论文部分内容阅读
一、网络银行安全问题的主要表现
网络技术是把“双刃剑”,一方面使金融服务便捷、高效:另一方面也使风险更容易积聚,爆发也更快。网络银行建立于互联网基础上,信息传递的私密性、真实完整性和不可否认性都是影响交易安全的关键因素。网络银行安全涉及客户的网上信息资料、账户密码、资金与资产等各个方面,同时关系到网络银行交易的双方,其核心是客户资金与金融资产的安全。
(一)网络钓鱼
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,试图引诱收信人给出敏感信息(如用户名、口令、账号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,获取收信人在此网站上输入的个人敏感信息。近年来,网络钓鱼的犯罪总数呈快速上升趋势。中国工商银行曾在互联网上被克隆,克隆网址为http://www.lcbc.com.cn/,而真正的中国工商银行网站是http://www.icbc.com.cn/,犯罪分子利用数字“1”和字母“i”非常相近的特点蒙蔽用户。尽管域名不尽相同,但对许多人来说,这些似是而非的假银行网站极具欺骗性,行标、栏目、新闻、地址,样样齐全。另外还有利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,并要求他们同时输入自己的账号、网络银行登录密码、支付密码等敏感信息。用户一旦输入真实信息,诈骗者就利用骗取的用户真实卡号和密码,制作假银行卡,在ATM自动取款机上盗取钱款或进行网上支付、转账等活动,使用户蒙受经济损失。
(二)病毒入侵
电脑上传统的“冲击波”、“CIH”等病毒已经退居二线,而一系列包括盗号木马、僵尸网络、BotNet、间谍软件、流氓软件、网络诈骗、垃圾邮件等网络威胁成为新的隐患。和“冲击渡”、“震荡波”等恶性病毒大规模发作不同,这些病毒直接以经济利益为驱动,感染范围较小、对电脑系统本身的攻击趋弱。但是对用户的信息安全影响却更加直接、威胁更大。如木马病毒“网银大盗”对于用户的计算机程序没有任何影响,却专门盗取网络银行用户账号和密码,当被感染用户再次使用病毒所针对银行的网络银行业务时,用户账号、密码和数字证书就会被窃取并发向病毒编写者的信箱。而其变种“超级网银大盗”更厉害,能盗取大部分网络银行的账号、密码、验证码等,例如,在网银服务器内植入木马程序,窃取帐号和口令。另外,包含间谍软件、恶意插件和浏览器劫持在内的流氓软件大行其道,它们侵入用户电脑安装插件和后门程序,窃取个人信息、欺骗或强制用户浏览某些网站和广告。
(三)黑客攻击
近年来,网上“黑客”活动日趋频繁,规模逐渐增大,组织化趋向明显,入侵银行、证券等金融网络犯罪行为增加,危害国家基础设施网络的苗头和迹象时有发生。随着网络和通信技术的发展,越来越多的高新技术被违法犯罪分子所利用,致使其打击防范难度越来越高。一方面,新的网络攻击方式不断出现,向SOL注入攻击,P2P即时信息网络传播恶意代码等,当前的网络安全保护措施尚不能起到有效对抗;另一方面,有效掌握攻击技术的“黑客”通过互联网等方式出售技术牟利,不懂攻击技术的“黑客”通过直接破坏网络安全“牟利”,二者结合,致使网络攻击越来越简单,许多不懂黑客技术的犯罪分子可以轻而易举的得手。黑客攻击的方法和手段不断翻新,网络银行的安全问题面临考验。
二、网络银行安全问题产生的根源
网络银行业务产生及发展过程中的种种迹象表明,目前网络银行业务中的整体安全状况还不尽如人意,众多有关安全的问题和风险隐患的存在使网络银行业务尚未达到其应有的安全状态。通过研究分析,导致网络银行安全问题发生的因素主要表现在以下几个方面。
(一)网络银行系统在技术上存在安全隐患
网络银行是传统银行业务在互联网上的实现和拓展。技术实现上是一个Browser/Server结构的web应用程序集。网络银行的应用层安全保护措施主要是使用PKI(公共密钥基础设施)所提供的安全服务,其中包括认证即身份鉴别机制、访问控制机制、数据加密机制、数据完整性机制、不可否认机制、审计机制。尽管采取了层层安全措施,但其技术上的安全隐患是与生俱来的,需要长时间的不断发展和完善。究其原因,一是网络银行的3A型特点使它更容易受到攻击,而且范围更大,攻击方法更隐蔽。对传统银行而言,攻击往往发生在内部,影响也是局限在一定区域内或一定的业务品种上,但网络银行的黑客攻击可能来自全球各个角落,内、外勾结更加简单易行,违规违法操作随时可能发生。从攻击的角度看,攻击者可以通过综合系统向银行的各项业务展开攻击,黑客只要突破了一点,就可能造成整个网络银行系统的瘫痪。二是互联网本身的技术体制存在缺陷。互联网赖以生存的TCP/IP协议是基于信任主机之间的通信而设计的,本身就缺乏安全机制。当银行业机构凭借互联网平台提供各种服务和产品时,大量的资金和信息均以数据的形式通过各种网络和设备进行存储、更改和传递,每笔具体的网络银行交易的顺利实现往往就取决于这些数据在网络空间中安全无误的传输。倘若数据本身遭到未经授权的篡改和破坏,承载数据信息的网络系统出现运行中断或失灵,则网络银行业务将无法继承。这就决定了网络银行运作的安全隐患在所难免。三是网络银行自身的业务系统在开发、设计、容量、配置与控制等方面存在这样或那样的缺陷。使网络运作出现漏洞。
(二)对网络安全认识不足,重视程度不够
从银行的角度讲,受观念、认识等因素的影响,不少金融机构往往只看重网上金融服务快捷、便利的一面,而对其潜在的安全问题却重视不够。究其原因,一是一些金融机构认为传统的账户加密码的安全机制已足以保证其网络的运行安全,因而不愿再使用数字证书等更高级别的加密技术。二是认为采用较高级别的防护技术(如数字证书)会占用一定的系统资源,从而导致系统运行速度放慢。因此,为保证网络运行速度,一些金融机构便降低其安全门槛,放弃或降低防护措施。三是依据现行的法律,银行对于个人网络银行的安全问题,并没有赔偿责任,银行缺乏采用更高级别安全措施的积极性。
从用户角度讲,用户的安全意识是影响网络银行安全不可忽视的重要因素。VISA卡国际组织发布的调查结果显示,有85%的网络银行事故是由于用户操作失误造成的。我国网络银行用户安全意识普遍较弱,如对假冒站点的辨别能力不足,对使用网络银行时如何保护自己的账户隐私、确保交易安全等方面的了解和重视程度不够等。虽然多数网络银行已经能够提供数字证书的使用,但事实上,大部分用户对数字证书的认识模糊,且鉴于数字证书存储介质需收取一定费用,所以部分用户不愿购买。CFCA2005网络银行行为调查报告表明。在国内网5银2000多 万用户中,懂得如何使用第三方数字证书来保护资金安全的用户尚不足1/3。
(三)网络银行监管体系不健全,法制环境不完善
我国的网络银行在监管方面还处于起步阶段,2001年以前,我国网络银行业务的监管沿用的是传统银行业务的管理规章,没有专门的法规和规范性文件。2001年6月,中国人民银行制定颁布的《网络银行业务管理暂行办法》(以下简称《暂行办法》)是我国关于网络银行监管的第1部行政规章。中国人民银行2005年10月向社会公布的《电子支付指引(第一号)》,主要规范银行及其客户之间的权利义务关系,对防范电子支付风险、保障客户资金安全发挥了积极作用。但是与网络银行业务及其法制建设较发达的国家与地区,以及如巴塞尔委员会等国际组织在网络银行业务监管问题上所积累的先进经验相比,我国现行的有关监管法制尚显稚嫩、简单和笼统。即使是专门为处理网络银行业务监管问题而出台的《暂行办法》也停留在比较概括、抽象的层次,其操作性、专业性与细致性均亟待加强。另外,我国的网络银行在监管方面还存在着经验不足、手段不完备、技术落后、监管体系不健全等一系列问题,监管活动明显滞后于网络银行业务发展的需要。
三、网络银行安全问题的防范措施
(一)银行方面要全方位采取有效措施,加强网络银行的安全防护
银行部门作为网络银行安全工作的重中之重,需要采取切实措施加强安全管理,建立起一套真正适合网络银行的安全体系。首先,建立安全管理组织体系。落实责任人。并加强安全管理部门的力量和权力。完善安全管理规章制度。严格贯彻实施。建立业务运行应急计划和业务连续性计划,保证即使在不利情况下,银行仍能对外提供产品与服务。其次,尽量采用高等级安全操作系统,运用多种安全机制来增强网络银行的安全性,在运行过程中不断地检测各种网络入侵、审核安全记录,检查是否有对网络银行构成威胁的漏洞,及时发现并作相应处理等。最后,要大力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终端的安全。加强银行之间、银行与公安部门及反病毒厂商之间的协作与沟通,及时掌握最新的网络犯罪动态和病毒信息,及时采取有效防护措施。
(二)提高用户安全防范意识
第一。银行应持续提醒网络银行客户注意,认可机构本身或其业务伙伴绝不会通过电子邮件要求客户提供敏感的密码资料;第二,提供一些方法让网络银行客户确保他们链接的网站为认可机构的正式网站,绝对不要以电子邮件内提供的链接方式登陆网络银行网站;第三,定期在互联网上搜寻,以检查是否有第三方网站的域名可能以假乱真:第四,加强安全使用网络银行的培训和教育。在保护用户的账户隐私、确保交易安全方面,银行应提供完备的安全防范手册,尽量在其网页的醒目位置对用户使用网络银行时如何保护自己的账务密码安全等方面进行明确提示,加强对客户安全使用网络银行的培训和教育。
(三)完善网络银行安全的法律体系
影响网络银行发展的关键因素不是技术,而是营造适合网络银行发展的环境。通过电脑对网络银行实施犯罪可以来自不同国家,网络银行的客户也可以来自不同的国家。发生纠纷如何确定,案件管辖权以及审判或仲裁的规则如何确定,都应以法律形式做出规定。我国已经出台了一些有关网络银行的法规,但还很不健全。要将散见于不同部门的规定、办法等政策性文件合理整合,尽快出台我国网络银行法,为网络银行提供一个透明、稳定、有效的行为规则,使参与各方有一个稳定和安全的预期,提供一个和谐统一的法律环境。要不断补充我国刑法上银行计算机犯罪种类,惩罚网络银行犯罪条例。加强与国际刑警组织以及世界各国金融司法部门的联系和磋商,制定共同打击网络银行犯罪和调控网络银行业风险责任承担的国际条约,确保网络银行业的顺利发展。
网络技术是把“双刃剑”,一方面使金融服务便捷、高效:另一方面也使风险更容易积聚,爆发也更快。网络银行建立于互联网基础上,信息传递的私密性、真实完整性和不可否认性都是影响交易安全的关键因素。网络银行安全涉及客户的网上信息资料、账户密码、资金与资产等各个方面,同时关系到网络银行交易的双方,其核心是客户资金与金融资产的安全。
(一)网络钓鱼
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,试图引诱收信人给出敏感信息(如用户名、口令、账号ID、ATM PIN码或信用卡详细信息)的一种攻击方式。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,获取收信人在此网站上输入的个人敏感信息。近年来,网络钓鱼的犯罪总数呈快速上升趋势。中国工商银行曾在互联网上被克隆,克隆网址为http://www.lcbc.com.cn/,而真正的中国工商银行网站是http://www.icbc.com.cn/,犯罪分子利用数字“1”和字母“i”非常相近的特点蒙蔽用户。尽管域名不尽相同,但对许多人来说,这些似是而非的假银行网站极具欺骗性,行标、栏目、新闻、地址,样样齐全。另外还有利用网络聊天,以网友的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,并要求他们同时输入自己的账号、网络银行登录密码、支付密码等敏感信息。用户一旦输入真实信息,诈骗者就利用骗取的用户真实卡号和密码,制作假银行卡,在ATM自动取款机上盗取钱款或进行网上支付、转账等活动,使用户蒙受经济损失。
(二)病毒入侵
电脑上传统的“冲击波”、“CIH”等病毒已经退居二线,而一系列包括盗号木马、僵尸网络、BotNet、间谍软件、流氓软件、网络诈骗、垃圾邮件等网络威胁成为新的隐患。和“冲击渡”、“震荡波”等恶性病毒大规模发作不同,这些病毒直接以经济利益为驱动,感染范围较小、对电脑系统本身的攻击趋弱。但是对用户的信息安全影响却更加直接、威胁更大。如木马病毒“网银大盗”对于用户的计算机程序没有任何影响,却专门盗取网络银行用户账号和密码,当被感染用户再次使用病毒所针对银行的网络银行业务时,用户账号、密码和数字证书就会被窃取并发向病毒编写者的信箱。而其变种“超级网银大盗”更厉害,能盗取大部分网络银行的账号、密码、验证码等,例如,在网银服务器内植入木马程序,窃取帐号和口令。另外,包含间谍软件、恶意插件和浏览器劫持在内的流氓软件大行其道,它们侵入用户电脑安装插件和后门程序,窃取个人信息、欺骗或强制用户浏览某些网站和广告。
(三)黑客攻击
近年来,网上“黑客”活动日趋频繁,规模逐渐增大,组织化趋向明显,入侵银行、证券等金融网络犯罪行为增加,危害国家基础设施网络的苗头和迹象时有发生。随着网络和通信技术的发展,越来越多的高新技术被违法犯罪分子所利用,致使其打击防范难度越来越高。一方面,新的网络攻击方式不断出现,向SOL注入攻击,P2P即时信息网络传播恶意代码等,当前的网络安全保护措施尚不能起到有效对抗;另一方面,有效掌握攻击技术的“黑客”通过互联网等方式出售技术牟利,不懂攻击技术的“黑客”通过直接破坏网络安全“牟利”,二者结合,致使网络攻击越来越简单,许多不懂黑客技术的犯罪分子可以轻而易举的得手。黑客攻击的方法和手段不断翻新,网络银行的安全问题面临考验。
二、网络银行安全问题产生的根源
网络银行业务产生及发展过程中的种种迹象表明,目前网络银行业务中的整体安全状况还不尽如人意,众多有关安全的问题和风险隐患的存在使网络银行业务尚未达到其应有的安全状态。通过研究分析,导致网络银行安全问题发生的因素主要表现在以下几个方面。
(一)网络银行系统在技术上存在安全隐患
网络银行是传统银行业务在互联网上的实现和拓展。技术实现上是一个Browser/Server结构的web应用程序集。网络银行的应用层安全保护措施主要是使用PKI(公共密钥基础设施)所提供的安全服务,其中包括认证即身份鉴别机制、访问控制机制、数据加密机制、数据完整性机制、不可否认机制、审计机制。尽管采取了层层安全措施,但其技术上的安全隐患是与生俱来的,需要长时间的不断发展和完善。究其原因,一是网络银行的3A型特点使它更容易受到攻击,而且范围更大,攻击方法更隐蔽。对传统银行而言,攻击往往发生在内部,影响也是局限在一定区域内或一定的业务品种上,但网络银行的黑客攻击可能来自全球各个角落,内、外勾结更加简单易行,违规违法操作随时可能发生。从攻击的角度看,攻击者可以通过综合系统向银行的各项业务展开攻击,黑客只要突破了一点,就可能造成整个网络银行系统的瘫痪。二是互联网本身的技术体制存在缺陷。互联网赖以生存的TCP/IP协议是基于信任主机之间的通信而设计的,本身就缺乏安全机制。当银行业机构凭借互联网平台提供各种服务和产品时,大量的资金和信息均以数据的形式通过各种网络和设备进行存储、更改和传递,每笔具体的网络银行交易的顺利实现往往就取决于这些数据在网络空间中安全无误的传输。倘若数据本身遭到未经授权的篡改和破坏,承载数据信息的网络系统出现运行中断或失灵,则网络银行业务将无法继承。这就决定了网络银行运作的安全隐患在所难免。三是网络银行自身的业务系统在开发、设计、容量、配置与控制等方面存在这样或那样的缺陷。使网络运作出现漏洞。
(二)对网络安全认识不足,重视程度不够
从银行的角度讲,受观念、认识等因素的影响,不少金融机构往往只看重网上金融服务快捷、便利的一面,而对其潜在的安全问题却重视不够。究其原因,一是一些金融机构认为传统的账户加密码的安全机制已足以保证其网络的运行安全,因而不愿再使用数字证书等更高级别的加密技术。二是认为采用较高级别的防护技术(如数字证书)会占用一定的系统资源,从而导致系统运行速度放慢。因此,为保证网络运行速度,一些金融机构便降低其安全门槛,放弃或降低防护措施。三是依据现行的法律,银行对于个人网络银行的安全问题,并没有赔偿责任,银行缺乏采用更高级别安全措施的积极性。
从用户角度讲,用户的安全意识是影响网络银行安全不可忽视的重要因素。VISA卡国际组织发布的调查结果显示,有85%的网络银行事故是由于用户操作失误造成的。我国网络银行用户安全意识普遍较弱,如对假冒站点的辨别能力不足,对使用网络银行时如何保护自己的账户隐私、确保交易安全等方面的了解和重视程度不够等。虽然多数网络银行已经能够提供数字证书的使用,但事实上,大部分用户对数字证书的认识模糊,且鉴于数字证书存储介质需收取一定费用,所以部分用户不愿购买。CFCA2005网络银行行为调查报告表明。在国内网5银2000多 万用户中,懂得如何使用第三方数字证书来保护资金安全的用户尚不足1/3。
(三)网络银行监管体系不健全,法制环境不完善
我国的网络银行在监管方面还处于起步阶段,2001年以前,我国网络银行业务的监管沿用的是传统银行业务的管理规章,没有专门的法规和规范性文件。2001年6月,中国人民银行制定颁布的《网络银行业务管理暂行办法》(以下简称《暂行办法》)是我国关于网络银行监管的第1部行政规章。中国人民银行2005年10月向社会公布的《电子支付指引(第一号)》,主要规范银行及其客户之间的权利义务关系,对防范电子支付风险、保障客户资金安全发挥了积极作用。但是与网络银行业务及其法制建设较发达的国家与地区,以及如巴塞尔委员会等国际组织在网络银行业务监管问题上所积累的先进经验相比,我国现行的有关监管法制尚显稚嫩、简单和笼统。即使是专门为处理网络银行业务监管问题而出台的《暂行办法》也停留在比较概括、抽象的层次,其操作性、专业性与细致性均亟待加强。另外,我国的网络银行在监管方面还存在着经验不足、手段不完备、技术落后、监管体系不健全等一系列问题,监管活动明显滞后于网络银行业务发展的需要。
三、网络银行安全问题的防范措施
(一)银行方面要全方位采取有效措施,加强网络银行的安全防护
银行部门作为网络银行安全工作的重中之重,需要采取切实措施加强安全管理,建立起一套真正适合网络银行的安全体系。首先,建立安全管理组织体系。落实责任人。并加强安全管理部门的力量和权力。完善安全管理规章制度。严格贯彻实施。建立业务运行应急计划和业务连续性计划,保证即使在不利情况下,银行仍能对外提供产品与服务。其次,尽量采用高等级安全操作系统,运用多种安全机制来增强网络银行的安全性,在运行过程中不断地检测各种网络入侵、审核安全记录,检查是否有对网络银行构成威胁的漏洞,及时发现并作相应处理等。最后,要大力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终端的安全。加强银行之间、银行与公安部门及反病毒厂商之间的协作与沟通,及时掌握最新的网络犯罪动态和病毒信息,及时采取有效防护措施。
(二)提高用户安全防范意识
第一。银行应持续提醒网络银行客户注意,认可机构本身或其业务伙伴绝不会通过电子邮件要求客户提供敏感的密码资料;第二,提供一些方法让网络银行客户确保他们链接的网站为认可机构的正式网站,绝对不要以电子邮件内提供的链接方式登陆网络银行网站;第三,定期在互联网上搜寻,以检查是否有第三方网站的域名可能以假乱真:第四,加强安全使用网络银行的培训和教育。在保护用户的账户隐私、确保交易安全方面,银行应提供完备的安全防范手册,尽量在其网页的醒目位置对用户使用网络银行时如何保护自己的账务密码安全等方面进行明确提示,加强对客户安全使用网络银行的培训和教育。
(三)完善网络银行安全的法律体系
影响网络银行发展的关键因素不是技术,而是营造适合网络银行发展的环境。通过电脑对网络银行实施犯罪可以来自不同国家,网络银行的客户也可以来自不同的国家。发生纠纷如何确定,案件管辖权以及审判或仲裁的规则如何确定,都应以法律形式做出规定。我国已经出台了一些有关网络银行的法规,但还很不健全。要将散见于不同部门的规定、办法等政策性文件合理整合,尽快出台我国网络银行法,为网络银行提供一个透明、稳定、有效的行为规则,使参与各方有一个稳定和安全的预期,提供一个和谐统一的法律环境。要不断补充我国刑法上银行计算机犯罪种类,惩罚网络银行犯罪条例。加强与国际刑警组织以及世界各国金融司法部门的联系和磋商,制定共同打击网络银行犯罪和调控网络银行业风险责任承担的国际条约,确保网络银行业的顺利发展。