浅析网上银行存在的安全风险及防范措施
2013-08-15董萍萍中国建设银行东营分行
■董萍萍 中国建设银行东营分行
网上银行是在互联网普及的社会大背景下产生的一种新型银行运营模式,因其高效性、便捷性、安全性受到了银行新老客户的青睐。网上银行的快速发展则需要其安全性的保障,网上银行安全性对我国经济发展有着重要意义。
一、网上银行基本概况及特点
20世纪90年代中期,随着因特网的普及应用,商业银行开始了网络服务方式并且得以快速发展壮大,银行经营方式也随之发生了巨大变化,至今已成为商业银行发展过程中不可或缺的一部分。我国网上银行的发展始于1997年,招商银行率先推出网上银行,随后中国工商银行、中国建设银行、交通银行、中国银行等也纷纷开通网上服务业务,自此网上银行在我国发展开来。网上银行不仅提供开户、销户、转账、网上证券、投资理财等传统银行业务,还产生了新的金融服务项目;包括电子商务的相关业务和企业银行为首的新型金融创新业务等。
与传统银行相比,网上银行的突出特点主要表现在交易时间短、交易成本低、交易灵活性强、客户群体更加广泛等,但其中最重要的特点就是它的快捷便利。其他方面则包括:
1.3A服务:即不受时间、空间限制,能实现随时(Anytime)、随地(Anywhere)、用任何方式(Anyhow)的网上支付功能
2.有效的结合了当前蓬勃发展的电子商务
为电子商务中的在线电子支付和转账等提供技术支持。例如,类似淘宝的商户对客户(B2C)模式购物,而且支持类似阿里巴巴的商户对商户(B2B)模式的网上采购等业务。
3.金融服务和管理的电子化,数字化
传统银行柜台业务办理所需的各种票据、票证、账单、交易记录等全面电子化,手写签名也实现了数字化签名。
二、网上银行存在的安全风险
网上银行作为实体银行的一种虚拟服务方式,具有高技术性、瞬时性和开放性等特点,这导致其运营风险的增加和安全性能的降低。另外,现有的技术水平和立法制度也不尽完善,这些缺陷都导致了网上银行安全问题的日益严重。
1.银行网站中存在的安全风险
网上银行内部系统的不完善,使得监督和管理系统未能充分发挥其作用,由此导致银行内部风险的产生。最常见的内部风险包括:
(1)由于技术人员的工作失误造成系统运行出现故障。
(2)工作人员违法相关的法律规定,利用客户的账户进行违规投资,再出现风险之后将风险转嫁到客户身上。
(3)内部人员管理系统的不完善,各部门之间权利义务不清晰的现象,从而产生了内部操作风险。
2.用户安全防范意识较低
其主要表现是过于轻信别人,导致自己的账户用户名以及密码的泄露。一些违法乱纪份子,通过短信、电话或者是邮件等多种方式,利用现阶段网上银行使用普遍的现状,通常会谎称自己是银行工作人员或者国家监管部门工作人员,并告诉客户客户中奖或者是由于各种原因导致客户的资金被冻结,进而诱骗客户提供出自己的卡号以及密码,对客户的资金进行窃取。而且由于客户的防范意识低以及诈骗手法多种多样,导致客户上当受骗的现象经常发生。
3.客户端具有一定的安全隐含
造成客户端存在安全银行的问题主要是由于客户端系统本山可能存在漏洞以及用户使用习惯这两方面的原因,如果客户端系统在开发设计上存在着安全隐患,那就容易造成信息的泄露。此外,如果客户在使用客户端时,不够注意在网吧或者公用计算机上进行操作,则会使得数字证书等重要信息泄露。
4.密码设置中存在的安全风险
密码设置过于简单,容易破解或不注意保密。这也给不法分子破解账号、密码提供了方便。
5.网络通讯的安全性
因为互联网的开放性,客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。
三、针对网上银行安全风险的防范措施
1.用户自身采取的安全措施
(1)下载安全防护软件。一般来说,系统自带的保护软件不能解决所有的网络安全问题,因此客户需要下载额外的安全防护软件,以此来保护个人网络信息。
(2)注意保护重要的私人信息。①确认网银运行的网站是安全的,警惕钓鱼网站。②在网络中传输敏感信息时,要注意加密保护。③不要在公共电脑上使用或存储个人网上信息。
(3)选择可信赖的交易网站。用户在进行网上交易的时候,应选择可信赖的或比较大型网站,以保证交易环境的安全性以及交易对象的真实性。
(4)设置安全的密码。一个安全有效的密码应该是比较长并且包含数字以外的其他字符或符号。另外,把个人账号和密码写下来或存储在电脑里也是不可取的。
(5)从正规网站下载应用程序。尽量避免在不熟悉的网站上下载电脑程序,因为这些下载程序上有可能保定了木马病毒或恶意插件;另外,不要随意打开网站自动跳出不知名的网站链接或附件。
(6)定期查询网银交易记录。网银用户定期查看“历史交易明细”、定期打印网上银行业务对账单,如发现异常交易或账务差错,立即与银行联系,避免损失。
2.银行采取的安全防范措施
为了更好地服务广大客户,保护网上用户的个人信息安全,银行机构采取了以下几种防范措施:
(1)网银系统安全性测试。网银系统属于应用系统,对于应用系统而言,安全性能测试是十分重要的一个环节。
(2)加强对银行内部业务工作人员的培训与监管。对业务人员进行严格培训,使其具备良好的职业道德。同时,规范系统的操作和管理权限,明确分工,设置合理的权限和职责。
(3)提供安全的网络交易环境。为保证网银交易环境的安全性,银行需定期进行技术升级。包括:①设立防火墙,分隔互联网与交易服务器以及交易服务器②高安全级的Web应用服务器。
(4)手机动态密码。当客户登录网上银行时,系统将向客户绑定的手机发送一次性动态密码,客户在规定时间内输入此密码完成第二重验证,保证了登录系统的安全性。
(5)动态软键盘。动态软键盘可以有效地避免用户密码在输入过程中被检测,而且由于数字是成动态显示的,每次登录时数字在软键盘上的位置显示位置不同,因此可以有效的避免密码被记录窃取。
(6)动态口令卡。使用动态口令卡,实现了网上银行登陆的三重防护,只有正确的输入银行卡卡号、用户密码以及口令卡密码,才能登陆网上银行,因此随机变化的动态口令卡可以有效的保护客户的资金安全。
(7)USB Key证书。USB Key是一种先进的网上银行数字签名工具,通过USB Key证书这一专用性的U盘,将网银证书存入其中,而且无法向其中存入其他信息,因此既不会携带传播病毒,同时也可以确保客户账户的安全可靠。此外,由于这种专用性的U盘中的东西无法向外拷贝,因此能够有效的避免木马程序对于用户信息的窃取。
(8)客户端密码安全监测。由于现阶段大部分银行都会提供客户端的密码安全监测,因此能够通过安全监测队用户密码的安全程度进行相应的评价分析,同时对于存在安全银行的客户,会由客户端密码安全监测系统做出相应警告提示。
目前,网上银行已经成为银行业务的主要内容,同时也是银行经营发展的大势所趋,对于拓展隐含的也无法为,降低银行的经营管理成本具有非常重要的作用。因此,为了确保银行网上银行业务的进一步推广,必须做好网上银行的安全问题,只有确保网上银行的安全可靠,才能保护客户的身份信息安全,避免各种利用网银违法发罪行为的出现,进而为客户提供安全、便利以及快捷的银行服务。