“如果銀行不改變，我們就改變銀行”。2012年，阿里巴巴集團董事長馬云幾年前講的這句話突然在互聯網廣泛流傳。緊接著，阿里巴巴推出“余額寶”，“阿里小貸”等業務，讓中國的銀行業經歷了一次不大不小的地震。而騰訊、百度、新浪等互聯網巨頭緊追其后，先后推出了自己的金融業務，更讓中國的銀行業感受到從所未有的沖擊與壓力。很多銀行紛紛開始做出行動，建設銀行推出“善融商務”平臺，招商銀行推出“微信銀行”，光大銀行推出“融e貸”線上實時貸款服務……,中國的銀行似乎真的開始 “改變”了?？v觀這些改變，都圍繞著“互聯網”和“金融”兩大主題，說明互聯網技術的發展已經逐漸滲透到銀行的各項主營業務，并產生一系列深刻的影響。網上銀行作為銀行互聯網業務的主要渠道和入口，被提到了前所未有的戰略高度。

　　另一方面，互聯網的威脅也在迅速的發展，龐大的黑色產業鏈，掌握精湛滲透技術的黑客、復雜高明的病毒木馬以及無所不在的釣魚網站和欺詐，都對網上銀行的安全提出了挑戰。而年初的斯諾登 “棱鏡門事件”更為國人的信息安全意識敲響警鐘。面對復雜的網絡環境，各大銀行網上銀行的安全建設水平怎樣? 監管政策的符合程度如何? 這些安全防御系統在資深的安全專家面前，是牢靠如傳說中“宙斯盾”，還是根本脆弱的不堪一擊? 這些問題，無論是網銀用戶還是網上銀行的管理者都非常迫切的想知道答案。

　　2013年初，綠盟科技的安全專家們根據2012年末標準普爾發布的《中國50大銀行》報告，對這50大銀行的個人網上銀行登錄進行了調查、分析和深入研究，并于近期發布了《個人網上銀行登錄安全研究報告》。報告站在個人用戶，滲透專家，監管機構以及安全架構專家幾個不同視角，對當前中國50大銀行的網上銀行登錄安全給出了一個較為全面的比較，分析和評判。

　　1. 個人用戶：安全措施日益多樣，且細節豐富

　　安全會話、身份鑒別、輸入保護、驗證碼、失敗處理、瀏覽器功能屏蔽、預留信息、登錄提醒及限制策略……，從用戶角度看，網上銀行的安全防護策略真的是層出不窮，讓人眼花繚亂。彷佛對于銀行機構來講策略越多就越安全。但對中國50大銀行網上銀行登錄安全策略進行研究后發現了新的觀點，例如：驗證碼是登錄過程中負面體驗、預留信息的安全作用并不明顯、與登錄限制相關的策略雖然百花齊放，但效果并不很好等等，這些觀點都可以為銀行網上銀行安全策略的調整提供參考。

　　2. 攻與防：解決突出的五大威脅是保障網上銀行登錄安全的關鍵

　　從滲透專家的視角來看：網絡釣魚、惡意代碼攻擊、暴力破解密碼、登錄的惡意濫用及用戶身份假冒仍然是目前網上銀行登錄的五大威脅。而對抗這些威脅，銀行所采取的措施起到了明顯的作用，但登錄的惡意濫用和用戶身份假冒依然讓人頭疼，無法有效解決。

　　3. 監管機構：合規不是終點，而是起點，不要輸在起跑線上

　　2012年，中國人民銀行陸續下發紅頭文件提醒銀行機構注意提升信息安全，并將《網上銀行信息安全通用規范》再次修訂并發布，銀監會也陸續做出一系列的行動，監管機構的良苦用心可見一斑。而從安全的防護角度來講，合規是最基本的驅動力，滿足法規的要求也是信息安全建設的基礎。然而通過對50大銀行機構的調查發現，從網絡通信、安全控件和軟鍵盤三個方面，銀行機構的信息安全建設都不容樂觀，尚有較大的提升空間。合規不是終點而是起點，似乎銀行機構們還沒有為互聯網金融業務的起跑做好充分的準備。

　　4. 局限性： 技術也有不足，得失都要自己承擔

　　最后，綠盟科技的安全顧問指出，每一項安全技術都有不足和局限，如何使用多種不同的安全技術相互彌補，達到最佳的防御效果是網上銀行安全防護的難題。畢竟，銀行機構要為網上銀行安全的結果負責，而不是其中的過程。

　　報告從四個不同的視角對網上銀行登錄的安全進行重新審視，希望可以為建設較為完善的銀行機構提供一點啟發，找到進一步提升網上銀行登錄安全的思路或靈感。為安全建設尚不完善的機構明晰不足，對其后續網上銀行信息建設提供一些建議。正如綠盟科技資深安全顧問白雷所講：

　　“信息安全的實踐告訴我們一個事實，沒有100%的安全，網上銀行的安全也同樣如此，因此建議各網上銀行應當提高網銀自身的抗打擊能力，最大限度的提高攻擊的成本和實施攻擊的難度，對網銀客戶端應當綜合采取防護、管理、控制與審核等多層次、協調一致的安全措施”。

　　網上銀行的安全之路漫長修遠，而綠盟科技將與銀行同仁們一起努力，在提升網上銀行登錄安全的路上不斷探索發現，共同捍衛網銀用戶的資金安全。

　　報告全文詳見: http://www.nsfocus.com/4_research/4_6.html