朱雪燕

网上银行以其方便快捷、足不出户提供银行服务的特点而受到人们的广泛欢迎。近年来，我国网上银行业务发展迅猛，网上资金交易和转移日益频繁，公众对网上银行服务的依赖程度不断加深。根据中国互联网信息中心2012年1月份发布的第29次《中国互联网络发展状况统计报告》，2009年以来，以网络购物、网上支付、旅行预订为代表的商务类应用持续快速增长，并引领其他互联网应用发展，成为中国互联网发展的突出特点。2011年这一态势依然延续，我国网络购物应用依然处于较快发展通道，包括网络购物、网上支付、网上银行、旅行预订在内的电子商务类应用在2011年继续保持稳步发展态势，用户规模全面增长。其中网络购物用户规模达到1.94亿人，较上年底增长20.8%；网上支付用户达到1.67亿，较上年增长21.6%，网上支付使用率增长至32.5%；网上银行用户达到1.66亿，较上年增长19.2%，网上银行使用率增长至32.4%。

当前国内网络安全问题依然突出

人们使用网上银行最为关心的莫过于网络安全问题。目前，国内互联网风险形势严峻，网上交易的安全性成为公众使用网上银行时心中最大的隐忧。根据国内互联网安全公司金山网络2012年2月20日发布的《2011～2012中国互联网安全研究报告》，2011年金山毒霸累计捕获新增病毒约1 230万个，全国平均每天在4%～8%的电脑上会发现病毒，金山毒霸保护用户免于病毒攻击的次数约每天500万次。虽然2011年新增病毒总数自2010年以来再次下滑，而针对网购的攻击则日益普遍，钓鱼网站取代病毒木马成为互联网第一大安全威胁，每月拦截网民访问次数比去年激增了100倍。金山毒霸云安全中心数据显示，2011年，金山毒霸网购保镖日平均保护2 000万次网购操作，日均覆盖500万网民。病毒产业追逐经济利益的趋势不会改变，随着互联网产业的飞速发展，2012年，病毒制造者会通过各种手段给用户带来新的安全威胁。

网上银行业务的主要风险点

与传统的银行业务相比，网上银行具有开放性的特征。主要体现在：一是网络社会化，互联网是社会化网络；二是终端社会化，进行网上银行操作的计算机都不是银行的终端；三是客户自助操作，网上银行业务是由客户操作，而非银行柜员进行操作。这些开放性的特征，形成了网上银行业务特有的风险。

网上银行的风险点主要存在于三个方面：用户端、信息传输过程、银行端和商户端。用户端的风险主要由于用户风险防范意识不强、操作不规范或被欺诈而引起个人信息泄露或导致交易风险，例如，用户不注意计算机使用环境、未能有效防范各种类型的木马病毒，登录假网站或钓鱼网站，泄漏自己的账户信息、身份证信息、网上银行登录密码，未使用或丢失U盾或动态密码卡等等，这些都是可能导致风险事件的原因。信息传输过程中的风险是由于网上交易的信息是在互联网上公开传递的，如没有采取必要的安全措施加以防范，则存在着交易信息被篡改和窃取的可能性。银行端和商户端的风险主要来自于黑客入侵、银行和商户的相关业务和产品设计缺陷、内控管理不严、网站风险防控能力不足、网上交易风险监控能力不足等。尽管目前各家银行、商户网站均采取了防火墙和网络检测等安全措施，然而2011年底以来CSDN等网站的暴库事件表明，针对运营商服务器展开的攻击仍然存在。

商业银行防范网上银行业务的风险措施

网上银行风险防范不仅仅是银行的责任，也是整个社会的责任。本文仅从商业银行角度，从事前、事中、事后三个方面提出网上银行风险防范对策。

（一）事前防范措施

1.确定风险管理原则，即审慎性原则和安全性与便利性均衡原则。银行是经营风险的特殊企业，银行要防范风险，规避风险，减少客户的资金损失，保障银行的资金安全，因此，要坚持审慎性原则。同时，银行也是服务行业，面向广大客户提供服务，要秉承“以客户为中心”的宗旨，最大程度满足客户的需求，方便客户使用。网上银行是客户自助操作，通过互联网公开透明渠道提供服务，因此必须采取必要的安全措施、安全手段；然而风险防范措施过于严密，采取过多的安全手段、措施，为防范个别、少数不法分子的作案而采取过高、过多的安全手段，会影响广大用户的方便性，因此，过分强调方便也是不现实的。处理好安全性与便利性的关系是一个难题。银行应以满足广大客户最基本的安全手段、安全措施为基础，在设计管理制度、风险控制手段时应考虑广大客户最基本的需求，统筹兼顾便利性与安全性的平衡。

2.把风险防范嵌入到产品创新和流程优化工作之中。商业银行设计新产品、新业务流程和编写业务需求时，必须同时分析风险点和风险环节，并相应制定防范措施，杜绝制度缺陷、流程缺陷和系统缺陷。

3.普及网上银行安全知识，提高公众的风险防范意识。当用户通过银行网站或柜台开办网上银行业务时，银行可结合口头提示、宣传资料、网站、手机短信等多种形式对其进行风险提示，向其揭示网上银行的相关风险，并进行安全知识教育，提高客户的自我保护意识。加强用户身份验证管理，严格审核用户身份证件，防止代人签约网上银行或利用虚假身份证件开立账户和签约网上银行。此外，还应通过各种宣传渠道向公众明示本行正确的网上银行官方网址和呼叫中心号码。网上银行用户自身也要加强学习，掌握基本的安全知识，培养良好的安全操作习惯，增强风险防范意识。

（二）事中防范措施

1.合理制订网上银行相关业务制度和操作流程，严格内控管理。在科学论证基础上，合理设置网上银行有关参数，并进行规范管理，规范操作人员和操作权限。参数管理中，最重要的莫过于网上银行的交易限额管理，银行要对客户的不同情况（例如，使用安全产品的情况），针对不同交易种类合理设置交易限额，防范大额资金风险。

2.加强安全防护手段，根据当前互联网安全形势，持续优化安全产品和手段，不断加固防范措施。积极研发和应用各类维护网上银行使用安全的技术和手段，保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。加快网上银行安全产品升级换代，提高客户使用网上银行的安全性。近期，建设银行、工商银行推出了二代U盾，与原有普通U盾相比，二代U盾增加了液晶显示屏回显交易信息、物理按钮确认交易两道安全环节，液晶显示屏回显交易信息可让客户再次确认收款人账号和交易金额等信息，防止不法分子利用恶意软件篡改客户提交的交易信息；通过物理按键来增加客户干预，可防止不法分子远程控制客户计算机、利用客户插在计算机上的原有普通U盾进行网银交易而给客户造成损失。同时，银行还可提升多渠道信息交互的产品研发，针对较高风险的交易。例如，银行在验证证书或动态口令后，仍不对交易进行处理，而是将登录状态、账户、金额等敏感信息即时通过短信方式发送至用户手机，待用户核实后，最终决定对交易进行确认或取消。

3.加强假网站监测，定期搜索与本行相关的假冒网站（邮件、电话、短信号码等），做好对“钓鱼”网站的24小时监测和防控工作，并通过专业化工具进行主动搜索、关停。检查本行网页上对外链接的可靠性，并开辟专门渠道接受公众举报，发现风险立即采取防范措施，并向公众进行通报提示。

4.构建科学的电子银行风险管理体系，提高风险管理水平。建立网上银行风险监控系统，对网上银行系统资源使用情况、业务覆盖区域网络性能、外部系统访问情况等进行监控，有效识别、衡量、监督和控制网上银行风险。首先，要建立有效实用的网上银行风险稽核模型，确定具有什么样特征的交易是可疑的交易，进而采用事中监控手段。在日常工作中，应实现对风险稽核模型的动态管理，随着业务发展和客户交易习惯的变化而作相应调整。其次，在此基础上，制订监控规则，并依据监控规则，分析客户交易行为，识别高风险交易，进行事中监控管理。在监控中，应重点加强对大额、频繁、跨地区操作等交易的分析、识别和事中监控，实现对高风险交易的实时监测、事中干预、事后核实、事后提醒等功能，对风险等级高的交易实施事中干预。此外，要完善黑名单的监控类型和控制措施，以作为事中监控的有力补充。对已经发生风险事件的，通过客户服务中心、业务部门以及其他渠道收集风险事件涉及的账号、手机号、证件号以及IP地址，经过一定的审批程序，将涉嫌信息在黑名单中进行登记，关闭其今后的电子银行交易，防止损失扩大。

5.建立风险防范信息共享机制，实现风险信息跨系统、跨渠道共享和联动。建立银行同业之间，以及银行与合作伙伴间的风险联防机制，推进可疑交易跨行追索机制，实现跨行可疑交易账户的快速锁定和资金冻结。

（三）事后补救措施

1.建立风险事件快速处理机制及应急机制，提高处理风险事件的能力。银行首先要对风险事件发生的类型、缘由进行初步判断。对于因客户自身原因造成其信息或账户资金被非法窃取或骗取而发生的风险事件，银行应在得知风险事件发生的第一时间采取控制措施，尽量帮助客户减少损失。启动紧急联动机制，对尚未提现的，第一时间冻结收款账户资金，并积极协助公安机关调查取证，争取早日破案。

2.建立风险事件赔付机制，对客户交易因木马欺诈等原因，且客户无过错，对客户损失进行快速补偿。对于因银行网上银行系统出现问题、故障或遭到攻击、破坏而发生的风险事件，应立即启动应急预案，迅速反应，排除故障或处理解决，并充分预测和应对可能引发的影响。（作者单位：中国建设银行江西省分行）