由于存在安全隐患，目前，仅有1/3的客户在网上购物时，选择网上支付，而剩下的2/3客户宁愿选择传统的货到付款或者汇款等支付方式。

　　据央行统计，我国目前已有20多家银行的200多个分支机构拥有网址、主页，其中，开展实质性网上银行业务的分支机构达50余家。网上银行用户由2000年下半年的90万人增加到2002年底的250万，2003年仅中国工商银行透露的网上银行用户就已经达到了800万人，现个人已超过4000万户，企业超过6万户。在上海地区，各行网银用户月均以两位数的百分比激增。到2005年底，预计国内网上银行用户将达到1.4亿。总交易额接近20万亿元，企业总数超过10万户，网上银行将成为商业银行为高端客户提供服务的主要方式。

　　安全问题阻碍网上银行发展

　　从国外的情况来看，最近几年，网上银行持续以两位数字增长，而这种势头即使在IT通信业大滑坡的情况下也未停止。以前，在银行才能办的转账、汇款、购物、代缴费等，现在坐在家里，轻点鼠标就能办妥，这是网上银行的优势。

　　但网上银行的高速发展也对IT安全技术提出了更高的要求。试想，当你在网上进行任何一笔交易时，不管是查询、转账支付还是其他，你最需要的是什么？当然是安全的保证。所以，信息安全技术如防火墙、入侵检测、CA加密、容灾备份等，对于网上银行是重中之重。

　　但据调查，中国网络用户在对网上银行的整体评价中，表示非常满意和比较满意的占46%，表示不太满意和很不满意的占16%，而有40%的客户对网上银行的评价是一般。作为网上银行重要功能之一的网上支付功能还远远没有得到客户的普遍认可。目前，仅有1/3的客户在网上购物时，选择网上支付，而剩下的2/3客户宁愿选择传统的货到付款或者汇款等支付方式。中国互联网络信息中心（CNNIC）公布的相关调查报告显示，不愿意选择网上银行的客户中有76%是出于安全考虑。其次是由操作比较复杂、暂时没有需要、网上银行服务太少、不知道银行网址等问题造成的。

　　来自专业公司对网上银行业务的风险分析显示，其隐患一般表现在几个方面：一是数据传输，一旦数据传输系统被攻破，就有可能造成用户的银行资料泄密，并由此威胁到用户的资金安全；二是网上银行应用系统的设计，一旦存在缺陷并被黑客利用，将直接危害到系统的安全性，造成严重损失；三是计算机病毒的攻击，即由于网络防范不严，导致计算机病毒通过网上银行入侵到银行主机系统，从而造成数据丢失等严重后果。

　　业内人士认为，由于网上银行的网络都是大型网络，采用多种通信媒体，由多种协议网互联而成的复杂网络系统。为确保系统的安全，必须采用综合性的智能网络管理系统，提供一体化的网络管理服务，通过协调和调度网络资源，对网络进行配置管理、故障管理、性能管理、安全管理、灾难恢复管理等，以便网络能可靠、安全和高效地运行。

　　网上银行盗窃犯罪频频发生

　　2004年12月30日，海口市公安局网络安全监察处召开新闻发布会，宣布成功破获首次发生在海口的通过计算机网络盗窃他人银行存款的案件，并抓获犯罪嫌疑人李振平。经查，从2004年9月19日到10月13日，李振平共从海南、河北、吉林、山东4省9个地区的25个工行储户账户上窃取存款25706元，实际提取现金24150元。犯罪嫌疑人李振平利用为海南联通公司维护短信网关的便利，通过监控出入海南联通公司短信网关的手机短信，非法收集他人银行账号和密码。李振平用捡到的张朝金的身份证到工商银行开户，然后开始疯狂作案：通过个人电脑登录工行网上银行系统，用非法收集的账号和密码，将魏娟等储户的账上存款转到张朝金名下，接着就从取款机上提取现金。

　　如今针对银行卡的犯罪活动日渐猖獗，偷卡猜密码只能算犯罪的初级方法了。随着各大银行开通网络自助业务，网上假银行、黑客入侵、电脑病毒等构成更严重的威胁。哈市某学院为方便外地学生交学费，与哈市一银行联合给所有在校学生办理了银行卡，免去外地学生开学来时拿着大量现金的不便。然而没有想到，时隔不久却接连发生学生卡内存款莫明“蒸发”的事件。原来，不是网络出了问题，而是一只无形的黑手在网络上支配着这些账户。22岁的陈景波，是哈尔滨某学院信息管理专业的学生。发现一张登记着本年级所有学生银行卡号、身份证号的表，于是他抄下了这100多名同学的卡号、身份证号。陈景波知道他们的初始密码都是一样的，而只有很少一部分同学后来更改了密码。第二天，陈景波在一个叫“网银在线”的网站，将没有改密码的账户都登记注册了，并获得了新的密码。这个密码不与持卡人的密码冲突，只用于该账户网上交易。接着，陈景波又在“网银在线”上用编造了工商、税务登记号轻易地注册了一个虚拟的商店，开始用同学的账户在自己商店里购买东西，钱直接转入陈景波在天津申请的一个账户里。短短两个月，陈景波一面操纵他人的账户，一面控制着网上商店的“经营”，这样自买自卖，盗取他人账户上现金9万余元，扣除网上其余费用，实际获得6万多元。这些钱都被他用来购买了电脑、数码相机、DVD、MP3、软件等物品。

　　2004年12月8日，孟小鹏冒用中国工商银行的名义在网上发电子邮件，内容为：“尊敬的客户，您的登录密码输入错误次数过多，可能您的账号和密码被不法分子盗用，请登录中国工商银行金融E通道，修改您的密码。”如果客户点击了邮件中的链接网址进行密码修改，客户的账号密码资料将被窃取，进而可能遭受财产损失。像孟小鹏这样仿冒银行网站盗取客户密码的事件并非个案，此前，假中国银行、假农业银行网站都出现过。例如，中国工商银行的网址是WWW.ICBC.COM，不法分子冒用的网址中，把ICBC中的I变成了1234中的1，如果不仔细辨别很难看出破绽。客户要是在仿冒网页上输入账号和密码，个人银行信息就有被盗的风险。

　　“网银大盗”非常狡猾

　　业内人士指出，网上银行安全监管的瓶颈亟待突破。2004年初以来，“网银大盗”的肆虐导致一些银行网上系统遭受攻击后，一度关闭了支付系统。对于安全支付问题，多数银行讳莫如深。据上海某银行电子银行部负责人透露，银行的ID和密码其实非常脆弱。例如，登录网上银行所需的认证输入，大部分仅要求输入客户编号等登录ID和密码，有的银行只要求4位数字的密码。这样一来，密码存在泄漏或被窃取的可能性就非常大。

　　2005年1月，一个专门窃取网上银行用户信息的计算机病毒出现。这个病毒英文名“TrojanSpy.Win32.Banker.u”，被专家们形象地称为“银行家变种U”，能窃取汇丰银行、电子港湾等著名网络银行或电子商务网站的用户信息，进而威胁用户财产的安全。由于是个驱动级的木马病毒，中毒后在安全模式下也能启动，极难被发现和清除。病毒一旦侵入计算机，会以动态库形式存在，并创建一个互斥体，保证驱动只为一个应用程序服务。发现活动窗体的文本包含bank.Fidelity、ikobo、e-gold、ebay、yambo、banque、keybank等字符串时，病毒将创建一个线程，与这些字符串所对应的国外著名银行网站建立TCP连接。在银行和电子商务网站上，甚至大多数网站，用户输入的的用户名和密码信息一般都使用Edit控件显示，该病毒会遍历所有Edit控件，获得控件上的文本信息，很容易窃取到用户在网页输入的信息。盗窃得手后病毒将获得的信息通过HTTP协议发送到外部主机。

　　国内知名反病毒厂商江民公司去年下旬截获一种专门盗取某网上银行用户名和密码的木马病毒，这种病毒会在用户计算机中创建可执行文件，并同发信模块文件挂钩，修改注册表，病毒在系统启动时即可运行。病毒主程序开启两个计时器，计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口，如果发现用户正在“某网上银行”的登录界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息保存到共享内存中，当网络再次连通，木马就会把共享内存中保存的用户账号和密码通过电子邮件发送给病毒作者。这种带有黑客性质、专门针对银行账户的恶性病毒，在重重安全技术防范的网上银行系统中，竟能绕过微软安全控件和网上银行的CA证书，轻而易取地窃取用户的账号名和密码。利用多种安全认证技术的网上银行系统，在一个小小的木马病毒面前如此不堪一击，令人瞠目。

　　网上银行安全系统主要包括防火墙、入侵检测、CA加密、容灾备份等，虽然按照网上银行系统的一整套安全机制，理论上说十分安全，但病毒却不按常理出招。正门行不通，病毒就想法设法寻找系统漏洞，绕道而行。网上银行系统也是一行行代码编写的软件，是软件就不会没有漏洞，“只有没被发现的漏洞”。目前危害中国网上银行系统安全的病毒，多是出于中国的本土病毒，目前该类病毒已呈现群簇式泛滥局势，一个病毒出现，紧接着各种各样的变种层出不穷。

　　网上银行的技术风险

　　近两年来，我国有关网上银行安全的事故和危及网上银行安全的隐患并不鲜见。网上银行的安全事故频发，一方面与用户安全意识淡薄有关，另一方面也与网上银行本身存在的技术风险分不开。

　　网上银行包括两种类型：一种是以互联网为背景的由传统银行开拓的网上银行；另一种是在传统银行之外兴起的以互联网络技术为依托的、一种设在互联网上的、没有任何实质分支机构的虚拟银行。网上银行安全风险同时关系到网上银行交易的双方，就银行来说，涉及资料秘密及信用，而客户则涉及资金安全、隐私权。网上支付的安全性问题事关网上银行发展的前景，同时也决定电子商务发展的进程，解决好安全问题时不我待。

　　网上银行业务技术风险一般来源于三个渠道：首先是数据传输，一旦数据传输系统被攻破，就有可能造成用户的银行资料泄密，并由此威胁到用户的资金安全；其次是网上银行应用系统的设计，一旦其在安全设计上存在缺陷并被黑客利用，将直接危害到系统的安全性，造成严重损失；第三是来自计算机病毒的攻击，即由于网络防范不严，导致计算机病毒通过网上银行入侵到银行主机系统，从而造成数据丢失等严重后果。

　　网上银行技术风险具有非行业性和外生性两大特点。非行业性是指风险超出了传统意义上的金融风险的概念，其产生不仅依赖于市场价格的波动、经济增长的质量，而且依赖于软硬件配置和技术设备的可靠程度。风险的外生性是指银行对技术性风险的控制和管理能力，在很大程度上取决于其计算机安全技术的先进程度以及所选择的开发商、供应商、咨询或评估公司的水平，而不像传统银行业务风险那样，仅取决于银行自身的管理水平和内控能力。

　　如何保障网银安全

　　其实，安全性作为网络银行赖以生存和得以发展的核心及基础，从一开始就受到各家银行的极大重视，它们都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的，越安全在某种程度上就意味着申请手续越烦琐，使用操作越复杂，影响了方便性。因此，必须在安全性和方便性上进行权衡。之前，国内网上银行交易额已达数千亿元，银行方还未出现过严重的安全问题，只有个别客户由于保密意识不强而造成资金损失。

　　不过，由于互联网是一个开放的网络，客户在网上传输的敏感信息（如密码、交易指令等）在通讯过程中存在被截获、被破译、被篡改的可能。客户在公用的计算机上使用网上银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。此外，银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，一些银行卡持有人安全意识普遍较弱：不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。因此一些银行规定：客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付，以此保障客户的资金安全。

　　用户在防范网上银行风险中应做到：1. 客户在登录网上银行时，应留意核对所登录的网址与协议书中的法定网址是否相符，仿冒的银行网站页面一般比较粗糙。2. 密码应避免与个人资料有关系，不要选用诸如身份证号码、出生日期、电话号码等作为密码。建议选用字母、数字混合的方式，以提高密码破解难度。尽量避免在不同的系统使用同一密码。3. 做好交易记录，客户应对网上银行办理的转账和支付等业务做好记录，定期查看“历史交易明细”、定期打印网上银行业务对账单，如发现异常交易或账务差错，立即与银行联系。4. 网上银行用户应避免在公用的计算机上使用网上银行，以防数字证书等机密资料落入他人之手，从而使网上身份识别系统被攻破，网上账户遭盗用。5. 安装防毒软件并经常升级，不下载不明程序。为防止他人利用软件漏洞进入计算机窃取资料，客户应及时更新相关软件，下载补丁程序，堵住软件漏洞。

(责任编辑：任宁)