首先祝贺大家新春快乐！
 
看到各位在热烈讨论网上银行安全的问题，我曾经提出过一些解决办法。当然这些方法是一个整体安全解决方案的一部分。针对网上银行当前所面临的威胁，单纯从技术的角度来讲，可能当前业界有很多方法，如大家已经提及的数字证书、动态令牌或者其它的解决方案等等，这些方法都能够从某些角度解决当前网上银行面临的问题。但是，如从我们从一个比较理想的角度来探讨这个问题，涉及的内容会非常多，也很难在这儿详细展开。
 
就各位最为关心的几个要点，我想从一个专业公司的角度来谈点看法。
 
1）本社区在讨论2008网银对Linux的支持情况。
 
实际上，一种技术的发展必然依托与其广泛的用户基础，毋容置疑，当前用户使用Windows和Linux的都有相当的数量，而Windows的数量更多一些。从国内银行网上银行所采用的技术角度来讲，支持最广泛的最终用户群，其中使用Windows的用户占大多数。实际上，我们推荐采用Applet来认证最终用户（不单纯从安全的角度），实际上表达了一个基本的理念：“不能把不方便给最终用户”，我们倡导“最终用户能够上网，就能够安全的使用网上银行”，所以，不论是Linux用户，还是Windows用户，都应该可以使用网上银行，而不需要增加额外的成本。
 
另外，从安全的角度来讲，当前在线银行在面对恶劣的浏览器环境时，封闭的专一的功能可能降低用户的安全风险。但是，从程序员的安全编程角度来讲，这里又会非常复杂。因为，同样一种技术，可能不同经验的工程师所编写的程序，其安全级别是不一样的。Applet 插件也存在与微软Windows的兼容（也经过了波折）问题。而客户往往会评估安全和易用性及其它因素的关系。所以，就当前各个银行所采用的不同的平台，是可以理解的。但是，我们确实很难说OS种类与安全风险的关系。
 
2）网银安全与认证手段。
 
看到大家在讨论成本与技术，如证书认证、动态令牌认证、矩阵卡、手机短信等等认证手段。这些计算都存在其优缺点，关键在于在什么样的一种安全战略或者框架下使用，如何构建一个比较安全的防范体系。如何有机结合网银应用，以及管理团队的管理等等都有关系。调查曾经发生的攻击事件，任何一个薄弱环节都存在被攻击的可能性。而最终客户选择哪种技术本身又有很多的因素，我们很难在这儿讨论清楚。
 
我们作为专业公司如何看待这个问题？以及就Entrust公司本身有哪些方面的技术或者经验可以帮助我们的客户降低安全风险呢？随着在线交易的应用的发展，根据第三方的统计显示（Source:"Phishing Attacks Escalate,Morph and Cause Considerable Damage" Avivah Litan,Gartner Research, December 13,2007）在线用户遭受网络钓鱼攻击的从2004年到2007年为118%，全球在线交易所遭受的身份被盗和欺诈攻击正有猖獗之势。我们作为专业的应用安全公司，针对这两个方面的安全风险提出了自己相应的安全技术，并且在总结了在全球众多的客户安全建设经验基础上，构建了六级安全模型，包括如下几个方面：
 
-构建SSL 安全通道， Entrust率先在中国提供全球根EV SSL证书（增强型验证全球信任根证书），可以帮助客户构建安全通道，由于其内嵌在主流的浏览器中，所以，最终用户不需要单独安全根证书就可以安全访问。同时，我们为了降低客户成本，也从价格上提供了非常优惠的政策，即打破Versign在中国几乎垄断的市场，而给最终客户更多的选择。 因为，拥有一样的技术，客户却可以投入更小的成本。
 
-构建多通道身份认证平台，根据用户的使用频率以及对安全的要求，我们建议采用基于风险评估模式的单一认证平台，但是可以支持多种认证方式，即动态令牌、口令、矩阵卡、证书、生物指纹、手机短信、机器认证等多种方式，这样从战略上可以构建用户立体安全防御体系，而非单一一刀切方式。同时可以降低安全成本，维护成本，最终用户端倡导不需要安装任何软件。
 
-根据不同的风险，我们推出了基于风险的欺诈安全防范解决方案，建立用户行为模式的分析，建立一整套检测用户异常行为的技术平台，可以和多通道平台进行互动。
 
-网上银行的核心是交易，防止交易的抵赖，泄漏，则签名和安全交易是利用数字证书的技术来完成。
 
-随着Web 邮件的广泛使用，其安全性越来越显得重要，某些电子商务或者商城类平台上，基于Web mail的严重漏洞导致大量的用户身份被窃，但是如果专注于推广业务的市场策略，可能导致了牺牲安全性！我们提出了从降低用户成本的角度来实现通过证书用户向非证书用户发送安全邮件的技术，结合任何一方的证书系统，都可以实现用户Web 邮件的安全。该技术已经广泛使用与花旗银行等客户。
 
-我们谈信息安全，网络安全，应用安全等等话题，好像比较专注于某一类客户，或者某一个群体的客户。实际上，我们更愿意通过全球范围内来横向看待这个问题。安全实际上也需要联合防范，需要建立一个安全联盟，共享全球安全专家的经验和智慧。比如网上银行的欺诈问题，决不是一两个银行的问题，而是一个全球性的问题。所以，一种开放的思维显得弥足珍贵。这点可能和我们这个社团的宗旨是一样的。Entrust建立了全球共享的欺诈防范网络，我们的客户可以成为其会员，该网络共享在全球发生的欺诈事件，原因，解决方法等等。建立全球共享欺诈网络将作为我们六级安全模型的重要组成部分。
 
最后，关于成本问题。
 
上述所谈的证书、动态令牌等等技术和其它的技术一样都有成本。但是，我可以肯定的告诉大家，作为安全行业的DNA（Gartner评价），能够帮助我们的客户降低安全风险，获得网络世界的一份安宁将是我们最大的快乐。在2009年，我们将进一步降低我们的技术成本，希望能够更好的为我们的客户提供更好的技术和服务。
 
欢迎大家提出宝贵的意见，可通过下面的邮件找到我。
 
另外，特别感谢Bill 能够提供这样一个好的交流社区帮助大家共同成长和学习。
 
 
谢谢！
 
William Wei
 
Entrust
 
MSN:wi8iw在hotmail.com 
william.wei在entrust.com 


________________________________

From: Bill Xu [mailto:bill在zeuux.org] 
Sent: Thursday, January 22, 2009 2:47 PM
To: Yongwei Wu
Cc: Kermit Mei; zhangweiwu在realss.com; 哲思讨论区; William Wei
Subject: Re: [zeuux-universe] 总结2008年网银对linux的支持情况（又：中国银行将老用户迁到新版网上银行）





	我说过，我并不支持这种做法。不过，作为商业银行，选择对他们有利的商业方
	案也是可以理解的。
	  

是的，从纯商业的角度看，可以理解。但呼吁政府不能从纯商业的角度看待金融行业，而且要有实际行动。



	  

			我现在更希望的是，有人能够影响招行和支
			付宝，提供一些不使用这些安全技术的选项。
			
			      

		这个在"招行行动"过程中，我们也提出过一些解决方案，其中一些不乏是世
		界级的，比如：
		http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang
		    

	
	我刚看了。
	
	2.1建议使用Java Applet来替代ActiveX，不可行。目前使用控件的目的应当是
	在驱动层做手脚，防止远程控制。Java做不到吧。
	
	2.2建议使用动态令牌，但里面也提到，成本比较高。（比较而言，使用控件加
	证书基本上是零成本。）
	
	2.3没有技术细节，很难讨论。但我怀疑它防不了远程的木马控制。从其网络上
	的市场资料来看，是个服务器端方案，可以和其它方式结合，但替代不了其它的
	安全方案。
	
	2.4讲数字证书，大家已经在用了。
	  

William提出的方案并非空穴来风，是来自Entrust公司的专业方案，虽然是专有软件的方案。大家可能不了解Entrust，但大家可能都知道 PKI，是Entrust发明了PKI。CFCA也是Entrust建的。不多说了，更多的交给William自己给大家介绍吧，呵呵。



	  

		其实在金融领域，已经有非常好的跨平台安全解决方案，可是国内的很多银行
		就是不采用，非要和微软绑在一起，这不是技术问题，不是成本问题；他们眼
		里就没有非MS用户。
		    

	
	前面提到了，可能是个成本问题。
	
	  

		在我和William的讨论过程中，得出的结论是现在国际上的大银行现在更重视
		的反洗钱和反欺诈的问题，流氓软件＋木马来偷取用户的密码这样的事情早
		得以解决。用的技术也非常成熟，比如HTTPS ＋ 动态口令。都可以非常好地
		解决问题。大型的互联网公司也用同样的办法来解决服务器（口令）安全的问
		题。
		    

	
	动态口令成本对用户的成本还是比较高的。
	  

现在已经有银行开始使用动态口令卡了，比如中国银行已经开始用RSA的卡。说到成本，很显然，动态口令卡的成本 < ActiveX的成本，因为ActiveX依赖MS Windows，这意味着网银用户必须要购买MS Windows，比口令卡贵多了。

当然，你也可以说在商业银行已经考虑到用户的需求了，并做了大量翔实的调研，结论是中国用户都是Windows用户，因此采用ActiveX不存在歧视用户的问题。但专家们忽视了，我们大部分都是非授权Windows用户。但愿政府不要像商业公司那样去调研和决策。



	  

		但不能否认就是，中国的情况很特殊，有中国特色，就是大量的非授权（盗
		版）软件的存在，让一切用户认为自己的成本为零。盗版最终害了我们自己。
		    

	
	同意结论。:-)
	
	  

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090122/9ff42894/attachment-0001.html>

多谢William的认真回复，关于网银的安全解决方案问题，我们可以利用此机会一 
起好好讨论一下。

William Wei 写道:
> 首先祝贺大家新春快乐！
>  
> 看到各位在热烈讨论网上银行安全的问题，我曾经提出过一些解决办法。当然这 
> 些方法是一个整体安全解决方案的一部分。针对网上银行当前所面临的威胁，单 
> 纯从技术的角度来讲，可能当前业界有很多方法，如大家已经提及的数字证书、 
> 动态令牌或者其它的解决方案等等，这些方法都能够从某些角度解决当前网上银 
> 行面临的问题。但是，如从我们从一个比较理想的角度来探讨这个问题，涉及的 
> 内容会非常多，也很难在这儿详细展开。
>  
> 就各位最为关心的几个要点，我想从一个专业公司的角度来谈点看法。
>  
> 1）本社区在讨论2008网银对Linux的支持情况。
>  
> 实际上，一种技术的发展必然依托与其广泛的用户基础，毋容置疑，当前用户使 
> 用Windows和Linux的都有相当的数量，而Windows的数量更多一些。从国内银行 
> 网上银行所采用的技术角度来讲，支持最广泛的最终用户群，其中使用Windows 
> 的用户占大多数。实际上，我们推荐采用Applet来认证最终用户（不单纯从安全 
> 的角度），实际上表达了一个基本的理念：“不能把不方便给最终用户”，我们倡 
> 导“最终用户能够上网，就能够安全的使用网上银行”，所以，不论是Linux用 
> 户，还是Windows用户，都应该可以使用网上银行，而不需要增加额外的成本。
>  
> 另外，从安全的角度来讲，当前在线银行在面对恶劣的浏览器环境时，封闭的专 
> 一的功能可能降低用户的安全风险。但是，从程序员的安全编程角度来讲，这里 
> 又会非常复杂。因为，同样一种技术，可能不同经验的工程师所编写的程序，其 
> 安全级别是不一样的。Applet 插件也存在与微软Windows的兼容（也经过了波 
> 折）问题。而客户往往会评估安全和易用性及其它因素的关系。所以，就当前各 
> 个银行所采用的不同的平台，是可以理解的。但是，我们确实很难说OS种类与安 
> 全风险的关系。
>  
> 2）网银安全与认证手段。
>  
> 看到大家在讨论成本与技术，如证书认证、动态令牌认证、矩阵卡、手机短信等 
> 等认证手段。这些计算都存在其优缺点，关键在于在什么样的一种安全战略或者 
> 框架下使用，如何构建一个比较安全的防范体系。如何有机结合网银应用，以及 
> 管理团队的管理等等都有关系。调查曾经发生的攻击事件，任何一个薄弱环节都 
> 存在被攻击的可能性。而最终客户选择哪种技术本身又有很多的因素，我们很难 
> 在这儿讨论清楚。
>  
> 我们作为专业公司如何看待这个问题？以及就Entrust公司本身有哪些方面的技 
> 术或者经验可以帮助我们的客户降低安全风险呢？随着在线交易的应用的发展， 
> 根据第三方的统计显示（Source:"Phishing Attacks Escalate,Morph and 
> Cause Considerable Damage" Avivah Litan,Gartner Research, December 
> 13,2007）在线用户遭受网络钓鱼攻击的从2004年到2007年为118%，全球在线交 
> 易所遭受的身份被盗和欺诈攻击正有猖獗之势。我们作为专业的应用安全公司， 
> 针对这两个方面的安全风险提出了自己相应的安全技术，并且在总结了在全球众 
> 多的客户安全建设经验基础上，构建了六级安全模型，包括如下几个方面：
>  
> -构建SSL 安全通道， Entrust率先在中国提供全球根EV SSL证书（增强型验证 
> 全球信任根证书），可以帮助客户构建安全通道，由于其内嵌在主流的浏览器 
> 中，所以，最终用户不需要单独安全根证书就可以安全访问。同时，我们为了降 
> 低客户成本，也从价格上提供了非常优惠的政策，即打破Versign在中国几乎垄 
> 断的市场，而给最终客户更多的选择。因为，拥有一样的技术，客户却可以投入 
> 更小的成本。
>  
> -构建多通道身份认证平台，根据用户的使用频率以及对安全的要求，我们建议 
> 采用基于风险评估模式的单一认证平台，但是可以支持多种认证方式，即动态令 
> 牌、口令、矩阵卡、证书、生物指纹、手机短信、机器认证等多种方式，这样从 
> 战略上可以构建用户立体安全防御体系，而非单一一刀切方式。同时可以降低安 
> 全成本，维护成本，最终用户端倡导不需要安装任何软件。
>  
> -根据不同的风险，我们推出了基于风险的欺诈安全防范解决方案，建立用户行 
> 为模式的分析，建立一整套检测用户异常行为的技术平台，可以和多通道平台进 
> 行互动。
>  
> -网上银行的核心是交易，防止交易的抵赖，泄漏，则签名和安全交易是利用数 
> 字证书的技术来完成。
>  
> -随着Web 邮件的广泛使用，其安全性越来越显得重要，某些电子商务或者商城 
> 类平台上，基于Web mail的严重漏洞导致大量的用户身份被窃，但是如果专注于 
> 推广业务的市场策略，可能导致了牺牲安全性！我们提出了从降低用户成本的角 
> 度来实现通过证书用户向非证书用户发送安全邮件的技术，结合任何一方的证书 
> 系统，都可以实现用户Web 邮件的安全。该技术已经广泛使用与花旗银行等客户。
>  
> -我们谈信息安全，网络安全，应用安全等等话题，好像比较专注于某一类客 
> 户，或者某一个群体的客户。实际上，我们更愿意通过全球范围内来横向看待这 
> 个问题。安全实际上也需要联合防范，需要建立一个安全联盟，共享全球安全专 
> 家的经验和智慧。比如网上银行的欺诈问题，决不是一两个银行的问题，而是一 
> 个全球性的问题。所以，一种开放的思维显得弥足珍贵。这点可能和我们这个社 
> 团的宗旨是一样的。Entrust建立了全球共享的欺诈防范网络，我们的客户可以 
> 成为其会员，该网络共享在全球发生的欺诈事件，原因，解决方法等等。建立全 
> 球共享欺诈网络将作为我们六级安全模型的重要组成部分。
>  
> 最后，关于成本问题。
>  
> 上述所谈的证书、动态令牌等等技术和其它的技术一样都有成本。但是，我可以 
> 肯定的告诉大家，作为安全行业的DNA （Gartner评价），能够帮助我们的客户 
> 降低安全风险，获得网络世界的一份安宁将是我们最大的快乐。在2009年，我们 
> 将进一步降低我们的技术成本，希望能够更好的为我们的客户提供更好的技术和 
> 服务。
>  
> 欢迎大家提出宝贵的意见，可通过下面的邮件找到我。
>  
> 另外，特别感谢Bill 能够提供这样一个好的交流社区帮助大家共同成长和学习。
>  
>  
> 谢谢！
>  
> William Wei
>  
> Entrust
>  
> MSN:wi8iw在hotmail.com
> william.wei在entrust.com william.wei在entrust.com>
>
> *From:* Bill Xu [mailto:bill在zeuux.org]
> *Sent:* Thursday, January 22, 2009 2:47 PM
> *To:* Yongwei Wu
> *Cc:* Kermit Mei; zhangweiwu在realss.com; 哲思讨论区; William Wei
> *Subject:* Re: [zeuux-universe] 总结2008年网银对linux的支持情况（又： 
> 中国银行将老用户迁到新版网上银行）
>
>
>> 我说过，我并不支持这种做法。不过，作为商业银行，选择对他们有利的商业方
>> 案也是可以理解的。
>>   
> 是的，从纯商业的角度看，可以理解。但呼吁政府不能从纯商业的角度看待金融 
> 行业，而且要有实际行动。
>
>>   
>>>> 我现在更希望的是，有人能够影响招行和支
>>>> 付宝，提供一些不使用这些安全技术的选项。
>>>>
>>>>       
>>> 这个在"招行行动"过程中，我们也提出过一些解决方案，其中一些不乏是世
>>> 界级的，比如：
>>> http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang
>>>     
>> 我刚看了。
>>
>> 2.1建议使用Java Applet来替代ActiveX，不可行。目前使用控件的目的应当是
>> 在驱动层做手脚，防止远程控制。Java做不到吧。
>>
>> 2.2建议使用动态令牌，但里面也提到，成本比较高。（比较而言，使用控件加
>> 证书基本上是零成本。）
>>
>> 2.3没有技术细节，很难讨论。但我怀疑它防不了远程的木马控制。从其网络上
>> 的市场资料来看，是个服务器端方案，可以和其它方式结合，但替代不了其它的
>> 安全方案。
>>
>> 2.4讲数字证书，大家已经在用了。
>>   
> William提出的方案并非空穴来风，是来自Entrust公司的专业方案，虽然是专有 
> 软件的方案。大家可能不了解Entrust，但大家可能都知道 PKI，是Entrust发明 
> 了PKI。CFCA也是Entrust建的。不多说了，更多的交给William自己给大家介绍 
> 吧，呵呵。
>
>>   
>>> 其实在金融领域，已经有非常好的跨平台安全解决方案，可是国内的很多银行
>>> 就是不采用，非要和微软绑在一起，这不是技术问题，不是成本问题；他们眼
>>> 里就没有非MS用户。
>>>     
>> 前面提到了，可能是个成本问题。
>>
>>   
>>> 在我和William的讨论过程中，得出的结论是现在国际上的大银行现在更重视
>>> 的反洗钱和反欺诈的问题，流氓软件＋木马来偷取用户的密码这样的事情早
>>> 得以解决。用的技术也非常成熟，比如HTTPS ＋ 动态口令。都可以非常好地
>>> 解决问题。大型的互联网公司也用同样的办法来解决服务器（口令）安全的问
>>> 题。
>>>     
>> 动态口令成本对用户的成本还是比较高的。
>>   
> 现在已经有银行开始使用动态口令卡了，比如中国银行已经开始用RSA的卡。说 
> 到成本，很显然，动态口令卡的成本 < ActiveX的成本，因为ActiveX依赖MS 
> Windows，这意味着网银用户必须要购买MS Windows，比口令卡贵多了。
>
> 当然，你也可以说在商业银行已经考虑到用户的需求了，并做了大量翔实的调 
> 研，结论是中国用户都是Windows用户，因此采用ActiveX不存在歧视用户的问 
> 题。但专家们忽视了，我们大部分都是非授权Windows用户。但愿政府不要像商 
> 业公司那样去调研和决策。
>
>>   
>>> 但不能否认就是，中国的情况很特殊，有中国特色，就是大量的非授权（盗
>>> 版）软件的存在，让一切用户认为自己的成本为零。盗版最终害了我们自己。
>>>     
>> 同意结论。:-)
>>
>>   
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090122/4950f2ac/attachment.html>