浅谈国内网络交易的安全性和安全软件的选择。

vvaall

在卡饭，LZ已经两度见到有网友询问网购需要的安全软件问题，回复者甚众。

对此，由于LZ的工作和金融业者接触频繁，对其中网银开发和使用有所了解，故对上述问题解释如下：

1. 网购站点安全吗？
这个问题主要集中在购物网站上的账号是否安全上，其实这和我们普通情况下的木马防范是一致的。购物网站一般都不会设置特别的安全措施，因此被木马等病毒盗取账号并滥用的可能性是存在的，但是，这里需要指出，购物和支付在网上交易中属于不同的范畴。即使用户的购物账号被盗，并不会直接造成用户财产的损失。但是，用户账户被盗所衍生出来的诈骗案件已有发生，主要是利用观察用户的购买行为，在用户采取货到付款时，派出假快递员送货，骗取用户货款，仍需防范。

2.网上支付安全吗？
这其实是网上交易的核心问题，而我对这个问题可以给予肯定的答案：是！
网上支付目前在国内网银范围内理论上是绝对安全的。首先，一家要开通网银的金融机构或者金融中介机构，需要经过中国银行业监督管理委员会的严格审批，各家银行都必须在网上银行的界面安装足以保护用户账户安全的插件，并采取任何必要的其他措施。
大家其实都知道，有许多浏览器是无法正常使用网银的，这其实和网银插件的性质有关。事实上，国内所有开办网银的金融机构包括支付宝在内所使用的ActiveX插件都是针对微软Internet Explorer设置，用户必须安装相关插件才可以正常使用网银功能。（有人指出某些国内浏览器同样可以使用网银，这不奇怪，因为那些浏览器都是给予IE内核改装而成，实质和IE差别不大）安装插件后，用户使用网银时，插件内置于IE的钩子就会生成输入用户名/密码的输入框，虽然看上去和IE的普通输入框没有太大不同，但是插件构成的输入框会自动记录用户的键盘/鼠标活动，并确保这些活动不被其他任何记录工具所记录。这就使得木马在安全插件面前无计可施。即使是在染毒电脑上，也可以几乎没有顾虑地使用网上银行。
进一步的防护措施：许多银行在插件之外，更会推出U盾或验证器之类硬件加密工具，要求在大额消费中强制使用此类工具，这类工具经过精心加密，而且无法写入，几乎100%保证网络支付无法被第三方劫持。

其实在银行插件和硬件加密工具面前，所有的安全软件都是来不及发挥作用的，所以，支付安全，并不需要安全软件来保障。
有网友可能会疑惑，既然网上银行如此安全，为何那么多安全软件还标榜有网购安全功能呢？
这里LZ的解释是，对于国外安全软件而言，这一功能是十分必要的，LZ时常在国外进行网上购物，实际国外许多网上购物规则比国内要随意得多，只需要输入信用卡基本信息即可，期间并不要求安装任何安全控件，这有可能是国外网络环境更好所致。而且，国外信用卡消费，如果发现非本人使用，银行往往会对用户先行赔付，这是国内银行不具备的特质。但用户为了避免不必要的麻烦，依然会选择带有网购保护功能的安全软件。
其实近年来，越来越多国外网站会要求用户尽可能使用Paypal之类第三方安全支付工具保障支付。

至于国内的某些安全软件所谓现行赔付规则，那是因为他们非常了解国内网上银行的安全系数，所以会提出这种不靠谱的承诺。就像提出，如果你被陨石砸死，我会赔你一千万元这样的承诺，好听，但只是一种噱头，没有任何意义。

我们把问题反过来讲，即使国内最小的金融机构，也有至少几十万的用户量，其中的绝大部分用户都不可能有专业的电脑知识，难免会毫无知觉地在染毒电脑上使用网上购物，而如果他们的网购账号大量被盗，用户势必会将矛头指向银行，给银行带来难以承受的投诉压力和法律风险，甚至会因此让用户丧失对银行的信心，失去了用户信心的银行，面对的就是近乎死亡的挤兑风险，而天x朝的经济体系是不能容许挤兑存在的。这也从反面证明了，我们的网上支付非常安全，因为，面对可能威胁国家安全的问题，它必须非常安全。

其实在网上银行诞生头几年，由于银行经验不足，的确发生过因为没有控件保护导致用户账户被盗之类的事件，也发生过安全插件被指责存在严重漏洞的事件，但是中国银行的资金优势和研发能力是强大的，很快，网上银行以惊人的速度完善起来，而且目前来看，几乎是牢不可破。

3.依然存在的威胁
钓鱼，是的，钓鱼网站成了现在网上支付最大的敌人。如果一个和银行网站界面一模一样的网站出现，然后要求用户输入账号和密码，是不是每个用户都能辨识？
这是目前网上银行面临的主要威胁，许多银行已经有了应对措施，比如开发反钓鱼插件等，也有采取让用户及时发现钓鱼手段，比如让用户留一个短语口令在网上银行，如果进入正确的网站，口令会出现，如果进入钓鱼网站，它是不可能知道你在银行预留的口令的。

目前，国内国外的安全软件，对于层出不穷的钓鱼网站，都没有太好的办法。只能靠我们自己去辨识了。
此外，老生常谈的提醒，银行的工作人员会询问你的账号，但永远不会让你念出或者写下自己的密码，切记。

4.总结
综上所述，当你需要保障你的网购安全时，请确保自己是在正规的购物网站上购买商品，不要点开不明来历的链接，不要相信任何人给你的付款地址，你应该信任的是正规网站的正规支付途径，以及银行或经银监会认可的第三方交易机构给予你的安全保障，因为，在这些保障面前，所有的病毒和安全软件都是无用的。

最后声明：LZ并非技术人员，以上只是LZ在工作中了解和得出的经验，供且仅供参考。

安装优秀的正版安全软件对您的生活依然重要，爱它，请舍得为它付钱。

寒山竹语

好文。真应该再多说一些。
我给楼主总结一下：

人脑很重要，思维要严谨。若靠全自动，定是大傻瓜。

xljbxx

寒山竹语 发表于 2012-7-27 14:27
好文。真应该再多说一些。
我给楼主总结一下：

不一定，人脑有时候也会被电梯夹

天上的井

说的很有道理 对于网络购物 习惯远比用的什么安全软件重要的多的多

青春虎

行為習慣更重要，也要記住天下沒免費的午餐

vvaall

寒山竹语 发表于 2012-7-27 14:27
好文。真应该再多说一些。
我给楼主总结一下：

精辟！非常精辟！要是人脑子被夹了，全世界安全软件一起上都是救不了的。

wwdboy

不版还是很给力

happywangxl

3L也说得没错，哈哈

parkeeper

说得好，人脑才是关键

尘梦幽然

凯文.米特尼克认为，现有的安全软件及技术措施已经足够保护用户的数据安全，关键问题在于人的安全遵从性。