⑴ 網路銀行的技術風險一般來自哪些方面
我國網路銀行除了具有傳統銀行的流動性風險、利率風險、結算風險、道德風險、新金融工具風險外,還增加了一些網路環境下的新風險。
一、 我國網路銀行面臨的風險
1.系統風險
(1) 操作系統風險。操作系統是作為計算機資源的直接管理者,它直接和硬體打交道並為用戶提供介面,是計算機系統能夠正常、安全運行的基礎。Windows操作系統存在許多安全漏洞,UNIX操作系統是一個開放的系統,源代碼已公開。根據美、荷、法、德、英、加共同制定的通用安全評價標准《Common Criteria for IT Security Evaluation(簡稱CC標准)》,微軟的Windows操作系統、大部分的UNIX操作系統其安全性僅達到C2級安全,而網路銀行的操作系統的安全級別應至少達到B級。
(2)應用系統風險。網路業務系統設計存在漏洞。目前,網路應用軟體存在以下安全漏洞:無效參數、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統的非安全利用、遠程管理漏洞、網路及應用軟體伺服器錯誤配置。
在設計過程中,只重視「計算機如何完成任務」方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統沒有為審計留下介面,難以進行實時審計。
(3)數據存儲風險。數據存取、保密、硬碟損壞導致的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取、修改等風險。
2.操作風險
網路銀行操作風險是指由於網路銀行中的內部程序、人員、系統的不完善或失誤,以及外部事件而導致網路銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:
(1)網路銀行操作風險意識淡薄。
(2)組織機構職責不清。
(3)內控制度不健全或執行不力。
(4)沒有適合的網路銀行稽核審計部門。
3.信用風險
網路銀行的信用風險主要表現為客戶在網路上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。
4.信息不對稱風險
信息不對稱表現在兩個方面,一方面是由於網路銀行無法得到足夠客戶信息,另一方面是由於客戶無法得到有關網路銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網路銀行不利的行為,也使得客戶不能正確評價網路銀行的優劣。
⑵ 網上銀行存在哪些風險
我國網路銀行除了具有傳統銀行的流動性風險、利率風險、結算風險、道德風險、新金融工具風險外,還增加了一些網路環境下的新風險。
一、 我國網路銀行面臨的風險
1.系統風險
(1) 操作系統風險。操作系統是作為計算機資源的直接管理者,它直接和硬體打交道並為用戶提供介面,是計算機系統能夠正常、安全運行的基礎。Windows操作系統存在許多安全漏洞,UNIX操作系統是一個開放的系統,源代碼已公開。根據美、荷、法、德、英、加共同制定的通用安全評價標准《Common Criteria for IT Security Evaluation(簡稱CC標准)》,微軟的Windows操作系統、大部分的UNIX操作系統其安全性僅達到C2級安全,而網路銀行的操作系統的安全級別應至少達到B級。
(2)應用系統風險。網路業務系統設計存在漏洞。目前,網路應用軟體存在以下安全漏洞:無效參數、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統的非安全利用、遠程管理漏洞、網路及應用軟體伺服器錯誤配置。
在設計過程中,只重視「計算機如何完成任務」方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統沒有為審計留下介面,難以進行實時審計。
(3)數據存儲風險。數據存取、保密、硬碟損壞導致的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取、修改等風險。
2.操作風險
網路銀行操作風險是指由於網路銀行中的內部程序、人員、系統的不完善或失誤,以及外部事件而導致網路銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:
(1)網路銀行操作風險意識淡薄。
(2)組織機構職責不清。
(3)內控制度不健全或執行不力。
(4)沒有適合的網路銀行稽核審計部門。
3.信用風險
網路銀行的信用風險主要表現為客戶在網路上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。
4.信息不對稱風險
信息不對稱表現在兩個方面,一方面是由於網路銀行無法得到足夠客戶信息,另一方面是由於客戶無法得到有關網路銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網路銀行不利的行為,也使得客戶不能正確評價網路銀行的優劣。
5.法律風險
我國對網路銀行和網上交易缺乏相應的法規。如:如何徵收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。
二、 我國網路銀行風險防範對策
1.系統風險的防範
(1)物理安全。主要指對計算機設備場地、計算機系統、網路設備、密鑰等關鍵設備的安全防衛措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導線間的交叉耦合,同時對輻射進行防護。
(2)應用安全操作系統技術。安全操作系統不僅可以防範黑客利用操作系統平台本身的漏洞來攻擊網路銀行交易系統,而且它還可以在一定程度上屏蔽掉應用軟體系統的某些安全漏洞。美國先後開發了各種級別的安全操作系統,其中作為商用的有Data General公司的DG UX B1/B2安全操作系統,HP公司的HPUX CMW B1級安全操作系統等。國內各大科研機構及公司也研製出高安全級別的操作系統,如:中科院信息安全工程研究中心研製的SECLINUX安全操作系統、中軟總公司研製的COSIX LINUX系統。目前,中國建設銀行的網路銀行系統建立在安全操作系統平台之上,該系統基於HP9000硬體平台,採用HP公司的B1級安全操作系統。
(3)數據通信加密技術的應用。對傳輸中的數據流進行加密,按實現加密的通信層次可分為鏈路加密、節點加密、端到端加密。在鏈路數較多以及對流量分析要求不高的情況下,適合採用「端到端加密」方式。在對流量分析要求較高的情況下,可採用「鏈路加密」與「端到端加密」相結合的方式:用「鏈路加密」對報文的報頭進行加密,防止進行流量分析,再用「端到端加密」對傳送的報文進行加密保護。
對數據進行加密的演算法主要有DES和RSA兩種。DES屬於私鑰加密體制(又稱對稱加密體制),它的優點是加、解密速度快,演算法容易實現,安全性好,缺點是密鑰管理不方便。RSA屬於公鑰加密體制(又稱非對稱加密體制),它的優點是安全性好,網路中容易實現密鑰管理。因此可以採用將DES和RSA相結合的綜合加密體制:用DES演算法對數據進行加密,用RSA演算法對密鑰進行加密。
(4)應用系統安全。應用系統安全主要包括對交易雙方的身份確認和對交易的確認。在網路銀行系統中,用戶的身份認證依靠數字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統進行身份認證。數字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎設施——PKI(Public Key Infrastructure)是解決大規模網路環境中信任和加密問題的很好的解決方案。同時採用安全電子交易協議,目前主要的協議標准有:安全超文本傳輸協議(S-HTTP)、安全套接層協議(SSL)、安全交易技術協議(STT)、安全電子交易協議(SET),其中SET涵蓋了信用卡的交易協定、信息保密、資料完整及數據認證、數字簽名等,已經成為事實上的工業標准。
加強應用系統開發過程的審計,應用系統運行過程中的實時審計。
(5)應用資料庫安全技術。應用存取控制技術、數據加密技術、硬碟分區防護技術、資料庫的安全審計技術、故障恢復技術等。
(6)應用防火牆安全技術。建立綜合計算機病毒檢測技術、代理服務技術和包過濾技術的第四代防火牆,提供DES加密、支持鏈路加密或虛擬專網、病毒掃描等安全服務,並具有實時報告、實時監控、記錄非法登錄、統計分析等功能。設置放火牆時要截止所有從135到142的TCP和UDP連接,改變默認配置埠,拒絕PING 信息包,通過設置ACCESS LIST 的過濾規則來實現包過濾功能。採用防火牆雙機冷備份策略。進行入侵檢測和定期漏洞掃描。
2.操作風險的防範
操作風險主要來自銀行內部,應完善網路銀行的內部控制制度,建立科學的操作規范,嚴格內部制約機制,將不相容職務如管理員與經辦員分離、程序員與操作員分離、製作者與執行者分離,對主管和操作員實行IC卡身份鑒別,並同時加口令,任何進入系統的操作必須有日誌記載。
建立操作風險管理中心,對員工進行防範操作風險的技術培訓,監督各項操作風險管理制度的執行情況,對網路銀行的操作風險進行評估,並採取相應措施。建立操作風險應急反應中心,對業務的影響因素進行研究,識別出可能導致業務中止的情況,系統的備份及定期測試公司的災難應急計劃,對出現的安全問題提供技術支援和解決方案。使用保險來抵補那些「低頻率、高危害」的操作風險。建立操作風險審計中心,對全部的網路銀行業務實時監控、網路掃描,並利用審計記錄,對業務操作人員和計算機系統管理人員進行稽核。
來自外部的操作風險,尤其是網路銀行金融欺詐方面,不但要對個人服務的零售業務進行監控,還要加強對登錄網路銀行的企業加強監控,通過數據挖掘軟體對可疑資金交易進行分析,防範利用網路進行非法資金交易。
3.信用風險的防範
建立全國性的用戶信用管理信息系統,將用戶劃分為不同的信用等級,針對不同等級的用戶採取不同的管理措施。應共享客戶資料信息庫,與其他商業銀行、保險公司等非銀行金融機構、世界各銀行等金融機構合作,及時將客戶的守信情況和違約情況記錄入庫。
4.信息不對稱風險的防範
建立信息披露制度,強化信息披露的質量。應定期發布經注冊會計師審計的關於網路銀行經營活動和財務狀況的公允信息,披露有關網路銀行風險的大小和網路銀行為了規避風險而採取的措施以及消費者權益保護的信息。建立社會監管體系,網路銀行之間進行相互監督。
5.法律風險的防範
應充分利用和執行《網路銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網路銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網路安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網路國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網路銀行應注重交易數據的保管,為可能的糾紛或訴訟過程做好證據准備。
建立網路銀行法律監管體系,制定網路銀行的外部懲罰措施以及網路銀行的市場退出機制。建立網路銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網路銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。
⑶ 怎樣提高銀行網路安全管理能力
通常,計算機網路信息系統安全包括實體安全、信息安全、運行安全和人員安全。對於銀行網路而言,在其安全體系架構過程中,由於銀行業務、管理體制的不斷變化,加上攻擊手段層出不窮,使得對於網路系統安全風險點的分析存在不確定性。如果對區域網的管理不到位,掉線、網路堵塞、無法快速上網、受攻擊等問題將屢屢出現,將對網路整體安全構成巨大隱患,進一步加強網路管理十分必要。 隨著銀行電子化建設的不斷深入,內聯網建設已成為銀行信息化工程的重要組成部分,計算機網路系統的安全問題將直接關繫到銀行的業務發展和社會形象。 安全規劃和整體策略框架的確定比較困難,因此應遵循需求、風險、代價平衡的原則。對於任何信息系統來說,不可能達到絕對安全,因此我們必須對系統面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范並確定安全策略,使被保護信息的價值與保護成本達到平衡。 應該建立具有一個多重保護功能的安全系統,各層保護相互補充,當一層保護被攻破時,其他層保護仍可保護信息的安全。網路的安全性問題實際上包括兩方面的內容,一是網路的系統安全,二是網路的信息安全,而保護網路的信息安全是最終目的。就網路信息安全而言,首先是信息的保密性,其次是信息的完整性。 一、提高硬體建設水平1.遵循建設標准。在銀行網路建設初期,或者在網路機房的改造過程中,要按照國家統一頒布的標准進行建設、施工、裝修、安裝,並經公安、消防等部門檢驗驗收合格後投入使用。做好三級備份網路的建設,對網路的信號傳輸進行屏蔽(靜電屏蔽、磁屏蔽和電磁屏蔽)處理,裝置必要的電磁屏蔽設施。 2.合理布線。布線也是一個重要的問題,不良的布線會引起日後頻繁的網路故障,會給網路管理工作帶來很大的麻煩。尤其是千兆交換機的光纖模塊,如果光纖安裝存在問題,會造成交換機工作不穩定,數據傳輸會時斷時續,這將嚴重影響網路的整體性能。定期與電力、電信等部門協調,爭取技術支持,是保證良好的供電環境和暢通的網路環境的重要措施。 3.增加網路機架。通過增加機架,可以將各部門的伺服器集中到網路管理中心,進行統一管理。幾十台伺服器所佔空間可能太多,可以在網路中心的機房裡,增加機架,把這些伺服器一個個固定在機架上,這樣可以減少伺服器佔用地面空間。 4.如果條件允許設置二級網路機房,還可以考慮進行攝像監控。在二級交換機的分機房中安裝攝像機,通過攝像機連線,將分機房的現場情況傳到網路中心機房的監視器,通過監視器上傳來的視頻信息,就可以知道分機房的網路設備運轉情況。如果出現問題,在中心機房就能及時告警,便於網管員迅速採取措施,從而提高管理效率。 5.在交換機中添加硬體管理模塊。新一代交換機具有多種提高管理的硬體模塊,除了硬體入侵監視模塊能方便管理外,還有乙太網隨線供電模塊、超級引擎模塊等功能。形成以入侵檢測系統為核心,聯合防火牆、非法外聯、安全認證、網管系統、災難備份等安全產品的防禦體系,以提高網路安全系數,因此,增加硬體管理模塊十分必要。 6.及時升級網路管理與安全軟體。網路規模的逐漸擴大,網路的復雜性不斷增加,一些老的網路管理技術、網路防病毒管理系統已不能適應網路的迅速發展。因此,網管軟體、防病毒軟體需要及時升級,以便能利用先進的網路管理技術和帶寬等有限的網路資源。 二、提高管理人員水平現在,一些基層單位在區域網建設中存在重建輕管現象,不同程度地存在著對信息安全的防範意識不強、管理硬體不到位、網路疏於管理等問題,這些將直接影響人行區域網的正確使用的現象應當引起高度重視。 1.建立領導組織體系。要將計算機網路管理及風險防範納入行長的工作日程,就必須成立相應的領導組織,明確權利責任,做好對網路安全運行領導、檢查和監督工作。要研究網路安全防範技術,找出易發問題的部位和環節,進行重點管理和監督,各相關職能部門要形成合力加大對計算機網路風險管理力度。 2.落實內控制度。建立健全各項計算機網路安全管理和防範制度,完善業務的操作規程;加強網路要害崗位管理,建立和不斷補充完善要害崗位人員管理制度;加強內控制度的落實,嚴禁系統管理人員、網路技術人員、程序開發人員和前台操作人員混崗、代崗或一人多崗,做到專機專用、專人專管、各負其責。 3.強化日常操作管理。加強網管操作人員許可權和密碼管理。對訪問資料庫的所有用戶要科學的分配許可權,實現許可權等級管理,嚴禁越權操作,密碼強制定期修改,數據輸入檢查嚴密,盡量減少人工操作機會,防止非法使用網路系統資源。嚴禁在網路上放置和發布與業務系統無關信息,及時清除各種垃圾文件,對一切操作要有記錄,以防誤操作損壞網路系統或業務數據。做好數據備份,確保數據安全。
⑷ 網路金融風險的控制網路金融風險的對策建議
我國的網路銀行必須有足夠強的安全措施,否則將會影響到金融業的可持續發展。網路安全保障是一個綜合集成的系統,它的規劃、管理要求國家有關部門和金融機構、IT界通力合作,進行科學的、強有力的干預和導向,同時還應開展國際合作,共同打擊網路金融犯罪。
(一)加快電子商務和網路銀行的立法進程。一般來說,網路系統安全問題和網路金融立法的滯後與模糊是造成法律風險的原因之一。針對目前網路金融活動中出現的問題,加快法制建設步伐,盡快出台有關網上交易和網上銀行的法律法規,降低銀行的法律風險,規范網路金融參與者的行為。電子商務立法首先要解決電子交易的合法性、如怎樣取用交易的電子證據,法律是否認可這樣的證據,以及電子貨幣、電子銀行的行為規范,跨國銀行的法律問題。其次,對電子商務的安全保密也必須有法律保障,對計算機犯罪、計算機泄密、竊取商業和金融機密等也都要有相應的法律制裁,以逐步形成有法律許可、法律保障和法律約束的電子商務環境。再次,充分運用政策手段,鼓勵網上銀行按健康的發展方向開展業務。最後,提升整個社會的信用水平,建立和完善我國的信用制度。
(二)銀監會應提高對網路銀行的監管水平。由銀監會牽頭,其他銀行參加,統一制定一套關於網上銀行業務結算、電子設備使用等的規范標准,以便實現與國際金融業的接軌;要建立一套完整的網上銀行業務審批和監管機制,結合我國國情,借鑒國外發展經驗,成立專門機構對網上銀行的設立、管理、具體業務功能的實現及硬體和軟體系統的應用等進行研究,為網上銀行的發展提供技術服務、支持和指導,並利用網路等先進計算機技術進行非現場監管;針對網路銀行的安全問題,選擇安全標准,建立安全認證體系;針對黑客程序和病毒分別著手建立一套行之有效的程序免疫體系;建立金融信息管理分析系統和金融科技風險監測、預警體系;制定有關數字化電子貨幣的發行、支付與管理的規章制度。
(三)大力發展先進的、具有自主知識產權的信息技術,建立網路安全防護體系。網路金融的安全,最終是通過網路技術的應用來實現和支撐的,其關鍵技術有防火牆技術、數據加密技術和智能卡技術等,主要是通過採取物理安全策略、訪問控制策略、構築防火牆、安全介面、數字簽名等高新網路技術來實現。從硬體方面來說,目前我國在金融電子化業務中使用的計算機、路由器等軟、硬體系統大部分由國外引進,而且信息技術相對落後;從軟體方面來說,我國目前的加密技術、密鑰管理技術及數字簽名技術都落後於網路金融發展的要求,增大了我國網路金融發展的安全風險和技術選擇風險。因此,迅速縮小在硬體設備方面與發達國家之間的差距,並開發擁有自主知識產權的信息技術,是防範減少安全風險和技術選擇風險,提高網路安全性能的根本性措施。
(四)建立大型共享型網路銀行資料庫。要保障網路銀行的資產安全,必須要解決信息不對稱以及信息透明度的問題。依靠資料庫技術儲存、管理和分析處理數據,這是現代化管理必須要完成的基礎性工作。網路銀行資料庫的設計應該採用社會化大協作的思路,以客戶為中心進行資產、負債和中間業務的科學管理,不同銀行可實行借款人信用信息共享制度,建立不良借款入的預警名單和「黑名單」制度。對有一定比例的資產控制關系、業務控制關系、人事關聯關系的企業或企業集團,通過資料庫進行歸類整理、分析、統計,統一授信的監控。
(五)建立網路金融統一的技術標准。目前我國金融系統電子化建設存在規劃不統一、商業銀行技術標准不統一、技術規范不統一、商業銀行之間使用的安全協議各不相同的問題。應制定金融業統一的技術標准。中國金融認證中心的成立為此奠定了基礎。確立統一的發展規劃和技術標准,才有利於統一監管,增強網路金融系統內的協調性,減少支付結算風險,並有利於其它風險的監測。我們要盡快熟悉和掌握國際上有關計算機網路安全的標准和規范,如掌握和應用國際ISO對銀行業務交易系統的安全體系結構等,制定一套較為完整的國際標准,以便我國網路銀行在風險防範上與國際接軌。
(六)加強對金融創新的研究、開發和利用。我國對金融創新的研究,特別是其應用目前還處於比較低的水平,許多金融衍生工具尚沒有得到利用,學術界和實務界應聯合攻關,不斷創造、設計、開發出各種新的組合金融工具,使我國金融衍生工具創新和風險控制能得以加強,以期在一定風險度內獲得最佳收益。
⑸ 金融行業如何防範安全風險
這些變化引發了金融行業的兩大戰略轉變:從以賬戶為中心向以客戶、服務、管理為中心進行轉變;從單一的經營模式向全球網路化、多元化的混業經營模式轉變。這些變革,將給金融信息化帶來新的機會和挑戰。 首先,銀行將全面部署與整合新一代綜合業務系統。 銀行業未來經營格局將是面向多市場、跨平台、多交易品種,因此新型的綜合業務系統將成為金融業的必然選擇。數據大集中已經基本完成,接下來必將是應用系統的整合。而新型的綜合業務系統將是整合應用系統的核心引擎。新型的綜合業務系統將具備以下幾個特點:一、安全、穩定、可靠;二、靈活、多變、多功能,要快速支持金融行業快速的產品創新和差異化服務;三、以客戶為中心。 其次,更加強調數據的合理與有效利用 現在很多商業銀行已經實現數據的物理或邏輯集中,在數據大集中的基礎上進一步有效利用數據將成為銀行下一步信息化建設的重點。如使用數據倉庫、數據挖掘、商業智能、決策支持等技術,基於基礎客戶信息數據,通過信息挖掘、提煉,對銀行的業務流程、產品等進行改進,從而為銀行提供全方位的管理視角,全面提高和改善銀行經營質量和服務水平。目前國內已經有多家銀行嘗試應用CRM系統,用於理財、貸款、信用卡、中間業務等服務。 通過數據倉庫、商業智能等工具把原始信息變成有價值的信息。基於數據倉庫的決策支持系統(DSS)能夠幫助銀行實現對客戶的正確識別和經營風險的自動預警。通過數據挖掘技術,能夠有效地控制關聯企業的信貸風險,建立以客戶管理為中心的信貸決策體系和成本控制體系,保證商業銀行信貸資金的有效配置和信用風險的有效控制,從而體現商業智能和自動化處理的價值。 第三,更加註重數據安全與業務連續性風險 隨著信息技術在銀行普遍、深入的應用,信息系統的正常運行已經成為銀行業務正常運營最基本的條件之一。意外災禍、系統故障、人為操作不當、安全管理及措施的漏洞等都有可能造成信息系統不能正常工作,影響到銀行業務的正常運營。信息安全越來越成為銀行信息化建設與管理中需要密切關注的問題。 第四, 銀行間數據將互聯互通 各個商業銀行間數據的互聯互通不僅是客戶的基本需求,也是國家經濟發展的需求,同時也有利於銀行間數據的共享、擴展各自業務的覆蓋范圍。著眼於此,數據標准化、集成化將是一段時期內需要重點關注與發展的領域。 第五, 前台業務處理系統與後台支持系統進行數據整合 完善的前台業務處理系統與強大的後台支持管理系統是商業銀行的兩大基礎系統,系統間的數據整合將是發展的必然趨勢。完善的前台處理系統是銀行運作、經營的基本系統,強大的財務、人力資源管理、利潤分析、風險控制、績效評估和戰略決策等支持系統是銀行正常運作和良性發展的支撐。通過一定的方式和手段,對兩大基礎系統間的數據進行整合有利於業務經營與發展目標的實現。 對安全提出新挑戰 金融行業的這些變革趨勢,對安全提出了更多新的挑戰。 首先,銀行業風險管控的要求本身就很高。新巴塞爾協議對銀行的風險管控提出了新的要求,新協議由三大支柱組成:一是最低資本要求;二是監管當局對資本充足率的監督檢查要求;三是信息披露要求。在銀行信息化過程中,銀行必須將自身的業務、技術需求與新協議中的要求結合起來,做到風險與收益、控制與效能的平衡。 其次,對數據的保密性、完整性、有效性提出更高的要求。銀行數據的大集中,對數據的保密性、完整性、有效性提出了更高的要求。數據集中的同時也伴隨著風險的集中,如何准確地在效率與安全之間選擇平衡點將是一個需要解決的問題。 第三, 個人數據的隱私保護成為一個關注點。支付卡行業數據安全標准委員會已經制定和發布了支付卡行業數據安全標准(PCI-DSS),對涉及支付卡的數據安全提出明確要求,作為該類數據的收集、存儲和使用機構,銀行需要在信息化中遵守相關的標准,以對個人數據的隱私性加以保護。 第四, 銀行業務的可靠性和可持續性成為銀行信息化中的重要目標。由於銀行經營活動的特徵,決定了銀行業務與數據必須具有高可靠性和高可持續性的特徵,而這些特徵在銀行業信息化中將得到具體體現,如對系統、數據的高可靠性指標的要求,業務持續性管理的要求等。 實施六大措施對風險進行管理 如何應對這些挑戰,是金融行業在變革中需要面對的難題。建議可通過實施以下六種風險管控措施,多管齊下地防範金融風險。 首先,進行業務流程的改進,通過梳理和優化業務流程, 有效提高業務系統的效率、效果,有效控制風險發生的可能性。 其次,進行資產負債管理(ALM),有效控制並預防流動性風險,降低因資產負債不匹配而導致的額外成本,並為經營決策提供支持,增強銀行盈利能力。 第三,應用系統風險評估與控制咨詢,實施業務系統風險與控制的評估、設計、審計服務,可以有效降低業務流程風險,避免人為控制出現的偏差與失誤。 第四,對信息安全與業務持續性進行有效管理,由於綜合業務系統的特殊性,需要對大量受保護的業務、經營數據和個人隱私數據進行風險評估,進而實現其保密性、完整性和有效性。為保持銀行業務的連續性,需實施業務持續性管理,其中包括業務影響性分析、風險評估、確定業務持續性戰略、制定業務持續性計劃、實施業務持續性管理、測試與審計持續性服務等。 第五,實施企業信息管理服務(EIM),通過合理設計、適當選擇數據管理的方式,讓銀行優化業務系統平台。並通過使用數據分析與挖掘技術,實施高質量的數據管理。 第六,進行商業欺詐、反舞弊調查,可通過財務調查,發現、識別、評估並處理商業欺詐、舞弊行為,防止和挽回損失。 為了在中國市場繼續保持高速增長,賽門鐵克公司最近對渠道體系進行了重大改革,並加強了對渠道商的合作。
⑹ 網上銀行的安全問題
網路信息技術的發展和電子商務的普及,對企業傳統的經營思想和經營方式產生了強烈的沖擊。以互聯網技術為核心的網上銀行使銀行業務也發生了巨大變化。「網上銀行」在為金融企業的發展帶來前所未有的商機的同時,也為眾多用戶帶來實實在在的方便。作為一種全新的銀行客戶服務提交渠道,客戶可以不必親身去銀行辦理業務,只要能夠上網,無論在家裡、辦公室,還是在旅途中,都能夠每天24小時安全便捷地管理自己的資產,或者辦理查詢、轉賬、繳費等銀行業務。「網上銀行」的優越性的確很明顯。但是面對這一新興的事物,人們卻有一個最大的疑惑:「網上銀行」安全嗎? 人們有這種顧慮不無道理。銀行業務網路與互聯網的連接,使得網上銀行容易成為非法入侵和惡意攻擊的對象,加上目前網路秩序較混亂,黑客攻擊事件層出不窮,也給人們的心理造成了一定影響。
一般來說,人們擔心的網上銀行安全問題主要是:
1. 銀行交易系統被非法入侵。
2. 信息通過網路傳輸時被竊取或篡改。
3. 交易雙方的身份識別;賬戶被他人盜用。
從銀行的角度來看,開展網上銀行業務將承擔比客戶更多的風險。因此,我國已開通「網上銀行」業務的招商銀行、建設銀行、中國銀行等,都建立了一套嚴密的安全體系,包括安全策略、安全管理制度和流程、安全技術措施、業務安全措施、內部安全監控和安全審計等,以保證「網上銀行」的安全運行。
銀行交易系統的安全性
「網上銀行」系統是銀行業務服務的延伸,客戶可以通過互聯網方便地使用商業銀行核心業務服務,完成各種非現金交易。但另一方面,互聯網是一個開放的網路,銀行交易伺服器是網上的公開站點,網上銀行系統也使銀行內部網向互聯網敞開了大門。因此,如何保證網上銀行交易系統的安全,關繫到銀行內部整個金融網的安全,這是網上銀行建設中最至關重要的問題,也是銀行保證客戶資金安全的最根本的考慮。
為防止交易伺服器受到攻擊,銀行主要採取以下三方面的技術措施:
1. 設立防火牆,隔離相關網路。
一般採用多重防火牆方案。其作用為:
(1) 分隔互聯網與交易伺服器,防止互聯網用戶的非法入侵。
(2) 用於交易伺服器與銀行內部網的分隔,有效保護銀行內部網,同時防止內部網對交易伺服器的入侵。
2. 高安全級的Web應用伺服器
伺服器使用可信的專用操作系統,憑借其獨特的體系結構和安全檢查,保證只有合法用戶的交易請求能通過特定的代理程序送至應用伺服器進行後續處理。
3. 24小時實時安全監控
例如採用ISS網路動態監控產品,進行系統漏洞掃描和實時入侵檢測。在2000年2月Yahoo等大網站遭到黑客入侵破壞時,使用ISS安全產品的網站均倖免於難。
身份識別和CA認證�
網上交易不是面對面的,客戶可以在任何時間、任何地點發出請求,傳統的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進行認證。但是,用戶的密碼在登錄時以明文的方式在網路上傳輸,很容易被攻擊者截獲,進而可以假冒用戶的身份,身份認證機制就會被攻破。
在網上銀行系統中,用戶的身份認證依靠基於「RSA公鑰密碼體制」的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗,全部通過後才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的「數字證書」。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數字證書的引入,同時實現了用戶對銀行交易網站的身份認證,以保證訪問的是真實的銀行網站,另外還確保了客戶提交的交易指令的不可否認性。 由於數字證書的惟一性和重要性,各家銀行為開展網上業務都成立了CA認證機構,專門負責簽發和管理數字證書,並進行網上身份審核。2000年6月,由中國人民銀行牽頭,12家商業銀行聯合共建的中國金融認證中心(CFCA)正式掛牌運營。這標志著中國電子商務進入了銀行安全支付的新階段。中國金融認證中心作為一個權威的、可信賴的、公正的第三方信任機構,為今後實現跨行交易提供了身份認證基礎。
網路通訊的安全性
由於互聯網是一個開放的網路,客戶在網上傳輸的敏感信息(如密碼、交易指令等)在通訊過程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發生,網上銀行系統一般都採用加密傳輸交易信息的措施,使用最廣泛的是SSL數據加密協議。
SSL協議是由Netscape首先研製開發出來的,其首要目的是在兩個通信間提供秘密而可靠的連接,目前大部分Web伺服器和瀏覽器都支持此協議。用戶登錄並通過身份認證之後,用戶和服務方之間在網路上傳輸的所有數據全部用會話密鑰加密,直到用戶退出系統為止。而且每次會話所使用的加密密鑰都是隨機產生的。這樣,攻擊者就不可能從網路上的數據流中得到任何有用的信息。同時,引入了數字證書對傳輸數據進行簽名,一旦數據被篡改,則必然與數字簽名不符。SSL協議的加密密鑰長度與其加密強度有直接關系,一般是40~128位,可在IE瀏覽器的「幫助」「關於」中查到。目前,建設銀行等已經採用有效密鑰長度128位的高強度加密。
客戶的安全意識�
銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。目前,我國銀行卡持有人安全意識普遍較弱:不注意密碼保密,或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網上被盜用,例如進行購物消費等,從而造成損失,而銀行技術手段對此卻無能為力。因此一些銀行規定:客戶必須持合法證件到銀行櫃台簽約才能使用「網上銀行」進行轉賬支付,以此保障客戶的資金安全。
另一種情況是,客戶在公用的計算機上使用網上銀行,可能會使數字證書等機密資料落入他人之手,從而直接使網上身份識別系統被攻破,網上賬戶被盜用。
安全性作為網路銀行賴以生存和得以發展的核心及基礎,從一開始就受到各家銀行的極大重視,都採取了有效的技術和業務手段來確保網上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續越煩瑣,使用操作越復雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進行權衡。到目前為止,國內網上銀行交易額已達數千億元,銀行方還未出現過安全問題,只有個別客戶由於保密意識不強而造成資金損失。
總 結
據有關資料顯示,現在美國有1500多萬戶家庭使用「網上銀行」服務,「網上銀行」業務量占銀行總業務量的10%,到2005年,這一比例將接近50%。而我國網上銀行業務量尚不足銀行業務總量的1%,就此點講我國網上銀行業務的發展前景極為廣闊,我們有理由相信,隨著國民金融意識的增強,國家規范網上行為的法律法規的出台,將會有更好的網上銀行使用環境,能為客戶提供「3A服務」(任何時間、任何地點、任何方式)的「網上銀行」一定會贏得用戶的青睞。
自從美國在1995年推出世界第一家網路銀行------安全第一網路銀行,世界各國網路銀行的發展勢頭十分迅猛。美國在2002年時,約有560萬個家庭每月至少使用一次網路銀行功能或在線支付功能。2003
年,東亞銀行、匯豐銀行等均在我國內地開辦了網路銀行業務。我國第一家網路銀行出現於1998年。有報道說,到2004年底,我國網路銀行個人客戶已達到1758萬戶,企業用戶已達60萬戶,網路銀行交易量達到了49萬億元。
但是,正當消費者接受並嘗試著這一新鮮事物帶來的新奇和便捷時,因安全問題引發的欺詐案件卻接踵而來。這使得消費者開始產生質疑,不得不重新審視網路銀行的可信度。網路銀行的安全究竟該如何認識?問題是出在銀行,還是在消費者自身缺乏防範意識?安全問題確實已成為網路銀行發展過程中的一個聚焦。
形形色色的網銀安全問題
網路銀行,又稱網上銀行或在線銀行,是指銀行以自己的計算機系統為主體,以單位和個人的計算機為入網操作終端,藉助互聯網技術,通過網路向客戶提供銀行服務的虛擬銀行櫃台。簡單地說,網路銀行就是互聯網上的虛擬銀行櫃台,它把傳統銀行的業務「搬到」網上,在網路上實現銀行的業務操作。
在西方發達國家,網路銀行業務一般分為三類,即信息服務、客戶交流服務和銀行交易服務。信息服務是銀行通過互聯網向客戶提供產品和服務。客戶交流服務包括電子郵件、帳戶查詢、貸款申請等。銀行交易服務包括個人業務和公司業務,前者包括轉帳、匯款、代繳費用、按揭貸款、證券買賣、外匯買賣等;後者包括結算、信貸、投資等。銀行交易服務是網路銀行的主體業務。
網路銀行的特點是客戶只要擁有帳號和密碼,便能在世界各地通過互聯網,進入網路銀行處理交易。與傳統銀行業務相比,網路銀行的優勢體現在,不僅能夠大大降低銀行的經營成本,還有利於擴大客戶群,交叉銷售產品,吸引和保留優質客戶。由於客戶採用的是公共瀏覽器軟體和公共網路資源,節省了銀行對客戶端的軟、硬體開發和維護費用。網路銀行的無時空限制的特點,打破了傳統業務受地域和時間的限制,能在任何時候、任何地方為客戶提供金融服務;並且在整合各類交叉銷售產品信息的基礎上,實現金融創新,為客戶提供更具個性化的服務。
網路銀行發展的模式有兩種,一是完全依賴於互聯網的無形的電子銀行,也叫「虛擬銀行」;另一種是在現有的傳統銀行的基礎上,利用互聯網開展傳統的銀行業務交易服務。因此,事實上,我國還沒有出現真正意義上的網路銀行,也就是「虛擬銀行」,國內現在的網路銀行基本都屬於第二種模式。
對於銀行來講,歷來是「信用第一」。網路銀行既然是互聯網的產物,互聯網所帶來的一切安全隱患,自然會波及網路銀行,影響其信用。因此,網路銀行的安全問題不僅是客戶最擔心的事情,也為各傳統銀行所關注和重視。網路銀行面臨的安全隱患除了來自數據傳輸風險、應用系統設計的缺陷和計算機病毒的攻擊三個方面外,利用網路銀行進行欺詐的行為是當前危害最大、影響最惡劣的一個安全問題。這些欺詐手段包括假冒銀行網站、電子郵件欺詐和網上交易陷阱等。
假冒銀行網站具有很強的隱蔽性,其域名通常和真實銀行的域名相差一個字母或數字,主頁則與真實銀行的非常相似。欺詐郵件是提供一個與銀行或購物網站極為相似的鏈接,收到此類郵件的用戶一旦點擊這個鏈接,緊接著頁面會提示用戶繼續輸入自己的帳戶信息;如果用戶填寫了此類信息,這些信息將最終落入詐騙者手中。而網上交易陷阱則是,一些不知名的購物網站通常會打出超低價商品等信息,待用戶點擊付款鏈接時就將用戶的銀行資料騙取出去。面對發生在網路銀行上形形色色的安全問題,各家銀行的反映如何?它們都採取了哪些相應的措施?
銀行篇:該出手時就出手
8月份,國內14家商業銀行與中國金融認證中心(CFCA)聯合推出「2005放心安全用網銀」的活動。銀行界與第三方安全認證機構聯手行動,為廣大消費者提供了一次了解網上銀行和信息安全知識的機會。
在這14家銀行中,中國工商銀行於2000年推出了網上銀行。通過採用國際先進的技術安全措施和嚴格的風險控制手段,工行建立了一整套嚴密的網上銀行技術與制度體系,確保了網上銀行安全的運行。
中國工商銀行電子銀行部副處長尚陽向記者介紹說,利用網上銀行進行欺詐行為,騙取客戶資金,目前主要有四種類型:一是不法分子通過電子郵件冒充知名公司,特別是冒充銀行,以系統升級等名義誘騙不知情的用戶點擊進入假網站,並要求他們同時輸入自己的賬號、網上銀行登錄密碼、支付密碼等敏感信息。二是不法分子利用網路聊天,以網友的身份低價兜售網路游戲裝備、數字卡等商品,誘騙用戶登錄犯罪嫌疑人提供的假網站地址,輸入銀行賬號、登錄密碼和支付密碼。三是不法分子利用一些人喜歡下載、打開一些來路不明的程序、游戲、郵件等不良上網習慣,有可能通過這些程序、郵件等將木馬病毒置入客戶的計算機內,一旦客戶利用這種「中毒」的計算機登錄網上銀行,客戶的賬號和密碼就有可能被不法分子竊取。
例如,人們在網吧等公共電腦上網時,網吧電腦內有可能預先埋伏木馬程序,賬號、密碼等敏感信息。四是不法分子利用人們怕麻煩而將密碼設置得過於簡單的心理,通過試探等方式可能猜測出密碼。所以,為了保證信息和資金的安全,我們不僅需要具備辨識網路詐騙的能力,更需要養成良好的網上銀行使用習慣。當然,如果用戶申請了客戶證書,就可以有效防範目前常見的各種網路犯罪,確保用戶資金安全無憂。
工商銀行網上銀行系統的安全保障是多層的,包括網上銀行技術安全和業務安全,二者共同構成了一個完備的網上銀行安全體系。從技術安全的層面上,網上銀行的技術安全包括網路安全和交易安全兩個方面。網路安全確保工行網站的安全可靠,交易安全確保客戶通過網上銀行進行交易的資金安全。其中,網路安全涉及系統安全、網路運行安全等。
系統安全實際上指的是主機和伺服器的安全,主要包括反病毒、系統安全檢測、入侵檢測(監控) 和審計分析;網路運行安全就是指要具備必須的針對突發事件的應急措施,如數據的備份和恢復等等。工商銀行為保障網上銀行的網路安全性,採取了一系列措施,包括:在互聯網與網上銀行伺服器之間設置第一道防火牆, 在門戶網站伺服器和工行內部網路(應用伺服器)之間設置第二道防火牆。第二道防火牆與入口的第一道防火牆採用的是不同廠商的產品,設置不同的安全策略,使黑客即使攻破第一道防火牆,也無法輕易攻破第二道防火牆而進入內部網路,等等。
在確保網路安全的同時,工行網上銀行還採取了一系列確保網上交易安全的措施,包括採用中國金融認證中心(CFCA)提供的、目前最嚴密的1024位證書認證和128位SSL加密的公鑰證書安全體系等等。根據客戶對方便性和安全級別要求的不同,工行將客戶分為無證書客戶和證書客戶兩大類。沒有申請證書的客戶要進入網上銀行,首先要驗證客戶的賬號(或自己設立的登錄ID)和登錄密碼,對外支付還必須驗證支付密碼。
此外,通過增加密碼難度(必須是6—30位數字與字母的組合)、設置虛擬「e」卡(專門用於網上購物)和每日支付最高限額等一系列方式,最大限度地保證客戶安全使用網上銀行。對於申請了證書的客戶,工行USBKey客戶證書是一個外形類似U盤的智能晶元,是網上銀行的「身份證」和「安全鑰匙」,也是目前安全級別最高的一種安全措施。客戶申請了這個證書後,網上所有涉及資金對外轉移的操作,都必須通過這個客戶證書才能完成,而此證書,僅客戶自己保管和使用。換句話說,賬號、登錄密碼、支付密碼、客戶證書、證書密碼等種種安全防範措施,只要其中一樣沒有丟失或泄露,或即使丟失,只要密碼和證書沒有被同一個人獲得,就不存在資金安全問題。
除了技術安全外,工行在業務安全層面上,制定了健全的內部櫃員操作管理機制。整個網上銀行的內部管理系統,都通過工行內網向全行提供統一的內部管理功能。系統內部從總行、省行到市行建立4類9級櫃員制度,逐級管理,每一級對下一級有管理、監督的許可權。同時櫃員在進行一些關鍵性操作時,還需要上一級櫃員的實時審核,防止單人作案。
那麼,用戶應該如何安全使用網上銀行?尚陽副處長說,對於有了客戶證書的客戶來說,只要密碼和證書沒有被同一個人獲得,就能確保客戶資金的安全。而沒有申請客戶證書的客戶,只要保管好自己的賬號和密碼以及支付密碼,就是非常安全的。總而言之,有幾點需要提醒人們:1.要妥善保管好自己的賬號和密碼。2.謹防假網站索要賬號、密碼、支付密碼等客戶敏感信息。3.維護好自己的電腦。不要輕易下載一些來歷不明的軟體。最好不要在公共場所(如網吧、公共圖書館等)使用網上銀行。4、最有效的方式就是到工行網點申請一個客戶證書。一旦擁有了自己的客戶證書,就可以有效防範諸如假網站、「木馬」病毒等網路詐騙;換句話說,即使假網站、「木馬」病毒通過欺騙等手段獲得了您的賬號、密碼等敏感信息,但有了證書,照樣可以安心使用網上銀行。
華夏銀行也是在2000年開始著手網路銀行業務的。自2001年5月17日發生第一筆網上銀行交易,截至2005年6月,網上銀行的企業客戶數接近1.2萬個,個人注冊客戶數接近21萬個;累計交易金額超過7500億元,交易筆數超過44萬筆。
據華夏銀行網路銀行部網銀業務室副經理高靜文介紹說,國家計算機網路應急技術處理協調中心(CNCERT/CC)的報告顯示,2004年上半年,我國的主機被用於進行各類網路欺詐的事件有20起左右,同年7月至10月已經超過了110起。隨著網上銀行應用的普及,這樣的欺詐事件會越來越多,犯罪分子利用的技術手段也越來越先進。他們竊取銀行客戶賬號和密碼,給用戶的資金安全造成了嚴重的威脅。
為此,華夏銀行在技術策略、管理策略和業務策略等方面形成了一套完善的綜合安全管理體系,在銀行端和客戶端採取了多重技術和業務安全保障措施。
他們的技術措施包括:架構設計採用統一出入口的集中模式。網上銀行的所有業務操作均通過華夏銀行總行的門戶網站登錄進行,集中化的管理有利於集中優勢人力、物力和技術,確保交易的安全性,降低了假網站出現的概率。在公共網路和銀行網站之間,網站和交易伺服器之間,交易伺服器和銀行內部網之間採用了三重不同規格型號的防火牆,隔離了相關網路;其作用是通過這三道防火牆可分別防止非法訪問網站,防止網站訪問者對網銀的非法入侵,以及有效保護銀行內部網,同時防止內部網對網銀交易伺服器的入侵。與工行一樣,華夏銀行採用的也是128位SSL數據加密協議和CFCA頒發的數字證書。數字加密協議在用戶和網銀伺服器之間建立了秘密而可靠的連接,確保信息傳輸的完整性和安全性。數字證書則保障了交易的完整性、機密性和不可否認性。
華夏銀行的業務安全措施是:證書採用IC卡或U盤存放,便於私密保管,且難以偽造;證書認證密碼和系統登錄密碼雙重保護;網上轉帳須經記帳與授權多重確認;客戶密碼3個月未更換,系統自動提醒客戶修改密碼;密碼連續錯誤多次,系統自動鎖定,不允許登錄防止惡意試探密碼;企業可根據自身實際情況設定多種授權組合;客戶的每一次點擊操作,機房都能實時監控;完整的日誌記載可為事後審計提供依據。
在安全管理上,華夏銀行的網上銀行專門建立了應急預案;成立專門的安全處提供技術保障;系統運行部門配備專門人員,並對系統進行實時監控和處理。
高靜文副經理說,網上銀行欺騙是國際性難題,即使在國外,也沒有完全有效的技術手段,這是一個需要各方面共同努力的問題。從用戶來說,要培養安全意識,嚴格按照銀行提示操作,如果接到來歷不明的簡訊或郵件時應有防範意識。從銀行來說,除了採取足夠的安全措施和內部控制手段外,還要利用各種渠道向用戶講解網銀安全的知識,提醒用戶注意事項。而司法部門則需對網上銀行的欺詐行為做出嚴格的法律界定。
企業篇:技術不是問題 防範最重要
各銀行在網上銀行的安全防範措施上,可謂使出渾身解數。如果說,銀行是以「信用為己任」,那麼廠商就是以「保護信用為己任」。對於網上銀行的安全問題,方正信息安全技術有限公司總裁施文洪認為,網路銀行好比航空公司,具有高風險且安全性也高的特點。對於網上銀行的安全,大的安全廠商主要解決的是網路級的安全問題,從銀行的交易平台、專線、內網到公網這條線路上來確保網路的安全。在網路層面上,防火牆、防病毒軟體、IDS產品等是網上交易平台外圍安全的保障。網上銀行與用戶之間的安全保障則需要數字證書、USBKEY等。網上銀行是一個高端的業務,方正將通過與高端的集成商合作,推出不僅具有高技術含量的產品,更具有實用性的產品,讓消費者從心理上有安全感和可信感。
方正安全在信息安全領域,覆蓋了防火牆、防病毒、內容安全網關、入侵檢測和虛擬專用網等五大產品線四十多款產品,最新的熊貓入侵防護TRUPREVENT企業版,是一款集已知和未知威脅防護於一身的入侵防護軟體,能最大程度地抵禦病毒、木馬、蠕蟲等網路威脅。這款基於識別行為技術的智能化的產品,是方正邁向未來智能化的網路安全產品走出的第一步。施總說,技術從來不是問題,問題在於技術如何在最恰當的時候以最恰當的方式轉化為產品切入市場。未來的網路銀行應該基於IP網,基於IP網的安全產品實現移動、無線、便攜後,才能真正實現網路的安全性和可靠性。
記者又采訪了以「電子支付專家」為發展定位的網銀在線(北京)科技有限公司,這是一家為從事電子商務的企業和個人提供電子支付解決方案的企業。作為中立的第三方支付平台,網銀在線提供的是在線支付網關和個人虛擬帳戶(類似C TO C 支付帳戶),主要解決電子商務中資金流的問題。它在銀行和商戶之間搭起了一座橋梁,一方與銀行鏈接,另一方利用數字證書為商戶提供支付平台。因此,網銀在線無論是為商戶提供交易平台,還是為銀行提供結算平台,都和安全問題密切相關。
網銀在線執行總裁、做技術出身的趙國棟說,網上銀行出現的安全問題在很多情況下不是技術本身的原因造成的,更多是人們自身防範意識不夠和管理上的問題。作為第三方支付平台,網銀在線在安全保障上是嚴密而慎重的。它們的安全措施包括:與天威誠信合作推出了符合〈〈中華人民共和國電子簽名法〉〉的網上支付網關。
由天威誠信提供的數字證書加密後的交易數據,可以有效預防黑客的竄改和竊取,最大限度地保障了商戶交易數據的安全,保證了交易數據的完整性、不可抵賴性,防止支付網關自身修改交易數據。其次,採用了國際機構VERISIGN的128位SSL加密傳輸機制,將交易信息通過高強度的加密後進行傳輸,進一步防止黑客竊取信息。第三,與VISA合作推出符合3D安全規范的國際信用卡支付平台。VISA驗證服務以安全易用為原則,採用全球互通付款的「3D技術」,是VISA國際組織為提高信用卡網上支付的安全性,保障用戶網上支付安全,維護用戶利益而推出的一項安全驗證服務。有了VISA驗證服務,網上交易就有了雙重保險。
在伺服器的安全上,網銀在線採用硬體防火牆與軟體防火牆結合的方式屏蔽大部分的病毒和攻擊。在銀行端方面,它們採用的是SSL128位加密演算法和SET(安全電子交易)協議,保證了B2C在線支付的安全實施。在支付平台與銀行之間的結算方面,網銀在線採用了二次結算的模式,成為支付過程中公正的第三方。在交易過程中,交易雙方的信息傳遞到支付平台並留有存證,交易雙方都可以方便地查詢訂單及相關信息,特別是在出現交易糾紛的時候,有關信息可作為仲裁的有力證據。看來,不論從銀行角度出發,還是從廠商角度出發,一致認為以PKI技術為基礎的數字證書是一種更可靠的安全防護措施。
⑺ 網路銀行的信用風險如何控制
我國網路銀行面臨的風險與對策 論文
[摘 要] 文章從技術上、操作上、社會環境等方面闡述了網路銀行的風險及其相應的防範措施。
[關鍵詞] 網路銀行;風險;防範
我國網路銀行除了具有傳統銀行的流動性風險、利率風險、結算風險、道德風險、新金融工具風險外,還增加了一些網路環境下的新風險。
一、 我國網路銀行面臨的風險
1.系統風險
(1) 操作系統風險。操作系統是作為計算機資源的直接管理者,它直接和硬體打交道並為用戶提供介面,是計算機系統能夠正常、安全運行的基礎。Windows操作系統存在許多安全漏洞,UNIX操作系統是一個開放的系統,源代碼已公開。根據美、荷、法、德、英、加共同制定的通用安全評價標准《Common Criteria for IT Security Evaluation(簡稱CC標准)》,微軟的Windows操作系統、大部分的UNIX操作系統其安全性僅達到C2級安全,而網路銀行的操作系統的安全級別應至少達到B級。
(2)應用系統風險。網路業務系統設計存在漏洞。目前,網路應用軟體存在以下安全漏洞:無效參數、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統的非安全利用、遠程管理漏洞、網路及應用軟體伺服器錯誤配置。
在設計過程中,只重視「計算機如何完成任務」方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統沒有為審計留下介面,難以進行實時審計。
(3)數據存儲風險。數據存取、保密、硬碟損壞導致的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取、修改等風險。
2.操作風險
網路銀行操作風險是指由於網路銀行中的內部程序、人員、系統的不完善或失誤,以及外部事件而導致網路銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:
(1)網路銀行操作風險意識淡薄。
(2)組織機構職責不清。
(3)內控制度不健全或執行不力。
(4)沒有適合的網路銀行稽核審計部門。
3.信用風險
網路銀行的信用風險主要表現為客戶在網路上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。
4.信息不對稱風險
信息不對稱表現在兩個方面,一方面是由於網路銀行無法得到足夠客戶信息,另一方面是由於客戶無法得到有關網路銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網路銀行不利的行為,也使得客戶不能正確評價網路銀行的優劣。
5.法律風險
我國對網路銀行和網上交易缺乏相應的法規。如:如何徵收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。
二、 我國網路銀行風險防範對策
1.系統風險的防範
(1)物理安全。主要指對計算機設備場地、計算機系統、網路設備、密鑰等關鍵設備的安全防衛措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導線間的交叉耦合,同時對輻射進行防護。
(2)應用安全操作系統技術。安全操作系統不僅可以防範黑客利用操作系統平台本身的漏洞來攻擊網路銀行交易系統,而且它還可以在一定程度上屏蔽掉應用軟體系統的某些安全漏洞。美國先後開發了各種級別的安全操作系統,其中作為商用的有Data General公司的DG UX B1/B2安全操作系統,HP公司的HPUX CMW B1級安全操作系統等。國內各大科研機構及公司也研製出高安全級別的操作系統,如:中科院信息安全工程研究中心研製的SECLINUX安全操作系統、中軟總公司研製的COSIX LINUX系統。目前,中國建設銀行的網路銀行系統建立在安全操作系統平台之上,該系統基於HP9000硬體平台,採用HP公司的B1級安全操作系統。
(3)數據通信加密技術的應用。對傳輸中的數據流進行加密,按實現加密的通信層次可分為鏈路加密、節點加密、端到端加密。在鏈路數較多以及對流量分析要求不高的情況下,適合採用「端到端加密」方式。在對流量分析要求較高的情況下,可採用「鏈路加密」與「端到端加密」相結合的方式:用「鏈路加密」對報文的報頭進行加密,防止進行流量分析,再用「端到端加密」對傳送的報文進行加密保護。
對數據進行加密的演算法主要有DES和RSA兩種。DES屬於私鑰加密體制(又稱對稱加密體制),它的優點是加、解密速度快,演算法容易實現,安全性好,缺點是密鑰管理不方便。RSA屬於公鑰加密體制(又稱非對稱加密體制),它的優點是安全性好,網路中容易實現密鑰管理。因此可以採用將DES和RSA相結合的綜合加密體制:用DES演算法對數據進行加密,用RSA演算法對密鑰進行加密。
(4)應用系統安全。應用系統安全主要包括對交易雙方的身份確認和對交易的確認。在網路銀行系統中,用戶的身份認證依靠數字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統進行身份認證。數字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎設施——PKI(Public Key Infrastructure)是解決大規模網路環境中信任和加密問題的很好的解決方案。同時採用安全電子交易協議,目前主要的協議標准有:安全超文本傳輸協議(S-HTTP)、安全套接層協議(SSL)、安全交易技術協議(STT)、安全電子交易協議(SET),其中SET涵蓋了信用卡的交易協定、信息保密、資料完整及數據認證、數字簽名等,已經成為事實上的工業標准。
加強應用系統開發過程的審計,應用系統運行過程中的實時審計。
(5)應用資料庫安全技術。應用存取控制技術、數據加密技術、硬碟分區防護技術、資料庫的安全審計技術、故障恢復技術等。
(6)應用防火牆安全技術。建立綜合計算機病毒檢測技術、代理服務技術和包過濾技術的第四代防火牆,提供DES加密、支持鏈路加密或虛擬專網、病毒掃描等安全服務,並具有實時報告、實時監控、記錄非法登錄、統計分析等功能。設置放火牆時要截止所有從135到142的TCP和UDP連接,改變默認配置埠,拒絕PING 信息包,通過設置ACCESS LIST 的過濾規則來實現包過濾功能。採用防火牆雙機冷備份策略。進行入侵檢測和定期漏洞掃描。
2.操作風險的防範
操作風險主要來自銀行內部,應完善網路銀行的內部控制制度,建立科學的操作規范,嚴格內部制約機制,將不相容職務如管理員與經辦員分離、程序員與操作員分離、製作者與執行者分離,對主管和操作員實行IC卡身份鑒別,並同時加口令,任何進入系統的操作必須有日誌記載。
建立操作風險管理中心,對員工進行防範操作風險的技術培訓,監督各項操作風險管理制度的執行情況,對網路銀行的操作風險進行評估,並採取相應措施。建立操作風險應急反應中心,對業務的影響因素進行研究,識別出可能導致業務中止的情況,系統的備份及定期測試公司的災難應急計劃,對出現的安全問題提供技術支援和解決方案。使用保險來抵補那些「低頻率、高危害」的操作風險。建立操作風險審計中心,對全部的網路銀行業務實時監控、網路掃描,並利用審計記錄,對業務操作人員和計算機系統管理人員進行稽核。
來自外部的操作風險,尤其是網路銀行金融欺詐方面,不但要對個人服務的零售業務進行監控,還要加強對登錄網路銀行的企業加強監控,通過數據挖掘軟體對可疑資金交易進行分析,防範利用網路進行非法資金交易。
3.信用風險的防範
建立全國性的用戶信用管理信息系統,將用戶劃分為不同的信用等級,針對不同等級的用戶採取不同的管理措施。應共享客戶資料信息庫,與其他商業銀行、保險公司等非銀行金融機構、世界各銀行等金融機構合作,及時將客戶的守信情況和違約情況記錄入庫。
4.信息不對稱風險的防範
建立信息披露制度,強化信息披露的質量。應定期發布經注冊會計師審計的關於網路銀行經營活動和財務狀況的公允信息,披露有關網路銀行風險的大小和網路銀行為了規避風險而採取的措施以及消費者權益保護的信息。建立社會監管體系,網路銀行之間進行相互監督。
5.法律風險的防範
應充分利用和執行《網路銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網路銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網路安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網路國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網路銀行應注重交易數據的保管,為可能的糾紛或訴訟過程做好證據准備。
建立網路銀行法律監管體系,制定網路銀行的外部懲罰措施以及網路銀行的市場退出機制。建立網路銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網路銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。
⑻ 銀行的主要業務面臨哪些風險
我國商業銀行主要面臨以下幾種風險:
(1)信用風險:即交易對象無力履約的風險;
(2)市場風險:是由於市場價格的變動,銀行的表內和表外頭寸所面臨遭受損失的風險;
(3)利率風險:指銀行的財務狀況在利率出現不利的波動時所面對的風險;
(4)流動性風險:指銀行無力為負債的減少或資產的增加提供融資,即當銀行流動性不足時,它無法以合理的成本迅速增加負債或變現資產獲得足夠的資金,從而影響了其盈利水平的情況;
(5)操作風險:主要在於內部控制及公司治理機制的失效;
(6)法律風險:包括因不完善、不正確的法律意見、文件而造成同預計情況相比資產價值下降或負債加大的風險;
(7)聲譽風險:該風險產生於操作上的失誤、違反有關法規和其他問題。
以下對上述風險進行簡要分析:
一,信用風險
這是商業銀行的主要風險,指獲得銀行信用支持的債務人不能遵照合約按時足額償還本金和利息的可能性.在商業銀行業務多樣化的今天,不僅涉及傳統的信用風險仍然是商業銀行的一項主要風險,而且,貼現,透支,信用證,同業拆放,證券包銷等業務中涉及的信用風險也是商業銀行面臨的重要風險.信用風險主要有以下幾類: 本金風險.是指銀行對某一客戶的追索權不能得到落實的可能性.如呆帳貸款,最終將表現為本金風險. 潛在替代風險.即由於市場價格波動,交易對手自交易日至交收日期間違約而導致損失的風險,其大小根據市場走勢向原先預計的相反方向發展時可能造成的最大損失來計算.對銀行而言,可能是交易對手違約,而市場又向不利方向發展的情況下,被迫代替交易對手完成原有交易所付出的代價. 第三者保證風險.如果債務人違約不能償還債務,而擔保方或承諾方又不能代債務人償還債務,就出現了第三者擔保風險. 證券交易和包銷風險.指的是證券二級市場交易和一級市場交易中的風險. 交收風險.指的是資金或證券交與收的過程中,通知時間和實際時間之差可能產生的風險.一旦有關交收無法執行或交手處理錯誤,該風險將轉化為本金風險. 信貸集中風險.是指銀行的貸款只發放給少數客戶,或者給某一個客戶的貸款超過其貸款總額的一定比例,從而使所發放的貸款遭受損失的可能性大大上升.
二,利率風險
指貨幣市場,資本市場利率的波動通過存款,貸款,拆借等業務影響商業銀行負債成本和資產收益等經濟損失的可能性.
三,流動性風險
是指銀行本身掌握的流動資產不能滿足即時支付到期負債的需要,從而使銀行喪失清償能力和造成損失的可能性.流動性風險,一方面是一種本原性風險,就是由於流動性不足造成;另一方面,也是最常見的情況,是其它各類風險長期隱藏,積聚,最後以流動性風險的形式爆發出來.從這種意義上講,流動性風險是一種派生性風險,即流動性不足,可能是由於利率風險,信用風險,經營風險,管理風險,法律風險,國家風險,匯率風險等風險源所造成的,銀行最終陷入流動性風險中不能自拔.
四,匯率風險
是指本幣或外幣匯率升值或貶值,使商業銀行的資產在持有或者運用過程中蒙受損失的可能性.
五,市場風險
是指商業銀行投資或者買賣動產,不動產時,由於市場價值的波動而蒙受損失的可能性.主要取決於商品市場,貨幣市場,資本市場,不動產市場,期貨市場,期權市場等多種市場行情的變動.
六,法律風險
是指因為對法律條文的歧義,變遷,誤解,執行不力,規定不細致等原因導致無法執行雙邊合約,造成銀行面臨損失的可能性。
七,經營風險
是指商業銀行在日常經營中,發生各種自然災害,意外事故,程序或控制失控,工作人員失誤及欺詐,使銀行面臨的風險.
八,管理風險
是指股東,董事或者高級管理人員不稱職,或者不誠實,使銀行面臨損失的可能性.
九,國家風險
即國家信用風險,是指借款國經濟,政治,社會環境的潛在變化,使該國不能按照合約償還債務本息,給貸款銀行造成損失的可能性.
十,競爭風險
就是金融業同業競爭造成銀行客戶流失,質量下降,銀行盈利減少,從而增大銀行風險,威脅銀行安全的可能性.
1.面臨管理體制的挑戰。國外銀行大多是按照國際慣例進行經營管理的,基本上不受政府幹預。而我國金融業由於對外開放程度低,大部分銀行還不熟悉國際慣例,不適應在統一規則下進行管理的要求。尤其是我國的銀行業則正處於市場經濟體制改革的過程之中,還沒有完全按照市場機制、競爭規則和效率原則進行管理,一些銀行目前還不是真正意義上的金融企業。國家雖要求國內的銀行依據市場規則而不是按國家計劃去貸款,但在一定程度上仍承擔著政府宏觀調控的政策性職能,扮演著政府出納的角色。不僅銀行被迫進行所謂的政策性貸款的現象時有發生,而且在機構管理、業務經營、用工管理及分配方式等方面都還要執行上級行的統一要求。尤其是當國家財政困難時,銀行在很大程度上仍替代財政並長期承擔國家和地方的大量雙重政策性業務。據了解,目前,國有商業銀行的政策性貸款仍佔25%以上,而政策性貸款歷來是銀行貸款中質量最低的,也是不良資產貸款比例中最高的。管理上的差距將是制約我國銀行業發展的重大隱患。
2.面臨經營模式的挑戰。我國金融業目前推行的是嚴格的分業經營、分業管理的制度。按照商業銀行法,國內的商業銀行不允許開展投資業務,這在某種程度上制約了銀行業的進一步發展。而國外銀行大多採取混業經營的管理方式,即集商業銀行、投資銀行以及證券、保險於一身。在這種情況下,一旦當綜合化的國外金融機構進入我國市場,我國的銀行業在競爭中無疑將處於劣勢狀態。
3.面臨業務創新和優質服務的挑戰,加入WTO,我國將在金融業務創新和優質服務方面處於劣勢,而國外一些大銀行在這方面的發展已很成熟。我國銀行目前仍主要採用傳統的業務經營方式,並且發展業務的著眼點主要集中於存款市場份額上。這樣不僅容易導致我國銀行業經營傳統人民幣業務的風險上升,平均利潤率下降,而且容易造成涉外業務、中間業務和新的貸款業務發展緩慢,致使國際結算等業務的流失,使一些新的利潤增長點後勁不足。據統計,僅在我國的外資銀行辦理的風險小、成本低、利潤高的國際結算等中間業務目前已佔有我國市場份額的40%以上。
4.面臨技術手段和金融產品的挑戰。國外一些大銀行由於技術設備先進、科技化程度高、信息網路健全(銀行業務全球聯網)、創新能力強,使他們在金融業務和產品方面顯現出了全球化、自動化、電子化、標准化的趨勢,並且在技術手段創新和衍生金融產品等方面始終處於領先地位。由於金融產品的多樣性,國外銀行可以從各項業務、多種渠道中獲得盈利,以彌補某一方面的虧損。這種競爭對我國銀行業是不利的。我國銀行業由於實行分業經營使業務被限制在非常狹小的存貸款領域,並且基本服務對象主要面對國有企業,造成盈利渠道單一,提供的金融產品傳統,從而造成銀行的金融風險更加集中,競爭力持續弱化。
5.面臨融資風險的挑戰。加入WTO,由於我國的金融資產形式和融資手段過於單一,將加大我國銀行業的融資風險。目前我國金融資產形式主要是通過銀行進行間接融資,間接融資占金融資產形式的80%以上。我國目前這種過度依靠銀行的巨額儲蓄存款所形成的單一金融資產結構現狀,是由債券市場和股票市場等直接融資市場不發達甚至嚴重滯後造成的。間接融資比例過高,不僅已經難以適應WTO體制的要求,而且會增大銀行的經營風險。在西方發達國家,直接融資和間接融資的比例幾乎各佔50%。同時,由於國外銀行在很多領域享受超國民待遇。如在稅費方面,我國銀行的綜合稅費負擔率高達70%左右,而國外銀行只有30%。國外銀行這些優勢將可能造成國內優質客戶的大量流失和國內融資份額大幅度下降。統計表明,我國銀行80%的利潤來自20%的優質客戶。一旦我國的優質客戶被國外銀行搶走,我國銀行的優質資金來源將被分流,融資份額也將被擠占。最終將導致我國銀行業市場融資能力差和盈利能力下降。
6.面臨人才競爭的挑戰。加入WTO,國外金融機構與我國銀行業競爭最激烈的將是人才。隨著國外銀行業務在中國市場的不斷拓展,他們將會以高薪聘用、優厚福利、委以重任、出國培訓、公平的用人激勵機制以及優越的工作環境等條件,吸引大量我國銀行業的各類優秀人才,其結果將會使我國銀行業新一輪優秀業務骨幹流失,進一步加劇我國銀行與國際大銀行之間的差距。
7.面臨金融安全的挑戰。目前,我國的金融監管法規不健全、金融裝備落後、國產化程度低、風險防範能力差、安全監管能力不足、制約手段不強、內審制度不嚴格等是我國金融安全的最大隱患。僅以已進入我國的外資銀行為例,外資銀行只要在我國任何一個地方擁有機構,就可在全國范圍內開展業務。當前外資銀行普遍存在多存少貸的傾向,它們一方面將境內吸收的外幣存款資金調往境外以套匯套利,另一方面外資銀行通過轉移利潤、少繳存款准備金的方式逃避我國的稅收。還有一部分外資銀行則利用回扣、提成等非價格手段與國有銀行進行不公平競爭。如果我國對現有的少量外資銀行都缺乏監管手段,那麼一旦加入WTO,資本賬戶對外開放,國際游資進來,給我國銀行業將會帶來更大的風險,甚至可能引起金融秩序混亂。同時,由於我國金融安全監管能力弱,還將可能造成被國外銀行一向青睞的我國電信、通訊、媒體、鐵路、保險、高新技術企業、三資企業、大型私營企業等行業和市場,在對其全力的扶持下,在一定時間內獲取壟斷行業的利潤,以形成市場壟斷和產業壟斷。
8.面臨不良資產的挑戰。國外一些大的銀行由於規模龐大,資金實力雄厚,資產質量相對優良等優勢將在競爭中處於明顯得力的地位。如美國花旗集團資產總額高達7000多億美元,相當於我國四家國有獨資商業銀行資產的總和。美國商業銀行不良資產比例目前僅為0.67%,而我國銀行的不良資產卻高達30%,不僅遠遠高於人民銀行規定的17%的最高界限,同時也都大大高於人民銀行規定的逾期貸款不超過8%、保滯貸款不超過5%和呆賬不超過2%的比例界限。據調查,如果考慮銀行賬外貸款和繞規模貸款(貸款科目之外的其他資產科目中隱藏著實際屬於貸款的資產,是一種逃避規模控制的違紀行為)因素,國有四大商業銀行實際不良貸款的比例還要比賬面高出10個以上的百分點。如果再把實際的呆賬全部沖銷,有的國有商業銀行可能資不抵債。銀行不良資產的擴大是當前我國銀行業面臨的主要風險,也是制約銀行業健康運營和入世的重要障礙。
⑼ 網上銀行出現安全問題的主要原因
網上銀行出現安全問題主要基於網上銀行基礎架構環境所引發的技術風險。
互聯網的開放和虛擬性給作為傳統銀行的延伸和創新的網上銀行帶來復雜性和多樣性的風險,從信息安全形度分析,主要有三類:基於網上銀行基礎架構環境所引發的技術風險,主要包括:網上銀行客戶端安全認證風險。
網路傳輸風險、系統漏洞風險、數據安全風險、系統應急風險、內部控制風險、外包管理風險等。基於網上銀行金融業務特徵所形成的業務安全風險;
(9)銀行業網路安全風險擴展閱讀:
網上銀行安全介紹如下:
網上銀行管理體系信息安全風險。如何有效風范網上銀行風險,成為銀行和監管部門面臨的新的挑戰。加強防範意識,避免受到虛假信息的欺騙;
妥善保管好網上銀行認證信息,不在公共網路或場所使用;設置好的登錄和交易密碼,避免使用諸如生日、電話號碼等容易猜測的組合;網上銀行登錄密碼和對外支付密碼設置成不同的密碼並定期更新。
⑽ 網商銀行提示安全風險
網上銀行,是為了方便客戶所開發的網路產品,需要到銀行櫃台開通,網上注冊後就可辦理z轉賬,購物,繳費等業務