网上银行的安全一直是人们关注的一个话题。
随着网络信息技术的发展和电子商务的普及,以互联网技术为核心的网上银行正日渐取代传统的银行业务。“网上银行”为金融企业的发展带来了前所未有的商机,也为广大用户提供了快速便捷、形式多样的金融服务。作为一种全新的交易渠道,客户不必亲自去银行网点办理业务,只要能够上网,无论在家、办公室,还是在旅途中,都可以全天24小时安全便捷地管理自己的资产,办理查询、转账、缴费等银行业务。
据不完全统计,我国主要商业银行2006年度电子银行交易金额达到122万亿元,比上年增长101.48%;其中网上银行交易金额达95万亿元,比上年增长80.79%,网上银行交易笔数11.5亿,比上年增长161%,网上银行客户数量达到7495万。网上银行业务的发展有助于缓解银行柜面压力,降低服务成本,为银行客户节约时间。但在交易规模迅猛增长的背景下,网上银行用户名和密码被非法窃取的事件时有发生,增加了商业银行声誉风险和法律风险,并影响了公众对网上银行的使用信心。
日前,中国银监会下发《关于做好网上银行风险管理和服务的通知》,要求各商业银行在积极推广网上银行业务的同时,提示各商业银行高度关注网上银行安全问题,完善网上银行的安全服务,增进公众网上银行安全知识的普及和深化,使老百姓享受到更加安全、便捷和高效的网上银行服务。
网上银行作为电子商务和网络金融的快速发展而产生的新兴事物,一直以其便利性和快捷性而受到网民的欢迎,但由于网上银行安全事故的频繁发生,对网银安全性的担忧一直是广大网民不敢或不愿尝试使用网上银行的最主要原因。
用户安全意识亟待加强
网银的不安全形式主要表现在两个方面,一是网银系统本身,二是网银客户端。目前所发生的网银安全事故几乎都是案犯利用客户的身份进入银行的网银系统进行作案的。而案犯之所以能比较容易的窃取用户的密码和资金主要是由于广大用户的安全意识不强所导致,比如用户在网吧或公共场合使用网上银行、未使用数字证书或USBKey、被假银行网站欺诈、被木马程序或病毒窃取密码、不小心泄露身份证号和密码以及设定网银密码的疏忽等。因此网银的安全事故的发生主要原因在于广大用户的安全防范意识不强,如果广大网银用户能在安全意识上有所加强,很多网上银行事故其实是可以避免的。
技术问题已不是安全障碍
从网上银行产生开始,针对网上银行安全的技术问题一直是各大银行关注的焦点,目前各大银行的网上银行在技术上已经过关,常见的安全保障形式主要有:USBKey形式、数字证书、动态密码等,这些安全保障措施对于防范木马、病毒、黑客以及假网站已经绰绰有余,除非证书、账号、登陆密码以及支付密码被同一个人窃取。目前市场上所发生的网银安全事故几乎很少是由于网银技术不够而带来的,技术问题已经不是网银安全发展的障碍,只要广大用户能加强安全防范意识,使用专业版网上银行的数字证书或USBKey,便可以放心使用网上银行。
银行应承担安全教育责任
网上银行是一个新兴的事物,银行作为网上银行的发起者和推动者有责任和义务对广大网民进行安全意识的教育和宣传,而目前广大网银用户的安全意识不强在很大程度上与银行的宣传教育和提示不够有关。此外各大银行推出的大众版网上银行由于仅仅采用简单的“卡号+密码”的登陆方式,目前已成为网银安全事故发生的主要环节。不可否认大众版网上银行由于开通简单,有利于网上银行业务的推广,但因其较低的安全性不应为广大网民所使用。艾瑞分析认为,目前广大网民对电子支付和网上银行市场的认知程度还很有限,银行在对用户进行网上银行安全的宣传、推广和教育上应承担相应责任。
网上银行安全认证数字证书(USB KEY)简介
现在,银行业在网上银行应用上大力推广使用“钥匙”——USB Key,例如工行“U盾”,招行“优Key”等等。目前,几乎所有的中国商业银行都开始采用USB Key作为网络银行安全认证的重要手段。
那么,“钥匙”USBKey有何好处,又有什么优势让银行业如此热衷于它呢?
要想了解USB Key,需要先了解一下智能卡。智能卡被认为是目前安全存放数字证书及密钥的方式之一。它是一个带有微处理器和存储器等微型集成电路芯片的、具有标准规格的卡片。由于智能卡结合了更先进的集成电路芯片,因此具有快速运算、存储量大、安全性高以及难以破译和伪造等特点。而USB Key则是智能卡和读卡器的结合体,USB Key是近年来新兴的硬件设备。
什么是USB Key呢?USB Key是一种智能存储设备,它是基于USB接口的身份认证产品,内有CPU芯片,可用于存放网银证书,外形小巧,与钥匙相似,也被称为智能钥匙。内含安全文件系统,可以存储数字证书、密钥和其他机密信息,能够用有效的、简化的配置,提供给商业、电子供应商和最终用户以进行安全的、便捷的用户鉴定,从而减少成本。它支持热插拔,轻巧便于携带,具有内置PIN码保护,多次误操作锁定,带有软件控制状态指示灯,方便监控等功能。正是基于USB的热插拔等优于智能卡和读卡器的特点,渐渐地被各个行业所采用。
从2000年USB Key开始进入市场,第一代的USB Key产品是简单的读卡器和智能卡的结合体,速度慢,成本高。单芯片的USB Key于2002年经过测试,正式进入市场,以其速度快,成本低,迅速的替代了传统的双芯片产品设计。2004年,全球第一个带有指纹功能的USB Key产品SuperToken研发成功,为客户提供了更为安全的解决方案。
2005年后,USB Key在我国市场快速发展。从此,USB Key产品也开始朝着多样化、多功能方向发展,陆续出现了带有U盘功能的USB Key和无驱型USB Key,为客户提供的多种选择,使得用户更加愿意使用。
如何确保网银安全
增强网上银行的安全性,首先是银行采取完善的安全机制,从软件、硬件、安全规范上保证帐户信息的安全。从硬件上,完善服务器的防火墙系统,增强系统安全性;软件上,采取多级加密及认证机制;从安全机制上,严格防止客户的帐户信息外泄。
同时用户还要从各方面加以注意。
一、确保计算机系统的安全可靠:不要在公共计算机或不知情的计算机上登陆网上银行;及时更新操作系统及浏览器的各种补丁(注意:安全漏洞并不是IE所独有,其它浏览器也存在安全漏洞,也会发布安全补丁);如果使用Windows XP操作系统,请打开系统自代的防火墙;请安装防木马程序 (anti spy ware) 的软件(要及时更新),并打开实时监控。
二、确保自身帐户的安全性:不要将自己的身份证件号码(特别是复印件)、银行卡号等信息随便告知他人,特别是不要在公共的场合透露这些信息;也不要在可访问的www服务器中存放这些信息,因为搜索引擎可能会搜索到这些信息,或者被他人下载。不要把密码 (pin) 透露给任何其他人。在输入帐户名和密码的时候,确认周围没有人在窥视。
三、牢记银行的官方网站地址:登陆网上银行,一定到银行的官方网站,必须牢记这些地址。许多假冒银行网站可能与真正的网站一字之差,一定要小心,他们通过发送电子邮件或被搜索引擎抓取到,让客户误以为是真正的银行网站,输入自己的帐户和密码,从而窃取帐户信息(这就是所谓的“网络钓鱼”,或“钓鱼攻击”)。许多银行,提供对没一个客户的电子证书,来提高安全性,尽量选用这样的方式操作。银行网站的网银登陆界面都是加密的(SSL),是以https开头的网址,在IE浏览器的右下方出现一个小锁的标志,双击这个小锁会出现一个电子认证证书的说明,包括发证机构和网址。对照其中的网址和IE浏览器的网址必须一致。
四、正确设置帐户名和密码:有些银行的网上银行的帐户名和实际卡的卡号不一样,这样有助于提高帐户的安全性,帐户名设置要尽量复杂但容易自己记忆;对于密码,一定要尽量复杂,要同时包含数字和英文字母(不要设纯数字的密码),位数至少8位,最好超过10位。