網上銀行安全之憂拉響電子商務警報

最近,假中國銀行網站事件披露後，無形之中將社會各界的視線再次聚焦到網上銀行安全問題上。假銀行網站事件無疑直接凸現網上銀行安全之憂，並給網上銀行的發展帶來不良影響；不僅如此，還擊中了電子商務的軟肋，重創了正在如火如荼發展的電子商務。

網上銀行安全隱患突出

據中央電視臺12月7日《經濟資訊聯播》報道，有人在網上發現了一個假的中國銀行網站，行標、欄目、新聞、地址，樣樣齊全。12月8日，內蒙古呼和浩特市一市民，致電央視稱他因為登陸了這個假網站，卡里的2.5萬元就莫名其妙地不見了。假中國銀行網站新聞播出後，假中國工商銀行、假銀聯、假農業銀行的網站也被發現（京華時報12月11日），一時間網上銀行安全話題成網上熱議的焦點。其實，近兩年來，我國有關網上銀行安全的事故和危及網上銀行安全的隱患被發現的事情並不鮮見。如，去年下半年，香港先後發現有不法人士偽冒東亞、花旗、匯豐、寶源投資及中銀國際的網站。2003年12月至2004年2月初期間，湖南長沙發生國內首例利用木馬病毒盜竊網路銀行資金案，兩犯罪份子通過傳送電子郵件等方式，利用植入的黑木馬病毒竊取到多名受害人的招商銀行和民生銀行的賬戶及密碼，先後從中支取8萬餘元。

網上銀行安全事故的頻發，一方面固然與使用者安全意識淡薄有關，但更重要的是網上銀行本身存在的隱憂使然。“密碼洩漏”和“冒充站點”是影響當前網上銀行的兩大安全隱患。

網上銀行認證手段缺陷，容易造成密碼洩漏。目前，大多數網上銀行採取的是“ID和密碼”這一傳統認證手段，由於這一認證手段的脆弱性，如果使用者在網咖等場所使用網上銀行時有可能被盜取密碼。因為登入認證檢測有可能會成為作案者校驗並竊取密碼的機會。在傳統銀行業務中，密碼輸入一定次數仍然錯誤就會被停止服務，但是在網路銀行中，企圖非法竊取密碼的作案者如果採用可以改變登入ID的方法，即便登入失敗，網站也不會將密碼視為無效。

除了用軟體竊取密碼這樣的隱憂以外，“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。比如，作案者可以首先向客戶傳送一個“本行網站正在進行促銷活動！”等內容的虛假郵件，然後誘騙客戶訪問虛假站點。客戶在不瞭解情況時就會向虛假站點發送ID和密碼。客戶傳送完畢後，如果顯示出一個“服務馬上就要停止”的畫面，或者把客戶訪問重新引導到正規站點上，客戶當時是很難察覺的。這樣一來，就存在有人進行非法資金轉移的可能性。

支付安全掣肘電子商務

電子商務目前在全世界範圍內得到空前發展已是不爭的事實，在中國電子商務也成為網路掘金的熱點，BtoC,CtoC等多種電子商務形式如日中天。隨著電子商務的日益活躍，網上銀行作為電子商務支付系統的媒介正在被越來越多的人認可和使用。截止目前，在國內正式建立網站的商業銀行達到了40多家；開展網上交易型網上銀行業務的商業銀行達30家。我國網上銀行個人客戶超過4000萬戶，企業客戶超過6萬戶。預計到2004年底，國內網上銀行的總交易額將接近20萬億元，企業客戶總數超過10萬戶，到2005年，中國的網上銀行使用者數將飆升到1.4億萬戶，網上銀行將成為商業銀行為高階客戶提供服務的主要方式。

電子商務越發展，網上銀行越普及，網上安全問題就顯得越重要。網上銀行安全問題與電子商務的發展息息相關，沒有網上支付的安全作保障，電子商務要發展必然受阻。其實，制約當前電子商務的瓶頸之中很重要的就是網上銀行的支付安全問題。中國網際網路絡資訊中心公佈7月份釋出的第14次中國網際網路發展狀況分析報告顯示，不願選擇網上銀行的客戶中有76％是出於安全考慮。新近公佈的《中國網際網路絡熱點調查報告》同樣顯示，有相當多的人質疑網上支付的安全性。在網路購物中，網民對諸如使用者的個人資訊、交易過程中銀行賬戶的密碼、轉賬過程中資金的安全等問題上有很大擔憂。目前網上購物支付方法，匯款，網上支付和貨到付款的比例分別為43.2%，41.8%和34.7%。可見，網上銀行的安全性影響了網民電子支付手段的運用，從而制約了電子商務的發展，使電子商務在一段時期內仍然停留在“網上訂購，網下交易”的狀態。

多方聯動因應安全之策

網上支付的安全性問題事關網上銀行發展的前景，同時也決定電子商務發展的程序。解決好網上銀行安全問題，以推動電子商務快速發展時不我待。不過，做好網上銀行安全工作，絕非網上銀行一家之責，而是一個社會系統工程，亟待各方努力，方能突圍。

首先，銀行部門要採取切實措施加強安全管理消除網上銀行安全之憂。在行政管理方面，目前國內很多銀行的IT系統與安全管理者沒有實際的強制性權力，建議重組銀行內部組織架構，將分散在各業務部門的安全管理人員重整，設立專門的機構負責安全工作，並加強安全管理部門的力量和權力，使安全管理的強制性得了落實。在技術手段上，則需要在使用者認證方面進行作進一步改進。大力探索數字證書、虹膜認證、指紋認證等新型安全的認證方式，加強客戶終端的安全。

其次，網上交易的安全鏈條並非銀行一家，還有商戶和客戶組成，這就要求安全鏈上各環節都攜手建立安全的網上交易環境，建議商戶網站加入一些網上購物的安全認證元件程式，在編寫程式的時候加進去，千萬不要偷懶，殊不如，一個細小的疏忽將會給客戶帶來重大的損失。

第三，作為網上銀行的客戶，也應加強安全防範意識，養成良好的網上交易習慣，讓不法分子無機可乘。切勿使用出生日期、電話號碼或常用名字；切勿向任何人透露密碼，並避免把密碼寫入記事簿或電腦；不應使用進入網上銀行所用的登入姓名或密碼進行其他網上服務；切勿使用公用電腦或通過電郵的超連結登入網上銀行的網站；定期查閱銀行戶口結餘及交易記錄。

此外，還要加大網上銀行的監管力度和網路犯罪的打擊力度。諸如銀監會這樣的銀行監管部門需要儘快就網銀管理問題立法，要通過法律嚴格規定網上銀行、網上證券公司、網上保險公司等的設立條件，把好金融機構在因特網上的市場準入關。同時，可借鑑發達國家打擊網上金融犯罪的經驗，不斷補充我國《刑法》上金融計算機犯罪的種類或制定單獨的《中國因特網金融犯罪條例》，有力地打擊網上金融犯罪。