近来,使用网上银行导致资金丢失的报道频繁的曝光于各媒体,来自IT服务提供商、银行业以及普通消费者各界的声音快速膨胀起来,一时间网上银行客户人心惶惶,不知所从。金融业信息技术服务提供商宇信易诚网银事业部总监张岩表示:“网络安全漏洞的责任不能单纯的归结于用户、银行等某一独立的个体,应该是从网银建设初期开始就把它纳入到解决方案之中,从各个环节严格把关。”也就是说,我们可以把它看成是一个连续的整体,从网银搭建、安全认证到用户使用各阶段都要经得住考验。
第一关:搭建关
把守这一关卡的是IT服务提供商和银行业主,他们的身份一个是网络银行解决方案的提供者和执行者,另外一个是最终的决策者。很明显,决定这一关卡成败的因素是银行在项目实施初期,要选择在网银建设方面有丰富经验的提供商,不仅要考虑到成本、功能等要素,更要把安全防范列入考查察的范围。
网银建设的安全意识应该体现在实施、维护所涉及的各个步骤之中,这不仅是对服务提供商本身技术实力的考究,更是该类厂商对可能威胁网络安全的因素的认识程度、对用户使用习惯等诸多因素的综合把控能力的重要体现。从这一点上讲,掌握高端技术的本土化厂商的优势更为明显。目前,在我国的金融IT市场活跃着大批来自国内国外的厂商,像IBM、HP以及国内第一家在美国纳斯达克上市的宇信易诚,在他们进行激烈的竞争,抢占市场份额的同时,也给我们的银行业提供了更多的选择空间。
第二关:安全关
银行本身是这一环节的关键所在,选择什么样的安全认证体系,直接影响着网银环境的安全。目前,应用比较普遍的主要有动态软键盘、直接安装Active X安全控件、数字证书等方法。
采用动态软键盘技术的网银产品,确实能够避免攻击者通过键盘方式截获密码,但是攻击者仍可以通过其他多种方式达到截获目的。直接安装Active X安全控件的方式,可以同时防止键盘和通过IE的COM接口获取用户密码,控件安装完成后用户才能见到网上银行的登陆界面,进而进行业务操作。不过该种方式也不安全,而且由于一些银行将安全技术通过Active X捆绑在了IE上,从而为其它操作系统和非IE用户带来了一定的不便。较Active X安全控件而言,相对安全的就是采用数字证书的登陆方式。银行根据用户的有效证件,如银行卡号、身份证号码等为依据,生成一个数字证书文件,配合用户自定义的用户名和密码使用以提高安全性。
第三关:用户关
“网银安全的防范要因时而异,互联网的高速发展导致这种安全隐患随时有可能出现新的情况,而技术的革新却需要一个过程,因此,在这场战争中,起着决定性作用的应该是用户本身”,宇信易诚网银事业部总监张岩如是说。据了解,尽管资金丢失等案件时有发生,但大多数网银用户仍然缺乏网络安全技术常识和网银风险防范意识。因此,作为利益的直接关系人,用户应该从自己做起,加强风险防范意识,如妥善保管密码、安装防毒软件等等,切实保障资金安全。
