網(wǎng)上銀行風(fēng)險(xiǎn)的論文
網(wǎng)上銀行又稱網(wǎng)絡(luò)銀行,是依托信息技術(shù)、因特網(wǎng)提供各種金融服務(wù)的一種全新的企業(yè)組織形式或是一種全新的銀行服務(wù)手段。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于網(wǎng)上銀行風(fēng)險(xiǎn)的論文下載的內(nèi)容,歡迎大家閱讀參考!
網(wǎng)上銀行風(fēng)險(xiǎn)的論文下載篇1
淺析我國網(wǎng)上銀行應(yīng)用風(fēng)險(xiǎn)及安全策略
【摘 要】隨著電子商務(wù)的迅速發(fā)展,網(wǎng)上銀行業(yè)務(wù)呈現(xiàn)出網(wǎng)絡(luò)化、系統(tǒng)化、快速化和貨幣數(shù)字化等特點(diǎn)。這就對銀行信息系統(tǒng)的安全保密性提出了更加嚴(yán)格的要求。本文在分析我國網(wǎng)上銀行應(yīng)用存在的安全問題的基礎(chǔ)上,尋找解決對策,旨在為網(wǎng)上銀行發(fā)展獻(xiàn)計(jì)獻(xiàn)策,愿我國網(wǎng)上銀行業(yè)務(wù)安全、健康、有序、持續(xù)、快速發(fā)展。
【關(guān)鍵詞】網(wǎng)上銀行;安全策略;金融風(fēng)險(xiǎn)
網(wǎng)絡(luò)銀行是銀行通過互聯(lián)網(wǎng)為客戶提供金融服務(wù)的平臺,是電子商務(wù)在銀行業(yè)的具體應(yīng)用,它代表了現(xiàn)代商業(yè)銀行業(yè)務(wù)的發(fā)展方向。自從1995年10月美國“安全第一網(wǎng)絡(luò)銀行”誕生以來,網(wǎng)絡(luò)銀行借助現(xiàn)代信息技術(shù),以其低成本、高效益、方便快捷、應(yīng)用廣泛等特點(diǎn),顯示了其強(qiáng)大的生命力。但是,網(wǎng)上銀行作為一種虛擬銀行,除了具有傳統(tǒng)銀行經(jīng)營過程中存在的各種風(fēng)險(xiǎn)之外,還存在著基于虛擬網(wǎng)絡(luò)服務(wù)而形成的業(yè)務(wù)風(fēng)險(xiǎn)和基于信息技術(shù)導(dǎo)致的技術(shù)風(fēng)險(xiǎn)。下面主要分析一下我國網(wǎng)上銀行應(yīng)用過程中存在的安全問題及解決對策。
一、我國網(wǎng)上銀行安全事件分析
據(jù)外電報(bào)道,2005年安全公司Sunbelt軟件公司曾發(fā)現(xiàn)一個(gè)重大身份盜竊集團(tuán)竊取了50家銀行客戶的個(gè)人身份信息。據(jù)Sunbelt公司介紹,這個(gè)身份盜竊團(tuán)伙使用擊鍵登錄軟件從數(shù)千臺電腦上搜集了個(gè)人信息。所盜竊的數(shù)據(jù)包括信用卡賬號詳情、社會保險(xiǎn)號碼、用戶名、密碼、即時(shí)信息聊天片段和搜索條件。
同年,廣西南寧發(fā)生的首例假中國工商銀行網(wǎng)站網(wǎng)絡(luò)盜竊案件,犯罪嫌疑人邱某通過安裝“木馬”程序盜竊他人銀行存款。
某銀行北京總部告急:網(wǎng)絡(luò)銀行1天內(nèi)遭同一黑客攻擊10萬次,308張銀行卡的卡號及網(wǎng)上查詢密碼被竊取,而IP地址顯示黑客所在城市就是廈門。此時(shí),被同一黑客攻擊的還有其他10家銀行,銀行客戶信息面臨巨大威脅。
我國,由于網(wǎng)上銀行建設(shè)和應(yīng)用中還存在很多問題,網(wǎng)上銀行盜竊案頻繁發(fā)生,使得網(wǎng)上銀行的信息安全體系建設(shè)迅速成為金融信息化建設(shè)的一大焦點(diǎn)。
網(wǎng)上銀行的盜竊案主要是利用安全漏洞,在竊取客戶帳號、密碼和證書等信息基礎(chǔ)上,實(shí)施犯罪。對客戶信息的竊取方式,典型的包括以下幾種:
(1)銀行IT人員監(jiān)守自盜,竊取客戶信息;
(2)通過網(wǎng)絡(luò)攻擊向計(jì)算機(jī)安裝木馬及間諜軟件盜取客戶信息;
(3)誘導(dǎo)客戶通過超級鏈接等方式進(jìn)入偽造的商業(yè)銀行網(wǎng)站騙取客戶信息;
(4)通過冒充銀行發(fā)送電子郵件誘騙客戶信息;
(5)假借銀行之名發(fā)送短信誘騙客戶信息;
(6)假冒銀行客服打電話套取客戶信息。
二、我國網(wǎng)上銀行應(yīng)用存在的安全隱患
針對目前我國網(wǎng)上銀行出現(xiàn)的安全問題,將網(wǎng)銀的安全隱患總結(jié)為以下幾方面:
(一)黑客攻擊
目前由于一些網(wǎng)銀用戶自身的疏忽以及網(wǎng)絡(luò)安全意識不高,虛擬財(cái)產(chǎn)產(chǎn)受損事件還是時(shí)有發(fā)生。黑客就是其中的一種。所謂黑客,就是指網(wǎng)絡(luò)的非法入侵者。黑客針對網(wǎng)銀攻擊主要采用兩種手段,即網(wǎng)銀盜號木馬和網(wǎng)銀釣魚網(wǎng)站。
網(wǎng)銀盜號木馬作案方式分為三種:一是通過查找網(wǎng)銀的支付窗口,然后記錄鍵盤操作來盜取賬號和密碼。二是通過網(wǎng)銀的安全控件來盜取用戶網(wǎng)銀帳號和密碼。三是劫持本地網(wǎng)銀頁面到偽造網(wǎng)銀的支付頁面,然后盜取用戶帳號和密碼。
網(wǎng)銀釣魚主要是申請一個(gè)與真實(shí)網(wǎng)銀網(wǎng)站相似的域名,www.1cbc.com.cn(注意這里是1不是i)此域名將鏈接到黑客偽造的網(wǎng)銀頁面,不明真相的用戶訪問該偽裝網(wǎng)站很容易就泄露了自己網(wǎng)銀的賬號密碼。
(二)病毒破壞
編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。它能通過某種途徑潛伏在計(jì)算機(jī)的存儲介質(zhì)里,當(dāng)達(dá)到某種條件時(shí)即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計(jì)算機(jī)資源進(jìn)行破壞。銀行計(jì)算機(jī)數(shù)據(jù)庫中存儲著大量的金融數(shù)據(jù),如果病毒入侵銀行計(jì)算機(jī)系統(tǒng),可能導(dǎo)致銀行數(shù)據(jù)庫的破壞甚至更嚴(yán)重的威脅到整個(gè)計(jì)算機(jī)網(wǎng)絡(luò),導(dǎo)致系統(tǒng)癱瘓。
目前主要有三類病毒威脅網(wǎng)銀安全:
1.木馬下載器――讓系統(tǒng)安全功能全失
通過破壞用戶電腦的安全防護(hù)系統(tǒng),并在用戶電腦毫無抵抗力的情況下,大量下載盜號木馬的病毒?;蛘咧苯硬僮鞔疟P以繞過系統(tǒng)文件完整性的檢驗(yàn),通過感染系統(tǒng)文件(比如explorer.exe,userinit.exe,winhlp32.exe等)達(dá)到隱蔽啟動。
2.遠(yuǎn)程控制木馬――讓你的電腦屏幕“現(xiàn)場直播”賬號密碼全過程
這類病毒可以遠(yuǎn)程控制使用者的機(jī)器,攻擊者可以對被感染病毒的機(jī)器進(jìn)行多種任務(wù)操作,如屏幕監(jiān)控,鍵盤監(jiān)控,強(qiáng)行視頻等等。
3.網(wǎng)銀專業(yè)盜號家族――專業(yè)就是生產(chǎn)力
這類病毒通過監(jiān)控用戶操作界面,一旦發(fā)現(xiàn)用戶使用瀏覽器登陸銀行系統(tǒng),病毒就會監(jiān)視用戶的鍵盤輸入與鼠標(biāo)動作,伺機(jī)盜取網(wǎng)銀帳號數(shù)據(jù)并將它們發(fā)到病毒操作者指定的郵箱。
(三)信息有效性
信息安全是保證網(wǎng)絡(luò)銀行安全的關(guān)鍵,在傳輸過程中必須確保信息的機(jī)密性,完整性、交易的不可抵賴性以及用戶身份的可確認(rèn)性。
1.信息的保密性。銀行系統(tǒng)中的數(shù)據(jù)都是非常重要的金融數(shù)據(jù)或商業(yè)數(shù)據(jù),要預(yù)防被非法竊取和被非法信號存取。
2.數(shù)據(jù)完整有效性。數(shù)據(jù)在金融網(wǎng)絡(luò)系統(tǒng)傳輸時(shí),要防止數(shù)據(jù)傳送過程中丟失、重復(fù)、修改和刪除,確保數(shù)據(jù)的完整有效性,才能確保信息在規(guī)定時(shí)間和地點(diǎn)送至合法接收方。
3.交易不可抵賴性。網(wǎng)絡(luò)銀行的無紙性交易特點(diǎn)要求,發(fā)送方和接收方均不能抵賴信息,從而確保交易過程的有效。
4.用戶身份的可確認(rèn)性。識別用戶身份的真實(shí)性是對網(wǎng)絡(luò)銀行客戶信息的鑒定,使交易雙方在不見面的情況下能夠確認(rèn)對方的身份,從而保證安全性。
(四)內(nèi)部管理不嚴(yán)
我國銀行業(yè)內(nèi)部控制存在嚴(yán)重的缺陷。主要表現(xiàn)為以下幾方面:
1.組織結(jié)構(gòu)不合理,沒有形成橫縱交錯(cuò)的監(jiān)督制約機(jī)制。例如決策、執(zhí)行層設(shè)置分工不合理;各業(yè)務(wù)部門管理職責(zé)執(zhí)行不到位;部門間、部門內(nèi)崗位職責(zé)不清;缺少專門的操作風(fēng)險(xiǎn)管理部門等。
2.控制不足與控制分散并存。首先,我國銀行業(yè)內(nèi)控制度建設(shè)相對滯后,一些新的業(yè)務(wù)還沒有制定完善的操作規(guī)程和相應(yīng)的管理制度,導(dǎo)致出現(xiàn)風(fēng)險(xiǎn)控制失真。其次,內(nèi)控制度不健全?,F(xiàn)行的某些制度辦法、操作規(guī)程在風(fēng)險(xiǎn)防范方面存在局限性。再次,內(nèi)控制度不夠合理。如績效考核制度設(shè)置的指標(biāo)體系,存在單純追求業(yè)務(wù)指標(biāo),忽視對操作流程的合規(guī)性、經(jīng)營的合規(guī)性等方面的考核,容易形成追求利潤最大化而忽略風(fēng)險(xiǎn)的情況。
3.重要業(yè)務(wù)和環(huán)節(jié)內(nèi)控措施落實(shí)不到位
比如在會計(jì)柜臺業(yè)務(wù)管理方面、授信業(yè)務(wù)審查、審批方面等都存在管理部規(guī)范、重視程度不夠的問題。
4.缺乏有效的風(fēng)險(xiǎn)識別與評估機(jī)制。首先,對風(fēng)險(xiǎn)不能有效識別,主要表現(xiàn)為缺乏強(qiáng)而有力的風(fēng)險(xiǎn)管理隊(duì)伍和缺乏必要的風(fēng)險(xiǎn)評估手段。其次,對已識別風(fēng)險(xiǎn)不能準(zhǔn)確評估和有效控制。主要表現(xiàn)為監(jiān)控手段、措施不適當(dāng),不能發(fā)揮作用。
5.忽視了人的風(fēng)險(xiǎn)。首先對“權(quán)力者”的管理。由于基層分支機(jī)構(gòu)是“一把手”負(fù)責(zé)制,權(quán)利過于集中,很少受到約束,而上級主管部門一般只對高管人員做離任審計(jì),很少做在職期間行為稽核。其次,部分崗位人員不具備與風(fēng)險(xiǎn)防范和內(nèi)部控制相適應(yīng)的能力,多數(shù)基層只重視業(yè)務(wù)人員上崗操作技能、政治素質(zhì)和職業(yè)操守教育與培訓(xùn)跟不上,導(dǎo)致基層窗口人員法規(guī)制度觀念淡薄。
(五)銀行網(wǎng)絡(luò)系統(tǒng)自身的安全威脅
銀行網(wǎng)絡(luò)內(nèi)一般存在多種操作系統(tǒng),運(yùn)行多種網(wǎng)絡(luò)協(xié)議,這些操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議又并非專為安全通訊而設(shè)計(jì)。如,計(jì)算機(jī)軟硬件的運(yùn)行風(fēng)險(xiǎn)。網(wǎng)絡(luò)銀行所依賴的計(jì)算機(jī)硬件系統(tǒng)停機(jī)、磁盤列陣破壞等不確定性因素都會形成網(wǎng)絡(luò)銀行的系統(tǒng)風(fēng)險(xiǎn)。同時(shí),計(jì)算機(jī)系統(tǒng)軟件或應(yīng)用軟件的不完善,也帶來了系統(tǒng)的運(yùn)行風(fēng)險(xiǎn)。
三、網(wǎng)上銀行應(yīng)用安全策略建議
(一)利用防火墻有效防止黑客的攻擊
防火墻技術(shù)的應(yīng)用是檢查和控制進(jìn)出網(wǎng)絡(luò)銀行的數(shù)據(jù),將外部網(wǎng)絡(luò)中對內(nèi)部網(wǎng)絡(luò)造成安全威脅的數(shù)據(jù)隔離在外,從而使得網(wǎng)絡(luò)和資源的安全不會受到非法入侵。防火墻技術(shù)專門建立在網(wǎng)絡(luò)銀行與其它外部網(wǎng)絡(luò)的接口處,包括外部防火墻和內(nèi)部防火墻兩種,涉及到代理技術(shù)、電路級網(wǎng)關(guān)技術(shù)、狀態(tài)檢查技術(shù)、地址翻譯技術(shù)、包過濾技術(shù)、安全審計(jì)技術(shù)、虛擬網(wǎng)技術(shù)、完全內(nèi)核技術(shù)以及負(fù)載平衡技術(shù)等關(guān)鍵技術(shù)。
(二)及時(shí)查殺病毒,避免病毒攻擊
計(jì)算機(jī)病毒是破壞網(wǎng)絡(luò)銀行運(yùn)行系統(tǒng)的重要因素,以病毒的殺傷力來體現(xiàn)其破壞行為,影響主要取決于病毒制造者的目的和技術(shù)能力。隨著計(jì)算機(jī)技術(shù)的發(fā)展,計(jì)算機(jī)病毒也逐漸趨于多樣化,其特性復(fù)雜、數(shù)量巨大、傳播迅速廣泛,給網(wǎng)絡(luò)銀行的發(fā)展帶來了極大的破壞。防病毒技術(shù)的應(yīng)用主要是對病毒進(jìn)行檢測和處理,要求網(wǎng)絡(luò)銀行必須安裝防病毒軟件,及時(shí)做好軟件版本和病毒庫的更新與升級,充分利用病毒檢測技術(shù)及時(shí)清查與處理各種病毒程序。啟發(fā)式掃描法、虛擬機(jī)技術(shù)法、特征代碼掃描法、行為監(jiān)測法、感染實(shí)驗(yàn)法和軟件模擬法是目前較為常用的病毒檢測方法。
(三)通過網(wǎng)絡(luò)安全機(jī)制防范信息有效性的破壞
1.密碼技術(shù)。密碼技術(shù)是通過加密和隱藏的方式實(shí)現(xiàn)信息保護(hù),目前主要包括對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù)兩大類。對稱密鑰加密技術(shù)可以應(yīng)用于大量數(shù)據(jù)的加密,大于128位的密鑰破譯難度大,其系統(tǒng)的運(yùn)行速度很快,是一種行之有效的密碼技術(shù)。而非對稱密鑰加密技術(shù)的加密和解密密鑰是分開的,不容易破譯,應(yīng)用十分廣泛。
2.數(shù)字摘要技術(shù)。通過哈希函數(shù)對信息進(jìn)行加密,在加密過程不可逆的同時(shí),通過哈希函數(shù)獨(dú)有的特點(diǎn),相同明文產(chǎn)生的數(shù)字摘要必然相同,不同明文產(chǎn)生的數(shù)字摘要必然不同來比較信息是否具有其完整性。
3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是加密技術(shù)的延伸,要求對數(shù)字信息進(jìn)行簽名,需要保證接收者能解密發(fā)送者對報(bào)文的簽名,不能對其進(jìn)行偽造。同時(shí),要求發(fā)送者在事后不能抵賴對報(bào)文的簽名。
4.數(shù)字認(rèn)證技術(shù)。數(shù)字認(rèn)證技術(shù)是通過認(rèn)證中心對數(shù)字證書進(jìn)行有效識別管理,以第三方認(rèn)證機(jī)構(gòu)的形式來確認(rèn)網(wǎng)絡(luò)銀行交易各方的真實(shí)身份,具有權(quán)威性和公正性。數(shù)字認(rèn)證證書主要包括發(fā)行機(jī)關(guān)名稱,證書持有人名稱和公開密鑰,證書使用的簽名算法以及發(fā)行機(jī)關(guān)對證書的簽名等內(nèi)容,對于保證網(wǎng)絡(luò)銀行信息的權(quán)威性有著重要意義。
(四)網(wǎng)銀安全風(fēng)險(xiǎn)防范從金融監(jiān)管、網(wǎng)銀用戶角度提高警惕
1.網(wǎng)絡(luò)銀行同樣需要政府監(jiān)管,以保護(hù)公眾利益,降低銀行業(yè)的經(jīng)營風(fēng)險(xiǎn)。網(wǎng)絡(luò)銀行作為新興業(yè)務(wù)渠道,自身特點(diǎn)決定一旦發(fā)生風(fēng)險(xiǎn),對銀行本身,甚至整個(gè)金融行業(yè)的影響巨大。要防范業(yè)務(wù)風(fēng)險(xiǎn)和系統(tǒng)風(fēng)險(xiǎn),就要加強(qiáng)法律對網(wǎng)絡(luò)銀行市場準(zhǔn)入的監(jiān)管。必須有嚴(yán)密的安全對策、制度規(guī)范和操作程序,建立以安全為中心的制度保障體系。
2.網(wǎng)絡(luò)銀行用戶作為網(wǎng)絡(luò)銀行終端的管理者與使用者,在網(wǎng)絡(luò)銀行的安全機(jī)制中有著不可替代的作用,是網(wǎng)絡(luò)銀行安全的 最終環(huán)節(jié)。因此,網(wǎng)銀用戶需要有效防范木馬與病毒對終端系統(tǒng)的攻擊,安裝網(wǎng)絡(luò)銀行終端系統(tǒng)的個(gè)人電腦上安裝防病毒軟件,并經(jīng)常更新軟件版本與病毒庫、安裝軟件防火墻、安裝木馬清除軟件,定期更新木馬庫,掃描與清除木馬。第二,使用IC卡和USB卡物理介質(zhì)的證書認(rèn)證方式。通過證書驗(yàn)證客戶身份,確保其真實(shí)性,防止其他人員非法使用。第三,認(rèn)清網(wǎng)絡(luò)銀行網(wǎng)址,避免進(jìn)入“假網(wǎng)銀”。
除了以上方面,個(gè)人觀點(diǎn),網(wǎng)上銀行應(yīng)用的安全性還應(yīng)從多方面入手。例如:
從技術(shù)上看,除上述的加密、數(shù)字摘要、數(shù)字簽名、認(rèn)證服務(wù)以外,還應(yīng)研究建立支持多渠道的安全認(rèn)證體系,例如支持指紋認(rèn)證、身份證掃描識別等渠道安全認(rèn)證體系,以避免目前單一密碼認(rèn)證的缺陷。
從流程上看,應(yīng)設(shè)計(jì)一套與多渠道服務(wù)相匹配的服務(wù)、管理和內(nèi)控流程。通過流程的完善,對網(wǎng)絡(luò)、自助設(shè)備、電話等渠道接入交易的額度進(jìn)行控制,提高渠道接入的每筆交易的審查和稽核能力。在網(wǎng)站管理方面,針對域名,銀行應(yīng)該加強(qiáng)相關(guān)域名和網(wǎng)站的調(diào)查,及早發(fā)現(xiàn)對自身網(wǎng)上銀行構(gòu)成安全威脅的相關(guān)網(wǎng)站。應(yīng)盡可能主動注冊與自家網(wǎng)站相近似的、差別小的域名,從而預(yù)防用戶誤判。并可以通過國家立法或與域名管理機(jī)構(gòu)協(xié)商,對于與銀行注冊網(wǎng)站相近的網(wǎng)站嚴(yán)格把關(guān),一律不予注冊。網(wǎng)站界面上,應(yīng)明確加強(qiáng)防偽的標(biāo)識,便于用戶識別。
從人員和組織看,一方面要加強(qiáng)自身員工的安全意識,建立嚴(yán)格的授權(quán)和保密制度。另一方面,要加強(qiáng)對用戶的培訓(xùn)。在開設(shè)網(wǎng)上銀行等服務(wù)形式時(shí),要通過培訓(xùn)手冊等明確對用戶進(jìn)行安全知識的教育;要設(shè)置專門的用戶體驗(yàn)區(qū),實(shí)際指導(dǎo)用戶完成第一次交易;要明確說明證書的重要作用,鼓勵(lì)用戶使用證書等等。
銀行在應(yīng)用安全體系建設(shè)中,要自主加強(qiáng)制度建設(shè)、優(yōu)化業(yè)務(wù)流程、強(qiáng)化安全意識、建立縱深安全技術(shù)體系、評估安全風(fēng)險(xiǎn)、審計(jì)安全隱患,使得各項(xiàng)產(chǎn)品創(chuàng)新能始終經(jīng)受住安全的考驗(yàn)。
四、結(jié)論
近年來,隨著IT技術(shù)的發(fā)展,電子商務(wù)的普遍開展,推動了網(wǎng)上銀行的發(fā)展。網(wǎng)上銀行要想深遠(yuǎn)發(fā)展,必須打破其安全這個(gè)瓶頸,安全問題是它的核心問題。網(wǎng)絡(luò)銀行的安全主要是圍繞網(wǎng)上銀行技術(shù),管理和相關(guān)法律,因此防范策略要圍繞它們進(jìn)行。雖然不能消除所有的不安全因素,但我們可以通過努力,從以上幾個(gè)方面入手減少這些不安全因素。網(wǎng)上銀行的這些問題將隨著網(wǎng)絡(luò)銀行不斷走向成熟而得到解決,它將隨著互聯(lián)網(wǎng)迅速發(fā)展而向更高的層次發(fā)展。
參考文獻(xiàn):
[1] 田世宏. 我國網(wǎng)絡(luò)銀行的監(jiān)管和發(fā)展對策[J]. 中南財(cái)經(jīng)政法大學(xué)報(bào),2009,(9).
[2] 倪建明,崔宇清. 網(wǎng)上銀行風(fēng)險(xiǎn)識別與監(jiān)管框架[J]. 國際金融研究2011, (3).
[3] 張凱,荊繼武. CA系統(tǒng)在網(wǎng)絡(luò)銀行中的應(yīng)用[J].中國科學(xué)院學(xué)報(bào), 2010,(7).
[4] 游雅娟. 網(wǎng)絡(luò)銀行的信息披露淺析[J]. 科技創(chuàng)新, 2010,(6).
>>>下頁帶來更多的網(wǎng)上銀行風(fēng)險(xiǎn)的論文下載