壹、 我國網絡銀行面臨的風險
1.系統風險
(1) 操作系統風險。操作系統是作為計算機資源的直接管理者,它直接和硬件打交道並為用戶提供接口,是計算機系統能夠正常、安全運行的基礎。Windows操作系統存在許多安全漏洞,UNIX操作系統是壹個開放的系統,源代碼已公開。根據美、荷、法、德、英、加***同制定的通用安全評價標準《Common Criteria for IT Security Evaluation(簡稱CC標準)》,微軟的Windows操作系統、大部分的UNIX操作系統其安全性僅達到C2級安全,而網絡銀行的操作系統的安全級別應至少達到B級。
(2)應用系統風險。網絡業務系統設計存在漏洞。目前,網絡應用軟件存在以下安全漏洞:無效參數、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令註入漏洞、錯誤處理問題、密碼系統的非安全利用、遠程管理漏洞、網絡及應用軟件服務器錯誤配置。
在設計過程中,只重視“計算機如何完成任務”方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統沒有為審計留下接口,難以進行實時審計。
(3)數據存儲風險。數據存取、保密、硬盤損壞導致的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取、修改等風險。
2.操作風險
網絡銀行操作風險是指由於網絡銀行中的內部程序、人員、系統的不完善或失誤,以及外部事件而導致網絡銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:
(1)網絡銀行操作風險意識淡薄。
(2)組織機構職責不清。
(3)內控制度不健全或執行不力。
(4)沒有適合的網絡銀行稽核審計部門。
3.信用風險
網絡銀行的信用風險主要表現為客戶在網絡上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。
4.信息不對稱風險
信息不對稱表現在兩個方面,壹方面是由於網絡銀行無法得到足夠客戶信息,另壹方面是由於客戶無法得到有關網絡銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網絡銀行不利的行為,也使得客戶不能正確評價網絡銀行的優劣。
5.法律風險
我國對網絡銀行和網上交易缺乏相應的法規。如:如何征收與管理網上稅收、數字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。
二、 我國網絡銀行風險防範對策
1.系統風險的防範
(1)物理安全。主要指對計算機設備場地、計算機系統、網絡設備、密鑰等關鍵設備的安全防衛措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導線間的交叉耦合,同時對輻射進行防護。
(2)應用安全操作系統技術。安全操作系統不僅可以防範黑客利用操作系統平臺本身的漏洞來攻擊網絡銀行交易系統,而且它還可以在壹定程度上屏蔽掉應用軟件系統的某些安全漏洞。美國先後開發了各種級別的安全操作系統,其中作為商用的有Data General公司的DG UX B1/B2安全操作系統,HP公司的HPUX CMW B1級安全操作系統等。國內各大科研機構及公司也研制出高安全級別的操作系統,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系統、中軟總公司研制的COSIX LINUX系統。目前,中國建設銀行的網絡銀行系統建立在安全操作系統平臺之上,該系統基於HP9000硬件平臺,采用HP公司的B1級安全操作系統。
(3)數據通信加密技術的應用。對傳輸中的數據流進行加密,按實現加密的通信層次可分為鏈路加密、節點加密、端到端加密。在鏈路數較多以及對流量分析要求不高的情況下,適合采用“端到端加密”方式。在對流量分析要求較高的情況下,可采用“鏈路加密”與“端到端加密”相結合的方式:用“鏈路加密”對報文的報頭進行加密,防止進行流量分析,再用“端到端加密”對傳送的報文進行加密保護。
對數據進行加密的算法主要有DES和RSA兩種。DES屬於私鑰加密體制(又稱對稱加密體制),它的優點是加、解密速度快,算法容易實現,安全性好,缺點是密鑰管理不方便。RSA屬於公鑰加密體制(又稱非對稱加密體制),它的優點是安全性好,網絡中容易實現密鑰管理。因此可以采用將DES和RSA相結合的綜合加密體制:用DES算法對數據進行加密,用RSA算法對密鑰進行加密。
(4)應用系統安全。應用系統安全主要包括對交易雙方的身份確認和對交易的確認。在網絡銀行系統中,用戶的身份認證依靠數字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統進行身份認證。數字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎設施——PKI(Public Key Infrastructure)是解決大規模網絡環境中信任和加密問題的很好的解決方案。同時采用安全電子交易協議,目前主要的協議標準有:安全超文本傳輸協議(S-HTTP)、安全套接層協議(SSL)、安全交易技術協議(STT)、安全電子交易協議(SET),其中SET涵蓋了信用卡的交易協定、信息保密、資料完整及數據認證、數字簽名等,已經成為事實上的工業標準。
加強應用系統開發過程的審計,應用系統運行過程中的實時審計。
(5)應用數據庫安全技術。應用存取控制技術、數據加密技術、硬盤分區防護技術、數據庫的安全審計技術、故障恢復技術等。
(6)應用防火墻安全技術。建立綜合計算機病毒檢測技術、代理服務技術和包過濾技術的第四代防火墻,提供DES加密、支持鏈路加密或虛擬專網、病毒掃描等安全服務,並具有實時報告、實時監控、記錄非法登錄、統計分析等功能。設置放火墻時要截止所有從135到142的TCP和UDP連接,改變默認配置端口,拒絕PING 信息包,通過設置ACCESS LIST 的過濾規則來實現包過濾功能。采用防火墻雙機冷備份策略。進行入侵檢測和定期漏洞掃描。
2.操作風險的防範
操作風險主要來自銀行內部,應完善網絡銀行的內部控制制度,建立科學的操作規範,嚴格內部制約機制,將不相容職務如管理員與經辦員分離、程序員與操作員分離、制作者與執行者分離,對主管和操作員實行IC卡身份鑒別,並同時加口令,任何進入系統的操作必須有日誌記載。
建立操作風險管理中心,對員工進行防範操作風險的技術培訓,監督各項操作風險管理制度的執行情況,對網絡銀行的操作風險進行評估,並采取相應措施。建立操作風險應急反應中心,對業務的影響因素進行研究,識別出可能導致業務中止的情況,系統的備份及定期測試公司的災難應急計劃,對出現的安全問題提供技術支援和解決方案。使用保險來抵補那些“低頻率、高危害”的操作風險。建立操作風險審計中心,對全部的網絡銀行業務實時監控、網絡掃描,並利用審計記錄,對業務操作人員和計算機系統管理人員進行稽核。
來自外部的操作風險,尤其是網絡銀行金融欺詐方面,不但要對個人服務的零售業務進行監控,還要加強對登錄網絡銀行的企業加強監控,通過數據挖掘軟件對可疑資金交易進行分析,防範利用網絡進行非法資金交易。
3.信用風險的防範
建立全國性的用戶信用管理信息系統,將用戶劃分為不同的信用等級,針對不同等級的用戶采取不同的管理措施。應***享客戶資料信息庫,與其他商業銀行、保險公司等非銀行金融機構、世界各銀行等金融機構合作,及時將客戶的守信情況和違約情況記錄入庫。
4.信息不對稱風險的防範
建立信息披露制度,強化信息披露的質量。應定期發布經註冊會計師審計的關於網絡銀行經營活動和財務狀況的公允信息,披露有關網絡銀行風險的大小和網絡銀行為了規避風險而采取的措施以及消費者權益保護的信息。建立社會監管體系,網絡銀行之間進行相互監督。
5.法律風險的防範
應充分利用和執行《網絡銀行業務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律擬訂網絡銀行相關協議,制定有關業務流程和業務處理規定,應充分利用目前執行的關於網絡安全方面的行政法規,如《計算機信息系統安全保護條例》、《計算機信息網絡國際聯網管理暫行規定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網絡銀行應註重交易數據的保管,為可能的糾紛或訴訟過程做好證據準備。
建立網絡銀行法律監管體系,制定網絡銀行的外部懲罰措施以及網絡銀行的市場退出機制。建立網絡銀行業務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規,同時對已有法律法規進行充實、修改。完善網絡銀行配套法律法規建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。