基金用户互联网交易的安全注意事项

工银瑞信基金管理公司 信息科技部  郦冬

        随着我国基金业的发展，基金这种投资手段已经被广大投资者所认可并接受，而随着互联网的迅速发展，网上交易也成为基金公司非常重要的交易渠道。省钱、省时、省事，是网上交易的最大特点，与传统的购买基金的方式相比，网上交易具有多种优势，如费率优惠、随时在线提交业务申请等。越来越多的基金用户开始使用互联网进行交易,然而来自互联网的安全问题却时刻存在着，威胁着基金用户的交易安全以及信息安全。

        基金用户互联网交易的安全威胁

        基金用户在互联网交易过程中时刻存在着各种威胁，主要来自下列几种：病毒、木马

        病毒、木马已经成为计算机威胁事件最常见的部分。尽管技术成熟的反病毒解决方案已经可以成功查杀当前已经发现的病毒并能迅速识别大多数新的变种，也可以识别大部分的黑客攻击手法，并且将你的计算机隐蔽在互联网中。但是由于反病毒技术有时候相对于病毒有一定的滞后，用户仍然会受到病毒和木马的威胁。

        钓鱼网站

        “钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。据CNNIC的报告，截止2010年11月底，累计认定并处理钓鱼网站20570个，较去年同期大幅上涨136%，其中，网络交易类占74.38%，给基金用户网上交易带来极大的威胁。

        垃圾邮件

        当你在不明网站注册时提交自己的邮箱地址，往往有人在另一端已经将拟的邮箱资料等信息出售了。在大量的垃圾邮件中，往往隐藏着很多木马、病毒程序，以及钓鱼网站的网址。用户一旦点击，就有可能导致个人及个人网银等信息的泄露。

        基金用户互联网交易的方式及主要的安全技术手段

        目前作为基金用户进行网上交易主要有两种方式：一种是通过基金公司网站的直销页面进行交易；另一种是通过各银行的网上银行系统进行交易。基金公司和各银行的网上银行为了保证交易的安全进行，均采取了多种安全技术手段，例如工商银行网银系统采取的技术手段主要有：

        1.多重身份验证
        2.安全控件防范恶意程序
        3.登录保护防范恶意攻击
        4.登入记录监控异常情况
        5.预留“欢迎信息”辨别假网站
        6.关键信息屏蔽保障账户安全
        7.确认交易情况
        8.短信提醒服务随时了解账户变动情况
        9.会话超时控制防止恶意操作
        10.柜台关联账户确保身份真实

        （建议：最好能增加一些基金公司直销网站的安全方式，有一些对比。）

        目前银行的网上银行系统采取的身份验证方式和安全技术手段往往比基金公司网站更加严格和全面，因此建议用户尽可能采用银行的网上银行系统进行交易。

        （建议：如果可能，请增加网银和基金公司的网络直销这些手段对安全隐患排除分别达到怎样的程度。最好有数据）

        基金用户网上交易的安全注意事项

        虽然基金公司的直销网站和各银行的网上银行系统采取了多种安全手段，但是仍然需要用户的配合和重视，才能保证交易的安全，在通过互联网交易的过程中我们需要注意以下安全事项：

        1.注意使用的电脑设备和交易场所

        一定要使用私人电脑，不要使用单位的公共电脑，不要在公共场所上网操作基金交易，更不能在网吧里去操作。

        2.加强交易终端的自身安全防护

        终端的安全是交易安全的基础，在操作系统方面，应当放弃老旧过时的操作系统(例如win98),使用正版软件，及时更新系统补丁。对于相关的应用程序。如浏览器应当本着高稳定性和高兼容性的原则进行安装，不要盲目追求最新版本。安装正版的杀毒软件和网络防火墙，并且及时更新病毒库。

        3.养成良好的上网习惯

        良好上网习惯能够帮助你避开很多陷阱，注意不要轻易打开别人通过邮件或即时通讯软件发给你的文件和网址链接，不要访问不良网站，防范病毒和木马程序。

        重点需要注意防范钓鱼网站，不要轻信那些中奖、对账和升级的短信或者邮件通知，注意辨别网址的正确性，例如冒充工行网站www.1cbc.com.cn等假冒地址。银行的网银系统和基金公司的网上交易系统通常使用SSL加密，因此网址的URL为https://开头，对于经常使用的网上银行和基金公司网上交易系统最好添加进个人的收藏夹，每次通过收藏夹访问。

        4.使用更安全的身份验证方式

        各银行网上银行系统和基金公司网上交易系统目前都采取了双因素身份验证的技术手段，主要有动态口令和数字证书两种形式。动态令牌不仅有硬件形式的令牌，更有手机令牌、短信令牌、矩阵卡、刮刮卡等多种形态，方便于各个行业、各类消费者的使用需求。然而，令牌同样也存在着短信发送延迟、手机软件令牌兼容性差、密码卡易丢失易损坏等问题，更严重的是动态口令具有一定的时效性，即骗取用户账号和口令后在口令有效期内可以进行交易，存在比较大的隐患，因此近期各银行纷纷调低了动态口令的交易限额。
相比而言，数字证书（通常所说的U盾）是较安全的的身份验证方式，只有进行交易时才要求插入数字证书和输入交易口令，由于数字证书存储在专用的硬件中由用户保管，极端情况下不法分子骗取了账号和口令后由于没有数字证书，也无法进行交易，从而保证了资金安全。因此建议基金用户尽可能使用网银系统的数字证书进行交易。

        5.充分利用银行网银系统和基金公司直销系统的安全防范措施

        在银行的网银系统和基金公司网上直销系统中都设置了多道安全防范措施，用户要充分重视并利用这些安全防范措施。首先就是密码的设置，不要设置简单的密码，例如生日、电话号码等容易被猜中的数字作为密码，要分别设置登录密码和交易密码。

        其次安装安全控件，使用软键盘输入口令，可以防范恶意程序的攻击，如木马程序等，它是通过切断键盘操作与木马病毒之间的通道，来更好地保护网上银行用户的信息安全。

        再次在每次登录后检查预留“欢迎信息”，你设置好“欢迎信息”后，在每次登录时，该信息将显示在欢迎页面上，如该网站未能正确显示你预留的欢迎信息，说明该网站有问题，应当立刻提高警惕，终止交易。

        同时登录后要核实登录记录：通常欢迎页面将显示上次“登入记录”，如登录时间，IP地址等信息，便于您核对实际登录情况，如发现异常可及时采取措施。

        最后要使用会话安全退出，防止他人在您离开电脑而忘记退出网上银行时进行恶意操作，目前网上银行会话超时设置通常为15分钟。

        6.开通短信提醒服务

        银行的网银系统通常为客户提供短信提醒服务，建议用户开通此服务，以方便你随时了解网银变动情况，一旦资金有异常变动，可以立即采取措施。

        结语

        互联网是一个开放性的系统，只要你接入了互联网就面临着各种风险，美国军方五角大楼的信息系统还时常遭遇黑客的攻击，何况我们一台普通的个人电脑。但是我们不能因噎废食，银行的网上交易系统和基金公司的网上直销系统也不断采取各种成熟可靠的技术手段保障交易的安全，同时随着信息技术的发展，网上交易的方式也不断发展，例如手机钱包的应用，只要我们做好安全防范工作，就能享受信息化为我们带来的方便与快捷。（本文由国家科技支撑计划资助，课题号：2009BAH47B04）