魔高一尺，道高一丈
    在与不法分子的较量过程中，国内商业银行也在密码和数字证书等网上银行安全防范的基本手段之外，采取了一些更加先进的技术手段，并且在技术管理、业务管理以及追踪机制方面建立了相应的机制：
    网上银行业务的分级。一些商业银行已经针对网上银行客户的不同需求将客户进行分级。高级别的客户可以办理大额汇款、转账等业务，同时也对应着更加高级的安全控制手段：此举可以兼顾业务发展和安全防范。
    中国工商银行2003年底推出了新一代个人网上银行系统“金融@家”，同时发布了与微软合作开发的个人网上银行安全系统。该系统的核心便是高度安全的、采用智能芯片进行硬件加密的USBKey。
    无独有偶，2004年4月，招商银行宣布网上个人银行(专业版)4.2版正式启用，并且推出了USBKey形式的移动数字证书。据介绍，USBKey可以从数字证书的环节进行保护，其优点在于数字证书无法导出和拷贝，即便客户的密码泄露，只要USBKey没有丢失，也不会造成任何损失。但是USBKey的缺点也比较明显，首先是客户需要承担硬件的成本，工商银行的USBKey共有三种型号可供用户选择，价格从75元到98元，招商银行的USBKey售价是100元。此外，USBKey日前还不能实现真正的即捅即用，安装过程比较复杂，其移动性还受到一定的限制。
    据寇冠介绍，建设银行准备在2005年一季度推出基于动态口令的加密手段。动态门令具有一次一密的优点。密码由动态口令卡随机生成，在使用一次之后即告失效。即便用户的账号和密码因为木马病毒或其他原因泄露，不法分子也无法使用截获的密码登录账户。动态口令可以很好地解决“弱密码”的问题。此外，从成本上看，动态口令卡的成本要比USBKey低，而日．无需安装，移动性更好。但是由于动态口令卡是在密码环节进行保护，数字证书还需要通过软件环节来进行管理和保护。
    
   针对键盘监控程序的措施。

木马程序之所以能够获取用户的账号和密码，其原理就在于监控用户的键盘输入，以“网银大盗II”为例，该病毒可以开启3个定时器，每隔几秒钟搜索一次用户的IE窗口，如果发现用户正住使用“个人网上银行”的登录界面，则尝试记录用户键入的所有键值，然后把窃取到的信息通过“get'’方式发送到指定的服务器。目前中国建设银行、中国民生银行、招商银行等已经在各自的网上银行登录界面上采用软键盘的密码输入方式，即用户通过鼠标点击来模拟键盘输入。据周永林介绍，中国工商银行的网上银行通过下载客户端安全控件可以有效防止木马程序的攻击。
这种方法也可以很好地防止木马程序监控键盘输入，进而防止用户的账号和密码被盗取。
    网上银行业务和其他渠道的绑定。网上银行业务和其他渠道的绑定可以实现渠道互动的完整闭环，也可以为网上银行在操作环节打上一个很好的“安全补丁”。网上银行尽管使用非常方便，但是由于受到终端设备和上网条件的限制，还不能完全体现3A(Anytime，Anywhere，Anyway)原则。当网上银行发生证书导出备份等涉及安全关键环节的操作，或者大额转账、大额汇款、大额消费等涉及大笔资金转出的账户重大操作时，商业银行有必要通过手机等更加能够体现3A原则的辅助渠道来提醒客户。目前招商银行已经可以针对“备份网上银行文件证书”等重大操作向网卜银行注册用户的手机发送短消息，提醒用户对该操作进行核对：短消息的内容包括操作的类别、时间等。如果用户发现自己并没有在该时间执行该操作，可以马上向银行反映，以降低自己的损失，并尽快协助公安机关立案侦查。
    案件的跟踪机制。

在网上银行用户的账号和密码泄露之后，不法分子还必须要通过汇款、转账、电子支付等手段才能真正获得不法收入。因此，在安全案件发生后，如果商业银行能够在业务处理过程中很好地跟踪每一笔交易的来龙去脉，也可以帮助网上银行客户尽量降低损失，协助公安机关及时侦破，并且在某种程度上对不法分子产生一定的威慑作用。据寇冠介绍，建设银行目前在网上银行交易跟踪力方面已经形成了一套较为完整的系统。这套系统酝酿的初衷源于几年前的一起绑架案，犯罪分子通过当时还属新鲜事物的网上银行来查询赎金是否到账。正所谓天网恢恢，疏而不漏。建设银行通过跟踪执行查询操作的计算机的IP地址，为公安机关提供了重要的线索，最终实现了成功的抓捕。  “我们就是从那个时候开始建立了一套技术手段，跟踪每一笔交易，搜集能够获得的所有信息，并且保留较长时间：从我们和公安部门的配合来看，IP地址等信息可以有效地帮助他们锁定犯罪嫌疑人。”寇冠说。
客户教育是当务之急
    在2004年的几起网上银行安全案件曝光之后，已有业内人士指出，针对木马病毒和假银行网站等作案手
法，商业银行眼下的当务之急就是加大，安全宣传和客户教育力度，让网上银行的用户相信“天下有贼”，了解一些最基本的安全防范常识

“重要提示”和“安全须知”出现在中国工商银行网站的显著位置

      其实如果仔细想来，这些安全防范的常识并不复杂例如针对“网银大盗”、“快乐耳朵”等木马病毒，用户需要做的就是养成良好的上网习惯，例如不要点击来路不明的链接、不要打开来路不明的电子邮件、不要运行来路不明的可执行文件、安装防病毒软件和防火墙软件并及时更新数据库、及时为操作系统打安全补丁等等，这些良好的上网习惯不仅可以保护网上银行的安令，对于保护电子邮箱、个人隐私、重要信息、QQ之类的即时通信工具账号密码、网络游戏账号密码等也同样重要，并且可以保证汁算机系统本身的安全、稳定和可靠。
此外，尽量不要在公共计算机上使用网上银行，不要让别人监视或摄录输入账号和密码的过程。
    而对于访问假银行网站并且泄露账号和密码，用户只要稍加思考，就能够理解这种行为如果发生在虚拟世界之外的日常生活中该有多么荒唐。在日常生活中，这种行为相当于用户在家时，一个谎称自己是某某银行职员的陌生人来敲门，要求提供网上银行的账号和密码以供系统升级核对，而用户仅仅看了一眼陌生人的胸牌就乖乖地把账号和密码告诉了对方。
    据周永林介绍，在假银行网站出现之后，工商银行也采取了一系列措施进行应对，例如在网站首页上设置安全提示的弹出窗口、在网上银行宣传折页上增加“安全提示”等。工商银行近年来大力推广的USBKey安全证书，则可以彻底解决客户的安全疑虑。
    对于那些经常在网上商城购物并且使用网上银行支付结算的用户，周永林建议用户还可以采取其他一
些直观手段来保护自己免受欺诈。首先是确定网上商城自身的可信性，目前国内400多家主要电子商务网
站都通过了中国工商银行的一系列认证，成为工商银行的签约网站。这些商城都有较长的经营历史，已经
形成了一整套经营管理规范，用户可以通过工行网站(www．icbc．com．cn)登录进入“网上商城”或直接访问“http;//www.icbc.com.cn/netmarket/b2c_shop.jsp”，从中按商户名称进行查询。其次是判断支付界面的真实性，用户可以在支付窗口的“地址”栏中判断当前窗口的地址(如果窗口本身没有“地址”栏，用户可以在窗口空白处点击鼠标右键，在弹出菜单中选择“属性”，也可以获得当前窗口的地址)是否为“https://mybank.icbc.com.cn/servlet/com.icbc.inbs.b2c.pay.B2cMerPayReqServlet”。
最后一种方法是在支付窗口中双击底部的黄色锁形标志，了解证书的名称。由于工商银行购买了www．
verisign．com的证书，如果证书的颁发者不对，或者根本没有锁形标志，就基本上可以判定是假的工商银行支付页面。
    2004年12月23日，中国金融认证中心(CFCA)联合中国工商银行、中国农业银行、中国银行、中国
安全地使用网上银行。而工商银行已经把“安全教育”作为2005年网上银行宣传的关键词，结合USBKey证
书的普及和推广，帮助用户提高网上银行使用的安全性。

    在国内网上银行走向成熟的过程中，安全已经成为一道必须逾越的关隘。在信息技术飞速发展的今天，
绝对的安全并不存在。在“魔”与“道”不断较量的过程中，我们不能因噎废食，更不能掉以轻心。只有
国内商业银行不断地追求更加先进的安全防范技术和更加有效的安全管理手段，同时持续、有效地开展客
户教育，国内网上银行才能真正迎来辉煌的明天