admin 管理员组

文章数量: 1087139


2024年3月21日发(作者:w3school学院echarts教程)

信息安全・实务 

栏目编辑:梁丽雯E—mail:liven一01@1 63 com 

网上银行安全风险及发展建议 

■中国人民银行深圳市中心支行刘萍 

随着人民银行对金融机构信息安全指导协调工作 

的不断深入,近年来我们多次开展商业银行的网上银行 

安全检查和调研工作。网上银行是把“双刃剑”,在给 

我们带来便利的同时,也为不法分子提供了新的可乘之 

机。本文拟在检查和调研工作的基础上,对网上银行存 

在的安全问题进行风险分析,并提出相关的发展建议。 

网上银行发展现状 

1995年10月,美国推出全球第一家无任何分支机构 

的纯网上银行——安全第一网络银行(SFNB),由此揭 

开网上银行的发展序幕。招商银行早在1996年就开始对 

网上银行进行研发和探索,并于1997年推出中国第一个 

银行网站“一网通”和中国第一个网上银行产品“网上个 

人银行大众版”,成为深圳乃至全国最早推出网上银行 

业务的银行。随后,各商业银行也在传统银行业务的基 

础上根据自身业务的发展需求相继推出网上银行业务。 

作为银行业务服务的延伸,客户可以通过网上银行 

方便地使用商业银行核心业务服务,完成各种非现金交 

易。网上银行凭借交易成本低廉、资金周转便捷、不受 

时间和地域的约束、覆盖面广等一系列相对传统银行 

的优势,近几年来—直保持着强劲的发展势头。目前, 

各商业银行经过多次的系统改版和升级,已逐步形成 

较为完善的网上金融服务体系,用户数和网银交易量 

逐年递增,发挥了重要的渠道替代作用。 

二,网上银行存在的安全问题 

尽管网上银行具有方便、快捷的服务优势,但毕竟 

服务平台建立在互联网之上,使银行业务向互联网敞 

开了大门,安全问题已成为网上银行建设中至关重要的 

问题。在调研[f 人民银行深圳中支发现,技术上并不存 

在较严重的安全问题,但在涉及内部环境的某些方面上 

没有采取相应的制度和技术加以约束和控制,因而存 

在以下几个方面的问题。 

(一)重技术保障,轻制度建设 

在技术方面投入的力度较大,但内部管理制度建 

设不完善,没有形成完整的信息安全制度体系,不利于 

网上银行信息安全工作的指导和约束。 

(二)忽略了来自内部网络的风险 

对来自内部网络的风险不够重视,没有制定严密的 

内部控制流程,不能对内部网络可能存在的安全隐患进 

行彻底排除,具体表现在:没有部署非法外联设备监测 

外部连接、没有对用户的资源访问进行日志记录、除密码 

外其他重要数据存储及传输都没有进行加密处理等。 

(三)疏忽了客户端的安全防范 

对客户端的安全考虑较少,部分银行没有对网银 

用户客户端提供防病毒软件安装提示和进行木马扫描 

的功能;除个别银行自主开发控件外,多数银行只通过 

手工检查监控银行相似域名和常用搜索引擎,没有相关 

技术手段有效监测钓鱼攻击。 

三、网上银行风险分析 

通过调研,我们认为网上银行除了_具有传统银行的 

流动性风险、利率风险、结算风险、道德风险外,还增 

加了以下几个方面的新风险。 

(一)客户端风险 

相对银行内部比较稳固的安全机制来说,作为消 

费者的个人用户无疑是整个安全链条中的薄弱环节。 

由于客户缺乏必要的网络安全知识,上网过程中电脑 

没有及时得到安全保护,给病毒、木马和黑客以可乘之 

机,客户电脑一旦中病毒或被黑客控制,其客户信息将 

很可能被非法盗用。 

(二)外部攻击风险 

为获取网银客户信息,网络黑客除对客户端进行木 

马植入外,还会通过多种手段对网银网络或系统进行 

2O12年・第7期投稿邮箱hnfc@2lcn.net I 67 

实务・信息安全 

栏目编辑:梁丽雯E—mail:liven

0t@1 63 corn 

大量的外部攻击。这些攻击手段主要包括:端口扫描、 

强力攻击、缓冲区溢出、IP碎片、木马后门、网络蠕虫、 

DDos(分布式拒绝服务)攻击、钓鱼攻击、ODay ̄击等, 

其中DDos攻击和钓鱼攻击最为普遍。 

(三)内部管理风险 

网上银行内部管理控制制度是防范各种金融风险 

的基础和根本,没有一套完整的内部风险管理体系来 

约束和控制内部管理流程,会造成操作风险意识淡薄、 

组织机构职责不清、内控制度不健全或执行不力等问 

题,从而导致网上银行业务直接或间接受到威胁。 

(四)内部技术风险 

内部技术风险主要在于网上银行系统或关联系统 

的可靠性或完整『生不足而潜在的技术漏洞。目前大多数 

银行都搭建了边界控制、双机热备、异地容灾、数据备 

份、数据加密、实时监控、数字证书等技术架构,并定 

期或不定期邀请监管机构认可的外部专业机构对网银 

系统进行风险评估。然而随着网络技术的不断升级和 

黑客攻击手段的不断翻新,网上银行发生技术性风险 

的可能性越来越大,如果银行不能在技术上跟上时代 

步伐,势必造成安全隐患。 

(五)信用风险 

由于网上银行业务除了开立账户,其余操作均通过 

网络远程进行,网上银行客户很容易隐蔽自己的信息和 

行为,在网上交易时进行交易的人与开立账户的人很可 

能不是同_人。即便是开户环节,由于我国信用制度尚 

不完善,不法分子完全可以按照银行要求提供资料、签 

订协议,而不违反相关规定,银行只能审核客户提供资 

料的真实性,很难真正做到了解客户。 

(六)法律风险 

我国对网上银行和网上交易缺乏相应的、完善的 

法律法规,这一方面造成了银行在开展业务时无法可 

依,另—方面基于网络金融犯罪的特殊性及多样性,各 

国都难以克服相关立法的滞后性。因此没有严密的法 

律对其进行约束,使银行难以采取主动措施,将犯罪活 

动消灭于萌芽之中。 

四.网上银行发展建议 

(一)引导客户主动提高风险防范意识 

银行应在市场宣传和业务推广过程中,加强对客户 

的安全教育,并针对客户的安全顾虑积极改进,提高网 

银安全系数的同时指导客户安全使用网银,提高客户的 

68 l 2012年・第7期投稿邮箱hnfc@2lcn.net 

安全信心。同时,鼓励商业银行推广小额支付系统,为 

客户提供一个良好的跨行转账平台。 

(二)建立健全技术风险防范体系 

银行在注重业务发展的同时,也要注意风险防范, 

加大对技术安全方面的投入,提高网络金融的技术水 

平,建立健全网上银行技术风险防范体系。一方面,必 

须进一步加大对网络技术引进和研发的投资力度,充分 

利用最新科学技术,不断增强网上银行的安全性能,大 

力发展网上银行的三大核心技术:WEB技术、建立服务 

平台技术、安全保密技术。另一方面,要积极培养适应 

网上银行发展需要的高素质人才,全面提高银行从业人 

员的知识和技能水平。 

(三)加强和完善信用体系建设 

根据网上交易的特点,防范网上银行非法交易,必 

需严把开户关,真正落实实名制开户,而这有赖于信用 

体系的进一步完善。加强信用体系建设,目前最关键的 

就是通过各种数据联网共享,建立关于完善的个人和 

机构信用记录。其次,要将信用记录运用于公共生活的 

各个方面,提高失信行为的违规成本。只有这样,网上 

银行非法交易才会大大减少。 

(四)完善与网上银行相关的法律、法规 

我国网上银行起步并不晚,但相关法律法规和制 

度体系建设都不完善。为了使网上银行的发展有一个明 

确、规范的社会环境,应有针对性地出台相关法律法 

规,维护网上银行的安全运行。就目前而言,应着力抓 

好2方面的建设:一方面,明确界定电子交易各方的权 

利和义务,使安全措施的操作与安全管理规范化、法制 

化;另一方面,加大网络犯罪行为的打击力度,制定一 

部专门的法律,为依法严惩犯罪分子提供必要的法律 

保障,以确保我国网上银行的健康发展。 

(五)采取积极有效的监管手段 

现场检查和非现场检查是对商业银行实施监管的 

有效传统手段,也是构成持续性监管的主要内容。现场 

检查除了传统的信息安全问题检查项目外,应依托先 

进的科技手段,配备一定的标准化检查工具对网络和 

系统进行评估,进一步加强检查工作的可操作性。非现 

场检查要注重信息反馈的实时陛、完整性和真实性,通 

过商业银行及时反馈的信息督促商业银行完善各项防 

范措施。除此之外,监管机构还应在传统监管手段的 

基础上不断总结创新,以不断适应监管中出现的新情 

况、新问题。皿 


本文标签: 银行 风险 技术 网络 进行

版权声明:本文标题:网上银行安全风险及发展建议 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/b/1711027095a584753.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。