網上銀行安全范文

時間:2023-03-21 12:07:39

導語:如何才能寫好一篇網上銀行安全,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

網上銀行安全

篇1

由中國金融認證中心牽頭,百家銀行共同參與的“第十二屆電子銀行年會”于2016年12月舉行,渤海銀行網上銀行業務以多年來為客戶提供穩定可靠的金融服務優勢,經過層層篩選,在與眾多銀行的評比中榮獲“2016年最佳網上銀行安全獎”,顯示了業內對渤海銀行網上銀行安全性的高度認可。

據記者了解,渤海銀行網上銀行自推出后就非常注重網銀交易的安全性,并根據業務需求的不斷變化和網銀客戶規模的增長,先后推出了銀行預留信息、動態口令、數字證書、登錄設備綁定、安全保護問題等多種安全保護措施和身份認證方式,能夠更加有效地防范假網站、黑客竊取、密碼泄露、電信詐騙等可能出現的網上交易風險。渤海銀行相關工作人員向《投資者報》記者具體解釋了網銀的安全措施,并提示廣大用戶正確使用這些功能,通過多種組合措施建立安全的防護體系,保障賬戶資金安全。

銀行預留信息能預防登錄假網站

什么是“銀行預留信息”?為什么要設置預留信息?渤海銀行解釋道:銀行預留信息是銀行幫客戶有效識別假網站而設置的一種簡單而有效的方法,當客戶首次成功登錄個人網銀,可以自行通過客戶服務功能完成銀行預留信息設置,預留信息可以是文字、字母或數字組合的一段字符串。當客戶再次登錄時,如登錄頁面不能正確顯示客戶在網銀中設置的預留信息,則說明客戶很有可能登錄了假網站或釣魚網站,客戶需立即停止登錄,避免造成信息泄露或經濟損失。也就是說,通過設置銀行預留信息,可以有效地幫助客戶識別自身登錄的網站是否為正確的交易渠道。

動態口令和數字證書能夠阻擋冒名登錄

什么是動態口令和數字證書?它們有什么作用?渤海銀行解釋道:動態口令是以手機短信方式實時向客戶指定手機發送的一次性數字密碼。這里的“客戶指定手機” ,是網點注冊客戶登錄或辦理高風險業務時,由客戶指定的、用來認證客戶身份的預留手機號。而數字證書則是由銀行向證書申請人發放的含有申請人特征信息、公鑰及私鑰等有關要素,能夠確認申請人唯一身份的電子信息。動態口令和數字證書是渤海銀行為客戶提供的兩種電子渠道客戶身份認證方式??蛻艨梢愿鶕陨硇枰?,向銀行申請選擇其中的一種或兩種方式,作為自己登錄相關電子渠道進行身份驗證的信息憑證??蛻糸_通、變更身份認證方式均需持本人有效證件和銀行卡至銀行網點辦理,經柜面核實本人信息后才能辦理成功,可以很大程度上避免不法分子的冒名登錄。

渤海銀行個人網銀在客戶登錄環節采用了“用戶名+靜態密碼+動態口令或液晶數字證書”的身份認證模式,通過“客戶知曉的”和“客戶持有的”雙重要素來確認客戶身份,嚴控風險;特別是在交易環節,當發生賬務易或其他關鍵易時,系統會根據交易發生額等要素自動判斷客戶需使用的身份認證方式或由客戶自行選擇身份認證方式,系統驗證客戶身份通過后,方可完成資金交易操作。

設備綁定等多次加強認證身份

為什么要進行“設備綁定”和“安全保護問題”驗證?渤海銀行解釋道:“設備綁定”是將客戶信息與登錄電子渠道的設備(手機、電腦MAC地址)進行綁定,是驗證客戶身份的輔助手段之一?!鞍踩Wo問題”是一種加強認證方式,即如果客戶使用非綁定設備登錄,那么在客戶通過基礎認證(包括用戶名、密碼、動態口令、數字證書)后,系統會根據客戶交易行為的風險程度,針對高風險特征交易,進行安全保護問題驗證,并根據驗證結果允許或拒絕用戶繼續使用。

篇2

Online bank is the one of the most Influential finaneial innovation of the 20th Century. Although the online bank has a good foreground, the problem about transaction security is always restricting the development of online bank. With the diversification of financial crime on net-work and the ubiquitous disadvantages of current transaction security, the matters about security has become the bottleneck of the online bank development. After analyzing the development of international online bank, this thsis considers that ocerall planning should be ensured on the basis of prudence,the internal and external should work together to strengthen the risk control and management of online bank.We should fradually empolder the online bank in depth based on the traditional bank,meanwhile increase the force of technical defendance and off-site supervision,build up internet0-bank risk supervision system,finally,we should consummate the correlative law or regulation,protect the security of online bank transaction roundly.

KEYWORDS:online bank、transaction security、crime

正文目錄

第一章 引言 4

第一節 網上銀行概念及特點 4

一、概念 4

二、特點 4

第二節 我國網上銀行現狀 6

一、我國商業銀行網上業務的發展情況 6

二、我國網上銀行發展的特點 8

三、我國網上銀行發展的趨勢 9

第二章   我國網上銀行目前存在的問題及風險 10

第一節 戰略風險問題 10

第二節 網絡安全風險問題 10

一、黑客入侵風險。 10

二、病毒破壞風險。 11

三、內部欺詐風險。 11

四、其他不確定因素造成的風險。 11

第三節 管理風險問題 11

一、管理思想不能滿足網上銀行業務發展的需要 11

二、現有的管理經驗和規章制度不能滿足發展網上銀行業務的需要 12

三、管理人才短缺,難以滿足網絡銀行發展的需要 12

第四節 技術風險問題 12

第五節 操作風險問題 12

第六節 數據認證不完善 13

第七節 法律風險問題 13

第八節 金融監管風險問題 14

一、是對金融監管當局帶來的風險 14

二、對貨幣政策產生的影響 14

三、對資本管制的影響 15

第三章   網上銀行交易流程 16

第一節 網上銀行的物理結構 16

第二節 初次使用網銀的數據走向 16

第三節 身份認證的數據流程 17

第四章  網上銀行各種身份認證方式 20

第一節 傳統認證方式 20

一、口令+ID 20

二、IC卡 20

第二節 現行認證方式 20

一、動態口令 20

二、生物特征 24

三、基于PKI的USBKey 24

四、綜上所述而產生的指紋KEY 26

第五章  國內外各大銀行網銀研究分析 27

第一節 國內銀行 27

一、中國建設銀行 27

二、中國農業銀行 27

三、中國工商銀行 28

第二節 國外銀行 28

一、國際優秀網上銀行安全控制——Wells Fargo 28

二、風險控制機制快速發展——Entrium DirectBankers 29

第六章 加強我國網上銀行交易安全管理的建議 30

第一節 整合各銀行系統,建立網上銀行安全中心 30

一、解決網址域名混亂 30

二、避免資源浪費 30

三、統一數字證書 31

第二節 在傳統銀行基礎上逐步進行網上銀行的深度開發 31

一、根據我國國情,繼續發展依附式網上銀行 31

二、險分散化,保障客戶權益 32

第三節 加強非現場監管,建立網上銀行風險監管體系 32

第四節 加大技術防范力度 33

第五節 進一步完善網上銀行安全的法律法規 33

第七章  總結 34

參考文獻 35

致   謝 36

第一章 引言

第一節 網上銀行概念及特點

一、概念

有關網上銀行的最早的定義是1998年巴塞爾銀行監管委員會(BCBs)的定義 :網上銀行那些通過電子通道提供零售與小額產品和服務的銀行。之后1999年歐洲銀行標準委員會(ECBS)和美國貨幣監理署(OCc)在這個定義的基礎上將電子通道分別改為數字設備連接上網和電腦/智能化裝置;2000年美聯儲(FRS)和英國金融服務局(FSA)將通道方式分別改為互聯網和網絡或電子手段,并提出網上銀行不僅提品和服務,還應為客戶提供信息;在我國香港金管局于2000年5月的對網上銀行最新定義中,基本認同上述定義,但特別指出網上銀行不包括利用互聯網或其他電子方式作為向客戶提品或服務的另一個途徑的現有持牌銀行。根據中國銀行業監督管理委員會2006年1月26日施行的《電子銀行業務管理辦法》的規定 ,網上銀行是指利用計算機和互聯網開展的銀行業務。我國對網上銀行的定義時間最近,也最符合我國當前實際.

根據交易對象的不同,網上銀行可以分為企業網上銀行和個人網上銀行,企業網上銀行和個人網上銀行在應用模式上基本類似,但在應用條件、業務功能上還存在許多不同的地方。根據業務發生地的不同,可以分為國內業務、國外業務和離岸業務等 。

二、特點

1.突破時空限制的銀行

“三A”特征是網上銀行的基本特點,即網上銀行是全天候運作的銀行(Anytime)、開放的銀行(Anywhere)、服務方式多樣化的銀行(Anyhow),銀行的服務突破了時間和空間的限制,突破了服務手段的限制。全天候運作的銀行(Anytime),即無時限銀行,突破了時間的限制。由于因特網不分晝夜每天24小時動轉,網上銀行服務不受時間因素的制約,可以全天候地連續進行,擺脫了上下班的時間制約,擺脫了白天和黑夜的時間制約,也擺脫了全球時區劃分的限制。開放的銀行(Anywhere),即全球化銀行,突破了空間限制。由于因特網把整個世界變成了“地球村”,地域距離變得無關緊要,導致網上銀行不受空間因素的制約,大大加快了銀行全球化的進程,金融市場的相互依存性也就空前加強了。服務方式多樣化的銀行(Anyhow),客戶將不需要非要到銀行柜臺才能辦理業務,而是可以通過家中、辦公室、賓館的電腦終端享受查詢、轉賬、證券交易等銀行服務,還可以通過電話、手機等方式享受銀行服務??蛻舨粌H可以通過網上銀行獲得銀行服務,還可以通過網上銀3行享受證券、保險、信托等方面的服務。

2.虛擬化銀行

虛擬化銀行,即可以在虛擬世界中進行活動的銀行活動。因特網在把地球變小的同時又為經濟活動構筑了一個虛擬世界,即網絡空間,使網絡經濟得以在網上網下虛實 結合、同時并存、相互促進。與其他行業相比,金融產品的交易以虛擬資本為交易對象,不是實物的交換,這就使得金融與構筑虛擬活動空間的信息網絡具有天然的結合基礎,使得銀行服務無紙化程度大大增強,服務效率大大提高。虛擬化特征還使人們業已形成的對銀行的概念受到全面沖擊。銀行不一定再以高樓大廈的形態出現,客戶面對的將可能不是銀行柜臺,而是計算機屏幕上顯示的虛擬銀行柜臺。銀行無須再為擴張分支行網絡而投入大量購置或租用辦公場地的資金,也無須為刻意樹立銀行形象而建造或租用雄偉的辦公大樓。

3.速度型銀行

速度型銀行,即高效率銀行。因特網以光速傳輸信息,信息流動空前加快,反映技術變化的“網絡年”只相當于日歷年的四分之一,實時信息變得日益重要。以計算機芯片為例,其發展速度遵循羅爾定律,即每18個月處理速度增加一位。當世界上第一批個人電腦在1979年問世時,其芯片處理速度為每秒鐘33萬個字符,三年后誕生的因特爾286芯片每秒種能處理120萬個字符。現在,芯片的處理速度要用“mips”(每秒百萬個字符)表示。目前,最新奔騰處理每秒的處理速度已超過500mips。因特網使銀行服務活動的節奏大大加快,一步落后就會步步落后。產品老化變快,創新周期在縮短,競爭越來越成為時間的競爭。“大吃小”將變成“快吃慢”,銀行不論大小,轉型快的必將戰勝轉型慢的。大、中、小銀行將站在同一起跑線上競爭,許多金融機構將有機會利用其優秀的服務在網絡上重建自己的地位,中小銀行中憑借技術優勢掌握商業先機,贏得傳統金融服務時代難以得到的客戶資源和競爭優勢。

4.創新型銀行

創新型銀行,即技術創新與制度創新、產品創新緊密結合的銀行。隨著網絡技術的不斷更新,市場對銀行提供的服務手段和提品的功能要求也會隨之不斷提高,這就要求銀行要不斷地進行創新,通過創新建立競爭優勢,維持銀行的持續發展。

5.全方位服務的銀行

網上銀行具有很強的交互性。通過銀行傳統營業網點銷售保險、證券、基金等金融產品很難成功,因為客戶在購買這類產品時往往要進行詳細的咨詢和了解,而一般營業網點的業務人員不能為客戶提供咨詢,聘請金融專家提供咨詢又成本過高。利用互聯網的交互性,銀行只需要少數專業職員就可以低成本地同時回答各類客戶的疑問,從而順利地實施分銷。從西方發達國家國際銀行提供的網上銀行服務看,網上銀行已經成為“一站式服務”的金融超市,客戶不僅可以得到各種銀行服務,而且可以在網上銀行的平臺上進行各類證券投資,購買不同的保險產品,甚至可以獲得其他行業的交易信息。6.個性化銀行相對于傳統銀行,網上銀行的客戶散布于不同的終端之前,傳統的大眾營銷方式,已不適合新的客戶結構。在網上銀行的競爭環境中,如何根據客戶的實際需要,為客戶提供個性化的服務,是網上銀行競爭成敗的關鍵所在。借助網上銀行完善的交易記錄,銀行可以對客戶的交易行為進行分析和數據挖掘,從中發現重要的價值客戶。通過對客戶行為偏好的分析,細分服務市場,利用互聯網交互性的特點,投其所好的營銷策略和服務內容,對產品進行金融創新,從而為客戶提供量身定制的服務。

第二節 我國網上銀行現狀

據《2008中國網上銀行調查報告》顯示:中國網上銀行總體發展繼續保持快速增長的勢頭,用戶量及交易量同期高速增長。此外,網上銀行對于傳統柜臺業務的替代性也進一步提升。全國范圍內,個人網銀用戶比例為19.9%。在10個經濟發達城市中,2008年使用個人網上銀行的用戶比例達到44.9%,比2007年高出7.1%。而在企業用戶市場,這一趨勢則更為明顯:2008年全國企業網銀用戶的比例達到42.8%;在2008年10個經濟發達城市調查結果中,使用企業網上銀行的用戶比例繼續增長,比2007年增長了10.3個百分點。從不同規模企業網銀用戶總體發展情況看,企業規模越大,使用網銀的比例越高。

一、我國商業銀行網上業務的發展情況

我國網上銀行的發展始于1997年,招商銀行率先推出網上銀行,接著中國工商銀行,拋出自己的電子錢包,隨后,中國建設銀行、交通銀行、中國銀行、中國農業銀行等國內銀行老字號也不斷地完成各自的“E”化之路,一些中小商業銀行,如中信實業銀行、中國民生銀行等也紛紛開通網上支付業務。

中國工商銀行是我國規模最大、客戶數量最多、網點覆蓋面最廣的一家“國”字號老銀行,工商銀行在近幾年的改革發展中取得了不菲的業績,同樣在網上銀行的領域也處于全國同業的領先地位。下面以中國工商銀行為例,來了解一下我國網上銀行發展的基本情況。

中國工商銀行網上銀行從2000年2月開始正式運營,它是中國工商銀行的網上分支機構,自開通網上銀行業務以來,先后推出了企業網上銀行、個人網上銀行、B To B和B To C網上支付業務。2000年2月,北京、上海、天津、廣州4個城市試點開通網上銀行,至今,中國工商銀行電子銀行業務已經覆蓋全國并逐步邁向世界,業務功能也從早期的信息、業務咨詢、投拆處理和簡單交易發展到幾乎囊括銀行業務的各個方面。2000年2月1日,北京、上海、天津、廣州4個城市試點企業網上銀行,除信息、賬戶信息查詢、轉賬支付等基本功能外,還在國內率先推出了集團理財等創新功能。2000年8月28日,在中國工商銀行北京、浙江分行試點個人網上銀行業務,主要功能包括信息、賬戶信息查詢、轉賬支付、B To C在線支付等功能。2000年12月7日,中國工商銀行網上銀行在全國范圍內全面開通。2001年6月15日,中國工商銀行網上銀行eBank V3.0版本成功投產。此后,網上銀行版本不斷升級eBank v3.3、eBank v3.4、eBank v3.5、eBank v4.0并推出了適合不同語種客戶的版本如英文版、中文繁體版。2002年5月13日,中國工商銀行推出電子銀行“金融e通道”品牌。2002年10月10日,中國工商銀行在國內率先推出網上現金管理業務“理財e站通”。2003年12月18日,中國工商銀行推出集銀行、投資、理財于一體,擁有個人理財、網上貸款等12項大功能、58項子功能的新版個人網上銀行---“金融家”。

中國工商銀行的網上銀行設計思路比較清晰,它提供的服務分為企業網上銀行業務和個人網上銀行業務。個人網上銀行包括:賬務處理、外匯買賣、證券服務、個人匯款 、個人貸款、繳費站、個人國債、e通卡、個人理財和客戶服務等功能,提供轉賬、外匯交易、銀證通、B股證券業務、基金業務、在線支付、賬戶管理、代繳費、異地匯款、個人質押貸款、個人理財等一系列服務,滿足客戶多方面的金融需求。

企業網上銀行把企業分類為集團企業、一般企業和同業機構,并分別對它們提供不同的服務。對企業集團提供集團理財、網上購物、網上結算、貸款查詢、票據業務、收費站、企業財務室、貴賓室、基金業務、國債業務、電子回單、客戶服務等功能的服務。對一般企業提供賬戶管理以及其他類似于集團企業的功能。對同業機構則提供匯兌、代簽銀行匯票、企業服務等功能。

中國工商銀行網上銀行業務從2000年2月開始起步,從小至大,至今已有長足發展,其網上銀行交易額、企業客戶數和個人客戶數增長迅速,見表1-1。

表1-1    中國工商銀行網上銀行發展情況

 2000年 2001年 2002年 2003年 2004年 2005年

網上交易額 196億元 6350億元 53500億元 191200億元 335300億元 416300億元

企業客戶數 976戶 6176戶 3.5萬戶 6.9萬戶 11.7萬戶 32.4萬戶

個人客戶數 0 32166戶 383萬戶 750萬戶 1154萬戶 1667萬戶

中國工商銀行盡管中國工商銀行開展網上銀行業務起步較晚,但其具有獨特的優勢,如在全國范圍開辦網上銀行,業務發展的空間大,潛在客戶群體多,加上中國工商銀行原有的電子化9網絡平臺較為完善,功能較強,具有良好的開發能力,持續發展潛力大。同時,中國工商銀行經過幾次升級之后,功能已經日趨完善,正朝著最先進的網上銀行方向發展。2002年中國工商銀行網上銀行被美國《環球金融》評為“中國最佳企業網上銀行”,其網站被英國《銀行家》雜志評為2002年度的“全球最佳銀行網站”,這是發展中國家也是國內商業銀行的網站首次在國際上獲此殊榮。在美國《環球金融》雜志舉辦的2003年度“最佳網上銀行”評選活動中,中國工商銀行被評為“中國最佳個人網上銀行”。

二、我國網上銀行發展的特點

我國的網上銀行雖然起步較晚,但發展很快,并從一開始就呈現出一些特點:

第一,網上銀行模式都是傳統銀行與網上銀行結合的產物,其業務基本依賴于傳統銀行,尚無純網上銀行。

第二,許多銀行尚處于發展網上銀行業務的初期,利用的是非銀行專有的域名或網站,至今仍有一些銀行將其產品和服務的廣告宣傳放在其他網站之中。

第三,業務方式演變迅速。我國商業銀行網站幾乎一開始就進入了動態、交互式信息檢索階段,而且主要的商業銀行在這一階段停留的時間也很短,很快就進入了在線業務信息查詢階段,并與電子商務的發展緊密結合,迅速完成了從一般網站向網上銀行的轉變。

在業務方面,我國的網上銀行的服務內容主要有:(1)信息服務、主要包括新聞資訊、銀行內部信息及業務介紹、銀行分支機構導航、外匯牌價、存貸款利率等,一些銀行(如中國工商銀行)目前還提供一些特別的信息服務,如股票指數、基金凈值等。(2)個人銀行服務,主要包括帳戶查詢、帳戶管理、存折和銀行卡掛失、繳費等,中國工商銀行和中國銀行還提供外匯買賣服務,中國銀行提供個人電子匯款服務,中國建設銀行提供小額抵押貸款和國債買賣服務。開設第三方轉賬業務的網上銀行只有一家:深圳發展銀行。(3)企業銀行服務,主要包括帳戶查詢、企業內部資金轉賬、對帳、繳費等。除此之外,中國工商銀行還提供同城結算和異地匯款服務,中國銀行提供國際

結算服務。(4)銀證轉賬,銀行存款與證券公司保證金之間的實時資金轉移,部分銀行(如中國銀行)已開始提供相關信息的查詢;有一些網上銀行,如招商銀行北京分行、深圳分行等已經推出網上證券交易委托平臺,以便其客戶可以直接在其網站上從事股票買賣、查詢和投資管理等。(5)網上支付,包括B To C和B To B,大部分網上銀行提供前者。這種服務一般與網上商城相結合,一些銀行設定了一些網上商城的鏈接,但還沒有一家銀行直接從事網上一般商業活動。支付方式有三種:銀行卡直接支付、專用支付卡支付(招商銀行)和電子錢包(中國工商銀行)。

從總體上看,我國網上銀行業務縱深和寬度還有限,尚無一家開展網上存款、貸款,賬單收付,非金融品銷售等業務,與國外同行相比差距較為明顯??傊?,我國網上銀行建設尚處于起步階段,面對廣闊的市場孕育著巨大的發展潛力和發展空間。

三、我國網上銀行發展的趨勢

隨著經濟全球化與金融自由化,金融混業經營成為一種不可逆轉的趨勢,我國金融業的整體格局也會因此發生變動。在此背景下,以商業銀行為主的各金融機構開始計劃和實施行業間的初步合作,對因特網的利用和客戶資源共享是其中比較重要的兩個方面。

在由個體金融機構延伸出來的諸多渠道當中,網絡與其他渠道存在著沖突和競爭,因而會發生網絡對舊渠道業務的侵奪和新增業務的分享。不同金融機構有著不同的客戶基礎,在需求總量不變的情況下,客戶基礎的規模此消彼長,就個體金融機構而言,實際上是與外部機構的渠道之爭的結果。內部的渠道爭奪是由業務結構失衡造成的,直接的結果就是內部資源的浪費、總體成本的上升和行業競爭力的下降。減緩或避免上述矛盾的途徑稱為渠道的整合,即從渠道沖突到渠道協同。整合意味著內外部生產要素的重新配置,產業格局的調整,新的業務流程和管理模式的產生;協同則意味著資源的共享和效率的提升。這是網絡經濟推動下傳統產業應有的主流思維。達到協同的方式可能是資本層面的并購活動,也可能是松散的外部合作,在二者之間有一種折中的方式稱為網上金融門戶。

第二章   我國網上銀行目前存在的問題及風險

由于銀行是資金高度集中的場所,而且網上資金劃撥不需要進行實物交割,所以一旦犯罪份子成功竊取金融企業或客戶的資金,后果十分嚴重,其數額往往是傳統犯罪的數十倍。有資料顯示,全球每年因網絡犯罪被直接盜走的資金達20多億美元,美國因交易安全問題所造成的損失平均每件案件高達45萬美元,大大高于傳統的銀行欺詐案。在我國,因交易安全問題給銀行帶來的損失也十分巨大。據統計,僅1997、1998兩年,四家國有商業銀行就發生計算機犯罪案件共140余起,涉及人員160多人,涉案金額1.6億多元,造成巨大經濟損失。近年來我國金融業計算機犯罪案平均金額都在幾十萬元以上,個別的為數百萬 元,最大一起犯罪案件造成的經濟損失高達人民幣2100萬元。而且相關研究表明,因交易安全問題所帶來的損失還呈逐年上升之勢。中國人民銀行1999年6號文件《關于采取有效措施防范金融領域計算機犯罪的通知》指出近年此類問題以每年30%的速度遞增,在上海召開的“金融犯罪防治與反洗錢政策”研討會上與會代表指出我國銀行卡犯罪也在迅猛增長,中國外卡偷換欺詐率為0.038%,大大高于亞太地區0.010%的比率。因此我國網上銀行的交易安全問題不可小覷,主要存在以下問題:

第一節 戰略風險問題

戰略風險是指由于業務決策不力、決策的不恰當實施或對行業變化缺乏響應而對網上銀行所造成的風險。我國的戰略風險問題受組織戰略目標的一致性、為實現這些目標而制定的業務戰略、為實現目標而利用的資源、實施質量等諸多因素的影響。為實現業務戰略而必需的資源包括有形資源和無形資源,其中包括通訊渠道、操作系統、傳送網絡、管理上的能力和才能。必須對照經濟、技術、競爭、立法和其他環境變化的影響來評估資源的有效利用,進而評價戰略風險。

第二節 網絡安全風險問題

網絡安全風險是指由于網絡防范不嚴密或應用系統設計有缺陷,遭到非法入侵及其他不確定性因素影響對網上銀行所造成的風險。

一、黑客入侵風險。

網上銀行是建立在開放網絡上的,由于網絡的開放性和應用系統設計可能存在缺陷,一旦被黑客利用,將直接危害系統的安全,商業機密被竊取,用戶的銀行資料泄密,甚至銀行的資金遭受損失。因此,網絡安全就成為事關銀行生死的頭等大事。

二、病毒破壞風險。

由于網絡防范不嚴,計算機病毒通過網上銀行入侵到銀行主機系統,從而造成數據丟失等嚴重后果。同時,來自網上銀行系統外部的正??蛻艋蚍欠ㄈ肭终咴谂c網上銀行的業務交往中,也可能將各種電腦病毒帶入網上銀行的電腦系統,造成主機或軟件的失靈,使得網上銀行面臨癱瘓的風險。

三、內部欺詐風險。

網上銀行不僅容易受到來自因特網外部的黑客攻擊,也會因為網上銀行內部職員的欺詐行為而承擔操作風險。例如,商業銀行內部的某些職員利用他們的職業優勢,有目的地獲取客戶的賬戶資料進行各種風險投資,如炒賣股票、外匯和期權等,將交易風險直接轉嫁到客戶身上。也可能直接偷竊電子貨幣,讓客戶蒙受損失或者制造各種假的電子貨幣從網上銀行獲取利益。因此,內部欺詐風險也是網上銀行風險的基本內容之一。

四、其他不確定因素造成的風險。

網上銀行的計算機系統停機、磁盤列陣破壞等不確定性因素,也會形成網上銀行的風險。同時,往往由于網絡某一局部的破壞可能導致整個網絡的癱瘓,同樣形成網上銀行的風險。所有這些風險對我國網上銀行都將形成災難性的影響,不僅網上銀行的原有客戶會流失,而且由于網絡傳播的快捷、廣泛,可能引發整個銀行的流動性危機。根據對發達國家不同行業的調查,計算機系統停機等因素對不同行業造成的損失各不相同。由此也可以看出,發達國家零售業和金融業的經營服務已在相當程度上依賴于網絡通訊系統的運行。網絡通訊系統的平穩、可靠和安全的運行,成為網上銀行系統安全的重要保障。網上銀行的系統風險不僅會給我國商業銀行帶來直接的經濟損失,而且會影響到商業銀行的企業形象和客戶對銀行的信任程度。

第三節 管理風險問題

管理風險是指網上銀行的管理現狀與管理水平與網上銀行業務快速發展的狀況不協調而造成的風險。我國的商業銀行體系相對年輕,如以《中華人民共和國商業銀行法》的頒布實施為標志,商業銀行體系形成不到十年,真正的商業銀行運行機制尚處于發育和完善階段,并未真正形成。這使得我國商業銀行發展網上金融服務出現三個不協調:

一、管理思想不能滿足網上銀行業務發展的需要

網上銀行的發展將進一步加速銀行業務處理集中化的趨勢,銀行業務的運作和管理隨著網上銀行的發展必須進行改變和重組。然而,我國的商業銀行,包括已經開辦網上業務的銀行,管理思維仍局限于傳統的管理方法,許多銀行仍在努力增設新的營業網點。在新的競爭形勢下,商業銀行,尤其是老國有商業銀行龐大的營業網點將成為業務發展的沉重包袱。

二、現有的管理經驗和規章制度不能滿足發展網上銀行業務的需要

網上銀行業務首先是建立在現有傳統銀行業務的基礎之上的,從我國銀行的發展現狀看,內部控制機制不健全,缺乏一套成熟的風險管理和控制機制,這就很難保證對網上銀行業務風險能進行有效的控制。

三、管理人才短缺,難以滿足網絡銀行發展的需要

這是前面兩個不協調的自然結果。在管理人才尚不能滿足現有業務風險管理和控制需要的情況下,如果不能統籌規劃,網上銀行業務的過快發展可能會降低現有業務的經營質量,甚至導致我國網上銀行的經營風險。

第四節 技術風險問題

技術風險是指網上銀行由于技術采用不當,或所采用的技術相對落后而帶來安全技術隱患造成的風險。網上銀行業務的高技術性、無紙化和瞬間性的特點,決定了其在經營中會面臨技術風險。它是網上銀行風險的核心內容,也是我國各金融機構和廣大客戶最為關注的問題,這一問題如果不能有效地解決,必然會造成損失,影響信用。

第五節 操作風險問題

操作風險指來源于系統可靠性、穩定性和安全性的重大缺陷而導致的風險。操作風險可能來自網上銀行客戶的疏忽,也可能來自網上銀行安全系統和其產品的設計缺陷及操作失誤。

我國網上銀行的操作風險問題主要涉及網上銀行賬戶的授權使用、網上銀行的風險管理系統、網上銀行與其他銀行和客戶間的信息交流、真假電子貨幣的識別等。目前,我國網上銀行對進入銀行賬戶的授權管理變得日益復雜起來,這一方面是由于計算機的處理能力得到日益增強,另一方面原因是客戶的地理空間位置變得更加分散,也可能是由于采用多種通訊手段等因素造成的。對于電子貨幣而言,網絡安全系統的缺陷會讓客戶誤為網上銀行實施了欺詐行為。對于其他電子銀行業務,如沒有經過明確授權使用賬戶可能導致客戶有直接的經濟損失,加大了網上銀行對客戶的責任。

銀行職員對業務的漫不經心,也有可能導致網上銀行嚴重的操作風險,從而危及網上銀行的總體安全。像在傳統銀行業務中那樣,客戶的疏忽也是操作風險的另外一個來源。網上銀行可能會因為客戶欠缺網絡安全方面的知識而面臨相當高的操作 風險。例如,客戶在某些沒有安全防護措施的場合使用私人信息,如身份證鑒定、信用卡號、銀行賬號等,容易被他人竊取而導致賬戶泄密,使客戶和銀行雙方都蒙受損失。此外,如果商業銀行職員和客戶不能夠充分理解網上銀行采用的不斷更新的軟件,進行誤操作也會給銀行或客戶自身帶來操作風險。

第六節 數據認證不完善

數據在儲存及傳輸過程中,網上銀行通過各種技術手段來保證數據的保密性、完整性和可用性。為防止犯罪分子通過旁路系統威脅數據安全,如物理地取走數據庫,在通訊線路上竊聽,對數據進行加密是網上銀行最通常的做法。數據加密是指通由形形的加密算法來具體實施,據不完全統計,到目前為止已經公開發表的各種加密算法多達數百種。通過加密將明文轉變為密文密鑰,即以加密格式存儲和傳輸敏感數據。加密算法的輸入信息為明文,即原始的或未加密的數據;加密算法的輸出信息為密文,即加密后的格式,其中,密文為信息的傳輸形式。然而,CheckPoint軟件技術有限公司區域試驗室的高級網絡安全分析專家Jonorbeton警告說,如今黑客采用的嗅探器越來越完善,能夠截獲SSL和SSL交易信號,竊取經過加密的數據。雖然加密有助于保護遭到竊取的數據被人讀取,但加密標準卻存在數個漏洞,黑客只要擁有適當工具,就能夠通過漏洞竊取敏感數據和信息。

盡管可以通過對數據認證來保證數據來源和數據的完整性,但我國的網上銀行安全認證由于建設時間很短,加之安全認證問題涉及眾多部門,存在著諸多問題,如網上銀行安全認證無權威管理部門,認證機構建設呈現無序狀態;網上銀行安全認證標準不統一,無法跨行認證等。

第七節 法律風險問題

法律風險是指違反、不遵從或無法遵從法律、法規、規章、慣例或倫理標準而給網上銀行所造成的風險。在我國由于對銀行經營或客戶行為的法律或法規不明確,往往會產生法律風險。法律風險使我國金融機構面臨著罰款、賠償和合同失效的風險。法律風險將導致信譽的貶低、免賠限額的降低、業務機會的受限制、拓展潛力的降低以及缺乏合同的可實施性等等。

例如:從銀行客戶的角度看,網上銀行使用的通訊系統就是網上銀行的系統,它們是不可分的。就網上銀行服務而言,客戶只與網上銀行之間存在合同關系,而與通訊系統經營者并無契約上的法律關系。從網上銀行的角度看,網上銀行服務是建立在通訊系統上的,銀行也是通訊系統經營者的用戶。經營者對所有用戶都承擔經營者的義務,通訊系統與網上銀行服務有聯系,因而也要承擔相應的法律責任。但是,他們的法律地位究竟怎么確定,應承擔什么樣的法律責任,在現行法律中還難以找到依據。一旦出現糾紛,銀行的法律責任難以說清楚。

網上銀行也可能因為使用電子貨幣提供虛擬金融服務業務而涉及到客戶隱私權的保護問題。一旦出現客戶隱私權問題,在被告知其權利義務的情況下,客戶可能會對網上銀行提出訴訟。網上銀行在自己的網頁上建立與重要客戶的鏈接侵入網上銀行客戶的網頁,那么,客戶很可能因此而對網上銀行提出司法訴訟。而目前法律對網絡運行和業務操作過程中出現的消費者權益保護和隱私權保護問題都沒有做出相應規定,從而使網上銀行面臨著相當大的法律風險。

第八節 金融監管風險問題

金融監管風險是指由于網上銀行的發展及產生的各種風險使得金融監管復雜化,從而產生的金融監管當局的監管實效的風險。

一、是對金融監管當局帶來的風險

網上銀行主要通過大量無紙化操作進行交易,不僅無憑證可查,而且一般都設有密碼,使我國監管當局(中國銀監會)無法收集到相關資料作進一步的稽核審查。同時,許多金融交易在網上進行,其電子記錄可以不留任何痕跡地加以修改,使確認該交易的過程復雜化。使得我國監管當局對銀行業務難以核查,造成監管數據不能準確反映銀行實際經營情況,即一致性遭到破壞。在網絡金融條件下,監管當局原有的對傳統銀行注冊管理的標準也許難以實施,網上銀行的申請者可以注冊一家銀行,但是他可以通過多個終端,獲得多家銀行業務或多家銀行分行網絡的服務效果。因此,我國監管當局不僅需要參照傳統銀行的監管標準,進行一般的風險監管,而且還要根據虛擬銀行的特殊性進行技術性安全與管理安全的監管,即保證網絡交易雙方的身份、交易資料和交易過程是安全的;支付系統提供服務的網絡主機系統和數據庫是安全的,并且要對跨行金融數據流和網上銀行網站上提供的各種網絡金融服務廣告進行監管等。

二、對貨幣政策產生的影響

網上銀行可以發行電子貨幣,由于電子貨幣發行及其運作相當于貨幣創造,將對實現貨幣政策目標造成主要干擾。目前,在我國由于技術本身和配送渠道等電子商務發展的限制,電子貨幣的使用還不是十分方便,一定程度上限制了電子貨幣的大規模發行,還不能對貨幣政策構成顯著影響。但是,如果國家對電子貨幣發行不加以規范,對電子貨幣使用未能有效監管,對網上銀行的市場退出機制不加以完善的話,隨著網絡技術普及和完善,電子貨幣的發行量大量增長,完全有可能對國內的貨幣供應造成重大沖擊,影響貨幣政策的實施。

三、對資本管制的影響

在資本管制條件下,我國的監管當局還面臨逃避管制的風險。比如,當攜帶貨幣的出入境受到管制時,可以通過網絡支付和提款渠道達到不受限制目的。又比如,網上銀行的興起,又會進一步形成離岸的管制貨幣自由兌換市場和投機套現市場,使資本管制受到嚴重挑戰。此外,跨國金融機構可以逃避在國內的經營管制,通過網上銀行實現異地、境外吸收存款和支付、結算功能等。所有這些都會使我國的資本管制出現漏洞,資本管制手段將喪失意義。

第三章   網上銀行交易流程

第一節 網上銀行的物理結構

網上銀行的物理結構由用戶系統、網站、網銀中心、業務數據中心、銀行柜臺和CA中心等組成,見圖3-1:

 

第二節 初次使用網銀的數據走向

客戶方面數據走向:銀行柜臺辦理開戶業務,網上銀行開戶申請,客戶下載私鑰、證書的認證介質以及認證介質的初初始訪問密碼,下載相關軟件并安裝,自行修改銀行提供的認認介質初始密碼,登入使用網上銀行系統。

銀行方面數據走向:網上銀行,將客戶的個人資料和選擇需要及網上交易的賬號存儲到銀行后臺業務系統主機數據庫,網上銀行系統產生兩對密鑰,銀行只保留公鑰,CA將公鑰和個人信息用CA的私 鑰進行簽名,形成證書CA和網銀中心都保存該證書,建立用戶系統,負責用戶與網站和網銀中心的通訊、數據加解密、交易數據的數字簽名和認證介質密碼修改等工作,在數據庫中更新保存客戶信息。

如圖3-2所示:

 

第三節 身份認證的數據流程

在使用網上銀行系統時,身份認證是第一步,也是最重要的一步。身份認證用于鑒定使用者的身份,起到保護賬戶安全的作用,其處理過程為:

 

第一步:鑒別IC卡的使用者身份

用戶登陸時,輸入認證介質的訪問密碼,以IC卡為例,用戶系統將輸入的密碼以指令形式轉送入IC卡,IC卡將這個密碼與卡內的密碼信息進行比較,如果相同,則認為用戶是合法的IC卡訪問者,否則拒絕用戶訪問。

第二步:用戶數字簽名

認證介質訪問成功后,銀行需要確認用戶的身份。用戶將一串明文信息傳送至IC卡,IC卡用私鑰對明文進行簽名,并將明文和簽名結果通過用戶系統保密的傳送到銀行端的交易服務器。我們注意到數字簽名在IC卡內進行,而不是在用戶系統實現,這是因為如果在用戶系統進行數字簽名,那么私鑰將不可避免的在用戶系統的內存出現,可能導致私鑰被竊取。事實上在整個網上銀行交易過程中,私鑰始終保存在IC卡內,與私鑰有關的運算也始終在IC卡內進行。

第三步:銀行端驗證簽名

銀行端的交易服務系統收到用戶發送來的明文和簽名信息后,先檢測用戶的證書是否合法和有效(證書庫是否存在該證書,黑名單是否有該證書的信息),如果該用戶證書合法并且有效,銀行端從用戶證書取出公鑰對簽名信息進行解密(此項工作可以在加密機完成),將結果與明文比較,如果相等則認為該用戶合法,用戶驗證完成。

第四章  網上銀行各種身份認證方式

第一節 傳統認證方式

一、口令+ID

基于口令的身份認證機制具有易于實現和操作簡單等特點.被廣為使用。傳統的靜態口令機制采用用戶名/口令核對法:即系統為每個用戶維護一個(用戶ID,口令)二元組信息,用戶登錄系統時.輸入自己的用戶ID和口令.系統通過比對用戶輸入的(用戶ID,口令)與系統內維護的(用戶ID,口令)二元組信息,來判斷用戶身份的合法性。

這種方式實現和操作都很簡單,但其安全性僅依賴于用戶口令的保密性,一旦用戶口令泄密,合法用戶就會被冒充。用戶口令的泄密存在主、客觀兩方面的原因:主觀方面.用戶為方便記憶往往采用短口令或者生日、姓名、電話號碼等作為口令.并且常會出現用戶對口令管理不善(如隨手寫下口令造成口令泄露)的問題;客觀方面,攻擊者可采用多種攻擊手段以獲得用戶口令,常用的攻擊手段有窮舉嘗試、字典攻擊、網絡竊昕、重放攻擊等。

二、IC卡

是一種內置集成電路的芯片,芯片中存有與用戶身份相關的數據。IC卡由專門的設備生產,是不可復制的硬件。IC卡由合法用戶隨身攜帶,登錄時必須將IC卡插入專用的讀卡器讀取其中的信息,以驗證用戶的身份。簡單易行,但容易被駐留內存的木馬或網絡監聽等黑客技術竊取。

第二節 現行認證方式

一、動態口令

動態口令機制是為了解決靜態口令的不安全問題而提出的,基本思想是用動態口令代替靜態口令.其基本原理是:在客戶端登錄過程中,基于用戶的秘密通行短語(Secure PassPhrase,sPP)加入不確定因素,對SPP和不確定因素進行變換(如使用MD5信息摘錄),所得的結果作為認證數據(即動態口令),提交給認證服務器。認證服務器接收到用戶的認證數據后.以事先預定的算法去驗算認證數據,從而實現對用戶身份的認證。由于客戶端每次生成認證數據都采用不同的不確定因素值,保證了客戶端每次提交的認證數據都不相同.因此動態口令機制有效地提高了身份認證的安全性。根據口令生成時不確定因素的選擇方式.動態口令機制有時問同步機制、事件同步機制和挑戰/應答機制等.本文將闡述這三種常用動態口令機制,并對它們的安全性進行分析。

第一、基于時間同步的動態口令機制

基于時間同步的動態口令機制,其特點是選擇單向散列函數作為認證數據的生成算法,以種子密鑰和時間值作為單向散列函數的輸人參數。由于時間值是不斷變化的,因此散列函數運算所得的認證數據也在不斷變化,保證了每次產生的認證數據不相同?;跁r間同步的動態口令機制的認證過程如圖4-1所示:

 

圖4-1 基于時間同步動態口令機制的認證過程

基于時間同步動態口令機制的認證過程如下:用戶輸入ID(或PIN碼),客戶端單向散列函數以時間和種子密鑰作為參數進行計算,將計算所得的動態口令傳送到認證服務器。認證服務器確認用戶ID的合法性后,從服務器加密的數據庫中提取該用戶所對應的種子密鑰,采用與客戶端相同的單向散列函數計算出驗證口令,若驗證口令和動態口令相同則通過驗證.否則不能通過驗證。時間同步方式的關鍵在于認證服務器和客戶端的時鐘要保持同步,只有在兩端時鐘同步的情況下才能做出正確的判斷。一旦發生了時鐘偏移,就需進行時鐘校正。

第二、基于事件同步的動態口令機制

基于事件同步的動態I=I令機制又稱為Lamport方式或哈希鏈方式。事件同步機制是以事件(例如使用次數或序列數)作為變量。在初始化階段選取一個口令PW和一個迭代數n,及一個單向散列函數H。計算Y=H n(PW)(Hn0表示進行n次散列運算),把Y和n的值存儲于認證服務器上??蛻舳擞嬎鉟’=Hn-1(PW) ,將計算結果提交給服務器。服務器則計算Z=H(Y’),并將z值與服務器上保存的Y值進行比較。如果Z=Y,則驗證成功.然后用Y 的值取代服務器上保存的Y值,同時將n的值遞減1?;谑录降膭討B口令機制的認證過程如圖4-2所示:

 

圖4-2基于事件同步動態口令機制的認證過程

基于事件同步的動態口令機制易于實現,且無須特殊硬件的支持。但該方案每次進行身份認證時,客戶端要進行多次Hash運算。而且由于迭代值n不斷遞減,當遞減為0時就需要重新初始化系統。服務器的額外開銷比較大。基于事件同步的動態口令機制同樣存在失去同步的風險,如用戶多次無目的的生成口令就會造成失步。對于事件的失步。認證服務器可采用增大偏移量的方式進行再同步,即服務器端自動向后推算一定次數的密碼。

第三、基于挑戰/應答的動態口令機制

基于挑戰/應答(challenge/response)的動態口令機制屬于異步方式。其基本原理為:選擇單向散列函數或加密算法作為口令生成算法。當用戶請求登錄時,認證服務器產生一個挑戰 碼(通常是隨機數)發送給用戶;用戶端將口令(密鑰)和挑戰碼作為單向散列函數的參數,進行散列運算,得到的結果(即應答數)作為動態口令發送給認證服務器。認證服務器用同樣的單向散列函數做驗算即可驗證用戶身份。基于挑戰/應答的動態口令機制的認證過程如圖3-3所示 其身份認證過程為:

(1)溶戶端輸入用戶ID等信息,向認證服務器發送連接請求。

(2)服務器檢查詢數據庫,若是合法用戶ID,則生成挑戰碼并傳回客戶端。

(3)客戶端根據密鑰和挑戰碼,執行單向散列函數運算,生成應答數并發送到服務器。

(4)服務器執行同樣的算法生成應答數,并與客戶端發來的應答數進行比對.得到驗證結果并傳回客戶端。

 

圖4-3基于挑戰/應答動態口令機制的認證過程

挑戰/應答機制中的不確定因素是由認證服務器產生的隨機數。由于每個隨機數都是惟一的,因此保證了每次產生的口令都不相同。

安全性分析:

口令機制的安全威脅主要來自于信道竊聽攻擊、窮舉嘗試和字典攻擊、重放攻擊、中間人攻擊、口令泄露等幾個方面。動態口令機制是針對靜態口令的不安全性提出來的.在防御以上口令安全威脅上.比靜態口令機制具有更高的安全性。

(1)信道竊聽

動態口令機制能夠完全抵御信道竊聽攻擊.因為在信道中傳輸的不是用戶的口令而是計算得到的認證數據.攻擊者無法竊聽到用戶的口令。并且由于在計算認證數據中使用了具有不可逆性的散列函數,因此攻擊者難于從認證數據中得到用戶口令。

(2)窮舉嘗試和字典攻擊

動態口令機制中的用戶口令(密鑰)的安全性仍非常重要.如果用戶口令過于簡單,容易被攻擊者通過窮舉法或字典攻擊獲得,攻擊者仍然能夠實施攻擊。但在動態口令機制中用戶口令僅是產生動態口令的一個因素.產生動態密碼時更重要的是加入了不確定因素,所以,即使攻擊者通過窮舉法或字典攻擊得到用戶口令.也因很難獲得不確定因素而難于產生可用的動態口令。因此動態口令機制可以有效抵御口令猜測攻擊。

(3)重放攻擊

動態口令機制能夠完全抵御重放攻擊.因為每次用戶向服務器提交的認證數據都是不同的,因此即使攻擊者截獲了認證數據.也無法通過重放而獲得服務器的驗證。

(4)中間人攻擊

動態口令機制不能完全抵御中間人攻擊。當用戶通過網訪問服務器時。位于用戶與服務器之間的攻擊者,可以劫持用戶與服務器之間的通信:一方面假冒用戶與服務器連接,另一方面假冒服務器與用戶連接。

(5)口令泄露

動態口令機制能夠有效防止口令泄露造成的安全問題.因為許多動態口令系統中,用戶的口令不會在網絡中傳輸。

從以上分析可見,動態口令技術能夠有效地抵御大部分針對靜態口令的攻擊,其安全性得到明顯的提高,特別是能有效地抵抗信道竊聽、截?。胤拧⒖诹钚孤兜劝踩{。但動態口令機制仍然存在著安全問題,主要表現為基于事件同步和基于口令序列的動態口令機制不能抵御小數攻擊,動態口令機制仍然是單向認證機制。并且動態口令機制還不能有效地防范系統內部人員攻擊。

二、生物特征

利用人的指紋、虹膜、掌紋、聲紋等天然紋理作為認證識別手段,不同的人具有不同的生物特征,幾乎不可能被仿冒。因此,安全性最高,最可靠的身份認證方式,但各種相關識別技術還沒有成熟,沒有規模商品化,準確性和穩定性有待提高,特別是當生物特征缺失時,就可能沒法利用。

三、基于PKI的USBKey

基于USB Key的身份認證方式是近幾年發展起來的一種方便、安全、可靠的身份認證技術。它采用一次一密的強雙因子認證模式,很好地解決了身份認證的安全問題,并提供USB接口與現今的電腦通用。它內置了CPU、存儲器、芯片操作系統(COS),可以存儲用戶的密鑰或數字證書,利用USB Key內置的密碼算法實現對用戶身份的認證。USB Key內置CPU,可以實現加解密和簽名的各種算法,加解密運算在USBKey內進行,保證了密鑰不會出現在計算機內存中,從而杜絕了用戶密鑰被黑客截取的可能性。目前,最安全的方式還是使用PKI的USBKey,所以下面重點論述一下PKI+USBKey的安全方式。

第一、什么是PKI

PKI是英文Public Key Infrastructure的縮寫,中文意思就是公開密鑰基礎設施。它是利用公開密鑰技術所構建的、解決網絡安全問題的、普遍使用的一種基礎設施。美國的部分學者也把提供全面安全服務的基礎設施,包括軟件、硬件、人和策略的集合稱作PKI。PKI通過延伸到用戶本地的接口,為各種應用提供安全的服務,如認證、身份識別、數字簽名、加密等。PKI中最基本的元素就是數字證書。所有安全的操作主要通過證書來實現。PKI的部件主要包括簽發這些證書的證書機構(CA),登記這些證書的注冊機構(RA),存儲和這些證書的電子目錄,以及用戶終端系統。PKI中還包括證書策略,證書路徑等元素以及證書的使用者。所有這些都是PKI的基本部件或元素。許多這樣的基本部件和元素有機地結合在一起,就構成了PKI。

第二、PKI的組成

PKI主要由下列部分所組成:

(1)認證機構(CA),它主要簽發數字證書及管理數字證書。它是一個權威性的機構,因為由國家授權,具有法律保證。

(2)注冊機構(RA),它主要是注冊申請審批機構,是CA機構的擴展。

(3)數字證書,它是PKI的核心元素。用以實現交易數據的完整性和不可否認性,即可實現數字簽名。

(4)證書庫和目錄服務器,CA頒發的用戶證書需要存儲在證書庫中并到目錄服務器上,以供人們通過目錄服務器查詢公鑰證書和CRL,以保證數字證書的安全。一個大規模的PKI沒有證書庫是無法使用的。

(5)密鑰管理中心(KMC),KMC主要負責密鑰恢復審核、密鑰銷毀審核、密鑰托管審核,以及更新密鑰,保存密鑰的歷史檔案。

(6)客戶端軟件,它是PKI中的一個必要組成部分。沒有客戶端的請求,PKI不會起到任何的作用。在網上銀行系統中客戶端的證書一般以USBKey為載體。

第三、PKI的核心服務

(1) 認證服務, PKI認證服務采用了數字簽名這個密碼技術,簽名產生于以下3個方面數據的雜湊值之上:1)被認證的數據;2)用戶希望發送到遠程設備的請求;3)遠程設備生成的隨機挑戰信息。第一項支持PKI的數據起源認證服務,后兩項支持PKI的實體認證服務。

(2) 完整, PKI完整可以采用兩種技術之一。第一種技術是數字簽名,既可以提供認證(實體認證),也可以保證被簽名數據的完整性。第二種技術是消息認 證碼(MAC)。這項技術通常采用對稱分組密碼或密碼雜湊函數。

(3)機密,PKI機密采用了類似于完整的機制,其處理過程如下:(1)Alice生成一個對稱密鑰(也許是使用她的私鑰和Bob的公鑰);(2)用對稱密鑰加密數據;(3)將加密后的數據以及Alice的公鑰或用Bob的公鑰加密后的對稱密鑰發送給Bob。

第四、基于PKI身份認證的方法

登錄網上銀行首先是要確認網上身份的真實性,根據甲乙雙方都具有第三方CA所簽發的證書和PKI提供的認證服務(使用數字簽名加密技術)來進行個人身份的認證和鑒別。認證主要是驗證該證書是否是第三方CA簽發的有效證書。檢查證書的有效期及該證書是否已被作廢而進入黑名單。雙向認證過程如圖4-4所示。

 

圖4-4雙向認證過程

其認證過程如下:

(1)客戶經瀏覽器通過SSL協議訪問網銀服務器;

(2)網銀服務器與瀏覽器握手之后首先要驗證客戶端證書,驗證的過程是:網銀服務器使用已置于其中的第三方CA證書的公鑰來解密該客戶證書的CA私鑰簽名。如能解密就證明該客戶是合法有效的客戶;然后網銀服務器將該客戶的證書再傳送至第三方CA證書的目錄服務器上,進行查詢該證書的有效期和是否進入黑名單,如果黑名單中無名,也在有效期之內,則網銀服務器對客戶端驗證通過;

(3)客戶端在網銀服務器對其進行驗證后,也要驗證網銀服務器的證書;這樣做可有效防止“網絡釣魚”事件和黑客冒充用戶登錄網銀進行資金詐騙的可能性,用第三方證書機制可減少“網絡釣魚”事件的發生。目前,這種認證方式是國內外較全面的網上銀行認證方法。

四、綜上所述而產生的指紋KEY

基于PKI的USBKEY認證是最安全有效的,但是如果把生物特性跟USBKEY相結合又會是怎么樣一個效果呢。目前,對指紋識別器,有的銀行用于柜臺員的身份識別,如建行、工行的柜員識別系統。但是,就是對銀行的柜員身份識別,只是指紋識別器還是很不夠的,其最好,最先進的辦法,卻是指紋KEY。即指紋識別器+USBKey。USBKey中按裝數字證書,達到可以完成數字簽名的功能。但目前與銀行客戶的使用,還有一定的距離,除非是那些高端客戶。目前,使用PKI的USBKey不失為一種很好的選擇。

第五章  國內外各大銀行網銀研究分析

第一節 國內銀行

一、中國建設銀行

我在大學一年級的時候申請了中國建設銀行的網上銀行業務,我先是到分行柜臺申請辦理,然后回家在自己的筆記本上登入建行主頁進行數據填寫和下載數字證書,而且這個數字證書是可以導出到U盤的,有一次我電腦系統重裝之后那個證書就不在了,只有到建行柜臺重新辦理才能再使用銀行,其實這個證書是網頁證書,而不是移動證書;大概又過了一段時間,建行又推出了動態口令卡的認證方式,接著到了大三的時候建行打電話給我要我去更新網銀交易方式,免費給我一個“網銀頓”USB-KEY,也就是說在擁有網頁證書的基礎之上再加上移動證書驗證,而且移動證書只能讀不能寫,防止了木馬病毒的侵入,更加有效的建立起安全網銀的機制;再到了大四,建行又加了一個安全措施,就是在進入網銀頁面之前有一句提示語,而這句提示語是由戶主自己加進去的,進入網銀之前顯示的的確是戶主輸入的提示語那么說明該網站是官方正規網站而不是假冒的!同時建行又添加了一個安全服務叫做短信服務,只要開通了短信服務就能在交易之后發送賬戶信息到自己的手機上,避免他人取款未知的風險!

優點:跟農行比,不收每年的20元網銀手續費,usbkey比農行的便宜,一張卡里能既存活期又存定期。跟工行比,可以進行省內異地繳費,而工行只能繳本地。跟中行比,不收每年的20元網銀手續費,而且中行的使用范圍很窄,建行很廣,幾乎所有支持網銀的網站都支持建行的,而中行很多網站都不支持,且安全系數低。跟交行比,范圍廣,有很多網站也不支持交行的。

二、中國農業銀行

本人辦理農行網上業務跟辦理建行時間差不多,農行的網銀業務起步比建行晚,所以我去辦理的時候就只是輸入了一個交易密碼就能使用網銀,接著在與建行接軌,使用了網頁證書,證書可以導出到電腦上備份,避免電腦重啟的時候再去柜臺辦理申請!而且農行有個特色那就是可以有電子支付功能, 電子支付卡是農行金穗借記卡、準貸記卡客戶通過網銀申請的虛擬卡號,它與金穗卡之間建立一一對應關系,并只能用于網上支付,這個功能很簡單只要我擁有一張農行的金穗卡,輸入卡號跟密碼就能在網上付款,但是在2006年的時候被取消掉了,因為這個方法安全性太低,如果自己的卡號跟密碼被人盜取之后那卡里的金錢可以一下子被轉移!接著農行也使用了動態口令卡和K寶USB-KEY移動證書,使得其安全性提高到一個很好的境界!

個人認為農行的優點:

1.登錄農行網站,即使沒有開通網上銀行,也可以登錄公共系統查詢余額和漫游匯款兌付。

 2.省手續費。這是我這個月才發現的。

1)跨省同行轉帳沒有收手續費

2)網上漫游匯款也沒有收手續費 3.很多基金公司網上直銷可以使用農行卡直接支付,工行卡一般都不行。 我沒有開通農行網上的基金業務,因為需要到營業廳辦理相關簽約手續,所以最后選擇放棄,用工行卡買基金定投。

農行的缺點: 1.很多時候登陸進去后,左邊的業務項目欄都沒法顯示,網站系統的問題,這也是我給農行打分比較低的原因。 2.農行有電子支付卡號,免費的,用這個在支付寶付款時金額是有限制的,但是開通了網上銀行就可以用證書支付,無金額限制。

三、中國工商銀行

中國工商銀行的網銀服務是起步比較早的,也是做的最出色的銀行,南北信息中心,基本認證方式也是口令卡跟U頓USB-KEY的同時使用來確保其網銀賬戶的安全性,但是中國工商銀行有自己的一個特色那就是在輸入賬號跟密碼之前先來一個小E安全檢測保證電腦環境的安全,擁有專業的研發團隊,是比較信得過的網銀銀行!

其他銀行現在已經都做到了比較高的交易安全性能,都能放心使用!

第二節 國外銀行

一、國際優秀網上銀行安全控制——Wells Fargo

Wells Fargo的網絡系統Wells Fargo被認為是美國銀行業提供網上銀行服務的優秀代表。從使用性能、客戶信任程度、網上資源、關系協調、成本等方面,對美國、歐洲等地銀行的網上銀行服務進行評比,Wells Fargo是1999年度網上銀行系統使用性能最好的銀行。Wells Fargo的成功得益于安全的SWIFT網絡系統。SWIFT網絡系統一般要求操作員應有二級登錄密碼:一級為自身密碼,一級為權限密碼。權限密碼為二級授權,輸入、核對、發送分人管理,每一份報文發妥后,注明輸入、核對、發送人員名單存入美國操作中心。SWIFT網絡系統在數據處理中心、網絡傳輸層和數據自身的安全性三個方面給予了重點考慮。一是SWIFT分別在比利時、荷蘭和美國設立了數據處理中心,每個中心之間互為備份。當一個中心發生故障時,在30分鐘內,另一中心就會替代它的工作。正常情況下,系統按月撤換運行內容,以保證備份機制的可操作性。二是在網絡傳輸層的安全方面采用了三項措施,防止了任何非法用戶的入侵:網絡的進入點嚴格由數據處理中心控制;所有國際線路由SWIFT統一進行加密;用戶線路的加密由用戶選擇,可用專線加密聯接,也可用端到端的X.25加密。三是數據采用以下措施來保證自身的安全性:客戶數據以加密方式存儲,只有通過授權的客戶和內部稽核人員才可存??;通過專用的“簽到”手續(或智能卡技術)才能存取各種服務;根據雙方約定的鍵值對交易進行加押,以保證交易數據的絕對安全。SWIFT網絡系統采用128位加密。除了有嚴格的傳輸安全保障機制,網上銀行系統與客戶的服務器之間又加入了病毒防護層。

二、風險控制機制快速發展——Entrium DirectBankers

Entrium Direct Bankers的風險控制機制快速發展的直接網上銀行(Direct Bank)的代表是德國的Entrium DirectBankers。1990年,Entrium Direct Bankers作為Queue郵購公司的一部分成立于德國,最初通過電話線路提供金融服務,1998年開辟網上銀行業務系統。目前已經成為德國,乃至歐洲最大的直接銀行之一。Entrium沒有分支機構,依靠電話和因特網開拓市場、提供服務。首先,Entrium Direct Bankers有具體的風險控制部門。其次,網絡的風險除了內部風險部門實行實時監控外,電腦操作程序的設計也具有風險控制系統,在西方國家銀行的系統風險控制中發揮了重要作用,也很值得我國商業銀行借鑒。外部作用機構——社會資信咨詢公司在網上銀行的風險控制中也功不可沒。Wells Fargo和Entrium Direct Bankers取得的成功歸功于幾個因素:及早地開發和使用高科技,包括Internet;采用的系統和產品安全可靠;成熟的風險控制機制,值得借鑒。

第六章 加強我國網上銀行交易安全管理的建議

我國網上銀行起步較早,發展較快,現在己進入網上銀行穩定發展的新時。由于我國金融業發展背景與國外不同,而且在銀行信息化建設的技術方面相關政策等方面與國外有較大差別,我網上銀行的發展具有起步早、發展快、題突出和空間大的特點。針對我國經濟、政策等具體情況,找出真正適合我國情的網上銀行持續發展模式,進一步加強網上銀行的安全發展是目前的重之重。

第一節 整合各銀行系統,建立網上銀行安全中心

根據國家“十五”攻關課題“銀行業信息化示范工程”有關負責人介紹,建設與國際接軌的現代金融體系,增強銀行業綜合競爭實力,就必須充分利現有資源和建設成果,通過整合已有系統,建立銀行業網間互聯平臺,為加金融信息化建設和金融業務創新提供網絡基礎支撐環境。整合銀行系統即是各銀行之間構建一個支持多種互聯網應用、安全可靠、資源共享的互聯平臺,相當于將各個銀行自有的資源聯結成一個整體的系統?,F期網上銀行通過各交易系統進行工作,而交易系統的整合在技術上比較容易實現。而且構建開式的交易系統,對系統功能、業務流程以及數據信息進行多層面集成,使異、分散的應用系統形成有機的整體,可以更好發揮銀行系統平臺的整體效能,能夠很好的解決以下問題。

一、解決網址域名混亂

最早以機構區分的最高域名有7個:com(商業機構)、net(網絡服務機構)、ov(政府機構)、mil(軍事機構)、o嗯(非盈利性組織)、edu(教育部門)、int(國際機構)。1997年又新增7個最高級標準域名:firm(企業和公司)、Store(商業企業)、web(從事與wEB相關業務的實體)、arts(從事文化娛樂的實體)、EC(從事休閑娛樂業的實體)、info(從事信息服務業的實體)、nom(從事個活動的個體、個人信息)。在前段時間的工商銀行被網絡釣魚犯罪分子利的案例中,犯罪分子所使用的假工商銀行網址icbc.org.cn與真正的工商行網址icbc.com.cn極為相同,僅后綴名有所不同。如果銀行系統進行整,給銀行以統一的域名后綴,就可以杜絕網絡釣魚這種犯罪方式的肆虐。

二、避免資源浪費

武漢理工大學碩士論文降低成本是銀行系統整合的動力。以往的銀行業一直存在著“專網專用”象,盡管“同城清算”、“信貸登記咨詢”、“賬戶管理”等系統都己經被應用,是在設計和少卜發這些應用系統時,各個銀行通常只按自己設計的網絡架構進互聯互通,未充分考慮與其他金融業務及網絡的融合。這種建設方式導致在一城市中,金融機構間存在多個網絡鏈接,多頭建設、重復建設現象普遍存?;ヂ摼W出口多、安全保證滯后、缺乏標準、數據交換流程不規范、資源浪、系統可復用性差等缺陷導致新應用系統的快速研發和推廣難以實現。特別在網上銀行的建設中,我國網上銀行的服務種類還沒有分化,大多數都還只意義上的相互復制,這就使得重復開發的問題格外嚴重。從投入研發到市場出,往往需要一到兩年,不僅投入了相當的人力和財力,還浪費了大量時間。

三、統一數字證書

許多銀行由于商業利益的原因,都自建了CA中心,采用的證書有硬件證書、件證書等,無論從證書本身還是體系上都沒有統一的標準。雖然中國金融認中心(CFCA)己經成立多年,但采用CFCA的數字證書的并不多,因為國家有明文規定必須采用CFCA的證書,也沒有統一的標準規范證書的發放和使。這樣,就造成數字證書混亂的現象。此外,各個證書之間無法互認證,用手中往往不得不持有多個證書,不僅不方便,更影響了網上銀行交易的安全。種情況在美國也同樣存在,在美國數字認證體系建設初期政府并不參與,采的是完全的市場化運作,使美國的很多公司開始應用自己的數字認證體系和字證書。其結果是,用戶雖然有很多證書,但這些證書之間卻不能通用,大增加了用戶的使用成本。為改變數字證書格式不統一給社會各方帶來的不便,國曾經 試圖建立一種平臺(稱為“橋CA”),將各種數字認證體系下的密鑰轉成格式統一的密鑰,但這項工程所需的巨大投資卻無人愿意承擔,最終這個法并沒有實現,所以今日的美國正受到“多重信任體系”的困擾。我國數字證書認證體系起步較晚,應吸取國外的教訓,建立統一標準、合布局、按區域劃分認證體系單位。銀行系統整合,統一頒發數字證書,就能很好的解決這個問題。

第二節 在傳統銀行基礎上逐步進行網上銀行的深度開發

網上銀行相對于己經有幾百年發展歷史的傳統商業銀行來說,還是一個新的事物,國內外都站在同一個起跑線上,這是我國商業銀行再次發展的巨大武漢理J_大學碩士論文遇。因此,我國商業銀行應好好把握這個機遇,實現傳統經營理念和方式的破。針對我國的具體國情,要注意在發展模式上有所把握,既要借鑒國外網銀行發展的經驗教訓,又不能完全的照搬硬套。

一、根據我國國情,繼續發展依附式網上銀行

世界上第一家網上銀行是于1995年10月在美國成立的安全第一網上銀行,銀行的營業廳就是網頁畫面,銀行的員工只有19人,主要的工作就是對網絡維護和管理,屬于純虛擬的網上銀行。同屬于純虛擬網上銀行的還有FSharp網上銀行、Firt-e、ZeBank等,但就目前來看,國外的銀行業卻被迫面對這樣個現實:選擇純虛擬網上銀行模式的網上銀行大多以失敗而告終。在損失慘后,這些銀行有逐漸依附傳統大金融機構的趨向,如美國第一安全網絡銀行加拿大皇家銀行收購,依托于傳統商業銀行眾多客戶發展業務。該案例證明,上銀行依托于母體,可以起到互補作用。依附式網上銀行是目前國際上比較行的發展模式,也為絕大部分商業銀行所采用。

國內首家推出網上銀行業務的招商銀行廣州分行行長羅繼東前不久在一個息化論壇上表示,傳統銀行的網絡化己經是不可阻擋的趨勢。而在網上銀行構建和深度開發中有些問題還必須要有所考慮。西方的網上銀行發展過程中經驗教訓表明,脫離了傳統銀行的純網上銀行在目前沒有生存空間,網上銀必須在傳統的基礎上逐步構造。根據我國國情,繼續發展依附式網上銀行應我國在未來一段時間內的發展模式。

二、險分散化,保障客戶權益

在網上銀行完善自身安全設施和配套措施的同時,引入其他行業介入,分風險,能夠引導網上銀行更加健康的發展。我國目前處理網上銀行用戶財產全問題均根據銀行與用戶簽訂的協議,使用戶處于被動地位,對用戶的正當益產生威脅。但網上銀行的安全應該是政府、銀行、客戶和外包商等共同努的結果。在美國網上銀行的風險可以得到很好地分散,根據網上銀行交易風易發的三個環節分別開發險種。首先,存款有聯邦存款保險公司的保障;其,有網絡信息保險業務:一是“黑客保險”,二是針對網上產品、服務疏忽或行失敗所引起的法律訴訟保險,三是員工忠實險。實踐證明,在銀行業務中入保險業,可以大大減小給客戶帶來的損失,而且也能夠很好的對銀行起到約和激勵作用。

第三節 加強非現場監管,建立網上銀行風險監管體系

網上銀行還處于一個蓬勃發展的階段,如果我國監管當局不積極進行研究,理引導,不僅不利于銀行的穩健發展,還可能會留下風險隱患。我國監管部必須采取切實措施,積極發展和合理監管我國網上銀行業。網上銀行的誕生銀行領域的一場革命性的變革,正處于不斷的發展和演化過程中,因此對網銀行的監管也是一個不斷發展和完善的動態過程。我國網上銀行的監管尚處起步階段,怎樣進行有效監管是我國監管部門面臨的重大課題,我們可以借美國和歐洲國家對網上銀行監管所積累的成功經驗,結合我國國情有計劃、步驟地建設我國網上銀行監管體系。通過非現場監管能夠及時、持續監測金融機構的經營和風險狀況,并能為場檢查提供依據和指導,使現場檢查更有針對性,從而有利于合理分配監管源,發揮現場檢查的最大效力。作為銀行業持續性監管的必要組成部分,中人民銀行對銀行業非現場監督系統的建設一直滯后于現場檢查系統的建設,響了現場檢查的效果。對網上銀行業的監管目前正處于框架設計階段,因此,充分總結經驗教訓,在開發對網上銀行的現場檢查系統的同時,開發對網上行業的非現場監測系統。在實際操作中,應建立并逐步健全一套自上而下的夠快速適應客戶需求變化、網上銀行技術性變化和市場變化的風險控制部門,括風險部、合規部、稽核部和信用部等,嚴格規定各部門的職責,形成一個責明確、功能齊全而又緊密聯系的網上銀行內部風險控制組織體系,并共同成網上銀行風險防范和控制的一道重要防線。

第四節 加大技術防范力度

在技術層面,根據第四章的結論,我國網上銀行應該重視物理安全措施、洞與“后門測試”、系統備份與恢復、內部管理控制、IDs、防火墻布控、IPSec、戶端安全防護、SET、智能卡、SSL、數據加密、CA認證等風險防范措施。過自評,可以明確了解自身的薄弱處,從而有針對性的加以投入。在國外,針對交易安全問題頻頻發生,大力推廣動態密碼,從客戶端杜絕全隱患是目前最為常用的方法。而在我國,僅有少數銀行為用戶提供動態密的保護方式,如工商銀行和浦發銀行,其他銀行基本上還是沿用老的密碼模。在信息技術飛速發展的今天,銀行應積極的應對各種可能的風險,與時俱不斷完善自己的安全措施,確保用戶的財產安全。動態密碼能夠很好的控制戶端的風險,而投入相對于其他技術來說偏低,銀行應該大力推廣這種風險范技術,不吝短期的投入,放眼于網上銀行健康長遠的發展。

第五節 進一步完善網上銀行安全的法律法規

與網上銀行相關法制建設較發達的國家與地區,以及巴塞爾委員會等國際織在網上銀行業務監管問題上所積累的先進經驗相比,我國現行的有關監管制總體上還處于初期,很多地方還存在真空。即使是專門為處理網上銀行問而出臺的《暫行辦法》也停留在比較概括的層次,其操作性、專業性與細致均函待加強40。并且在實踐中還有許多新問題的有關法律問題需要進一步研究予以明確。因此,我國網上銀行法律體系的構建還存在相當大的發展空間,當隨著網上銀行發展的深入而逐漸細化、豐富并予以完善。

第七章  總結

通過對網上銀行的了解和對交易安全的研究之后,我覺得網銀交易安全的重中之重是交易認證方式。根據以上的各種交易認證方式的研究,我自己又想到了一個可行性很高 的方案——基于交易確認的銀行系統安全方案

目前手機作為普及的通信工具,是個人隨身攜帶、自己專用且經常使用的通信設備,發生失竊能及時發現。而且手機號碼具有一卡一號不重復的特性,手機號碼可作為網銀交易時客戶的身份證明。如果利用手機的短信通信功能和銀行的短信銀行服務, 由銀行處理系統在客戶交易時隨機生成交易確認信息,通過短信系統發送給客戶,再由客戶輸入提交的交易信息返回給銀行,銀行處理系統對客戶提交的交易信息與原先發送給客戶的交易信息進行核對,判斷是否相符,利用手機號碼作為客戶身份證明這一特性,即可實現對客戶身份的即時再確認。這種通過交易確認的方法,可動態地驗證客戶身份,有效解決網銀的安全問題,提高網銀的安全性。

【參考文獻】

[1]曉輝.網絡安全與技術應用[J]. Network Security Technology & Application, 2009,(1):33-34

[2]薛岷.我國網上銀行發展現狀、問題及對策研究[D].東北:東北師范大學,2006

[3]顧韻華,劉素英. 動態口令身份認證機制及其安全性研究[J]. 中文核心期刊<微計算機信息> (管控一體),2007,23(11-3):51

[4]李曉峰,趙海.網上銀行的身份認證與交易的安全防范[J].國家信息安全測評認證,2007(9):13-17.

[5]JosephA.DiVanna.Redefining Financial Services[J].Journal of Economic Perspectives,2005(2):22-34

[6]HenryEngler.The Future of Banking[J].American Econnomic Review,2005(2):43-56

[7]劉知貴,楊立春等.基于PKI技術的數字簽名身份認證系統[J].計算機應用研究.2004,(9):158-160.

[8]張慧娜,董麗麗,閆曉慧. 基于PKI的網上銀行身份認證的探究[J].計算機安全,2008,(07):62-63

[9]張進,姚志國.網絡金融學[M].北京:北京大學出版社,2002.96-99

[10]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.71-75

[11]王宇佳.淺析我國網絡銀行的安全問題及對策[D].廈門:廈門大學,2002.

[12]李濤.網絡安全概論[M].北京:電子工業出版社,2004. 11-18

[13]林柏鋼.網絡與信息安全教程[M].北京:機械工業出版社,2004.7-12

[14]宋安平.商業銀行核心競爭力研究[M].北京:中國金融出版社,2005.7-33

[15]黃宗捷.網絡金融[M].北京:中國財政經濟出版社,2003.77-89

[16]孫森.網絡銀行[M].北京:中國金融出版社,2004.44-56

篇3

關鍵詞:網上銀行網絡支付安全性問題

隨著電子商務技術的發展,網上銀行的使用也越來越廣泛,但是網上銀行還存在很大的安全問題,必須引起廣大網民群眾的重視。

一、我國網上銀行存在的安全性問題

1.網上銀行網站存在的安全性問題

在網絡銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網站也不會將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。客戶在不了解情況時就會向虛假站點發送ID和密碼??蛻舭l送完畢后,如果顯示出一個“服務馬上就要停止”的畫面,或者把客戶訪問重新引導到正規站點上,客戶當時是很難察覺的。這樣一來,就存在有人進行非法資金轉移的可能性。

2.交易信息在商家與銀行之間傳遞的安全性問題

因為互聯網的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過互聯網交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的。資金在網上劃撥,安全性是最大問題,發展網上銀行業務,大量經濟信息在網上傳遞。而在以網上支付為核心的網上銀行,電子商務最核心的部分包括CA認證在內的電子支付流程。就是說國內目前的網上銀行還不能算真正的網上銀行,只有真正建立起國家金融權威認證中心(CA)系統,才能為網上支付提供法律保障。

3.交易信息在消費者與銀行之間傳遞的安全性問題

目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。用戶和銀行之間通過互聯網傳遞的信息是實現交易的基礎條件,如何確保不被第三方知道,是網上業務安全進行的一個重要前提。

綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題。②網絡病毒、木馬問題。③釣魚平臺。另外還有網上支付的信用問題、網上支付的法律問題和網上安全認證機構(CA)建設混亂等問題。

二、網上銀行安全性問題解決的對策

1.做好自身電腦的日常安全維護

一是經常給電腦系統升級。二是安裝殺毒軟件、防火墻,經常升級和殺毒。三在平時上網是盡量不上一些小型網站,選大型網站,知名度比較高的網站,避免網站掛有病毒、木馬造成中毒。四盡量不要在公共電腦上使用自己的有關資金的賬戶和密碼。五有條件的情況下,在初裝系統后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統恢復。

2.設立防火墻,隔離相關網絡

所謂防火墻指的是位與不同網絡安全域之間的軟件和硬件設備的一系列部件的組合,作為不同網絡安全域之間通信流的唯一通道,并根據用戶的有關策略控制進出不同網絡安全域的訪問。現實生活中一般采用多重防火墻方案,分隔互聯網與交易服務器,防止互聯網用戶的非法入侵;還用于交易服務器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易服務器的入侵。

3.設置高安全級的web應用服務器

高安全級的web服務器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續處理。

4.建立完善的身份認證和CA認證系統

在網上銀行系統中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。由于數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,并進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今后實現跨行交易提供了身份認證基礎。

5.加強客戶的安全意識和網絡通訊的安全性

銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。一些銀行規定:客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。

安全性作為網絡銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都采取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。

互聯網是一個開放的網絡,客戶在網上傳輸的敏感信息在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。

參考文獻:

[1]孫強.互聯網商務應用[M].北京:對外經濟貿易大學出版社,2000.

[2]關翔.中國電子商務與實踐[M].北京:清華大學出版社,2000.

篇4

關鍵詞:網上銀行;安全風險;防范對策

網上銀行是依托計算機網絡實現銀行服務。在Internet上的虛擬銀行柜臺,是銀行利用Internet技術,向客戶提供開戶、查詢、對帳、行內轉帳、跨行轉賬、信貸、網上證弧⑼蹲世聿頻卻統服務項目,使客戶足不出戶就能夠安全便捷地管理活期和定期存款、支票、信用卡及個人投資等。然而由于網上銀行的虛擬性和開放行,同時也給客戶資金帶來了安全風險。

一、網上銀行的安全風險

(一)操作風險

操作風險是指由于客戶自身和銀行內部管理不當、控制系統失靈而導致的各類風險。因其涉及面廣、可控性小、關聯性強,是目前我國網上銀行面臨的主要風險。

1.客戶自身操作不當帶來的風險

一是客戶為了便于記憶,常常把自己或親人的生日作為網銀密碼,將自己網銀與其它網站共用相同的密碼,由于其它網站的密碼泄漏進而導致自身網銀密碼的泄漏。

二是客戶防范能力比較低,輕信他人,如網絡釣魚、電話詐騙等,使客戶信以為真,從而導致網銀密碼的泄露。

三是利用公共場所(如網吧)和無安全保護的WIFI環境下使用網銀,導致個人網銀敏感信息的泄漏。

2.銀行內部管理和操作風險

一是缺乏對網上銀行業務的系統性管理,極易出現多頭管理或管理的真空地帶,埋下操作風險隱患。

二是內控相對滯后。目前,銀行機構大多將網上銀行的重點戰略任務放在業務拓展上,以搶占市場份額為出發點,注重產品開發和運用,但在風險防范和內部控制建設上卻較為滯后。

三是銀行網站出現漏洞,不合理的服務器和防火墻的設置易遭受病毒的攻擊,使銀行網站處于崩潰失靈狀態。

(二)信用風險

信用風險又稱違約風險,是指借款人、證券發行人或交易對方因種種原因,不愿或無力履行合同條件所帶來的風險。在網絡的虛擬世界中,交易雙方不直接見面,身份難以確認,追究違約責任等方面有較大的障礙。近幾年,雖然我國市場經濟得到了快速發展,但信用意識和信用道德規范嚴重缺乏,整個社會信用體系不完善,發展相對滯后,交易活動中失信現象非常嚴重。使網上銀行這一新生事物的生命力受到削弱,其發展勢頭也必將遭到遏制。

(三)法律風險

由于網上銀行是新型的金融業務,具有其獨特性,有別于傳統銀行,我國對網上銀行的法律制度規范不夠健全,使犯罪份子利用法律的某些缺陷給銀行和用戶帶來了不必要的損失。網上銀行具有開放性,網絡自身的虛擬性給公安機關帶來許多挑戰,犯罪份子利用計算機技術竊取網上銀行秘鑰或采取黑客技術攻擊網絡主機,這種犯罪活動不會留下現實犯罪的痕跡,執法過程中取證困難,網絡系統技術和管理中存在漏洞等將導致網上銀行的法律風險出現。

二、網上銀行的安全風險的防范對策

(一)操作風險的防范對策

1.提醒客戶操作風險的防范對策

申請開通網上銀行時綁定網銀安全產品,如U盾、K寶、E令等安全產品,設置密碼要科學,同時要記清官方網站的網址,登錄網站時不要通過鏈接或按照他人指示的網址登陸。避免自己的計算機被病毒感染或受到黑客攻擊,為計算機安裝殺毒軟件和防火墻并及時更新。切勿在圖書館、網吧等公共場所使用網銀,建議開通銀行帳戶資金變動的短信通知功能,網銀登陸短信提醒等服務,時時掌握賬戶情況,提高交易安全性。

2.銀行內部管理策略

在銀行組織內部控制系統框架的設計中,要明確內部治理的職責分配,將操作風險控制、業務操作和后臺服務等部門分離,避免造成管理重復。使風險防范責任與員工個人利益直接掛鉤,各負其責,使責任落實到個人。要及時、深入了解重要崗位人員工作、生活情況,掌握思想和行為變化動態,對行為失范的員工要及時進行教育疏導,情節嚴重的,要嚴肅處理。

加強網上銀行控制管理系統建設,負責對網上銀行操作風險事中、事后的分析與控制管理,可以全天候、多維度掌握網上銀行操作風險的情況。一旦網上銀行出現操作風險引起的緊急事件,銀行必須及時作出反應,在最短的時間內發現問題和解決問題,以保證將銀行和客戶的損失降低到最小,及時更新網上銀行主頁上有關安全問題及解決方案的內容。

(二)信用風險的防范對策

銀行內部應建立一套完善的信用管理機制,對客戶進行追蹤調查,以保障銀行的切身利益,促進網上銀行信用體系建設。應從以下幾方面入手。

(1)加強網上客戶檔案管理,培養專門的人才從事信用管理的工作。

(2)合理利用客戶信用信息。

(3)建立第三方信用服務認證機構,目的是與國際信用管理體系接軌。

(4)建立第三方信用評級機構,目的是以第三方的身份出現,可以站在一個客觀的立場,極力維護評級的公正性,可以幫助銀行對企業和個人的信用進行評級。

(三)法律風險的防范對策

借鑒歐美等發達國家關于網上銀行的法律制度,與國際組織接軌,建立健全的網上銀行業務相關的法律、法規。制定有關網上銀行建設與發展的相關條例和法律等,同時加大對網絡金融犯罪的懲罰力度,強化執法手段,從立法和制度上保障好網上銀行各項業務的健康發展。網絡金融業務環境的開放性、交易信息傳遞的快捷性強化了國際金融風險的傳染性,使得各國銀行監管機構對金融市場的單一監管的有效性大大降低,因此,制定網上銀行法律監管的國際性標準、開展國際化合作日益重要。

參考文獻:

[1]劉明明.網絡金融的安全風險防范[J].金融電子化,2009(01).

[2]陶良華.網上銀行常見安全問題介紹[J].計算機安全,2009(07).

篇5

關鍵詞:網上銀行;信息安全產品;服務質量;差距分析

中圖分類號:F713.5 文獻標識碼:A 文章編號:1003-3890(2011)11-0039-04

一、引言

網上銀行能夠為用戶帶來許多快捷便利的服務,為銀行節省巨大的成本費用和帶來更多利潤增長點,于是各大銀行都積極拓展網上銀行業務,工行、建行、農行、中行、招行已成為國內網上銀行交易額排名居前的銀行。為了消除客戶對網銀安全方面的擔憂,網銀都紛紛加大了技術力量的投入,推出了各種信息安全產品。易觀國際的《中國網上銀行用戶研究報告2009》顯示,工商銀行的U盾、電子銀行口令卡,用戶覆蓋率為53.3%,排名第一,建設銀行的網銀盾,用戶覆蓋率為39%,招商銀行的免驅動“優key”,用戶覆蓋率為30.2%,農業銀行的K寶,用戶覆蓋率為21.8%,中國銀行的免費動態口令牌,用戶覆蓋率為14.1%,在保障網銀客戶信息、資金的安全方面取得了顯著成效。

然而,我們對網上銀行客戶論壇數據的跟蹤調查結果顯示,客戶在使用網銀及其信息安全產品的過程中,仍然存在很多問題,這主要是因為網銀提供的信息安全產品以及相關的服務與顧客所期望的服務存在一定的差距,即顧客感知的服務質量差距。本文試圖從服務營銷理論中的服務質量差距模型出發,分析出網上銀行信息安全產品的服務質量差距的種種具體表現,識別出影響網銀信息安全產品服務質量差距的主要因素,分析服務質量差距產生的主要原因,為研究服務質量差距彌合策略提供有價值的依據。

二、服務質量差距模型概述

服務質量差距分析模型是由美國的服務管理研究組合PZB(A.Parasuraman,Zeithaml,V.anLBerry)于1985年在長期實踐基礎上提出來的,如圖1所示。

該模型將服務質量差距分為以下幾個層次:

顧客期望與企業感知的差距,指企業沒有能夠準確地感知到顧客對服務的期望。

企業感知與服務標準的差距,指企業沒有能夠準確地設計出服務標準。

服務標準與服務傳遞間的差距,指企業的服務傳遞沒能達到其所制定的服務標準。

服務傳遞與外部溝通間的差距,指企業提供的服務與對外溝通中所做的承諾不一致。

顧客期望與顧客感知間的差距,指顧客所感知到的服務質量與其預期的不一致。

該模型認為:前面4個服務質量差距是供應商差距,屬于企業內部行為,由于一個或多個供應商差距的存在,導致了顧客感知的服務差距,雖然我們關注的核心是顧客差距,但是彌合顧客差距的關鍵在于彌合所有的供應商差距,并應使其處于持續彌合狀態。服務質量差距模型層次清晰,簡明易懂,是發現顧客與企業對服務質量的感知差距的一種直觀而有效的工具,為企業診斷影響服務質量的因素提供了一條實用的路徑問。

三、網上銀行信息安全產品的服務質量差距分析

從服務質量差距分析模型出發,將面向顧客的外部溝通歸納到服務傳遞差距中,結合現今各大銀行提供的網上銀行信息安全產品及其相關服務,并根據對各大網銀的網上論壇以及對傳統網點顧客的問卷調查,我們可以清晰地分析出網上銀行信息安全產品的服務質量差距的具體表現及其產生的原因,歸納出影響服務質量差距的各種主要因素,為網銀制定信息安全產品的服務質量差距彌合策略提供依據。

(一)網銀信息安全產品的顧客期望與銀行感知的差距

當銀行推出網上銀行及其信息安全產品與相關服務的時候,由于互聯網信息技術是一個全新的領域,銀行常常會根據以往的經驗來認知顧客的需求,而顧客則是通過售前宣傳冊、廣告、對互聯網服務的一些體驗經歷、相互交流等途徑來期望這種全新產品及其相關服務,銀行對顧客需求的認知和顧客的期望之間通常會產生一定的差距,這些具體表現如表1所示。

從表1我們可以看到,網上銀行最為關注的是安全性,主觀地認為只要安全性提高了,顧客就會滿意,而顧客除了關注安全性外,還會更加關注價格、方便性、易用性以及出現問題后網銀的解決速度,其對產品與服務的期望貫穿了購買、使用的全過程。由于我國銀行業一直以來都是壟斷行業,銀行的服務意識一直比較薄弱,對顧客需求的挖掘不夠重視;而且,網上銀行是一個以互聯網信息技術為基礎的新生事物,近幾年發展極為迅猛,網上銀行和傳統銀行網點的管理層與員工對網銀及其信息安全產品的認識也都極為有限,傳統銀行網點通常會認為其只需負責為顧客辦理開通網上銀行業務,銷售網上銀行信息安全產品,而與網銀及其信息安全產品的相關服務都屬于網上銀行部門的責任范疇,這些都是導致銀行認知與顧客期望之間產生差距的主要原因。

(二)網銀對顧客期望的認知與服務設計的差距

一旦識別出顧客對網銀信息安全產品及其服務的期望,網銀管理者面臨的下一個挑戰就是如何準確地把對顧客期望的認知轉化為具體的服務。網銀管理者對顧客期望的認知和他們基于這些認知所設計的服務標準之間,通常也會產生一定的差距,具體表現如表2所示。

基于網銀管理層對顧客期望的認知和服務設計之間所產生的差距,主要體現在沒有考慮不同信息技術知識結構、不同收入層次的顧客對網銀信息安全產品及其服務的需求,如大部分信息化程度較低的顧客仍然需要面對面的指導,對于收入較低的顧客,60元~100元的價格將是一個很高的門檻,因而產品的豐富多樣性不夠;再有,過分依賴網上的自助操作指南,與傳統網點的溝通、協調、分工不夠明確,對網點員工對網銀的宣傳、傳播角色的服務設計不夠;此外,沒有把握好安全性與便捷性之間的平衡,過分強調了安全性,忽視了方便性、易用性、便捷性的服務設計,對新顧客的促銷活動較多,而對老顧客的優惠活動的設計卻很少,對特殊問題的服務模式設計不足。

(三)網銀信息安全產品的服務設計與服務傳遞的差距

正確的服務設計和標準確立以后,網銀還必須確保系統、流程、人員全部到位,才能保證服務傳遞與正確的服務設計和標準相匹配,否則就會導致網銀員工的實際服務績效與服務設計標準之間產生傳遞差距。網銀信息安全產品的服務傳遞與服務設計之間的傳遞差距的具體表現如表3所示。

網銀信息安全產品的服務傳遞差距主要表現在服務傳遞過程中面向顧客的外部溝通不足,沒有充分利用傳統網點及其網銀體驗中心進行顧客教育與培訓。因為網上的自助服務指南只能滿足信息化程

度較高的顧客,而對于大部分信息化程度較低的顧客還需要傳統網點面對面的指導與培訓,對網銀信息安全產品這樣一個全新的服務面向顧客的服務承諾也有欠缺,使得顧客不能完全放心地使用網銀。其次,銀行對傳統網點員工信息化程度的提升、培訓、約束和激勵措施不足,傳統網點員工的信息化程度普遍比較低,不能有效、及時地解答顧客在安裝、使用、更新網銀信息安全產品時所遇到的問題,對顧客的主動宣傳力度也不夠。另外,對老顧客的關注與優惠不足,U盾驅動程序版本過多,升級頻率過高,安全控件安裝和更新的提示頁面會對顧客造成一定的心理負擔,對特殊問題的解答不夠及時等方面也存在一些服務傳遞差距。

(四)網銀信息安全產品的顧客期望與顧客感知差距

享受任何產品及其服務的顧客都會自覺或不自覺地把自己所感知的服務質量與其所期望的服務質量進行對比,顧客所期望的服務和感知到的服務不一致時就會導致顧客感知的服務質量差距。網銀對顧客期望的認知,信息安全產品設計的服務標準與實際傳遞的服務,最終都將導致顧客對網銀信息安全產品服務的期望與其對服務的感知出現差距,具體表現如表4所示。

在使用網銀及其信息安全產品之前,顧客對網銀信息安全產品的期望來自于網銀的宣傳冊、廣告以及各種傳播途徑,他們期望能享受免費的或低價的服務,除了安全性要有保障外,使用起來還應非常方便。在使用過網銀及其信息安全產品之后,他們對于網銀信息安全產品的期望更為深入和細化,對于網銀信息安全產品及服務的期望集中在使用過程的各個環節,但仍然可以歸結為使用的便捷性或在保證安全性上的便捷性。最后是對售后服務過程中疑難問題解答的及時性,希望有形展示以及面對面的指導,盡管網上有各個欄目、各種指南,顧客還是希望傳統網點能夠提供專業的、技術的、面對面的指導。

篇6

關鍵詞:商業銀行 網絡安全 網絡風險

1 城市商業銀行網絡安全建設現狀

銀行的信息與網絡安全建設與銀行的整個電子化、信息化和網絡化密切相關,把金融風險監管現代化和金融電子化、信息化和網絡化風險的監管密切結合起來,是搞好銀行與阿絡安全建設的根本思路。目前城市商業銀行信息化安全的觀念對于網絡與系統的虛擬世界的“行為與內容的監管”和“大范圍的網絡環境的安全問題”,考慮較少。

1.1銀行網絡行為和內容的安全情況

銀行網絡的安全問題實際是銀行風險監管的問題,銀行風險監管既要檢查銀行和客戶人員在現實世界中的人與銀行業務相關的行為結果,又要檢查網絡虛擬世界中用戶、系統和的行為,實際上要對銀行監管實行監管現代化的建設和銀行信息化實行監管。

1.2銀行業務運營信息化安全情況

主要涉及銀行價值管理信息系統、資源管理信息系統、銀行產品服務管理信息系統等。對于這些業務信息系統,由于銀行系統有高度的安全意識銀行系統的安全工作開展的較早,制定了相關的標準和規范,進行了安全規劃與實施等。

1.3銀行網絡系統安全情況

當前銀行網絡系統安全問題重要表現在數據大集中后的安全,其特點是數據服務大集中,前置通信中心強大的和眾多本地與遠端終端的中心體系結構。

應該看到,電子化在給銀行帶來利益的同時,也給銀行帶來了新的安全問題。原因主要有三個:伴隨金融體制改革的深入、對外開放的擴大,金融風險迅速增大;當前計算機應用日益廣泛、日趨網絡化,系統的安全性漏洞也隨之增加;計算機知識日益普及,金融網絡向國際化發展,計算機犯罪技術在不斷提高。

2 銀行網絡安全重點關注的方面

目前銀行用戶關注的信息化安全問題主要是客戶隱私、用戶權益、信息內容安全和客戶可信接入銀行網等問題:

全面整合銀行信息化安全建設,在此基礎上建立銀行信息安全保障、應急和監管系統。

以安全觀點再度審核銀行應用數據大集中的安全建設問題、專網與公網的隔離安全建設、銀行外包服務安全建設、安全檢測、監控、審計、追蹤和定位系統建設、制定安全應急標準與安全應急培訓。

3 安全風險分析

我們可以參考國際標準化組織ISO開放系統互聯(OSI)模型,將整個銀行系統的安全風險統一劃分成五個層次,即物理層安全、網絡層安全、操作系統層安全、應用層安全以及管理層安全。

3.1物理層安全風險分析。物理層安全包括通信線路的安全,物理設備的安全,機房的安全等。

3.2網絡層安全風險分析。網絡層安全包括網絡層身份認證,網絡資源的訪問控制,數據傳輸的保密和完整性,遠程接入的安全,路由系統的安全等。

a數據傳輸風險分析。表現在重要業務數據泄漏、重要數據被破壞等,如果沒有專門的軟件或硬件對數據進行控制,所有的廣域網通信都將不受限制地進行傳輸,因此任何一個對通信進行監測的人都可以對通信數據進行截取

b網絡邊界風險分析。主要表現于銀行業務系統安全和互聯網出口的安全。

c網絡設備的安全風險。由于銀行專用網絡系統中使用大量的網絡設備,如交換機、路由器等,使得這些設備的自身安全性也會直接關系的銀行系統和各種網絡應用的正常運轉。

3.3系統層的安全風險。主要表現在兩方面:一是操作系統本身的安全漏洞和隱患;二是對操作系統的錯誤配置。

3.4應用層安全風險分析。應用層安全是用戶采用的應用軟件和數據庫的安全性,包括數據庫軟件、Web服務、電子郵件系統、域名服務系統、業務應用軟件,以及其他網絡服務系統(如Telnet、FTP等)。

3.5管理層安全風險分析

管理層安全包括安全技術和設備的管理,安全管理制度的制定,部門和人員的組織規劃等。要建立完備的安全網絡最終要靠人來實現,因此管理是整個網絡安全中最為重要的一環。因此我們有必要認真的分析管理所帶來的安全風險,并采取相應的安全措施。

4 安全方案總體設計

4.1網絡安全建設原則

網絡安全建設是一個系統工程,銀行網絡安全體系建設應按照“統一規劃、統籌安排,統一標準、相互配套”的原則進行,采用先進的“平臺化”建設思想,避免重復投入、建設,充分考慮整體和局部的利益,堅持近期目標與遠期目標相結合。

在實際實施中還要按照系列基本原則進行:系統性原則;簡單性原則;實時、連續、安全統一原則;需求、風險、代價平衡原則;實用與先進相互結合的原則;方便與安全相互統一原則;全面防護、突出重點原則;分層、分區原則;整體規劃、分布實施原則;責任明確,分級管理,聯合防護原則。

4.2網絡安全建設目標

我們對于銀行網絡系統安全建設的目標為:采用防護、檢測、反應、恢復四方面行之有效的安全措施,建立一個全方位并易于管理的安全體系,確保銀行網絡系統安全可靠的運行

a系統級安全目標。保證操作系統、數據庫管理系統的安全補丁不斷升級、安全設置正確,防止計算機終端、服務器感染通過軟盤、光盤、網絡、電子郵件及其它網絡途徑傳播的計算機病毒。

b網絡級安全目標。保證內外網之間、內部網不同網絡安全域之間的安全隔離和有效的訪問控制,保證系統業務敏感信息網絡傳輸中的機密性、完整性,保證網絡攻擊和網絡安全漏洞及時發現、告警,網絡安全狀況不斷改善,以及保證銀行網絡系統網絡傳輸系統的高可靠性:主要指線路、設備的備份、冗余等。

c應用級別安全目標。防止本地用戶和遠程用戶的非授權訪問、越權訪問和身份假冒,保證各種服務系統的正常運轉。

d管理級安全目標。對安全軟硬件設備(如防殺病毒軟件、入侵檢測軟件、安全MPN設備、防火墻設備)和安全策略、安全狀況能夠集中統一管理、監控、審計和響應,保證安全責任分解到人、出現問題有跡可尋,加強管理制度和管理體系建設。

4.3整體安全設計概述

整體安全設計要最大限度保障業務系統、辦公系統的安全,做到安全性和方便性的統一。

a數據庫服務器是業務系統中最重要的數據庫部分,它保存了所有業務交易相關的各種帳務數據,因此必須對它們實行有限訪問控制防護——配置雙機熱備防火墻系統。

b由于辦公機器眾多、員工的安全防范意識較差,需要與互聯網接入,又要直接接入OA辦公、決策等系統,因此,辦公機器應受到高度關注。

c由于網絡中設備、主機數量眾多,應此使用日志審計系統收集全網中的安全設備、服務器的日志,進行歸檔、分析,及時發現系統中發生的安全時間,起到事后審計的安全機制。

篇7

【關鍵詞】商業銀行;網上銀行;因素;策略

作為電子商務領域的新型服務方式,商業銀行網上銀行是金融行業和高新技術相結合而誕生的產物。它依托互聯網,向廣大客戶提供方便、快捷、安全的服務,能夠有效地拓展商業銀行的市場空間、分流柜臺客流量、提高競爭力、降低成本,是商業銀行在未來一段時間內取得競爭優勢的關鍵點。但是,近年來,隨著商業銀行網上銀行的深入發展,一些阻礙網上銀行發展的因素逐漸顯現出來,成為商業銀行網上銀行進一步發展的絆腳石,本文結合電子金融的發展現狀,對于城市商業銀行網上銀行的發展提出自己的一點看法。

一、影響商業銀行網上銀行發展的因素分析

(一)網絡安全問題

因為網上銀行的應用系統存在漏洞或網絡防范不夠嚴密,一些不法分子趁機非法入侵他人賬戶、轉移他人資金,使得網上銀行面臨著嚴重的安全問題。總的來說,網絡安全問題可以分為以下三種:網絡欺詐、黑客入侵和病毒破壞。網絡欺詐是指不法分子運用假網站、手機短信、郵件、虛假的電子商務網站等手段來竊取用戶的網上銀行登錄號、密碼、身份證號碼等關鍵信息,以達到非法占有的目的。黑客入侵是指黑客利用互聯網的開放性、有目的地攻擊運行系統上的缺陷,危害網絡安全。病毒破壞是指不法分子借助電腦病毒程序來破壞銀行系統,已達到竊取數據、轉移資金的目的。這些行為都嚴重危害了網上銀行的安全。

(二)網上銀行的收費問題

費用低廉甚至免費是網上銀行的經營優勢之一。但是,隨著網上銀行業務的不斷拓展,網上銀行的收費逐漸暴露出以下幾個問題:全面收費流失部分客戶、收費與服務不匹配、收費標準不具有權威性、網上收費有可能產生消費糾紛等等。從銀行效益的角度來看,銀行需要收取一定的費用來維持正常的運轉、獲得經濟效益。但是,網上銀行的收費問題卻正在成為流失戶源的主要問題,我們不得不給予足夠的重視。

(三)網上銀行的操作問題

主要表現在客戶端的業務操作是否出自本人、客戶端的憑證是否有效、客戶端的私人密鑰是否泄漏、交易指令傳遞是否順利等等。這些問題的出現使得商業銀行陷入糾紛之中,損害了商業銀行的形象。所以,銀行應該采取一定的措施來規避這些風險。此外,客戶滿意度和忠誠度、銀行口碑等因素也在一定程度上阻礙了商業銀行網上銀行的深入發展。

二、城市商業銀行網上銀行業務發展的策略研究

(一)加強網絡安全

網上銀行依托互聯網,互聯網的安全直接關系到網上銀行的安全。所以,我們應該從網絡安全著手,保證網上銀行的安全運行。首先,建立嚴格、系統的安全體系。采用更高安全級別的網絡運行體系、確保全天候的安全監護;升級網上銀行的安全等級、填補運行系統中的漏洞;采用更智能化的科技手段來阻止網絡侵犯等等。其次,加強客戶的安全防范意識。網絡銀行應該在網頁、操作界面等客戶可以看到的地方設置安全提示,在客戶輸入關鍵信息的時候提醒客戶注意防范潛在的風險;培養客戶嚴格保密網上銀行的賬戶和密碼的習慣,提高客戶的安全意識等等。第三,建立全國統一認證中心。清掃網絡環境中的害群之馬,還網絡用戶一個安全干凈的世界。最后,加強網絡應用環境的風險防范。

(二)規避操作風險

首先,商業銀行要高度重視網上銀行的外部欺詐風險。目前,商業銀行在網絡安全性方面投入了較多的人力、物力,建立了較為安全的網絡運行系統。但是,商業銀行對于基層網點的關注不夠,一些由于業務處理不規范而引起的操作失誤頻頻發生。例如一些不法分子借助基層網點操作系統的漏洞騙取用戶的U盾和密碼,損害了用戶和銀行的正常利益。其次,加強規章制度的執行力度。為了杜絕以信任、關系來破壞制度的情況的出現,商業銀行必須要加強規章制度的執行力度,使得規章制度能夠真正發揮其應用的作用。網點操作員需要按照章程辦事,嚴格執行規章的要求,審核客戶的身份、簽名、指紋等信息,確認沒有代辦、誤辦的情況出現。最后,完善網上銀行業務內控機制。運用科技手段來完善彌補操作系統上的漏洞,建立有效的內控機制。

(三)優化收費制度

在保證商業銀行利潤的基礎上,網上銀行的收費制度需要進一步的完善。首先,加大網銀業務收費制度的宣傳力度,使得廣大客戶形成一種網銀收費的正確認知,確??蛻裟軌蛟谛睦砩辖邮茉擁椫贫取F浯?,細化收費項目和收費檔次。根據不同的業務、客戶群體、服務水平等情況,制定梯度化、科學化的收費制度。例如適當地減少網上銀行異地轉賬的收費標準、鼓勵客戶使用網上銀行自主完成費用轉存等業務;減免手機銀行的查詢、轉賬、支付等業務的費用,將網上銀行的影響延伸到人們生活的方方面面等等。最后,細分客戶群體。不同的網上銀行商品針對不同層次的客戶群體,所以,商業銀行應該對客戶進行細分,從信譽度、回報率、資信狀況等方面調查總結客戶的征信情況,并有目的地制定收費制度,使得多數客戶都能夠享受到網上銀行的優惠和便利。

(四)提高網上銀行客戶的忠誠度和滿意度

口碑的力量是無窮的,只有客戶對網上銀行的滿意度和忠誠度提高了,商業銀行才能夠在市場競爭中占據不敗之地。所以,商業銀行可以從以下幾個方面著手:提供客戶需要的服務、盡量便捷化簡單化、為客戶提供承諾服務、及時采取補救措施等等。通過這些手段來降低商業銀行的運行成本、提高效益。

作者:郭詠萍 單位:鄭州市農村信用合作聯社文化中路分社

參考文獻

[1]盧玉志,趙東星.我國網上銀行發展中存在的問題與對策[J].特區經濟,2008.

篇8

【關鍵詞】網上銀行;安全;防范措施

【中圖分類號】:F832

【文獻標識碼】:B【文章編號】:1673-4041(2007)10-0033-04

網上銀行又稱網絡銀行、在線銀行和因特網銀行等等,它是指金融機構利用Internet網絡技術和電子計算機網絡技術為基礎,采用電子數據的形式,通過互聯網絡而開辦的銀行業務,提供具有充分個性化的金融服務的一種全新的銀行客戶服務系統。近年來,網上銀行在我國獲得了迅速發展,但由于起步晚,網上銀行業務面臨著眾多問題。我們只有很好地解決這些問題,才能確保網上銀行業務安全、有效的發展。

1我國網上銀行現狀

1999年來,中國網上銀行的發展主要體現在四大國有商業銀行緊隨招商銀行之后,逐步涉足虛擬金融服務市場,拉開了中國網上銀行市場的競爭序幕。工商銀行2004年網上銀行業務累計實現筆數25.8億筆,相當于7068個營業網點的業務量?!罢猩蹄y行”的一網通,工商銀行的金融E通道、金融@家,建設銀行的E路通等網上銀行品牌也日漸為人所熟悉。網上銀行的發展速度很快,尤其是2003年以來,它在人們心目中的認知度更是有了日新月異的提高。隨著用戶數和使用頻率的提高,全國網上銀行交易額從2003年的24.3萬億元增長到2004年的49.3萬億元,增幅高達103.2%。我國主要商業銀行2006年度電子銀行交易金額達到122萬億元,比上年增長101.48%;。一份關于2004年中國網上銀行的研究報告表明,網上銀行用戶在網民中所占的比例呈現逐年遞增的趨勢,由2001年的6.4%增長到2004年的16.9%。預計到2007年這一比例將增長到21.7%左右。

2我國網上銀行發展存在的一些問題

在銀行網絡化過程中,銀行的信用中介、支付中介、創造貨幣等職能不但沒有消失,反而面臨著全新的挑戰。由于網上銀行在我國尚處于起步階段,在它的發展過程中也存在著眾多的問題亟待解決:

2.1法律法規與現實的需求脫節問題 。網上銀行仍然是經濟金融活動的一部分,它離不開法律的規范和保護,而現行的法律又很難規范網上銀行業務的發展和保護消費者權益。以對網絡交易安全至關重要的電子簽名來說,美國已公布了《電子簽名法》,新加坡和韓國1999年就已完成了立法,香港和日本也早已制定了專門法規。網上資金轉賬只要有一個環節出現錯誤,資金就不能正常支付,就會發生法律方面的糾紛,所以必須由相關的法律來進行調節。

2.2網上銀行安全問題亟待解決 。通過互聯網進行交易,相關信息的保密性、真實性、完整性和不可否認性是最關鍵的因素。在我國尚沒有法規來對付這些沒有造成危害或危害較輕的網絡犯罪的時候,如何確保交易安全,為個人保密,就成為網上銀行發展最需解決的問題。目前各家商業銀行雖然都采取了一定的安全防范措施、制定了相應規定,但是在執行上卻存在種種安全問題,具體表現在以下幾方面:

2.2.1網上銀行認證手段缺陷,容易造成密碼泄漏。目前大多數網上銀行采取的是“ID和密碼”這一傳統認證手段有可能被盜取密碼。因為登錄認證檢測有可能會成為作案者校驗并竊取密碼的機會。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網上銀行使用中一個非常重要的安全隱患。這樣一來,就存在有人進行非法資金轉移的可能性。

2.2.2交易信息在商家與銀行之間傳遞因互聯網的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當事人僅僅通過或聯網交流時,要建立交易雙方的信用機制和安全感是非常困難的。資金在網上劃撥,安全性是最大問題,發展網上銀行業務,大量經濟信息在網上傳遞。而在以網上支付為核心的網絡銀行,電子商務最核心的部分包括CA認證在內的電子支付流程。就是說國內目前的網絡銀行還不能算真正的網絡銀行,只有真正建立起國家金融權威認證中心(CA)系統,才能為網上支付提供法律保障。

2.2.3交易信息在消費者與銀行之間傳遞的安全性:銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。

2.3監管意識和現有監管方式的滯后問題 。我國的網上銀行是在相關法規幾乎空白的情況下,迅速出現并不斷演進的,監管面對快速變化的情況在很多方面是滯后的。中央銀行對商業銀行現有的監管,主要針對傳統銀行,重點是通過對銀行機構網點指標增減、業務憑證、報表的檢查稽核等方式實施。而在網上銀行時代,帳務收支的無紙化、處理過程的抽象化、機構網點的虛擬化、業務內容的大幅增加,均使現有的監管方式在效率、質量、輻射等方面大打折扣,監管信息的真實性、全面性及權威性面臨嚴竣的挑戰,對基于互聯網的銀行服務業務監管將出現重大變化。

3 解決存在問題的對策和建議

3.1加強宣傳、進行客戶教育和信用體系的建立完善。加大宣傳力度,使有條件的客戶了解并開始使用網上銀行,引導客戶對網上銀行的認識。據業內分析,實體銀行網點每筆交易的費用為1.07元,電話銀行為0.45元,ATM自助銀行為0.27元,而網上銀行成本僅為0.01元,相對于實體銀行、電話銀行、手機銀行而言,網上銀行成本低廉,交易便捷,很顯然,網銀業務有足夠的優勢。同時對客戶進行安全性教育,逐步消除客戶疑慮,在客戶的使用中加強服務指導,從而使客戶接受并習慣性的使用網上銀行。目前人民銀行信用體系正在逐步建立和完善中,社會的其他領域信息庫也在建立和完善之中,2000年6月29日中國金融認證中心進行了掛牌和開通儀式,這為建立規范統一、布局合理的全國安全認證體系打下了良好的基礎。中國金融認證中心專門負責為金融業的各種認證需要提供證書服務,包括電子商務、網上銀行、支付系統和管理信息系統等為參與網上交易的各方提供安全交易基礎和建立彼此信任的機制。隨著信用體系的完善,社會信用環境的改善,網上銀行的方便、快捷、低成本、無空間時間限制的優勢,將會促使其快速的發展。

3.2加快相關的法律建設。目前網上銀行采用的規范都是協議,與客戶在明確權利與義務關系的基礎上簽定合同,出現問題則通過仲裁解決。但由于缺乏相關的法律,問題出現后涉及的責任認定、承擔、仲裁結果的執行等復雜的法律關系是現在難以解決的。網上銀行法的發展是和一系列相關的法律規范相聯系的,主要有稅收征管法、合同法、、電子商務立法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等。上述法律規范對于我國傳統商業銀行發展起到了較好的規范作用,但面對網上銀行新興業務的發展,則相形見絀,難以起到良好的規范作用,如稅收征管法中對于電子商務的規定幾近于零,特別是這種網上支付方式對稅收問題沒有做出較好的規范,因而必須做好法律的修改、完善工作;新的《合同法》中雖然承認了電子合同的法律效應,卻沒有解決數字簽名的問題;國際稅收、電子商務等方面的立法顯得滯后,不利于其支持系統之網上銀行業發展,因而需要做大量的立法工作;洗錢犯罪在網上銀行業務中發生頻率較高,這方面必須做完善的規范,才能使網上銀行法律起到真正的規范作用;訴訟法中有關證據的標準等現行規定對于網上銀行糾紛取證極為困難,不利于其發展,我們必須采取措施使之適應其發展趨勢等。

3.3加強網上銀行安全防范措施。安全地使用網銀業務,已逐漸成為廣大客戶關注的焦點??蛻舫诵枰私猱a品功能,使用網上銀行業務外,還需要不斷加強自我保護,提高安全防范意識,采取必需的手段與保障措施防止資金損失。

3.3.1盡快提高網銀業務的安全性認識。銀行在大力推廣應用網銀業務的同時,不能忽視安全性問題,從領導到員工都要高度認識這個問題,既要同客戶講明利害性關系,做好安全防范工作,把網銀的安全性問題作為防范金融風險的一道重要環節來抓,做到思想認識統一,組織技術落實,資金投入到位,從而確保網銀業務的順利發展。

3.3.2加強網銀業務的技術防范。做好網銀業務的技術防范工作是確保網銀業務發展的前提:①銀行業要盡快培養網上銀行的技術人才,以適應網上銀行發展的形勢。②盡快出臺一套網上銀行技術防范制度,采取強有力的措施,以確保網上銀行的安全性。③以新規和數字證書為網銀護航。銀監會已經制定了《電子銀行業務管理辦法(征求意見稿)》和《電子銀行安全評估指引(征求意見稿)》。二項管理辦法中,分別對電子銀行業務的申請與變更、風險管理、數據交換轉移管理、業務外包管理、跨境業務活動管理、電子銀行業務的監督核查、法律責任以及電子銀行安全評估機構,安全評估的實施,安全評估活動的管理等方面作出了規定。同時由中國金融認證中心為各行提供的數字證書為網銀安全提供了技術保障。

3.3.3做好網上銀行安全防范工作。在日常網上銀行應用中,用戶要養成良好的習慣,堅持做到“三要”,即①保管好卡號、密碼和客戶證書。②安裝正規軟件公司的殺毒軟件,及時升級病毒碼,定期對系統進行檢測,為網上銀行的使用創造一個良好的環境。③注意網上銀行使用中系統的提示。

同時要做好“三不要”,即:①不要在公共場所(如網吧)使用網上銀行,因為您無法知道這些計算機是否裝有惡意的監測程序。②不要隨意關閉窗口畫面,使用完畢后需正確退出網上銀行,應按網上銀行操作頁面上的“退出”按鈕正常退出系統,不要在未退出網上銀行服務前離開計算機。③不要使用計算機自動記憶功能。

3.3.4加強央行信息監管。隨著安全技術和認證機制的廣泛應用,互聯網金融服務的發展無疑給中央銀行監管和金融立法帶來了新的課題。老的監管方式和程序已很難再適用于新型的金融業務,現行的金融立法也阻礙或限制著新型業務的發展。金融監管部門和國家有關部門應盡快制定有關網上銀行和電子商務的基本法律法規,明確監管規則和指導規范,主要包括:網上銀行和電子商務網站的安全標準;完善現行法律,補充適用于網上銀行業務的相關條文;建立網上銀行和電子商務網站的準入制度,在安全措施的到位上要從嚴把關。

網上銀行作為銀行業的生存與發展問題,必將成為二十一世紀商業銀行競爭的新焦點。隨著我國加入WTO之后,為迎接全球經濟一休化的挑戰,我國的網絡銀行建設步伐必將加快,以滿足電子商務的發展需要。同時應該加快我國金融安全保障體系的建立,加強金融系統的風險防范機制,使我國網上銀行發展的進程,在新世紀網絡經濟的浪潮中立于不敗之地。

參考文獻

[1]周平, 2006:《網上銀行》,中國財經出版社。

[2]陳靜,劉永春,2005:《網上銀行-技術風險及其管理》,人民出版社。

[3]楊向東,1999:《試論網絡銀行發展制約因素》,中國金融電腦。

[4]吳春芳,丁加華,2001:《我國網上交易發展尚待時日》,現代金融。

篇9

【關鍵詞】網上銀行 風險管理 防范

一、引言

網上銀行不是儲蓄所和營業室這樣的實體機構,而且是一種全新的金融服務模式,即無論何時(Anytime)、何地(Anywhere)、以何種方式(Anyhow)都能為有需求的客戶提供個性化的金融服務。由于其具有運營管理成本低、效率高的特點,并且能夠更加便捷的滿足各類不同用戶的不同需求,因此在銀行業中所占的業務份額必將越來越重,成為銀行業未來發展的方向。然而伴隨著網銀業務的發展,以及客戶的增多,網上銀行自身存在的各種缺陷也在逐步暴露,現如今網絡安全隱患日益顯現,不斷曝出各類問題。如何加強網上銀行的風險管理,采取有效的安全措施,已經成為在當今金融全球化的背景下具有現實意義的研究課題。

二、網上銀行存在的風險分析

隨著網上銀行業務量的迅速增長,特別是網上銀行業務在整個銀行業務中所占比重的成倍加大,這一新型電子化金融服務模式所處的地位越來越重要,但隨之而來的網上銀行的風險管理問題日益顯現出來。所謂網上銀行風險,是指可能會對銀行收益或資本產生不良影響的一些能夠預見的或未能預見的事件,主要是指會對銀行的資本、收益、信譽、業務操作、系統安全等產生負面影響的預期或不可預期的潛在事項。

三、網上銀行風險管理的優化改進措施

網上銀行的風險管理就是通過風險分析、風險預測、風險控制等方法,預防、避免、排除或者轉移經營中的風險。網上銀行面臨的風險又有其特殊性,更要加強風險研究、防范和管控,具體來說,需要著重從以下幾個方面進行優化和改進:

(一)提高網上銀行技術安全

建立一個有足夠安全的網上銀行安全系統,從而盡可能的杜絕各種安全隱患。這就必須研究硬件設施安全技術、身份認證技術、防火墻技術、密碼技術以及風險預警技術等。值得注意的是,網上銀行的安全性管理是一項復雜而又有其特殊性的任務,只有不斷升級網絡安全保障系統,才能有效防范面臨的各種風險。

(二)建立網上銀行安全評估體系

中國銀監會《電子銀行安全評估指引》(2006年3月)中指出,網上銀行安全評估體系是金融機構在開展網上銀行業務過程中,對網上銀行的安全策略、內控制度、風險管理、系統安全、客戶保護等方面進行的安全測試和管控能力的考察與評價。它應真實、全面的評價網上銀行系統的安全性。所以,網上銀行安全評估體系至少應包括以下內容:(1)安全策略;(2)內控制度建設;(3)風險管理狀況;(4)系統安全性;(5)網上銀行業務運行連續性計劃;(6)網上銀行業務運行應急計劃;(7)網上銀行風險預警體系;(8)其他重要安全環節和機制的管理。在評估報告的結論中,評估機構應采用量化的辦法表明被評估機構網上銀行的風險等級,說明被評估機構網上銀行安全管理中存在的主要問題與隱患,并提出整改建議。

(三)增加客戶安全意識

由于網上銀行是以網絡為媒介的方式向客戶提供服務,所以保證網上銀行運營安全的首要問題,就是進行對客戶身份的認證。如何確??蛻羯矸菡鎸嵖煽?,如何加強對客戶的信息管理,如何提高其風險意識等方面的規章制度建設,是網上銀行目前應當注重。對此,筆者認為:一是要求網上銀行對客戶僅通過網絡開立賬戶的行為,設置嚴格的開立程序,并且對客戶的可疑活動及時通報。二是要求網上銀行對消費者進行教育。如:在網站上提供相關鏈接演示網上銀行的業務流程、風險教育動畫等,或是允許客戶對在線銀行的執照和存款保險進行查證。三是銀行要在其網頁的醒目位置提供完備的安全防范手冊,對客戶安全使用網上銀行進行教育。

(四)完善銀行內部控制制度

完善銀行內部管控是對銀行操作風險的重要防范措施,因此針對網上銀行,也需要建立起一套完整的內部控制機制。首先,樹立銀行各級管理者、銀行全體員工的風險防范和管理意識,具備預見和操作風險的能力,能夠將現實的風險轉向潛在的風險,將風險的事后處置轉向風險的前期控制。其次,通過建立獨立于銀行業務部門的網上銀行操作風險管理委員會和風險管理經理制度,集中管理網上銀行的操作風險。再次,要建立業務操作管理制度和權限制約原則,并采取逐級管理原則;要明確規定系統操作人員的工作過程和權限,每一步操作業務人員和技術人員必須分離,每個級別人員都要受權限控制。最后,審計部門要加強科技力量,改進內部檢查手段,增加內審的頻率和深度,對操作風險管理工作實施內部實時審計,防范風險。

(五)加強網上銀行人才知識儲備

網上銀行是技術的產物,建立完善的科技、人才培養機制則是發展網上銀行的必要保證。因此,一是要引進專門的網絡技術人才,為網上銀行提供專門的技術保障;二是要通過舉辦專門的技術講座,以培養一批既掌握計算機技術、網絡技術、通信技術,又掌握金融業務實務和金融業務管理知識的復合型高級技術人員和管理人才。除此之外,還要專門培訓員工如何正確操作網上銀行,使之對客戶進行教授演示,教會他們如何使用銀行的設備,并通過培訓向客戶披露有關的信息,以減少相應的法律風險。

四、結論

網上銀行必將成為是銀行業未來發展方向,但網上銀行的風險問題所導致的損失也是非常巨大的,銀行在開展網上銀行業務的同時,要加強網上銀行的風險管理,認真分析研究網上銀行的特點屬性,借鑒國內外先進的風險技術和管理經驗,探索有效的網上銀行風險評估體系和風險管理模式。

本文通過對網上銀行風險管理現狀進行分析研究,有針對性提出一些優化措施和改進意見,但是受理論水平和工作實踐的限制,還有許多的不足之處,希望在今后的學習研究中進一步的完善和總結。

參考文獻

[1]章杰文.我國網上銀行業務風險及監管研究[D].首都經濟貿易大學.2011.

篇10

【關鍵詞】網上銀行 便捷 必要性 安全意識

一、中職學生學習網上銀行結算的必要性

網上銀行的基本功能和服務項目在不斷增加,客戶群體也在不斷擴大,網上銀行的交易方式已被人們高度認可。中職學生加強學習網上銀行的結算流程和方法勢在必行。

(一)網上銀行是工作和生活中不可或缺的金融工具

隨著電腦與網絡的普及應用,各大銀行都在積極推廣網上銀行以及手機銀行等電子銀行服務業務。曾經柜臺票據式的結算方式,逐漸趨向于無紙化,更便捷的網上銀行結算。自1996年2月,中國銀行在互聯網上建立和了自己的主頁,成為我國第一家在互聯網上信息的銀行。到2013年,網上銀行客戶數達到了6.5億,占有巨大的市場份額。網上銀行不但有效分流大眾客戶,降低柜臺壓力,提高工作效率,而且大幅度降低了交易成本,給客戶提供了便捷,可以隨時通過電腦、手機等數字終端設備,隨時登錄Internet享受網上銀行服務。已被更多的企業和個人認可和使用,是工作與生活不可或缺的金融工具。

(二)要么學習,要么出局

從兩方面講:

(1)外部環境:當前和未來的社會形勢是:要么學習,要么出局。同時職業教育承載著培養大量具有實際操作能力的生產、服務、經營、管理等第一線技能型人才的重任。

(2)內部需求:學習是人生發展的基礎,知識是創造金錢的能源。作為中職學生,要想在眾多競爭對手中脫穎而出,就要努力學習,充實自己,推陳出新。目前網上銀行的應用已經成為一種新的金融交易平臺,他的好處獲得了很高的社會共識。因此掌握網銀結算的操作不但適應社會的需求,同時也能給自己的生活帶來便利。

二、目前網上銀行結算業務在課堂教育中面臨的問題

中職學生在讀期間會學習到銀行結算業務,而網上銀行結算是屬于多種銀行結算業務的其中一種,教師會選擇常用的來重點講解,并讓學生動手操作實踐。這些重點中不包括網上銀行。原因有以下幾點:

(1)每個銀行的操作方法略有區別,授課老師沒有標準。例如:中國銀行、建設銀行等在首次使用網上銀行時需要下載安全控件;而農業銀行、招商銀行則不用。在服務項目上有差別,工商銀行易用性較強,操作界面和導航允許用戶自己定制;農業銀行在申請網上銀行服務是要收取手續費;交通銀行各項服務功能的操作頁面缺少足夠的提示等。

(2)不易講授。如果用一個企業的網上銀行案例給學生講解,會涉及網絡安全對企業的影響,同時對企業信息安全存在隱患。若不使用案例教學法,單憑教師口頭描述既不形象又不具體,是不能讓學生完全理解和學會的。

(3)學生對網上銀行的安全存在疑慮。有的學生從一些信息渠道聽到或間接看到由于網絡的不安全,導致極少數人群的利益受到了損害。因此從心理上排斥這些知識,從而缺乏學習的主動性。

三、解決措施

(1)給學生講解網上銀行及安全的相關知識,客觀的分析安全與不安全因素,排除學生對網上銀行安全的疑慮。同時解釋說明網銀的安全支付方式:其一有嚴格的崗位分設制度,不得一人完成網上銀行付款的全過程。其二應不定期的修改操作密碼。其三銀行預留印鑒章、網上銀行上網U盾以及支付密碼器應分別由銀行出納員和資金調度負責保管。其四網上銀行支付時由出納人員操作,再由資金調度復核一致后支付,并打印支付清單。

(2)可以應用工商銀行的企業模擬操作, 作為案例給學生講解,然后舉一反三用于其他銀行,經過反復推敲也能操作。

(3)通過親身體驗,親自動手,掌握網上銀行一部分功能的操作方法。讓學生申請個人網上銀行,體驗將自己生活費中的一百元錢,由網上銀行匯款給自己的父母,從中掌握轉賬匯款業務操作;可以從網上銀行給自己的手機充值,掌握代繳費的操作;還可以從網上購買東西,通過網上銀行支付款項,以此掌握網上支付的功能。

(4)普及安全知識,培養學生安全意識。從銀行角度出發,網銀服務平臺不斷改進、升級、更新,盡力保障客戶安全,而客戶自身對自己的電腦、網絡以及密碼要安全使用,別給他人留下可乘之機。第一設置與個人信息無相關的密碼,并嚴格保密;第二在首次成功使用網上銀行服務后,應及時銷毀相關密碼信封或其他有關密碼的通知;第三不得將密碼記錄在自動保留密碼的任何軟件上;第四下載并安裝由銀行提供的用于保護客戶端安全的控件,定期下載安裝最新的操作系統和瀏覽器安全程序或補丁,安裝防火墻,安裝并及時更新殺毒軟件等。

知識經濟的時代需要知識來適應,潛能的發揮需要學習和訓練。作為職業院校的學生,必須加強各種技能的學習與實踐,才更容易受到企業的青睞。

參考資料:

[1]劉芳,胡蔚玲.出納業務核算[J].文教資料,2013,(2).