近来，网上银行盗窃案频繁发生，暴露出网上银行建设和应用中的很多问题，使得网上银行的信息安全体系建设迅速成为2005年金融信息化建设的一大焦点。

　　网上银行的盗窃案主要是利用安全漏洞，在窃取客户账号、密码和证书等信息基础上，实施犯罪。对客户信息的窃取方式，典型的包括以下几种：1、银行IT人员监守自盗，窃取客户信息；2、通过网络攻击向计算机安装木马及间谍软件盗取客户信息；3、诱导客户通过超级链接等方式进入伪造的商业银行网站骗取客户信息；4、通过冒充银行发送电子邮件诱骗客户信息;5、假借银行之名发送短信诱骗客户信息；6、假冒银行客服打电话套取客户信息。

　　随着各类电子银行服务渠道的开通和拓展，银行对客户的服务更加方便、快捷。但是，与这些服务相配套的安全保障制度、机制和流程尚未完善，使得客户信息面临较大的安全风险。就这些渠道而言，很大程度上，安全的屏障就是客户密码。

　　网上银行的信息安全不能仅仅依赖于用户自我防范意识的提高。就银行而言，必须从技术、流程和人员三个方面，详细研究和建立网上银行的安全体系。

　　从技术上看，应研究建立支持多渠道的安全认证体系，例如支持指纹认证、身份证扫描识别、数字证书等渠道安全认证体系，以避免目前单一密码认证的缺陷。

　　从流程上看，应设计一套与多渠道服务相匹配的服务、管理和内控流程。通过流程的完善，对网络、自助设备、电话等渠道接入交易的额度进行控制，提高渠道接入的每笔交易的审查和稽核能力。在网站管理方面，针对域名，银行应该加强相关域名和网站的调查，及早发现对自身网上银行构成安全威胁的相关网站。应尽可能主动注册与自家网站相近似的、差别小的域名，从而预防用户误判。并可以通过国家立法或与域名管理机构协商，对于与银行注册网站相近的网站严格把关，一律不予注册。网站界面上，应明确加强防伪的标识，便于用户识别。

　　从人员和组织看，一方面要加强自身员工的安全意识，建立严格的授权和保密制度。另一方面，要加强对用户的培训。在开设网上银行等服务形式时，要通过培训手册等加强对用户进行安全知识的教育；要设置专门的用户体验区，实际指导用户完成第一次交易；要明确说明证书的重要作用，鼓励用户使用证书等等。
　　总而言之，银行在信息安全体系建设中，要自主加强制度建设，优化业务流程，强化安全意识，建立纵深安全技术体系，评估安全风险，审计安全隐患，使得各项产品创新能始终经受住安全的考验。