论文部分内容阅读
[摘 要]网上银行的普及给人们生活带来了极大的便利,网上理财、基金超市、网上购物、网上转账等都被公众接受,但是在方便的同时也存在着一些安全问题,这就需要做好网银的安全管理。本文主要是分析了安全管理中存在的问题,针对此类问题提出改进的措施来保障网银的高效、安全使用。
[关键词]网银;安全;管理
中图分类号:TU714 文献标识码:A 文章编号:1009-914X(2015)03-0089-01
随着网络的发展,网上购物、转账等越来越普及,网上流通的资金每天能超过千亿。在网络给金融服务带来方便的同时也面临着越来越多的安全问题,这需要银行和消费者都能加强关注,做好安全防范。本文主要是从网银的管理现状出发,分析安全管理中存在的问题,对安全管理的相关措施进行探讨。
一、网银管理现状分析
目前大部分银行要求客户前往银行柜面申请办理网上银行业务,银行在为客户开通网上银行业务时,对办理网上银行业务的客户基本不做筛选,对申办客户不做网上银行风险管理能力的判断,只要银行储蓄客户有相应的业务要求,银行就可以为客户开通网上银行的相关功能。银行按月统计网上银行业务的客户数余额和交易量情况。
各商业银行在个人客户签订相关服务协议均列明:客户依据密码等网上银行信息结算交易所发生的电子信息记录均为交易的有效凭证。客户网上交易成功后,银行电脑主机实时冻结相应消费资金,在与商户结账处理时,银行电脑将冻结的金额划扣。从信息系统处理方式上看,客户网上交易指令的清算均于当晚纳入银行系统批处理之中,这种系统处理方式无法从技术上中断个别交易指令,即由系统认可的客戶网银操作成功后银行端无法中止交易指令,只有在商户同意的情况下,由商户发出退款交易指令,钱款才能退还客户。因此,客户发出交易指令基本不可逆。
二、网银安全管理存在的问题
网银安全管理中面临的问题主要包括外部攻击、客户的不当操作、不完善的内控以及不健全的法律法规。
外部攻击一是仿冒网站,以假乱真。近年来,仿冒克隆网站层出不穷。二是计算机木马病毒攻击网银严重。网络窃贼的作案方法、作案工具有数十种之多,其中包括:释放计算机病毒;通过可以发现网站软件程序薄弱之处的“扫描器”和窃取密码的“嗅探器”破译关键密码、窃取核心技术或信息;通过破译密码修改计算机系统内账户数据,制造混乱或达到窃取资金的目的。三是网络钓鱼邮件骗取客户信息。不法分子以银行业机构或其他机构名义向用户发送各种电子邮件,以诱骗客户包括银行密码在内的个人信息,利用信息登录网银转账盗取客户资金。
风险教育薄弱,客户网银业务操作不当。一是密码设置简单。部分用户的密码多用易猜数字,容易被人窃密冒领;有的客户将交易密码设置成为弱密码,易被他人套用;有的客户对交易密码保管不当,随意泄漏给他人,或在登陆其他非法网站时留下了交易信息;二是缺乏网络病毒防范知识。对木马病毒的攻击不敏感,不能对操作系统及杀毒软件定期升级、杀毒,为木马病毒的入侵提供了机会。此外,客户电脑保管不善,病毒入侵造成客户资料被盗用。三是对网络银行安全重要性认识不足。不愿意进行必要的身份认证,对 U 盾、动态键盘、口令卡操作不当给网贼偷钱提供了机会。
内控制度不完善,银行风险管理有待加强。网银安全管理的组织架构不完善,风险管理涉及的各部门,没有形成合力,对网银系统安全评估不到位,出现应对风险能力差。银行的公众教育服务较为薄弱,在加快推进网上银行系统升级和完善业务功能的同时,对公众的网上银行风险教育仍然欠缺。银行风险管理的有效性有待加强,网上银行的风险管理除与个人金融部、公司金融部和电子银行部等有关,还涉及合规部门、风险管理部门、科技信息部门。但银行上述部门在信息共享、决策管理、风险控制、业务创新等方面仍存在较大的真空,职责划分也不够清晰,协同效应有待进一步加强。
法律法规不健全,无法确认当事人的责任。现行法律法规对网上银行业务上的规定不够完善。一般而言,网上银行交易涉及银行、客户、通信商、商户、第三方支付公司及其他服务商等诸多主体,其他主体提供的服务质量决定了银行能否提供安全、准确和及时的网上银行服务,这就需要相关法律法规对网上银行相关主体的责任和义务予以明确的界定,以便发生纠纷时容易明确某一当事方的责任和过错。
三、加强银行网银安全管理的建议
加强网银的安全管理主要有以下几个方面:注意细节,谨防外部攻击;加强客户风险教育,提高风险防控能力;完善内控制度体系,加强信息科技风险管理;完善合同文本,最大限度保护客户的利益;积极与公安部门合作,打击网银违法犯罪行为。
注意细节,谨防外部攻击。一是要准确注册,认真填写身份资料,记录好注册提供的资料备查,并设计好密码、提示问题等重要信息。二是要注意安全出入,直接输入正确的银行网址,不要通过其他网站的链接进入,离开账户后不要只关掉浏览器而要正确退出,最好不要在网吧进入网银。三是不要轻易打开来历不明的邮件,也不要点击邮件中的任何链接。四是对于采用文件证书网银的用户,一定不要将数字证书文件直接存在电脑中,而是要存在 U 盘等移动介质中。而对于那些 U 盾网银用户,在每次完成网银操作后,要尽快拔下 U 盾。五是操作系统和杀毒软件要定期升级查杀病毒,封堵住木马入侵的通道。
加强客户风险教育,提高风险防控能力。商业银行在为客户开通网上银行服务时,应针对不同的客户群体有选择性地开通网上银行业务功能,有效提高客户网上银行的风险防范意识。此外,银行在为客户开通网银服务时,应加强对网银客户计算机病毒、安全登录方式、安全用机方式、设置和保管密码密钥等相关知识的普及宣传,并进行必要的业务风险和不当操作行为风险提示,以提高客户对网银业务风险的认知程度和风险防范能力。
完善内控制度体系,加强信息科技风险管理,主要包括以下几个方面:加强信息系统的安全建设和网上银行双重身份认证管理,提高技术的可靠性和安全性;加强网上银行业务风险管理各部门的沟通和协调,提高协同处理网上银行风险问题的成效;健全客户投诉处理机制;加强网上银行异常交易监测,及时将异常交易信息反馈给客户;建立健全网银业务各项内部操作规程,根据业务和技术发展需要及时修订完善;加强网络银行加密技术的升级和研发工作,对客户数字证书载体(USB-Key)进行安全性测试,对USB-Key 供应商资质进行定期评估,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性;建立网络银行入侵监测与入侵保护系统,实时监控网银系统的运行,定期对系统进行漏洞扫描;建立相应的监测机制,搜索假冒或有意设置类似于金融机构的服务电话、网站主页、短信号码等信息,及时在官方主页进行风险提示,制定应对措施。
完善合同文本,最大限度保护客户的利益。明确各方承担的责任和义务。在目前法律法规尚不完善的情况下,应充分明细一旦发生支付纠纷后各方应承担的责任,并在合同文本中予以约定,有效降低银行法律风险和声誉风险。积极与公安部门合作,打击网银违法犯罪行为。与公安部门建立协调联动机制,定期清查与网银有关的非法网站;在网银服务器端发现线索及时上报公安部门,形成打击网银违法犯罪行为的合力。
参考文献
[1]赵天勤.网银的使用中的安全防护技术[J] 网络安全技术与应用 2014.4
[2]杨大鹏.加固网银安全控制网银风险[J] 计算机光盘软件与应用 2013.22
[关键词]网银;安全;管理
中图分类号:TU714 文献标识码:A 文章编号:1009-914X(2015)03-0089-01
随着网络的发展,网上购物、转账等越来越普及,网上流通的资金每天能超过千亿。在网络给金融服务带来方便的同时也面临着越来越多的安全问题,这需要银行和消费者都能加强关注,做好安全防范。本文主要是从网银的管理现状出发,分析安全管理中存在的问题,对安全管理的相关措施进行探讨。
一、网银管理现状分析
目前大部分银行要求客户前往银行柜面申请办理网上银行业务,银行在为客户开通网上银行业务时,对办理网上银行业务的客户基本不做筛选,对申办客户不做网上银行风险管理能力的判断,只要银行储蓄客户有相应的业务要求,银行就可以为客户开通网上银行的相关功能。银行按月统计网上银行业务的客户数余额和交易量情况。
各商业银行在个人客户签订相关服务协议均列明:客户依据密码等网上银行信息结算交易所发生的电子信息记录均为交易的有效凭证。客户网上交易成功后,银行电脑主机实时冻结相应消费资金,在与商户结账处理时,银行电脑将冻结的金额划扣。从信息系统处理方式上看,客户网上交易指令的清算均于当晚纳入银行系统批处理之中,这种系统处理方式无法从技术上中断个别交易指令,即由系统认可的客戶网银操作成功后银行端无法中止交易指令,只有在商户同意的情况下,由商户发出退款交易指令,钱款才能退还客户。因此,客户发出交易指令基本不可逆。
二、网银安全管理存在的问题
网银安全管理中面临的问题主要包括外部攻击、客户的不当操作、不完善的内控以及不健全的法律法规。
外部攻击一是仿冒网站,以假乱真。近年来,仿冒克隆网站层出不穷。二是计算机木马病毒攻击网银严重。网络窃贼的作案方法、作案工具有数十种之多,其中包括:释放计算机病毒;通过可以发现网站软件程序薄弱之处的“扫描器”和窃取密码的“嗅探器”破译关键密码、窃取核心技术或信息;通过破译密码修改计算机系统内账户数据,制造混乱或达到窃取资金的目的。三是网络钓鱼邮件骗取客户信息。不法分子以银行业机构或其他机构名义向用户发送各种电子邮件,以诱骗客户包括银行密码在内的个人信息,利用信息登录网银转账盗取客户资金。
风险教育薄弱,客户网银业务操作不当。一是密码设置简单。部分用户的密码多用易猜数字,容易被人窃密冒领;有的客户将交易密码设置成为弱密码,易被他人套用;有的客户对交易密码保管不当,随意泄漏给他人,或在登陆其他非法网站时留下了交易信息;二是缺乏网络病毒防范知识。对木马病毒的攻击不敏感,不能对操作系统及杀毒软件定期升级、杀毒,为木马病毒的入侵提供了机会。此外,客户电脑保管不善,病毒入侵造成客户资料被盗用。三是对网络银行安全重要性认识不足。不愿意进行必要的身份认证,对 U 盾、动态键盘、口令卡操作不当给网贼偷钱提供了机会。
内控制度不完善,银行风险管理有待加强。网银安全管理的组织架构不完善,风险管理涉及的各部门,没有形成合力,对网银系统安全评估不到位,出现应对风险能力差。银行的公众教育服务较为薄弱,在加快推进网上银行系统升级和完善业务功能的同时,对公众的网上银行风险教育仍然欠缺。银行风险管理的有效性有待加强,网上银行的风险管理除与个人金融部、公司金融部和电子银行部等有关,还涉及合规部门、风险管理部门、科技信息部门。但银行上述部门在信息共享、决策管理、风险控制、业务创新等方面仍存在较大的真空,职责划分也不够清晰,协同效应有待进一步加强。
法律法规不健全,无法确认当事人的责任。现行法律法规对网上银行业务上的规定不够完善。一般而言,网上银行交易涉及银行、客户、通信商、商户、第三方支付公司及其他服务商等诸多主体,其他主体提供的服务质量决定了银行能否提供安全、准确和及时的网上银行服务,这就需要相关法律法规对网上银行相关主体的责任和义务予以明确的界定,以便发生纠纷时容易明确某一当事方的责任和过错。
三、加强银行网银安全管理的建议
加强网银的安全管理主要有以下几个方面:注意细节,谨防外部攻击;加强客户风险教育,提高风险防控能力;完善内控制度体系,加强信息科技风险管理;完善合同文本,最大限度保护客户的利益;积极与公安部门合作,打击网银违法犯罪行为。
注意细节,谨防外部攻击。一是要准确注册,认真填写身份资料,记录好注册提供的资料备查,并设计好密码、提示问题等重要信息。二是要注意安全出入,直接输入正确的银行网址,不要通过其他网站的链接进入,离开账户后不要只关掉浏览器而要正确退出,最好不要在网吧进入网银。三是不要轻易打开来历不明的邮件,也不要点击邮件中的任何链接。四是对于采用文件证书网银的用户,一定不要将数字证书文件直接存在电脑中,而是要存在 U 盘等移动介质中。而对于那些 U 盾网银用户,在每次完成网银操作后,要尽快拔下 U 盾。五是操作系统和杀毒软件要定期升级查杀病毒,封堵住木马入侵的通道。
加强客户风险教育,提高风险防控能力。商业银行在为客户开通网上银行服务时,应针对不同的客户群体有选择性地开通网上银行业务功能,有效提高客户网上银行的风险防范意识。此外,银行在为客户开通网银服务时,应加强对网银客户计算机病毒、安全登录方式、安全用机方式、设置和保管密码密钥等相关知识的普及宣传,并进行必要的业务风险和不当操作行为风险提示,以提高客户对网银业务风险的认知程度和风险防范能力。
完善内控制度体系,加强信息科技风险管理,主要包括以下几个方面:加强信息系统的安全建设和网上银行双重身份认证管理,提高技术的可靠性和安全性;加强网上银行业务风险管理各部门的沟通和协调,提高协同处理网上银行风险问题的成效;健全客户投诉处理机制;加强网上银行异常交易监测,及时将异常交易信息反馈给客户;建立健全网银业务各项内部操作规程,根据业务和技术发展需要及时修订完善;加强网络银行加密技术的升级和研发工作,对客户数字证书载体(USB-Key)进行安全性测试,对USB-Key 供应商资质进行定期评估,保证电子交易数据传输的安全性与保密性,以及所传输交易数据的完整性、真实性和不可否认性;建立网络银行入侵监测与入侵保护系统,实时监控网银系统的运行,定期对系统进行漏洞扫描;建立相应的监测机制,搜索假冒或有意设置类似于金融机构的服务电话、网站主页、短信号码等信息,及时在官方主页进行风险提示,制定应对措施。
完善合同文本,最大限度保护客户的利益。明确各方承担的责任和义务。在目前法律法规尚不完善的情况下,应充分明细一旦发生支付纠纷后各方应承担的责任,并在合同文本中予以约定,有效降低银行法律风险和声誉风险。积极与公安部门合作,打击网银违法犯罪行为。与公安部门建立协调联动机制,定期清查与网银有关的非法网站;在网银服务器端发现线索及时上报公安部门,形成打击网银违法犯罪行为的合力。
参考文献
[1]赵天勤.网银的使用中的安全防护技术[J] 网络安全技术与应用 2014.4
[2]杨大鹏.加固网银安全控制网银风险[J] 计算机光盘软件与应用 2013.22