李曉鋒告訴《每日經(jīng)濟新聞》，首先，我們認為網(wǎng)絡是不安全的，所以網(wǎng)銀也不是完全安全的。在實體社會中，有相對完善的法律法規(guī)，有公安部門、信用體系等等，人與人也能見面，彼此有榮譽感和羞恥感，有道德約束等等，但網(wǎng)絡環(huán)境里這些因素卻是不完善或不具備的。如果把黑客和網(wǎng)銀比喻為攻守兩方的話，他們之間一直就是在魔高一尺道高一丈，道高一尺魔高一丈的博弈狀態(tài)。所以說，“安全是相對的，不安全是絕對的，沒有一勞永逸的安全。”

李曉鋒表示，從純技術上講，目前中國銀行業(yè)安全方面總體上國內外的應用技術都是一樣的，雖不能說技術是幾乎一樣，至少在物理手段上是同步的。中國的網(wǎng)上銀行都采用了SSL數(shù)據(jù)加密，數(shù)據(jù)經(jīng)過SSL加密以后應該是安全的，手段具備后，當然也需要相關的管理辦法和操作流程來規(guī)范并嚴格執(zhí)行。

目前我國的法律法規(guī)環(huán)境也已經(jīng)初步建立，尤其是2005年4月1號《電子簽名法》頒布實施以后，具有了法律效力。同時信息產業(yè)部也頒布了《電子認證服務管理辦法》，國家密碼管理局頒布了《電子認證服務密碼管理辦法》，去年10月中國人民銀行頒布了《電子支付指引》，今年3月銀監(jiān)會頒布了《電子銀行業(yè)務管理辦法》，這一切都表明相關法律法規(guī)環(huán)境逐步健全。

除了物理防護手段外，銀行的交易安全中，最困擾交易雙方的是下面的四個問題。

第一，身份真實性如何確認。有的客戶并不能明確辨別網(wǎng)站的真實性，網(wǎng)站也不能確實登錄客戶的真?zhèn)巍?/p>

第二，如何保證交易信息的保密性，即信息不被泄漏（銀行同用戶的共同責任）。

第三，信息的完全性（要保證信息不被篡改）。

第四，交易的不可否認性（一旦出現(xiàn)糾紛，要有一個權威公信的證明）。

據(jù)《CFCA2005網(wǎng)上銀行調查報告》表明：對網(wǎng)上銀行，客戶最關心的就是安全。但現(xiàn)狀是，絕大多數(shù)用戶都在使用賬號/密碼這種方式進行交易。這份調查報告表明目前網(wǎng)銀2700多萬的用戶中，大概只有1/3的用戶知道電子簽名、數(shù)字認證書這種安全手段，而真正使用第三方認證機構CFCA數(shù)字證書來保護自己網(wǎng)上資金的僅為3%。

在這種電子簽名、數(shù)字證書認證機制中，必須有一個權威公正的第三方，交易的雙方是基于對第三方的信任才建立起彼此的信任關系的。由于歷史原因，原來沒有相關的法律法規(guī)，個別銀行用自己的CA向客戶發(fā)放數(shù)字證書，提供認證。這意味著銀行既做運動員又做裁判員，有失交易的公允，其合法性合理性已經(jīng)受到媒體和客戶的質疑。

不過這種現(xiàn)象正在改善。工商銀行、農業(yè)銀行已經(jīng)基本確立由CFCA提供數(shù)字證書進行安全認證。建行已經(jīng)采用CFCA的數(shù)字證書。中國銀行正在談論中。除極個別銀行，目前我國開設網(wǎng)上銀行業(yè)務的商業(yè)銀行都是由CFCA作為國家級、權威、公正的第三方認證機構來進行安全認證以保證其交易安全的。

李曉鋒表示，可以說，盡管網(wǎng)上銀行中采用電子簽名、數(shù)字證書的用戶還很少，但實際上在各領域中還是應用得最好的。令人擔憂的是，大量的第三方支付平臺還沒有采用這種數(shù)字認證手段，所以經(jīng)常會發(fā)生一些欺詐行為，“我們也正和某些網(wǎng)站探討這一問題。”