被迫“妖魔化”的网银安全

技术上的安全隐患不足为虑，终究可以通过技术手段来解决；心理上的安全隐患，则超出了技术手段的能力范围。

当前网上银行面临的最大安全问题不是技术上的漏洞，而是民众骨子里面对网上银行安全的恐慌。而民众的这种恐慌，则来源于媒体对网上银行安全的妖魔化报道。

何为妖魔化？最简单的理解就是：把本非妖魔的事物说成妖魔。比如民工，比如女大学生，再比如河南人，被媒体无限放大其群体中的负面个案，从而整个群体都成了妖魔。

“当下，网上银行有可能成为妖魔化报道的下一个受害者”，某银行电子银行部经理在接受记者采访时不无担忧的说。

人咬狗式新闻原则的产物

“狗咬人不是新闻，人咬狗才是新闻”，在媒体竞争激烈的时代，这成了多数媒体新闻报道的终极追求。

体现在网上银行上，很多的媒体都不屑于报道其便利、高效、交易成本低等特点，不屑于报道其在安全方面采用了最高国际安全级别的防护手段，不屑于报道网上银行用户逐年成倍增长、交易额成倍增长等事实。因为这些正面的新闻属于“狗咬人”，算不了新闻，报道出去也不会被人们所关注。

而“信用卡被盗”、“网银大盗”、“网络钓鱼”、“假银行网站”等网上银行的负面个案一爆出，各大媒体便会争相报道，专业人士的手机都会被打爆，因为这属于“人咬狗”，是大新闻。

假工行网站事件发生仅一天，相关新闻就被近500家网站转载。在Google中输入“假工行网站”进行查询，不到0.1秒时间系统就会呈现出227000多条相关新闻。而中国工商银行电子银行部副总经理龙春玲在接受媒体采访时说的“截止目前工行网上银行尚未发现一例安全系统被攻破的案例”的新闻，到了2005年8月22日，Google里面仍只有10条相关新闻，且有5条是类似新闻还被省略掉。

美国、日本信用卡被盗，虽然跟我国网上银行系统、与根本就不出国的广大信用卡用户关系并不是很大，对国内用户造成的损失也微乎其微，但却也搞得我们全民谈信用卡而色变。同样是一天，上百万条相关新闻在Google里面候着，等待有需要的人去检索。与之对应，中国人民公安大学信息安全工程系教授王斌君针对此事所说的“信用卡信息泄露对中国用户的影响不大”的新闻，仅有几百条相关链接。

还有更多的报道个案，鉴于篇幅的关系不能在此一一列举。试想，一个普通用户，整天看到的新闻，10条里面都没有一条正面介绍网银优点，而全是其安全隐患的文章，谁还敢去使用网上银行？

被忽略的国内网上银行安全

仔细阅读互联网上有关网上银行不安全的新闻，我们会发现，里面的案例大多是国外的，国内网上银行发生的安全事件少之又少。也就是说，国内网上银行其实比国外网上银行更加安全。为什么？这首先得益于中国的银行卡现状。

在国外，使用网上银行或第三方支付时，用户大多选择用信用卡账户。因为使用信用卡一般只需要邮件号码、用户姓名和卡号，且可以透支，所以盗窃者只要拿到用户的这三项相关资料就可以从用户账户上盗走大量资金。

而在国内，由于信用卡还不是十分普及，人们在使用网上银行或是第三方支付时，使用最多的是借记卡而不是信用卡。在完成支付过程的时候，除了需要卡号、用户姓名外，还需要用户自行设定账户支出密码，每次支出还有金额限制（一般个人银行每天最多可以划账5000元），超过此金额就得另外输入密码才可以完成转账过程。这大大降低了国内网上银行转账时资金被盗的风险。

其次，用户在使用网上银行进行支付时，一般需要两个密码——登陆密码和使用密码。登陆网上银行时使用第一个密码，而在发生资金流动时需要再输入第二个密码，第一个密码只有账户查询等功能。

国内网银安全环环套

到底各大银行怎么看待网上银行安全？各大银行在保证网上银行交易的安全方面做了哪些工作呢？本刊记者采访了招商银行个人银行部总经理曹彤和工商银行总行电子银行部推进处周永林副处长两位业内专家。

“其实，很多时候，网上银行的安全程度还高于传统业务模式。因为银行在提供网上银行的同时，各家都设置了一套规范的安全措施以保障使用网上银行的安全”，两位都表示自家银行在安全规范方面都做得非常不错。

以招商银行为例，首先登陆时要求安全控制，分为软加密控制和硬加密控制。前者是指用户登陆网上银行时需要用户名和密码，而后者指用户登陆时必须使用加密IC卡。企业用户使用网上银行时必须采取IC卡加密码两种方式才能成功登陆。另外，密码为8位数，连续5次输错，便会被自动锁住。

其次是权限设制。登陆系统之后，每个用户的权限都是根据企业的需要来制定和分配的，每一笔动款业务一个用户只能操作一次。比如说“经办”操作一次后，就不能再操作“审批”。因此实现一笔业务至少需要两个或两个以上用户才能完成。拥有不同权限的用户，所能看到的系统菜单也有不同，很多菜单会对权限低的用户进行屏蔽。通过以上的安全措施，可以保证公司的财务安全。其实里面的很多措施比如说权限制定这一块，连传统业务都做不到。

作为最大的商业银行，中国工商银行在给用户开办网上支付账户时，会劝用户购买专为网上银行开发的USBkey客户证书（企业是强制购买），形状类似于U盘的硬件设备。是工商银行与捷德等国际知名公司共同合作开发，并应用了智能芯片信息加密技术的一种数字签名工具。一旦您把自己在银行的账户纳入此证书管理，在网上银行办理转账汇款、B2C支付等业务都必须启用客户证书进行验证。客户证书是唯一的，不可复制。任何人都无法利用用户的身份信息和账户信息通过互联网盗取用户的资金。

为了保护那些未采用USBkey客户证书的用户安全地使用网银，工商银行也从三方面做了保障工作：

第一，工行网上银行采用国内自行开发的高强度加密算法，以及128位SSL安全加密技术，安全证书是采用VeriSign公司颁发的128位服务器证书。

第二，工行网上银行采用ActiveX控件输入密码方式。当用户首次通过个人网上银行控件登录时，登录页面会有下载控件的过程，用户只需要下载一次控件，以后再访问登录页面，控件直接在本机被激活而不需要再次下载。该ActiveX控件是微软公司为工行开发的利用Windows的底层函数在黑客程序之前截取键盘事件信息，这样黑客程序就无法获得用户的密码，从而大大提高了网银使用的安全性。

第三，工商银行还对无证书客户进行转账、B2C等交易时从金额上进行了限制。B2C单笔和当日累计最多为3000元人民币；转账汇款单笔最高2000元人民币，当日累计最高5000元人民币。自助注册的客户不具备“对外转账权限”，如需开通此权限，需要由本人携带有效身份证件和网银注册卡到柜台办理。

同样，用户在申请建设银行、农业银行、交通银行等网上银行服务时，也会被要求采用USBkey客户认证、数字保护认证、IE浏览器证书等。而只有中国银行在个人支付方面采用SET协议进行安全控制，而在对企业认证方面则采用SSL协议。

那么网银安全吗？从这些保障措施看来，网上银行其实是最安全的。

传统商业银行将在21世纪灭绝

“传统商业银行将在21灭绝”，这是比尔·盖茨说过的话。

以前，在银行才能办的转账、汇款、购物、代缴费等，现在只需坐在家里，轻点鼠标就能办妥，这是网上银行的优势。此外，交易成本的低廉更使它成为未来银行竞争的焦点。

据业内分析，实体银行网点每笔交易的费用为1.07元，电话银行为0.45元，ATM自助银行为0.27元，而网上银行成本仅为0.01元。

我国目前已有20多家银行的200多个分支机构拥有网址、主页，其中，开展实质性网上银行业务的分支机构达50余家，企业、个人用户数量超过2000万，每年超过千亿元资金在网上流通。

在一次会议上，中国工商银行电子银行部副总经理龙春玲给了记者这样一组数据：工商银行2004年B2C在线支付实现交易笔数就突破1000万笔，交易金额超过57亿元，工商银行网上银行2004年全年的交易额更是达到了34万亿元，平均每日达到931.5亿元。且2005年头两个月，网上银行交易额就超过6.1万亿元，比去年同期增长了22.8%。

这些数字都说明，网上银行并不像媒体宣传中那样脆弱，黑客、病毒一攻就破，其实网上银行在中国有着广泛的应用前景。只要加以合理引导，国内必将迎来网上银行发展的春天。

“安全”替 “操作复杂”背了黑锅

任何一项体育比赛，多年后我们能记住、并经常评说的永远都是金牌选手，而银牌选手从登上领奖台的那刻起就注定将要被遗忘。同样，在调查一些事件原因的时候，我们很多时候也只是盯着第一责任人，只要他承担了责任，从第二名以下好像就不用追究了。

目前，有一种普遍意识，认为网络银行不被广大民众普遍接受的第一原因是民众对网上银行安全的担心。系统不安全，这本来是银行及其合作伙伴的责任，但他们不是去承担责任并改进系统，而是发动宣传力量，跟咨询公司合作，发布了对他们非常有利的调查数据，比如iResearch联合声明说“国内网上银行是安全的，据相关机构调查表明，有85%的网银安全事件由于用户操作不当造成”，将责任又推给了用户。

不可否认用户操作很多时候会有不当，但网银系统就一定要做得非常复杂？普通的用户，有几个能将CA认证导入、导出电脑？

同样是在这份由iResearch公司发布的调查报告中，排名第二位的“不知道如何使用网上银行”这一原因却很少有媒体提及。

刘小姐大学毕业后在一家律师事务所工作，这天来到银行，正赶上银行推销网上银行的专业版本。刘小姐被说得心动，掏70多元购买了一套，结果回家和老公折腾了一个多小时也没把软件装上。据刘小姐说，说明手册厚得像一本杂志，自己实在不知道如何操作。

如果从知识水平上来看，刘小姐和他的老公都受过高等教育，应该属于知识分子，他们都不知道如何操作，更多的普通用户怎么办？他们知道如何去下载补丁、安全控件，安装银行根证以及证书驱动，有几个能最终安装好？

本刊在阿里巴巴商人论坛调查显示，80%的用户希望网上银行系统能够设计得更加简单。不过，从这月开始，网上银行的用户们可能不用再为这个事情担心了。由金融认证中心联合14家商业银行为宣传安全、放心使用网上银行而开发的Flash游戏——“网银大赢家”正式发布，用户通过游戏的网游健身操、网银大学堂、网银股市、网银大丰收、网银神枪手等七个环节，在休闲、游戏的同时也可将安全使用网银的知识学习到手。

正如华夏银行网络部总经理黎清所说：“网上银行其实非常安全，但由于宣传的不够，很多潜在用户还不是特别明白网上银行怎样才安全？这次跟CFCA合作，通过休闲游戏来普及安全使用网银安全知识，这将帮助那些不太熟悉互联网的用户快速熟悉网上银行操作。只要将功能和用法宣传透彻，用户自然会更多地使用网上银行。”

从某种意义上说，网络银行的安全在很大程度上为网银系统操作的复杂性背了黑锅，因为网银系统操作复杂才是网上银行普及不力的主要原因。

名词解释

CA（Certification Authority）：是认证机构的国际通称，它是对数字证书的申请者发放、管理、取消数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（用数学方法在证书上签字），以防证书被伪造或篡改。

数字证书：也被称作CA证书（简称证书），实际是一串很长的数学编码，包含有客户的基本信息及CA的签字，通常保存在电脑硬盘或IC卡中。

根证书 ：是CA认证中心给自己颁发的证书，是信任链的起始点。安装根证书意味着对这个CA认证中心的信任。首次登录网上银行，根据系统提示必须下载并安装建行CA认证中心颁发的根证书及您的客户证书（二者缺一不可），以保证您网上交易的安全。

USBkey客户证书 ：指的是一个带智能芯片、形状类似于闪存（即U盘）的实物硬件，能有效防范包括“假网站”和“木马”病毒在内的各类可能的风险，是专门用于网上银行的安全通行证。

128位加密 ：从客户的个人电脑至中国工商银行之间的所有往来数据都经过“加密”和“解密”的过程，以保护客户的个人财务信息。其“密钥”的组合有2的128次方种可能，但只有一种可以解密信息。

常见问题

IE浏览器证书和 USBkey 证书各自有什么特点？

IE浏览器证书：存储于 IE 浏览器中，可任意备份证书和私钥。客户端不需要安装驱动程序，且无需证书成本。

USBkey 客户证书： USBkey中内置了智能芯片，并有专用安全区来保存证书私钥，USBkey证书私钥不能导出，因此备份的文件无法使用，其安全性高于浏览器证书。客户使用时需要安装 USBkey 驱动程序，USBkey证书需要证书成本。但 USBkey 证书容易随身携带。

IE浏览器证书比较适合有固定上网地点的客户，USBkey 证书则相反。两者各有优劣，选择哪种应根据自身需求而定。（lynn）

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。