●全国各类电子认证中心已超过百家
●主动为用户承担安全责任的机构尚少
●电脑病毒已经成为一种社会公害
●网上银行可以大幅度降低交易成本
主持人语
“网银大盗”、
李晓峰刘永春毛一丁
“网络钓鱼”“网银大盗”肆虐
主持人:现在常常听到关于“网络钓鱼”的报道,请问什么是“网络钓鱼”
毛一丁:“网络钓鱼”很大程度是利用了人们图方便的心理,骗子们通常是通过网页或电子邮件发送伪装的网上银行地址,很多人不愿输入一长串网络地址,只要点击了这类链接,就会被引到伪装的网上银行网站上。骗子们会诱使你输入账号、密码。一旦骗子掌握了你的账号和密码,那么你的存款就有危险了。国际“反‘钓鱼’工作组”在去年7月到10月的统计数据显示,被举报的“钓鱼”网站月均增长25%以上,到10月底达1132起。
主持人:这种诈骗不仅直接损害了当事人,而且极大地打击了人们对网上银行的信心。前一段时间肆虐的“网银大盗”又是怎么回事?
刘永春:“网银大盗”系列病毒有好多个变种,都属于木马。一旦网银大盗病毒潜入你的电脑,就会自动扫描所有窗口的标题。如果发现窗口标题包含“网络银行”、“银行客户端”等字样时,便会在检测窗口内输入框中的文字,并把该文字发送到木马作者的邮箱里。木马作者会分析获得的文字,从文字中可以很容易得到账户和密码。
主持人:既然有这么多的安全隐患,为什么还要继续使用网上银行?
李晓峰:使用网上银行可以降低交易成本。我看过一份研究报告,完成一次网上银行交易的成本是1分钱,完全一次传统银行交易的成本超过1元钱。因此,银行业发展网上银行业务是大势所趋。
毛一丁:在效率、便捷等方面,网上银行有着传统银行无可比拟的优势。
识别身份是确保网上交易安全的关键
主持人:互联网上很容易隐匿身份,有一句话说得好,“在互联网上没有人知道你是一条狗”。但是,为了保证网上银行的安全,我们又必须知道交易双方的身份,请问,目前在网上识别用户身份的技术有哪些?
刘永春:传统的方式是设置口令,随着技术的发展,又出现了动态口令、指纹识别、虹膜识别等技术。
李晓峰:但国际公认,最安全、最值得推广的身份识别技术是电子签名(CA)。电子认证中心就是提供电子签名服务的机构。采用电子签名可以有效地防范“网络钓鱼”和“网银大盗”的破坏。
主持人:这几年来,建电子认证中心成了一个热点,一些部门和一些地方政府纷纷成立电子认证中心,据不完全统计,我国已有100多个电子认证中心。这是否算重复建设?
李晓峰:我国并不需要这么多的身份认证中心。一些部门和一些地方盲目建设电子认证中心,实际使用的人很少,造成很大的浪费。建设一个像中国金融认证中心这样规模的电子认证中心,大约需要投入上亿元,这还不包括在高素质人才上的投入。据我所知,国家有关部门正在起草电子认证中心的准入规则,电子认证中心的注册资本可能设定在几千万元。
主持人:在一些国家,如果你的信用卡被骗子假冒,造成的损失不是由你承担,而是由银行承担,事实上最终承担损失的是保险公司。但在国内发生类似情况时,银行和用户常常为此而“扯皮”。其实,如果银行方面能够主动承担损失,消费者也就能够“放心安全用网银”了。
李晓峰:目前国内银行确实还没有出台这方面的规定。
主持人:在这样的背景下如何保障网上交易的安全?
李晓峰:我们与银行签有协议,采用我们提供的认证服务,如果出了问题,我们将进行赔偿,对企业用户的最高赔付金额为80万元,对个人用户的最高赔付金额为2万元。
共同筑起“铜墙铁壁”
主持人:今年,在中国金融认证中心的倡导下,各大银行将掀起一场“放心安全用网银”活动,请问,网上银行何时才能安全起来?
毛一丁:我们曾经在去年年底指出过几家银行存在的安全隐患,为此还引起了某银行的抗议。
李晓峰:过去有人对网上银行有片面看法,是因为宣传不够,这也正是开展“放心安全用网银”活动的目的。第一,要把安全状态如实地告诉大众,真实的情况不像一些媒体所说的那样不堪一击、漏洞百出。第二,要宣传用电子银行的常识。在一些案件中,是用户使用的问题,并不是网上银行本身出了问题。
毛一丁:有时候,我的电子信箱中能自动收到从来不认识的人的邮件,甚至能收到同行的商业秘密,如签订的合同、营销策略等。每当到了这个时候,我就意识到,看来是电脑病毒大爆发了。
李晓峰:提供电子认证服务的电子认证中心自身也要加强建设。中国金融认证中心的主机房存放着识别各银行和银行用户身份的信息,机房的上、下、前、后、左、右6个面都是钢板,可以防范物理冲击,也可以屏蔽电子辐射。机房的大门需要两个人同时操作才能开启,机房工作人员均经过严格的保密培训。这些都是保障网上银行交易安全的有效措施。
主持人:我注意到,1月7日,瑞星、金山加入了思科倡导的网络准入控制计划(NAC)。这个网络准入控制计划,看起来像是另外一种形式的身份认证――对连接到网络上的设备和软件的身份认证。
刘永春:网络准入控制计划是由思科公司倡导的业界合作计划。借助它,用户可以只允许合法的、值得信任的端点设备(例如PC、服务器、掌上电脑)接入网络,而不允许其他设备接入。
毛一丁:我们的起点比较低,只有广泛结盟,我们中国的产品才有可能在国际市场站住脚。瑞星非常高兴能与思科这样的业界巨人结盟。