央视近日在其“3·15”晚会上曝光称“黑客盗取网银信息并将其廉价出卖”。紧随其后,一股强大的“网银关停潮”似乎开始孕育催生———连日来,诸如“你关了自己的网银吗?”“你准备关掉自己的网银吗?”之类的交流,已在各大网络论坛、社区加热和蔓延。对于广大已经或者正在习惯使用网银的消费者来说,放弃使用将必然对自己的日常生活带来不少影响,但不难注意到,在资金的“安全”面前,更多的消费者还是宁愿“多一点麻烦、少一些损失”。
事实上,网银的安全性一直都是人们关注和争议的焦点。包括中国金融认证中心(CFCA)在内权威第三方安全认证机构也不得不承认,任何一个与网银相关的产品,首先都需接受安全性的拷问。
然而,网银是否就因此因噎废食?网银到底安全几许?究竟该如何安全使用网银?带着这些问题,记者与CFCA的信息安全专家展开了交流,他们认为,只要采取有效的措施,网上银行是可以放心使用的。
国内网银市场不会因噎废食
CFCA的信息安全专家告诉记者,网上银行在我国已经不能算是一个新鲜事物了,到今天已经有十多年的发展历史。从上个世纪末第一笔网上银行交易开始,网上银行现在已经成为大众普遍使用的交易渠道之一。
据不完全统计,2008年的网上银行交易额接近300万亿元。“这是一个什么概念呢?2008年我国国内生产总值约30万亿元,也就是说,有相当于当年国内生产总值10倍的资金是通过网上银行的渠道进行交易的。”
专家分析说,在国内的很多银行,网银业务已经占到传统柜台业务的30%以上。因此,无论对企业还是个人来说,网上银行发展迅速,确确实实已经成为我们生活中不可或缺的一部分。
此外,由中国银行业协会近日发布的《2008年度银行业改进服务情况报告》也显示,截至2008年末,全国银行业金融机构网上银行个人客户达到14814.63万户,较年初增加5119.74万户,增速达到52.81%;网上银行企业客户达到414.36万户,较年初增加223.63万户,增长117.25%。电子银行2008年度交易金额为301.80万亿元。
针对央视此次曝光的现象,多家受访的商业银行相关人士都表示,目前,网银信息被盗、被滥用的现象虽然比较严重,但这并非我国网银市场的主流,因此不能因噎废食。他们还认为,如果网银客户按照银行的指示操作,安全是有保障的。
数字证书为网银安全交易护航
“在网上银行的信息安全保障措施方面,其实,国内银行早已摆脱了对账号密码的单纯依赖,从技术层面讲,具有很高的安全性。”
据CFCA的专家介绍,目前国内普遍采用双因素、多因素的认证手段,比如采用数字证书或动态口令。“数字证书几乎是所有银行都普遍采用的方式,也是用户最重要的保障手段”。
他进而提示说,用户在开办网银的时候,要记得领取数字证书;而在用户登录网银时,则必须正确提供数字证书和PIN码才可以;此外,还有交易密码、预留验证信息、手机短信等多重保护。
“概括地讲,网上银行安全=数字证书+三道关,采用数字证书是核心,登录正确网站、保护个人电脑安全、保护好密码和证书是关键。”专家还支招说,即使对网络安全知识不太了解的用户也不用担心,有很多简单的办法来做到这三点。
一是登录正确的银行网站:直接输入银行网址,而不是从不熟悉的邮件或网站链接进去。
二是保护电脑安全:安装防病毒软件,并及时更新病毒库。中国金融认证中心也已经在许多银行的网站上免费为用户提供“网银病毒专杀工具”,专门针对盗取网银信息的木马病毒。
三是保护密码,正确使用数字证书:保护密码大家比较熟悉,这里重点介绍保护数字证书。证书可以存放在电脑里,也可以存放在硬件介质USBkey里。如果存放在电脑里,就要保护电脑安全。中国金融认证中心(CFCA)免费向大众提供的“证书保险箱”,就是专门用于保护存放在电脑中的证书的。如果存放在USBkey里,注意使用后要及时拔出。
交易安全不仅要防,还要主动出击
专家说,网上银行安全是一个综合体系,不仅包括信息安全保障措施,还包括对不法分子的打击,以及对用户权益的保障。
据了解,针对目前网络不法分子制作、倒卖、诈骗的隐性链条,CFCA此前已经联合国内十多家银行和国家公安机关建立了“网银反欺诈联动机制”,建立联系人对口网络、对可疑账户进行及时布控、加强公安部门和银行之间的信息联动。
特别值得一提的是,在刚刚结束的全国两会上通过的《刑法(修正案)》,明确提出要对木马病毒罪行进行严惩。专家认为,这说明网络盗取用户各类账号信息的打击行动,今后将得到法律支持,钓鱼网站进行欺骗等不法手段也将受到法律的威慑;同时,整治木马病毒“黑色产业链”从此将有法可依,凡是提供工具、程序以用来入侵、控制和非法获取信息的行为将难逃法律惩罚。
专家指出,从近几年网银案件的特点来看,一旦出现网银不安全事件,用户往往感到束手无策,不知道该怎么办。对于网银用户而言,做好防护的同时还要主动出击,一攻一防不可偏废———这其中包括正确使用电子签名、借助合法第三方认证机构签发的数字证书等。
根据《中华人民共和国电子签名法》规定,有效电子签名的法律效力等同于手写签名和盖章,这是所有网上交易的法律基石。也就是说,虽然交易是在网上进行的,虽然没有纸介质的凭证,但只要使用了有效的电子签名,法律上是完全有效的。
不过专家提示说,要保证电子签名的有效性,使用合法第三方认证机构签发的数字证书是关键。
《电子签名法》中已经明确规定,如果交易双方在民事活动中遭受损失,电子认证服务提供者是有举证义务的,如果不能证明自己无过错,第三方认证机构要承担赔偿责任。也就是说,用户可以向第三方认证机构提出请求,由第三方认证机构来承担举证义务。尤其对于广大用户来说,面临网上银行的高技术门槛,照样也可以有效保护自己的合法权益。
问题在于,目前国内绝大部分银行都采用了第三方认证机构签发的数字证书,但还有一些银行没有采用,不仅使网上交易的法律基础存在风险,而且也丧失了第三方认证机构对用户合法权益的保护。本报驻京记者郑春峰
■银行回应
必要安全管理可大降“被黑”几率
昨日,媒体工作者甄先生一走进某银行网点,即在客户经理极力游说下办理了网上银行业务。当甄先生回到办公室读到近期有关网银安全的报道时,不免对其刚刚办好的网银业务产生担心。
对此,本报记者昨日采访了多家银行,获得了银行关于安全使用网银方面的回应。
广东工行:三方面入手保安全使用网上银行
工行广东省分行相关人士接受本报记者采访时表示,黑客基本上都是利用网上银行个人用户在电脑设置以及个人信息管理上的一些疏忽来盗取客户信息的,因此,建议客户从对自己的电脑进行安全管理、选择必要的安全工具,以及养成良好的上网习惯三方面入手做到安全使用网上银行。据悉,工行网上银行系统为6000万个人用户和100多万企业用户提供服务,每年通过工行网上银行系统进行的资金往来超过100万亿元。
面对可能出现的来势汹汹的“黑客袭击”,广东工行建议,客户对自己的电脑系统做一些必要的安全管理,可以极大地降低黑客访问的几率。该行推荐客户使用Windows2000(SP4)、IE6.0(SP1)以上版本的操作系统,并定期下载安装最新的操作系统和浏览器安全程序或补丁。此外,广东工行提议选择必要的安全工具包括U盾、口令卡,以及余额变动提醒、手机短信认证、预留验证信息、小e安全检测等服务。
广东农行:已实行双重身份认证的措施
而昨日广东农行也向本报记者介绍,对于个人注册用户,该行已经实现中国银监会提出双重身份认证的措施。目前,农行个人注册用户使用的网上银行证书有两种模式,分别是IE浏览器证书和附有物理介质的网上银行KEY证书。除了使用介质数字证书作为有效的安全保障措施外,农行网上银行系统还采用了防火墙、入侵检测等多种安全措施,能够有效阻止来自互联网上的各种网络攻击,而进行转账交易所使用的图形码和密码键盘是防范风险的另一种有效保障措施。