李晓锋告诉《每日经济新闻》,首先,我们认为网络是不安全的,所以网银也不是完全安全的。在实体社会中,有相对完善的法律法规,有公安部门、信用体系等等,人与人也能见面,彼此有荣誉感和羞耻感,有道德约束等等,但网络环境里这些因素却是不完善或不具备的。如果把黑客和网银比喻为攻守两方的话,他们之间一直就是在魔高一尺道高一丈,道高一尺魔高一丈的博弈状态。所以说,“安全是相对的,不安全是绝对的,没有一劳永逸的安全。”
李晓锋表示,从纯技术上讲,目前中国银行业安全方面总体上国内外的应用技术都是一样的,虽不能说技术是几乎一样,至少在物理手段上是同步的。中国的网上银行都采用了SSL数据加密,数据经过SSL加密以后应该是安全的,手段具备后,当然也需要相关的管理办法和操作流程来规范并严格执行。
目前我国的法律法规环境也已经初步建立,尤其是2005年4月1号《电子签名法》颁布实施以后,具有了法律效力。同时信息产业部也颁布了《电子认证服务管理办法》,国家密码管理局颁布了《电子认证服务密码管理办法》,去年10月中国人民银行颁布了《电子支付指引》,今年3月银监会颁布了《电子银行业务管理办法》,这一切都表明相关法律法规环境逐步健全。
除了物理防护手段外,银行的交易安全中,最困扰交易双方的是下面的四个问题。
第一,身份真实性如何确认。有的客户并不能明确辨别网站的真实性,网站也不能确实登录客户的真伪。
第二,如何保证交易信息的保密性,即信息不被泄漏(银行同用户的共同责任)。
第三,信息的完全性(要保证信息不被篡改)。
第四,交易的不可否认性(一旦出现纠纷,要有一个权威公信的证明)。
据《CFCA2005网上银行调查报告》表明:对网上银行,客户最关心的就是安全。但现状是,绝大多数用户都在使用账号/密码这种方式进行交易。这份调查报告表明目前网银2700多万的用户中,大概只有1/3的用户知道电子签名、数字认证书这种安全手段,而真正使用第三方认证机构CFCA数字证书来保护自己网上资金的仅为3%。
在这种电子签名、数字证书认证机制中,必须有一个权威公正的第三方,交易的双方是基于对第三方的信任才建立起彼此的信任关系的。由于历史原因,原来没有相关的法律法规,个别银行用自己的CA向客户发放数字证书,提供认证。这意味着银行既做运动员又做裁判员,有失交易的公允,其合法性合理性已经受到媒体和客户的质疑。
不过这种现象正在改善。工商银行、农业银行已经基本确立由CFCA提供数字证书进行安全认证。建行已经采用CFCA的数字证书。中国银行正在谈论中。除极个别银行,目前我国开设网上银行业务的商业银行都是由CFCA作为国家级、权威、公正的第三方认证机构来进行安全认证以保证其交易安全的。
李晓锋表示,可以说,尽管网上银行中采用电子签名、数字证书的用户还很少,但实际上在各领域中还是应用得最好的。令人担忧的是,大量的第三方支付平台还没有采用这种数字认证手段,所以经常会发生一些欺诈行为,“我们也正和某些网站探讨这一问题。”