尋找網(wǎng)上銀行的“門神”

申請免費試用、咨詢電話：400-8352-114

舊時農(nóng)歷新春，人們都喜歡把門神的畫像貼于自家兩扇門上，希望以此驅(qū)邪避鬼、守衛(wèi)家宅、保護平安。信息時代，網(wǎng)上銀行越來越流行，面對泛濫的“肉雞”、肆意的盜號木馬、猖獗的掛馬網(wǎng)頁，用戶不禁要問，誰是網(wǎng)上銀行的“門神”？誰能承擔起網(wǎng)上銀行的安全保護工作？

網(wǎng)上銀行在中國是一個快速發(fā)展的新生事物，據(jù)《2008中國網(wǎng)上銀行調(diào)查報告》顯示: 2008年，全國范圍內(nèi)，個人網(wǎng)銀用戶比例為19.9%。在10個經(jīng)濟發(fā)達城市中，2008年使用個人網(wǎng)上銀行的用戶比例達到44.9%。而在企業(yè)用戶市場，這一趨勢則更為明顯: 2008年全國企業(yè)網(wǎng)銀用戶的比例達到42.8%。

同時，根據(jù)中國金融認證中心（CFCA）對于網(wǎng)上銀行用戶行為特征的調(diào)查結(jié)果顯示，安全性再次成為網(wǎng)上銀行用戶的關(guān)注重點。無論對企業(yè)網(wǎng)銀用戶還是個人用戶（包含活動用戶和潛在用戶）而言，網(wǎng)上銀行的安全性能仍然是他們選擇網(wǎng)銀時最看重的因素。

由于技術(shù)等方面的原因，網(wǎng)上銀行用戶和銀行實體之間進行的是虛擬形式的交易，雙方通過互聯(lián)網(wǎng)傳遞數(shù)據(jù)信息來完成交易，因此如何保證這些數(shù)據(jù)信息的安全，實際上就是網(wǎng)銀安全的核心。

就像舊時人們喜歡將白臉的秦瓊和黑臉的尉遲敬德，一左一右貼在大門上來“看家護院”，網(wǎng)上銀行其實也有自己的兩大“門神”。只要能將它們“請”來，廣大網(wǎng)上銀行用戶受安全問題困擾的時候就會越來越少。

門神一: 使用第三方電子認證機構(gòu)頒發(fā)的數(shù)字證書

由于網(wǎng)上銀行的安全是屬于互聯(lián)網(wǎng)應(yīng)用層的安全問題，因此它需要解決四個方面的問題，一個是身份的真實性; 二是信息的私密性; 三是數(shù)據(jù)的完整性; 四是交易的不可抵賴性。其中最基礎(chǔ)的就是身份的真實性，因為在互聯(lián)網(wǎng)這個虛擬世界中，如果不能確定網(wǎng)上銀行用戶身份的真實性，與之相關(guān)的網(wǎng)上銀行賬戶信息、資金信息、交易數(shù)據(jù)的私密性、完整性和不可抵賴性就無從談起，所以身份的真實性是網(wǎng)上銀行安全的核心。

根據(jù)《中國人民共和國電子簽名法》（下稱《電子簽名法》）規(guī)定，有效電子簽名的法律效力等同于手寫簽名和蓋章，它可以用來判定網(wǎng)上銀行用戶的真實性。也就是說，雖然交易是在網(wǎng)上進行的，沒有紙介質(zhì)一類的物理憑證，但只要使用了有效的電子簽名，法律上就是完全有效的。而如何來保證電子簽名的有效性，根據(jù)《電子簽名法》相關(guān)法律條款，使用合法第三方電子認證機構(gòu)簽發(fā)的數(shù)字證書是關(guān)鍵。

目前，國內(nèi)依法設(shè)立的第三方電子認證機構(gòu)所簽發(fā)的數(shù)字證書，都是基于公鑰密碼體系（PKI）。在實際操作中，采用對稱密碼算法對數(shù)據(jù)加密，解決信息的機密性問題; 采用雜湊算法計算數(shù)據(jù)摘要，解決數(shù)據(jù)的完整性問題; 采用公鑰密碼算法生成數(shù)字信封，解決對稱密碼算法密鑰的保護和傳遞問題; 采用公鑰密碼算法生成數(shù)字簽名和驗證簽名，解決信息的真實性和不可抵賴性問題。因此，從技術(shù)層面而言，由中國金融認證中心、北京CA、廣東CA這樣的第三方電子認證機構(gòu)頒發(fā)的網(wǎng)銀數(shù)字證書絕對是安全可靠的。

而且，根據(jù)《電子簽名法》規(guī)定，如果交易雙方在民事活動中遭受損失，電子認證服務(wù)提供者是有舉證義務(wù)的，如果不能證明自己無過錯，第三方認證機構(gòu)要承擔賠償責任。這意味著，如果發(fā)生網(wǎng)上銀行安全問題，產(chǎn)生了資金等方面的糾紛，網(wǎng)銀用戶完全不用擔心存在舉證等方面的困難。

門神二: 提高安全意識，正確使用網(wǎng)上銀行

網(wǎng)上銀行是一個綜合系統(tǒng)，因此要從事前、事中、事后多角度來提高安全保護措施。對于用戶而言，也應(yīng)該從自身出發(fā)，從多個層面提高網(wǎng)絡(luò)安全防護措施。

記者了解到，各家銀行在提供網(wǎng)上銀行服務(wù)時大都也給出了相關(guān)的安全提示。而記者調(diào)查了不同網(wǎng)上銀行的幾位用戶，詢問他們是否在使用網(wǎng)上銀行前瀏覽過網(wǎng)上銀行頁面上的相關(guān)“安全使用提示”信息，所有人都回答沒有。而據(jù)記者了解，這些“安全使用提示”恰恰又都給用戶提供了非常有效而且實用的建議。例如招商銀行在其“網(wǎng)上銀行安全指引”中，就列舉了登錄正確網(wǎng)址、認清網(wǎng)頁特征、保管好個人賬號和密碼、保證計算機安全、提高安全意識等多方面的提示和建議。

一位信息安全專家，同時又是密碼學專家，他對記者說: “實際網(wǎng)上銀行安全案例中，很少跟數(shù)字證書本身有關(guān)，更多是機制，或者某個細小的環(huán)節(jié)出現(xiàn)漏洞。犯罪分子也不傻，他們不會去和數(shù)字證書硬碰硬，這些數(shù)字證書都是建立在密碼學的體系之上，要想攻破，他們必須花費大量的精力。所以犯罪分子就會尋找整個安全鏈條上缺失的某一環(huán)，例如釣魚網(wǎng)站、網(wǎng)頁掛馬等手段，甚至是采用更沒有什么科技含量的方式，如電話欺詐，來騙取用戶的網(wǎng)上銀行的賬戶信息，從而達到他們犯罪的目的。”

CFCA副總經(jīng)理曹小青告訴記者，CFCA和多家國內(nèi)的商業(yè)銀行開展了合作，正在努力幫助廣大網(wǎng)上銀行用戶提高安全意識，減少網(wǎng)上銀行交易過程中的安全漏洞?！袄缤ㄟ^‘EV證書’保證登錄正確的銀行網(wǎng)站; 在許多銀行的網(wǎng)站上免費為用戶提供‘網(wǎng)銀病毒專殺工具’，專門針對盜取網(wǎng)銀信息的木馬病毒; 免費向大眾提供的‘證書保險箱’，保護存放在電腦中的數(shù)字證書。”曹小青說。

因此，對于用戶而言，在使用網(wǎng)上銀行時，如果能夠提高自己的防范意識，做到正確使用網(wǎng)上銀行，加上第三方電子認證機構(gòu)提供的數(shù)字證書的保護，以及公安機關(guān)對不法分子打擊力度的加強，網(wǎng)上銀行會越來越安全。