網(wǎng)上銀行安全與保障機(jī)制探析

高 霞

(淄博職業(yè)學(xué)院旅游管理系,山東淄博255314)

一、網(wǎng)上銀行系統(tǒng)發(fā)展現(xiàn)狀

中國金融認(rèn)證中心在2009年12月3日發(fā)布的《2009中國網(wǎng)上銀行調(diào)查報告》顯示,雖然受全球金融危機(jī)的沖擊,我國的網(wǎng)上銀行仍然保持了向上發(fā)展的態(tài)勢。2009年個人網(wǎng)銀用戶比例為20.9%,比2008年增長2%;企業(yè)網(wǎng)銀用戶當(dāng)年比例為40.5%,比2008年略有下降,企業(yè)網(wǎng)銀用戶比例為70.3%,比2008年增長5.9%。整體而言,網(wǎng)銀普及率并不高。因此“創(chuàng)造顧客”仍有巨大的空間。

網(wǎng)銀高速增長的同時,其安全性一直是焦點(diǎn)問題。該調(diào)查報告顯示,2009年,個人用戶對于網(wǎng)銀安全的信心已經(jīng)提升,3/4以上潛在用戶認(rèn)為網(wǎng)銀是“安全”的。其信心來源主要集中在以下幾點(diǎn),一是自我防范意識和能力的增強(qiáng);二是對銀行實(shí)力和對銀行的信任;三是對網(wǎng)銀安全技術(shù)手段和安全措施有一定的了解;四是親朋好友的使用經(jīng)歷及口碑。與此相對應(yīng),導(dǎo)致非潛在用戶認(rèn)為網(wǎng)銀不安全的首要原因則是不了解網(wǎng)銀安全技術(shù)手段,其次是擔(dān)心黑客、木馬病毒盜取賬戶資金。

二、網(wǎng)上銀行存在的主要安全問題

網(wǎng)上銀行以其獨(dú)特的優(yōu)勢(例如方便、快捷、低費(fèi)用、無時間空間限制等優(yōu)點(diǎn))已吸引了眾多的商家和消費(fèi)者。但通過調(diào)查顯示,68.1%的網(wǎng)民不使用網(wǎng)上銀行的首要原因是出于對其安全性的擔(dān)心。因為網(wǎng)上銀行建立在開放的互聯(lián)網(wǎng)上,其信息數(shù)據(jù)是對外開放的。這就要求銀行必須絕對保證信息數(shù)據(jù)的安全,但我國網(wǎng)上銀行安全技術(shù)管理卻并不完善。[1]例如,曾經(jīng)出現(xiàn)過一種名為“網(wǎng)銀大盜”的木馬,可以繞開銀行的安全措施,輕而易舉地偷取網(wǎng)上銀行的賬號和密碼,2006～2009年,犯罪分子就利用這種高科技手段,先后竊取市民銀行資金40余萬元。網(wǎng)民不使用網(wǎng)上銀行的原因見圖1。

(一)網(wǎng)上銀行身份認(rèn)證存在安全隱患

網(wǎng)銀通過用戶利用身份證和密碼等進(jìn)行登錄,依靠數(shù)字證書或者動態(tài)密碼等來進(jìn)行身份的認(rèn)證。由此可見,網(wǎng)銀交易的安全保障,關(guān)鍵在于密碼和擁有的證書,誰獲得密碼或證書,就可能具備“合法”身份,具有交易操作權(quán)。正是這種身份認(rèn)證的保障機(jī)制存在缺陷,給網(wǎng)上銀行留下了安全隱患。[2]不法分子通過釣魚網(wǎng)站、服務(wù)器攻擊、域欺騙(DNS緩存投毒或域名劫持)、木馬程序等各種技術(shù)手段,可以輕松盜取客戶的身份認(rèn)證資料,并利用盜取得來的身份證、密碼、數(shù)字證書等信息使用網(wǎng)銀。由于網(wǎng)銀使用的快捷方便的特點(diǎn),一旦用戶的身份認(rèn)證信息被盜取,若等到進(jìn)行用戶掛失等,也已經(jīng)來不及。

圖1 網(wǎng)民不使用網(wǎng)上銀行的原因

(二)網(wǎng)絡(luò)銀行管理制度體系尚未完全建立

目前我國網(wǎng)絡(luò)銀行體系中有《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》和《關(guān)于落實(shí)〈網(wǎng)上銀行業(yè)務(wù)管理暫行辦法〉有關(guān)規(guī)定的通知》、《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(試行)》等文件?！毒W(wǎng)上銀行業(yè)務(wù)管理暫行辦法》只對網(wǎng)上銀行的業(yè)務(wù)范圍等方面做出了規(guī)定?！蛾P(guān)于落實(shí)〈網(wǎng)上銀行業(yè)務(wù)管理暫行辦法〉有關(guān)規(guī)定的通知》對《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》進(jìn)行了解釋和進(jìn)一步說明。而《網(wǎng)上銀行系統(tǒng)信息安全通用規(guī)范(試行)》涉及網(wǎng)上銀行系統(tǒng)的技術(shù)、管理和業(yè)務(wù)運(yùn)作三個方面,將作為網(wǎng)上銀行系統(tǒng)安全建設(shè)、內(nèi)部信息安全檢查和合規(guī)性審計的依據(jù),要求銀行業(yè)金融機(jī)構(gòu)現(xiàn)階段要遵照執(zhí)行基本要求,同時,積極采取改進(jìn)措施,在規(guī)定期限內(nèi)達(dá)到增強(qiáng)要求。這些規(guī)定缺乏對公平電子交易、交易操作規(guī)程、銀行與客戶的關(guān)系、電子資金結(jié)算、網(wǎng)上交易權(quán)利與義務(wù)等方面的規(guī)定,在實(shí)施細(xì)則上也沒有很細(xì)致的規(guī)定,而我國網(wǎng)上銀行的健康發(fā)展需要一套完善的管理制度。

(三)網(wǎng)民操作風(fēng)險意識淡簿

有安全專家指出,其實(shí),網(wǎng)銀安全當(dāng)前最薄弱的環(huán)節(jié)在于用戶端。人們往往只關(guān)注銀行方提供的網(wǎng)上銀行是否安全,這是“一葉障目”,一旦出現(xiàn)網(wǎng)銀事件并不一定應(yīng)該完全由銀行單方面負(fù)責(zé)。[3]目前,為了網(wǎng)銀的安全性,基本所有的網(wǎng)上銀行都已經(jīng)使用雙重身份認(rèn)證,客戶在被盜取密碼的情況下,完全可以依靠妥善保管U盾等保護(hù)自己賬戶的安全。目前我國網(wǎng)民綜合素質(zhì)特別是法律素質(zhì)不高,大部分網(wǎng)民風(fēng)險意識淡薄,給銀行客戶資金帶來很多安全問題?？蛻舨僮黠L(fēng)險意識淡薄關(guān)鍵是網(wǎng)民對網(wǎng)上銀行安全知識掌握不足,而銀行在宣傳網(wǎng)上銀行產(chǎn)品時,對于客戶是否真正會用、是否了解網(wǎng)上銀行的安全問題等問題關(guān)心較少,過多地在乎營銷結(jié)果,因而很多客戶對如何防范風(fēng)險,確保自己資金安全很茫然。最為普遍的問題就是有些客戶對網(wǎng)銀登陸密碼的重要性缺乏了解,而隨意將網(wǎng)銀登陸密碼告知詐騙犯罪嫌疑人,為后來的操作風(fēng)險埋下伏筆。

(四)網(wǎng)銀內(nèi)部監(jiān)管意識滯后

網(wǎng)上銀行監(jiān)管意識上的滯后性在傳統(tǒng)的金融范疇中,我國銀行監(jiān)管本身就存在著滯后性。新時期的監(jiān)管將是一種全方位、靈活性、高技術(shù)條件下的復(fù)雜化監(jiān)管。如果主觀上不重視,沒有在發(fā)展的初期形成有效的監(jiān)管機(jī)制,將使銀行進(jìn)入一個混亂無序的網(wǎng)絡(luò)競爭時代。同時,意識的僵化將使一些監(jiān)管措施難以保障網(wǎng)絡(luò)銀行安全運(yùn)行,束縛和妨礙網(wǎng)上銀行的發(fā)展。[4]

三、加強(qiáng)網(wǎng)上銀行系統(tǒng)建設(shè)的安全對策

(一)指導(dǎo)網(wǎng)銀客戶做好風(fēng)險防范,規(guī)范使用網(wǎng)銀

在現(xiàn)實(shí)中,很多安全問題都與用戶風(fēng)險意識薄弱有關(guān)。銀行要主動承擔(dān)起培育市民金融意識的使命,履行揭示和告知金融風(fēng)險的義務(wù),指導(dǎo)客戶有效防范風(fēng)險客戶的信息管理和安全意識的培訓(xùn)尤為重要。例如,銀行應(yīng)該采取培訓(xùn)、發(fā)放宣傳冊等辦法,提升網(wǎng)上銀行客戶的網(wǎng)銀知識水平,使客戶了解網(wǎng)上銀行的運(yùn)作機(jī)制以相關(guān)法律制度,以提高網(wǎng)銀客戶的安全意識和風(fēng)險防范能力。[5]除了在網(wǎng)上操作必要環(huán)節(jié)進(jìn)行強(qiáng)制性控制和風(fēng)險提示外,銀行內(nèi)部可集中通過對網(wǎng)上銀行客戶進(jìn)行安全知識培訓(xùn),加強(qiáng)客戶直觀感覺和操作經(jīng)驗,幫助客戶牢牢樹立風(fēng)險意識。加強(qiáng)風(fēng)險提示,提高客戶的風(fēng)險認(rèn)知和防控力。銀行也要高度重視客戶行為心理的研究,加強(qiáng)宣傳,幫助客戶了解電子銀行,引導(dǎo)其認(rèn)識接受和正確使用網(wǎng)上銀行服務(wù),充分發(fā)揮網(wǎng)上銀行的積極作用。

強(qiáng)化身份認(rèn)證是防范電子支付風(fēng)險最直接的手段,防假證件、假卡折尤為重要。為此,一要強(qiáng)化培訓(xùn)有效提高柜員的責(zé)任意識、防范意識和識別能力;二是增強(qiáng)技術(shù)防范力量,為柜員配備身份證件鑒別儀器,注冊系統(tǒng)增加賬戶的電子信息和密碼校驗功能并作為必經(jīng)環(huán)節(jié),必要時使用客戶身份聯(lián)網(wǎng)查驗系統(tǒng)進(jìn)行核對,從而有效堵截不法分子的詐騙和盜竊行為。

(二)盡快完善網(wǎng)銀管理辦法,促進(jìn)網(wǎng)上銀行法律法規(guī)出臺

目前我國網(wǎng)上銀行相關(guān)的法律法規(guī)不夠健全,從我國目前立法現(xiàn)狀看,我國《刑法》界定了計算機(jī)犯罪,人民銀行也頒布了《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》,但現(xiàn)有的法律保障仍顯不足。因此,一方面應(yīng)積極加強(qiáng)網(wǎng)絡(luò)銀行立法建設(shè),制定更多的網(wǎng)絡(luò)銀行相關(guān)細(xì)則;另一方面應(yīng)充分利用現(xiàn)有的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》、《合同法》等法律規(guī)范網(wǎng)絡(luò)銀行行為,也應(yīng)充分利用目前執(zhí)行的關(guān)于網(wǎng)絡(luò)安全方面的行政法規(guī)如《計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等法律,并嚴(yán)格執(zhí)行有關(guān)規(guī)定,使網(wǎng)上銀行業(yè)務(wù)的開展有法可依、有法必依是發(fā)展我國網(wǎng)上銀行的當(dāng)務(wù)之急。此外,針對網(wǎng)上銀行發(fā)展過程中面臨的一些新問題,應(yīng)及時更新相關(guān)的規(guī)定和標(biāo)準(zhǔn),確保網(wǎng)上銀行業(yè)務(wù)的開展具有有效的法律保障。僅僅有法律法規(guī)還是不夠的,如何建立有效的執(zhí)行機(jī)制也是發(fā)展網(wǎng)上銀行應(yīng)考慮的問題。建立相關(guān)的法律配套和保障措施是網(wǎng)上銀行順利開展的重要條件,也是法律法規(guī)發(fā)揮作用的重要保障。網(wǎng)上銀行決定了計算機(jī)網(wǎng)絡(luò)和金融的高度滲透性,只有培養(yǎng)既懂金融業(yè)務(wù)又懂信息技術(shù)的復(fù)合型人才,方能在激烈的市場競爭中迅速、準(zhǔn)確地把握市場脈搏并做出積極回應(yīng)。因此,我們既要努力引進(jìn)人才和國外先進(jìn)智力,又要高度重視和加強(qiáng)現(xiàn)有人員的培養(yǎng)和教育,努力建設(shè)一支既懂信息技術(shù)又懂電子商務(wù)規(guī)則和網(wǎng)上銀行運(yùn)作的復(fù)合型人才隊伍,從而迅速、有效地推動我國網(wǎng)上銀行的健康發(fā)展。

(三)在安全使用網(wǎng)絡(luò)上確保網(wǎng)銀安全

用戶在使用網(wǎng)銀時,盡量使用自己的電腦,千萬注意不要在公共電腦上要,如網(wǎng)吧等地登錄網(wǎng)銀。注意安裝防火墻和正版防病毒軟件,并定期升級。注意經(jīng)常給操作系統(tǒng)打補(bǔ)丁,修補(bǔ)系統(tǒng)漏洞,同時注意相關(guān)軟件如暴風(fēng)影音類播放軟件、QQ等的及時升級;禁止瀏覽器運(yùn)行JavaScript和ActiveX代碼,有選擇地定期清除Cookies及歷史。[6]另外,用戶不要進(jìn)入一些不了解的網(wǎng)站,尤其是自動彈出的不健康網(wǎng)站,因為這部分網(wǎng)站最容易被掛木馬。提高自我保護(hù)意識,注意妥善保管自己的私人信息,如本人證件號碼、賬號、密碼等,不向他人透露。總之,只要規(guī)范操作,網(wǎng)上銀行風(fēng)險是可控的,網(wǎng)銀是安全的。

(四)加大網(wǎng)上銀行業(yè)務(wù)的創(chuàng)新力度,在發(fā)展中注重安全平臺的打造

一要加強(qiáng)人性化設(shè)計。在操作界面和頁面結(jié)構(gòu)的組織上應(yīng)充分考慮客戶的思維和操作習(xí)慣,為客戶提供詳細(xì)而全面的操作提示和引導(dǎo)信息,增加對客戶的吸引力。二要為客戶提供全面的在線理財服務(wù)。網(wǎng)絡(luò)提供的信息交流方便快捷,而銀行在信息咨詢、投資顧問、家庭理財?shù)确矫婢哂胸S富的經(jīng)驗,將兩者有機(jī)地結(jié)合為客戶提供集理財、投資、融資、金融資訊等全方位的在線理財服務(wù)將是開發(fā)客戶市場、吸引優(yōu)質(zhì)客戶的極佳選擇。三要以中間業(yè)務(wù)為突破口。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展,人們對諸如網(wǎng)上支付、證券買賣、基金代銷、外匯買賣、代繳費(fèi)等中間業(yè)務(wù)的需求越來越強(qiáng)烈,商業(yè)銀行應(yīng)以中間業(yè)務(wù)為金融創(chuàng)新的突破口,加強(qiáng)與證券、保險等金融行業(yè)的橫向聯(lián)合,利用網(wǎng)上銀行的優(yōu)勢形成規(guī)模效益,加快市場擴(kuò)張的步伐。四要著力打造網(wǎng)上銀行服務(wù)品牌。[7]商業(yè)銀行應(yīng)對開展的網(wǎng)上銀行服務(wù)進(jìn)行分類和橫向比較,確立自身的優(yōu)勢業(yè)務(wù),可通過品牌包裝和加大宣傳等方式逐步建立并打造自己的服務(wù)品牌,同時在創(chuàng)新優(yōu)勢業(yè)務(wù)方面加強(qiáng)研究和探索,推陳出新,在實(shí)現(xiàn)傳統(tǒng)業(yè)務(wù)與網(wǎng)上銀行業(yè)務(wù)共同發(fā)展的同時,以網(wǎng)上銀行服務(wù)品牌帶動整個銀行業(yè)務(wù)的發(fā)展。

[1] 梁東皓.我國網(wǎng)上銀行發(fā)展存在的問題與對策[J].華北金融,2009,(12).

[2] 肖奇開.基于交易確認(rèn)的網(wǎng)上銀行系統(tǒng)安全方案[J].中國金融電腦,2008,(11).

[3] 雅文.網(wǎng)銀用戶防范風(fēng)險意識還需加強(qiáng)[EB/OL].和訊網(wǎng),2008-09-10.

[4] 朱睿.我國網(wǎng)上銀行監(jiān)管探析[J].消費(fèi)導(dǎo)刊,2010,(4).

[5] 呂志祥.我國網(wǎng)上銀行安全保障機(jī)制探析[J].商業(yè)時代,2010,(3).

[6] 郝金明.如何通過五方面措施有效突破網(wǎng)銀安全瓶頸[EB/OL].中國零售銀行網(wǎng),2009-07-15.

[7] 馮靜生.我國網(wǎng)上銀行發(fā)展中存在的問題與對策[J].中國金融電腦,2008,(8).