網(wǎng)銀安全：道高一尺 魔高一丈

　　祝裕

　　專訪中國金融安全認(rèn)證中心總經(jīng)理李曉鋒

　　中國金融安全認(rèn)證中心（CFCA）是中國金融業(yè)唯一合法的、國家級權(quán)威第三方安全認(rèn)證機(jī)構(gòu)。是重要的國家金融安全基礎(chǔ)設(shè)施之一，在首屆信息社會日到來前夕，《每日經(jīng)濟(jì)

新聞》就網(wǎng)絡(luò)銀行的安全性問題采訪了CFCA總經(jīng)理李曉鋒。

　　李曉鋒告訴《每日經(jīng)濟(jì)新聞》，首先，我們認(rèn)為網(wǎng)絡(luò)是不安全的，所以網(wǎng)銀也不是完全安全的。在實體社會中，有相對完善的法律法規(guī)，有公安部門、信用體系等等，人與人也能見面，彼此有榮譽(yù)感和羞恥感，有道德約束等等，但網(wǎng)絡(luò)環(huán)境里這些因素卻是不完善或不具備的。如果把黑客和網(wǎng)銀比喻為攻守兩方的話，他們之間一直就是在魔高一尺道高一丈，道高一尺魔高一丈的博弈狀態(tài)。所以說，“安全是相對的，不安全是絕對的，沒有一勞永逸的安全。”

　　李曉鋒表示，從純技術(shù)上講，目前中國銀行業(yè)安全方面總體上國內(nèi)外的應(yīng)用技術(shù)都是一樣的，雖不能說技術(shù)是幾乎一樣，至少在物理手段上是同步的。中國的網(wǎng)上銀行都采用了SSL數(shù)據(jù)加密，數(shù)據(jù)經(jīng)過SSL加密以后應(yīng)該是安全的，手段具備后，當(dāng)然也需要相關(guān)的管理辦法和操作流程來規(guī)范并嚴(yán)格執(zhí)行。

　　目前我國的法律法規(guī)環(huán)境也已經(jīng)初步建立，尤其是2005年4月1號《電子簽名法》頒布實施以后，具有了法律效力。同時信息產(chǎn)業(yè)部也頒布了《電子認(rèn)證服務(wù)管理辦法》，國家密碼管理局頒布了《電子認(rèn)證服務(wù)密碼管理辦法》，去年10月中國人民銀行頒布了《電子支付指引》，今年3月銀監(jiān)會頒布了《電子銀行業(yè)務(wù)管理辦法》，這一切都表明相關(guān)法律法規(guī)環(huán)境逐步健全。

　　除了物理防護(hù)手段外，銀行的交易安全中，最困擾交易雙方的是下面的四個問題。

　　第一，身份真實性如何確認(rèn)。有的客戶并不能明確辨別網(wǎng)站的真實性，網(wǎng)站也不能確實登錄客戶的真?zhèn)巍?/p>

　　第二，如何保證交易信息的保密性，即信息不被泄漏（銀行同用戶的共同責(zé)任）。

　　第三，信息的完全性（要保證信息不被篡改）。

　　第四，交易的不可否認(rèn)性（一旦出現(xiàn)糾紛，要有一個權(quán)威公信的證明）。

　　據(jù)《CFCA2005網(wǎng)上銀行調(diào)查報告》表明：對網(wǎng)上銀行，客戶最關(guān)心的就是安全。但現(xiàn)狀是，絕大多數(shù)用戶都在使用賬號/密碼這種方式進(jìn)行交易。這份調(diào)查報告表明目前網(wǎng)銀2700多萬的用戶中，大概只有1/3的用戶知道電子簽名、數(shù)字認(rèn)證書這種安全手段，而真正使用第三方認(rèn)證機(jī)構(gòu)CFCA數(shù)字證書來保護(hù)自己網(wǎng)上資金的僅為3%。

　　在這種電子簽名、數(shù)字證書認(rèn)證機(jī)制中，必須有一個權(quán)威公正的第三方，交易的雙方是基于對第三方的信任才建立起彼此的信任關(guān)系的。由于歷史原因，原來沒有相關(guān)的法律法規(guī)，個別銀行用自己的CA向客戶發(fā)放數(shù)字證書，提供認(rèn)證。這意味著銀行既做運動員又做裁判員，有失交易的公允，其合法性合理性已經(jīng)受到媒體和客戶的質(zhì)疑。

　　不過這種現(xiàn)象正在改善。工商銀行、農(nóng)業(yè)銀行已經(jīng)基本確立由CFCA提供數(shù)字證書進(jìn)行安全認(rèn)證。建行已經(jīng)采用CFCA的數(shù)字證書。中國銀行正在談?wù)撝小３龢O個別銀行，目前我國開設(shè)網(wǎng)上銀行業(yè)務(wù)的