杨经伟

[摘要]网上银行以其基于先进的IT技术所带来的效率的提升和更加便捷的用户体验，赢得了市场的一致好评，其比重在银行业务中也呈逐年的上升趋势。由于银行和用户通过Internet进行信息的交互，也使得该项业务存在巨大的安全隐患。近年来针对网上银行的犯罪行为愈发严重，并引起了大量的纠纷，成为了监管部门、银行、司法部门所共同面临的一个棘手问题。本文首先对“网银安全”的威胁和来源进行分类定义，并对当前的监管和司法保护中的不足进行分析，最后笔者分别从司法、监管、人才培养等方面给出了相应的建设意见。

[关键词]网上银行安全、系统工程、法律保障制度、消费者权利

[中图分类号][C94]

[文献标识码]A

[文章编号]1672—5158（2013）05—0484—02

1研究背景

随着信息技术的迅猛发展，信息技术带来的效率的提升和用户的便捷体验，得到了各行各业的一致认同。网上银行就是一种基于网络通信等IT技术的杰出产品，在市场上得到了广泛的好评，业务份额不断扩大。在我国，自从招商银行于1998年开通了国内的第一项网上银行服务以来，各大银行也随后推出了各自的网上银行业务。由于网购业务模式的流行，网上支付已经成为了最为普遍和最受欢迎的网上购物方式。于此同时，针对网银的资金安全事件也呈陕速增长趋势。2011年1月，不法分子利用中行动态E令的漏洞盗取普通用户近亿元。“安全”已经成为了广大网银用户最关心的问题，并对用户通过网银进行交易的积极性造成了极大的负面影响，成为了威胁网银发展的一大毒瘤。能否为普通的用户提供一个安全的使用环境，已经成为了一个制约网银业务持续、健康发展的重要因素，也是当前的监管部门、银行、司法部门需要正视的一大难题。

2网上银行的安全威胁和应对重点

2.1网上银行面对的几种主要的安全威胁

在计算机领域中，网络攻击的定义为网络攻击者利用目前网络通信协议（如TCP/IP协议）或操作系统自身存在的或因配置不当而产生的安全漏洞，未经授权非法进入本地或者远程用户主机系统，非法获得、修改、删除用户系统的信息等一系列过程。当这种犯罪行为染指网络银行业务时，就演变为了针对网络银行的犯罪。以下列出几种常见的针对网上银行的攻击方式：

（1）病毒入侵

电脑上的冲击波等以破坏感染主机系统为目的传统病毒已经成为过去，而以盗取用户信息为目的的盗号木马、间谍软件、流氓软件等网络威胁则成为了当前的主流。传统的病毒以破坏宿主的计算机，致使其系统崩溃为目的。而当前的病毒则具有了更加明显的趋利特征，它们主要是隐藏在用户的计算机中以盗取用户的重要信息，并不对系统进行破坏。由于这些病毒以盗取用户的信息获取经济利益为目的，对电脑系统本身的攻击大大弱化，甚至对系统本身不构成任何危害。像网上银行这种能为其带来明显的经济收益的“猎物”，自然成为其作案的主要对象，近年来针对网上银行的木马病毒几乎爆炸式的增长就是一个很好的佐证。

（2）黑客攻击

近年来，网上黑客活动日益频繁，规模逐渐增大。开始不断出现专业的黑客组织入侵银行、证券等金融网络进行违法活动。这些侵入的黑客，常常具有较高的信息知识素养，能够熟练的使用漏洞扫描、数据包嗅探、Root-kit技术等技术手段入侵到保护措施薄弱的客户端，从中盗取用户保密信息和密码。可以想象，如果黑客能够成功的获得用户的账户和口令信息，那么用户的账户安全将会受到很大的威胁。

（3）网络钓鱼

网络钓鱼攻击（pohisbkN attacks）是常见的攻击手段，钓鱼攻击者通过邮件、短信等渠道发送一个看似合法网站的链接诱骗用户。这种邮件为了所渭的“更新安全性”，骗取用户对该邮件的信任，并要求用户在指定网站的表单中输入相关账户信息，引诱收信人给出敏感信息，如用户名、账号、密码等详细信息。当用户误以为是银行的合法表单填人信息并提交后，这些收集到的信息将被转发给攻击者，进而导致用户网上银行账户的损失。

2.2网上银行安全建设的应对重点

笔者认为，目前用户的防范意识和银行网银系统的安全性，可以被形象的理解为两座拦洪坝，都是为了保护下游的农田，这个农田可以被形象的理解为用户的账户。当山洪来袭时，其中的任意一个拦洪坝只要足够坚固，都可以成功的把洪水隔离隔离在下游的农田之外。山洪来袭时，总会先冲击第一道拦洪坝，再冲击第二道拦洪坝，第一道拦洪坝会为第二道拦洪坝分担一定的冲击力。但现实是，这第一道拦洪坝，也就是广大的网银用户，一般是缺乏防范意识，甚至有些是毫无防范意识的。可以说第一道防洪坝的抗洪能力极其的脆弱，不得不主要依靠第二道防洪坝发生效用，如果第二道防洪坝不够坚固出现了缺口，那么农田就会面临着被淹没的危险。所以在保护用户账户安全的过程中，主要还得依靠具有资金、技术优势的银行。银行要建立起足够坚固的大坝来保护普通用户的权益，定期的对其大坝的缺口进行修复。这种对大坝的修复动力不能仅靠自觉，它应该来自于市场的刺激、监管部门的压力和银行对其自身利益的维护，笔者于此专门在保障现状和建议中有所针对的进行了讨论。

3我国当前的网上银行保障现状及不足

3.1监管领域

（1）监管现状

我国的银监会成立之前，中国人民银行负责商业银行的集中监管，包括开业审查和批准以及日常经营等。在2003年银监会成立以后，开业审查和批准的权限划归银监会，同时中国人民银行内的有关监管机构也转移到银监会下。由于中国人民银行在全国支付核算体系中处于核心地位，在业务上与商业银行有着天然的各种联系，因此，对我国网上银行的风险监督仍有赖于银监会和中国人民银行之间的合作。目前，我国网上银行业务受到两个部分的监管：业务主管部门

银监会和信息主管部门

信息产业部。在宏观监督体制的设置上，为分业经营、分业监管的体制。

（2）现行监管的不足

a）对网上银行监管意识上的滞后性

在传统的金融范畴中，我国银行监管本生就存在着滞后性，主要以事后调节为主，计划性、强制性的指导为主，真正带有前瞻性的宏观调控不是很强，特别是面临网络化发展的时期，其监管意识还是相对滞后。

b）网上银行的监管体系尚不完善，监管制度尚不健全

网上银行的监管基本延续的是机构监管和传统业务的管理模式。监管工作的针对性不强。网上银行的活动虽然设计银行业务的方方面面，但都是在一个平台上运行，密切关联。按机构和业务划分的传统监管模式，已经无法适应网上银行业务“无缝”运行的特点。

c）监管实效有待提高，综合风险控制能力有待加强

在日常监管方面，由于缺乏必要的规章，监管人员缺乏必需的技能和业务知识，检查工作很难落实在实处。

3.2司法保护

本文的司法保护主要是从与网络银行相关的两个司法领域进行探讨：1.网上银行的犯罪与侦查；2.网上银行消费者权益的保护。

（1）当前我国在网上银行犯罪侦查中的不足

不同于一般案件的侦查，网络犯罪所具有的智能性、隐蔽性、跨地域性以及罪证易被篡改、销毁等特性，网上银行犯罪也都具备。对侦查此类案件的人员提出了更高的要求，实践中侦查机关常常面临相关法律法规不健全、犯罪证据难以收集与固定等问题。

（2）网上银行消费者权益保护的现状和不足

本文在网上银行安全建设的应对重点中已经提到，银行对网银系统的安全建设动力不仅该依靠其自觉，还应该来自于监管部门的压力、市场的刺激和对自身利益的维护。网上银行消费者权益保护的进步，可以有效的放大市场的刺激作用以及银行对其自身利益的维护作用，为网上银行的安全建设注入更为强劲的动力。

在2003年12月27日通过的《银行业监督管理法》在第一条针对消费者保护做出了以下原则性的规定：“为了加强对银行业的监督管理，规范监督管理行为，防范和化解银行业风险，保护存款人和其他客户的合法权益，促进银行业健康发展，制定本法。”虽然该法在第三章“监督管理职责”中队银行业监督管理机构的职责作了系统的规定，但是该章没有一个条文涉及到银行业消费者权益的保护问题，对银行业监督管理机构在消费者权益保护问题上的职责规范不够明确。

4对网上银行安全建设的几点建议

笔者认为网银系统的安全建设不应该仅仅依靠银行的自觉，监管部门、司法部门所带来的压力和刺激，所产生的敦促作用，才是银行不断对其系统进行改进的强大推动力。针对网上银行安全现有保障的不足，本文将就消费者自身防范素质提高、监管思维、法律建设、专业人才等问题，提出以下几点建议：

4.1强化网银客户的风险防范意识，规范使用网银

本文前面提到网银安全的风险很大一部分来源于网银用户薄弱的风险意识和相关知识的匮乏。在利用消费者自身防范意识薄弱的网银犯罪中，其技术手段并不高级，普通的网银用户只需提高警惕和具备一定的网银安全防范知识，就可以完全避免受到侵害。例如就针对工商银行网银的钓鱼网站（www.1cbc.com.cn，现已被查封）而言，如果用户提高警惕并具备域名判别知识，就可以很容易的发现其与（www.icbc.com.cn，中国工商银行官方网站）的域名不同，这样用户就可以轻松的迈开此类陷阱。作为具有技术优势的银行应该主动肩负起培育市民网银安全意识的使命，履行揭示和告知网银风险的义务，指导客户有效防范风险，提高用户对个人信息管理的安全意识。

4.2培养事前预防的思维方式，加强网银系统的安全建设

监管部门和银行都应该转变其现有的事后改进的思维方式，化事后为事前。由监管部门出面制定出一套详细的网银系统安全性的评估体系，并以此作为标准对银行的网银系统进行评估。考虑到网银作为一种基于web的新型银行业务，传统的监管部门进行评估时在技术方面可能会显得力不从心，可以考虑引进第三方专业机构的方式对各个银行的网银系统进行评估。对安全评估不合格的网银系统，要责令其整改，以改进、优化其现有的系统，尽可能的减少系统对外暴露的漏洞。通过设立这样一种控制机制，可以强化银行防范意识，在系统漏洞尚未遭到利用之间就积极的进行改进和预防，以降低将来系统漏洞暴露后所面临的巨大风险。

4.3完善网银管理办法，促进相关法律出台

目前已经出台的的《中国人民银行法》、《商业银行法》、《银行业监督管理法》和银监会出台的《电子银行安全评估指引》、《电子银行业务管理办法》等法律规章都赋予了监管部门很大的监管权力，这些权利的适当应用将能有效的保护消费者的利益。但从目前有关网银服务的监管现状来看，网银业务的监管现状并不理想。一些规定变成了一纸空文，并没有得到严格的贯彻实施，并没有对开设网银业务的银行产生足够强大的约束力。所以后续的网银管理办法也应该加强对监管部门履行职费『青况的绩效评估，督促监管部门严格履行相关法律。

4.4建立一流的监管技术设备和高素质人才库

网络银行作为一种基于先进的IT技术而产生的一种新业务，传统的监管，无论是在监管的模式还是在监管的技能方面都已经无法适应。只有拥有高技术软硬件设备的条件下，才能谈得上对网络银行业务的有效监管；同时，必须储备一支高素质的队伍，才能有效的应付现代化程度高、传统金融业务比重较小的网络银行业务。应加强对现有监管人员的技术培训，强化其对lT技术的理解，同时适当从外部聘请专门人才，以确保监管者能跟上不断更新变化的IT技术的发展。这个精心培养的人才队伍，将是监管工作开展的基础和核心力量，他们的知识、技能水平将会极大的影响到监管的效果。复合型人才的需求信号要能够切实的传达给高校的学生，使一些财经院校能够充分的发挥其学生的特长，有针对性的为国家培养出既懂计算机又具备金融知识的复合型人才。

4.5完善相关法律、规则，加强对网银消费者合法权益的保护

当前的网银监管过于偏重原则、内容薄弱、体系零散，在实际的监管事务中存在着可操作性不强的缺陷。下一步的发展中，相关的保障法律应该集中于一些具体细节，对“网银实务”中暴露出的问题，进行针对性的控制和解决，以使得既存的原则框架具有更高的可操作性，同时也能有效的降低监管成本。尽管电子银行业务管理办法》在业务外包管理、风险管理中对网上银行消费者权益的保护问题有所涉及，但是仍然需要进一步的细化。

5结论

网上银行以网络通信等IT技术为基础，向用户提供方便、快捷、低成本的金融服务，并逐渐赢得了广大网民的青睐。但也因其涉及账户信息和现代信息技术的虚拟性、风险大等问题，使得网上银行的安全建设变得尤为的重要。能否为普通的网银用户营造一个安全的使用环境，已经成为了监管部门、司法部门所急需解决的问题。

笔者认为网上银行的安全建设是一个监管环境、法律环境、人才环境、消费环境、消费者自生素质、网银系统共同强化和完善的过程。各个方面的建设情况相互影响、相互制约，只有通过法律的完善、专业人才的培养、消费者利益的保护和消费者自身防范意识的提高，才能为网上银行业务营造一个安全、健康的交易环境，才能使得每一次微小的改进都获得事半功倍的效果。

参考文献

[1]冷傲雪.我国网上银行发展对策研究[D].吉林大学，2012

[2]张晓.网上银行身份认证与网络安全机制设计与实现[D].电子科技大学，2010

[3]周丽.网络安全的法律现状[J]经济研究导刊，2013，（02）

[4]刘亚军.网上银行系统的安全性研究[J]网络安全技术与引用，2013，（01）

[5]车志红.我国网上银行的风险与监管研究[D].厦门大学，2009

[6]谭荣华，刘瀚波，王丹.我国网上银行安全认证体系架构的理性选择[J]金融研究.2003，（12）

[7]董佳.关于网上银行消费者权益保护的案例分析.[D].兰州大学，2010

[8]李树生.网上银行犯罪手段及防范举措.[J]金融电子化.2008（02）