“假定银行不改变，我们就改变银行”。2012年，阿里巴巴集体董事长马云几年前讲的这句话突然在互联网遍及传播。紧接着，阿里巴巴推出“余额宝”，“阿里小贷”等营业，让中国的银行业经历了一次不大年夜不小的地动。而腾讯、百度、新浪等互联网巨擘紧追厥后，前后推出了本身的金融营业，更让中国的银行业感触感染到从所未有的冲击与压力。

　　良多银行纷繁开端做出步履，扶植银行推出“善融商务”平台，招商银行推出“微信银行”，光大年夜银行推出“融e贷”线上及时贷款办事……,中国的银行仿佛真的开端 “改变”了。纵不雅这些改变，都环绕着“互联网”和“金融”两大年夜主题，申明互联网手艺的成长已逐步渗入到银行的各项主营营业，并产生一系列深切的影响。网上银行作为银行互联网营业的首要渠道和进口，被提到了史无前例的计谋高度。

　　另外一方面，互联网的威胁也在敏捷的成长，复杂年夜的黑色财产链，掌控高深渗入手艺的黑客、复杂高超的病毒木马和无所不在的垂钓网站和讹诈，都对网上银行的安然提出了挑战。而年初的***登 “棱镜门事务”更加国人的信息安然意识敲响警钟。

　　面对复杂的收集环境，各大年夜银行网上银行的安然扶植程度如何？监管政策的合适程度若何？ 这些安然防御系统在资深的安然专家面前，是坚固如传说中“宙斯盾”，仍是底子脆弱的不堪一击？ 这些标题问题，不管是网银用户仍是网上银行的治理者都很是火急的想知道谜底。

　　2013年初，绿盟科技的安然专家们按照2012年底尺度普尔发布的《中国50大年夜银行》陈述，对这50大年夜银行的小我网上银行登录进行了查询拜访、阐发和深进研究，并于近期发布了《小我网上银行登录安然研究陈述》。陈述站在小我用户，渗入专家，监管机构和安然架构专家几个不合视角，对当前中国50大年夜银行的网上银行登录安然给出了一个较为周全的比较，阐发和评判。

　　小我用户：安然办法日趋多样，且细节丰硕

　　安然会话、身份辨别、输进呵护、验证码、掉败措置、浏览器功能樊篱、预留信息、登录提示及限制策略……，从用户角度看，网上银行的安然防护策略真的是层见叠出，让人目炫狼籍。仿佛对银行机构来讲策略越多就越安然。

　　但对中国50大年夜银行网上银行登录安然策略进行研究后发现了新的不雅点，例如：验证码是登录过程中负面体验、预留信息的安然感化其实不较着、与登录限制相干的策略当然百花齐放，但结果其实不很好等等，这些不雅点都可觉得银行网上银行安然策略的调剂供给参考。

　　1. 攻与防：解决凸起的五大年夜威胁是保障网上银行登录安然的关头

　　从渗入专家的视角来看：收集垂钓、歹意代码报复打击、暴力破解暗码、登录的歹意滥用及用户身份假充仍然是今朝网上银行登录的五大年夜威胁。而匹敌这些威胁，银行所采纳的办法起到了较着的感化，但登录的歹意滥用和用户身份假充仍然让人头疼，没法有效解决。

　　2. 监管机构：合规不是终点，而是解缆点，不要输在起跑线上

　　2012年，中国人平易近银行陆续下发红头文件提示银行机构寄望晋升信息安然，并将《网上银行信息安然通用规范》再次修订并发布，银监会也陆续做出一系列的步履，监管机构的良苦专心可见一斑。而从安然的防护角度来讲，合规是最根基的驱动力，知足律例的要求也是信息安然扶植的根本。但是经由过程对50大年夜银行机构的查询拜访发现，从收集通信、安然控件和软键盘三个方面，银行机构的信息安然扶植都不容乐不雅，另有较大年夜的晋升空间。合规不是终点而是解缆点，仿佛银行机构们还没有为互联网金融营业的起跑做好充分的预备。

　　3. 局限性：手艺也有不足，得掉都要本身承担

　　最后，绿盟科技的安然参谋指出，每项安然手艺都有不足和局限，若何利用多种不合的安然手艺彼此弥补，达到最好的防御结果是网上银行安然防护的坚苦。事实，银行机构要为网上银行安然的成果负责，而不是此中的过程。

　　陈述从四个不合的视角对网上银行登录的安然进行从头核阅，希看可觉得扶植较为完美的银行机构供给一点开导，找到进一步晋升网上银行登录安然的思路或灵感。为安然扶植尚不完美的机构了了不足，对厥后续网上银行信息扶植供给一些建议。正如绿盟科技资深安然参谋白雷所讲：

　　“信息安然的实践奉告我们一个事实，没有100%的安然，网上银行的安然也一样如斯，是以建议各网上银行该当进步网银本身的抗冲击能力，最大年夜限度的进步报复打击的成本和实施报复打击的难度，对网银客户端该当综合采纳防护、治理、节制与审核等多层次、调和一致的安然办法”。

　　网上银行的安然之路漫长修远，而绿盟科技将与银行同仁们一路尽力，在晋升网上银行登录安然的路上不竭摸索发现，共同捍卫网银用户的资金安然。