网上银行安全问题探析

XCLW180595 网上银行安全问题探析

一、网上银行简介

…………（一）网上银行系统介绍

…………（二）网上银行功能

…………（三）网上银行与传统银行区别

………… (四）我国网上银行的特点

二、网上银行安全问题分析

…………（一）网络安全问题

…………（二）管理风险问题

…………（三）操作风险问题

三、网上银行的发展现状及趋势分析

…………（一）我国网上银行的发展现状

…………（二）我国网上银行发展的趋势

网上银行的安全问题与风险防范对策

…………（一）网上银行的法律保护措施

…………（二）网上银行的技术防范措施

内容摘要

自从1996年6月第一家网上银行——安全第一网络银行在美国成立以来，到目前全球大约有1000多家银行几乎全部连入了因特网。其中约100多家提供在线交易服务这已成为了商业银行竞争手段的新热点。

数据表明，到2000年网上银行业务量将占传统银行业务量的10—20%左右，网上银行的利润将占全部银行利润的30%。更有人大胆提出，到21世纪传统银行业将成为“行将灭绝的恐龙”。在国内，各家银行也不再持观望态度，纷纷开通网上银行服务。招商银行、中国银行、中国建设银行、中国工商银行、中国交通银行等银行先后在国内推出网上银行业务。

网上银行确实能为我们带来很多的方便，但是他的安全性相对去银行办理业务要来的低，网络技术的迅速发展虽然带来了便利，但也使很多不法份子利用网络这个庞大的平台做出一些损人利几的事情，盗取他人安全信息，重要资料等等。所以克服网络安全问题是网上银行在以后发展道路上的必经之路，也是必须首先要解决的问题。

一、网上银行简介

网上银行又称网络银行或在线银行，是指银行利用Internet网络，向银行客户提供各种金融服务。

网上银行有两种模式，一种是没有银行网点，完全依赖于Internet的全新电子银行。这类银行所有的业务交易依靠Internet进行，如美国安全第一网络银行（Security First Network Bank,简称SFNB）。另一种模式依托已有的银行网点，通过互联网向客户提供银行服务，是传统银行服务的补充和延伸

（一）网上银行系统介绍

尽管各家银行运营网上银行的方式各有千秋，但是其核心处理模式却大致相同，即大多是建立一个网上银行交易中心(简称网银中心)转发来自Internet上的交求给传统的银行业务主机，真正的交易处理仍然是由后者来完成。

网上银行交易的流程是：网上银行的客户使用Browser(浏览器)通过Internet连接到网银中心并且发起网上交易请求；网银中心、接收审核客户的交易请求，然后将交易请求转发给银行业务主机；银行业务主机完成交易处理，返回处理结果给网银中心；网银中心对交易结果进行再处理后返回相应的信息给客户。

网银中心一般由多台服务器(或主机)组成，分别完成如下功能：

网银站点服务器：是Internet上的公开Web站点。存放网上银行的主页，发布网银服务章程、客户申请服务流程介绍、网银系统安全性介绍、常见问题解答等。

交易服务器：Internet上的公开站点。负责网上银行交易合法性审核、交易处理。

数据库服务器：存放网上银行客户开户信息系统参数以及与客户制定服务相关的信息等。

业务管理机：负责网上银行业务管理业务统计业务审计等。

客户服务机：处理客户的反馈意见咨询和投诉客户信息统计等。

通信服务器：提供与银行传统业务网络相关的安全通信服务。

（二）网上银行功能

网上银行目前可开办的业务包括部分传统的商业银行业务，同时也担负着电子商务过程中极其重要的在线支付功能，还可开辟系列新的服务领域。

1.商业银行业务

网上银行可以在网上为客户提供24小时的实时服务，包括:

(1)商业银行传统服务。如转帐结算、汇兑、代理公共收费(水费、电费、电话费等)、发放工资、查询个人帐户等。到了电子商务高度发达，货币基本甚至完全电子化的时候，客户连存、取款都可以足不出户，既轻松又快捷。

(2)商业银行新增业务。如证券清算(即完成证券公司与交易所之间，证券公司各营业部之间，及保证金帐户与储蓄帐户之间的资金清算业务)、外币业务、信息咨询、消费信贷(如住房按揭)等。

2.网上支付

这将成为网上银行金融服务最重要的一部分。在网上进行的交易将全部通过网上支付实现，包括商户对顾客(B-to-C)商务模式下的购物、订票、证券买卖等零售交易，也包括商户对商户(B-to-B)商务模式下的网上采购等批发交易，以及金融机构间的资金融通和清算。

3.新的业务领域

鉴于网上信息传递的全面性、迅速性和方便性，网上银行还可以开辟多种新业务。比如集团客户通过网上银行查询各子公司的帐户余额和交易信息;在签订多边协议的基础上实现集团公司内部的资金调度与划拨(山于这种调动几乎是实时的，因而可以大大提高各分公司及整个集团公司的资金利用率);提供财务信息咨询、帐户管理等理财服务;还可以进行网上国际收支申报;发放电子信用证;开展数据统计工作等。

（三）网上银行与传统银行区别

与传统银行相比，网上银行在产业组织、业务种类、经营管理模式、资产负债结构等方而都已有所变化。

在产业组织方面，经济社会中传统银行之所以存在，是因为它们能提供期限转换、风险转换、评价监督借款者行为、减少和节约信息加工成本以及提供支付机制等。这此功能之所以需要通过银行而不是市场去完成，是因为银行作为一个企业，在交易成本、信息完备性、监督的有效性等方面拥有优势，同时银行还可以作为“流动性的蓄水池”防止和缓解流动性对经济运行的冲击。银行的产业组织形式也正是按照这一机理而展开的，无论是单一银行还是分支银行体制，构成银行主体的是实施这种优势的各类业务人员，而且银行规模有不断膨胀的趋势。但在网络经济中，银行相对于其他企业和个人所具有的信息完备性、监督有效性和经济性等方面的优势正在逐步消失，电子货币的出现和资金在网上可以迅速转移使得银行“蓄水池”的作用也受到了一定的影响。

在这种情况下，传统银行仍有必要存在的原因似乎回归到了最古老的概念：安全和人们对“面对面”服务的心理满足感。

（四）我国网上银行的特点

我国的网上银行虽然起步较晚，但发展很快，并从一开始就呈现出一些特点:

第一，网上银行模式都是传统银行与网上银行结合的产物，其业务基本依赖十传统银行，尚无纯网上银行。

第二，许多银行尚处十发展网上银行业务的初期，利用的是非银行专有的域名或网站，至今仍有一些银行将其产品和服务的广告宣传放在其他网站之中。

第三，业务方式演变迅速。我国商业银行网站几乎一开始就进入了动态、交互式信息检索阶段，而且主要的商业银行在这一阶段停留的时间也很短，很快就进入了在线业务信息查询阶段，并与电子商务的发展紧密结合，迅速完成了从一般网站向网上银行的转变。

我国网上银行业务纵深和宽度还有限，我国网上银行建设尚处十起步阶段，面对广阔的市场孕育着巨大的发展潜力和发展空间。

二、网上银行安全问题及存在风险

我国的网络经济在促进银行业发展的同时，也增大了银行业经营的风险。银行本身就是高风险的行业，银行在其业务经营过程中，无时无刻不伴随着风险，而我国的网上银行作为传统银行的延伸与创新，其所面对的风险更强于传统银行。由十因特网的开放性和网上银行在技术上的复杂性，风险防范问题始终是我国网上银行发展中最为重要、最为核心的问题。风险不仅是网上银行需要防范对象，也是银行监管部门需要监管内容。因此加强对网上银行的监督管理、加强网上银行内部的安全防范及加强对各项资源的管理，也就成为我国保障网上银行业务正常开展的不可忽视的重要方面。只有当安全问题得到真正解决后，我国的网上银行才会真正得到发展。

（一）网络安全问题

网络安全风险是指由十网络防范不严密或应用系统设计有缺陷，遭到非法入侵及其他不确定性因素影响对网上银行所造成的风险。

第一：一些金融犯罪者制造假冒的银行网站，如果客户不注意很难发现。作案者首先向客户发送个“本行网站正在进行促销活动”等内容的虚假邮件，然后诱骗客户访问虚假站点。

第二：有的犯罪者还利用手机短信诈骗：“某某银行通知，你在某某超市刷卡消费4800元，如果有疑问请致电某某某”，如果根据短信上提供的电话号码打过去咨询，对方会冒充公安局、银联工作人员，套出市民卡上的卡号和密码。如果银行卡开通网上银行，案犯就利用网上银行将银行卡上的钱财洗劫一空。专家认为，为自己的银行帐户申请短信通知服务可以实时掌握帐户资金的情况，但应学会自我保护。

第三：在电子商务交易中的犯罪行为；例如有些虚假信息网站低价出售巾而热销商品，日的是盗取客户银行或银行卡上的信息。还有一种常用的手段是在网络游戏的虚拟空问中低价贩卖武器装备，借机盗取用户账号。

网上银行风险呈现出的各种外在表现不是偶然的，必然是一定的内在原因造成的。

黑客入侵风险。网上银行是建立在开放网络上的，由于网络的开放性和应用系统设计可能存在缺陷，一旦被黑客利用，将直接危害系统的安全，商业机密被窃取，用户的银行资料泄密，甚至银行的资金遭受损失。因此，网络安全就成为事关银行生死的头等大事。

病毒破坏风险。由十网络防范不严，计算机病毒通过网上银行入侵到银行主机系统，从而造成数据丢失等严重后果。同时，来自网上银行系统外部的正常客户或非法入侵者在与网上银行的业务交往中，也可能将各种电脑病毒带入网上银行的电脑系统，造成主机或软件的失灵，使得网上银行面临瘫痪的风险。

内部欺诈风险。网上银行不仅容易受到来自因特网外部的黑客攻击，也会因为网上银行内部职员的欺诈行为而承担操作风险。例如，商业银行内部的某些职员利用他们的职业优势，有目的地获取客户的账户资料进行各种风险投资，如炒卖股票、外汇和期权等，将交易风险直接转嫁到客户身上。也可能直接偷窃电子货币，让客户蒙受损失，或者制造各种假的电子货币从网上银行获取利益。因此，内部欺诈风险也是网上银行风险的基本内容之一。

（二）管理风险问题

管理风险是指网上银行的管理现状与管理水平与网上银行业务快速发展的状况不协调而造成的风险。我国的商业银行体系相对年轻，如以《中华人民共和国商业银行法》的颁布实施为标志，商业银行体系形成不到十年，真正的商业银行运行机制尚处十发育和完善阶段，并未真正形成。这使得我国商业银行发展网上金融服务出现三个不协调：

一是管理思想不能满足网上银行业务发展的需要。网上银行的发展将进一步加速银行业务处理集中化的趋势，银行业务的运作和管理随着网上银行的发展必须进行改变和重组。然而，我国的商业银行，包括已经开办网上业务的银行，管理思维仍局限于传统的管理方法，许多银行仍在努力增设新的营业网点。在新的竞争形势下，商业银行，尤其是老国有商业银行庞大的营业网点将成为业务发展的沉重包袱。

二是现有的管理经验和规章制度不能满足发展网上银行业务的需要。网上银行业务首先是建立在现有传统银行业务的基础之上的，从我国银行的发展现状看，内部控制机制不健全，缺乏一套成熟的风险管理和控制机制，这就很难保证对网上银行业务风险能进行有效的控制。

三是管理人才短缺，难以满足网络银行发展的需要。这是前面两个不协调的自然结果。在管理人才尚不能满足现有业务风险管理和控制需要的情况下，如果不能统筹规划，网上银行业务的过快发展可能会降低现有业务的经营质量，甚至导致我国网上银行的经营风险。

（三）操作风险问题

操作风险指来源十系统可靠性、稳定性和安全性的重大缺陷而导致的风险。操作风险可能来自网上银行客户的疏忽，也可能来自网上银行安全系统和其产品的设计缺陷及操作失误。

我国网上银行的操作风险问题主要涉及网上银行账户的授权使用、网上银行的风险管理系统、网上银行与其他银行和客户间的信息交流、真假电子货币的识别等。目前，我国网上银行对进入银行账户的授权管理变得口益复杂起来，这一方面是由十计算机的处理能力得到口益增强，另一方面原因是客户的地理空间位置变得更加分散，也可能是由十采用多种通讯手段等因素造成的。对于电子货币而言，网络安全系统的缺陷会让客户误为网上银行实施了欺诈行为。对于其他电子银行业务，如没有经过明确授权使用账户可能导致客户有直接的经济损失，加大了网上银行对客户的责任。

三、网上银行的发展现状及趋势

（一）我国网上银行的发展现状

经过几年的发展，中国的网上银行发展呈现以下特点:

(1)形式上都是分支型网上银行，其业务基本依赖于母行，尚无纯网上银行。

(2)跳跃性发展。国外银行从传统银行发展到网上银行，一般都要经历三个阶段，即银行办公自动化阶段、内部网上电子银行阶段和网上银行阶段。而我国的商业银行基本上没有经历内部网上电子银行的发展阶段，直接由银行办公自动化阶段进入网上银行发展阶段。

(3)设立网站或开展交易性网上银行业务的银行数量增加。目前已经有六十多家银行的分支机构设立或正在设立网上银行业务。

(4)外资银行开始进入网上银行领域。目前，获准在中国内地开办网上银行业务的外资银行包括汇丰银行、东亚银行、渣打银行、恒生银行、花旗银行等。另外，还有几家外资银行的申请正在审核之中。

(5)网上银行业务种类、服务品种迅速增多。2000年以前，我国银行网上服务单一，一些银行仅提供信息类服务。但目前，交易类业务已经成为网上银行服务的主要内容，提供的服务包括存贷款利率查询、外汇牌价查询、投资理财咨询、账户查询、账户资料更新、挂失、转账、汇款、银证转账、网上支付、代客外汇买卖等，部分银行已经开始试办网上小额质押贷款、住房按揭贷款等授信业务。

(7)银行日益重视业务经营中的品牌战略，出现了名牌网站和名牌产品。（二）我国网上银行发展的趋势

随着经济全球化与金融自由化，金融混业经营成为一种不可逆转的趋势，我国金融业的整体格局也会因此发生变动。在此背景下，以商业银行为主的各金融机构开始计划和实施行业间的初步合作，对因特网的利用和客户资源共享是其中比较重要的两个方面。

在由个体金融机构延伸出来的诸多渠道当中，网络与其他渠道存在着冲突和竞争，因而会发生网络对旧渠道业务的侵夺和新增业务的分享。不同金融机构有着不同的客户基础，在需求总量不变的情况下，客户基础的规模此消彼长，就个体金融机构而言，实际上是与外部机构的渠道之争的结果。内部的渠道争夺是由业务结构失衡造成的，直接的结果就是内部资源的浪费、总体成本的上升和行业竞争力的下降。减缓或避免上述矛屑的途径称为渠道的整合，即从渠道冲突到渠道协同。整合意味着内外部生产要素的重新配置，产业格局的调整，新的业务流程和管理模式的产生；协同则意味着资源的共享和效率的提升。这是网络经济推动下传统产业应有的主流思维。达到协同的方式可能是资本层面的并购活动，也可能是松散的外部合作，在二者之间有一种折中的方式称为网上金融门户。

四、网上银行的安全问题与风险防范对策

前面分析过了在我国网上银行运行中可能产生的风险问题，针对这些可能出现的风险问题，必须采取相应的安全措施加以防范，保障网上银行的顺畅运行。必须指出的是，网上银行与风险是同时并存的.只要网上银行在存一天，就不会没有风险，也不会有绝对的安全。关键是如何处理好风险，以及在对风险的有效处理中不断提高安全防范的水平。因此，在我国网上银行的安全防范是保证网上银行生存、发展必须解决的问题。以下从两个方面介绍网上银行的安全防范措。

（一）网上银行的法律保护措施

网上银行对十法律风险的防范和化解可以通过以下几种手段进行:

第一，加强客户准入的审查。客户资格的准入，是网上银行业务风险控制的第一道防线。例如，银行在办理信用卡业务时，对持卡人的条件进行审查，并对其资信情况进行调查，符合条件的方可办理信用卡。对电话银行的客户在信用、收入、经济活动等方面附加合理的限制条件，只有满足这些条件才能成为电话银行客户。例如，中国工商银行手机银行业务管理办法规定:中请手机银行的客户，首先应当拥有中国工商银行发行的信用卡，同时必须是本地移动电话的用户。对客户资格进行限制，一方面可以掌握客户的资料，培养优质客户群体；另一方面，一定程度上可以防止客户欺诈。

第二，以合同协议明确各方当事人的基本法律关系。尽管在国内网上银行服务品种丰富，但其基本内容仍为网上资金支付。然而，与传统的银行支付结算业务操作方式不同，网上银行对这一业务的操作，是由客户利用自己的终端或移动通讯工具，通过互联网服务商(ISP),接拨网上银行业务提供商的主机或系统，通过通信系统或互联网传送到银行计算机系统，经过认证系统和网关后才能完成资金转移。鉴于在这一过程中，银行客户、银行、网络服务商三方当事人的关系比较复杂，而且在我国立法对网上银行业务尚无明确的法律，网上银行在开展各项业务时，必须通过协议加以规范。

第三，明确网上银行与客户之间的责任和权利。网上银行业务是一项技术性较强的业务，用户在使用网上银行业务的时候，对一些交易环节及应注意的事项并不十分明确。网上银行作为交易的主体，应承担告知的义务，这一点类似于《中华人民共和国消费者权益保护法》中确定的消费者有知悉的权利，服务提供者有告知的义务。一般网上银行应告知如下内容:网上银行提供的服务内容、银行和用户的责任、电子交易记录的确认和领取方法、信用卡丢失的补救方法、误操作的纠正方法、系统安全的措施等等。网上银行在与用户签约时可用书面的形式说明交易规则。如:中国工商银行手机银行业务管理办法中，用户在签订《使用合约》时，银行发给用户《使用手册》，用户按照手册设置各种功能。网上银行不仅要用类似这些方式进行介绍，而且在介绍中还要做到:真正的公开；充分说明业务内容及操作方法；能够被用户所理解。

客户在办理网上银行业务时，必须遵照银行的操作流程，支付指令应明确具体，如金额固定、收款人明确、收款人的名称和账户等正确一致、客户在网上银行的账户中有足够的款项等。接到客户的支付指令，网上银行应通过安全认证程序，严格审查、确认客户的身份及指令的真实性。对于不符合条件的支付指令，网上银行应拒绝接受并在限定时间内反馈客户不予接受之原因。网上银行对客户资料和账户交易资料有保密的义务，未经客户许可或特定执法机关依法要求，不可以将客户资料向第三方提供。

（二）网上银行的技术防范措施

在我国网上银行安全技术措施主要包括:SET, SSL, CA认证、防火墙技术、加密技术、备份技术、口志和审计、身份鉴别、访问控制、防范计算机病毒技术和防范计算机黑客技术等。

1、SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的，其网络传输安全性的核心技术主要有公开密钥加密、电子数字签名、电子信封、电子安全证书等。由于SET提供了消费者、商家和网上银行的认证，确保交易各方身份的合法性和交易的不可否认性；同时使商家只能得到消费者的订购信息，而银行只能获得有关支付信息，以保证支付信息的机密、支付过程完整、商户及持卡人的合法身份以及可操作性，确保了交易数据的安全、完整和可靠。

2、SSL是一种安全通信协议，是计算机行业所定义的一个网络传输过程中的安全协议，即保证信息在网络传输过程中的安全，能够对信用卡和个人信息提供较强的保护，是对计算机之间整个会话进行加密的协议，采用了公开密钥和私有密钥两种方法。

3、使用防火墙可以隔离金融内部网络和外部网络，对内外网络之间的通信增加安全限制和控制。防火墙具有以下一些基本功能:防御措施;限制内部网络对外部网络的访问;可以设置开放一些服务同时限制一些服务;对网络的攻击的检测和报警。防火墙是金融计算机网络安全防护体系中一个极为重要的组成部分，但不是全部。因为只有必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。

4、信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。加密技术也就是利用技术手段把重要的数据变为乱码(加密)传送，到达目的地后再用相同或不同的手段还原(解密)。加密是保障我国信息系统安全的重要手段。目前的加密算法可以分成两类；专用密钥系统和一个公开的密钥系统。专用密钥系统使用相同的密钥对信息进行加密和解密，通常被用作保护存在计算机硬盘上的信息和在两台计算机之间传递的信息。公开密钥系统用一个公开的密钥对信息进行加密，而用一个秘密的密钥对信息进行解密。公开密钥系统通常被用作数字签名。

5、一个合理的备份和恢复机制可以尽可能快地恢复运行计算机系统所需的数据和系统信息。备份不仅在网络系统硬件故障和人为失误时起到保护作用，也在入境了非法授权访问时和对网络进行攻击、破坏数据完整性时起到保护作用，同时也是系统灾难恢复的重要前提。

6、身份鉴别是对网络中的主体进行验证的过程，通常有三种方式可以验证主体身份:已知信息鉴别，如口令和密码；所持物品鉴别，如钥匙、磁卡、工C卡等；主体特征鉴别，如视网膜扫描、声音验证、手型识别等。

参考文献

[1]林红柳、罗军、葛竹春：《网上银行信息安全技术的应用探讨》，哈尔滨商业人学学报(自然科学版).2005.21(3)

[2]张双喜：《对金融计算机犯罪的若干思考》，科技情报开发与经济.2005.15(7) [3]孙森：网络银行[M].北京中国金融出版社.2004.02:13-20

[4]晋新琦：网上银行的模式、问题与发展对策研究[J].情报学.华东师范大学.2001

[5]刘文艳：网上银行安全问题及其对策研究[J].济南金融. 2006.10: 55-57

[6]杨玉民、郑良泽：我国网上银行发展的新风险及对策[J].韩山师范学院学报.2006.27(1): 93-96

[7] 李东: 网上银行发展战略研究[J]. 经济论坛.2004.(04)

[8]李晓健: 我国网上银行发展的问题与对策[J]. 广西经济管理干部学院学报. 2004.(03)

[9] 邱健: 论网上银行在我国之发展[D]. 西南财经大学.2000

[10]吴志卿: 网络银行传统风险管理[D]. 上海外国语大学.2006

[11]孙玉石: 浅析我国网上银行及发展对策[J]. 企业技术开发.2007.(06)

[12]戴文进: 网上银行风险的防范与管理[J]. 上海金融.2005.(01)