导读: 网上银行的安全一直是人们关注的一个话题。 接连出现的假冒银行网站、 网上窃取账号和密码等事件的发生, 让人们不禁产生疑问, 网上银行的安全系数究竟有多大? 记者为此采访了工商银行和华夏银行以及第三方支付平台网银在线。
《中国信息化》 记者 魏洁 自从美国在 1995 年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。 美国在 2002 年时, 约有 560 万个家庭每月至少使用一次网络银行功能或在线支付功能。 2003 年, 东亚银行、 汇丰银行等均在我国内地开办了 网络银行业务。 我国第一家网络银行出现于 1998 年。 有报道说, 到 2004 年底,我国网络银行个人客户已达到 1758 万户, 企业用户已达 60 万户, 网络银行交易量达到了49 万亿元。
但是, 正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时, 因安全问题引发的欺诈案件却接踵而来。 这使得消费者开始产生质疑, 不得不重新审视网络银行的可信度。 网络银行的安全究竟该如何认识? 问题是出在银行, 还是在消费者自身缺乏防范意识? 安全问题确实已成为网络银行发展过程中的一个聚焦。
形形色色的网银安全问题
网络银行, 又称网上银行或在线银行, 是指银行以自己的计算机系统为主体, 以单位和个人的计算机为入网操作终端, 借助互联网技术, 通过网络向客户提供银行服务的虚拟银行柜台。 简单地说, 网络银行就是互联网上的虚拟银行柜台, 它把传统银行的业务“搬到”网上, 在网络上实现银行的业务操作。
在西方发达国家, 网络银行业务一般分为三类, 即信息服务、 客户交流服务和银行交易服务。 信息服务是银行通过互联网向客户提供产品和服务。 客户交流服务包括电子邮件、 帐户查询、 贷款申请等。 银行交易服务包括个人业务和公司业务, 前者包括转帐、 汇款、 代缴费用、 按揭贷款、 证券买卖、 外汇买卖等; 后者包括结算、 信贷、 投资等。 银行交易服务是网络银行的主体业务。
网络银行的特点是客户只要拥有帐号和密码, 便能在世界各地通过互联网, 进入网络银行处理交易。 与传统银行业务相比, 网络银行的优势体现在, 不仅能够大大降低银行的经营成本, 还有利于扩大客户群, 交叉销售产品, 吸引和保留优质客户。 由于客户采用的是公共浏览器软件和公共网络资源, 节省了银行对客户端的软、 硬件开发和维护费用。 网络银行的无时空限制的特点, 打破了传统业务受地域和时间的限制, 能在任何时候、 任何地方为客户提供金融服务; 并且在整合各类交叉销售产品信息的基础上, 实现金融创新, 为客户提供更具个性化的服务。
网络银行发展的模式有两种, 一是完全依赖于互联网的无形的电子银行, 也叫“虚拟银行”;另一种是在现有的传统银行的基础上, 利用互联网开展传统的银行业务交易服务。 因此, 事实上, 我国还没有出现真正意义上的网络银行, 也就是“虚拟银行”, 国内现在的网络银行基本都属于第二种模式。
对于银行来讲, 历来是“信用第一”。 网络银行既然是互联网的产物, 互联网所带来的一切安全隐患, 自然会波及网络银行, 影响其信用。 因此, 网络银行的安全问题不仅是客户最担心的事情, 也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外, 利用网络银行进行欺诈的行为是当前危害最大、 影响最恶劣的一个安全问题。 这些欺诈手段包括假冒银行网站、 电子邮件欺诈和网上交易陷阱等。 假冒银行网站具有很强的隐蔽性, 其域名通常和真实银行的域名相差一个字母或数字, 主页则与真实银行的非常相似。 欺诈邮件是提供一个与银行或购物网站极为相似的链接, 收到此类邮件的用户一旦点击这个链接, 紧接着页面会提示用户继续输入自己的帐户信息; 如果用户填写了此类信息, 这些信息将最终落入诈骗者手中。 而网上交易陷阱则是, 一些不知名的购物网站通常会打出超低价商品等信息, 待用户点击付款链接时就将用户的银行资料骗取出去。
面对发生在网络银行上形形色色的安全问题, 各家银行的反映如何? 它们都采取了 哪些相应的措施?
银行篇: 该出手时就出手
8 月份, 国内 14 家商业银行与中国金融认证中心(CFCA) 联合推出“2005 放心安全用网银”的活动。 银行界与第三方安全认证机构联手行动, 为广大消费者提供了一次了解网上银行和信息安全知识的机会。
在这 14 家银行中, 中国工商银行于 2000 年推出了网上银行。 通过采用国际先进的技术安全措施和严格的风险控制手段, 工行建立了 一整套严密的网上银行技术与制度体系, 确保了网上银行安全的运行。
中国工商银行电子银行部副处长尚阳向记者介绍说, 利用网上银行进行欺诈行为, 骗取客户资金, 目前主要有四种类型: 一是不法分子通过电子邮件冒充知名公司, 特别是冒充银行,以系统升级等名义诱骗不知情的用户点击进入假网站, 并要求他们同时输入自己的账号、 网上银行登录密码、 支付密码等敏感信息。 二是不法分子利用网络聊天, 以网友的身份低价兜售网络游戏装备、 数字卡等商品, 诱骗用户登录犯罪嫌疑人提供的假网站地址, 输入银行账号、 登录密码和支付密码。 三是不法分子利用一些人喜欢下载、 打开一些来路不明的程序、游戏、 邮件等不良上网习惯, 有可能通过这些程序、 邮件等将木马病毒置入客户的计算机内,一旦客户利用这种“中毒”的计算机登录网上银行, 客户的账号和密码就有可能被不法分子窃取。 例如, 人们在网吧等公共电脑上网时, 网吧电脑内有可能预先埋伏木马程序, 账号、 密码等敏感信息。 四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理, 通过试探等方式可能猜测出密码。 所以, 为了保证信息和资金的安全, 我们不仅需要具备辨识网络诈骗的能力, 更需要养成良好的网上银行使用习惯。 当然, 如果用户申请了客户证书, 就可以有效防范目前常见的各种网络犯罪, 确保用户资金安全无忧。
工商银行网上银行系统的安全保障是多层的, 包括网上银行技术安全和业务安全, 二者共同构成了一个完备的网上银行安全体系。
从技术安全的层面上, 网上银行的技术安全包括网络安全和交易安全两个方面。 网络安全确保工行网站的安全可靠, 交易安全确保客户通过网上银行进行交易的资金安全。 其中, 网络安全涉及系统安全、 网络运行安全等。 系统安全实际上指的是主机和服务器的安全,主要包括反病毒、 系统安全检测、 入侵检测(监控)和审计分析; 网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。 工商银行为保障网上银行的网络安全性, 采取了 一系列措施, 包括: 在互联网与网上银行服务器之间设置第一道防火墙,在门户网站服务器和工行内部网络(应用服务器) 之间设置第二道防火墙。 第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品, 设置不同的安全策略, 使黑客即使攻破第一道防火墙, 也无法轻易攻破第二道防火墙而进入内部网络, 等等。
在确保网络安全的同时, 工行网上银行还采取了一系列确保网上交易安全的措施, 包括采用中国金融认证中心(CFCA) 提供的、 目前最严密的 1024 位证书认证和 128 位 SSL 加密的公钥证书安全体系等等。 根据客户对方便性和安全级别要求的不同, 工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行, 首先要验证客户的账号(或自己设立的登录 ID) 和登录密码, 对外支付还必须验证支付密码。 此外, 通过增加密码难度(必须是 6—30 位数字与字母的组合)、 设置虚拟“e”卡(专门用于网上购物) 和每日支付最高限额等一系列方式, 最大限度地保证客户安全使用网上银行。 对于申请了证书的客户,工行 USBKey 客户证书是一个外形类似 U 盘的智能芯片, 是网上银行的“身份证”和“安全钥匙”, 也是目前安全级别最高的一种安全措施。 客户申请了 这个证书后, 网上所有涉及资金对外转移的操作, 都必须通过这个客户证书才能完成, 而此证书, 仅客户自己保管和使用。换句话说, 账号、 登录密码、 支付密码、 客户证书、 证书密码等种种安全防范措施, 只要其中一样没有丢失或泄露, 或即使丢失, 只要密码和证书没有被同一个人获得, 就不存在资金安全问题。除了技术安全外, 工行在业务安全层面上, 制定了健全的内部柜员操作管理机制。 整个网上银行的内部管理系统, 都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立 4 类 9 级柜员制度, 逐级管理,每一级对下一级有管理、 监督的权限。 同时柜员在进行一些关键性操作时, 还需要上一级柜员的实时审核, 防止单人作案。
那么, 用户应该如何安全使用网上银行? 尚阳副处长说, 对于有了客户证书的客户来说,只要密码和证书没有被同一个人获得, 就能确保客户资金的安全。 而没有申请客户证书的客户, 只要保管好自己的账号和密码以及支付密码, 就是非常安全的。 总而言之, 有几点需要提醒人们: 1.要妥善保管好自己的账号和密码。 2.谨防假网站索要账号、 密码、 支付密码等客户敏感信息。 3.维护好自己的电脑。 不要轻易下载一些来历不明的软件。 最好不要在公共场所(如网吧、 公共图书馆等) 使用网上银行。 4、 最有效的方式就是到工行网点申请一个客户证书。 一旦拥有了 自己的客户证书, 就可以有效防范诸如假网站、 “木马”病毒等网络诈骗; 换句话说, 即使假网站、 “木马”病毒通过欺骗等手段获得了您的账号、 密码等敏感信息,但有了证书, 照样可以安心使用网上银行。
华夏银行也是在 2000 年开始着手网络银行业务的。 自 2001 年 5 月 17 日发生第一笔网上银行交易, 截至 2005 年 6 月, 网上银行的企业客户数接近 1.2 万个, 个人注册客户数接近21 万个; 累计交易金额超过 7500 亿元, 交易笔数超过 44 万笔。据华夏银行网络银行部网银业务室副经理高静文介绍说, 国家计算机网络应急技术处理协调中心(CNCERT/CC) 的报告显示, 2004 年上半年, 我国的主机被用于进行各类网络欺诈的事件有 20 起左右, 同年 7 月至 10 月已经超过了 110 起。 随着网上银行应用的普及, 这样的欺诈事件会越来越多, 犯罪分子利用的技术手段也越来越先进。 他们窃取银行客户账号和密码, 给用户的资金安全造成了严重的威胁。