我国网上银行应用风险及安全策略研究

来源 :科学时代·上半月 | 被引量 : 0次 | 上传用户:ft4200770
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
  【摘 要】随着电子商务的迅速发展,网上银行业务呈现出网络化、系统化、快速化和货币数字化等特点。这就对银行信息系统的安全保密性提出了更加严格的要求。本文在分析我国网上银行应用存在的安全问题的基础上,寻找解决对策,旨在为网上银行发展献计献策,愿我国网上银行业务安全、健康、有序、持续、快速发展。
  【关键词】网上银行;安全策略;金融风险
  网络银行是银行通过互联网为客户提供金融服务的平台,是电子商务在银行业的具体应用,它代表了现代商业银行业务的发展方向。自从1995年10月美国“安全第一网络银行”诞生以来,网络银行借助现代信息技术,以其低成本、高效益、方便快捷、应用广泛等特点,显示了其强大的生命力。但是,网上银行作为一种虚拟银行,除了具有传统银行经营过程中存在的各种风险之外,还存在着基于虚拟网络服务而形成的业务风险和基于信息技术导致的技术风险。下面主要分析一下我国网上银行应用过程中存在的安全问题及解决对策。
  一、我国网上银行安全事件分析
  据外电报道,2005年安全公司Sunbelt软件公司曾发现一个重大身份盗窃集团窃取了50家银行客户的个人身份信息。据Sunbelt公司介绍,这个身份盗窃团伙使用击键登录软件从数千台电脑上搜集了个人信息。所盗窃的数据包括信用卡账号详情、社会保险号码、用户名、密码、即时信息聊天片段和搜索条件。
  同年,广西南宁发生的首例假中国工商银行网站网络盗窃案件,犯罪嫌疑人邱某通过安装“木马”程序盗窃他人银行存款。
  某银行北京总部告急:网络银行1天内遭同一黑客攻击10万次,308张银行卡的卡号及网上查询密码被窃取,而IP地址显示黑客所在城市就是厦门。此时,被同一黑客攻击的还有其他10家银行,银行客户信息面临巨大威胁。
  我国,由于网上银行建设和应用中还存在很多问题,网上银行盗窃案频繁发生,使得网上银行的信息安全体系建设迅速成为金融信息化建设的一大焦点。
  网上银行的盗窃案主要是利用安全漏洞,在窃取客户帐号、密码和证书等信息基础上,实施犯罪。对客户信息的窃取方式,典型的包括以下几种:
  (1)银行IT人员监守自盗,窃取客户信息;
  (2)通过网络攻击向计算机安装木马及间谍软件盗取客户信息;
  (3)诱导客户通过超级链接等方式进入伪造的商业银行网站骗取客户信息;
  (4)通过冒充银行发送电子邮件诱骗客户信息;
  (5)假借银行之名发送短信诱骗客户信息;
  (6)假冒银行客服打电话套取客户信息。
  二、我国网上银行应用存在的安全隐患
  针对目前我国网上银行出现的安全问题,将网银的安全隐患总结为以下几方面:
  (一)黑客攻击
  目前由于一些网银用户自身的疏忽以及网络安全意识不高,虚拟财产产受损事件还是时有发生。黑客就是其中的一种。所谓黑客,就是指网络的非法入侵者。黑客针对网银攻击主要采用两种手段,即网银盗号木马和网银钓鱼网站。
  网银盗号木马作案方式分为三种:一是通过查找网银的支付窗口,然后记录键盘操作来盗取账号和密码。二是通过网银的安全控件来盗取用户网银帐号和密码。三是劫持本地网银页面到伪造网银的支付页面,然后盗取用户帐号和密码。
  网银钓鱼主要是申请一个与真实网银网站相似的域名,www.1cbc.com.cn(注意这里是1不是i)此域名将链接到黑客伪造的网银页面,不明真相的用户访问该伪装网站很容易就泄露了自己网银的账号密码。
  (二)病毒破坏
  编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。它能通过某种途径潜伏在计算机的存储介质里,当达到某种条件时即被激活,通过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染其他程序,对计算机资源进行破坏。银行计算机数据库中存储着大量的金融数据,如果病毒入侵银行计算机系统,可能导致银行数据库的破坏甚至更严重的威胁到整个计算机网络,导致系统瘫痪。
  目前主要有三类病毒威胁网银安全:
  1.木马下载器——让系统安全功能全失
  通过破坏用户电脑的安全防护系统,并在用户电脑毫无抵抗力的情况下,大量下载盗号木马的病毒。或者直接操作磁盘以绕过系统文件完整性的检验,通过感染系统文件(比如explorer.exe,userinit.exe,winhlp32.exe等)达到隐蔽启动。
  2.远程控制木马——让你的电脑屏幕“现场直播”账号密码全过程
  这类病毒可以远程控制使用者的机器,攻击者可以对被感染病毒的机器进行多种任务操作,如屏幕监控,键盘监控,强行视频等等。
  3.网银专业盗号家族——专业就是生产力
  这类病毒通过监控用户操作界面,一旦发现用户使用浏览器登陆银行系统,病毒就会监视用户的键盘输入与鼠标动作,伺机盗取网银帐号数据并将它们发到病毒操作者指定的邮箱。
  (三)信息有效性
  信息安全是保证网络银行安全的关键,在传输过程中必须确保信息的机密性,完整性、交易的不可抵赖性以及用户身份的可确认性。
  1.信息的保密性。银行系统中的数据都是非常重要的金融数据或商业数据,要预防被非法窃取和被非法信号存取。
  2.数据完整有效性。数据在金融网络系统传输时,要防止数据传送过程中丢失、重复、修改和删除,确保数据的完整有效性,才能确保信息在规定时间和地点送至合法接收方。
  3.交易不可抵赖性。网络银行的无纸性交易特点要求,发送方和接收方均不能抵赖信息,从而确保交易过程的有效。
  4.用户身份的可确认性。识别用户身份的真实性是对网络银行客户信息的鉴定,使交易双方在不见面的情况下能够确认对方的身份,从而保证安全性。   (四)内部管理不严
  我国银行业内部控制存在严重的缺陷。主要表现为以下几方面:
  1.组织结构不合理,没有形成横纵交错的监督制约机制。例如决策、执行层设置分工不合理;各业务部门管理职责执行不到位;部门间、部门内岗位职责不清;缺少专门的操作风险管理部门等。
  2.控制不足与控制分散并存。首先,我国银行业内控制度建设相对滞后,一些新的业务还没有制定完善的操作规程和相应的管理制度,导致出现风险控制失真。其次,内控制度不健全。现行的某些制度办法、操作规程在风险防范方面存在局限性。再次,内控制度不够合理。如绩效考核制度设置的指标体系,存在单纯追求业务指标,忽视对操作流程的合规性、经营的合规性等方面的考核,容易形成追求利润最大化而忽略风险的情况。
  3.重要业务和环节内控措施落实不到位
  比如在会计柜台业务管理方面、授信业务审查、审批方面等都存在管理部规范、重视程度不够的问题。
  4.缺乏有效的风险识别与评估机制。首先,对风险不能有效识别,主要表现为缺乏强而有力的风险管理队伍和缺乏必要的风险评估手段。其次,对已识别风险不能准确评估和有效控制。主要表现为监控手段、措施不适当,不能发挥作用。
  5.忽视了人的风险。首先对“权力者”的管理。由于基层分支机构是“一把手”负责制,权利过于集中,很少受到约束,而上级主管部门一般只对高管人员做离任审计,很少做在职期间行为稽核。其次,部分岗位人员不具备与风险防范和内部控制相适应的能力,多数基层只重视业务人员上岗操作技能、政治素质和职业操守教育与培训跟不上,导致基层窗口人员法规制度观念淡薄。
  (五)银行网络系统自身的安全威胁
  银行网络内一般存在多种操作系统,运行多种网络协议,这些操作系统、网络协议又并非专为安全通讯而设计。如,计算机软硬件的运行风险。网络银行所依赖的计算机硬件系统停机、磁盘列阵破坏等不确定性因素都会形成网络银行的系统风险。同时,计算机系统软件或应用软件的不完善,也带来了系统的运行风险。
  三、网上银行应用安全策略建议
  (一)利用防火墙有效防止黑客的攻击
  防火墙技术的应用是检查和控制进出网络银行的数据,将外部网络中对内部网络造成安全威胁的数据隔离在外,从而使得网络和资源的安全不会受到非法入侵。防火墙技术专门建立在网络银行与其它外部网络的接口处,包括外部防火墙和内部防火墙两种,涉及到代理技术、电路级网关技术、状态检查技术、地址翻译技术、包过滤技术、安全审计技术、虚拟网技术、完全内核技术以及负载平衡技术等关键技术。
  (二)及时查杀病毒,避免病毒攻击
  计算机病毒是破坏网络银行运行系统的重要因素,以病毒的杀伤力来体现其破坏行为,影响主要取决于病毒制造者的目的和技术能力。随着计算机技术的发展,计算机病毒也逐渐趋于多样化,其特性复杂、数量巨大、传播迅速广泛,给网络银行的发展带来了极大的破坏。防病毒技术的应用主要是对病毒进行检测和处理,要求网络银行必须安装防病毒软件,及时做好软件版本和病毒库的更新与升级,充分利用病毒检测技术及时清查与处理各种病毒程序。启发式扫描法、虚拟机技术法、特征代码扫描法、行为监测法、感染实验法和软件模拟法是目前较为常用的病毒检测方法。
  (三)通过网络安全机制防范信息有效性的破坏
  1.密码技术。密码技术是通过加密和隐藏的方式实现信息保护,目前主要包括对称密钥加密技术和非对称密钥加密技术两大类。对称密钥加密技术可以应用于大量数据的加密,大于128位的密钥破译难度大,其系统的运行速度很快,是一种行之有效的密码技术。而非对称密钥加密技术的加密和解密密钥是分开的,不容易破译,应用十分广泛。
  2.数字摘要技术。通过哈希函数对信息进行加密,在加密过程不可逆的同时,通过哈希函数独有的特点,相同明文产生的数字摘要必然相同,不同明文产生的数字摘要必然不同来比较信息是否具有其完整性。
  3.数字签名技术。数字签名技术是加密技术的延伸,要求对数字信息进行签名,需要保证接收者能解密发送者对报文的签名,不能对其进行伪造。同时,要求发送者在事后不能抵赖对报文的签名。
  4.数字认证技术。数字认证技术是通过认证中心对数字证书进行有效识别管理,以第三方认证机构的形式来确认网络银行交易各方的真实身份,具有权威性和公正性。数字认证证书主要包括发行机关名称,证书持有人名称和公开密钥,证书使用的签名算法以及发行机关对证书的签名等内容,对于保证网络银行信息的权威性有着重要意义。
  (四)网银安全风险防范从金融监管、网银用户角度提高警惕
  1.网络银行同样需要政府监管,以保护公众利益,降低银行业的经营风险。网络银行作为新兴业务渠道,自身特点决定一旦发生风险,对银行本身,甚至整个金融行业的影响巨大。要防范业务风险和系统风险,就要加强法律对网络银行市场准入的监管。必须有严密的安全对策、制度规范和操作程序,建立以安全为中心的制度保障体系。
  2.网络银行用户作为网络银行终端的管理者与使用者,在网络银行的安全机制中有着不可替代的作用,是网络银行安全的 最终环节。因此,网银用户需要有效防范木马与病毒对终端系统的攻击,安装网络银行终端系统的个人电脑上安装防病毒软件,并经常更新软件版本与病毒库、安装软件防火墙、安装木马清除软件,定期更新木马库,扫描与清除木马。第二,使用IC卡和USB卡物理介质的证书认证方式。通过证书验证客户身份,确保其真实性,防止其他人员非法使用。第三,认清网络银行网址,避免进入“假网银”。
  除了以上方面,个人观点,网上银行应用的安全性还应从多方面入手。例如:
  从技术上看,除上述的加密、数字摘要、数字签名、认证服务以外,还应研究建立支持多渠道的安全认证体系,例如支持指纹认证、身份证扫描识别等渠道安全认证体系,以避免目前单一密码认证的缺陷。   从流程上看,应设计一套与多渠道服务相匹配的服务、管理和内控流程。通过流程的完善,对网络、自助设备、电话等渠道接入交易的额度进行控制,提高渠道接入的每笔交易的审查和稽核能力。在网站管理方面,针对域名,银行应该加强相关域名和网站的调查,及早发现对自身网上银行构成安全威胁的相关网站。应尽可能主动注册与自家网站相近似的、差别小的域名,从而预防用户误判。并可以通过国家立法或与域名管理机构协商,对于与银行注册网站相近的网站严格把关,一律不予注册。网站界面上,应明确加强防伪的标识,便于用户识别。
  从人员和组织看,一方面要加强自身员工的安全意识,建立严格的授权和保密制度。另一方面,要加强对用户的培训。在开设网上银行等服务形式时,要通过培训手册等明确对用户进行安全知识的教育;要设置专门的用户体验区,实际指导用户完成第一次交易;要明确说明证书的重要作用,鼓励用户使用证书等等。
  银行在应用安全体系建设中,要自主加强制度建设、优化业务流程、强化安全意识、建立纵深安全技术体系、评估安全风险、审计安全隐患,使得各项产品创新能始终经受住安全的考验。
  四、结论
  近年来,随着IT技术的发展,电子商务的普遍开展,推动了网上银行的发展。网上银行要想深远发展,必须打破其安全这个瓶颈,安全问题是它的核心问题。网络银行的安全主要是围绕网上银行技术,管理和相关法律,因此防范策略要围绕它们进行。虽然不能消除所有的不安全因素,但我们可以通过努力,从以上几个方面入手减少这些不安全因素。网上银行的这些问题将随着网络银行不断走向成熟而得到解决,它将随着互联网迅速发展而向更高的层次发展。
  参考文献:
  [1] 田世宏. 我国网络银行的监管和发展对策[J]. 中南财经政法大学报,2009,(9).
  [2] 倪建明,崔宇清. 网上银行风险识别与监管框架[J]. 国际金融研究2011, (3).
  [3] 张凯,荆继武. CA系统在网络银行中的应用[J].中国科学院学报, 2010,(7).
  [4] 游雅娟. 网络银行的信息披露浅析[J]. 科技创新, 2010,(6).
  作者简介:
  解晨光(1965-),男, 汉族,湖北监利人。现任哈尔滨金融学院科研处,职称:教授。主要研究计算机网络,云计算。
  阎巍(1982-),女,汉族,黑龙江哈尔滨人。哈尔滨商业大学经济学硕士毕业。现任哈尔滨金融学院计算机系教师,职称:讲师。主要研究电子商务理论与实践相关知识。
  基金项目:
  2011年黑龙江省科技厅项目《网上银行应用安全的策略研究》(项目编号12511063)。
其他文献
【摘 要】近几年来,教育界对一些国内先进的教学方法进行了许多研究和探索。从“沙氏教学法”的纲要信号,到“暗示教学法”的自我暗示,到布鲁姆的目标分类教学,可谓百花齐放,百家争鸣。笔者认为,不管采用什么样的教学方法,能使学生感兴趣,课堂上学生爱听,课堂效率高就是最好最高明的教学方法。近几年笔者一直都采用和谐教学的一些做法,效果良好。  【关键词】和谐教学;学生素质;有效途径  和谐教学,是指运用一些科
【摘 要】目的:探讨说课在《护理沟通与礼仪》课程教学中的作用及其对教学效果的意义。方法:通过说课前后比较师生对教学目标、教学组织和教学效果的认同。结果:①说课使学生的学习兴趣提高了;②说课使教师的教学设计更为合理了。结论:说课是提高教学效果、优化课堂教学的有效途径。  【关键词】说课;高职护理教育;《护理沟通与礼仪》  说课是指教师以语言为主要工具,在授课之前,针对所授科目说课程性质、任务,说课程
【摘 要】在中学就开设课外阅读,可以使学生开阔眼界,增长知识,提高读书品位,让学生的道德、修养、情操在潜移默化中得到陶冶,而利用学校图书馆对学生进行适当的阅读指导,可以达到阅读效果的最优化。本文就其所发挥的作用进行阐述,以期让阅读充实学生精神世界,丰富学生心灵视野。  【关键词】学校图书馆;阅读指导;中学生;思考  中学图书馆的教育职能之一是指导学生的课外阅读。《中小学图书馆(室)规程(修订)》规
【摘 要】本文通过我国高校班主任制度的历史沿革,结合太原理工大学试行的非教师系列人员的考核制度,讨论高校图书馆等非教学型部门人员兼职班主任考核制度的问题,对此提出自己的看法和建议。  【关键词】高校教师;考核制度;班主任工作  在考核项目上,各行各业都有自己的标准。例如在高校里,只要你在专业技术岗位,有无论文是年终考核的基本条件。为促进教育水平的发展,提高专业技术人员的业务水平,这在高校领域里,实
【摘 要】实训基地是学生提升职业素质和修养的重要场所,是提高学生实践技能和操作训练的重要保障,加强实训基地管理是保证教学质量的关键。从实训基地的建设目标、建设原则以及与管理之举措等方面进行了探讨,努力建设一个资源共享的、高水平的应用实训基地。  【关键词】实训基地;基地管理;资源共享  实训室是培养学生实践能力的关键环节,是培养高素质、高技能人才的根本保障,是服务经济建设和社会发展的重要基地。目前
【摘 要】建设和谐校园是建设和谐社会的重要组成部分,是高校凝聚人心和事业发展的基本条件。大学生党员作为学生群体中的优秀分子和先进分子,如何在和谐校园建设中提高大学生党员的主观能动性和主体能动性,充分发挥大学生党员的先锋模范表率作用具有重要的研究意义。本文探讨了高职院校构建和谐校园的必要性,论述了高职院校党建在和谐校园建设中的重要作用。  【关键词】高职学生党员;作用;和谐校园建设  0.引言  构
【摘 要】我院通过近两年的中高职衔接建设与实施,创建“知识系统化,课证序接,能力递进”的人才培养模式,采用核心课程统一安排的基本思路,充分发挥高职教育的实训条件的优势,在中职教育中进行基础性实训,在高职进行螺旋式实训内容的提升,逐年递进的知识学习,逐步把学生的整体能力从知识技能水平提升到技术技能水平,造就中高职教育衔接的典范。  【关键词】中高职衔接;办学机制改革;职业教育  一、开展中高职衔接的
【摘 要】中等职业教育目标是培养具有综合职业能力的学生,但传统的教育观念和教学模式及生源现状,几十年不变的课程与教材等若干因素,已成为中等职业学校生存和发展的桎梏和瓶颈。我们中等职业学校要存在和发展必须正视问题和研究对策。  【关键词】中等职业学校教育;问题;对策  中等职业教育目标是把学生培养成为具有综合职业能力,在服务、生产、技术和管理第一线工作的高素质劳动者和中初级专门人才。随着“大力发展中
【摘 要】实行干部聘期目标管理,是促进高校建立现代大学制度,保证高校实现组织目标的重要前提。文章在总结分析当前高校中层干部队伍管理现状的基础上,对如何进一步加强干部队伍建设,完善高校中层干部任期目标管理提出了几点建议。  【关键词】 高校;中层干部;任期目标管理;思考  为规范高校干部人事管理工作,加强干部队伍建设,不断增强中层干部的紧迫感、危机感和自我约束的自觉性,进一步完善学校内部的竞争机制和
【摘 要】随着科学技术的迅速发展,计算机网络已经走进人们生活,为我们提供了良好的资源共享和信息通信。但是同时也造成了一定的威胁,尤其是近年来计算机网络的安全问题已经成为困扰人们的重要问题。本文首先通过简要介绍计算机网络安全的概念,进而提出了计算机网络安全存在的几个主要问题,最后针对这些问题提出了相应的解决策略。  【关键词】计算机网络;计算机病毒;信息泄露;网络安全  一、计算机网络安全的现状