本周《计算机世界》(2006年第37期)有一篇题为《网上银行安全堪忧》的文章，文中肯定了数字证书是确保网银安全的最有效的技术手段，但同时也提出了一个目前还没有很好地解决的问题：为何工行 2000 万网银用户中只有 88 万用户使用数字证书 ( 仅占 4.4%) ？文中指出了遇到的问题，也提出了一些建议，但似乎并没有提出实质性的解决办法，“想要银行拿出一个成熟的方案来使用户感觉到既方便又安全，是比较困难的。但作为银行来讲，在保证安全的前提下，还应当考虑网银使用的易用性和可靠性。”

    WoTrust 作为业界领先的基于数字证书技术的信息安全解决方案提供商之一，我们认为有必要在此奉献我们的解决方案，真正为网银安全提出一个有效的解决方案供业界参考，以起到抛砖引玉的作用。

    其实，要解决网银安全问题并不难，因为技术上已经不是问题，大家已经公认数字证书是解决问题的最有效技术手段，而难题就在于如何大规模实施上。让我们先分析一下目前的实施上遇到了哪些问题：

    (1) 银行各自为政，数字证书不能实现跨行认证是第一大障碍。一般用户都有几个银行的银行卡，而目前的网上银行颁发的个人证书都只能用于本银行，所以，用户不得不跑各个银行办理证书，太麻烦。如果能实现一证通用，则等于每个银行的证书用户数就是全国总证书用户数，相信这是一个非常大的数字；

    (2) 银行并没有真正为用户着想，甚至有些银行还把颁发证书作为一种新的盈利手段。本来申请证书就比较麻烦，有些银行居然把成本只有 60-70 元的 USB Key 按 200 元的高价卖给用户，不知道这些银行是在推广证书应用还是在封杀证书应用；

    (3) 证书颁发流程不合理。自从我国实现银行开户实名制后，用户在银行开户时实际上是严格验证了身份的，所以银行没有必要要求用户为了申请证书又要跑一趟银行，完全可以不用跑银行获得证书；

    (4) 银行之间使用不正当公平竞争手段而给用户造成使用上的不便。某些银行为了达到排挤其他银行的目的，竟然在网银软件 ( 包括 USB Key) 上做一些手脚使得安装了这家网银软件，就不能使用另一家的网银系统，必须都卸载重装才可以。

    其实，还有其他问题，这里只列出笔者了解的一些主要问题，要想推广一项应用，口碑非常重要，如果网银证书用户尽是遇到一些不方便的事情，则会影响整个网银证书的推广使用，哪怕只是个别银行做得不好。

    针对以上出现的问题，结合 WoTrust 了解到的美国银行业的网银实践和全球著名数字证书颁发机构的身份认证经验， WoTrust 提出了如下建议，供银行业界参考：

    (1) 目前，我国已经成立了专门面向银行服务的证书颁发机构 (CFCA) ，这就给数字证书实现跨行认证和一证通用扫除了技术障碍，关键是要通过协商或有关法规来让各个银行承认和接受 CFCA 颁发给用户的统一证书；

    (2) 银行要真正为用户着想，采取一些倾斜政策来鼓励用户使用证书，对于有专用电脑的用户使用文件型证书的成本就非常低了，甚至银行可以免费颁发证书。有了用户的安全，不能只着眼于短期利益，要着眼于长期利益，让用户放心使用也就粘住了用户。同时，银行绝对不能在网银系统制定对用户不负责任的“不平等条约” ( 如：“对由于用户泄露口令而导致损失不付责任”等 ) ，因为目前的木马和流氓软件横行，泄露了密码很有可能不是用户保管不当，而是超出了普通用户的保管责任范围而被非法窃取；

    (3) 大家不难在 WoTrust 网站上看到有关全球第二大数字证书颁发机构 GeoTrust 是如何实现不见面的情况下完成身份验证而颁发证书的有关介绍，这只得国内数字证书认证中心学习和借鉴。颁发证书并不是一定要用户拿上身份证去银行柜台的，实际上即使去银行柜台，也有可能使用假身份证而不能被识别的情况，所以，如果采用合适的技术手段，不见面颁发证书甚至比去银行柜台还要可靠。所以，改进证书颁发流程势在必行， WoTrust 愿意与有兴趣的银行或数字证书认证中心做进一步的深入探讨；

    (4) USB Key 作为数字证书的载体是最好的最安全的解决方案，实际上，一般一个 32K 内存的 USB Key 可以存储 10 个证书，所以，即使是不同银行使用不同的证书，最起码应该让网银用户可以使用通用的 USB Key 来使用各家的数字证书。而目前有些银行的相互不兼容的非法竞争手段最终只能是让网银用户望而却步，受害的还是银行自己。

    以上仅仅是提出了一些解决思路， WoTrust 愿意与大家共同探讨，找出最好的解决方案，为推动网上银行的健康发展做出应有的贡献。