章叶英

【摘 要】 网络银行在转变社会经济运作模式的同时，也带来了信息安全问题，必须全面规制网络银行的安全性。文章分析了网络银行的发展现状，对网上银行安全问题进行了阐述，提出了安全技术建设和法律制度规制的保护策略，全面地探索了技术与规制两方面内容，对建立安全有效的保护机制，提升网民对网银的使用信心有一定的借鉴作用。

【关键词】 网络银行； 安全性； 规制

网络银行的出现，在很大程度上转变了社会经济的运作模式，而在新的运作模式过程中往往会出现信息便利所带来的危害，这种危害性主要体现在计算机操作的不严密性上，犯罪分子就会从这种不严密中找出可乘之机，进行经济信息犯罪，而且这种犯罪方式往往很难查证，为银行和网络银行客户带来严重损失。为此，国家必须正视网络银行的信息安全性，对网络银行的安全性进行全面规制。通过强制性力量对信息资源和信息工具使用进行法律调整和规范，从而限制非法的、偶然的和非授权的信息活动，以支持正常的信息往来。

一、网络银行的安全性问题

（一）网络银行的发展与安全性需求

虽然目前各银行的网上银行都具备符合标准的安全系统及措施，以确保客户权益能得到充分保障。但还是有经济犯罪发生，而这种犯罪情况一旦有报道就对网银用户的心理产生极大的负面影响。通过问卷调查显示：超过60.5%的网民有虚拟财产被盗的经历，超过50%的消费者不信任网上支付的用户名和密码机制。对安全性的顾虑成为目前阻碍网上银行发展的重要瓶颈。自2004年以来，国内发生的“假冒网站”、“网银大盗”、“快乐耳朵”等事件，使网银用户对网上银行的误解更深，导致他们不敢放心大胆地使用。中国金融认证中心（简称CFCA）也曾经多次发表声明，以证明银行在保障网上银行资金交易安全上做足功夫，不仅采用了防火墙、防病毒产品等安全的物理手段，并且绝大多数都使用了第三方安全认证机构颁发的数字证书，以确保交易双方身份的真实性和交易信息的私密性。但是任何防范措施都需要有实效来证明，网民相信的往往是交易的安全结果，所以进一步提升网络银行的安全防范技术和法律规制是目前的头等大事。

（二）网络银行存在的安全问题

1.网站的安全性。网站是进行网上交易的主要虚拟场所，在网站环节进行犯罪的活动往往会用软件窃取密码进行非法资金转移，使客户的密码设置形同虚设，以往出现的“假冒网站”活动就是利用了网站的密码不安全因素进行非法窃取行为，使得客户的利益受到损害，因此网站的安全问题不容忽视。

2.交易信息传递的安全性。由于互联网的虚拟性，资金在网上划拨， 客户与银行在进行交易时，大量经济信息就会在网上进行传递，从而出现传递安全问题。而传递的主要手段是依靠键盘进行信息输入，在输入信息的过程中，键盘反应往往与远端信息联系，犯罪分子就会利用这种方式来窃取交易信息，进行非法资金转移。在以网上支付为核心的网上银行，电子商务最核心的部分包括CA认证在内的电子支付流程，这种支付流程并没有在我国形成统一规范的法律保证、认证系统。另外，我国银行卡持有人安全意识较弱，不注意密码保密， 也就有可能使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件，如何确保不被第三方知道，是网上业务安全进行的一个重要前提 。

3.制度层面上的安全性。我国网上银行法律规制存在不完善，任何非法行为的控制都需要有法律做限制，但是对于网上银行犯罪来说，其犯罪证据很难收集，出现问题之后，犯罪记录、犯罪嫌疑人的追查都十分困难。法律法规的不完善使得犯罪分子的作案行为更为畅快，无形地影响了安全问题的控制。另外，国家也必须设立专门的网上银行安全保障系统，投入资金和人力进行网络规范化管理，这也是当代社会必须面对的问题 。

二、网络银行安全的技术规制

（一）网络入侵检测系统

网络入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于IDS是一种积极主动的安全防护技术。IDS技术是保护计算机安全的最新技术，可以对网络入侵行为做出最为快速准确地安全监控。它通过对网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。

（二）安全操作系统及安全数据库

安全操作系统是指计算机信息系统在自主访问控制、强制访问控制、标记、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复等十个方面满足相应的安全技术要求。数据库的安全性要考虑到网络环境的复杂性，要对数据库环境进行分项目管理，每个结点服务器还能自治实行集中式安全管理和访问控制，对自己创建的用户、规则、客体进行安全管理。数据库的安全管理能够防止网上银行用户的信息被修改和篡改。

（三）身份认证

身份认证指能够正确辨别用户的各种方法，可通过三种基本方式或其组合形式来实现：用户所知道的密码（如口令），用户持有合法的介质（如智能卡），用户具有某些生物学特征（如指纹、声音、DNA图案、视网膜扫描等）。为了进一步进行网银的安全认证，计算机可以进行安全通道设置。如：在“安全通信”页签中，可以为远程桌面Web连接的通信通道进行安全配置。如可以选择“要求安全通道”选项，并且可以选择“要求128位加密”。这样就可以对通信过程中的通信通道采用SSL加密，同时对其中的数据也进行128位的加密，对网络传输的数据实现双重保护。

（四）备份和灾难恢复

网络数据存储管理系统的工作原理是在网络上选择一台应用服务器（当然也可以在网络中另配一台服务器作为专用的备份服务器）作为网络数据存储管理服务器，安装网络数据存储管理服务器端软件，作为整个网络的备份服务器。在备份服务器上连接一台大容量存储设备（磁带库、光盘库）。在网络中其他需要进行数据备份管理的服务器上安装备份客户端软件，通过局域网将数据集中备份管理到与备份服务器连接的存储设备上。网络备份和灾难恢复的计算机技术设置可以在网银非法入侵的情况下，对计算机系统进行最快速度地恢复，保证网络系统的正常运作，也就提供给了客户最为直接控制的机会。而备份的设置则保证了对操作数据的保留，为跟踪和查证提供帮助 。

（五）SSL协议

SSL协议（Secure Socket Layer，安全套接层）是由网景（Netscape）公司推出的一种安全通信协议，它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。在SSL中，采用了公开密钥和私有密钥两种加密方法，用以保障在Internet上数据传输之安全，利用数据加密（Encryption）技术，可确保数据在网络上之传输过程中不会被截取及窃听。这样就可以保证用户的信息安全更为全面，从键盘到会话都能够全面监控，全面加密，保证了网上交易的安全。

三、网络银行安全性的全面规制分析

（一）加快技术更新

如今网上银行的安全控制技术已经很完备了，但是技术的更新是没有极限的，为了跟踪非法入侵者、对网络交易进行全面护航，网络安全技术必须不断更新、不断创新，以领先的技术优势来控制犯罪行为的发生。全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。所以要银行监督管理机构、技术科研机构和银行加大技术研发力度，共同协作，加强资源共享，不断创新技术，提高大众对网银的安全信心。而先进技术的应用也至关重要，对使用网上银行交易的客户应该采取一些强制手段，保证其应用合适的网银保护系统，这样就可以避免出现由于客户的粗心大意而导致的安全问题，可以从意识到技术全面地实现安全保护。

（二）完善法律规制

全面地技术控制对网银交易的安全作用主要还是以防范为主，而法律规制则是主动出击行为，网络银行的法律规制可以保证非法入侵者和非法资金挪用者受到应有的惩罚。建立其全面地犯罪行为跟踪系统，对犯罪人员进行严惩。另外，法律规制也在很大程度上保证了客户使用网上银行的信心，从心理层面解决了网民的网上交易困扰。而对交易双方而言，法律规制应该从市场准入、经营监管、市场退出和权利救济四方面着手，规范网上银行的行为，明确网上银行和客户的法律责任，逐渐使大众的安全意识从技术依赖型过渡到法律信任型。

（三）强化网络管理

网络管理包括：配置管理、变更管理、审计与合规和高可靠性控制。网络管理是从网上银行设置方的角度出发，旨在将网银系统、构架、服务等功能进行全面地系统操控管理。网上银行的管理首先必须设置人为管理员，不能一味地依靠虚拟设施，管理员能够轻松地管理分散在多个地理位置的网络，而且不会出现单点故障。另外，管理员也要随时对各种网络程序进行安全监控和操作审核，保证网上银行的服务没有入侵风险和交易信息被窃取的现象发生。总之，网络管理要面对日趋复杂的网络系统环境，随时调整管理方案，对网络管理进行统一的资产、配置、操作流程管理与行为审计，制订并执行统一的安全策略和配置规范，推进网络安全策略部署和网络安全管理落实的有机结合，实现管理无漏洞、技术无缺陷。

因此，网上银行的安全系统是建立在网络银行发展现状和对网上银行安全问题分析的基础上的。对安全技术而言，必须要建立起访问控制、交易控制、SSL协议、身份认证、灾难恢复等全面的控制手段，保证对非法入侵的有效防范。对法律法规规制而言，要从实际情况出发，以法律的严谨来惩处罪犯，建立起安全有效地保护机制，提升网民对网银的使用信心。

【参考文献】

［1］ 孙立祥， 孙学全. 基于网络安全中的防火墙技术研究［J］. 科协论坛（下半月）， 2009（6）：62.

［2］ 李彦军， 屠全良， 郝梦岩. 基于中小企业网络安全的防火墙配置策略［J］. 太原大学学报， 2006（1）：70-72.

［3］ 张曦. 网络安全技术的探讨［J］. 山西财经大学学报（高等教育版）， 2002（S1）：172-173.

［4］ 黄迪. 电子政务网安全技术研究及应用［D］. 重庆大学， 2008：1-60.

［5］ 吴京伟. 大学校园网络运维体系研究［D］. 合肥工业大学， 2009：1-53.

［6］ 兀俊. ACL访问控制列表在交易连接平台上的应用［D］. 复旦大学， 2008：1-54.