網(wǎng)上銀行應(yīng)對金融安全風(fēng)險(xiǎn)新挑戰(zhàn)

近年來，伴隨著信息技術(shù)在金融領(lǐng)域的快速、廣泛應(yīng)用，銀行業(yè)不斷加大技術(shù)投入，以網(wǎng)絡(luò)為媒介，采用個(gè)性化的高科技集中營銷策略逐步取代傳統(tǒng)的大規(guī)模無差別營銷策略，網(wǎng)上銀行的發(fā)展突飛猛進(jìn)。但是，在技術(shù)進(jìn)步的同時(shí)，網(wǎng)上銀行安全風(fēng)險(xiǎn)也與日俱增，對銀行業(yè)的安全管理能力提出了更高的要求。

金融安全事件頻發(fā)為行業(yè)敲響警鐘

在近期重慶市發(fā)生的一起金融安全案件中，由于保險(xiǎn)公司網(wǎng)站泄露用戶個(gè)人信息，導(dǎo)致犯罪嫌疑人利用獲得的用戶身份證號(hào)碼和手機(jī)號(hào)制作假身份證，并用假身份證補(bǔ)辦手機(jī)卡，通過手機(jī)號(hào)找回支付寶密碼，從而將與支付寶綁定的銀行卡中的錢款轉(zhuǎn)走。在這一過程中，從保險(xiǎn)公司到手機(jī)運(yùn)營商，再到支付寶，幾道關(guān)卡均告失守，令人擔(dān)憂。本案只是近期數(shù)起案件中的一個(gè)代表，業(yè)內(nèi)人士表示，不僅保險(xiǎn)公司，包括招聘、社交甚至普通企事業(yè)單位的網(wǎng)站在個(gè)人信息方面也都存在漏洞。業(yè)內(nèi)人士表示，移動(dòng)互聯(lián)網(wǎng)時(shí)代，用戶對移動(dòng)支付體驗(yàn)的便捷要求越來越高，風(fēng)險(xiǎn)概率也因此提升。該人士建議用戶妥善保管個(gè)人身份證、銀行卡及其他隱私信息；同時(shí)，獲取相關(guān)信息的機(jī)構(gòu)、單位、企業(yè)應(yīng)完善安全機(jī)制，運(yùn)營商、銀行應(yīng)共同就關(guān)鍵業(yè)務(wù)受理加強(qiáng)身份審核。

此外，最近一種新型詐騙手法也引起了業(yè)界的關(guān)注：不法分子通過“偽基站”屏蔽運(yùn)營商網(wǎng)絡(luò)信號(hào)，然后假冒銀行向手機(jī)用戶發(fā)送詐騙短信，內(nèi)容包括指示用戶提供個(gè)人銀行賬戶信息等，給用戶和電信運(yùn)營商造成重大經(jīng)濟(jì)損失。某國有大行內(nèi)部人士告訴《互聯(lián)網(wǎng)周刊》記者，該行近期已聯(lián)合公安機(jī)關(guān)和無線電管理機(jī)構(gòu)發(fā)起打擊偽基站金融犯罪的行動(dòng)。但該人士也表示，目前在打擊相關(guān)金融詐騙犯罪方面，還沒有“一勞永逸”的手段。與此同時(shí)，公眾的金融詐騙防范意識(shí)尚顯淡漠，因此，銀行在信息安全領(lǐng)域的壓力很大。

國內(nèi)金融業(yè)

對風(fēng)險(xiǎn)問題認(rèn)識(shí)有待提高

巴塞爾銀行監(jiān)管委員會(huì)于1998年3月發(fā)表了《電子銀行和電子貨幣運(yùn)作中的風(fēng)險(xiǎn)管理》專項(xiàng)研究報(bào)告，就電子銀行和電子貨幣運(yùn)作中的風(fēng)險(xiǎn)管理進(jìn)行了全面論述，將風(fēng)險(xiǎn)劃分為：操作風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)、法律風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、流動(dòng)性風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)、市場風(fēng)險(xiǎn)和國家風(fēng)險(xiǎn)8類。與之相對應(yīng)，網(wǎng)上銀行風(fēng)險(xiǎn)管理則由風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)防范以及風(fēng)險(xiǎn)控制三部分組成。

盡管業(yè)界已經(jīng)就網(wǎng)上銀行風(fēng)險(xiǎn)管理問題形成了較為成熟的理論，但目前國內(nèi)許多銀行仍對這一領(lǐng)域的諸多風(fēng)險(xiǎn)，尤其是對網(wǎng)上銀行帶來的聲譽(yù)風(fēng)險(xiǎn)認(rèn)識(shí)不足。問題集中體現(xiàn)在對網(wǎng)上銀行的內(nèi)控體系建設(shè)重視不足，對客戶的風(fēng)險(xiǎn)提示和安全教育不夠，客戶容易操作不當(dāng)，感染木馬病毒等方面。更重要的是銀行在技術(shù)控制措施方面暴露出嚴(yán)重問題，例如缺少業(yè)務(wù)連續(xù)性計(jì)劃，缺少對系統(tǒng)安全監(jiān)控及冗余設(shè)計(jì)，缺少針對釣魚網(wǎng)站的應(yīng)對措施等。

隨著網(wǎng)上銀行客戶數(shù)和業(yè)務(wù)交易量的逐年遞增，使用量的不斷增加，越來越多的客戶對網(wǎng)上銀行產(chǎn)生了較強(qiáng)的依賴性，網(wǎng)上銀行的事故將會(huì)給客戶帶來經(jīng)濟(jì)損失和極大不便，進(jìn)而對銀行的聲譽(yù)產(chǎn)生不良印象。所幸，這些問題已經(jīng)引起了行業(yè)的重視，相關(guān)人員對此提出以下建議。

采取有效措施，

加強(qiáng)網(wǎng)上銀行安全防護(hù)

銀行部門作為網(wǎng)上銀行安全工作的重中之重， 需要采取切實(shí)措施加強(qiáng)安全管理， 建立起一套真正適合網(wǎng)上銀行的安全體系。首先，建立安全管理組織體系，落實(shí)責(zé)任人，并加強(qiáng)安全管理部門的力量和權(quán)力。完善安全管理規(guī)章制度， 嚴(yán)格貫徹實(shí)施。建立業(yè)務(wù)運(yùn)行應(yīng)急計(jì)劃和業(yè)務(wù)連續(xù)性計(jì)劃，保證即使在不利情況下，銀行仍能對外提供產(chǎn)品與服務(wù)。其次，盡量采用高等級安全操作系統(tǒng)， 運(yùn)用多種安全機(jī)制來增強(qiáng)網(wǎng)上銀行的安全性，在運(yùn)行過程中不斷地檢測各種網(wǎng)絡(luò)入侵、審核安全記錄，檢查是否有對網(wǎng)上銀行構(gòu)成威脅的漏洞， 及時(shí)發(fā)現(xiàn)并作相應(yīng)處理等。最后，要大力探索數(shù)字證書、虹膜認(rèn)證、指紋認(rèn)證等新型安全的認(rèn)證方式，加強(qiáng)客戶終端的安全。加強(qiáng)銀行之間、銀行與公安部門及反病毒廠商之間的協(xié)作與溝通， 及時(shí)掌握最新的網(wǎng)絡(luò)犯罪動(dòng)態(tài)和病毒信息，及時(shí)采取有效防護(hù)措施。

提高用戶安全防范意識(shí)

首先，銀行應(yīng)持續(xù)提醒網(wǎng)上銀行客戶注意，認(rèn)可機(jī)構(gòu)本身或其業(yè)務(wù)伙伴絕不會(huì)通過電子郵件要求客戶提供敏感的密碼資料。其次，銀行應(yīng)提供一些方法讓網(wǎng)上銀行客戶確保其鏈接的網(wǎng)站為認(rèn)可機(jī)構(gòu)的正式網(wǎng)站， 絕對不要以電子郵件內(nèi)提供的鏈接方式登錄網(wǎng)上銀行網(wǎng)站。

再次，定期在互聯(lián)網(wǎng)上搜尋，以檢查是否有第三方網(wǎng)站的域名可能以假亂真。最后，加強(qiáng)安全使用網(wǎng)上銀行的培訓(xùn)和教育。在保護(hù)用戶的賬戶隱私、確保交易安全方面，銀行應(yīng)提供完備的安全防范手冊， 盡量在其網(wǎng)頁的醒目位置對用戶使用網(wǎng)上銀行時(shí)如何保護(hù)自己的賬務(wù)密碼安全等方面進(jìn)行明確提示，加強(qiáng)對客戶安全使用網(wǎng)上銀行的培訓(xùn)和教育。

加強(qiáng)網(wǎng)上銀行安全技術(shù)措施

首先要在操作系統(tǒng)及數(shù)據(jù)庫方面進(jìn)行改進(jìn)，許多銀行業(yè)務(wù)系統(tǒng)使用Unix網(wǎng)絡(luò)系統(tǒng)， 黑客可利用網(wǎng)絡(luò)監(jiān)聽工具截取重要數(shù)據(jù)；或者利用用戶使用服務(wù)時(shí)監(jiān)聽用戶明文形式的賬戶名和口令等。而在網(wǎng)絡(luò)加密技術(shù)方面，網(wǎng)絡(luò)加密的目的是保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息的安全。目前信息加密處理通常有兩種方式：鏈路加密和端到端加密。網(wǎng)絡(luò)安全訪問控制方面，應(yīng)以保證網(wǎng)絡(luò)資源不被非法使用和非法訪問為主要任務(wù)， 通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系， 可在大多數(shù)的攻擊到達(dá)之前進(jìn)行阻止， 從而達(dá)到限制非法訪問的目的， 是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全保護(hù)網(wǎng)絡(luò)資源的重要手段。身份認(rèn)證方面，要保證能夠正確識(shí)別用戶， 可通過三種基本方式或其組合形式來實(shí)現(xiàn)： 用戶所知道的密碼（如口令） ， 用戶持有合法的介質(zhì)（如智能卡） ， 用戶具有某些生物學(xué)特征（如指紋、聲音、DNA 圖案、視網(wǎng)膜掃描等）。要加強(qiáng)對網(wǎng)絡(luò)入侵檢測系統(tǒng)的防范。入侵檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)， 是對入侵行為的監(jiān)控， 它通過對網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并進(jìn)行分析， 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。此外，還要在防病毒技術(shù)、備份和災(zāi)難恢復(fù)方面進(jìn)行優(yōu)化。

在互聯(lián)網(wǎng)金融時(shí)代，銀行應(yīng)增強(qiáng)技術(shù)創(chuàng)新，加強(qiáng)安全保障和風(fēng)險(xiǎn)防范措施，充分發(fā)揮網(wǎng)絡(luò)的強(qiáng)大潛力。