网银安全：道高一尺，魔高一丈

李晓锋告诉《每日经济新闻》，
首先，我们认为网络是不安全的，所以网银也不是完全安全的。在实体社会中，有相对完善的法律法规，有公安部门、信用体系等等，人与人也能见面，彼此有荣誉感和羞耻感，有道德约束等等，但网络环境里这些因素却是不完善或不
具备的。如果把黑客和网银比喻为攻守两方的话，他们之间一直就是在魔高一尺道高一丈，道高一尺魔高一丈的博弈状态。所以说，“安全是相对的，不安全是绝对的，没有一劳永逸的安全。”李晓锋表示，从纯技术上讲，目前
中国银行业安全方面总体上国内外的应用技术都是一样的，虽不能说技术是几乎一样，至少在物理手段上是同步的。中国的网上银行都采用了SSL数据加密，数据经过SSL加密以后应该是安全的，手段具备后，当然也需要相关的管理办法和操作流程来规范并严格执行。目前我国的法律法规环境也已经初步建立，尤其是2005年4月1号《电子签名法》颁布实施以后，具有了法律效力。同时信息产业部也颁布了《电子认证服务管理办法》，国家密码管理局颁布了《电子认证服务密码管理办法》，去年10月中国人民银行颁布了《电子支付指引》，今年3月银监会颁布了《电子银行业务管理办法》，这一切都表明相关法律法规环境逐步健全。除了物理防护手段外，银行的交易安全中，最
困扰交易双方的是下面的四个问题。第一，身份真实性如何确认。
有的客户并不能明确
辨别网站的真实性，网站也不能确实登录客户的真伪。第二，如何保证交易信息的保密性，即信息不被泄漏（银行同用户的共同责任）。第三，信息的完全性（要保证信息不被篡改）。第四，交易的不可否认性（一旦出现纠纷，要有一个权威公信的证明）。据《CFCA2005网上银行调查报告》表明：对网上银行，客户最关心的就是安全。但现状是，绝大多数用户都在使用账号/密码这种方式进行交易。这份调查报告表明目前网银2700多万的用户中，大概只有1/3的用户知道电子签名、数字认证书这种安全手段，而真正使用第三方认证机构CFCA数字证书来保护自己网上资金的仅为3%。在这种电子签名、数字证书认证机制中，必须有一个权威公正的第三方，交易的双方是基于对第三方的信任才建立起彼此的信任关系的。由于历史原因，原来没有相关的法律法规，个别银行用自己的CA向客户发放数字证书，提供认证。这意味着银行既做运动员又做裁判员，有失交易的公允，其合法性合理性已经受到媒体和客户的质疑。
不过这种现象正在
改善。工商银行、农业银行已经基本确立由CFCA提供数字证书进行安全认证。建行已经采用CFCA的数字证书。中国银行正在谈论中。除极个别银行，目前我国开设网上银行业务的商业银行都是由CFCA作为国家级、权威、公正的第三方认证机构来进行安全认证以保证其交易安全的。李晓锋表示，可以说，尽管网上银行中采用电子签名、数字证书的用户还很少，但实际上在各领域中还是应用得
最好的。令人担忧的是，
大量的第三方支付平台还没有采用这种数字认证手段，所以经常会发生一些欺诈行为，“我们也正和某些网站探讨这一问题。”（责任编辑 zhaohb musicemail#sohu.com TEL:（010）68476636-8007） 给力(0票)动心(0票)废话(0票)专业(0票)标题党(0票)路过(0票) 原文：网银安全：道高一尺，魔高一丈 返回网络安全首页