网上银行安全事件频发 CFCA发出风险提示
针对近期网上银行不安全事件频繁发生的现象,国家金融行业权威的第三方安全认证机构——中国金融认证中心(CFCA)近日向广大用户发出紧急风险提示。提示指出,开通网上银行业务时一定要注意相应的安全说明或风险提示;尽量不要采用安全级别很低的“卡号+口令”方式登录网上银行;如果需要比较频繁地使用网上银行,一定要采用符合法律要求的权威第三方机构颁发的数字证书。只要采取正确、恰当的措施,网上银行是可以放心使用的。
★网银安全困于何处?
社会生活,经济为先,经济的核心则是金融。因此在当今这个互联网盛行的时代,网络银行的发展显得尤为重要。从国内的情况来看,网络银行近年来获得了一定的发展,却始终受到安全问题的困扰,用户尤其是个人用户对此疑虑重重。安全问题,已经成为网络银行发展进程中最突出的瓶颈。
立场不同 观点迥异
网络银行的安全性究竟怎样?是否真的充满危险?对这个问题的认识,存在着各种不同的见解。简单说来,中国银联、各大银行、第三方支付等金融机构认为目前的网络银行安全性有足够的保证,并不存在非常严重的威胁;公众舆论则基本持相反的意见,认为威胁很大,安全难保证。
两种意见,壁垒分明,各自都能提出充足的依据。对于金融机构来说,多年来整个网络银行体系稳定运行,从未发生任何系统崩溃或被攻克的事件,无疑就是安全性的最好证明。而从公众舆论的角度看,与网络银行、网上支付有关的安全事件屡屡见诸报端,说明威胁确实存在,并随着黑客、木马等行为的日益泛滥而不断加剧。
两者之间为何有如此之大的反差?是银行隐瞒了事实,还是用户夸大了危险?事实是,双方的看法都没有任何错误,问题只在于他们各自所处的经济地位不同,所面对的网络环境不同,应对威胁的手段和技术也不同,因而才会产生截然相反的感受与认识。
正因如此,笔者个人更倾向于一种介于两者之间的态度,也就是既认为整个网络银行的体系架构是安全的可以信赖的,也认为现实中的确存在着各种安全隐患,尤其是在个人用户的客户端运行中,安全隐患的确非常严重。
银行自保 客户难御
在进一步说明笔者的观点之前,需要先明确一个认识,即安全是要付出相应代价的。高代价保证高安全,低代价保证低安全,两者之间是一种正比的关系。
以金融机构来说,它是整个网上支付链的核心,是金钱聚集的中心,客观上受到的安全威胁更为严重,所要付出的代价就必然更大,在此我们要予以肯定的是,国内网络银行一直将安全放在首位,为此投入大量的成本,引进多种世界上最先进的安全技术,因而能够做到极其严密的防护。通过业内媒体的一些报道我们得知,各个网络银行目前都采用多重防火墙、安全网关和网络安全检测软件,并辅之以专业化的人工监控,24小时密切监视、扫描和记录一切来自网上的接入信息,及时发现并阻断任何方式的攻击和犯罪行为。可以想见,银行为此付出的成本是多么的大。
与银行不惜血本的严密防护相比,用户方面的情况就差的太多了。且不说多数用户不具备网络安全技术常识,很多人连基本的杀毒软件和防火墙也不会用,即使是那些技术水平较高的用户,所能依靠的安全手段也不过是在防火墙和系统补丁之外再添加一些简单的木马查杀软件,而由于网上木马病毒的更新速率极快,远远超过防护软件的升级速度,因此这样的防范往往起不到很好的效果,甚至丝毫不起作用。
安全与否 没有绝对
银行能够保证自己的服务器系统不出问题,却对客户端的安全隐患无能为力,矛盾由此而变得根深蒂固难以化解。
当然,要说一点办法没有也是不对的。就在眼下的8月里,工商银行的网络银行连续两次发布通告,要求用户尽快办理口令卡或U盾,在此之前限制其支付额度。应当说,口令卡或U盾的采用都能极大地提升客户网上支付的安全性,尤其是U盾,这项获得国家发明专利的技术至今尚未被黑客破解,安全性能无疑非常之高。仅仅花费几十元钱,就得到较高的安全保证,用户应该满意和拥护。
但是,采用U盾就能一劳永逸地解决安全问题吗?显然不会如此简单。从信息技术持续发展与提高的角度来讲,一切的安全手段和安全措施都有其时效性和适应性。网络攻击技术与防御技术之间,将长期呈现一种此消彼涨、交替上升的状况,而由于两者的出发点与目的性不同,以及信息技术本身固有的缺陷,攻击技术总是要领先那么一点点。从这个意义上说,所谓绝对安全的技术,是一种永远也不可能实现的梦想。
没有绝对只有相对,安全问题还将继续存在下去,这是一个我们不得不承认的现实。
工行网上银行被盗事件:
谁保护网银安全:追踪工行网上银行被盗事件
工行正面回应“网银资金被盗事件”
工行网银被盗事件:谁在网上算计我们的财富?
储户无法提供充分证据 北京首例网银纠纷案工行胜诉
据了解,近一段时间的网银不安全案件呈现出涉案金额高、波及面广、作案渠道和方式越来越复杂等特点。这种情况是由现有网上银行安全机制、业务模式、大众使用习惯、个人隐私信息保护、执法环境等多方面因素综合造成的。
风险提示认为,从用户角度来看,应该特别注意以下几点:
1.开通网上银行业务时一定要注意相应的安全说明或风险提示,注意区分网上银行大众版和网上银行专业版(或签约版/证书版)。网上银行大众版的功能比较少,安全级别也比较低。网上银行专业版的功能比较全,安全级别也比较高。
2.建议尽量不要采用安全级别很低的“卡号+口令”方式登录网上银行。“卡号+口令”是用户很重要的私密信息,一旦用户登录了假网站、或个人电脑上被植入了木马等类似的病毒,则卡号或密码就会被窃取,进而造成资金风险。
3.如果需要比较频繁地使用网上银行,建议用户一定要采用符合法律要求的权威第三方机构颁发的数字证书,即使用网上银行的专业版。数字证书就是一个包含个人身份信息的电子文件,是用户的“网络身份证”,同时还能保证用户在互联网上传输的信息不被非法窜改或窃取。如果用户和银行出现纠纷,独立于银行和用户的权威第三方的安全认证机构还可以为银行或用户双方提供相应的证明资料。如果由于第三方数字证书给用户带来损失,将依法提供赔偿。
此外,不选择公共场所使用网银,定期查看交易明细,为电脑安装防病毒软件并定期升级等措施也是降低风险的必要手段。
网银安全问题曝光台:
女子存入银行14万 一夜间被人网上支付光
长春首例网银盗窃案告破 黑客盗银行40万
“魔波”敲响网络安全警钟 网上银行受牵
小心!网上银行交易别被"木马"程序套住
巧用电子银行"五最" 让电银成为生活好帮手
虽然关于网上银行的问题争论不休,但无庸置疑,电子银行现已成为金融服务的主角,阿毛我也在使用之列。工行理财专家江小丽向我介绍,让电子银行成为日常生活的好帮手,关键巧用“五最”。
最常用功能:账户查询和转账。市民出行不必带过多现金,用银行卡在联网POS机刷卡消费。卡内资金不足也不必担心,只要拨打在线银行电话,便可直接从其他卡中转账。习惯记账的市民,无需跑网点打印对账单,上网就可查询到所有消费明细。
最便利功能:自助缴付公用事业费。用电话银行或登录网上银行缴付公用事业费是最便利的缴费方式。水费、电费、煤气费、电话费、手机费都可在家轻松完成。网上银行还可以为手机充值,立充立用。
最赚钱功能:投资理财。网上银行将证券投资的历史成交记录结合银行卡明细查询,对以往投资操作进行整理,使盈亏一目了然。外汇投资者更可利用网上银行日夜操作。电子银行的另一投资方向是购买福利彩票,例如,彩票迷选择金穗卡自动选彩功能,设定每天购买金额,自动选号投资彩票。一旦中奖,小奖还会自动返还卡内。
最省心功能:网上购物。现代人喜欢网上购物,多家在线银行可在当当、淘宝网、盛大等十多个网站进行购物。不过,通过银行卡支付方式进行网上购物,最好不要使用信用卡,以防被不法分子恶意透支。
最时尚功能:手机钱包。手机不仅可以掌握金融信息,还能够享受一系列手机银行服务。如外汇牌价、本外币存贷款利率、人民币汇率等信息咨询、账户查询、账户临时挂失、密码修改、账户转账、银证转账、代缴公用事业费、手机充值、缴费等。
网银安全:物防、技防不如人防!
网银带来方便也带来风险 数字证书可提升网银安全
大众版网上银行被指泄密风险高 专业版功能比较全
网银被盗拷问银行安全
金融认证中心提醒:网上银行"卡号+口令"不安全
打响网上银行“安全保卫战”
网络银行"亡羊补牢"进行时
★商业银行网上银行安全招式大比拼
对于网上银行客户端的安全防范,各家商业银行都采取了诸如密码加密控件、软键盘以及数字证书和动态密码等措施,但是笔者认为对木马病毒和网上黑客有一定防范能力的目前只有动态密码和数字证书技术,笔者对相对了解的商业银行的安全措施罗列下来,希望对大家有所帮助。
商业银行口令密码动态密码数字证书
工商银行限额300元(9月1日实施)。
需要重点防范木马病毒,防止小额资金损失。纸质动态密码卡,刮刮卡,2元一张,使用次数1000次动态密码。
单笔限额1000元,日转账限额5000元。
需要重点防范卡片的丢失或被人复印、拍照。证书存放在USBKEY(U盾)上,证书不可复制,关键业务数字证书签名。
需要防范数字证书的遗失,并注意保护USBKEY的保护密码。
招商银行没有转账支付功能。
需要重点防范木马病毒,防止账户信息泄露。无证书存放即可存放在USBKEY(优key)上,也可以以文件形式存放在硬盘或U盘上。
对于文件形式的证书需要特别防范数字证书被网上木马病毒复制、窃取,同时注意保护数字证书的密码。
交通银行没有转账支付功能。
需要重点防范木马病毒,防止账户信息泄露。一次性手机动态密码,通用、安全(移动网络和互联网信息不易同时泄露)。日转账限额5万元。
注意手机和银行卡号、密码不要同时遗失。证书存放在USBKEY上,证书不可复制,关键业务数字证书签名。
需要防范数字证书的遗失,并注意保护USBKEY的保护密码。
建设银行没有转账支付功能。
需要重点防范木马病毒,防止账户信息泄露。纸质动态密码卡,使用次数30次。
使用次数太少,不方便,需要特别注意不要和卡号、密码同时遗失。证书存放即可存放在USBKEY上,也可以以文件形式存放在硬盘或U盘上。
对于文件形式的证书需要特别防范数字证书被网上木马病毒窃取,同时注意保护数字证书的密码。
浦东发展银行没有转账支付功能。
需要重点防范木马病毒,防止账户信息泄露。一次性手机动态密码,通用、安全(移动网络和互联网信息不易同时泄露)。日转账限额5万元。
注意手机和银行卡号、密码不要同时遗失。证书存放即可存放在USBKEY上,也可以以文件形式存放在硬盘或U盘上。
对于文件形式的证书需要特别防范数字证书被网上木马病毒窃取,同时注意保护数字证书的密码。
从上述列表中我们可以看到,不同银行均采用了USBKEY的硬件数字证书形式(事实上也是各家商业银行在企业网银的唯一选择),但硬件数字证书的使用较为麻烦(如更换电脑时,需要重新安装驱动程序),为了快速推广网上银行业务,各家银行也不同程度的在考虑客户使用方便性的前提下,部分地降低了对网上银行客户端安全的保护,而将客户端木马病毒等的防范责任交给了客户自己。作为一名普通的网上银行用户,笔者认为虽然网上银行目前的发案率比较低,但是为了安全起见,还是应该选择安全的网上银行移动证书,或者采用安全与方便兼顾的动态密码安全方式,在这种方式的实行上,各商业银行所采用的模式不尽相同。笔者认为交通银行和浦东发展银行的手机动态密码方式较为符合一般用户的习惯和市场需要:一则移动网络和互联网两个网络的独立性保证了交易的安全性,二则客户不需要在每家商业银行领取不同的动态密码卡,可以使用手机短信的通用性而方便地使用多家银行的网上银行。
| ★网上银行知多少? 什么是网上银行? 网上银行利用Internet和Intranet技术,为客户提供综合、统一、安全、实时的银行服务,包括提供对私、对公的各种零售和批发的全方位银行业务,还可以为客户提供跨国的支付与清算等其他的贸易、非贸易的银行业务。 网上银行有哪些功能? 1 商业银行的业务功能:银行零售业务;银行国内批发业务;全球批发业务;银行投资业务;银行信托业务 2 网上银行的功能:处在网络世界中的银行,电子化的应用包括六个方面:办公自动化系统、客户服务支持系统、业务处理系统、信息发布系统、支付系统和网上银行系统。其功能包括以下内容: (1)银行业务项目,包括个人银行、对公业务、信用卡业务、多种付款方式、国际业务、信贷及特色服务等功能: (2)商务服务,包括投资理财、资本市场、政府服务等功能; (3)信息发布,包括国际市场外汇行情、对公利率、储蓄利率、汇率、国际金融信息、证券行情、银行信息等功能。 网上银行有哪几种业务模式? 从目前网上银行业务发展方面看,有三种模式:第一种模式,把网上银行所针对客户群设定为零售客户;第二种模式,以批发业务为主, 即在网上处理银行间的交易、银行间的资金往来;第三种,前两种的结合,即网上银行包括两个方面的业务。 网上银行有哪几种开发模式及其相应的优缺点是什么? 网上银行一般有两种模式,第一,选择商用网上银行软件,优势是开发周期端,速度快,经济和方便;缺点是受商用软件公司的制约性太大,存在让其他组织控制界面的危险;第二,在银行软件公司的帮助下合作开发,优势是培养了银行内部自己的软件专家,银行可以随时应付环境和用户的变化;缺点是银行不擅长用户软件的开发,他们没有像软件专家那样的资源来持续地支持开发。在开发模式上,银行可以部署三个战略,分别是将大量资金投入建立银行信息体系结构、技术结构和网上银行产品,并从根本上转变银行对用户零售服务的方式;在网上银行供应链中寻求合作者,为客户提供价格适中的最好服务;从产品导向模式转变到客户导向模式,目标是向不断增长的用户提供更大的方便和以用户为核心的服务来提高用户忠诚度。 为什么要加强对网上银行的监督和管理? 信息在网上扩散得很快;网络让客户可以更快的访问他们的帐户;软件代理也对网络银行构成了严重威胁;容易受到银行运行的传染特性的影响;安全是基于网络银行的最大的问题;地方政府部门很难控制网络银行;客户十分分散。 |