2006-9-14 来源: () 网友评论篇
浏览统计: 【字体:大 中 小】
网上银行系统实际上应该包括银行的服务器端、网上银行用户端还有Internet网络,相应的安全策略自然也应该分为三个部分来加以考虑,任何一个环节的安全隐患都有可能导致资金的损失。银行方面有足够的财力和专业人员来实施服务器端的安全防范,网络链路的安全也早就有了成熟的技术保证,事实上,网上银行的薄弱环节和目前网上银行的案件大多数出于客户端应用,由于部分普通网银客户不具有专业的网络安全知识,银行有责任帮助客户防患于未然。
对于网上银行客户端的安全防范,各家商业银行都采取了诸如密码加密控件、软键盘以及数字证书和动态密码等措施,但是笔者认为对木马病毒和网上黑客有一定防范能力的目前只有动态密码和数字证书技术,笔者对相对了解的商业银行的安全措施罗列下来,希望对大家有所帮助。
| 商业银行 | 口令密码 | 动态密码 | 数字证书 |
| 工商银行 | 限额300元(9月1日实施)。需要重点防范木马病毒,防止小额资金损失。 | 纸质动态密码卡,刮刮卡,2元一张,使用次数1000次动态密码。单笔限额1000元,日转账限额5000元。需要重点防范卡片的丢失或被人复印、拍照。 | 证书存放在USBKEY(U盾)上,证书不可复制,关键业务数字证书签名。需要防范数字证书的遗失,并注意保护USBKEY的保护密码。 |
| 招商银行 | 没有转账支付功能。需要重点防范木马病毒,防止账户信息泄露。 | 无 | 证书存放即可存放在USBKEY(优key)上,也可以以文件形式存放在硬盘或U盘上。对于文件形式的证书需要特别防范数字证书被网上木马病毒复制、窃取,同时注意保护数字证书的密码。 |
| 交通银行 | 没有转账支付功能。需要重点防范木马病毒,防止账户信息泄露。 | 一次性手机动态密码,通用、安全(移动网络和互联网信息不易同时泄露)。日转账限额5万元。注意手机和银行卡号、密码不要同时遗失。 | 证书存放在USBKEY上,证书不可复制,关键业务数字证书签名。需要防范数字证书的遗失,并注意保护USBKEY的保护密码。 |
| 建设银行 | 没有转账支付功能。需要重点防范木马病毒,防止账户信息泄露。 | 纸质动态密码卡,使用次数30次。使用次数太少,不方便,需要特别注意不要和卡号、密码同时遗失。 | 证书存放即可存放在USBKEY上,也可以以文件形式存放在硬盘或U盘上。对于文件形式的证书需要特别防范数字证书被网上木马病毒窃取,同时注意保护数字证书的密码。 |
| 浦东发展银行 | 没有转账支付功能。需要重点防范木马病毒,防止账户信息泄露。 | 一次性手机动态密码,通用、安全(移动网络和互联网信息不易同时泄露)。日转账限额5万元。注意手机和银行卡号、密码不要同时遗失。 | 证书存放即可存放在USBKEY上,也可以以文件形式存放在硬盘或U盘上。对于文件形式的证书需要特别防范数字证书被网上木马病毒窃取,同时注意保护数字证书的密码。 |
从上述列表中我们可以看到,不同银行均采用了USBKEY的硬件数字证书形式(事实上也是各家商业银行在企业网银的唯一选择),但硬件数字证书的使用较为麻烦(如更换电脑时,需要重新安装驱动程序),为了快速推广网上银行业务,各家银行也不同程度的在考虑客户使用方便性的前提下,部分地降低了对网上银行客户端安全的保护,而将客户端木马病毒等的防范责任交给了客户自己。作为一名普通的网上银行用户,笔者认为虽然网上银行目前的发案率比较低,但是为了安全起见,还是应该选择安全的网上银行移动证书,或者采用安全与方便兼顾的动态密码安全方式,在这种方式的实行上,各商业银行所采用的模式不尽相同。笔者认为交通银行和浦东发展银行的手机动态密码方式较为符合一般用户的习惯和市场需要:一则移动网络和互联网两个网络的独立性保证了交易的安全性,二则客户不需要在每家商业银行领取不同的动态密码卡,可以使用手机短信的通用性而方便地使用多家银行的网上银行。
