【51CTO.com 綜合消息】與傳統的商業銀行相比，網絡銀行具有許多競爭優勢，主要體現在方便快捷、成本領先、個性化服務、信息積累和市場發現等方面。

《Netguide 2007中國互聯網調查報告》顯示，2003-2006年，企業網上銀行用戶數從33萬增長到84萬，同期個人用戶數從810萬增長到6500萬。隨著安全技術的進步、電子商務的發展，個人網上銀行將會取得較快的進展，近幾年中國網上銀行市場規模保持高速增長，而2007年則出現加速增長的態勢。全年網上銀行用戶數漲幅達54.7%，而交易量更是有100.8%的增長。預計2010年用戶數將有望超億。

網銀安全嗎？這是網銀用戶最關心的問題，也是制約網銀業務發展的關鍵性問題?！叭绻木W銀采用我們的動態口令卡很安全，如果采用Usb key那就絕對安全，如果使用動態口令卡+Usb key的話。。。，我看沒那個必要”，銀行小姐如是說。甚至更有銀行放出狠話“如果誰能破解我行網銀采用**的**，將獲獎勵**萬元”。上述話音未落，**銀行的網銀用戶**先生呆呆的問道：“為何我的網銀采用了Usb key，怎么還被盜了n萬元呢，這是為什么呢？”，“你的機器中了木馬，與銀行無關，況且這種情況純屬個案，不具有代表性，網銀還是很安全的”，就是！這么明白的道理還問，地球人都知道。但君不見“**網銀維權聯盟”中那些受害者無助、欲哭無淚的經歷欲與何人訴說。

“一般我自己能辦到的事從來不求別人”----求人不如求己，因此我們應該完善自己關于網銀安全方面的知識。做到知其然并知其所以然，進而才能做到防患于未然。接下來我們將逐步剖析網銀客戶端的安全現狀。

己

“知己知彼”方能百戰不殆，下面我們就先看看網銀所采用的幾種主要技術手段：

文件數字證書：本地硬盤存儲的ie數字證書等，容易被竊取且遠控木馬容易控制裝有文件證書的電腦進行偽造交易。

傳輸加密：HTTPS是以安全為目標的HTTP通道,簡單講是HTTP的安全版，即HTTP下加入SSL層。SSL協議使用不對稱加密技術實現會話雙方之間信息的安全傳遞。

Usb Key：移動數字證書，里面保存著數字證書和用戶私鑰。

軟鍵盤：動態彈出鍵盤，利用鼠標輸入防止擊鍵記錄。

圖形驗證碼：防范暴力破解密碼或者惡意登錄。

返回確認圖片：一些銀行為了防止木馬修改交易數據采取的一種安全技術手段，交易時由服務器返回帶有交易信息和驗證碼的圖片，用戶確認交易信息后輸入驗證碼完成交易。

安全控件：防止木馬通過擊鍵記錄和ie的com接口獲取密碼等重要信息。

動態口令：一次一密，理論上木馬即使獲得密碼也無用。包括動態口令卡和口令牌等。

驅動保護：為了防止擊鍵記錄所采用的驅動層技術手段，有破壞系統穩定性的隱患。

彼

網銀客戶端雖然在安全方面力所能及的做了很多努力，但“道高一尺，魔高一丈”，網銀大盜們夜以繼日的挖掘著網銀的安全漏洞?！肮Ψ虿回撚行娜恕睂φl都是公平的。

你有“金鐘罩”，他會“挖地道”，什么“動態軟鍵盤”、“安全控件”，木馬制作者只需“見招拆招”。分析javascript軟鍵盤的加密過程，反其道而行之，動態軟鍵盤迎刃而解；“安全控件”采用各種消息鉤子，甚至使用鍵盤過濾驅動攔截鍵盤輸入，但鍵盤過濾驅動就是最底層的攔截嗎？答案是否定的。

我有“動態口令”，一次一密，看你“小馬”怎么辦。哦，這樣啊，但那些“網銀大盜”也不是吃“干飯”的。假設你用動態口令卡在輸入動態口令后被木馬截獲、木馬隨后關閉ie，結束你的交易過程，然后“養馬人”在遠程偽造交易結果會怎樣呢？“不可能，我會讓你隨機輸入動態口令的”，“真是每次都隨機嗎？不盡然吧！”，“網銀”的臉有些紅了。“我還有動態口令牌，定時會改變動態口令，可以達到隨機了吧”，但是假如你的時間間隔夠長，網銀大盜的手夠快，結果又會怎樣呢？網銀無語了。

“我有殺手锏---Usb key，沒招了吧”；“是人都會犯錯誤的，假如你的主人沒有及時將Usb key取走，“養馬人”是否就可以遠程控制它，需要身份認證時喂它正常的數據，它也應該吐出想要的驗證數據呢？”。

上述一些隱患可以認為只是在認證階段，但假如木馬繞過認證階段，對交易的數據進行修改，例如你要轉帳給張三，而你所看到的所有可見信息包括確認信息、交易查詢信息都是正常的，可結果錢卻轉給了李四，不用疑惑“這是為什么呢？”。一定是木馬攔截了你的網銀通信數據，在ssl等加密措施前將相應張三的數據改為李四，再修改用戶所見數據欺騙你的眼睛。無論是基于ie的b/s客戶端還是招行的c/s客戶端其實它們都是“一樣一樣的”。

一些銀行的服務器會返回一個含有重要交易信息和確認碼的圖片，確認碼智能識別確實是個難題，但木馬為什么這么做呢？它完全可以將交易信息抹掉，再配以欺騙性的提示，結果會怎樣呢？甚至木馬制作者完全可以采取相對“笨拙”的手段在遠程控制端雇傭幾個“民工”專門負責識別木馬發來的驗證碼，然后返回識別后的結果進行偽造，相信“龐大”的“木馬帝國”有這樣的能力和財力。

防

1.嚴防“李鬼”：

登錄網上銀行時，須核對登錄網址與自己同銀行簽訂的協議書中的網址是否相符。要避免使用搜索引擎等第三方途徑登錄網銀，以防落入一些假網銀網址設下的陷阱。同時警惕電子郵件鏈接。網銀一般不會通過電子郵件發出“系統維護、升級”提示，若遇重大事件，系統會暫停服務，銀行會提前公告。一旦發現資料被盜，應立即修改相關交易密碼或進行銀行卡掛失。

充分利用銀行提供的一些防釣魚手段，如預留信息、登陸次數及相關信息提示，甚至還有的銀行提供了釣魚網站檢測的小工具。

2.定期檢查詳細交易記錄

做好自己的交易日志，保證對自己的每一項有記錄的交易印象深刻。結合網銀的詳細交易記錄，確認沒有被木馬偽造、篡改交易?？赡艿脑捒梢赃x擇非進行交易的電腦進行查詢，防止交易機被木馬控制后會篡改網銀交易信息使網銀用戶不能查詢真實交易信息。

3．充分利用銀行提供的附加增值服務
   
現在很多銀行都提供了交易的短信、郵件提醒，用戶可以充分利用銀行的貼心服務，掌握自己的財務消費狀態，反正大多數是免費，但有些服務可能需要網銀用戶申請開通。

4．盡量使用“干凈”的系統

可能的話，網銀用戶盡量使用“干凈”、專用的系統進行網銀操作，為Windows系統打開自動更新功能，及時更新補丁程序；專用的機器可能有些不切實際，但可以采用“干凈”的虛擬機代替。同時切記不要在公用電腦（如網吧的）上進行網銀操作，那里是木馬、病毒的“溫床”。

5. 安裝殺毒軟件
    
盡管現在的殺毒軟件還是以“特征碼”查毒為主，多有詬病，但畢竟可以對那些“登記造冊”有案底的病毒、木馬起到查殺和防范作用，聊勝于無。況且現在的主要殺毒軟件廠商還在主動防御方面都號稱有所突破和創新。我們還可以結合一些銀行為防范網銀木馬通過殺軟公司定制的專用小工具或者360安全衛士等一些免費工具在網銀操作前查殺木馬。

6．Usb Key注意事項

沒事的時候不要將Usb Key接入電腦，只在交易時候進行接入。交易時接入Usb Key，輸入pin碼完成交易后，立即將Usb Key取走。

存于硬盤的文件數字證書較容易被竊取，有些銀行已經開始棄用。所以建議網銀用戶不要采用此種方式。

瞻

由于Windows等平臺的不可信性，決定了基于其上的網銀客戶端安全性不可能得到根本的保障，只能不斷通過技術手段增強其安全性，增加其被破解的難度。若要從根本上解決網銀的安全問題，必須借助一個相對安全、可信的第三方。

基于手機的解決方案：手機的普及及其相對安全的特性使其具有了成為可信第三方硬件的可能，而且現在很多銀行都在業務上有對手機短信的使用。銀行服務端只需在網銀用戶進行到交易確認步驟時，給用戶注冊的手機返回主要交易信息（如轉帳業務中轉入帳號、轉入金額等）以及一個用于完成交易的確認碼，用戶確認交易信息無誤并輸入確認碼后才能正確完成交易。這樣基本可以杜絕在客戶端利用信息偽造進行網銀盜竊。但現在幾乎所有的銀行都沒有采用這種方式，可能是基于成本或者短信實時性方面還不完善等方面的考慮。

基于帶有顯示屏、確認鍵的Usb Key：通過Usb Key中足夠安全的加密我們可以假設從Usb Key輸出的內容是安全的，那么如何保證輸入信息的真實性和用戶的可參與性則成為網銀安全的關鍵。顯示屏用來將用戶通過客戶端輸入的內容真實的顯示出來，用戶完成交易信息確認后通過Usb Key的確認鍵完成交易。這樣也可以有效的防止交易信息的偽造。

值得慶幸的是金融行業已經開始出現了帶有顯示屏、確認鍵的二代Usb Key的網銀系統，盡管還處于內測階段，相信不久就會正式面市，其價格肯定會比一代Usb Key貴些，應該在百元左右，盡管價格不菲，如果其安全性果如其然，對進行頻繁網銀業務或者大額網銀業務的用戶還是物有所值的。

鑒于成本等方面的考慮，未來的網銀的安全手段不可能在短時間內出現某種技術一枝獨秀、一統天下的局面，“裸奔”（只依賴計算機安全）的用戶、動態口令用戶、Usb Key用戶等諸侯割據的局面還會在相當長的一段時間內共存，網銀用戶可以根據自己對安全性的不同需求進行相應的選擇。