观察：网银安全还看第三方认证

      数字证书网银交易的“安全保镖”
　　CFCA总经理李晓峰在接受采访时向记者提供了一份数据。在上海、北京等10个经济发达城市中，个人潜在用户之所以没有使用网上银行，68.7%是担心网络不安全，64.5%是对网上银行不了解；表示不可能使用网络银行的用户，担心网络不安全的占到了75.4%，对网上银行不了解的占57.2%。企业用户方面情况也很类似。
　　他认为，这说明广大公众对网上银行安全的担心、对网银业务的不了解是阻碍网上银行发展的重要因素。李晓峰介绍，目前最影响网银交易安全的主要有4个因素：交易双方的身份真实性、信息的保密性、信息的完整性，以及交易的不可否认性，一旦出现纠纷，有权威、公信的审计证明。他同时强调，传统方式都无法完全实现上述4点，而未来发展的趋势将是电子签名数字证书技术。
　　实际上，所谓电子签名数字证书技术早已经不是什么新鲜东西。数字证书是用户在网上交易时的“网络身份证”，它是一个包含用户身份信息的电子文件，证明互联网上用户的身份。通过数字证书，用户还能对网上交易进行电子签名，实现用户的“网络亲笔签名”。如用户在进行网上银行操作时，证书会形成电子签名附在发给银行的交易指令上，从而使银行能够认定交易者的身份，使他人无法破解、修改用户和银行互相传递的信息。目前，仅仅CFCA一家第三方安全认证机构(CA)就为国内30家商业银行提供该项技术。同时，国内主要四大银行由银行自己向顾客提供数字证书。
　　第三方认证
　　杜绝既当裁判员又当运动员
　　数字证书已经受到了银行的普遍认可，是未来网络银行发展的方向。由于数字证书业务是收费业务，究竟是银行自己提供数字证书，还是由CA来提供数字证书，成为了惟一存在的分歧。就市场的情况看，目前，国内几大商业银行都在使用自己提供的数字证书，李晓峰戏称这种情况实际上是银行既当“裁判员”又当“运动员”。
　　CA中心的职责是审查使用者的身份，将签名人的身份标识与数字证书进行绑定，发放数字证书，及时公布无效的数字证书，并负责对发放的数字证书进行管理。目前的CA在网络银行交易中确实起到裁判员的作用。CA为电子签名人和电子签名依赖方搭起信任的桥梁，同时，为双方分担了风险。
　　由于我国法律对于第三方认证的规定相对模糊，没有排除CA开发商帮助银行自建系统提供服务的情况。使得银行和CA之间的分歧不能得到圆满解决。
　　李晓峰谈到以上情况，言辞激烈，连用5个“不顾”。他说：“社会上一些CA开发商从自身利益出发，在商业银行建设网银、升级改造时误导商业银行。他们不顾《电子签名法》、《电子支付指引》的颁布，以及监管部门正在逐步健全相关管理办法的态势，不顾CA中心即将规范、整顿的现实，不顾建设CA给银行带来的风险和持续的投入，不顾金融行业多个CA对网银业务发展的不利，不顾自建CA在法律上的问题和公众的认可问题，鼓噪、影响银行自建CA，我们认为这是非常不负责任的行为。”
　　但银行方面也有自己的看法。作为较早推出自己的数字证书的银行，中国建设银行某负责人在接受记者采访时指出，银行提供自己的数字证书，并没有违反第三方原则，反而与客户之间建立了更为信任的关系。因为这意味着银行承担了网络安全的风险。虽然CA愿意承担交易双方之间的风险，但是，赔付有限，目前对个人客户的最高赔付大约是2万元，对企业最高是80万元。一旦出现问题，银行避免了风险，但有限的赔付不能弥补客户损失。
　　虽然CA和银行间仍然就谁提供数字证书有分歧，但是，从国家立法趋势看，第三方确实可能成为未来数字证书的发展方向。需要考虑的只是，第三方如何提高自身实力，有能力完全承担起银行和客户交易中的双重风险。
　　评论：要“防盗门”更要“防身术” 
　　所谓吃一堑长一智，通过以下几个网银安全出现隐患的案例，希望能给网银使用者提供一些借鉴。
　　防范假冒银行网站
　　随着网络迅猛发展，时下年轻人的生活方式也随之越来越网络化，都市白领成为网络银行使用的中坚力量。在上海一家日资企业工作的何小姐就属于这个族群。何小姐平时工作比较忙，接触到网络购物后，发现既节约时间又有趣味。她经常在网上购买一些小东西，然后通过银行汇款给卖家。当她从银行柜员那儿得知，如果开通了网络银行业务，就可以直接在网络上进行汇款，立刻就开通了这项新业务。
　　但是，一次出差中的疏失，导致了何小姐损失了1000多元。由于去安徽出差，网络银行域名储存在办公室电脑里，何小姐又急于拍下一件网上出售的商品，于是，她突然想起，用常用的搜索引擎搜索该银行。点开网页后，何小姐在页面上熟悉的位置填入自己的用户名和密码。
　　没想到，这就中了网络假银行网站的圈套。原来何小姐通过搜索引擎点开的实际上是一个假银行网站，由于没有看清楚该网站域名，又被看起来熟悉的页面蒙蔽了判断力，何小姐被骗取了个人网络银行信息。
　　假银行网站具有很强的隐蔽性，通常只是域名相差一个字母或数字，主页则与真银行网站非常相似。当用户登录网上银行时，必须要再三审核银行网站的真伪，尽量不要通过搜索来登陆银行网站，防止登录假网站被骗取用户名和密码。
　　戒备不明电子邮件
　　网络欺诈邮件会提供一个与银行或购物网站极为相似的链接。收到此类邮件的用户一旦点击此链接，紧接着页面会提示用户继续输入自己的账户信息。如果用户填写了此类信息，这些信息将最终落入诈骗者手中。实际上，除了电子邮件以外，电话和手机短信也成为了骗取账户信息的工具。电话和短信中“注册网银中大奖”等信息，往往不是银行发出，而是不法分子骗取网络银行用户名和密码的手段。