【IT168 专稿】近日,“工行网银受害者集体维权联盟”一事在社会引起巨大的轰动与争论,几天之内,各城市民、网站网友都站出来对网上银行安全性进行指责、声讨以及追究责任,甚至有激进者认为网上银行应该从此消失,应受“千刀万剐”之刑。在大家的一片愤怒与怨气声中,银行方面终于站出来表明自己的立场和观点。当然,整件事情公说公有理,婆说婆有理,下面我们来看看银行方面的说法。
网银是大势所趋,不可逆转
网上银行的快捷、便利决定了网上银行是时代发展的潮流,是不可逆转的。同时,随着互联网的日益普及,开展网上银行业务,不仅是大势所趋,也是银行赢得未来竞争优势的关键和重点,顺潮流者生,逆潮流者亡,这是未来银行的命运。网上银行是随着互联网的兴起而诞生,它因其高效、便捷的特点而越来越受到人们的喜爱。以前人们只能到银行柜台办的银行业务,现在只要坐在家里,轻点鼠标就能办妥。查询、转账、缴费、理财等各项银行业务均可以通过网上银行办理。
事实上,除了银行传统的存取款业务外,几乎所有的银行业务目前都可以借助网上银行来办理。而网上银行的出现,标志着金融服务方式的重大变革。有专家曾大胆地预测:网上银行将最终取代传统的银行柜台经营模式,成为银行经营的主要方式。因此,在未来的银行业竞争中,谁占据了网络制高点,谁就会占尽先机。
安全与发展的关系
在谈到安全与发展两者之间的关系时,许多人都会认为安全更重要。然而作为商业化银行而言,在信息发展的过程中,发展应该摆在第一位,因为没有发展安全就无从谈起,没有发展就是最大的不安全,人们应该正确看待网上银行的安全性。
第一,安全与发展是辩证的关系。社会需要不断地向前发展,中国的步伐必须跟上世界的脚步,作为发展中国家,我们一步也不能落下。在建立网上银行之时,我们最初考虑到的是发展,然后再到安全,因为没发展安全就无法谈起,何况安全问题不仅仅是个技术性的问题,它还与社会道德、行业管理以及人们的行为模式都紧密地联系在一起了,这关系到整个社会的问题,并非银行单方面可以解决。
第二,安全是有成本和代价的。如果你希望你的电子银行更安全,你就必然付出一定的代价,好比现在的电子口令卡、U盾等等,它们都需要你付出的相应金钱才能享受更安全的措施;另外,你希望你的账号更安全,所要办理的手续越复杂越繁琐,这需要你付出精力的代价。往往许多人不愿意付出金钱与精力的代价,因此他得不到最保障的安全。天下没有免费的午餐,大家不要一边大声指责网上银行不安全,另一边又对它的安全保护措施置之不理。
第三,安全是发展的、动态的。任何事物不是一成不变的,当然也包括安全,安全是发展的、动态的,网络的攻防是此消彼长。但是道高一尺、魔高一丈的事情,全球的网上银行拥有的资金与技术会比黑客少吗?他们会没办法对付这一撮坏分子吗?
安全是互相的,保护是双方的
安全性确实是非常值得人们关注的,这是由于电子交易没有纸质凭证,可能先入为主地造成了人们不安全的观念。另外,黑客的攻击事件与事后的报道,也让人们对于安全性心怀芥蒂。作为银行方,我们保证我们有强大的技术保护银行系统安全。作为用户的你,是否以最大的努力保护了自己呢?保护是双方的,如果连用户也不懂得保护自己,银行的安全措施就无从说起了。
1、网银系统绝对安全
大家都说网银不安全,这只是人们对网银安全系统的不了解。网银在现实中所做的安全措施是非常强大的:首先是身份识别和CA认证。在网上银行系统中,用户的身份认证依靠基于“RSA公匙密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。其次是网络通讯的安全性。
由于互联网是一个开放的网络,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。SSL协议可以在两个通信间提供秘密而可靠的连接,用户登录并通过身份认证之后,用户和服务方之间在网络上传输的所有数据全部用会话密匙加密,直到用户退出系统为止。除此之外,各大银行还有自己独特的安全措施:
①工商银行:推出动态密码
工商银行正在推出网银动态密码,网银使用者每次登录时输入的密码都不一样。动态密码的使用者将获得一张刮刮卡,上面有多个密码,均被涂层覆盖。用户登录网银时,系统会提示“请输入**位置的密码”,使用者只要刮开相应位置的涂层,将该位置的密码输入,这个位置的密码用过一次即告作废。
②交通银行:一次性短信动态密码
需要进行小额转账的用户,可到交通银行网点签约网上银行,通过注册设置太平洋卡每日转账限额和预留注册手机号后,设置每日0至5万元的转账限额。转账确认时,用户需要输入短信动态密码。通过网络发送给客户的一次性短信动态密码,无法在互联网上被截取,从而保证客户资金账户的安全。需要经常进行大额转账的用户,可到交通银行网点签约网上银行,通过注册设置太平洋卡每日转账限额和购买USBKEY后,可以进行“卡卡转账”。
③浦东发展银行:两种安全保障手段
浦东发展银行提供数字证书、动态密码两种安全保障手段。前一种方式为:按照银行交给用户的密码信封,在网上银行“证书下载”页面上输入信息,就能将证书下载到用户的计算机里,或者装在形似U盘的芯片中随身携带。用户在网上银行进行操作时,证书会形成电子签名附在其发给银行的交易指令上,从而使银行能够认定使用者的身份,使他人无法破解、修改用户和银行间互相传递的信息。
④汇丰银行:两道密码的双重认证
该银行的网络银行用户都需强制使用动态密码机,第一次申请机器免费,除了以使用者代号、自设密码登录外,需再输入动态密码机上的1组动态密码,每位客户都有自己专属的密码机,因此银行可由这组动态密码确认账户为本人使用,从而产生两道密码的双重认证。此外,该行实施的动态密码仅供1次使用,6位数字的动态密码,将在16秒自动消失,可以避免密码遭窃。
⑤农业银行:USB-KEY存放证书
农业银行使用了多重高性能的防火墙保障后台银行系统的安全,网上交易除了使用了128位SSL加密传输防止客户信息被窃取和篡改,另外还提供农行特制的USB-KEY存放证书,USB-KEY客户证书私钥不能够被复制,因此安全性更强。农行个人网银系统在客户转账支付时还必须再次通过图形密码键盘输入转账密码,从而防止了木马程序窃取密码。
2、用户安全意识淡薄是损失的根本
到目前为止,国内网上银行交易额已达数千亿元,银行方还未出现过安全问题,只有个别客户由于保密意识不强而造成资金损失,因此可以说现在银网银安全问题主要来自用户环节。
① 中国工商银行:使用网银者嫌麻烦
中国工商银行上海分行电子银行部副总经理毕景星表示,工行早在1999年的世界电信日就推出了电话银行,算是国内最早成立网上银行部的银行。工行防范级别较高,有多重防火墙,当然也投入了不少人力物力。毕景星表示,到目前为止工行还没有被黑客攻击成功过。另外,关于如今广泛存在的钓鱼平台,毕景星认为这肯定不能认定只是银行的网络安全有问题,例如有人把www.icbc.com.cn换成www.lcbc.com.cn,这就需要域名注册机构的监管,这些监管部门也应该负有一定的社会责任。毕景星表示许多用户在使用网银业务的时候会嫌麻烦,为是造成安全隐患的一个极大因素。
② 中国建设银行:防范意识必须提高
中国建设银行上海分行某负责人表示,网上银行一直都是黑客瞄准的目标,实际上有很多黑客在攻击他们的网站,但没有一次是成功的。建行的系统安全是由北京总部统一安排,安全系统达到了B1级(商用较高级)。该负责人认为,安全问题要从两方面讲,建行系统是一方面,客户端是安全的另一方面。许多用户的防范意识不高,不但没有保护好电子证书,而且贪图方便随便把密码设置为自己的生日、电话号码等容易识破的数字。另外,他们在公用电脑,特别是在网吧等公用地方随便就输入自己的账号、密码,从而给了黑客有可乘之机。
③ 中国农业银行:账户被盗多因疏忽
中国农业银行某地分行则表示,自开通网上银行以来,黑客攻击没有对农行造成任何损失。农行主要从技术保障、主动对客户提醒、安全引导等方面来保障。对于一些“李鬼”现象,通过银行网点、网上银行等渠道及时发布向用户发出防范方法,并且会网站设置了安全专栏进行安全提示,引导客户使用网上银行的正确方法。不过,许多用户以这些防范措施都不以为然,以至于疏于防范,到了账号盗用之时,又把责任归咎到银行身上,这似乎有点不讲道理。
银行也是受害者
作为银行方来说,安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,我们都采取了有效的技术和业务手段来确保网上银行安全。从法律的角度来讲,银行只要把持好系统这关就可以,但我们也有义务去不断地提醒客户。安全和方便是一对矛盾体,作为银行方我们提醒用户不要为了图方便而忽略安全。
对于“工行网银受害者联盟集体维权”事件,从目前发生和已经侦破的案件来看,客户安全意识不强,没有保护好自己的账号、密码等重要信息,是导致网银资金被盗的根本原因。在这件事情上,银行方也是受害人,此次银行在声誉与经济上都蒙着极大的损失,如果说用户要求银行对客户的损失进行赔偿,甚至说要把银行告上法庭,那么作为受害者的银行又找谁说话去呢?
