ZDNET至頂網安全頻道 11月28日 北京報道（文/陳廣成）：網絡銀行在給用戶帶來便捷和高效率的同時，也伴隨著安全風險的出現。據國內某媒體的調查，針對網上銀行安全性的用戶平均滿意度得分僅為59.2分。年內爆出某網上銀行出現的安全問題，也佐證了用戶在使用網銀過程中的擔憂。

　　另據易觀國際最近的調研數據顯示，目前在網民面臨的各類安全問題中，“賬戶密碼被盜”和“遭遇木馬釣魚”造成的資金損失比分別達33.9%和24%。同時，調查發現受訪互聯網用戶中仍有54%的用戶因為擔心安全問題未使用網絡支付。

　　我們看到，國內銀行也在不斷完善風險防控機制，網銀、網上支付平臺不斷推廣使用數字證書、手機動態口令、U盾、動態密碼等安全防護工具，保證用戶資金安全。RSA全球副總裁Ann Johnson在接受ZDNet記者采訪時表示，“中國銀行面對欺詐風險的意識不斷提升，并不斷投資于銀行的基礎架構和基礎設施。在內部組織建設方面，還有制定防欺詐的政策，尤其是在防釣魚方面已經做得比較領先了。”

RSA,EMC信息安全事業部全球副總裁 Ann Johnson

　　在美國，銀行100%重視客戶的便利程度，所以在美國很少有向客戶發放令牌的做法，更多的美國銀行是采用基于風險的認證和強認證的方法。在中國，看起來銀行用戶對令牌的接受程度還是可以的，但也制約著一部分用戶的使用。如何平衡網絡銀行的安全性和便捷性?Ann介紹說，要想協調者兩者之間的關系，對銀行來說最好是采用分層的安全方法。比如部署解決方案檢測用戶登錄的情況，并對客戶的交易進行監督。

　　保障內部及外圍安全 構建全面風險管理體系

　　現在無論是中國的銀行還是國際的銀行，在防范外部攻擊方面已經做得非常好。但來自銀行內部的威脅開始顯現，內網的犯罪活動越來越多。“對于RSA來說，最好的解決方案就是部署分層的解決方案，在內部需要有足夠的身份認證和加密，以及日志、合規和治理。除此之外，像RSA的NetWitness 的解決方案，也能夠很好的檢測網絡上發生的一切行為的變化。”Ann說到。

　　Ann進一步說道銀行構建全面風險管理體系的三個建議。

　　第一，銀行業內部必須加強合作，無論是中國的銀行還是國外的銀行，在這樣一個組織結構里，共同分享所面臨的攻擊信息。根據這些攻擊的信息來進行合作，從而最大限度的減少所遭受的損失。

　　第二，作為技術提供商，也需要跟銀行之間繼續加強合作，技術廠商需要提供更多、更好的解決方案來供銀行使用。

　　第三，安全產品的解決方案，要運用到更多動態和智能化的技術。威脅的不斷變化，需要更主動的防范措施去應對。

　　針對移動設備的網絡銀行安全策略

　　Ann認為，未來三到五年，網絡銀行一定會越來越多的采用移動的方式進行交易。調查顯示，Android系統是第三季度唯一受到所有新型移動惡意軟件攻擊的操作系統。過去一年針對Android系統上的惡意軟件的數量增長了400%，黑客已經開始把注意力轉移到移動設備上來了。

　　一方面我們看到惡意軟件變得越來越復雜，釣魚攻擊也會變得越來越復雜。這些針對移動支付的攻擊行為，對銀行來說形成新的挑戰。如何在未來進一步提升自己在銀行領域的競爭力，一定要吧注意力放在移動領域的應用。Ann強調，要預測一些未來針對移動設備的攻擊，需要做最好的準備和打算，比如自適應的解決方案。同時要對解決方案不斷調整，針對不斷涌現出來的威脅進行主動的防范和應對。

　　“在移動應用中采用強大的一次性口令和基于風險的驗證，有助于消除移動支付的擔憂。”Ann介紹說，RSA推出為移動應用開發人員設計的軟件開發工具包(SDKs)，作為基于Web的自適應認證產品，可以檢測設備本身，也可以檢測設備的位置，并且可以從全球的智能信息網絡里抓取信息，并基于RSA的風險引擎對用戶進行分析。Ann進一步說到，這種自適應的產品，最重要的功能就是行為分析，采用行為的算法看使用這些設備的人，是不是和平時使用人的習慣相匹配。另外，和基于軟件的令牌產品，在移動產品中集成強大的一次口令和基于風險的驗證，因此可以提高安全性和可信性。