序論:在您撰寫淺談電子銀行安全風(fēng)險與防范時�����,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的1篇范文����,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度�����。
淺談電子銀行安全風(fēng)險與防范:試論我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的改進
論文 關(guān)鍵詞:商業(yè)銀行; 電子 商務(wù)���;風(fēng)險管理
論文摘要:隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷 發(fā)展 ,電子商務(wù)安全風(fēng)險管理策略成為理論與實踐中必須重視的課題��。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風(fēng)險策略的薄弱點��,發(fā)展商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略��,應(yīng)借鑒成熟的傳統(tǒng) 金融 風(fēng)險度量中的一些方法改變電子商務(wù)安全管理對資產(chǎn)進行粗略的優(yōu)先級別排序�,用系統(tǒng)管理思想構(gòu)建商業(yè)銀行電子商務(wù)安全管理框架,并將商務(wù)安全風(fēng)險納入風(fēng)險管理范疇����。
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險�、以及操作風(fēng)險等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度�。2004年以來,我國面臨的 網(wǎng)絡(luò) 仿冒威脅正在逐漸加大��,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站���。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件�,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題����。
一、信息安全管理的 歷史 演進與現(xiàn)階段的特點
信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑���。
(一)以事件驅(qū)動的初級階段時期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全��,人與 計算 機之間的交互主要局限在大型計算機上的啞終端��,安全問題只涉及能訪問終端的少數(shù)人��。安全管理策略處于初級階段���,由事件驅(qū)動,沒有形成規(guī)范的管理流程�����。在此階段的前期�����,只重視技術(shù)手段。后期開始重視管理手段��,但是技術(shù)和管理之間脫節(jié)����。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)����、局部���、少數(shù)人負責(zé)���、突擊式、事后糾正式的管理方式�。
(二)標(biāo)準(zhǔn)化時期
企業(yè) 開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略���,其中包括了安全管理的技術(shù)手段和管理制度(或稱運作管理)����。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略���,內(nèi)容也包括了技術(shù)手段���、安全管理制度���、人員安全 教育 等等,基本上形成體系��,技術(shù)和管理手段綜合統(tǒng)一��,但是安全風(fēng)險分析還存在不足之處����。
(三)安全風(fēng)險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次,安全管理策略也演進到安全風(fēng)險管理階段����。主要特點如下:
1.安全風(fēng)險管理成為主流趨勢;在安全管理策略的演進過程中����,技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險管理的分析���、防范策略��,從而安全管理進入了安全風(fēng)險管理時期�。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—one)�,認為信息安全問題最終將歸結(jié)為風(fēng)險管理問題,風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)����。
2.安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》����、英國標(biāo)準(zhǔn)協(xié)會制訂的bs7799等��。各國也日益重視安全風(fēng)險管理�,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(occ)的《電子銀行最終規(guī)則》��、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等����。
(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合
本質(zhì)上, 電子 商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變�����,以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險;現(xiàn)有管理策略只從信息技術(shù)的角度����、或者從偏重技術(shù)的角度看待問題,站在 金融 領(lǐng)域本身來分析研究較少����。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次;忽略了風(fēng)險的整體性��,只進行偏信息和技術(shù)的研究�,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言���,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制���,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險���,存在著不同的管理策略���,導(dǎo)致多頭管理、資源浪費、機構(gòu)之間的扯皮��,乃至缺位管理���。
(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達國家���,信息系統(tǒng)審計(is audit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)��。it風(fēng)險分析師也成為一種職業(yè)����,專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機構(gòu)定期對電子銀行的安全性進行評估的辦法���,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管��。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標(biāo)準(zhǔn)�、 法律 法規(guī),風(fēng)險評估工作得到了一定重視�,但與發(fā)達國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門���;但風(fēng)險控制部門的職能��、權(quán)限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距�����,風(fēng)險控制實質(zhì)上仍然分散在各個子部門�;風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門��;風(fēng)險管理部門�����、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險�����。例如��,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告�����,表面上履行的內(nèi)控審核的流程�,但審核作用有限����,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)�����。
三���、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想��,將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)�����。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)����。
在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中�����,經(jīng)過信息安全的風(fēng)險評估���、資產(chǎn)識別和選擇�、實施控制降低風(fēng)險的措施���、將風(fēng)險控制在可接受的范圍內(nèi)���,然后進行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入�,從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)��。每完成一個循環(huán)�����,安全風(fēng)險管理的有效性就上一個臺階�,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進行粗略的優(yōu)先級別排序的方法����。實踐中,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處�。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)�、損失事件發(fā)生的概率、風(fēng)險損失�,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù)���;在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)���。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率�、威脅所造成的影響等精確記錄下來�,利用現(xiàn)有的度量方法進行精確的風(fēng)險定量分析的嘗試。
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇
將商業(yè)銀行所面臨的全部風(fēng)險放在一個框架中考慮����。傳統(tǒng)風(fēng)險管理以及電子商務(wù)安全風(fēng)險管理都是風(fēng)險管理系統(tǒng)中子系統(tǒng),二者相互聯(lián)系��、相互影響��,不可分割��。嘗試借鑒信用風(fēng)險與操作風(fēng)險度量的方法與思想��,短期內(nèi)將其與信用風(fēng)險控制銜接�,最終形成一個全面的商業(yè)銀行安全風(fēng)險管理框架。
(四)商業(yè)銀行要積極促進電子商務(wù)安全風(fēng)險管理策略的改進(1)充分利用國內(nèi)或國外能夠獲得的信息系統(tǒng)審計����、外部信息安全評估等服務(wù)��,采取定期評估審計、不斷采取措施改善風(fēng)險狀態(tài)的策略���;(2)在目前商業(yè)銀行的組織與管理體制下�,風(fēng)險控制部門與傳統(tǒng)金融業(yè)務(wù)部門的流程需不斷改善��,商業(yè)銀行必須創(chuàng)造條件����,加強風(fēng)險管理部門與電子商務(wù)部門的交叉配合,包括各部門人員的配置���、培訓(xùn)等各方面���;使風(fēng)險管理部門能夠履行安全風(fēng)險管理的監(jiān)控與審計職能;(3)商業(yè)銀行必須重視對傳統(tǒng)金融風(fēng)險與電子商務(wù)安全風(fēng)險的統(tǒng)一度量問題的研究����,不斷提高風(fēng)險管理部門綜合控制風(fēng)險的能力,充分考慮電子商務(wù)安全風(fēng)險與信用風(fēng)險����、操作風(fēng)險的交叉問題���,為實現(xiàn)全面風(fēng)險管理奠定基礎(chǔ)。
淺談電子銀行安全風(fēng)險與防范:電子網(wǎng)上銀行不安全防控研究論文
[摘要]網(wǎng)上銀行為金融企業(yè)的發(fā)展帶來商機并為眾多用戶帶來了方便,但同時網(wǎng)上銀行網(wǎng)站本身的安全性問題�����、交易信息在商家與銀行之間傳遞的安全性問題��、交易信息在消費者與銀行之間傳遞的安全性問題已成為網(wǎng)上銀行業(yè)務(wù)面臨的主要安全問題,分析這些安全問題產(chǎn)生的根源,并提出一些防范對策,顯得尤為必要����。
[關(guān)鍵詞]網(wǎng)上銀行;網(wǎng)絡(luò)支付����;安全性問題
隨著電子商務(wù)技術(shù)的發(fā)展,網(wǎng)上銀行的使用也越來越廣泛,但是網(wǎng)上銀行還存在很大的安全問題,必須引起廣大網(wǎng)民群眾的重視。
一�、我國網(wǎng)上銀行存在的安全性問題
1.網(wǎng)上銀行網(wǎng)站存在的安全性問題
在網(wǎng)絡(luò)銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網(wǎng)站也不會將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點”也是網(wǎng)上銀行使用中一個非常重要的安全隱患���?�?蛻粼诓涣私馇闆r時就會向虛假站點發(fā)送ID和密碼�����??蛻舭l(fā)送完畢后,如果顯示出一個“服務(wù)馬上就要停止”的畫面,或者把客戶訪問重新引導(dǎo)到正規(guī)站點上,客戶當(dāng)時是很難察覺的。這樣一來,就存在有人進行非法資金轉(zhuǎn)移的可能性����。
2.交易信息在商家與銀行之間傳遞的安全性問題
因為互聯(lián)網(wǎng)的虛擬性,交易雙方無法確保對方身份的真實性,尤其在當(dāng)事人僅僅通過互聯(lián)網(wǎng)交流時,在這種情況下,要建立交易雙方的信用機制和安全感是非常困難的��。資金在網(wǎng)上劃撥,安全性是最大問題,發(fā)展網(wǎng)上銀行業(yè)務(wù),大量經(jīng)濟信息在網(wǎng)上傳遞�����。而在以網(wǎng)上支付為核心的網(wǎng)上銀行,電子商務(wù)最核心的部分包括CA認證在內(nèi)的電子支付流程����。就是說國內(nèi)目前的網(wǎng)上銀行還不能算真正的網(wǎng)上銀行,只有真正建立起國家金融權(quán)威認證中心(CA)系統(tǒng),才能為網(wǎng)上支付提供法律保障。
3.交易信息在消費者與銀行之間傳遞的安全性問題
目前,我國銀行卡持有人安全意識普遍較弱,不注意密碼保密,或?qū)⒚艽a設(shè)為生日等易被猜測的數(shù)字���。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網(wǎng)上被盜用,例如進行購物消費等,從而造成損失,而銀行技術(shù)手段對此卻無能為力��。因此一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺簽約才能使用“網(wǎng)上銀行”進行轉(zhuǎn)賬支付,以此保障客戶的資金安全�����。另一種情況是,客戶在公用的計算機上使用網(wǎng)上銀行,可能會使數(shù)字證書等機密資料落入他人之手,從而直接使網(wǎng)上身份識別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用��。用戶和銀行之間通過互聯(lián)網(wǎng)傳遞的信息是實現(xiàn)交易的基礎(chǔ)條件,如何確保不被第三方知道,是網(wǎng)上業(yè)務(wù)安全進行的一個重要前提�。
綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題��。②網(wǎng)絡(luò)病毒����、木馬問題。③釣魚平臺��。另外還有網(wǎng)上支付的信用問題�、網(wǎng)上支付的法律問題和網(wǎng)上安全認證機構(gòu)(CA)建設(shè)混亂等問題。
二���、網(wǎng)上銀行安全性問題解決的對策
1.做好自身電腦的日常安全維護
一是經(jīng)常給電腦系統(tǒng)升級��。二是安裝殺毒軟件�、防火墻,經(jīng)常升級和殺毒�。三在平時上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒、木馬造成中毒�����。四盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶和密碼。五有條件的情況下,在初裝系統(tǒng)后確認電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統(tǒng)恢復(fù)�����。
2.設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)
所謂防火墻指的是位與不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,并根據(jù)用戶的有關(guān)策略控制進出不同網(wǎng)絡(luò)安全域的訪問?,F(xiàn)實生活中一般采用多重防火墻方案,分隔互聯(lián)網(wǎng)與交易服務(wù)器,防止互聯(lián)網(wǎng)用戶的非法入侵;還用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔,有效保護銀行內(nèi)部網(wǎng),同時防止內(nèi)部網(wǎng)對交易服務(wù)器的入侵。
3.設(shè)置高安全級的web應(yīng)用服務(wù)器
高安全級的web服務(wù)器使用可信的專用操作系統(tǒng),憑借其獨特的體系結(jié)構(gòu)和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應(yīng)用服務(wù)器進行后續(xù)處理��。
4.建立完善的身份認證和CA認證系統(tǒng)
在網(wǎng)上銀行系統(tǒng)中,用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制�、數(shù)字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數(shù)字簽名和登錄密碼進行檢驗,全部通過后才能確認該用戶的身份��。用戶的惟一身份標(biāo)識就是銀行簽發(fā)的“數(shù)字證書”���。用戶的登錄密碼以密文的方式進行傳輸,確保了身份認證的安全可靠性。數(shù)字證書的引入,同時實現(xiàn)了用戶對銀行交易網(wǎng)站的身份認證,以保證訪問的是真實的銀行網(wǎng)站,另外還確保了客戶提交的交易指令的不可否認性����。由于數(shù)字證書的惟一性和重要性,各家銀行為開展網(wǎng)上業(yè)務(wù)都成立了CA認證機構(gòu),專門負責(zé)簽發(fā)和管理數(shù)字證書,并進行網(wǎng)上身份審核。2000年6月,由中國人民銀行牽頭,12家商業(yè)銀行聯(lián)合共建的中國金融認證中心(CFCA)正式掛牌運營���。這標(biāo)志著中國電子商務(wù)進入了銀行安全支付的新階段�����。中國金融認證中心作為一個權(quán)威的��、可信賴的�����、公正的第三方信任機構(gòu),為今后實現(xiàn)跨行交易提供了身份認證基礎(chǔ)�����。
5.加強客戶的安全意識和網(wǎng)絡(luò)通訊的安全性
銀行卡持有人的安全意識是影響網(wǎng)上銀行安全性的不可忽視的重要因素�����。一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺簽約才能使用“網(wǎng)上銀行”進行轉(zhuǎn)賬支付,以此保障客戶的資金安全��。另一種情況是,客戶在公用的計算機上使用網(wǎng)上銀行,可能會使數(shù)字證書等機密資料落入他人之手,從而直接使網(wǎng)上身份識別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用�。公務(wù)員之家
安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極大重視,都采取了有效的技術(shù)和業(yè)務(wù)手段來確保網(wǎng)上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請手續(xù)越煩瑣,使用操作越復(fù)雜,影響了方便性,使客戶使用起來感到困難���。因此,必須在安全性和方便性上進行權(quán)衡�。
互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò),客戶在網(wǎng)上傳輸?shù)拿舾行畔⒃谕ㄓ嵾^程中存在被截獲���、被破譯���、被篡改的可能����。為了防止此種情況發(fā)生,網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議�����。
淺談電子銀行安全風(fēng)險與防范:我國電子銀行面臨的安全問題分析
作者簡介:郭丹妮(1989-)��,女�����,漢����,浙江省金華市東陽市人��,在讀研究生�����,杭州電子科技大學(xué)經(jīng)濟學(xué)院�,研究方向:國際金融����。
摘要:電子銀行業(yè)務(wù)目前成為各大銀行競相追捧的業(yè)務(wù)����,但其安全問題卻是個不可忽視的難題。本文主要針對我國電子銀行發(fā)展中主要出現(xiàn)的安全問題進行分析�����,并簡單分析其原因����,最后提出相關(guān)建議和解決方法。希望電子銀行安全問題能得到廣泛關(guān)注�����,并得到妥善處理����。
關(guān)鍵詞:電子銀行;安全由于電子銀行具有低成本、高效率�����、方便快捷等優(yōu)勢,使得近年來電子銀行在我國迅猛發(fā)展��。2013年�,電子銀行交易筆數(shù)已突破1000億筆,電子銀行替代率高達77.7%�。在高速發(fā)展的背景下,安全問題慢慢浮出水面����,成為目前用戶最為關(guān)注和擔(dān)心的問題。根據(jù)艾瑞咨詢網(wǎng)2012―2013年中國電子銀行用戶調(diào)研報告顯示����,2012年受調(diào)查的中國用戶有56%的人因安全問題而不使用手機銀行和網(wǎng)上銀行,安全問題成為眾多原因中最主要的原因�����。
一�、國內(nèi)電子銀行業(yè)務(wù)面臨的主要安全問題
(一)技術(shù)漏洞風(fēng)險���。
當(dāng)今�,高速發(fā)展的信息技術(shù)像由于信一把雙刃劍����,為人們提供更多方便服務(wù)的同時也帶來了新的��、多樣化的威脅安全的方式和途徑��。同時��,商業(yè)銀行自身為了業(yè)務(wù)更新和服務(wù)完善進行的信息技術(shù)的更換����,但卻不能保證所選技術(shù)的成熟度和完善度�,更何況不論多么可靠的信息技術(shù)都不可避免的存在了或多或少的安全隱患,這將對 計算機系統(tǒng)的穩(wěn)定性造成相當(dāng)大的影響���。于此同時���,目前我國銀行間的網(wǎng)絡(luò)系統(tǒng)缺乏統(tǒng)一的、整體的規(guī)劃��,使得各銀行間系統(tǒng)無法兼容�,業(yè)務(wù)無法暢通無阻的相連和對接。這些存在的技術(shù)漏洞無疑增加了各類惡意攻擊的風(fēng)險���。如計算機病毒的傳播將導(dǎo)致計算機系統(tǒng)的癱瘓��、黑客的入侵將竊取銀行內(nèi)部各種機密資料等��。
(二)系統(tǒng)設(shè)計風(fēng)險���。
新型網(wǎng)絡(luò)金融服務(wù)使得銀行業(yè)的服務(wù)的范圍和外延擴大了�����,電子銀行業(yè)務(wù)想通過以前過于簡單的加密模式已經(jīng)無法滿足現(xiàn)如今的在交易中必需的身份認證���、數(shù)據(jù)交易以及其他記錄的安全性。目前,我國金融業(yè)的系統(tǒng)的監(jiān)控分析��、災(zāi)難的備份管理���、自動化的故障診斷����、突發(fā)事件的應(yīng)對和抗風(fēng)險的能力等都很薄弱���。而電子銀行業(yè)務(wù)數(shù)據(jù)傳遞渠道的開放性則使其面臨了新的安全問題。與此同時�����,很多銀行對少數(shù)幾家外包商的過分依賴很可能將導(dǎo)致一些系統(tǒng)性風(fēng)險,事實上這些外包商大多對銀行業(yè)務(wù)所必須具有的控制知識的了解都相當(dāng)缺乏���。因此�����,外包業(yè)務(wù)將會帶來類似附加隱私權(quán)保護的問題����。
(三)客戶操作風(fēng)險�����。
電子銀行業(yè)務(wù)的特殊性決定了其使用者必須具有相應(yīng)的操作技能�。客戶不熟練的操作將有可能產(chǎn)生操作錯誤�����,進而引起操作風(fēng)險�。同時,很多客戶的安全意識淡薄,容易上當(dāng)受騙���。例如�,將自己的銀行卡賬戶和密碼泄露于他人��;將銀行業(yè)務(wù)后的回執(zhí)����、回單等隨意丟棄,讓不法分子有機可趁�;甚至無法辨別犯罪分子通過電話、短信����、郵件等方式進行的詐騙,信以為真�����,讓自己的財產(chǎn)受損���。
(四)內(nèi)部控制風(fēng)險���。
由于我國商業(yè)銀行的內(nèi)部控制在技術(shù)狀況�����、管理水平、人員素質(zhì)����、組織文化、經(jīng)營規(guī)模以及運營效率等方面的條件尚不成熟��;忽視內(nèi)部控制模式建設(shè)�;缺乏有效的內(nèi)部控制標(biāo)準(zhǔn)和規(guī)范的控制程序;內(nèi)部控制的測試與評價系統(tǒng)不完備等原因致使我國商業(yè)銀行內(nèi)部控制效率低下���。銀行內(nèi)部員工的不合規(guī)�����、不合法操作得不到有效的控制��,這將會引起電子銀行業(yè)務(wù)的運行風(fēng)險���。如果銀行具有不完善且得不到獨立審計的內(nèi)部控制措施,那么有效的、及時的安全防范將成為一個難題����。
二���、電子銀行風(fēng)險產(chǎn)生的原因
1、銀行自身的原因
現(xiàn)代網(wǎng)絡(luò)金融業(yè)務(wù)是對電子��、通信和軟件技術(shù)的綜合運用的基礎(chǔ)上發(fā)展起來的����,因此,對穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)具有很強的依賴性�����。另外����,客戶的信賴是開展電子銀行業(yè)務(wù)的必要條件。而我國銀行業(yè)開展電子化的金融服務(wù)起步較晚���,經(jīng)驗缺乏�,不合理的操作會使客戶對網(wǎng)上服務(wù)的滿意度降低��。數(shù)字證書是網(wǎng)上銀行作為客戶身份認證的有效手段����,那么銀行理應(yīng)將其作用和正確的使用方法作為一種責(zé)任向用戶進行清楚的告知和說明���。而實際上,雖然數(shù)字證書已基本覆蓋到各銀行的網(wǎng)上銀行業(yè)務(wù)中���,但大部分用戶對其功能無法完全了解。數(shù)字證書的介紹只有在網(wǎng)上銀行頁面上類似“熱點問題”的專欄中才有解釋�����,但大多數(shù)解釋都未充分說明數(shù)字證書的重要性和法律效力����。各網(wǎng)上銀行應(yīng)以“客戶服務(wù)”為宗旨,確?��?蛻舻男畔⒑唾Y金往來的安全性�。
2����、客戶方面的原因
電子銀行具有傳統(tǒng)銀行經(jīng)營過程中存在的信用風(fēng)險,而信用風(fēng)險源于社會信用體系不夠健全�����。因此,應(yīng)盡快建立我國的社會信用體系���,以促進電子銀行的發(fā)展����。目前網(wǎng)銀對用戶身份的認證主要通過以下三種方式完成�。第一,根據(jù)客戶的秘密信息來確認身份����,包括靜態(tài)口令和動態(tài)口令。但靜態(tài)口令的用戶常使用簡單易記的口令�����,因此容易泄露或被盜用�����。而動態(tài)口令的操作需要在時間和錄入方面達到配合��,一些用戶無法掌握����,且只有完成了用戶身份認證��,沒有電子簽名���,因此當(dāng)客戶和銀行發(fā)生爭議時無法依法判定。第二�����,利用智能卡和USBKey等物品來證明身份���。但其造價成本高且需要用戶具備一定的計算機技能,因此對客戶群也有限制�����。第三���,利用指紋��、視網(wǎng)膜����、聲音、DNA等生物特征來證明身份�。雖然成本昂貴,但在安全性�����、有效性����、可靠性上達到了質(zhì)的飛越。目前用的最好的是指紋Key功能����,具備電子簽名的功能。根據(jù)以上對各種方法評述����,網(wǎng)銀用戶需要具備一定的條件才能確保自身信息、財產(chǎn)的安全���。
3��、網(wǎng)絡(luò)系統(tǒng)方面的原因
網(wǎng)上銀行信息的傳輸主要依靠網(wǎng)絡(luò)電纜��、光纜��、無線傳輸?shù)刃问?,但它們傳輸?shù)據(jù)時產(chǎn)生載有信息的電磁波,而這些電磁波容易泄露或被監(jiān)聽�����,導(dǎo)致信息外泄���,從而破壞數(shù)據(jù)的真實性�、機密性�����、完整性�����。不法分子則可以偽造數(shù)據(jù)進行欺詐或?qū)⒏`取數(shù)據(jù)非法轉(zhuǎn)讓給未授權(quán)用戶以獲利��。
4�����、法律方面的原因
作為銀行業(yè)“新希望”的電子銀行業(yè)務(wù)��,由于發(fā)展較晚���,目前的法律制度無法適應(yīng)其發(fā)展的步伐����,因此急需國家制定一系列新的法規(guī)制度加以保護��,為其保駕護航�����。然而我國金融立法的速度落后于電子銀行業(yè)務(wù)的發(fā)展速度�����,立法工作相對滯后��。所以����,現(xiàn)今電子銀行業(yè)務(wù)的處理都按照協(xié)議,但它難以解決在電子銀行業(yè)務(wù)中復(fù)雜的法律問題����。例如���,用戶和銀行出現(xiàn)爭端時責(zé)任的認定、承擔(dān)等��。
三�����、針對這些問題的解決方法
1�����、政府方面要加快信用體系的建立���,不斷加強網(wǎng)絡(luò)犯罪的法律法規(guī)建設(shè)����,打擊網(wǎng)絡(luò)金融犯罪�����。市場經(jīng)濟是信用經(jīng)濟�,信用制度的完善與否將直接影響社會主義市場經(jīng)濟體制的建設(shè)。因此�����,要像西方國家那樣建立個人和企業(yè)的信用體系���,培育我國自己的信用評級機構(gòu)��,從而起到社會監(jiān)督的作用�。同時����,要強化法律的監(jiān)督和制裁效力,對現(xiàn)存法律不完善的地方加以修改補充�����,對存在法律空白領(lǐng)域則加緊步伐修訂相應(yīng)的金融法律和規(guī)范����,建立、健全信用經(jīng)濟的法律制度��。
2��、銀行要通過技術(shù)、管理�、服務(wù)、安全機制等方面的不斷創(chuàng)新�����,進行主動防范�����。第一�����,要構(gòu)建全方位的服務(wù)安全系統(tǒng)����。前提是要提高使用的操作系統(tǒng)的安全性:完善國外操作系統(tǒng)漏洞;加大對更好操作系統(tǒng)的研發(fā)力度���,創(chuàng)造符合國內(nèi)電子銀行業(yè)務(wù)的操作系統(tǒng)����。加強防火墻的使用��,并利用入侵檢測技術(shù)加以輔助��,對網(wǎng)絡(luò)內(nèi)�、外部的攻擊都加以防控。同時��,提高病毒防治技術(shù)��,使用安全掃描系統(tǒng)����,做好病毒的預(yù)防、監(jiān)控及清除工作����。第二,加強網(wǎng)上銀行身份認證的安全管理�����。加強數(shù)字證書的推廣和使用��,確保用戶網(wǎng)銀安全����。
3�、用戶要加強網(wǎng)銀安全意識��,形成良好的交易習(xí)慣���。技術(shù)手段不夠先進固然會影響網(wǎng)銀的安全問題�����,但是用戶是否能夠有效的使用高科技手段以及是否擁有良好的交易習(xí)慣也對網(wǎng)上銀行是否安全具有重要影響����。中國金融認證中心副總經(jīng)理曹小青曾指出����,很多網(wǎng)銀被盜問題的關(guān)鍵并不是數(shù)字證書機制本身不安全,而是用戶沒有妥善保管和使用它����。而且經(jīng)專家認證,數(shù)字證書機制是國內(nèi)外網(wǎng)銀系統(tǒng)使用最廣泛且安保性能較強的方法����,暫無出現(xiàn)因數(shù)字證書機制被攻破而使用戶資金受損的案件。因此�,用戶自身在培養(yǎng)良好的安全意識和上網(wǎng)習(xí)慣的基礎(chǔ)上�����,也要加強對數(shù)字證書的正確、合理使用�����。
淺談電子銀行安全風(fēng)險與防范:電子銀行管理系統(tǒng)的安全監(jiān)管與設(shè)計
隨著計算機和網(wǎng)絡(luò)技術(shù)應(yīng)用的擴展和普及����。銀行系統(tǒng)便利用計算機和網(wǎng)絡(luò)通訊技術(shù)開發(fā)了電子銀行,實現(xiàn)了數(shù)據(jù)集中,完成了綜合業(yè)務(wù)處理和管理決策一體化建設(shè)。銀行數(shù)據(jù)集中實現(xiàn)資源共享,為客戶提供了更便捷����、更靈活、更豐富的金融理財服務(wù)的同時,也帶來了風(fēng)險的集中��。而且電子銀行管理信息系統(tǒng)采集的數(shù)據(jù)范圍是銀行業(yè)務(wù)系統(tǒng)交易的數(shù)據(jù)��,涉及到客戶信息���、客戶交易等非常重要的數(shù)據(jù)�,數(shù)據(jù)保密性要求較高�,提出的安全要求就相對較高��,故對其安全設(shè)計就非常重要�����。因此,建立全方位���、多層次、有針對性的安全系統(tǒng)就成為目前迫切需要解決的問題���。鑒于此筆者從系統(tǒng)安全風(fēng)險分析����、安全要求���、安全策略��、設(shè)計原則����、安全手段等5個方面來分析并設(shè)計了電子銀行信息管理系統(tǒng)的安全方案���。
1系統(tǒng)安全風(fēng)險分析
系統(tǒng)的安全風(fēng)險一般可以劃分為幾個不同層面來分析:自然因素�����,既系統(tǒng)物理上的安全�。(1)地震、水災(zāi)���、火災(zāi)等自然環(huán)境事故造成整個系統(tǒng)毀滅���;(2)電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失�����;(3)設(shè)備被盜�、被毀造成數(shù)據(jù)丟失或信息泄漏;(4)電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱����;(5)報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。技術(shù)因素�����,既網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)協(xié)議����、應(yīng)用程序、操作系統(tǒng)��、設(shè)備等自身的缺陷或不足帶來的風(fēng)險���。例如�����,計算機����、網(wǎng)絡(luò)設(shè)備不穩(wěn)定���,軟件有漏洞�,TCP/IP協(xié)議先天的不足等等����。人為因素,這里有兩個層面的問題:一是人為地利用系統(tǒng)技術(shù)上的缺陷或不足主觀地攻擊����、破壞���;二是管理和素質(zhì)上的原因造成的損壞�����,例如,安全意識不強��,造成用戶名���、口令的泄露�,計算機知識有限產(chǎn)生的誤操作等等�。
2安全要求
(1)保證數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的安全�;(2)對入網(wǎng)用戶進行身份認證,防止非法入侵����;(3)提供良好的授權(quán)管理機制;(4)按照地區(qū)進行權(quán)限和數(shù)據(jù)管理�����;(5)防止非法入侵和破壞。
3安全策略
系統(tǒng)安全應(yīng)從實體安全��、網(wǎng)絡(luò)安全�、應(yīng)用安全、用戶安全幾個層次來考慮��。主要保證整個系統(tǒng)的保密性���、可用性�����、可控性���。安全設(shè)計要點歸納為以下幾點:(1)保密性,本系統(tǒng)具有數(shù)據(jù)存貯和傳輸中的保密性��。(2)身份識別�,本系統(tǒng)對各級操作員和管理員進行用戶身份鑒別和認證,防止非法入網(wǎng)�����。(3)防止非法訪問���,本系統(tǒng)能夠防止非法用戶訪問和用戶越權(quán)訪問數(shù)據(jù)�����。(4)防止非法入侵��,本系統(tǒng)所運行的操作系統(tǒng)安裝有防火墻�����,可有效防止通過端口漏洞�����、系統(tǒng)漏洞��、木馬程序�����、計算機病毒等各種方式的非法入侵和破壞��。
4設(shè)計原則
系統(tǒng)安全的重要性隨著計算機和網(wǎng)絡(luò)在生產(chǎn)���、管理上的廣泛應(yīng)用而已經(jīng)被人們所認可��,而系統(tǒng)安全包含了從硬件��、物理到人為的信息安全服務(wù)����,但系統(tǒng)安全方案要做到全面�、可擴充,其設(shè)計應(yīng)遵循以下原則:
(1)需求��、風(fēng)險���、代價平衡的原則
對任一系統(tǒng)��,絕對安全難以達到����,也不一定是必要的�。對一個系統(tǒng)要進行實際的研究(包括任務(wù)、性能�����、結(jié)構(gòu)�、可靠性�、可維護性等)��,并對系統(tǒng)面臨的威脅及可能承擔(dān)的風(fēng)險進行定性與定量相結(jié)合的分析�,然后制定相應(yīng)的規(guī)范和措施,確定系統(tǒng)的安全策略��。
(2)綜合性��、整體性原則
應(yīng)運用系統(tǒng)工程的觀點�����、方法���,分析系統(tǒng)的安全及具體措施��。安全措施主要包括:行政法律手段����、各種管理制度(人員審查���、工作流程、維護保障制度等)以及專業(yè)技術(shù)措施(訪問控制����、加密技術(shù)���、認證技術(shù)、攻擊檢測技術(shù)����、容錯、防病毒等)�。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。系統(tǒng)的各個環(huán)節(jié)����,包括個人(使用、維護��、管理)����、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))�����、數(shù)據(jù)等��,在系統(tǒng)安全中的地位和影響作用,只有從系統(tǒng)整體的角度去看待�����、分析����,才可能得到有效、可行的安全措施�。
(3)一致性原則
一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個網(wǎng)絡(luò)的工作周期(或生命周期)同時存在,制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致��。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(包括初步或詳細設(shè)計)及實施計劃���、網(wǎng)絡(luò)驗證�����、驗收�����、運行等���,都要有詳實的內(nèi)容及措施���。實際上����,在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對策,比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施�,不但容易,而且花費也少很多����。
(4)易操作性原則
安全措施需要人去完成,如果措施過于復(fù)雜��,對人的要求過高�����,本身就降低了安全性��;其次����,措施的采用不能影響系統(tǒng)的正常運行。適應(yīng)性及靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化,要容易適應(yīng)���、容易修改和升級�����。
(5)多重保護原則
任何安全措施都不是絕對安全的����,都可能被攻破�。但是建立一個多重保護系統(tǒng),各層保護相互補充��,當(dāng)一層保護被攻破時���,其他層保護仍可保護信息的安全�。
(6)可評價性原則
系統(tǒng)安全是整體的����、動態(tài)的。整體性是指一個安全系統(tǒng)的建立���,既包括采用相應(yīng)的安全設(shè)備�����,又包括相應(yīng)的管理手段�����。安全設(shè)備不是指單一的某種安全設(shè)備��,而是指幾種安全設(shè)備的綜合���。系統(tǒng)安全的動態(tài)性是指,系統(tǒng)安全是隨著環(huán)境��、時間的變化而變化的��。
針對安全體系的特性��,我們可以采用“統(tǒng)一規(guī)劃�����、分步實施”的原則��。具體而言����,我們可以先對系統(tǒng)做一個比較全面的安全體系規(guī)劃�,然后��,根據(jù)系統(tǒng)的實際應(yīng)用狀況����,先建立一個基礎(chǔ)的安全防護體系,保證基本的�、必需的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加���,再在原來基礎(chǔ)防護體系之上�����,建立增強的安全防護體系�。
5安全手段
本系統(tǒng)的安全手段主要體現(xiàn)在系統(tǒng)手段和制度手段兩個方面�,系統(tǒng)手段管理系統(tǒng),制度手段管理人員����。兩種手段結(jié)合,保證系統(tǒng)的整體安全��。數(shù)據(jù)對于銀行來說至關(guān)重要,因此���,對數(shù)據(jù)的訪問必須加以控制����。系統(tǒng)管理模塊可以靈活地管理和控制用戶對系統(tǒng)信息的訪問����。特別地,這種控制不僅僅是功能的限制(比如不能運行某個功能模塊)����,而且可以在數(shù)據(jù)行的層次上進行控制(比如限制用戶訪問其他同級單位的數(shù)據(jù))���。
5.1實體安全
在本系統(tǒng)中�����,實體安全主要表現(xiàn)為數(shù)據(jù)庫系統(tǒng)安全和應(yīng)用系統(tǒng)軟件安全����。保障實體安全主要采用以下手段:(1)制度上嚴(yán)格控制能夠接觸系統(tǒng)的人員����;(2)制度上加強對數(shù)據(jù)庫服務(wù)器�����、應(yīng)用服務(wù)器�����、Web服務(wù)器等操作系統(tǒng)的用戶管理和口令管理�����;(3)數(shù)據(jù)庫定期備份以防止系統(tǒng)破壞或系統(tǒng)故障��。
5.2網(wǎng)絡(luò)安全
本系統(tǒng)的網(wǎng)絡(luò)安全主要定位于防止非法訪問和非法入侵��,為此系統(tǒng)保障網(wǎng)絡(luò)安全的手段主要有:(1)采用防火墻�,非法訪問則被防火墻隔絕在外�����;(2)安裝防病毒軟件�����,并及時更新,防止病毒和木馬程序入侵��。
5.3應(yīng)用安全
系統(tǒng)的應(yīng)用安全則主要定位于應(yīng)用系統(tǒng)運行安全���,主要表現(xiàn)在防止越權(quán)操作和訪問數(shù)據(jù)���、防止系統(tǒng)運行故障、防止非法輸入造成系統(tǒng)故障等各個方面��,電子銀行管理信息系統(tǒng)的應(yīng)用安全設(shè)置如下:(1)通過用戶名/口令方式��,口令通過軟件加密���,對用戶進行嚴(yán)格的認證和管理;(2)輸入密碼時���,密碼以“*”進行顯示�,并以暗文存儲在數(shù)據(jù)庫中���;(3)用戶密碼丟失����,必須由系統(tǒng)管理級別的用戶進行重置;(4)用戶認證時��,通過總行UAAP認證系統(tǒng)����,進行用戶認證;(5)用戶訪問相關(guān)數(shù)據(jù)信息時�����,均需要判斷相關(guān)信息�����,防止非法訪問���;(6)制度上嚴(yán)格控制業(yè)務(wù)定制功能的授權(quán)�,業(yè)務(wù)定制功能只能由經(jīng)過培訓(xùn)的管理員使用����,防止使用不當(dāng)造成系統(tǒng)應(yīng)用問題;(7)用戶使用系統(tǒng)關(guān)鍵操作時�,記錄系統(tǒng)事件日志,以便今后審查�;(8)對數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)��,采用加密方式存儲����,防止數(shù)據(jù)泄漏�;(9)對查詢信息中,不支持對客戶的相關(guān)信息的批量查詢����。防止客戶信息的下載。
6結(jié)束語
本安全方案的設(shè)計是科學(xué)����、合理的,實施是可行的��,具有良好的靈活性����、高可靠性和安全性���,完全可以保護廣大客戶和銀行的利益�。此方案完全符合銀行的安全需求����,在實際應(yīng)用中也確實保障了電子銀行管理信息系統(tǒng)的安全����。
