网络银行风险防范及对策探讨

作者：兴业银行信息科技部高级督导 张培祥 时间：2007-11-13

网络银行的“3A”服务——任何时间(Anytime)、任何地方(Any-where) 和任何方式(Anyway)，促成了我国网络银行的飞速发展。“3A”服务是把双刃剑，它使网络银行除了具有传统银行的风险之外,也带来诸多不同于传统银行的风险，如技术风险、身份认证风险、数据风险等等。下面就网络银行各类风险的防范策略，逐一阐述。 一、从银行角度阐述风险防范对策     1.建立良好的网络银行风险管理体系 加强对网络银行自身特点的研究, 作好事前分析与防范工作, 完善组织机构和管理制度,制订一整套自上而下的风险管理组织机构和管理规章制度。为加强银行内部控制,应严格建立“三道防线”：一是各项业务操作全过程必须遵守的规章制度和操作规程；二是业务管理部门的业务管理、专业检查和辅导以及事后监督制度；三是稽核、内审监督和纪检、监察部门的检查监督。特别有必要建立网络风险审计中心和网络风险预警系统。     2.注重利用先进、成熟的技术手段     充分利用当前先进、成熟的技术手段, 在软、硬件设备方面缩小与发达国家的差距, 提高关键设备的安全防御能力。     进一步搞好网络银行系统的基础建设，灵活使用现代网络技术。一是防火墙技术。二是防病毒技术。防重于杀,及时更新杀毒软件版本及病毒库。三是防木马技术。切断木马的植入路径，定期进行木马扫描与清理，阻断木马信息向外发送。四是密钥加密技术。为保证信息的私密性,要对网上传输的信息进行加密,使未经授权者无法了解信息内容。     建立并使用入侵检测系统（IDS），可以将IDS置于防火墙或网关后,像网络窥探器一样捕获所有内传或外传的数据包。IDS对数据包起到监视作用，但并不延误其传送速度。可以将用于检测和分析的检测引擎分布在网络敏感部位,如内部网络的入口处、担负重要任务或处理重要数据的服务器周围。     定期对网络银行系统进行安全漏洞的侦查扫描。对于侦查系统存在的安全漏洞,可采取安全代理设计，在银行Web交易服务器前端部署安全代理服务器,在各银行网络银行用户端部署安全代理客户端。为保证信息在安全通道内传输,采用SSL VPN 的方式建立客户端与服务器端的安全通道。（SSL是提供基于TCP/IP的客户机和服务器之间安全通道的协议, 该技术能确保两者之间通信内容的保密性和数据的完整性。VPN( 虚拟子网)能够提供安全、可靠、可控的保密数据通信的安全通道。）安全代理设计部署后，在银行Web交易服务器前配置安全代理服务器；在各银行网络银行用户处部署安全代理客户端及安全硬件模块(Usb Key)。     3.建立电子签名及认证制度     我国于2004 年8 月出台的《电子签名法》，第一次赋予符合一定条件的电子签名与手书签名或盖章具有同等的法律效应，确立了电子签名的法律效力，明确其签名规则。     界定安全的电子签名，关键要确立有权限的认证机构。需要具有权威性和公正性的第三方来完成，为网上交易建立有效、可靠的保护机制。我国的CFCA承担着网上安全交易的认证服务，并签发数字凭证，确认用户身份。     4.建立分级授权内控制度     建立分级授权内控制度, 加强业务审计力度，主要包含以下3方面内容。     1）业务审计。审核检查与监督要贯穿商业银行网络银行业务操作与管理的各个环节,既要有非现场的事后集中检查与监督,又要有现场实时在线检测与监督。它是有效防范操作风险和道德风险的必然要求。     2）转账限制。对账户性质、资金流动等内容加以限制。例如,只能活期账户互转,或同一客户的账户间转账。     3）交易额限制。不同品种的单笔交易额，应对当日累计交易额等进行限制。     5.建立实施有效的网络银行信用评估体系     建立有效的网络银行信用评估系统和信用监测体系，从借款人以前的信用记录,借款人或法定代表的“5C”(品德Character，能力Capacity，资本Capital，抵押物品Collateral, 经济状况Condition)因素及财务状态分析, 通过数据模型实施量化指标—风险度— 管理。一旦出现风险, 考虑如何快速处置抵(质) 押品, 避免因对方违约而造成的信用风险。 二、从金融监管角度阐述风险防范对策     网络银行同样需要政府监管,以保护公众利益,降低银行业的经营风险。网络银行作为新兴业务渠道，自身特点决定一旦发生风险，对银行本身，甚至整个金融行业的影响巨大。要防范业务风险和系统风险，就要加强法律对网络银行市场准入的监管。银行开展网上业务，至少应具备以下条件。     1）具备网络银行技术、设备条件。网络银行业务的开展不仅需要银行拥有相当数量的计算机、自动柜员机（ATM）、销售点终端（POS）、联成一体的电子营业网点等硬件设备，还需要有确认合法交易对象、防止篡改交易信息、防止信息的泄漏等软技术。     2）具有完善的安全保障体系。网上业务必须有严密的安全对策、制度规范和操作程序，建立以安全为中心的制度保障体系。具体包括安全政策与工作程序、人员配备和安全培训、网络安全监控、及时的故障求援和恢复等。 三、从网银用户角度阐述风险防范对策     网络银行用户作为网络银行终端的管理者与使用者，在网络银行的安全机制中有着不可替代的作用，是网络银行安全的最终环节。     第一，有效防范木马与病毒对终端系统的攻击。网络银行终端系统最容易受到非法攻击，据国内网络银行风险案例分析，大部分网络银行风险源于终端系统。终端系统大多建立在用户的个人电脑上，受费用限制，很难建立严密的技术防范措施。相当一部分网络银行用户在技术上对终端系统不熟悉，不懂终端系统的日常维护技术，给非法分子可乘之机。应当采取的防范措施如下。     首先在安装网络银行终端系统的个人电脑上安装与运行防病毒软件，并经常更新软件版本与病毒库。其次在安装网络银行终端系统的个人电脑上安装软件防火墙，有效地监控PC机与Internet之间的活动。它不仅可以对网络存取和访问进行监控审计,而且可以防止内部信息的外泄。此外要安装木马清除软件，定期更新木马库，扫描与清除木马。从目前网络银行的风险案例看，大多数情况是网络银行终端系统内植入木马。用户使用网络银行系统时，木马截获用户名、账号、口令等信息，使不法分子顺利作案。     第二，使用IC卡和USB卡物理介质的证书认证方式。通过证书验证客户身份，确保其真实性，防止其他人员非法使用。证书具有不可复制性，仅由客户自己保管和使用。使用证书后，即便有假网站、病毒感染、黑客入侵或不慎泄露银行卡等资料，只要物理证书不丢失，仍然能确保资金安全。     第三，认清网络银行网址，避免进入“假网银”。不法分子往往利用与网络银行相似的网址、相同的网页，制造虚假网站，骗取银行客户的银行卡号和密码。所以在登录网络银行办理业务时，定要认清银行的合法网址，并正确输入。     网络银行与传统银行相同的风险及防范对策，这里不再重复。