網上銀行應對金融安全風險新挑戰

來源：互聯網週刊

網上銀行的發展突飛猛進，在技術進步的同時，網上銀行安全風險也與日俱增，尤其在互聯網金融時代，對銀行業的安全管理能力提出了更高的要求。

近年來，伴隨着信息技術在金融領域的快速、廣泛應用，銀行業不斷加大技術投入，以網絡爲媒介，採用個性化的高科技集中營銷策略逐步取代傳統的大規模無差別營銷策略，網上銀行的發展突飛猛進。但是，在技術進步的同時，網上銀行安全風險也與日俱增，對銀行業的安全管理能力提出了更高的要求。

金融安全事件頻發爲行業敲響警鐘

在近期重慶市發生的一起金融安全案件中，由於保險公司網站泄露用戶個人信息，導致犯罪嫌疑人利用獲得的用戶身份證號碼和手機號製作假身份證，並用假身份證補辦手機卡，通過手機號找回支付寶密碼，從而將與支付寶綁定的銀行卡中的錢款轉走。在這一過程中，從保險公司到手機運營商，再到支付寶，幾道關卡均告失守，令人擔憂。本案只是近期數起案件中的一個代表，業內人士表示，不僅保險公司，包括招聘、社交甚至普通企事業單位的網站在個人信息方面也都存在漏洞。業內人士表示，移動互聯網時代，用戶對移動支付體驗的便捷要求越來越高，風險概率也因此提升。該人士建議用戶妥善保管個人身份證、銀行卡及其他隱私信息；同時，獲取相關信息的機構、單位、企業應完善安全機制，運營商、銀行應共同就關鍵業務受理加強身份審覈。

此外，最近一種新型詐騙手法也引起了業界的關注：不法分子通過“僞基站”屏蔽運營商網絡信號，然後假冒銀行向手機用戶發送詐騙短信，內容包括指示用戶提供個人銀行賬戶信息等，給用戶和電信運營商造成重大經濟損失。某國有大行內部人士告訴《互聯網週刊》記者，該行近期已聯合公安機關和無線電管理機構發起打擊僞基站金融犯罪的行動。但該人士也表示，目前在打擊相關金融詐騙犯罪方面，還沒有“一勞永逸”的手段。與此同時，公衆的金融詐騙防範意識尚顯淡漠，因此，銀行在信息安全領域的壓力很大。

利用“僞基站”實施詐騙的作案新手法給用戶和電信運營商造成重大損失，也引起了業界的關注。

國內金融業對風險問題認識有待提高

巴塞爾銀行監管委員會於1998年3月發表了《電子銀行和電子貨幣運作中的風險管理》專項研究報告，就電子銀行和電子貨幣運作中的風險管理進行了全面論述，將風險劃分爲：操作風險、信譽風險、法律風險、信用風險、流動性風險、利率風險、市場風險和國家風險8類。與之相對應，網上銀行風險管理則由風險識別、風險防範以及風險控制三部分組成。

儘管業界已經就網上銀行風險管理問題形成了較爲成熟的理論，但目前國內許多銀行仍對這一領域的諸多風險，尤其是對網上銀行帶來的聲譽風險認識不足。問題集中體現在對網上銀行的內控體系建設重視不足，對客戶的風險提示和安全教育不夠，客戶容易操作不當，感染木馬病毒等方面。更重要的是銀行在技術控制措施方面暴露出嚴重問題，例如缺少業務連續性計劃，缺少對系統安全監控及冗餘設計，缺少針對釣魚網站的應對措施等。

隨着網上銀行客戶數和業務交易量的逐年遞增，使用量的不斷增加，越來越多的客戶對網上銀行產生了較強的依賴性，網上銀行的事故將會給客戶帶來經濟損失和極大不便，進而對銀行的聲譽產生不良印象。所幸，這些問題已經引起了行業的重視，相關人員對此提出以下建議。

採取有效措施，加強網上銀行安全防護

銀行部門作爲網上銀行安全工作的重中之重， 需要採取切實措施加強安全管理， 建立起一套真正適合網上銀行的安全體系。首先，建立安全管理組織體系，落實責任人，並加強安全管理部門的力量和權力。完善安全管理規章制度， 嚴格貫徹實施。建立業務運行應急計劃和業務連續性計劃，保證即使在不利情況下，銀行仍能對外提供產品與服務。其次，儘量採用高等級安全操作系統， 運用多種安全機制來增強網上銀行的安全性，在運行過程中不斷地檢測各種網絡入侵、審覈安全記錄，檢查是否有對網上銀行構成威脅的漏洞， 及時發現並作相應處理等。最後，要大力探索數字證書、虹膜認證、指紋認證等新型安全的認證方式，加強客戶終端的安全。加強銀行之間、銀行與公安部門及反病毒廠商之間的協作與溝通， 及時掌握最新的網絡犯罪動態和病毒信息，及時採取有效防護措施。

提高用戶安全防範意識

首先，銀行應持續提醒網上銀行客戶注意，認可機構本身或其業務夥伴絕不會通過電子郵件要求客戶提供敏感的密碼資料。其次，銀行應提供一些方法讓網上銀行客戶確保其鏈接的網站爲認可機構的正式網站， 絕對不要以電子郵件內提供的鏈接方式登錄網上銀行網站。

再次，定期在互聯網上搜尋，以檢查是否有第三方網站的域名可能以假亂真。最後，加強安全使用網上銀行的培訓和教育。在保護用戶的賬戶隱私、確保交易安全方面，銀行應提供完備的安全防範手冊， 儘量在其網頁的醒目位置對用戶使用網上銀行時如何保護自己的賬務密碼安全等方面進行明確提示，加強對客戶安全使用網上銀行的培訓和教育。

加強網上銀行安全技術措施

目前在打擊相關金融詐騙犯罪方面，還沒有“一勞永逸”的手段。與此同時，公衆的金融詐騙防範意識尚顯淡漠，因此，銀行在信息安全領域的壓力很大。

首先要在操作系統及數據庫方面進行改進，許多銀行業務系統使用Unix網絡系統， 黑客可利用網絡監聽工具截取重要數據；或者利用用戶使用服務時監聽用戶明文形式的賬戶名和口令等。而在網絡加密技術方面，網絡加密的目的是保護網上傳輸的數據、文件、口令和控制信息的安全。目前信息加密處理通常有兩種方式：鏈路加密和端到端加密。網絡安全訪問控制方面，應以保證網絡資源不被非法使用和非法訪問爲主要任務， 通過對特定的網段和服務建立有效的訪問控制體系，可在大多數的攻擊到達之前進行阻止，從而達到限制非法訪問的目的，是維護網絡系統安全保護網絡資源的重要手段。身份認證方面，要保證能夠正確識別用戶，可通過三種基本方式或其組合形式來實現： 用戶所知道的密碼（如口令）, 用戶持有合法的介質（如智能卡）, 用戶具有某些生物學特徵（如指紋、聲音、DNA 圖案、視網膜掃描等）。要加強對網絡入侵檢測系統的防範。入侵檢測技術是近年出現的新型網絡安全技術，是對入侵行爲的監控，它通過對網絡或計算機系統中的若幹關鍵點收集信息並進行分析，從中發現網絡或系統中是否有違反安全策略的行爲或被攻擊的跡象。此外，還要在防病毒技術、備份和災難恢復方面進行優化。

在互聯網金融時代，銀行應增強技術創新，加強安全保障和風險防範措施，充分發揮網絡的強大潛力。