网银安全：道高一尺 魔高一丈

　　祝裕

　　专访中国金融安全认证中心总经理李晓锋

　　中国金融安全认证中心（CFCA）是中国金融业唯一合法的、国家级权威第三方安全认证机构。是重要的国家金融安全基础设施之一，在首届信息社会日到来前夕，《每日经济

新闻》就网络银行的安全性问题采访了CFCA总经理李晓锋。

　　李晓锋告诉《每日经济新闻》，首先，我们认为网络是不安全的，所以网银也不是完全安全的。在实体社会中，有相对完善的法律法规，有公安部门、信用体系等等，人与人也能见面，彼此有荣誉感和羞耻感，有道德约束等等，但网络环境里这些因素却是不完善或不具备的。如果把黑客和网银比喻为攻守两方的话，他们之间一直就是在魔高一尺道高一丈，道高一尺魔高一丈的博弈状态。所以说，“安全是相对的，不安全是绝对的，没有一劳永逸的安全。”

　　李晓锋表示，从纯技术上讲，目前中国银行业安全方面总体上国内外的应用技术都是一样的，虽不能说技术是几乎一样，至少在物理手段上是同步的。中国的网上银行都采用了SSL数据加密，数据经过SSL加密以后应该是安全的，手段具备后，当然也需要相关的管理办法和操作流程来规范并严格执行。

　　目前我国的法律法规环境也已经初步建立，尤其是2005年4月1号《电子签名法》颁布实施以后，具有了法律效力。同时信息产业部也颁布了《电子认证服务管理办法》，国家密码管理局颁布了《电子认证服务密码管理办法》，去年10月中国人民银行颁布了《电子支付指引》，今年3月银监会颁布了《电子银行业务管理办法》，这一切都表明相关法律法规环境逐步健全。

　　除了物理防护手段外，银行的交易安全中，最困扰交易双方的是下面的四个问题。

　　第一，身份真实性如何确认。有的客户并不能明确辨别网站的真实性，网站也不能确实登录客户的真伪。

　　第二，如何保证交易信息的保密性，即信息不被泄漏（银行同用户的共同责任）。

　　第三，信息的完全性（要保证信息不被篡改）。

　　第四，交易的不可否认性（一旦出现纠纷，要有一个权威公信的证明）。

　　据《CFCA2005网上银行调查报告》表明：对网上银行，客户最关心的就是安全。但现状是，绝大多数用户都在使用账号/密码这种方式进行交易。这份调查报告表明目前网银2700多万的用户中，大概只有1/3的用户知道电子签名、数字认证书这种安全手段，而真正使用第三方认证机构CFCA数字证书来保护自己网上资金的仅为3%。

　　在这种电子签名、数字证书认证机制中，必须有一个权威公正的第三方，交易的双方是基于对第三方的信任才建立起彼此的信任关系的。由于历史原因，原来没有相关的法律法规，个别银行用自己的CA向客户发放数字证书，提供认证。这意味着银行既做运动员又做裁判员，有失交易的公允，其合法性合理性已经受到媒体和客户的质疑。

　　不过这种现象正在改善。工商银行、农业银行已经基本确立由CFCA提供数字证书进行安全认证。建行已经采用CFCA的数字证书。中国银行正在谈论中。除极个别银行，目前我国开设网上银行业务的