网上银行安全性(精选十篇)
网上银行安全性 篇1
国际互联网(Internet)在世界范围的飞速发展对社会各方面产生了巨大而深远的影响,并正在从根本上改变着人类的生活方式,应运而生的网上银行,充分利用了信息产业日新月异的科技成果,给银行业注入了新的活力,代表着未来银行的发展方向。
网上银行与传统银行不同就在于其是开放性的支付系统,而开放性的支付系统在为银行带来方便和快捷的同时,也带来了新的安全问题。巴塞尔委员会电子银行小组的调查表明,安全风险是网上银行中最受关注的风险。如何保证系统的安全性,成为网上银行系统建设的重要内容。
1 网上银行系统安全现状
据中国互联网信息中心(CNNIC)近日发布的数据显示,截至2012年6月底,国内网上银行用户规模为1.91亿,增速达到14.8%。互联网的高速发展不仅给包括银行在内的金融企业带来巨大机遇,同时也让传统银行面临挑战,因为银行正越来越“虚拟”。目前网上银行安全事故频繁发生,对网上银行安全性的担忧一直是广大网民不敢或不愿尝试使用网上银行的最主要原因。据CNNIC相关调查报告显示,不愿选择网上银行的客户中有76%是出于安全考虑。目前虽然采用了一定的安全措施,但仍存在一些安全隐患。据OWASP(Open Web Application Security Project,发布网络攻击组织)调查,应用系统遭受攻击主要源自以下几个方面:应用软件、操作系统、硬件设备等,具体如表1所示。
黑客通常利用注入用户电脑中的木马程序获取网上银行用户的账号和密码,“钓鱼网站”也是网上银行一个非常大的安全隐患。目前我国“假银行”欺诈短信的单月用户举报量已超过6千条,其中35%的短信中内嵌钓鱼网站链接,据中国互联网信息举报中心监测数据显示,假冒中国银行网站的钓鱼网站数量已多达近70个,欺骗性极强,而且均为在境外网站注册的免费域名,国内目前无法对此实施有效管理。除此之外,对网银系统威胁较大的手段还有:服务器攻击、键盘记录、嵌入浏览器恶意代码、屏幕录像、窃取数字证书文件、伪装窗口等。
网上银行安全隐患还表现在系统架构设计不合理、操作系统存在漏洞、安全设备不完善等方面。虽然这是些小概率事件,但是一次这样的风险事件就足以挑战公众的信任。所以,随着网上银行的普及,网上银行的安全性成为整个系统中最为至关重要的部分了。
2 网上银行系统安全措施
网上银行系统的安全性极为重要,如何确保其安全关系到系统的建设成败。网上银行系统安全手段是全方位、多层次的,可从系统层、应用层和管理层三个方面来提高系统安全性,如图1所示。
2.1 系统层安全
2.1.1 系统架构安全
根据不同的安全级别,应对网上银行系统架构划分安全区域,如图2所示,将系统划分为互联网(INTERNET)区、停火(DMZ)区、应用(APP)区和办公(OFFICE)区。并在各安全区域之间部署异构防火墙,在各安全区域内部部署安全防护设备,如安全网关、漏洞扫描、抗DDoS攻击设备、入侵检测设备IDS、入侵防御设备IPS等,从而有效控制非法用户入侵、防范恶意攻击,对应用系统进行全面安全防护。
2.1.2 数据安全
(1)数据传输安全:数据传输时,可利用SSL协议,通过安全网关设备(部署在DMZ区)在服务器端与客户端建立安全通道,以保证数据在公网传输的机密性;同时在系统内部可通过加密机对待传输数据加密保证数据在内网传输的安全。
(2)数据存储安全:制订并严格执行科学合理的数据备份机制、数据访问机制和灾难恢复计划,以保证业务连续性。
2.2 应用层安全
(1)安全输入控件:在使用电脑键盘输入时能有效防范键盘窃听敏感信息,在使用软键盘输入时能对整体键盘布局进行随机干扰并有效防范屏幕录像,有效保护客户交易密码的安全。
(2)图形认证码:能有效避免对网上银行客户的恶意重复攻击。
(3)数字证书:对客户提交的交易信息进行数字签名,从而确保交易信息的不可否认性和完整性。
(4)服务器站点证书:帮助用户更直观的判断网站的真实性,有效避免假冒网站和钓鱼网站给客户带来的风险,同时还可保证信息传输的机密性。
(5)安全控制机制:不同的控制机制如权限控制、限额控制、复核机制、授权机制、防重发机制可确保系统使用安全。
2.3 管理层安全
(1)加强内部管理,切实做好系统运行监测、维护和入侵检测,及时发现和处理潜在风险,避免系统中断运行;做好备份和灾难恢复,建设异地备份数据处理中心,确保核心数据安全。
(2)定期进行安全评估,根据《电子银行安全评估指引》等相关规定(至少每两年对电子银行进行一次全面的安全评估),定期组织网上银行系统的安全测试、渗透性测试和外部安全评估工作。
(3)强化宣传教育,提高网上支付客户自身安全意识及安全水平,增强操作安全性。
3 结论
本文通过对网上银行系统安全性的分析,给出多种安全措施。综合使用各种安全技术,可有效确保网上银行系统的安全,从而为客户提供安全、快捷的银行服务。
参考文献
[1]中国互联网信息中心(CNNIC)第三十次中国互联网络发展状况统计报告.2010.
[2]陈艳.网上银行的安全运行问题及其对策[J].经济与社会发展.2010.
招商银行网上银行安全性分析 2 篇2
安全性风险:比如不完善的访问控制使得黑客可以通过互联网成功地攻击银行的系统,从而可以访问、获取和使用机密的信息。 系统设计、实施和维护方面的风险:比如设计、实施的联完善,对外部服务提供商的依赖。
客户误操作风险:如果银行没能就安全预防问题向客户进行足够的宣传教育,这种风险就会增加。
银行内部组织与管理风险
网上银行业务改变了银行传统的业务模式,银行必须对内部组织和管理方式进行变革,这给银行造成了很大的操作风险。
3.1.2 战略风险
如果银行业务的决策和实施与该银行的总体业务目标不一致,这将给银行造成战略风险。
3.1.3信誉风险
比如公众对网上银行运行情况产生负面的印象而损坏了银行与客户之间的关系,网上银行系统的安全性出现问题而损害了客户对银行的信心,客户在网上银行服务中碰到了问题而银行没能给出恰当的问题解决程序,第三方欺诈,等等。
3.1.4法律风险
网上银行 安全堪忧 篇3
近一两年来,各大商业银行网站被黑,网上银行账户资金被盗的事件时有发生。
2004年12月,中国银行的网站被黑客假冒,内蒙古呼和浩特市一市民因为登录了该网站而被盗窃2.5万元; 2006年2月,四名黑客利用“木马”程序,盗取南宁市市民陆某的网银账户及密码,并通过网上银行将陆某的21400元存款全部转出。
尽管各大银行针对各种账户诈骗、窃取事件做出了回应,但是网银风波并没有因此而终止。2006年5月,一位用户的3120元存款10分钟内被黑客连转三账户,另一用户的网银账户在5月份从月初到近月末,每天转出200元,被盗金额达5000多元。这些网银账户密码被盗、存款失窃的事件备受业界关注,社会各界视线再次聚焦到网银的安全问题上。
为了发泄对中国工商银行(以下简称“工行”)的不满,一位姓丁的受害者在网站上发起组建了“受害者联盟QQ群”、“维权联盟”,并在网站上建立Blog召唤有着相同遭遇的人。在域名为www.ak.cn的“工行网银受害者集体维权联盟”网站上,已有将近200多人使用真实姓名签名,并留下了联系地址和失窃金额。而根据他们的一些聊天记录可以发现,很多“失窃网民”把网银密码被盗、存款失窃的原因归于银行保护不力,指责工行“店大欺客”、以“霸王条款”来搪塞和推卸责任。
而银行方面则认为,网上银行密码的失窃,很多是因为用户对电脑的保护不周,被置入木马后遭窃,银行在应对正确用户名和正确密码时,不存在过错。
安全隐患在何处
工行是国内网银用户最多的一家银行,也是因安全问题遭到网银用户投诉最多的银行,身为工行电子银行部的负责人之一,电子银行部总经理王刚最近的大部分时间放在了处理各种用户申诉的案件上。
据王刚介绍,前段时间曝光的工行网银投诉事件,大多由工行的网站被黑客假冒引起。当时很多网银用户收到了一封貌似来自工行的邮件,一旦用户点击邮件正文中的超链接,就会打开一个仿冒工行的页面,使用户认为已经进入了工行的真正网站,如果用户在钓鱼网站上输入个人信息,不法分子便会利用电子邮件自动发送到事先设定好的邮箱,窃取用户的财务数据。据统计,在所有接触诈骗信息的用户中,有多达5%的人对这些骗局做出了回应。
在过去的几年时间里,工行的网站曾遭遇过“网银大盗”多次不同程度的攻击,受害者不在少数。而且其他诸如中国银行、中国农业银行、招商银行等银行网站也遭遇过类似攻击。
中国已成为黑客攻击的主要目标之一,来自国际反网络诈骗组织的报告显示,中国已成为仅次于美国的世界上第二多拥有仿冒域名及假冒网站数量的国家,占全球域名仿冒总量的12%,与此同时,各类假冒网站、邮件恶意欺骗事件也直线飙升。
“当前的网络环境还不够安全。”在谈及网银是否安全时,王刚的解释是,根本原因在于互联网通信协议、网络架构等基础层面存在较大的安全缺陷。
在王刚看来,网络之所以不安全,是因为在实体社会中,有相对完善的法律法规,人与人能见面,彼此有荣誉感和羞耻感,有道德的约束,但在网络环境里这些因素并不完善甚至不具备。如果把黑客和网银比作攻守双方,它们之间的力量对比一直就是“道高一尺魔高一丈”的非平衡博弈状态。
“除了互联网,网银的不安全还在于中国现阶段的金融基础环境比较差。”中国建设银行电子银行部副总经理马春峰表示,中国网银进入门槛低,是导致各种网银安全事件的重要原因,“在国外,银行对网银账户申请审批特别严格,各种审查信息也很全面,进入门槛非常高,而国内银行在这一方面的规定却比较宽松,账户申请特别是个人用户账户申请非常容易。”
一些专家分析,网上银行的不安全因素主要来自网银系统本身和网银客户端两方面。
王刚则认为,网银系统基本上不会有问题,因为银行在这方面都有严格的安全措施和防范手段。“从目前抓到的一些案犯和媒体披露的情况来看,都是案犯利用客户的身份进入工行网银系统作案的。”他说,这表明网银用户端是存在不安全因素的重点。据公安部门统计,个人用户计算机端有近70%是不安全的。“现在的个人客户端使用的操作系统几乎都是基于微软的Windows系统,而微软操作系统的最大问题是‘易攻难守’,因为它有很多的漏洞给黑客软件、木马软件攻击提供了便利,要防护好非常困难。”一位专家说。
网银领域分析专家、中科院教授吕本富认为,用户端安全风险主要来自以下几类。第一类是假银行网站欺诈,即钓鱼网站。这类假银行网站域名与真银行网站非常相似,网民一旦进入假网站,输入卡号和密码,钱就会被不法分子通过转账等方式划走。第二类是通过窃取密码进行欺诈。这类欺诈方式有多种,例如通过在用户电脑上置入木马程序,盗取用户的账号和密码,然后划走网银用户的资金; 或者用户在公共网吧等地方上网以后,没有及时退出银行网页界面就离开自己的电脑,被黑客窃走资金。第三类来自于业务层面。问题可发生在电子购物过程中,因为电子购物有很多环节,这有可能导致网银安全漏洞的出现。
在2005年的一次安全会议上,一位业内人士在谈及网银安全问题时表示: 超过70%以上的黑客攻击针对银行用户,而其中网页假冒的攻击数量更是以不到三个月就翻一番的速度在增加。
尽管网银的不安全因素主要存在于客户端,但多数民众认为,既然银行提供网银业务,就应该对安全保障问题负责。
数字证书确保网银安全?
随着黑客、病毒攻击的增加,银行已经意识到网银安全问题的严重性,并采取了应对措施。
“我们有两种安全模式可供客户选择。”据王刚介绍,工行的两种安全模式数字证书,分别是U盾和动态口令卡。安全级别最高的U盾数字证书就下载在U盾的智能卡里面,是病毒无法攻破的“黑管”,它是网银的物理“身份证”和“安全钥匙”,所有涉及资金对外转移的网银操作,都必须使用U盾才能完成。而新推出的动态口令卡,和U盾客户相比,虽然有一定的交易额度和功能限制,但购买价格远比U盾低,且使用方便,安全性能也有保证。
不过,王刚提醒说,动态口令卡的动态密码还有有待完善之处: 虽然每次需要输入的字符串都不同,但如果被人将密码卡复印或抄写下来,那么动态密码的保护作用就可能被攻破。
据了解,已经有些银行推出了更为先进的动态密码方案,如汇丰银行和恒生银行。这两大银行的所有用户会免费获得一个可挂在钥匙圈上的电子密码生成器,每按1次,就自动生成1个6位数密码,每个密码都不同且有一定规律,但这一规律仅由银行掌握。使用网络银行时,用户除了要输入自己设定的密码外,还需要输入这个6位数密码,由于每次使用的动态密码是新生成的,因此既不需要更换密码卡,也不存在密码卡被复制的可能。
与工行不同的是,其他银行提供的安全数字证书既可下载到客户端主机硬盘(软证书)单独使用,又可与USB Key载体绑在一块(硬证书)应用。目前,中国建设银行为客户提供的安全工具有数字证书、USB Key用户证书载体两种方式。
专家认为,使用数字证书能最大程度地提高网上交易的安全系数,到目前还不存在黑客攻破数字证书的先例。“技术上黑客利用木马是攻击不到的,因为它藏在IE的某个位置,木马是无法找到的,编程也是没法找到的,至少目前是这样。”中国建设银行电子银行部产品管理处经理寇冠表示。
虽然数字证书具有很难被黑客攻破的优点,但使用数字证书进行网上交易的用户还是不多,例如在工行2000万网银用户中,只有88万用户使用数字证书。
为什么使用证书的用户数如此之少?业内人士认为,首先,数字证书也存在漏洞,如果把USB Key证书载体长期插在电脑上不退出,就有失控的可能,比如用户在做一件交易还没来得及签名时,黑客会抢先签名,就是用户的账号和密码都输入后,黑客抢先在他的前面把名签了,从而盗走资金。“当然,这只是理论上的分析,实际的作案方式可操作性非常差。”网银安全专家、中国金融认证中心(CFCA)技术顾问关振胜表示。
其次,如果数字证书、证书密码、账号、登录密码和支付密码所有这些安全措施被同一个人窃取,也会存在安全风险。
最后是数字证书在使用上的一些技术性障碍,因为现在的数字证书跟应用环境有很大的关系,用户在使用的时候需要下载自行保管,而且也有各种各样的问题,当用户重装了系统,这个证书可能就不好用。此外,硬证书还存在安装驱动的问题,但是这个驱动在有些系统环境下可能无法运行。
正是基于对数字证书安全的顾虑、使用上的不便,网银用户不太愿意采纳数字证书,更何况还需要花60~70元不等的使用成本。
如何在便利与安全之间寻求到平衡,建设银行的做法是实行差别化服务。“大众版以方便为主,只提供查询、交费和小额支付,而大额转账以安全为主,实行更高级别的安全认证。”马春峰说。
为了降低大众版网银功能的安全风险,工行目前将大众版网银对外支付额度限制在300元以内,并取消了新的大众版用户的申请,目的是鼓励大家使用数字证书或者电子口令卡。招商银行日前也取消了大众版的使用,要求用户使用数字证书进行网上支付和转账。
就目前的情况来说,“想要银行拿出一个成熟的方案来使用户感觉到既方便又安全,是比较困难的。”但作为银行来讲,在保证安全的前提下,还应当考虑网银使用的易用性和可靠性。
技术之外的问题
虽然银行都建立有相对完善的安全认证手段,但并没有获得用户足够的认同。
在一些维权网站上,很少有网银受害者承认遭遇黑客攻击有自己的过失,而是直接把原因归罪于银行,称银行未经本人授权就支付或转账资金,银行应该承担责任、赔偿损失,而对于银行推出的数字证书,则认为是银行在强行高价搭售。
“网银的问题不再是一个技术问题,而是一个社会责任问题。”吕本富教授的看法是,用户之所以对数字证书的使用没有热情,关键在于银行的宣传不得力,银行必须设法提高用户的安全意识。
通过宣传,使大家建立一个规范,明确规定哪些是用户必须要注意的事,哪些是银行要介入的事。“在规范建立之前,用户肯定会把责任推给银行,这没什么可说的。”他说。
在吕本富看来,纯粹是由于黑客病毒等技术带来的网银风险比例不会超过10%,而大部分风险来自于用户的安全防范意识不强,如果银行对用户的安全意识教育做得好,估计可以降低70%的风险。
马春峰告诉记者,中国建设银行在网银安全问题上除了加强系统的技术防范和监测、制定完整的业务规则、提供如短信服务的安全辅助手段以外,重点放在对用户的宣传教育,包括金融安全知识的普及教育,安全方面应该注意哪些问题等。
尽管如此,网银的安全态势并无很大的改观。接受采访的几位专家分析认为,首要原因在于银行的战略理念有问题。“普通老百姓之所以害怕网上银行,不愿意用数字证书,就是因为各银行早期推出的大众版(普通版)网银产生了安全担忧的误导,这是银行的策略性失误。”CFCA技术顾问关振胜说,银行应该像军事家一样站在战略高度来看待网银的安全问题,其实用户是很愿意接受数字证书的,只要合理,用户花钱买也是认可的。
记者了解到,在网银是否安全这个问题上,不仅普通老百姓不清楚,就连一些地方银行的行长们都讲不明白,这种情况下,普通老百姓担心网银不安全也就在情理之中了。吕本富的观点是,关键在于银行能否选择合适的用户群来推广数字证书,让这个客户群来带动社会其他人群。“银行必须像企业推销MP3一样,针对白领、大学生等年青人群去推广,因为这批人时间紧张,比较喜欢银行的这种服务。”吕本富建议。
其次,网银安全与我国电子支付市场的成熟度,以及人们在这一过程中的认知程度也有很大的关系。一位网银厂商的专家认为,目前的这个市场还处在发展时期,人们对它的认识程度都处在一个发展的过程中,就像短信,它在给人们带来极大方便的同时,也会产生类似于短信欺诈那样的负面效果,但是我们不能因此否定它的价值。
高校财务网上银行业务的安全性分析 篇4
如何通过开通网上银行业务以提高服务能力得到了越来越多高校的关注, 并且很多高校已经开始使用了网上银行。以缴纳学费为例, 对部分教育部直属高校进行调研, 已有将近30所学校开通了网上缴纳学费业务。日常核算中的转账、电汇业务也可通过网银进行支付, 且在高校中开展的更加广泛。通过电话问询的方式对61所教育部直属高校进行了咨询, 其中已有42所高校开通了此项业务 (其中部分高校使用的是更加高效、快捷的银校直连业务) , 占总数的68.85%。此外, 部分未开通网银业务的高校已有意向开通此项业务。
另外, 根据第三方支付平台支付宝在2014年发布的统计数据显示, 全国已有132所高校可以通过其完成学费缴纳、考试报名、重修费缴纳、一卡通充值等业务。随着互联网技术的进一步发展, 将会有更多的高校选择开通网上银行业务。随着高校内涵式发展的不断推进, 必然对财务的管理水平和服务能力提出更高的要求, 而网上银行业务的开通无疑将会对这两方面能力的提升起到十分积极的作用。
二、网上银行业务服务的优势
网上银行作为传统银行业务与信息化技术结合的产物, 对高校财务而言, 除具备传统金融服务的基本特性外, 还具有实体银行无法比拟的优势。
(一) 服务方便、快捷, 不受时间、空间限制
银行通过Internet向用户提供转账汇款、账户查询、银行对账、工资发放等服务, 高校财务人员可以足不出户的完成相关工作, 与实体银行不同, 不存在办公时间等因素的限制, 增加了财务工作的灵活性, 提升了财务的整体服务能力。例如, 在传统模式下, 在进行教职工工资和学生奖助学金的发放工作时, 需将发放数据送至银行进行代发, 如遇数据格式错误、人员信息不符等问题时, 要将信息修正后再送至银行发放, 推迟了发放的时间。而通过使用网上银行的代发业务, 在出现上述问题时, 财务人员能够在第一时间获得反馈信息并及时进行后续处理, 从而不影响工资、奖助学金的发放。
(二) 实现了无纸化交易, 提高工作效率
在开通网上银行业务后, 传统的转账、汇款等业务将不必单独打印票据, 只需统一打印对应的明细单, 进而减少了财务人员的工作量。因无需打印票据, 还可节省购买相关票据的费用。另外, 使用网上银行业务后, 当汇款单位信息有误而导致转账、汇款业务未能完成时, 财务人员能够及时、快捷的从系统中查询到相关信息并通知汇款人。在传统的模式下, 这些工作需在银行交换单据后方可进行, 费时费力。
(三) 简单易用, 便于科学化管理
网上银行能够为客户提供更加方便、专业的服务, 财务人员只需简单的操作即可完成如资金划转、查询、薪金代发、电子对账等业务。另外, 其强大的账单查询功能方便用户实时掌握高校资金使用情况;其角色和权限机制可进一步加强财务内部监控。
三、高校财务推行网上银行存在的风险分析
网上银行具有许多传统实体银行所不具备的优势, 加上各个银行的大力推广, 近些年来在我国发展十分迅猛。据中国银行业协会发布的《2014年度中国银行业服务改进情况报告》显示, 截止到2014年年末, 网上银行个人客户数达到9.09亿户, 交易笔数达608.46亿笔, 可见在我国网上银行用户数量已经达到了一定的规模。据CNNIC (中国互联网络信息中心) 的相关调查报告显示, 在不选择使用网上银行的客户中, 有八成人是出于对网银安全性的担心。
网银安全事故主要发生在交易环节, 按数据交互的流程可将网银交易分为三个部分, 即客户端、银行服务器端和数据传送部分。
在数据传送部分, 客户与银行服务器通讯采用基于SSL的安全传输协议, 因其采用128位数据加密, 可确保数据在通过Internet传输过程中不会被他人截取及窃听, 因此在数据传送部分能够确保网上银行交易的安全。截止目前, 尚未有该部分被骇客破解的报道。
在服务器端, 银行在物理容灾备份、网络防火墙使用、路由访问控制、系统防黑加固、应用层安全控制等方面都建立了比较完善的保障措施, 在理论上已经风险控制到了最低, 因此是比较安全的。
对网银安全事故进行分析可知, 大多数问题均发生在客户端部分。这是因为网银用户数量众多、分布广泛, 并且个体网络安全防护意识、计算机使用水平、计算机系统安全防护措施等方面差异较大, 目前尚无法建立一套适用性强、操作简单、成本低廉的网银客户端防护体系, 因此骇客主要针对部分未采取防护措施或不足的网银用户进行攻击, 造成一定的财产损失。
(一) 网站密码暴力破解
暴力破解是在获取到用户账号的情况下, 通过软件不断地将破解词典中的字符按照一定的规则排列组合后进行尝试, 直至找到正确的登录密码。该方法虽然在理论上可以破解任何密码, 但是由于现在的大部分网站已采取密码多次输入错误后禁止登录或者登录需输入验证码等方式, 该办法已很少使用。
(二) 键盘敲击记录
该方法通过向系统植入木马程序, 当用户登录网银时, 记录用户所有的键盘敲击内容, 从而获得用户的账号名、密码等相关信息, 造成财产损失。现在很多网站均采用虚拟键盘技术, 即在用户输入密码的过程中, 只需点击鼠标即可录入密码, 从而防范了风险。
(三) 屏幕快照
该方法与键盘敲击记录相似, 只是增加了屏幕录像功能。因此, 当用户登录带有虚拟键盘的银行网站时, 骇客依然可以通过记录鼠标的点击顺序, 获得客户的账户名及密码。
(四) 获取系统控制权
骇客通过流光、superscan等软件对计算机系统进行扫描, 在发现漏洞后, 远程进行攻击并获得电脑控制权。在获得电脑控制权后, 骇客很容易就可以获取用户的用户名、数字证书等相关信息。
(五) 钓鱼网站
钓鱼网站是犯罪分子建立的与银行官网十分相似的网站, 其一般包含恶意的代码。当用户误登录到此网站时, 因警惕性不高而按网站提示将重要的个人信息透露给了犯罪分子, 从而造成财产损失。
除了上述的风险外, 财务人员的人为风险也是需要引起我们关注的, 如存在工资发放金额填写错误、转账单位填选有误等情况。同传统的银行业务相比, 网上银行业务具有非常好的实时性, 即在高校财务人员提交业务申请后, 银行系统能够马上对此申请进行处理。虽然其良好的实时性能够提高工作效率, 但同时也加大了处理人为误操作的难度, 可能会造成一定的经济损失, 存在一定的财务风险。
四、防范高校财务网上银行业务风险采取措施
网上银行风险防范措施旨在保证用户信息不被篡改、泄露, 提供高效、便利、安全的网银服务, 其主要可分为技术保障和管理制度两部分。虽然网上银行业务存在一定的风险, 但只要做好相关的防范措施, 便可将风险降至最低, 确保资金使用的安全。
(一) 利用技术手段, 降低网银使用风险
1. 多方式进行身份识别, 保证交易安全
确保网银业务安全的核心工作是对进行交易的人员进行身份的核实, 以保证网银业务的真实、准确、合法。在第二部分介绍的屏幕快照、钓鱼网站等攻击手段便是通过获取用户的账户名、密码等相关信息, 进而通过银行系统的身份验证, 获得被盗用户的网银权限, 将资金转移到其账户, 造成财产损失。
为了防范骇客攻击所带来的风险, 近些年银行采取新的技术手段对网银用户的身份进行验证, 以保证网银资金的使用安全。
(1) 数字证书
数字证书是由第三方权威机构CA证书授权中心 (Certificate Authority) 签发的文件, 它主要包含公开密钥等信息, 是在网银交易中识别对方身份的一种标识。通过使用数字证书, 能够建立起一套严密的身份认证系统, 使银行能够确认客户的身份, 并且保证信息在双方传送过程中不被其它人窃取和篡改, 确保信息的安全。
(2) USB Key (U盾)
USB Key也称为U盾, 是一种具有USB接口的硬件设备, 外形与U盘十分相似, 内置微型智能卡处理器, 从外部无法读取内部保存的证书私钥数据, 从而保证了网上交易的安全性。USB Key的安全性极高, 但是使用也相对复杂, 在使用前, 需在系统中安装对应的驱动程序, 在使用时需将其插在电脑上方可进行某些特定的网银操作。另外, 第二代U盾均带有液晶显示屏, 可将网银的交易信息显示在屏幕上, 在确认交易金额、收款单位等信息无误后, 点击U盾的确认键方可完成交易, 这样的操作方式无疑将进一步加强资金的使用安全。
(3) 短信息动态口令
短信息动态口令是用户在进行网银交易时, 银行将验证信息以短信的方式发送用户预留的手机中, 只有正确的填写验证信息后, 才能完成交易。使用此方式进行验证十分简单、方便, 用户只需携带手机便可完成验证, 而不需购买或使用其他设备。另外, 通过短信息可传递更多的附加信息, 例如告知用户此条短信是对哪项操作进行验证, 从而降低安全风险。
对高校财务而言, 通过上述3种技术的混合使用, 可以大大加强网银业务的风险防范能力, 即使骇客攻占了系统, 获得了财务账户名和密码, 因无法使用U盾和短信息动态口令进行身份验证, 依旧无法进行网银交易, 从而保证了高校资金的安全。以转账业务为例, 当财务人员进行该项业务时, 首先需要登录网上银行系统进行第一步身份验证, 通过后方可进行后续操作。在登录成功后, 即使财务人员已确认转账金额与收款单位等信息无误, 亦不能将款项进行划转, 必须插上U盾, 再次对相关信息进行核对, 核实无误后, 点击U盾上的确认键, 方可完成第二步验证。如果没有采用短信动态口令的方式, 通过第二步验证后即可将款项划转至收款单位;如采用了短信动态口令的方式, 还需填入短信验证码, 验证无误后方可完成转账业务。在验证短信息中, 包含转账金额及单位信息以便财务人员对转账业务进行核对。通过以上几步验证, 使财务人员多次对转账业务的相关信息进行核对, 确保了发生业务的真实性和准确性。骇客即使盗取了财务人员的网银用户名和密码, 亦不能通过U盾和短信息动态验证码的检测, 因此多重验证身份机制确保了资金的安全。
2. 构建专用网络, 防范网络攻击
为了防范来自网络的攻击, 可以使用银行前置机通过DDN网 (Digital Data Network, 利用数字信道传输数据信号的数据传输网, 也是平时常说的专线上网方式) 将高校业务数据与银行进行交互, 使骇客很难通过网络对系统进行攻击, 从而降低了网上银行的使用风险。
3. 定制个性化服务, 降低财务风险
通过对高校日常业务进行分析, 归纳出使用网上银行业务可能存在的安全隐患, 针对这些不足, 通过技术手段进行防范, 进而降低财务风险。如在办理薪金代发业务过程中, 连续多次向同一人员发放酬金, 网银系统需能向财务人员发送提醒, 检查代发业务的真实与准确, 杜绝误操作的发生。
(二) 加强制度建设, 杜绝安全隐患
软件运行的本质是按照用户的设定完成一系列固定的操作, 将人从繁杂、重复的劳动中解放出来, 以提高用户的工作效率和单位管理水平。因此即使设计再完美的软件, 如果用户使用不当, 一样会出现问题, 网上银行系统也是如此, 只有建立明晰的工作流程和制度规范, 才能从根本上防范风险。
为了确保网银资金使用的安全, 高校财务应从以下几方面规范工作流程和完善制度建设。
1. 建立资金支付多级审核制度
除了前面介绍的骇客攻击风险外, 操作人员的误操作也是一个潜在的风险点, 如将汇款转入错误的收款单位, 当然这在传统的实体银行业务中也是存在的。通过建立多级审核制度, 可以很大程度上避免这种情况的发生, 即业务流程的下一级对上一流程的操作进行检查, 确认无误后方可通过进入下一环节。如在日常工作中, 制单人员填写相关转账信息后, 复合人员需对这部分信息进行检查、审核, 审核通过后凭证到达出纳的环节, 出纳员会再对这部分信息进行核查, 确认无误进行转账。在使用网银转账业务的过程中, 还需增加一岗位对出纳人员的操作进行审核, 已确保发生业务的真实和准确。
同时, 该制度的实施也可有效的防范骇客攻击带来的风险, 当骇客攻破整个流程中的某一个环节时, 其无法通过后续环节的检测, 也就无法影响财务资金的使用, 从而保证了高校资金的安全。
另外, 对于大额的资金的使用, 可以采取更多级别的审核, 从而进一步保障资金安全。
2. 规范流程, 明确职责, 加强监督
网银业务的开通, 必然对原有的工作流程产生一定的影响, 高校财务应针对这一变化, 修订和完善各岗位职责, 修改工作流程, 加强监督机制, 防止内部高科技犯罪的发生, 确保资金使用的安全。
3. 提高风险意识, 确保系统安全
网上银行的使用除了要求财务人员具备财务专业技能外, 还要具备一定的计算机操作能力, 更重要的是要树立风险防范意识, 以确保计算机系统的安全、稳定。在日常工作中, 每台计算机均应安装防火墙及杀毒软件, 并定期升级;应定期更新系统的补丁, 避免骇客通过漏洞对计算机进行攻击;操作人员不得随意浏览无关网站, 打开陌生链接及电子邮件;不要随意接入移动设备, 如需使用, 在接入前应进行病毒扫描等。这些措施的使用, 将可以有效的阻止骇客对网银客户端的攻击, 从而确保资金的安全。
五、结语
网上银行系统操作简单、服务快捷的优势是不言而喻的, 近些年逐步得到了大家的普遍认同, 在高校中也得到了广泛的应用。尽管网上银行业务存在一定的交易风险, 但高校只需从技术和管理两方面入手, 提高安全等级、做好应急预案、规范财务管理, 便能够将风险降到可控范围内。在高校推进内涵式发展、提升核心竞争力的大趋势下, 财务需要不断提升自身的服务能力和管理水平, 因此网银业务的开通和使用将势在必行。
摘要:随着信息化建设的快速发展, 网上银行业务 (简称网银业务) 的应用越来越普及, 一定程度上改变了人民的生活方式。网上银行业务具有方便、快捷、操作简单等诸多优点, 对提升高校财务管理水平、提高服务质量具有十分积极的意义。因此越来越多的高校财务开通了网上银行业务, 但网上银行存在的虚拟化特性, 使部分高校不愿使用网上银行。文章对高校财务开通网银业务可能面临的风险进行了分析, 并提出了防范风险所采取的措施。
关键词:网上银行,安全性,高校财务
参考文献
[1]王峥, 王国政, 李德品.“3A银行”的乡间体验——山东省农村信用社电子银行业务亮点频呈[J].中国农村金融, 2012 (19) .
[2]秦文劭.浦发银行网上银行安全体系的构建[D].复旦大学, 2012.
[3]王峰.银行网银系统网络安全建设方案的分析与设计[D].华南理工大学, 2014.
网上银行安全吗? 篇5
报道刊出后引起了广大读者的强烈关注,希望得到有关反病毒专家的帮助。昨日,记者采访了率先截获“网银大盗”病毒的我国权威反病毒厂商江民科技的反病毒专家。专家认为,这是又一起典型的“网银大盗”病毒窃取网上银行资金案。
病毒触痛网上银行安全神经
今年5月26日,南京警方破获一起利用木马病毒窃取网上银行用户账号密码案。警方查实,到案发时该团伙已利用“网银大盗”病毒成功窃取资金4.8万元。
6月3日,江民反病毒小组再次截获“网银大盗Ⅱ”病毒,其目标是想窃取有着国外金融业务的企事业单位的巨额网上资金。而近日在国际国内安全业界引起轩然大波的微软IE漏洞事件,也是因为木马病毒利用此漏洞窃取服务器上信用卡号引起的。
一起起活生生的事例引发了一场对网上银行安全机制的重新思考,网上银行还安全吗?谁来为用户的网上银行安全负责?
安全没有百分之百
“网盗”事件发生后,记者采访了某银行界人士。他认为,网上银行系统已足够安全了,只要用户按照正常的操作流程,下载数字证书,银行账号是不可能被窃取的。
然而当记者问有人账号已被病毒偷走,并且资金已经被盗的事实时,银行人士则普遍认为,这些事实发生在用户客户端上,与网上银行的系统安全性没有关系。用户如果没有下载数字证书,不可能成功登陆网上银行。
反病毒专家告诉记者,事实上,“网盗”偷取账号密码并不因为用户是否下载数字证书。在登陆正常页面时,病毒会将正常页面在你毫无觉察的情况下跳转到非安全页面,从而发送你的账号密码,而网银大盗2则更加诡密,它自动记录下用户在登陆网上银行时的每一次击键,以提交动态网页的方式发送给病毒作者,
针对“网盗”病毒,安全专家们认为,理论上讲,网上银行安全是可以保证的,网上银行一般从两方面来保证网上交易安全:首先在保护内网上银行服务器系统上设立三重防线,设立防火墙,隔离相关网络;其次是采用高安全级的Web应用服务器;再次是实施24小时实时安全监控,漏洞扫描和入侵检测。对于终端用户,则采用数字证书明确用户身份,采用微软的安全控件保证网上通信的安全,登录并通过身份认证后,用户和服务方之间在网络上传输的所有数据全部用会话密钥加密,直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样,攻击者就不可能从网络上的数据流中得到任何有用的信息。
然而,再严密的防范措施,也有存在漏洞的地方,网银大盗及网银大盗Ⅱ绕开以上重重防范,仍然可以成功窃取账号密码。虽然仅凭账号密码,没有数字证书似乎无法从网上银行转账,然而,并非所有的网上银行支付系统都有数字证书,再者,近年来许多信用卡制假者,利用先进的信息技术,只要获取你的账号和密码,就可以伪造出信用卡,可以在任一联网取款机上提取现金。
保护网上资金安全要靠自己
网上银行发展了数年,安全防范技术也越来越健全。但道高一尺,魔高一丈,网上银行系统纵然是铜墙铁壁,网上资金失窃现象却有增无减。
事实上,任何人做出来的计算机系统,都不可能保证100%的安全,微软数千名工程师研发的操作系统,理论上应该很安全,事实上却漏洞百出,成为病毒的传染源。同理,作为“软件”存在的网上银行系统,也不可能做到万无一失,事实上,国际上认为最先进的64位数字密码认证技术,也被证实可以被攻破。
反病毒专家王江民认为,最主要的还是提高安全意识,自己保护自己。除了不要在公共场合使用网上银行系统外,最好能安装一套带有隐私信息保护的杀毒软件,并经常升级病毒库,随时关注反病毒专业网站最新病毒消息。最好能定期更改密码,打好操作系统的各种补丁程序。为防范“网银大盗”此类程序入侵计算机,千万不要浏览一些不安全网站,随意打开不明链接或邮件附件。
存款安全银行才安全 篇6
近几年,储户银行存款失踪的新闻越来越多,渐渐地已经不成其为新闻。比如近日有媒体报道,2014年初,浙江杭州有多家银行的42个储户,总计9505万元存款不翼而飞。银行方面说,他们在其中不负任何责任。
银行自认为没有责任,是因为翻遍中国的法律法规,没有规定他们在储户存款失踪中的责任。谁的钱不翼而飞,谁就自认倒霉,自求多福。如果银行员工参与了相关犯罪活动,他们就推说是员工个人行为,或者员工是临时工,银行不必承担任何责任。而且在一系列法律诉讼中,法院已支持了银行业的类似主张。
这真是一件怪事,储户将自己的钱交银行保管,银行给弄丢了,结果却被司法判定无责。这种结果,无疑是鼓励银行不负责任,而且很可能也是对存款大盗的某种怂恿。犯罪分子偷走了储户的钱,储户无所措其手足,银行又不承担责任,除了储户伤心,其他相关方则何乐而不为之?
结果就是,在中国,存款失踪的案件越来越多,发生越来越频密,案值越来越逼近天文数字。2013年,上市公司酒鬼酒农行杭州分行1亿元存款被盗。去年10月,泸州老窖在农行长沙迎新支行的1.5亿元存款失踪;数日前,泸州老窖又发布公告,其在工商银行河南南阳中州支行等处3.5亿元存款不知所蹤。储户丢钱急坏了,但银行无责一身轻。
这真是滑天下之大稽,储户将资金交给银行,银行当然就要确保资金的安全,直到储户与银行解除契约关系。打个比方,张三与李四合伙做生意,张三将自己的出资交李四运用,如果李四将张三的钱弄丢,李四凭什么不负任何责任?银行确保储户资金安全的责任乃常情常理,天经地义,不言而喻。
金融业存在和繁荣的前提是信用,然后才是良好的服务、保密责任等。瑞士银行业享誉世界,他们的一个重要卖点,是他们为储户保守秘密。其实他们还有一个不言而喻的卖点,那就是资金安全。如果存款安全都不能保障,保密还有什么意义?
保障储户的存款安全是银行业的基本功,也是储户、国家对一家银行的最低要求。现在是一个全球化时代,银行业面临世界性竞争,光有基本功是不行的。随着金融电子化,资金安全问题会更加突出。如果中国的银行继续弄丢存款,就根本没有参与世界竞争的资格。
当然,中国的银行满可以说,他们找不到承担存款丢失的责任的法律依据,他们不负责任是合法的。很可能的确如此,查一下《中国商业银行法》、《银行业监督管理法》等相关法律法规,的确没有为银行设定存款安全责任条款。但这只能说是法律存在安全责任漏洞。民法上有公平原则、诚实信用原则,我们不妨谓之“天理人情”。如果是银行员工参与犯罪,银行业起码也有个连带责任问题。法律上有漏洞,更应立即着手堵上。
老实说,是政府把银行业宠坏了,弄得他们不近人情,乖违常理。比如长期乱收费,现在又管不好存款,个中根源是银行多数是国有的,政府有庇护国有机构的思维惯性。其结果必定是中国银行业的低能,参与世界竞争,必定能力不足。改变的第一步,就是让他们练好基本功,先过存款安全关。
我国商业银行网络银行安全性研究 篇7
中国银行由于历史原因, 在全国范围内存在着华东、华中、华南、西南、西北五大数据中心, 面临着信息系统逻辑集中程度不高、平台不统一、版本多样、数据较为分散等问题。自2002年开始, 中国银行就成立了IT蓝图办公室, 着手解决这个一直困扰很多年的历史问题。2011年中国银行成功投产核心银行系统, 实现了五大数据中心逻辑和物理的统一, 实现了以“账户为中心”向以“客户为中心”的转变, 并使用了安全系数更高的专用操作系统, 网络安全性得到了更大的提高, 而依靠核心银行系统为平台的网络银行的安全性能也实现了数据的统一和安全性质的飞跃。
中国银行认为, 网上银行、移动银行和客户自助服务才是现代银行服务发展的未来方向。为了实现从传统银行向技术领导型银行的跨越, 中国银行认为商业银行核心系统在设计时满足以下几个方面的要求非常关键:
(1) 必须尽可能地简化完成每笔交易所要求提供的数据信息。为此, 中国银行要求每项交易必须在五到六次浏览器显示界面切换之内完成。
(2) 系统的设计必须提供多渠道的接入方式, 必须通过网点、网上银行和移动互联网终端等。
(3) 系统的设计必须参数化和模块化, 从而为实际的投产运行提供灵活性和扩展性, 以满足市场、监管和技术等不同的环境要求。
(4) 系统而全面的监测和分析客户自助银行服务、有协助的自助银行业务, 以及银行内部完成的交易等业务量的增长情况。
(5) 创建客户关系管理模型以支持高端个人客户与其他特殊团体客户的在线账户的运行和业务办理。
(6) 分行和呼叫中心的员工必须更多地参与到为客户提供建议与帮助客户解决问题上来, 并给予他们更多的信息和授权以提供更好的客户服务。
2 安全策略
2.1 网络银行安全结构部署
网络银行业务高技术性和瞬时性的特点, 决定了其经营风险要高于实体银行业务, 而技术风险又是网络银行风险的核心内容, 也是金融机构和广大客户最为关注的问题, 这些技术风险主要包括交易主体的身份识别、交易过程的商业机密、电子通信的安全、交易和其他记录的保存和管理等。只有采用合理的安全架构, 综合运营各类安全技术手段 (如防火墙、入侵检测、数字证书等) , 才有效预防技术风险可能造成的经济损失和信用影响。各银行由于自身业务系统的差异, 对网络银行系统应用架构会有不同的设计, 但基本的技术构成及功能是类似的。
从业务功能上考虑, 还可将这种安全架构划分成四个功能区域:互联网接入区、DMZ区 (接入WEB服务器、RA服务器) 、网络银行业务区 (接入APP服务器、DB服务器) 、数据中心内网区。各功能区域的网络安全部署要求如下:
(1) 互联网接入区。部署链路分担设备, 提供多ISP的互联网接入, 并承担网络银行域名解析;部署流量清洗, 防御DDOS攻击;部署外网边界防火墙, 实现互联网与DMZ区隔离。
(2) DMZ区。部署网络银行WEB服务器、门户WEB服务器, RA服务器;部署IPS, 为WEB服务器提供深层安全保护;部署SSL卸载&服务器负载分担设备, 优化HTTPS响应速度并保证WEB业务高可用性;部署WEB-APP边界防火墙, 实现DMZ与网络银行业务区的隔离。
(3) 网络银行业务区。部署网络银行APP服务器、网络银行DB服务器、验签服务器;APP服务器前可部署服务器负载分担设备, 用于业务优化和提高可用性;APP服务器与DB服务器间可部署防火墙实现访问控制;部署内网边界防火墙, 实现网络银行业务区与数据中心服务器区间的隔离。
(4) 数据中心内网区。部署综合业务系统主机、网络银行前置 (或ESB系统) 服务器、网络银行管理服务器;采用“核心——边缘”分区模块化架构, 各服务器区围绕网络核心区部署, 各服务器区与网络核心区之间通过防火墙作访问控制。
2.2 加强网络银行的网络安全体系建设
应用系统的安全性提高方面, 可以设置通过使用多个防火墙, 增加过滤路由器, 创建加密通信网关等手段, 有效地实现内外网隔离和访问控制, 完善识别机制和访问控制机制、管理角色系统, 防止重发机制和审核机制, 以确保交易的安全进行, 或者采用国际先进的网络安全测试软件, 实施24小时保安实时监控, 并及时发现修正系统可能存在的弱点和漏洞, 加强监测系统工作, 并定期对常规的网络系统进行安全分析。
通过建立详细的安全审计日志, 充分利用网络监控设备或者实时入侵检测设备和常见的局域网络的操作实时监控、检查、报警和阻断, 用来防止攻击网络犯罪和银行可能会导致系统中断或故障的各种原因评估, 以及制作好相应的灾难恢复计划。客户端在加强安全保护时, 可以使用网络银行专用的用户端输入控制 (如Active X) 来取代传统的网络控制, 以防止恶意程序捕捉正常键盘事件, 获取用户的敏感信息。
通过额外的输入随机验证代码来防止恶意程序的暴力袭击。此外, 每个网络银行应该采用了先进的加密和身份验证的技术, 提供安全可靠的数字证书以及相应的同类卡片或USB密钥变得更加安全数字证书存储介质。当然, 如果可以将基于指纹认证、认证的虹膜生物特征身份认证技术结合数字证书, 也可以更好地解决客户安全问题。在网络通信链路, 需要有效地防范任何系统从内部或外部交流的数据的非法拦截、篡改和peek, 采用严格的数据加密技术来保证通信安全, 维护在任何开放网络的安全问题上的个人金融信息, 是目前公认的在线交易国际安全标准。
2.3 增强用户的安全防范意识
从用户角度出发, 一方面应该要养成良好的操作习惯, 在网络银行的操作中应该尽量避免使用搜索引擎或网络的真实姓名, 密码应该采用复杂的密码机制, 并不定期查看自己的交易记录, 警惕电子邮件链接等;另一方面, 应该采取数字证书的有效安全防范措施, 清楚地知道使用和维护的法律意义。从银行的角度来看, 应该提供完整的安全使用手册, 尽可能在该网站的醒目位置告知客户使用网络银行时要如何保护自己的隐私, 确保交易安全, 并加强网络银行客户的培训和教育。安全隐患是个社会问题, 不仅仅是安全人员、技术人员和管理人员的问题, 同时也是每个用户的问题。但是只要我们提高安全意识和责任观念, 注意安全, 很多网络安全问题也是可以防范的。我们要注意养成良好的上网习惯, 不登录和浏览来历不明的网站;养成到官方站点和可信站点下载程序的习惯;不轻易安装不知用途的软件;不轻易执行附件中的EXE和COM等可执行程序;使用一些带网页木马拦截功能的安全辅助工具等。
3 结语
随着信息科技的进步, 网络化、虚拟化与个性化产品与服务已经越来越受到大众的欢迎, 坚持网络化的网络银行也要适应潮流的发展, 以个性化的服务站立在社会发展的前面。web2.0时代要求网络银行必须加强与客户的互动性, 以网络化、虚拟化、个性化思维进行创新经营, 将网络银行从客户自助服务变成个性化、互动服务, 从银行为中心向客户为中心转变。在未来, web3.0的发展也对网络银行的发展提出新的要求, 要在服务上进行全方位的发展, 云计算、电子邮件、短信息、SNS, 以及SD卡和U盘等固态存储技术的发展, 虚拟化与数字化产品和服务已经成为信息时代的基本构成要素。因此, 网络银行的创新是与时俱进的, 而网络银行的安全性也要同步进行。未来的发展, 是信息技术的革命, 同时也为网络银行安全性的提升提出更大的挑战。
摘要:随着金融市场更进一步的开放、网络技术的高速发展, 网络安全性问题也显得越来越重要, 如何改善我国商业银行网络银行安全性问题, 已经成为我国商业银行必须研究的课题, 而本文研究的主要目的是如何在新时代的发展中提出改善我国网络银行安全性的策略。
关键词:网上银行,安全,策略
参考文献
[1]王慧强, 赖积保, 朱亮, 梁颖.网络态势感知系统研究综述[J].计算机科学, 2006 (133) :5-7
关注网上银行业务安全 篇8
网上银行拓宽了金融服务领域, 并为网上银行的发展创造了市场需求条件和技术基础。目前在我国金融领域特别是银行业, 出现了以新型化、自由化、多样化为特征的金融创新, 这种创新迅速抢占市场, 并扩大规模, 形成了要求放松管制的强大压力, 而且也改变了金融总量和结构。
自1996年世界上第一家网上银行——美国安全第一网络银行诞生以来, 网上银行在世界范围内迅速发展。近年来, 国内多家商业银行, 如招商银行、中国银行、中国工商银行、交通银行、农村商业银行等也纷纷推出网上银行服务。发展网上银行业务已成为当前商业银行竞争的新热点。
尽管我国的网上银行业务已经取得长足的发展, 但在发展网上银行业务的同时, 也不能忽视新的风险。这些新风险主要包括法律法规的规范风险、交易安全风险、资金风险等, 其中最主要的就是支付信息的安全性问题。
一、法律风险及其防范
由于有关法律法规不健全, 立法滞后, 容易造成新的法律风险。为此, 应针对目前网上银行业务的发展, 尽快完善、补充和制定相关法律法规以及网上银行有关的规章制度。
(一) 应加快推进立法工作
我国涉及计算机和网络领域的立法工作滞后, 相关金融法规较少。现已立法的《商业银行法》、《中国人民银行法》、《中国银行业监督管理法》涉及网上银行业务管理有关内容都比较少, 有的甚至还没有作出规定。这样的局面致使银行在与客户的纠纷中处于无法律依据的尴尬地位。而且法律法规的缺乏, 也使金融监管机构监管无法可依。强化网上银行业务的监管需要加快全面的立法工作, 确定银行职责、数字签名、电子数据及证书、电子证据、电子合同的法律效力。这些电子数据既可作为法律依据, 也有利于监管部门、审计部门和其他执法机构的必要检查。考虑到电子技术的快速发展, 立法应当具有一定的前瞻性, 避免频繁改动, 造成被动。金融机构 (包括其分支机构) 开办网上银行业务, 应严格按照《网上银行业务管理暂行办法》的规定, 进行必要的安全评估, 尽量降低技术风险。
(二) 应努力完善、制定可行的技术规范和实施标准, 统一规划
对于网上银行业务的核心技术, 传输数据包括格式、用户接口 (如IC卡) 标准等关系行际互联的技术参数, 都应制定相应的国家统一标准。目前各金融机构各行其是, 互不兼容, 需要严格按照网上银行业务管理贯穿其业务全过程和各个操作环节, 覆盖所有使用网上银行的金融机构内、外部机构 (单位) 和个人。并针对网上银行业务专门制定或加强对相应环节的管理和控制, 尽量降低技术风险。相关部门也应尽快制定涵盖网上银行业务各个环节的技术标准和行业规范。
二、系统性风险及其防范
由于网上互联网具有充分的开发性、无国界、不设防护的特点, 近几年, 许多金融机构如各地的转制银行, 已陆续开展了此项业务。其中大部分是将银行业务移植到互联网上, 但伴随而来的网络不完善、计算机病毒、网上黑客等问题, 必然成为网络银行安全的新障碍。系统风险主要表现在以下几方面。
(一) 网络故障风险
也就是计算机停机、磁盘破坏等不确定因素, 形成网上银行系统风险。不仅给银行带来直接经济损失, 甚至影响银行的企业形象和客户对银行的信任水平。
(二) 黑客攻击风险
黑客攻击进入系统内, 窃取银行和客户信息, 删除或修改程序, 或盗取客户资金及非法转移资金。因此应经常加强程序运行检测, 定期对网上账户进行核对, 经常对网上银行业务中的大额交易、可疑交易等进行非现场监督并及时进行现场检查;对程序异常运行情况, 及时进行调查, 了解情况, 适时地进行绝对控制。由于黑客攻击造成的客户信息外泄风险也不容忽视。数据通信安全是目前威胁网上银行安全的重要因素之一, 国内外都曾出现过网络黑客截获客户通信数据, 复制和盗取客户的标志和密码, 转移客户在银行的资金, 造成客户和银行资金损失的案例。
(三) 技术更新快, 系统设备投资风险
由于网络技术更新换代速度快, 原巨额投入的设备被淘汰, 变得低级且不安全。
(四) 交易安全风险
首先, 商业银行自身对网上银行的信息及交易安全管理措施跟不上, 管理制度有待进一步完善。目前, 我国各家商业银行在现场检查中发现其网上银行出现密码控制不严、软件控制功能薄弱、授权机制执行不力等问题。其次, 应培养客户使用网上银行的安全意识, 这也是造成资金被盗取和骗取的主要风险点。
网上银行安全风险及发展建议 篇9
一、网上银行发展现状
1995年l0月,美国推出全球第一家无任何分支机构的纯网上银行——安全第一网络银行(SFNB),由此揭开网上银行的发展序幕。招商银行早在1996年就开始对网上银行进行研发和探索,并于1997年推出中国第一个银行网站“一网通”和中国第一个网上银行产品“网上个人银行大众版”,成为深圳乃至全国最早推出网上银行业务的银行。随后,各商业银行也在传统银行业务的基础上根据自身业务的发展需求相继推出网上银行业务。
作为银行业务服务的延伸,客户可以通过网上银行方便地使用商业银行核心业务服务,完成各种非现金交易。网上银行凭借交易成本低廉、资金周转便捷、不受时间和地域的约束、覆盖面广等一系列相对传统银行的优势,近几年来一直保持着强劲的发展势头。目前,各商业银行经过多次的系统改版和升级,已逐步形成较为完善的网上金融服务体系,用户数和网银交易量逐年递增,发挥了重要的渠道替代作用。
二、网上银行存在的安全问题
尽管网上银行具有方便、快捷的服务优势,但毕竟服务平台建立在互联网之上,使银行业务向互联网敞开了大门,安全问题已成为网上银行建设中至关重要的问题。在调研中人民银行深圳中支发现,技术上并不存在较严重的安全问题,但在涉及内部环境的某些方面上没有采取相应的制度和技术加以约束和控制,因而存在以下几个方面的问题。
(一)重技术保障,轻制度建设
在技术方面投入的力度较大,但内部管理制度建设不完善,没有形成完整的信息安全制度体系,不利于网上银行信息安全工作的指导和约束。
(二)忽略了来自内部网络的风险
对来自内部网络的风险不够重视, 没有制定严密的内部控制流程,不能对内部网络可能存在的安全隐患进行彻底排除,具体表现在:没有部署非法外联设备监测外部连接、没有对用户的资源访问进行日志记录、除密码外其他重要数据存储及传输都没有进行加密处理等。
(三)疏忽了客户端的安全防范
对客户端的安全考虑较少,部分银行没有对网银用户客户端提供防病毒软件安装提示和进行木马扫描的功能;除个别银行自主开发控件外,多数银行只通过手工检查监控银行相似域名和常用搜索引擎,没有相关技术手段有效监测钓鱼攻击。
三、网上银行风险分析
通过调研,我们认为网上银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险外,还增加了以下几个方面的新风险。
(一)客户端风险
相对银行内部比较稳固的安全机制来说,作为消费者的个人用户无疑是整个安全链条中的薄弱环节。由于客户缺乏必要的网络安全知识,上网过程中电脑没有及时得到安全保护,给病毒、木马和黑客以可乘之机,客户电脑一旦中病毒或被黑客控制,其客户信息将很可能被非法盗用。
(二)外部攻击风险
为获取网银客户信息,网络黑客除对客户端进行木马植入外,还会通过多种手段对网银网络或系统进行大量的外部攻击。这些攻击手段主要包括:端口扫描、强力攻击、缓冲区溢出、IP碎片、木马后门、网络蠕虫、DDos(分布式拒绝服务)攻击、钓鱼攻击、0Day攻击等,其中DDos攻击和钓鱼攻击最为普遍。
(三)内部管理风险
网上银行内部管理控制制度是防范各种金融风险的基础和根本,没有一套完整的内部风险管理体系来约束和控制内部管理流程,会造成操作风险意识淡薄、组织机构职责不清、内控制度不健全或执行不力等问题,从而导致网上银行业务直接或间接受到威胁。
(四)内部技术风险
内部技术风险主要在于网上银行系统或关联系统的可靠性或完整性不足而潜在的技术漏洞。目前大多数银行都搭建了边界控制、双机热备、异地容灾、数据备份、数据加密、实时监控、数字证书等技术架构,并定期或不定期邀请监管机构认可的外部专业机构对网银系统进行风险评估。然而随着网络技术的不断升级和黑客攻击手段的不断翻新,网上银行发生技术性风险的可能性越来越大,如果银行不能在技术上跟上时代步伐,势必造成安全隐患。
(五)信用风险
由于网上银行业务除了开立账户,其余操作均通过网络远程进行,网上银行客户很容易隐蔽自己的信息和行为,在网上交易时进行交易的人与开立账户的人很可能不是同一人。即便是开户环节,由于我国信用制度尚不完善,不法分子完全可以按照银行要求提供资料、签订协议,而不违反相关规定,银行只能审核客户提供资料的真实性,很难真正做到了解客户。
(六)法律风险
我国对网上银行和网上交易缺乏相应的、完善的法律法规,这一方面造成了银行在开展业务时无法可依,另一方面基于网络金融犯罪的特殊性及多样性,各国都难以克服相关立法的滞后性。因此没有严密的法律对其进行约束,使银行难以采取主动措施,将犯罪活动消灭于萌芽之中。
四、网上银行发展建议
(一)引导客户主动提高风险防范意识
银行应在市场宣传和业务推广过程中,加强对客户的安全教育,并针对客户的安全顾虑积极改进,提高网银安全系数的同时指导客户安全使用网银,提高客户的安全信心。同时,鼓励商业银行推广小额支付系统,为客户提供一个良好的跨行转账平台。
(二)建立健全技术风险防范体系
银行在注重业务发展的同时,也要注意风险防范,加大对技术安全方面的投入,提高网络金融的技术水平,建立健全网上银行技术风险防范体系。一方面,必须进一步加大对网络技术引进和研发的投资力度,充分利用最新科学技术,不断增强网上银行的安全性能,大力发展网上银行的三大核心技术:WEB技术、建立服务平台技术、安全保密技术。另一方面,要积极培养适应网上银行发展需要的高素质人才,全面提高银行从业人员的知识和技能水平。
(三)加强和完善信用体系建设
根据网上交易的特点,防范网上银行非法交易,必需严把开户关,真正落实实名制开户,而这有赖于信用体系的进一步完善。加强信用体系建设,目前最关键的就是通过各种数据联网共享,建立关于完善的个人和机构信用记录。其次,要将信用记录运用于公共生活的各个方面,提高失信行为的违规成本。只有这样,网上银行非法交易才会大大减少。
(四)完善与网上银行相关的法律、法规
我国网上银行起步并不晚,但相关法律法规和制度体系建设都不完善。为了使网上银行的发展有一个明确、规范的社会环境,应有针对性地出台相关法律法规,维护网上银行的安全运行。就目前而言,应着力抓好2方面的建设:一方面,明确界定电子交易各方的权利和义务,使安全措施的操作与安全管理规范化、法制化;另一方面,加大网络犯罪行为的打击力度,制定一部专门的法律,为依法严惩犯罪分子提供必要的法律保障,以确保我国网上银行的健康发展。
(五)采取积极有效的监管手段
网上银行安全管理问题探讨 篇10
关键词:网上银行,安全,建议
网上银行是互联网和银行业结合的产物, 在如今互联网普及的时代, 网上银行业务的快速便捷对银行客户来说有非常大的吸引力, 所以它的安全快速发展对每一家银行运营的成功都具有非常重要的战略意义。而网上银行作为实体银行的一种虚拟工作方式, 因其具有高技术性、无纸化和瞬时性等特点, 导致其经营风险与传统银行的风险相比要大得多, 且目前技术措施和立法保障等方面不尽完善, 因此其存在的问题也日益显现。尤其是网上银行能否安全运行这个问题现已成为制约网上银行发展的瓶颈, 如何建立一个安全、高效的网上银行系统就成为了银行所面对的一个重要问题。
一、网上银行存在的风险
网上银行由于其技术环境的开放性, 与运行于相对封闭环境的传统银行业务系统相比, 在实际应用过程中存在更多的风险。经综合分析, 网上银行主要存在以下几种风险:
(一) 电子信息技术风险。
网上银行的电子信息技术风险主要有: (1) 网银客户身份被泄露的风险。黑客利用各种手段盗用网银客户的身份信息, 进行交易或转移账户资金。 (2) 未经授权访问。黑客利用技术手段或者恶意程序访问网银系统, 对其进行攻击, 导致系统运行偏离正常轨道, 直接威胁网银安全。 (3) 电子信息系统设计缺陷。其中包括计算机本身的系统缺陷和认证系统缺陷等。计算机系统本身的缺陷可产生运行不畅、编程缺陷、硬件故障等问题。认证系统缺陷的风险环节主要集中在用户证书发放、证书内容设置、证书生成、分发和接受、CA系统内部安全及证书管理等方面。
(二) IT外包风险。
银行将电子信息系统的构建外包给专业的IT技术服务商, 由此产生了由第三方因其的外包风险。由于服务供应商的水平不能保证、系统的保障性投入不够、技术服务人员安全意识淡薄或者缺少安全技能培训等, 可能导致网上银行系统在运行中存在安全漏洞, 银行电子信息系统外包带来的风险也应该引起足够的重视。虽然银行将IT系统全部或部分外包给专业的技术服务提供商能够减少成本, 获得专业的技术支持, 拓展服务渠道, 提高客户服务水平, 但如果管理和控制不当, 会出现技术外包商盗用银行的名义开展业务, 违反保密协议、泄漏信息等风险。
(三) 客户误操作及其他风险。
客户在使用网银时操作失误或使用不当可能导致资金不安全的行为称为客户操作风险。客户操作失误或使用不当的情况可分为三类: (1) 客户使用计算机时的安全意识不强, 设置的登录密码过于简单或者安全强度过低, 例如用自己的手机号码或者生日作为密码, 很容易令攻击者破解。 (2) 客户没有将自己的银行卡账号和密码妥善保管, 随意写在纸上或者透露给他人, 或者在自助取款机上操作后随意丢弃打印的凭条。 (3) 采用的密码管理方式安全保障系数较低, 如自动登录等, 或经不安全的渠道进行网上银行登录和交易, 或在使用网银业务后没有安全退出系统而离开了计算机, 给了其他人操纵其账户的可能性。
(四) 银行内部业务操作风险。
在网上银行业务的发展初期, 银行对于工作人员的管理普遍处于粗放阶段, 组织保障、内部审计和管理、绩效考评机制以及审计监管等方面易引发内部操作风险。最常见的内部风险, 一是工作人员出现技术上的操作失误, 导致系统发生故障影响运行, 二是工作人员利用工作之便有目的地获取客户账户信息, 利用客户账户进行风险投资, 将交易风险转嫁到客户身上, 三是对内部人员的管理可能存在多头管理或者无人管理的真空地带, 这是分权管理中的常见问题。例如将网上银行的营销管理权下放给电子银行部, 网络运营和网络平台的维护交由科技部处理, 信用卡网上支付的业务由信用卡部负责, 会计部承担网上结算和资金清算业务, 在这样互有交叉的情况下就可能出现各部门之间权利无法协调, 义务无人承担, 从而产生了内部操作风险。只有制定严格的操作制度和准则, 才能尽量从根本上避免操作风险。
二、网上银行安全管理的建议
(一) 安全教育。
“人”是进行网上银行业务的主体, 主要分为客户与银行工作人员两方。对于客户方面, 银行应对客户灌输网银安全常识, 进行安全教育, 以增强其安全意识;而对于银行工作人员方面, 为确保网银系统运行的安全, 必须规范系统的操作和管理权限, 要对不同人员设置合理的权限, 明确分工和职责。[3]例如, 只对操作员赋予岗位所需的最低权限, 操作员只有在经过相应的授权后才能进行影响较大的操作。
(二) 技术升级。
在银行方面, 网上银行为实现交易提供的服务器需要定期进行软件和硬件升级。而为了防止电子信息系统的服务器受到攻击, 银行可以采取以下措施从技术上减少风险: (1) 设立防火墙, 分隔互联网与交易服务器以及交易服务器与银行内部网, 从而可以防止黑客在互联网上对用户信息的盗取, 又防止银行工作人员利用内部网可能对交易服务器产生的入侵危险。 (2) 高安全级的Web应用服务器。主要利用SET、SSL、CA认证等方法, 服务器使用可信的专用操作系统, 凭借其独特的体系结构和安全检查, 保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。 (3) 利用安全实时监控技术对程序进行实时24小时监控。能实时地监控和审计内部、外部黑客的入侵, 对异常的网络活动能实时地进行识别、审计、报警、拦截。
(三) 安全工具。
在网银系统中, 要完成网上银行业务所进行的身份认证必须有相应的安全工具。现今各网上银行推出的办理网上银行业务的安全工具多种多样, 有口令卡、CA数字证书、客户数字证书载体 (USB-KEY) 、动态密码、安全登录控件等。客户数字证书载体USB-KEY是目前国内银行采用的最为普遍的客户身份认证方式之一, 它形状类似U盘, 是非常方便随身携带的网上银行客户手中唯一的“身份证”和“安全钥匙”。客户在申请USB-KEY这种服务后, 所有涉及资金转出的网银操作, 都必须在电脑商插入USB-KEY的情况下才能完成。这些工具能够有效地保证网上银行业务安全的进行。
(四) 安全制度。
银行系统在内部管理和客户使用两个方面, 都需要有相关的法律法规和规章制度来保障其安全运行。在内部安全管理过程中可以采取以下方式进行:贯彻实行责任制、成立领导机构;指派工作人员进行安全防护;加强组织保障;制定日常操作规范以杜绝安全漏洞;制定突发事件应急预案以应对意外以及制定定期检查办法加强化管理。
(五) 运行环境。
网银客户使用网上银行时最关心的问题是, 目前正在使用的网络环境是否安全。一般来说, 网上银行安全环境问题主要有以下几种: (1) 银行交易系统被非法入侵; (2) 信息通过网络传输时被窃取或篡改; (3) 账户被他人盗用。
而网络犯罪分子也往往通过网络钓鱼比如使用与某些银行网址极为接近的网址, 令用户分不清网站的真假, 在假网站上输入了自己的账号密码, 从而上当受骗, 或者通过一些伪装的银行插件木马进行盗取客户账号的犯罪行为, 而银行就应该针对这些犯罪手段通过网络或者用户手册提醒客户尽量使用自己个人的电脑登陆网上银行, 定期对电脑进行杀毒, 确保系统内没有病毒、木马等危险程序, 以防止泄露自己的账户信息。目前国内几乎所有的网上银行在用户时登录时, 页面上都有安全登录提示, 用户打开银行的网银页面时下载安全插件, 可以有效的保证用户电脑达到安全登录的条件。银行还可以与杀毒软件公司合作为用户提供免费的在线杀毒服务, 登录网银后页面会跳出提醒框, 用户只要选择点击杀毒功能, 就可以很方便的使用最新的软件杀毒来清除电脑中的木马、病毒等恶意程序, 从而帮助用户安心的使用网络银行进行交易、转账、查询等操作, 这样不仅为电脑水平一般的用户提供了技术上的保障, 心理上也会让他们更安心的使用电子产品, 从而更好的服务了客户。
网上银行的安全管理是一个永无止境的工作, 要求银行必须在制度、管理和技术方面坚持不懈的加以改进。在管理方面, 安全制度必须严格执行;在技术上, 要关注网络安全方面出现的新问题和新技术, 不断堵住已知的安全漏洞, 不断采用新的技术手段强化网络的安全。同时, 要求网银客户注意加强安全防范意识, 在使用时分清真假, 避免不必要的损失, 从而加强网上银行的安全性能。
参考文献
[1]、孙振峰.网上银行安全运行管理和技术防范措施[J].科技资讯, 2008 (1) :191-192.
[2]、李东卫.网上银行安全管理问题研究[J].北京市经济管理干部学院学报, 2010 (4) :40-44.
[3]、朱雁东.如何加强网上银行安全管理[J].现代金融, 2006 (10) :32.
[4]、聂进, 雷雪.网上银行安全及相应对策探讨[J].武汉大学学报 (人文科学版) , 2006 (3) :373-377.
