网银安全有保障 专家辟谣银行密码被泄露

　　【PConline 资讯】中国电子银行网讯11年12月29日，网络传闻称交通银行、民生银行等多家银行巨量用户资料外泄。事件发生后，银行先后在官网辟谣，民生银行表示该传闻严重失实，纯属谣言；交通银行声明称，“对于任何有意造谣滋事、严重扰乱金融秩序的行为，我行将保留追究其法律责任的权力。”

　　去年12月21日，CSDN网站称其640余万用户数据库遭到泄露，25日，天涯社区被曝用户数据库遭黑客公开，涉及的用户量有4000万之多。26日凌晨，新浪微博被曝用户密码库已被泄露，用户数据涉及微博近500万个。短短十天不到，就有超过5000万的本应保密的信息出现在网上，虽然安全专家呼吁大家要尽快修改重要密码，但一次比一次迅猛的用户泄密潮考验着大家脆弱的神经。

　　许多网购一族不禁担心，“我的网上支付密码安全吗？”支付安全问题再一次成为了大家关注的焦点。对此，中国电子银行网专访了中国金融认证中心技术支持部总经理马春旺，就此次网传银行用户信息泄露事件给予详细解答。

　　中国电子银行网：因为关乎切身利益，网银安全一直是大家关注的问题，请问国内银行的网银都是采取什么样的措施保障用户使用安全的？

　　马春旺：网上银行经过长时间的发展，该系统已经有了充分的安全保障，安全性主要体现在四个方面。

　　首先，网银账户保护技术手段很先进。现在国内的网银采用多重密码保护，除了普通的登录密码外，还需要用户输入交易密码，用双重密码对交易行为进行保护，使得账户以及交易的安全性大大增强。同时，银行也使用了传统的用户名口令、刮刮卡、动态口令、数字证书、短信确认等多因素认证手段来保障网银安全。银行内部系统的管理也是十分规范的，会定期的信息系统进行安全评估，及时加固脆弱环节。另外，部分银行部署了交易监控及反欺诈系统，能够区分甚至拦截欺诈交易行为。

　　其次，银行的电子系统有严格的授权和访问控制，比如对于企业网银，不同的角色所授权的操作是有严格控制的，这样就保证了即使有个别人员信息被盗，也不会造成太大的损失。银行的电子银行系统都有交易限额的策略，针对不同的安全级别和访问权限会有不同的交易额限制。比如使用传统的用户名和口令通常只能做一些查询的操作，这样就避免因为安全级别不够，导致大家财产损失。

　　第三，监管部门的监管措施非常到位。人民银行，银监会会定期的对银行的信息系统进行安全性检查，监管部门对银行的信息系统都有严格的监管要求，先后出台了《金融信息服务系统电子认证应用规范》、《网上银行系统信息安全通用规范》、《网上银行安全风险管理指引》等规定，除此之外，公安部近年来也在打击网络犯罪活动方面加大了力度，从制度和监管层面确保了网银安全。

　　最后，用法律手段保证电子银行安全。2004年发布的《电子签名法》对采用数字证书技术的系统要求使用第三方的证书有明确的要求。该《签名法》中对网银证书的使用有着严格的规定，“第三方电子认证服务机构在提供技术保障的同时，还有明确的赔偿机制，对民众的利益起到了保护的作用。”

　　中国电子银行网：有人担心u盾会被植入木马病毒，从而导致信息泄露，您觉得会出现这种情况吗？

　　马春旺：U盾本身所采用的安全机制是没有问题的。U盾的应用环境涉及到三个环节：客户端、传输通道、服务器，这三个环节可能会被被黑客攻击。目前银行已经采取了多种办法弥补U盾应用环境可能存在的问题。例如，网上银行会使用二代U盾来弥补应用环节可能的安全问题。

　　总体来说，U盾本身具有运算和存储的能力，与普通的存储介质存在共同点，但U盾的实现机制与PC、手机、普通存储设备是不同的，没有被植入木马的可能。

　　中国电子银行网：有分析说，凡出现泄漏事故的厂商，问题都出在服务器端，可能存在漏洞的地方是服务器操作系统、数据库、磁盘备份及论坛程序等。对此您有什么看法？

　　马春旺：如果安全保护措施做得不够充分，那么这些环节都有可能成为安全的脆弱点。

　　中国电子银行网：如果真的发生网银密码泄露，最有可能是在哪个环节出现问题？

　　马春旺：由于目前很多网银用户的安全意识不高，所以我认为钓鱼网站最可能导致网银用户的密码泄漏。

　　中国电子银行网：用户日常生活中应当采取什么措施来保护电子银行安全？

　　马春旺：虽然银行已经做了充分的安全保护措施，但用户自身也应增强安全意识。当前互联网应用繁多，需要填写个人资料信息的地方越来越多，对于不可信的网站，避免输入敏感信息。同时，用户可以考虑对密码进行分级，对于一些重要的互联网应用应该与其他互联网应用采用不同的密码。[返回频道首页]