施。對于用戶而言，也應(yīng)該從自身出發(fā)，從多個(gè)層面提高網(wǎng)絡(luò)安全防護(hù)措施。

記者了解到，各家銀行在提供網(wǎng)上銀行服務(wù)時(shí)大都也給出了相關(guān)的安全提示。而記者調(diào)查了不同網(wǎng)上銀行的幾位用戶，詢問他們是否在使用網(wǎng)上銀行前瀏覽過網(wǎng)上銀行頁面上的相關(guān)“安全使用提示”信息，所有人都回答沒有。而據(jù)記者了解，這些“安全使用提示”恰恰又都給用戶提供了非常有效而且實(shí)用的建議。例如招商銀行在其“網(wǎng)上銀行安全指引”中，就列舉了登錄正確網(wǎng)址、認(rèn)清網(wǎng)頁特征、保管好個(gè)人賬號(hào)和密碼、保證計(jì)算機(jī)安全、提高安全意識(shí)等多方面的提示和建議。

一位信息安全專家，同時(shí)又是密碼學(xué)專家，他對記者說: “實(shí)際網(wǎng)上銀行安全案例中，很少跟數(shù)字證書本身有關(guān)，更多是機(jī)制，或者某個(gè)細(xì)小的環(huán)節(jié)出現(xiàn)漏洞。犯罪分子也不傻，他們不會(huì)去和數(shù)字證書硬碰硬，這些數(shù)字證書都是建立在密碼學(xué)的體系之上，要想攻破，他們必須花費(fèi)大量的精力。所以犯罪分子就會(huì)尋找整個(gè)安全鏈條上缺失的某一環(huán)，例如釣魚網(wǎng)站、網(wǎng)頁掛馬等手段，甚至是采用更沒有什么科技含量的方式，如電話欺詐，來騙取用戶的網(wǎng)上銀行的賬戶信息，從而達(dá)到他們犯罪的目的?！?/P>

CFCA副總經(jīng)理曹小青告訴記者，CFCA和多家國內(nèi)的商業(yè)銀行開展了合作，正在努力幫助廣大網(wǎng)上銀行用戶提高安全意識(shí)，減少網(wǎng)上銀行交易過程中的安全漏洞。“例如通過‘EV證書’保證登錄正確的銀行網(wǎng)站; 在許多銀行的網(wǎng)站上免費(fèi)為用戶提供‘網(wǎng)銀病毒專殺工具’，專門針對盜取網(wǎng)銀信息的木馬病毒; 免費(fèi)向大眾提供的‘證書保險(xiǎn)箱’，保護(hù)存放在電腦中的數(shù)字證書?！辈苄∏嗾f。

因此，對于用戶而言，在使用網(wǎng)上銀行時(shí)，如果能夠提高自己的防范意識(shí)，做到正確使用網(wǎng)上銀行，加上第三方電子認(rèn)證機(jī)構(gòu)提供的數(shù)字證書的保護(hù)，以及公安機(jī)關(guān)對不法分子打擊力度的加強(qiáng)，網(wǎng)上銀行會(huì)越來越安全。