寻找网上银行的“门神”

互联网 | 编辑: 杨剑锋 2009-04-28 15:12:00转载

 旧时农历新春,人们都喜欢把门神的画像贴于自家两扇门上,希望以此驱邪避鬼、守卫家宅、保护平安。信息时代,网上银行越来越流行,面对泛滥的“肉鸡”、肆意的盗号木马、猖獗的挂马网页,用户不禁要问,谁是网上银行的“门神”?谁能承担起网上银行的安全保护工作?

- 本报记者 汤铭

网上银行在中国是一个快速发展的新生事物,据《2008中国网上银行调查报告》显示: 2008年,全国范围内,个人网银用户比例为19.9%。在10个经济发达城市中,2008年使用个人网上银行的用户比例达到44.9%。而在企业用户市场,这一趋势则更为明显: 2008年全国企业网银用户的比例达到42.8%。

同时,根据中国金融认证中心(CFCA)对于网上银行用户行为特征的调查结果显示,安全性再次成为网上银行用户的关注重点。无论对企业网银用户还是个人用户(包含活动用户和潜在用户)而言,网上银行的安全性能仍然是他们选择网银时最看重的因素。

由于技术等方面的原因,网上银行用户和银行实体之间进行的是虚拟形式的交易,双方通过互联网传递数据信息来完成交易,因此如何保证这些数据信息的安全,实际上就是网银安全的核心。

就像旧时人们喜欢将白脸的秦琼和黑脸的尉迟敬德,一左一右贴在大门上来“看家护院”,网上银行其实也有自己的两大“门神”。只要能将它们“请”来,广大网上银行用户受安全问题困扰的时候就会越来越少。

门神一: 使用第三方电子认证机构颁发的数字证书

由于网上银行的安全是属于互联网应用层的安全问题,因此它需要解决四个方面的问题,一个是身份的真实性; 二是信息的私密性; 三是数据的完整性; 四是交易的不可抵赖性。其中最基础的就是身份的真实性,因为在互联网这个虚拟世界中,如果不能确定网上银行用户身份的真实性,与之相关的网上银行账户信息、资金信息、交易数据的私密性、完整性和不可抵赖性就无从谈起,所以身份的真实性是网上银行安全的核心。

根据《中国人民共和国电子签名法》(下称《电子签名法》)规定,有效电子签名的法律效力等同于手写签名和盖章,它可以用来判定网上银行用户的真实性。也就是说,虽然交易是在网上进行的,没有纸介质一类的物理凭证,但只要使用了有效的电子签名,法律上就是完全有效的。而如何来保证电子签名的有效性,根据《电子签名法》相关法律条款,使用合法第三方电子认证机构签发的数字证书是关键。

目前,国内依法设立的第三方电子认证机构所签发的数字证书,都是基于公钥密码体系(PKI)。在实际操作中,采用对称密码算法对数据加密,解决信息的机密性问题; 采用杂凑算法计算数据摘要,解决数据的完整性问题; 采用公钥密码算法生成数字信封,解决对称密码算法密钥的保护和传递问题; 采用公钥密码算法生成数字签名和验证签名,解决信息的真实性和不可抵赖性问题。因此,从技术层面而言,由中国金融认证中心、北京CA、广东CA这样的第三方电子认证机构颁发的网银数字证书绝对是安全可靠的。

而且,根据《电子签名法》规定,如果交易双方在民事活动中遭受损失,电子认证服务提供者是有举证义务的,如果不能证明自己无过错,第三方认证机构要承担赔偿责任。这意味着,如果发生网上银行安全问题,产生了资金等方面的纠纷,网银用户完全不用担心存在举证等方面的困难。

门神二: 提高安全意识,正确使用网上银行

网上银行是一个综合系统,因此要从事前、事中、事后多角度来提高安全保护措施。对于用户而言,也应该从自身出发,从多个层面提高网络安全防护措施。

记者了解到,各家银行在提供网上银行服务时大都也给出了相关的安全提示。而记者调查了不同网上银行的几位用户,询问他们是否在使用网上银行前浏览过网上银行页面上的相关“安全使用提示”信息,所有人都回答没有。而据记者了解,这些“安全使用提示”恰恰又都给用户提供了非常有效而且实用的建议。例如招商银行在其“网上银行安全指引”中,就列举了登录正确网址、认清网页特征、保管好个人账号和密码、保证计算机安全、提高安全意识等多方面的提示和建议。

一位信息安全专家,同时又是密码学专家,他对记者说: “实际网上银行安全案例中,很少跟数字证书本身有关,更多是机制,或者某个细小的环节出现漏洞。犯罪分子也不傻,他们不会去和数字证书硬碰硬,这些数字证书都是建立在密码学的体系之上,要想攻破,他们必须花费大量的精力。所以犯罪分子就会寻找整个安全链条上缺失的某一环,例如钓鱼网站、网页挂马等手段,甚至是采用更没有什么科技含量的方式,如电话欺诈,来骗取用户的网上银行的账户信息,从而达到他们犯罪的目的。”

CFCA副总经理曹小青告诉记者,CFCA和多家国内的商业银行开展了合作,正在努力帮助广大网上银行用户提高安全意识,减少网上银行交易过程中的安全漏洞。“例如通过‘EV证书’保证登录正确的银行网站; 在许多银行的网站上免费为用户提供‘网银病毒专杀工具’,专门针对盗取网银信息的木马病毒; 免费向大众提供的‘证书保险箱’,保护存放在电脑中的数字证书。”曹小青说。

因此,对于用户而言,在使用网上银行时,如果能够提高自己的防范意识,做到正确使用网上银行,加上第三方电子认证机构提供的数字证书的保护,以及公安机关对不法分子打击力度的加强,网上银行会越来越安全。

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑