(电子商务研究中心讯) 摘要:网络银行是虚拟银行,对客户来说,只要可以接入internet就能得到银行服务,真正实现跨区域、全天候服务。网络银行业务的网络化、无纸化、实时交易以及不受任何时间(Anytime)、任何区域(Anywhere)限制等特点,决定了其经营风险要高于传统渠道业务,网络安全是金融界的第一生命,也是金融机构和广大客户最为关注的问题,因此,国外各家上网银行不惜投入巨资开发先进的、无懈可击的保密安全系统,以保障网上客户的交易及资金安全。
我国的网络银行在安全性方面存在不少问题。大部分计算机硬件设备主要依靠从国外进口,许多国产的安全产品,其核心技术也是国外的,这些都成为网络金融安全的隐患。只有保证了安全,才谈得上盈利。资金安全对银行、顾客和商家永远都是至关重要的。如何确保交易安全,为个人保密,就成为网络银行发展的最需解决的问题。
从1995年世界第一家网络银行---安全第一网络银行在美国诞生以来,网络银行作为一种全新的银行形态在全球范围内迅速兴起,改变着人们的生活方式和生产观念,金融业以不可逆转的趋势向网络化、电子化、全球化和一体化方面发展,我国银行业网络银行的发展也正方兴未艾,根据有关资料显示:目前已有中国银行、中国农业银行、中国工商银行、中国建设银行、中国招商银行、中国光大银行、中国民生银行20多家银行的近200多个分支机构拥有自己的网址和主页,利用互联网开展实质性网络银行业务的分支机构50余家,客户近1.4亿户。但是,虽然通过银行业的大力宣传销售,许多企业和个人相继开通了网络银行业务。
可实际使用率不高,原因还是企业和个人对使用网络银行的安全性抱有疑虑:他们认为网络银行虽然方便快捷,省时省费,但是缺乏安全感、有风险性,因此,办理业务时总是束手束脚。有的干脆抱应付态度不肯办理。由此,网络银行的安全性风险性问题已成为当前大力拓展网银业务的关键性障碍:就银行业而言,消除客户对网络银行业务的安全疑虑显得十分重要。本文笔者就银行与客户双方对网银安全问题谈点浅见。
一、 国内外相关网络银行安全的发展现状
从1995年世界第一家网络银行---安全第一网络银行在美国诞生以来,网络银行作为一种全新的银行形态在全球范围内迅速兴起,改变着人们的生活方式和生产观念,金融业以不可逆转的趋势向网络化、电子化、全球化和一体化方面发展,我国银行业网络银行的发展也正方兴未艾,根据有关资料显示:目前已有中国银行、中国农业银行、中国工商银行、中国建设银行、中国招商银行、中国光大银行、中国民生银行20多家银行的近200多个分支机构拥有自己的网址和主页,利用互联网开展实质性网络银行业务的分支机构50余家,客户近1.4亿户。但是,虽然通过银行业的大力宣传销售,许多企业和个人相继开通了网络银行业务。可实际使用率不高,原因还是企业和个人对使用网络银行的安全性抱有疑虑:他们认为网络银行虽然方便快捷,省时省费,但是缺乏安全感、有风险性,因此,办理业务时总是束手束脚。有的干脆抱应付态度不肯办理。由此,网络银行的安全性风险性问题已成为当前大力拓展网银业务的关键性障碍:就银行业而言,消除客户对网络银行业务的安全疑虑显得十分重要。
(一)、网络银行的概念
根据巴塞尔银行监督委员会的定义,网络银行是通过电子手段(主要是因特网)建立的虚拟银行,它可以提供面对面的柜台服务和现金传递之外的所有传统银行功能。
网络银行有狭义和广义之分。狭义的网络银行又可称为纯网络银行,是指没有分支银行或自动柜员机,仅利用网络进行金融服务的金融机构,即完全依赖于Internet发展起来的全新电子银行,这类银行几乎所有的业务交易都依靠Internet进行,这种模式典型例子是在1996年美国三家银行联合在Internet上成立的全球第一家网上银行——Security First Network Bank。
广义的网络银行则包括纯网络银行,电子分行和远程银行。电子分行是指在同时拥有实体分支机构的银行中仅从事网络银行的分之机构;远程银行是指同时拥有ATM、电话、专有的家用计算机软件和纯网络银行的金融机构。
广义的网络银行即传统银行运用Internet服务,开展传统银行业务交易处理服务,通过Internet发展家庭银行、企业银行等业务,全世界最大的100家银行中,10%已经上了Web站点,银行网点数量在一年之内增加了90%。
在我国,金融界对网络银行较为公认的解释为:网络银行业务就是以计算机操作、沟通为主体,以银行自建的通信网络或公共互联网为传媒,以单位或个人计算机为入网终端,银行与客户两者合而为一进行组合操作的新型金融服务业务。网络银行最突出的优势在于提供AAA服务模式:既Anytime(任何时间)、Anywhere(任何地点)、Anyhow(任何方式)的3A服务,最大范围地扩大了客户范围和业务范围。
(二)网络银行的网络体系
网络银行网络系统可划分为三个部分:银行内部的网络银行服务体系、网络银行通信链路、网络银行客户端。为了保障整个网络银行体系的安全,需要从以上三个方面进行考虑。当前,在网络银行的安全建设中,银行将重点放在了内网的安全防护和交易的安全传输方面,而作为网络银行整体体系不可缺少、分布广泛且数量庞大的端点,即终端用户主机的安全防护上,却没有采取系统的安全防范措施。由此,终端的安全防护成为了整个网络银行最薄弱的环节,制约了网络银行业务的进一步普及。
(三)让人担忧网络银行安全现状
一般来说,电子货币与现金相比应该更为安全。但是,电子货币一旦出问题,损失也将是巨大的。网络银行的安全依托于网络安全,而网络安全在全球还没有形成一个完整体系。
英国全国消费者协会8月初公布的一份报告也表明,受访者普遍对在网上提交信用卡及个人资料感到不安,目前仅有3%的英国人经常进行网上购物。据美国官方统计,银行每年在网络上被偷窃的资金达6000万美元,而每年在网络上企图电子盗窃案件的总数高达5-100亿美元之间。据北美证券管理协会调查,发生的网上诈骗每年估计使投资者损失约100亿美元。网香港《南华早报》公布的由Pegasus基金管理人公司完成的一份调查表明逾7成港岛客户之所以不愿使用网络银行业务,就是因为其对安全问题顾虑多多。结果显示,中国的网络银行用户到2005年末,将达到1.4亿。但实际使用网络银行提供业务的不足一半,有相当一部分人群因为安全隐患的存在而对网络银行“望而却步”。
据调查,目前国内80%的网站存在安全隐患,20%的网站有严重的安全问题。虽然迄今国内还没有某家银行网站被黑客人侵的案例,但多数客户仍心存顾虑,笔者所在单位为国有四大银行之一,银行卡上的工资到账之后,同事张先生第一时间通过网络银行确认工资总额,而同一办公室的李小姐和刘小姐对于网络银行的使用却抱着迟疑的态度。 李小姐表示由于对安全存疑,坚决不使用网络银行;刘小姐试图注册网络银行时,因为注册密码必须都是数字而停止,她认为都是数字的密码非常不可靠,她们都选择电话查询或下班后到ATM机上查询。不敢在网上传送自己的信用卡账号等关键信息就是基于支付信息安全的原因,这就严重制约了网络银行的业务发展。
由于网络安全问题始终未能得到很好的、完全的解决,利用互联网犯罪的案例有可能增多。网络窃贼的作案方法、作案工具有数十种之多,其中包括:释放计算机病毒使计算机系统瘫痪;通过可以发现网站软件程序薄弱之处的“扫描器”、窃取密码的“嗅探器”破译关键密码、窃取核心技术或信息;通过破译密码修改计算机系统内账户数据,制造混乱或达到窃取资金的目的。数据说话是最权威的。根《电脑报》载,截至今年8月份,全国发生的网上诈骗案件已经超过上千起。其中第一季度警方破获的网上诈骗案件就达543起。
多项调查表明安全已成为网络银行乃至其它形式的电子商务客户的最大顾虑。而最近几年来,层出不穷的网络犯罪事件,更是严重制约了网络银行的发展。
二、现阶段我国网络银行业存在的问题
(一)网络银行面临的新风险
1、技术选择风险。为了支撑网上业务的网站,银行必须选择一种技术解决方案,这样就产生了所选择的技术方案在设计上可能出现的缺陷或被错误操作的风险。例如,在客户信息的传输中,如果使用的系统与客户终端的软件互相不兼容,就可能导致传输中断或速度降低。
2、系统安全风险。网络经济环境下,银行需要利用网络优势发展网络金融,网络金融是基于全球电子信息系统运行的金融服务形式,硬件及软件等出现的故障或事故会引发新形式的风险。例如,由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现应用系统在超级用户下运行、文件权限设置不正确、业务数据以明码形式存放、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现账务错乱、数据信息受损,更有甚者导致整个系统崩溃。因此,信息系统平稳、可靠运行,成为银行网络金融系统安全的重要保障。软硬件的故障不仅会给银行带来直接的经济损失,还会影响银行形象以及客户对其的信任。
3、网络黑客攻击风险。称非法入侵电脑系统者为“黑客”。网络经济条件下,银行进行网络金融交易必须依靠计算机,依靠Internet,所有的交易资料都存储在计算机上,通过互联网传递的信息很容易成为众多网络黑客的攻击目标。黑客针对Internet自身的一些缺陷,利用高超的技术和工具破坏网上数据,给银行造成极大的危害。
4、病毒破坏风险。现阶段计算机病毒越来越多,病毒的入侵往往造成网络主机系统崩溃,带来数据丢失等严重后果。计算机病毒普遍具有再生异化功能,可通过网络进行扩散、传播。如不能对病毒进行有效防范,将会毁坏所有数据,给银行网络系统带来致命威胁。
(二)网络银行风险产生的原因
1、银行自身的原因
银行运用现代通信、电子、软件技术发展网络金融,在很大程度上依赖于网络的稳定性。另外,我国银行运用网络开展金融业务,还缺乏经验,操作不当会引起客户对银行的网上服务不满。作为网上银行识别用户身份的一个重要手段,数字证书的作用、正确的使用方法首先应该清楚地向用户说明。在实际使用过程中,大多数网上银行已经提供了数字证书的使用,但事实上大多数用户很难了解具有相当技术含量的数字证书的完整含义。在大多数使用数字证书的网上银行网站上,只有在类似“热点问题解答”的网页中才有客户证书的介绍,而对其重要性、法律效力等却未充分说明。这样,一旦银行与用户之间因为安全问题发生纠纷,网上银行将会因为没有明确告知用户数字证书的重要意义而处于十分不利的境地。而那些没有使用数字证书的网上银行,并没有充分提醒用户单一密码认证的安全性问题,这种不负责任的态度,也值得各家银行反思。各家网上银行应当从为用户服务的角度出发,切实保障用户资金转移的安全性。比如,今年8月份发生的国内知名电子商务网站——淘宝网两大诈骗案,对网上交易支付安全提出了严重警告,为此,我国某大银行悄悄关闭了其在淘宝网上的支付功能,这种治标不治本的作法,严重损害了银行自身的形象。
2、客户方面的原因
网络银行具有传统银行经营过程中存在的信用风险,而信用风险源于社会信用体系不够健全。因此,应尽快建立我国的社会信用体系,以促进网络银行的发展。根据《电子签名法》第二十七条规定,电子签名的持有人应当妥善保管电子签名的数据。这就意味着传统意义上以IE浏览器作为介质存放数字证书的做法已经不能适应相关法规的要求。网上银行应尽量减少数字证书的下载而采用较为安全的以IC卡或USB-Key为介质的数字证书的存储方式。目前很多家网上银行提供以IC卡和USB-Key为介质存储数字证书,由于要收取一定的费用,再加上很多客户对数字证书的安全性认识不足,广大的个人客户极少采用。
3、网络系统方面的原因
从技术角度来分析,如何通过网络真实表达交易双方的意愿,即如何确保数据的真实性、保密性和可靠性是网络金融面临的主要问题。而网络本身的脆弱行和隐秘性又使得银行在处理网上安全问题时更加棘手。
4、法律方面的原因
网络银行在现在来说还是一个新事物,它的发展还需要国家的新商业法律法规的保护。它先进的信息技术也要一系列的法规相配套。但是我国的金融立法工作相对滞后,网络金融立法还处于酝酿和发展中。目前,网络银行采用的规则都是协议,出现争端时责任的认定、承担、仲裁结果执行等复杂的法律关系问题是现有条件下难以解决的。随着网络银行的发展,各银行、高科技企业势必为争夺市场和客户展开激烈竞争。针对目前网络金融活动中出现的问题,借鉴先进国家的经验,建立相关的法律,以规范网络金融参与者的行为。电子商务立法首先要解决电子交易的合法性、如怎样取用交易的电子证据,法律是否认可这样的证据,以及电子货币、网络银行的行为规范,跨国银行的法律问题。其次,对网络银行的安全保密也必须有法律保障,对计算机犯罪、计算机泄密、窃取商业和金融机密等也都要有相应的法律制裁,以逐步形成有法律许可、法律保障和法律约束的电子商务环境。因此,及时出台相应的法律是非常必要的。加快电子商务和网络银行的立法进程。
三、当前网络银行业务的安全防范措施和解决方法
(一)支付网关
支付网关是银行金融系统和Internet之间的接口,是由银行操作的将Internet上的传输数据转换为金融机构内部数据的设备,或由第三方处理商家的支付信息和顾客指令。支付网关可以确保交易在Internet用户与交易处理上之间安全、无缝隙的传递,并且无须对原有主机系统进行修改。离开支付网关,网上银行的电子支付功能也就无法实现,银行使用支付网关可以实现以下功能:
1、配置和安装Internet网络支付能力。
2、避免对现有主机系统的修改。
3、采用直观的用户图形接口进行系统管理。
4、适应诸如扣帐卡、电子支票、电子现金以及微电子支付等电子支付手段。
5、通过采用RSA公共密钥加密,可以确保网络交易的安全性。
6、提供完整的商户支付处理功能,包括授权、数据捕取和结算、对帐等。
7、通过对Internet网上交易的报告和跟踪,对网上活动进行监视。
8、使Internet网络的支付处理过程与当前支付处理上的业务模式相符,确保商户信息管理上得一致性,并为支付处理商进入互联网交易处理这一不断增长的新市场提供了机会
有了支付网关,银行或交易处理商在面对网络市场高速增长和网络交易量不断膨胀的情况下仍可保持其应有的效率。
(二)X银行网上银行的解决方案
1、系统结构
客户终端——>Internet——>防火墙——>WEB服务器——>银行主机
网络银行的Web服务器通过专线连入Internet,客户使用浏览器通过Internet访问Web服务器,主机接收通过Web服务器传送上来的交易请求及相关数据,进行联机事务处理并保存有关交易数据,有关信息通过Web服务器传送给浏览器端的客户。
2、软件结构
3、安全性
为了保障网络银行的安全运行,该系统从以下三方面进行了安全性设计:
1)客户合法性检验
建立客户合法性检验机制,客户在操作其帐户时,必须提供客户号和相应的密码,密码只有客户知道,也只有客户能进行修改。对公客户的身份认证由IC卡实现。
2)安全的数据传输。
采用SSL协议实现重要信息在Internet上的传输安全控制,提供如下安全保证:传输数据的保密性:在Internet上传输的客户资料和帐户信息是经过加密的。传送数据的完整性:保证数据在传输过程中不被偶然或恶意的更改。交易双方的身份认证:客户和银行能够互相确认对方的身份。交易的不可否认性:客户和银行都不能对达成的交易矢口否认。
3)银行内部网络的安全
在Web服务器和Internet之间设置防火墙系统,将银行内部网和Internet进行有效隔离。采用网络安全管理软件。制定有效的网络安全管理措施。
(二)强化银行网络安全的措施
1、采用相关的访问控制产品及控制技术来防范来自不安全网络或不信任域的非法访问或非授权访问。
2、采用加密设备应用加密、认证技术防范信息在网络传输过程中被非法窃取,而造成信息的泄露,并通过认证技术保证数据的完整性、真实性、可靠性。
3、采用安全检测技术来实时检查进出网络的数据流,动态防范各种来自内外网络的恶意攻击。
4、采用网络安全评估系统定期或不定期对网络系统或操作系统进行安全性扫描,评估网络系统及操作系统的安全等级,并分析提出补救措施。
5、采用防病毒产品及技术实时监测进入网络或主机的数据,防范病毒对网络或主机的侵害。
6、采用网络备份与恢复系统,实现数据库的安全存储及灾难复。
7、构建CA认证中心,来保证加密密钥的安全分发及安全管理。
8、应用安全平台的开发,针对银行特殊的应用进行特定的应用开发。
9、必须制定完善安全管理制度,并通过培训等手段来增强员工的安全防范技术及防范意识。
(三)打造网银客户支付安全的铜墙铁壁
网络银行安全隐患大,从各有关案例分析看来,安全还靠客户自己,客户需要有针对性地对网银安全有所掌握和了解。对广大网银客户来说,最值的关注的就是各种在线支付安全,我们在使用网络银行进行支付的时候需要采取以下的防范措施。
1、 不轻易运行不明真相的程序
??如果你收到一封带有附件的电子邮件,且附件是扩展名为EXE一类的文件,这时千万不能贸然运行它,因为这个不明真相的程序,就有可能是一个系统破坏程序或网银大盗等木马软件。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些:“这是个好东东,你一定要试试”,“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。
2、屏蔽小甜饼信息。
小甜饼就是Cookie,它是Web服务器发送到电脑里的数据文件,它记录了诸如用户名、口令和关于用户兴趣取向的信息。实际上,它使你访问同一站点时感到方便,比如,不用重新输入口令。但Cookies收集到的个人信息可能会被一些喜欢搞“恶作剧”的人利用,它可能造成安全隐患,因此,我们可以在浏览器中做一些必要的设置,要求浏览器在接受Cookie之前提醒您,或者干脆拒绝它们。通常来说,Cookie会在浏览器被关闭时自动从计算机中删除,可是,有许多Cookie会一反常态,始终存储在硬盘中收集用户的相关信息,其实这些Cookie就是被设计成能够驻留在我们的计算机上的。随着时间的推移,Cookie信息可能越来越多,当然我们的心境也因此变得越来越不踏实。为了确保万无一失,对待这些已有的Cookie信息应该从硬盘中立即清除,并在浏览器中调整Cookie设置,让浏览器拒绝接受Cookie信息。屏蔽Cookie的操作步骤为:首先用鼠标单击菜单栏中的“工具”菜单项,并从下拉菜单中选择“Internet选项”;接着在选项设置框中选中“安全”标签,并单击标签中的“自定义级别”按钮;同时在打开的“安全设置”对话框中找到关于Cookie的设置,然后选择“禁用”或“提示”。
3、 不同的地方用不同的口令。
对于经常上网的用户,可能会发现在网上需要设置密码的情况有很多。有很多用户图方便记忆,不论在什么地方,都使用同一个口令,殊不知他们已不知不觉地留下了一个安全隐患。因为攻击者一般在破获到用户的一个密码后,会用这个密码去尝试用户每一个需要甬道口令的地方!想想看,别人用一个口令慢慢地盗用你的帐号上网;再去偷看与冒发你的E-mail;也许还会用你的身份去聊天室损害你的形象;还有.....,想想看那后果该有多严重呀!所以强烈建议各位用户,特别是网银用户在设置网络银行登陆、支付密码时,选择不容易猜到的密码,避免采用资料中相同的内容,比如生日、电话号码等资料中的前几位、后几位数字。最好是字母、数字混合的密码。如要轻易将密码书写在纸张或卡片上,更不要为了方便,把帐号和密码记录在手机里,并且应定期更换密码。
4、定期查询交易记录。
通过网络银行的交易查询功能定期查看网络银行当日、历史的交易明细记录,看看有无异常交易,如果发现,立刻注销网络银行,并及时和银行取得联系。
5、 妥善管理数字证书。
严格保管好你的数字生疏,不要在公共场所或功用计算机上使用网络银行,以防止数字证书等机密资料落入他人之手。只要保管好自己手中的数字证书及其密码,就可以高枕无忧。另外,对于数字证书还需要定期更新,以保证其安全性。
6、 保证计算机的安全。
要保证网上交易的安全,首先你使用的计算机要安全。具体的措施包括有安装防病毒软件(并定期更新病毒库)、安装个人防火墙、给系统和网页浏览器常更新安全补丁、不要随意接受QQ等聊天工具中传来的文件、不要轻易打开电子邮件中的附件等等。
7、 其他安全保护措施。
除以上介绍的安全保护措施以外,最好不要在公共场所使用网络银行,比如网巴、公共图书馆等;每次使用完网络银行后,应该单击页面中相应的“退出登陆”按钮正确退出。
网络银行安全无疑是一个系统工程,它与产业链上诸多环节密切相关,使网络银行风险降低是产业链中多种力量积极互动的结果。安全使用网上银行,关系到用户的合法权益不受侵害,更关系到各家商业银行的资质信誉。当前网上银行正步入一个快速发展时期,作为推广应用网上银行的金融部门,更要做好社会宣传,从功能、内容和管理上都要进行广泛宣传,必要时可以扩大举办实用推广学习班,使用户会管、会用,成为当家理财的好帮手。作为网上银行的客户,更要向自己负责,为了保证你的网上银行的运营安全,只有学得好,才能用得好,才能消除后顾之忧。只有这样,我国的电子商务才能有一个良好的发展。
所有的帐户信息都存放在银行主机业务服务器上,Web服务器中不存放任何帐户信息。安全管理贯穿于整个网络银行系统的运行环境。(编选:中国B2C研究中心 善若水)
