网上银行安全风险管理探究
2021-05-06张艺婷姬祥飞
□文/ 张艺婷 姬祥飞
(西安石油大学经济管理学院 陕西·西安)
[提要] 随着技术发展和社会需求变化,银行业逐渐互联网化。鉴于国外银行推出的网上银行业务,我国在21 世纪初开创网上银行模式。但就目前来看,其安全性问题依然存在,并一直为社会各界所重视。本文就中国具有代表性的6 家商业银行为研究对象,探究中国商业银行网上银行所存在的安全问题,并以此为基础提出对策建议,以促进中国商业银行网上银行的持续发展。
一、引言
随着计算机技术和互联网技术不断发展,互联网普及到人民的生活中,银行业在发现机遇的同时也看到了行业的竞争,为增加自身的竞争优势、谋求生存和可持续发展,各大银行涉足网上银行业务。网上银行以其效率高、成本低、灵活性大等特点在国内外迅速发展。
网络技术的广泛应用,不可避免地为使用者带来网络安全问题。全球首家网络银行——安全第一网络银行(SFNB)在1995 年成立,SFNB 是一种完全依赖互联网办理各种业务的银行,因此也称为纯网上银行。该银行自成立其安全性就成为客户担忧的最主要因素,对此,SFNB 便采用了安全措施,首先就是承诺赔偿,来保证存款人的资金安全;其次是保障网络交易的安全,SFNB 建立了一个三层次网络安全系统,包括公共网络信息的加密传输、防火墙和可靠的操作系统。SFNB的网银还采用了Web 服务器和ISS 网络动态监控等措施。在欧洲,网上银行发展较美国晚,但网上银行发展是非常迅速的,同时也避免不了安全性问题。以在欧洲开办较为成功的瑞典银行来说,为保障网站安全运行设计出远程自动追踪系统来进行监控。我国银行业借鉴国外经验,紧跟时代科技潮流,1999 年在招行成立中国第一家网上银行,随后各大商业银行也陆续建立了自己的网上银行。在创建初期,中国商业银行网上银行的发展存在许多局限,其中最突出的就是安全问题。在最初各家商业银行网上银行系统数据网络传输方面采用的是国际上通行的SSL(安全套接字协议)协议进行链路层的加密传输,同时各商业银行都直接或间接通过自己建立的CA(证书签发机构)完成网上业务。除了这些共有的问题外,各家网上银行也存在其他安全问题。
基于上述国内外网上银行安全问题的不断涌现和改进,再到新的安全问题的出现,本文选取了国内较为代表的6 家商业银行为样本,探究商业银行网上银行安全方面发展模式的变化,对比这6 家商业银行网上银行现存的安全问题,为中国商业银行网上银行的发展提出可行性建议,推动中国银行业的创新发展。
二、样本选取
商业银行,英文缩写为CB,是银行的一种类型,职责是通过存款、贷款、汇兑、储蓄等业务,承担信用中介的金融机构。主要的业务范围是吸收公众存款、发放贷款以及办理票据贴现等。一般的商业银行没有货币的发行权,传统商业银行的业务主要集中在经营存款和贷款业务。我国商业银行主要有6 家大型国有商业银行(中国工商银行、中国农业银行、中国银行、中国建设银行、交通银行、中国邮政储蓄银行)和12 家全国性股份制商业银行(浦发银行、招商银行、中信银行、光大银行、华夏银行、民生银行、兴业银行、广发银行、平安银行、渤海银行、恒丰银行、浙商银行)。
根据2020 年7 月27 日《财富》发布的中国500 强商业银行排行榜,本文选择其中最具代表性的国有商业银行3 家、全国性股份制商业银行3 家,分别为中国工商银行(国有排名1)、中国建设银行(国有排名2)、中国农业银行(国有排名3)和招商银行(民营排名1)、浦发银行(民营排名2)、兴业银行(民营排名3)进行深入探讨与研究。以下简称“工行、建行、农行、招行、浦发、兴业”。(表 1、表 2)
三、网银安全发展对比分析
现如今网上银行面临的危险主要有来自网络系统内部的技术漏洞和来自外部的攻击。对于安全性的考虑,各大银行在网络安全的技术上不断发展改进。
(一)中国工商银行。工行自建立网上银行以来,采用的是公钥安全体系,该体系是以1024 位非对称密钥算法为基础。同时,还采用SSL协议进行链路层的加密传输和ISS 黑客扫描程序。为了交易安全,工行设计了“U 盾”来保障个人网银安全,U 盾是工行设计并已经取得专利的专门进行客户身份认证的客户证书。针对企业网上银行,在网络框架上设多重防火墙和安全代理服务器,防止非法入侵,还有必须使用客户证书进行数字签名。工行的网上银行具备较多的安全辅助工具,所以其网上银行在使用时较为安全。
表1 2020 年《财富》中国500 强商业银行排行榜前十名一览表
(二)中国建设银行。建行使用的是国际上认可的SSL128 位加密安全技术,用于保障信息的保密和完整,同时完成相互认证。还有采用国内最高级别安全的商用操作系统,保证客户所访问的网络站点安全可靠。最后是拥有24 小时动态监控系统,监控黑客攻击和非法访问。还有其特色产品网银盾,能够储存电子证书,还具有电子签名功能。建行的网银盾经使用发现其操作相比工行较为便捷。
(三)中国农业银行。农行有两种安全工具,一种是动态口令卡客户申请,另一种就是K 宝,是目前农业银行安全级别最高的认证工具。动态口令卡采用动态密码技术,该口令卡解决了静态密码被盗窃的问题,能有效地保证身份识别和认证安全,农行的官网有通知提示窗口建议客户将动态口令卡和K 宝配合使用,从而最大限度地保障客户利益。农行相比较工行、建行来说其辅助安全措施介绍较少,也缺乏使用和操作指导。
(四)招商银行。招行通过网上支付账户和一卡通主账户分离来将消费者信息直接传输到银行,可以防止商户泄露消费者的账号和密码,消费者的交易信息因为不在硬盘上存储,防止了在PC 端盗取信息的机会;同时,信息传输采用的也是SSL 协议防止信息盗取,网络传输采取随机密码制,避免密码被随意猜测。招商银行设计有“一网通网盾”提供八重保障,免驱动“优Key”采用精尖加密技术,具有独有的“免驱动”特点,能够自动识别虚假网站,帮助客户防范网络欺诈。
(五)浦发银行。浦发银行在安全基础设施上采用了路由器、防火墙、交换机、入侵检测系统、公钥技术等,在客户端采用的也是128 位SSL 数据传输协议,客户身份信息验证也是采用动态身份认证,浦发银行网上银行的灾难备份不是独立存在及建设的,是依靠浦发核心系统一同备份,来提高IT 技术灾害抵御能力。浦发银行现在仍然是采用UKey 和动态密码相配合来确保网上交易安全。
(六)兴业银行。兴业银行网上银行也称为在线兴业,是中国首批通过认证中心安全评估的网上银行系统,在技术推新的过程中,兴业银行也采用了“网盾”预制数字证书,外形小巧,方便携带,不可复制,有效防止木马病毒;同时还具有密码锁定保护、超时自动退出、精灵卫士为客户提供短信和手机二维码两种动态密码验证服务、精灵秘书确保资金安全可控等功能。
通过上述六大商业银行的对比,各大商业银行都拥有动态口令卡和USB 证书两个安全措施来相互配合,主要是保障身份识别和避免密码与信息被盗取,保证资金安全,在系统方面也是利用国际安全技术来维护网络系统安全。
四、我国网上银行存在的安全问题
表2 样本银行官方网站一览表
经过对比各大银行网站发现,各家银行可以针对内部系统和身份认证方面,研发出有助于客户网上交易的安全工具,但在浏览网页中发现各大银行的安全专区中有许多安全提示,这些是在高新技术的发展下,银行所面临的新型网络安全风险,银行业暂时无法克服,亟待解决的问题。经过调查研究发现,目前几大商业银行的网上银行在安全保障上的不足主要有以下几个方面:
(一)网络钓鱼。钓鱼网站是指欺骗用户的虚假网站。根据中国反钓鱼网站联盟公布的数据显示,支付类和金融交易类钓鱼网站位居前列。大部分商业银行官网的首页是不断更新的,但当用户点击个人或者企业等业务模块进入二级页面时,依然会出现界面老旧,缺乏更新的状况,容易让不法分子仿制,制作钓鱼网站来开展违法活动。此外,部分商业银行没有关注到客户可能在各大搜索引擎中当输入自身关键字段却没有检索到官网的现象。例如,当搜索到“兴业”两字时没有出现由百度认证的兴业银行官方网站,而当搜索“农行、招行”等关键字段皆能出现被认证过的官方网站。
(二)电子身份认证。对6 家网上银行的研究发现,这六家商业银行都是采用由中国金融认证中心提供的统一认证服务,能够提供电子身份认证服务的机构具有可依赖、公正性、权威性,统一电子认证对网上银行交易安全起关键性作用。但是,部分商业银行采用自建的电子认证系统(CA)来对客户进行认证,这不仅花费较高,还加重了自身的技术压力。在这种情况下,对证书颁发、管理等过程有了更加严格的要求。
(三)缺乏风险提示。经使用发现,部分商业银行没有弹窗提示消息,如警示用户在操作完成后拔出自己的U 盾等。不能培养用户的良好使用习惯,提高了安全问题发生的概率。另外,在实体营业网点也鲜少能看见网上银行的操作注意事项或有关功能介绍。就如上文中农行的安全性辅助工具及操作指导较少。
(四)页面设计感不强。部分商业银行的官网没有将客户使用可能性最高的功能入口链接摆放在较为显眼的位置,如“卡内余额查询”、“银行卡申请”等功能。这对于本身就不经常使用网上银行的人来说无疑增添了一道工序,增加了时间成本,降低了易用性感知。若此客户没有特别偏好,则有一定的概率可能使其转变为竞争对手的客户。
五、网上银行发展实现路径
没有绝对的安全,时代在发展,技术在进步,只有安全防范意识的不断提高与安全保障措施的不断完善才能更好地为客户提供服务,维护客户利益,保持企业自身形象。
(一)系统及内部管理要到位。首先,作为不法分子制作钓鱼网站的重灾区,商业银行应定时定点地对自己官方网站进行维护与更新,一级、二级甚至三级页面都要进行版式的更新,做到与母版一致。其次,应主动出击,对网站进行巡视与检查,积极主动地举报钓鱼网站而不是等到用户投诉再做出反应。最后,切实做好SEO 优化,可以招聘专业的技术人员进行维护,也可以与专业的机构进行合作来增加官网曝光率和减少客户的错误检索。
(二)统一电子认证。在电子认证上,依据《电子认证服务管理办法》来说,金融机构并不属于传统意义上的电子认证服务机构,严格意义上来说,在发生纠纷的情况下,其电子认证的效力相对较弱。可以通过不断地更新迭代慢慢地摒弃掉原先自建的电子认证系统,转为与合法合规的、行业内认可的、安全度较高的电子认证服务专业机构开展合作,如中国金融认证中心(CFCA),以此来增加认证的效力,进而提高不良资产处置效率。
(三)增加风险提示。首先,在用户完成一些敏感操作(如转账汇款、投资理财)后,及时弹窗进行提示,来确保用户操作的正确性和培养顾客良好的使用习惯。其次,可以制作高级安全插件,在某用户首次使用网上银行进行操作的前后,对用户电脑进行快速检测以排除隐藏风险和及时地告知。
(四)丰富使用功能。银行可以借助大数据技术来记录并分析出客户使用频次较高的部分功能,将之放置在网站中显眼的位置来提高事务处理效率、降低客户的时间成本。或是推出类似由兴业银行所推出的“功能演示”功能,此功能可以让客户使用虚拟账户进行练习,帮助客户熟悉各项功能的使用,降低了客户因使用真实账户操作不当而造成不必要损失的可能。相比于图文的堆砌,这种让客户上手实际操作的效果更加有效和更容易让客户所接受。(图1)
图1 兴业银行功能演示图
六、总结
网上银行是新经济发展的产物,在我国,网上银行的安全性问题依然存在,并且随着时代的进步,新技术的产生必然伴随着新的技术漏洞,也会给不法分子带来可乘之机,所以在网上银行发展的不断探索中,要将安全问题摆在首位,促进安全模式的不断升级,提高网上银行全方位的防御体系,从而提升中国银行业的优势和竞争力。