在10日上午举行的2010中国金融科技大会---区域性银行信息化发展研讨会上，北京飞天诚信科技有限公司技术服务部副经理王亚军发表了题为“网上银行安全分析及多渠道应用解决方案”的演讲。

　　王亚军：感谢各位领导，各位嘉宾，我代表飞天诚信介绍我们十多年来在网上银行产品的经验，针对多渠道应用，跟各位领导、专家进行分享。

　　飞天从98年开始一直在致力于研究客户端认证产品工作，目前在银行方面的份额占到全国第一。国内有专业银行、股份银行、城市商行、农村行，目前在着手准备为工行已经上线，农行等等几个专业银行正在升级做二代身份证产品的工作，目前正在紧张进行。

　　首先说一下网上银行安全分析的问题。

　　目前网上银行有三个特点，发展快，用户群体使用者基础水平，计算机使用水平参差不齐，安全问题越来越明显。从图表可以看出，国内主要是依托于普通型的产品，当然也有个别案例在使用OTP产品，国外基于智能化产品应用比较多。首先看一下普通Key存在的安全漏洞。

　　首先第一个问题，红色区域表示的目前存在一定的风险，主要集中在IE浏览器或者客户端体系的浏览器上，还有网上银行为了部署和操作的体验，增加了很多安全的控件，而这些控件的保护目前也存在很多问题。最下层CSP/CAPI指接口的安全问题。

　　首先说第一个问题，钓鱼和网络通讯，大家知道很多非法的网站通过其他的链接方式对用户采用钓鱼的方式获取信息。同时更深级别的就是键盘钩子、内存分析，我们近两年和很多专业银行分析他们存在的一些案例中发现，目前对于键盘钩子和内存分析的方法越来越多，而且防范的措施也是不断在加，他们也不断在更新。另外两种，也比较明显，一个远程控制，篡改交易的过程，还有最下面红色区域的，USB通讯方面的过滤和侦测。通过这个方式，也能够改变用户操作的数据。针对这些问题，我们配合很多行一直在研究怎么解决这些问题。