李曉鋒告訴《每日經(jīng)濟(jì)新聞》,首先,我們認(rèn)為網(wǎng)絡(luò)是不安全的,所以網(wǎng)銀也不是完全安全的。在實(shí)體社會(huì)中,有相對(duì)完善的法律法規(guī),有公安部門、信用體系等等,人與人也能見面,彼此有榮譽(yù)感和羞恥感,有道德約束等等,但網(wǎng)絡(luò)環(huán)境里這些因素卻是不完善或不具備的。如果把黑客和網(wǎng)銀比喻為攻守兩方的話,他們之間一直就是在魔高一尺道高一丈,道高一尺魔高一丈的博弈狀態(tài)。所以說,“安全是相對(duì)的,不安全是絕對(duì)的,沒有一勞永逸的安全。”
李曉鋒表示,從純技術(shù)上講,目前中國(guó)銀行業(yè)安全方面總體上國(guó)內(nèi)外的應(yīng)用技術(shù)都是一樣的,雖不能說技術(shù)是幾乎一樣,至少在物理手段上是同步的。中國(guó)的網(wǎng)上銀行都采用了SSL數(shù)據(jù)加密,數(shù)據(jù)經(jīng)過SSL加密以后應(yīng)該是安全的,手段具備后,當(dāng)然也需要相關(guān)的管理辦法和操作流程來規(guī)范并嚴(yán)格執(zhí)行。
目前我國(guó)的法律法規(guī)環(huán)境也已經(jīng)初步建立,尤其是2005年4月1號(hào)《電子簽名法》頒布實(shí)施以后,具有了法律效力。同時(shí)信息產(chǎn)業(yè)部也頒布了《電子認(rèn)證服務(wù)管理辦法》,國(guó)家密碼管理局頒布了《電子認(rèn)證服務(wù)密碼管理辦法》,去年10月中國(guó)人民銀行頒布了《電子支付指引》,今年3月銀監(jiān)會(huì)頒布了《電子銀行業(yè)務(wù)管理辦法》,這一切都表明相關(guān)法律法規(guī)環(huán)境逐步健全。
除了物理防護(hù)手段外,銀行的交易安全中,最困擾交易雙方的是下面的四個(gè)問題。
第一,身份真實(shí)性如何確認(rèn)。有的客戶并不能明確辨別網(wǎng)站的真實(shí)性,網(wǎng)站也不能確實(shí)登錄客戶的真?zhèn)巍?/p>
第二,如何保證交易信息的保密性,即信息不被泄漏(銀行同用戶的共同責(zé)任)。
第三,信息的完全性(要保證信息不被篡改)。
第四,交易的不可否認(rèn)性(一旦出現(xiàn)糾紛,要有一個(gè)權(quán)威公信的證明)。
據(jù)《CFCA2005網(wǎng)上銀行調(diào)查報(bào)告》表明:對(duì)網(wǎng)上銀行,客戶最關(guān)心的就是安全。但現(xiàn)狀是,絕大多數(shù)用戶都在使用賬號(hào)/密碼這種方式進(jìn)行交易。這份調(diào)查報(bào)告表明目前網(wǎng)銀2700多萬的用戶中,大概只有1/3的用戶知道電子簽名、數(shù)字認(rèn)證書這種安全手段,而真正使用第三方認(rèn)證機(jī)構(gòu)CFCA數(shù)字證書來保護(hù)自己網(wǎng)上資金的僅為3%。
在這種電子簽名、數(shù)字證書認(rèn)證機(jī)制中,必須有一個(gè)權(quán)威公正的第三方,交易的雙方是基于對(duì)第三方的信任才建立起彼此的信任關(guān)系的。由于歷史原因,原來沒有相關(guān)的法律法規(guī),個(gè)別銀行用自己的CA向客戶發(fā)放數(shù)字證書,提供認(rèn)證。這意味著銀行既做運(yùn)動(dòng)員又做裁判員,有失交易的公允,其合法性合理性已經(jīng)受到媒體和客戶的質(zhì)疑。
不過這種現(xiàn)象正在改善。工商銀行、農(nóng)業(yè)銀行已經(jīng)基本確立由CFCA提供數(shù)字證書進(jìn)行安全認(rèn)證。建行已經(jīng)采用CFCA的數(shù)字證書。中國(guó)銀行正在談?wù)撝小3龢O個(gè)別銀行,目前我國(guó)開設(shè)網(wǎng)上銀行業(yè)務(wù)的商業(yè)銀行都是由CFCA作為國(guó)家級(jí)、權(quán)威、公正的第三方認(rèn)證機(jī)構(gòu)來進(jìn)行安全認(rèn)證以保證其交易安全的。
李曉鋒表示,可以說,盡管網(wǎng)上銀行中采用電子簽名、數(shù)字證書的用戶還很少,但實(shí)際上在各領(lǐng)域中還是應(yīng)用得最好的。令人擔(dān)憂的是,大量的第三方支付平臺(tái)還沒有采用這種數(shù)字認(rèn)證手段,所以經(jīng)常會(huì)發(fā)生一些欺詐行為,“我們也正和某些網(wǎng)站探討這一問題。”
