从金融网络安全看IT科普工作-中国银行.PDFVIP

金融网络安全保障— “2016 年金融科技活动周”主题宣传 从金融网络安全看 IT 科普工作 中国银行数据中心 刘鹏展 近年来，互联网逐渐成为金融服务的主要渠道之一，公众可以通 过互联网随时随地使用金融机构提供的产品与服务，带来了极大的便 利，体现了行业与时代的巨大进步。然而，任何事物都有两面性，网 络安全、金融安全也受了到新的挑战。一些不法分子利用公众知识、 操作方式、个人信息泄露的缺限，从事诈骗、窃取活动。网络诈骗屡 见不鲜，作案手段层出不究，很多人辛苦积攒的财富一夜之间烟消云 散，金融网络安全成为突出的社会问题。 金融网络安全问题是一个复杂的社会现象与问题，与法律制度、 信用体系、技术现状、公众知识等方面密切相关。公众加深互联网理 解，提高网络安全认识是防范网络欺诈、保障自身安全的有效手段。 如何增强公众的网络安全认识，是一个IT 知识科普的范畴。本文致 力于分析IT科普存问题，论述科普内容，提出科普建议，希望起到 抛砖引玉的作用。 IT科普有着很高的必要性。作为IT 从业者，我们知道，计算机 科学家、数字家经过长期的努力，设计了精巧严密的安全机制。现有 的PKI （公钥基础设施）体系基于非对称密钥，非对称密钥又基于数 1 金融网络安全保障— “2016 年金融科技活动周”主题宣传 学问题，除非解决了这些数学难题（如大素数分解），否则威胁不到 现有技术的保密性、完整性、抗抵赖性、身份真实性。从实践层面， 金融机构基于这些技术和“最佳实践”部署了完备的产品与软件。看 上去，一切是安全的。确实，目前，极少见到不法分子硬碰硬的破解 金融机构和安全技术的保护，完成情节恶劣的作案。几乎所有的时候， 不法分子都是从普通用户下手，使用技术简单的钓鱼网站，通过电信 手段，精心设计故事，骗取用户财富。从受骗用户来看，相当一部分 用户都缺乏基本的IT 知识，并不了解如果鉴别网站的真伪、也不了 解金融机构使用安全保障工具。受过高等教育的群体，IT 从业者受 到网络诈骗的案例是比较罕见的。从这个角度来看，进行IT科普， 让更多的人了解IT 知识，了解网络安全知识是有效的金融网络安全 保障措施。 目前我国的IT科普总体上处于比较初级的阶段。从科普的内容 来看，总结性不够，素材与口号较多，分布在网络上各处，没有整体 权威的总结，基本上没有对现有金融安全技术的介绍，常常给出“不 贪婪就不受骗”这样正确但不易实施的道理；体系化不强，用户、警 方、企业总结了一些经验，当然有一定作用，但知识太多显得碎片化， 普通用户还看不到体系化的总结；市场上，IT 知识的科普读物也比 较罕见，局限于知识介绍，深度不足。 我们应该做哪些IT科普呢？我们科普内容的角度作一探讨： 一、精练并统一初级科普内容 2 金融网络安全保障— “2016 年金融科技活动周”主题宣传 现在网络安全口号非常多，老百姓也无所适从，散落在网络各地， 不易寻找，应当总结出一些简要重要的规律，通过权威手段发布、宣 传。有一些重要的规律并不复杂，如记住银行官网地址。银行地址一 般都很短，通过正确的地址访问，可以避免钓鱼网站，（DNS 劫持虽 然存在可能性，但作案的复杂度要高很多，很少很见类似报道）。总 结好规律后，权威口径发布，通过线下线上多种方式广泛宣传，做到 随处可见，处处一致。好的公益宣传例子数不胜数。 二、深度科普知识体系,而非碎片化经验 前文说过，我们设计了精巧的电子交易安全体制，虽然也得到了 广泛应用，但多数普通用户并不知道背后的原理，很少有人知道数字 证书是是什么，UKEY 里装的是什么，浏览器上的https 是什么、浏 览器跳出的告警意味着什么。如果了解了PKI 体系的运行原理，这些 问题都迎刃而解。公众不了解是因为IT 从业者没有清楚、友好的去 讲明白，其实这里面的概念都不复杂，证书、签名、加密、认证中心 都是他们字面上的意思，都可以用现实生活中的实体来比喻。科普者 不能低估用户的接受能力，只是要研究怎么讲的更明白。如果科普者 还觉得这些知识复杂，可以联想前一段