桌面是最薄弱環節
我們仔細分析一下Web安全問題主要內容。Web安全問題主要包括三方面的內容：Web伺服器及其資料的安全、Web伺服器和用戶之間傳遞的資訊的安全以及終端用戶的電腦及其他連入Internet的設備的安全。

1.Web伺服器及其資料的安全問題。主要包括：保証伺服器能夠持續穩定運行; 保証只有經過授權才能修改伺服器上的資訊; 保証能夠把資料發送給指定的接受者。

2.Web伺服器和用戶之間傳遞的資訊的安全問題。主要包括：確保用戶提供給Web伺服器的資訊如用戶名、密碼、財務資訊、訪問的網頁名等不被第三方所閱讀、修改和破壞；保護用戶和伺服器之間的鏈路，使得攻擊者不能輕易地破壞該鏈路。

3.終端用戶的電腦及其他連入Internet的設備的安全問題。主要包括:用戶需要使用Web瀏覽器和安全計算平檯上的軟件，必須保証這種平台不會被病毒感染或被惡意程式破壞; 用戶需要保護自己的私人資訊，確保它們無論是在自己的電腦上還是通過在線服務時都不會遭到破壞。

通過對電子商務攻擊難度的評估，以及對近年來網上電子交易案件分析，可發現直接攻擊Web伺服器端或Web伺服器和用戶之間連接的案例並不多見，技術難度也較高。因此，攻擊者往往把目光盯上了疏於保護的用戶的桌面電腦上，通過種植木馬病毒等方式，竊取用戶的用戶名、密碼、賬號及數字証書，進而冒充用戶進行電子交易，達到竊取資金的目的。

曾經有專業機構對網上交易攻擊手段難易度進行評估，發現對桌面電腦客戶端的攻擊是最容易的，其次依次是對供應商的攻擊、網頁欺詐攻擊、DNS搶劫、在瀏覽器上偷聽、認証機構的滲透以及對加密密鑰的分析，最難的是對密鑰的分析。如圖所示。

謹慎保護身份資訊
對於黑客來說，冒充用戶身份進行電子交易的首要條件是通過電子交易系統的身份認証，可見保障網銀資金安全，關鍵在于身份認証這一環節。近年來頻頻發生的網上銀行資金被盜案無一例外都是通過攻擊者持有用戶表明身份的用戶名、密碼、數字証書後，冒充用戶騙過了網銀伺服器身份認証而完成的。數字身份認証是基于國際PKI標準的網上身份認証系統，它以數字簽名的方式通過第三方權威認証有效地進行網上身份認証，幫助各個實體識別對方身份和表明自身的身份，具有真實性和防抵賴功能。生物認証是通過人體的生物學特徵進行個人數字証書簽名。

電子交易系統身份認証方式uD要分為靜態密碼、動態密碼、數字証書、生物認証等四種主要方式。

靜態密碼是由用戶自行設定的密碼，一般情況下，用戶不會在一個相對短的時間間隔內頻繁地更換自己的密碼，因此這種密碼基本上是靜態方式。

動態密碼是由是由特定手持終端設備生成的，根據某種加密演算法，產生一個隨某一個不斷變化的參數(例如時間，事件等)不停地、沒有重複變化的一種密碼。動態密碼權杖是用戶每隔一分鐘變換一次密碼,攻擊者沒有辦法推測出用戶的下一次登錄密碼。

數字証書則是由証書認証機構(CA)對証書申請者真實身份驗証之後，用CA的根証書對申請人的一些基本資訊以及申請人的公鑰進行簽名(相當于加蓋發証書機構的公章)後形成的一個數字文件，能夠保証用戶在網上傳送資訊的安全，防止其他人對資訊的竊取或篡改。

生物認証是通過人體的唯一生物特徵對身份進行識別的方法，如指紋認証、掌紋認証、面容認証、聲音認証、虹膜認証、視網膜認証等，目前指紋認証運用最為廣泛。

靜態密碼、動態密碼、數字証書、生物認証四種認証方式的安全程度是有差異的，通常情況下，生物認証安全性最高，數字証書、動態密碼次之，靜態密碼安全性最差。

人們要安全使用網上交易系統，必須保護好相應的認証資訊，以免被黑客冒充，丟失資金。需要注意以下幾點:

1.選擇高安全性的網上交易系統。竊取靜態密碼比竊取人體指紋無疑要容易得多，提供了有雙重身份認証(如數字証書加一次性手機短信密碼)的網上銀行系統比採用單一認証方式的系統要安全許多，因此選擇一家提供了高安全性的網上交易系統至關重要。選擇網銀時還可參考銀行以往處理客戶網銀資金丟失時做法，以確定銀行在這方面的防風險能力。
2.妥善保管好相應的認証資訊。不要在網吧等公共場所使用網銀等敏感的網上交易系統，不要輕易相信陌生的電話或者短信、郵件，洩漏個人資料。靜態密碼應牢記腦中，動態密碼要謹慎保管，以免丟失特定的動態密碼權杖。數字証書不要存儲在硬盤文件夾上，而應存儲在IC卡或USB Key中，一旦使用完畢立即從電腦上拔除。

3.及時升級作業系統安全補丁和更新防病毒軟件。避免攻擊者利用作業系統相關漏洞進行攻擊，並在網上交易時打開防毒軟件和個人防火牆，保護個人資料。

4.謹防進入釣魚網站。在登錄網上交易系統時應留意核對所登錄的網址是否相符，謹防攻擊者惡意模仿相應網站，騙取賬戶和密碼等資訊。

5.選擇好的密碼。好的密碼很難被猜出，應注意字符、數字及標點符號、控制符號組合，大小寫組合，並且避免使用如生日、電話號碼等容易猜測的組合，同時將網上銀行登錄密碼和對外支付的密碼設置成不同的密碼並定期更新。

6.不隨意下載網上可執行程式和圖片。原則上只下載和使用經過代碼簽名的可執行程式，以免被木馬病毒感染。

7.充分利用銀行提供的增值服務。現在大多數銀行都提供了交易的短信和郵件提醒，可以充分利用銀行的貼心服務，及時掌握自己的賬戶變動情況。

鏈 接:銀行不能推卸的責任
應該提醒的是，桌面客戶端的安全不只是最終用戶的事，網上交易系統提供商也有義務為用戶提供從客戶端到伺服器的貫穿交易全過程的安全防範措施。因此，商業銀行必須採取的、不能推卸的安全責任有如下幾點。

1.增加生物認証方式及雙重認証機制。目前銀行的認証方式uD要是靜態密碼、動態密碼、數字証書，除北京某商業銀行外，都不支援生物認証方式，而生物認証方式z膃傢囓擃_，不丟失，安全性更高的特點；同時進一步加強雙因素身份認証機制，如數字証書加一次性手機短信密碼等做法，能大大增強某一身份認証資訊被竊而導致資金被盜的難度。

2.大力宣傳桌面客戶端電腦安全的重要性，增加人們的風險意識，並及時向人們推薦安全的認証方式。前不久上海某銀行客戶因數字証書被盜導致丟失16萬資金案中，該銀行其實早就提供了USB key等其他安全認証方式，如果客戶能及時知曉數字証書保存重要性，並結合其他安全認証方式，該案件是完全可以避免發生。

3.建立完善的事後處理機制。目前大部分銀行沒有用戶資金被盜後的處理機制，這樣在用戶發現資金被盜及時通知銀行後，銀行工作人員往往愛莫能助，眼睜睜看著資金轉來轉去，如果發生跨行轉賬，則更難跟蹤資金的流向了。因此，我們呼籲，銀行應建立完善的事後處理機制，在確定用戶資金被盜後，及時採取凍結等措施，保障儲戶利益，並在銀行間建立互動協查機制，使犯罪分子即使跨行轉賬，也無處遁形。

4.限制『大眾版』網銀交易系統使用。在網上銀行發展初期，為方便鼓勵使用網上銀行，大多數銀行推出的網上銀行系統都有『大眾版』和『專業版』之分。『大眾版』只需要客戶在網上輸入身份証號、賬號、密碼即可自動開通，並提供小金額資金轉賬。這無疑給攻擊者提供了便利。

當然，安全是相對的安全，沒有絕對的安全，是系統就一定有漏洞，對於銀行系統來說也是如此。只要我們不斷加強自身的防範意識，努力做好桌面客戶端認証資訊保密工作，再加上銀行不斷升級的安全服務，相信能做到『魔高一尺，道高一丈』。

News from: 新浪網