时间:2023-05-30 09:46:59
编者按:作为一块崭新的业务领域,电子银行兴起不过短短数年时间,但它却给整个银行业带来了前所未有的变化,从时间与空间上,拉近了银行与客户之间的距离,在为客户提供更为便捷服务的同时,也为银行贡献了不菲的利润。为此《卓越理财》自本期开始,将携手中国工商银行电子银行中心推出“电子银行”栏目,试图记下其中的点点滴滴。
随着网络信息技术的发展和电子商务的普及,以互联网技术为核心的网上银行正日渐取代传统的银行业务。“网上银行”为金融企业的发展带来了前所未有的商机,也为广大用户提供了快速便捷、形式多样的金融服务。作为一种全新的交易渠道,客户不必亲自去银行网点办理业务,只要能够上网,无论在家、办公室,还是在旅途中,都可以全天24小时安全便捷地管理自己的资产,办理查询、转账、缴费等银行业务。
然而近年来,假网站、假电子邮件、假短信、恶意木马病毒等各种新的犯罪手段层出不穷,很多人对处于推广普及阶段的网上银行了解得不多,特别是对如何确保安全并有效防范各种网络诈骗和网络盗窃行为知之甚少。为此,国内各大商业银行相继推出了一系列安全工具,保障网上银行交易安全。国内最大的商业银行中国工商银行推出了网银高端安全工具――U盾(个人客户证书)和最新的电子银行口令卡,让客户在享受网上银行便利服务的同时,确保支付交易安全。
U盾是工行在国内率先推出的网上银行物理数字证书,外形小巧别致,类似U盘。可以说,U盾就是网上银行的“身份证”和“安全钥匙”,是目前国内高端的网银安全工具。申请了U盾,所有涉及资金对外转移的网银操作,都必须在它的伴随下完成。U盾能够轻松防止网络病毒、木马、黑客和假网站等网上诈骗手段窃取客户资金。拥有U盾,即可安心享受时尚的网上金融生活。
电子银行口令卡是工行8月份新推出的一项电子银行安全产品,相当于动态的电子银行密码。口令卡上以矩阵的形式印有若干字符串,客户在使用网上银行进行对外转账、B2C购物、缴费等支付交易时,系统就会随机给出一组口令卡坐标,客户根据坐标从卡片中找到相应的口令组合,只有当口令组合输入正确时,相关交易方可成功。这种口令组合是动态变化的,具有随机性,客户每次使用时输入的密码各不相同,交易结束后密码自动失效。薄薄一张口令卡,可以有效杜绝不法分子通过盗用他人密码窃取资金,保障电子银行安全。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极度重视,包括工行在内的各大商业银行都采取了有效的技术和业务手段确保网上银行安全。相信随着国民金融意识的增强和国家规范网上行为等相关法律法规的出台,广大用户会享受到更好的网上银行使用环境。为客户提供“3A服务”(任何时间、任何地点、任何方式)的“网上银行”一定会赢得越来越多用户的青睐。
(中国工商银行电子银行中心供稿)
网上银行安全隐患凸起
据中央电视台一二月七日《经济信息联播》报导,有人在网上发现了1个假的中国银行网站,行标、栏目、新闻、地址,样样齐全。一二月八日,内蒙古呼以及浩特市1市民,致电央视称他由于登陆了这个假网站,卡里的二.五万元就稀里糊涂地不见了。假中国银行网站新闻播出后,假中国工商银行、假银联、假农业银行的网站也被发现(京华时报一二月一一日),1时间网上银行安全话题成网上热议的焦点。其实,近两年来,我国有关网上银行安全的事故以及危及网上银行安全的隐患被发现的事情其实不鲜见。如,去年下半年,香港前后发现有不法人士伪冒东亚、花旗、汇丰、宝源投资及中银国际的网站。二00三年一二月至二00四年二月早期间,湖南长沙产生国内首例应用木马病毒盗窃网络银行资金案,两犯法分子通过发送电子邮件等方式,应用植入的黑木马病毒盗取到多名受害人的招商银行以及民生银行的账户及密码,前后从中支取八万余元。
网上银行安全事故的频发,1方面当然与用户安全意识稀薄有关,但更首要的是网上银行自身存在的隐忧使然。“密码泄露”以及“冒充站点”是影响当前网上银行的两大安全隐患。
网上银行认证手腕缺点,容易造成密码泄露。目前,大多数网上银行采用的是“ID以及密码”这1传统认证手腕,因为这1认证手腕的懦弱性,如果用户在网吧等场所使用网上银行时有可能被窃取密码。由于登录认证检测有可能会成为作案者校验并盗取密码的机会。在传统银行业务中,密码输入必定次数依然过错就会被休止服务,然而在网络银行中,妄图非法盗取密码的作案者如果采取可以扭转登录ID的法子,即使登录失败,网站也不会将密码视为无效。
除了了用软件盗取密码这样的隐忧之外,“冒充站点”也是网上银行使用中1个无比首要的安全隐患。比如,作案者可以首先向客户发送1个“本行网站正在进行促销流动!”等内容的虚假邮件,然后诱骗客户走访虚假站点。客户在不了解情况时就会向虚假站点发送ID以及密码。客户发送终了后,如果显示出1个“服务马上就要休止”的画面,或者者把客户走访从新引导到正规站点上,客户当时是很难发觉的。这样1来,就存在有人进行非法资金转移的可能性。
支付安全掣肘电子商务
电子商务目前在全球规模内患上到空前发展已经是不争的事实,在中国电子商务同样成为网络掘金的热门,BtoC,CtoC等多种电子商务情势如日中天。跟着电子商务的日趋活跃,网上银行作为电子商务支付系统的媒介正在被愈来愈多的人认可以及使用。截止目前,在国内正式树立网站的商业银行到达了四0多家;展开网上交易型网上银行业务的商业银行达三0家。我国网上银行个人客户超过四000万户,企业客户超过六万户。预计到二00四年底,国内网上银行的总交易额将接近二0万亿元,企业客户总数超过一0万户,到二00五年,中国的网上银行用户数将飙升到一.四亿万户,网上银即将成为商业银行动高端客户提供服务的主要方式。
电子商务愈加展,网上银行越普及,网上安全问题就显患上越首要。网上银行安全问题与电子商务的发展息息相干,没有网上支付的安全作保障,电子商务要发展必然受阻。其实,制约当前电子商务的瓶颈当中很首要的就是网上银行的支付安全问题。中国互联网络信息中心公布七月份的第一四次中国互联网发展状态分析讲演显示,不愿选择网上银行的客户中有七六%是出于安全斟酌。新近公布的《中国互联网络热门调查讲演》一样显示,有至关多的人质疑网上支付的安全性。在网络购物中,网民对于诸如用户的个人信息、交易进程中银行账户的密码、转账进程中资金的安全等问题上有很大耽忧。目前网上购物支付法子,汇款,网上支付以及货到付款的比例分别为四三.二%,四一.八%以及三四.七%。可见,网上银行的安全性影响了网民电子支付手腕的运用,从而制约了电子商务的发展,使电子商务在1段时代内依然停留在“网上订购,网下交易”的状况。
多方联动因应安全之策
网上支付的安全性问题事关网上银行发展的前景,同时也抉择电子商务发展的过程。解决好网上银行安全问题,以推进电子商务快速发展时不我待。无非,做好网上银行安全工作,绝非网上银行1家之责,而是1个社会系统工程,亟待各方努力,方能突围。
首先,银行部门要采用切实措施加强安全管理解除网上银行安全之忧。在行政管理方面,目前国内良多银行的IT系统与安全管理者没有实际的强制性权利,建议重组银行内部组织架构,将扩散在各业务部门的安全管理人员重整,设立专门的机构负责安全工作,并加强安全管理部门的气力以及权利,使安全管理的强制性患了落实。在技术手腕上,则需要在用户认证方面进行作进1步改良。鼎力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终真个安全。
其次,网上交易的安全链条并不是银行1家,还有商户以及客户组成,这就请求安全链上各环节都携手树立安全的网上交易环境,建议商户网站加入1些网上购物的安全认证组件程序,在编写程序的时候加进去,千万不要偷懒,殊不如,1个细小的忽略将会给客户带来重大的损失。
第3,作为网上银行的客户,也应加强安全防范意识,养成优良的网上交易习气,让不法份子无机可乘。切勿使用诞生日期、电话号码或者经常使用名字;切勿向任何人流露密码,并防止把密码写入记事簿或者电脑;不应使用进入网上银行所用的登入姓名或者密码进行其他网上服务;切勿使用公用电脑或者通过电邮的超连结登入网上银行的网站;按期查阅银行户口结余及交易记录。
关键词:网上银行 网络支付 安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
5.加强客户的安全意识和网络通讯的安全性
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。
互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
参考文献:
[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.
金融安全事件频发为行业敲响警钟
在近期重庆市发生的一起金融安全案件中,由于保险公司网站泄露用户个人信息,导致犯罪嫌疑人利用获得的用户身份证号码和手机号制作假身份证,并用假身份证补办手机卡,通过手机号找回支付宝密码,从而将与支付宝绑定的银行卡中的钱款转走。在这一过程中,从保险公司到手机运营商,再到支付宝,几道关卡均告失守,令人担忧。本案只是近期数起案件中的一个代表,业内人士表示,不仅保险公司,包括招聘、社交甚至普通企事业单位的网站在个人信息方面也都存在漏洞。业内人士表示,移动互联网时代,用户对移动支付体验的便捷要求越来越高,风险概率也因此提升。该人士建议用户妥善保管个人身份证、银行卡及其他隐私信息;同时,获取相关信息的机构、单位、企业应完善安全机制,运营商、银行应共同就关键业务受理加强身份审核。
此外,最近一种新型诈骗手法也引起了业界的关注:不法分子通过“伪基站”屏蔽运营商网络信号,然后假冒银行向手机用户发送诈骗短信,内容包括指示用户提供个人银行账户信息等,给用户和电信运营商造成重大经济损失。某国有大行内部人士告诉《互联网周刊》记者,该行近期已联合公安机关和无线电管理机构发起打击伪基站金融犯罪的行动。但该人士也表示,目前在打击相关金融诈骗犯罪方面,还没有“一劳永逸”的手段。与此同时,公众的金融诈骗防范意识尚显淡漠,因此,银行在信息安全领域的压力很大。
国内金融业
对风险问题认识有待提高
巴塞尔银行监管委员会于1998年3月发表了《电子银行和电子货币运作中的风险管理》专项研究报告,就电子银行和电子货币运作中的风险管理进行了全面论述,将风险划分为:操作风险、信誉风险、法律风险、信用风险、流动性风险、利率风险、市场风险和国家风险8类。与之相对应,网上银行风险管理则由风险识别、风险防范以及风险控制三部分组成。
尽管业界已经就网上银行风险管理问题形成了较为成熟的理论,但目前国内许多银行仍对这一领域的诸多风险,尤其是对网上银行带来的声誉风险认识不足。问题集中体现在对网上银行的内控体系建设重视不足,对客户的风险提示和安全教育不够,客户容易操作不当,感染木马病毒等方面。更重要的是银行在技术控制措施方面暴露出严重问题,例如缺少业务连续性计划,缺少对系统安全监控及冗余设计,缺少针对钓鱼网站的应对措施等。
随着网上银行客户数和业务交易量的逐年递增,使用量的不断增加,越来越多的客户对网上银行产生了较强的依赖性,网上银行的事故将会给客户带来经济损失和极大不便,进而对银行的声誉产生不良印象。所幸,这些问题已经引起了行业的重视,相关人员对此提出以下建议。
采取有效措施,
加强网上银行安全防护
银行部门作为网上银行安全工作的重中之重, 需要采取切实措施加强安全管理, 建立起一套真正适合网上银行的安全体系。首先,建立安全管理组织体系,落实责任人,并加强安全管理部门的力量和权力。完善安全管理规章制度, 严格贯彻实施。建立业务运行应急计划和业务连续性计划,保证即使在不利情况下,银行仍能对外提品与服务。其次,尽量采用高等级安全操作系统, 运用多种安全机制来增强网上银行的安全性,在运行过程中不断地检测各种网络入侵、审核安全记录,检查是否有对网上银行构成威胁的漏洞, 及时发现并作相应处理等。最后,要大力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终端的安全。加强银行之间、银行与公安部门及反病毒厂商之间的协作与沟通, 及时掌握最新的网络犯罪动态和病毒信息,及时采取有效防护措施。
提高用户安全防范意识
首先,银行应持续提醒网上银行客户注意,认可机构本身或其业务伙伴绝不会通过电子邮件要求客户提供敏感的密码资料。其次,银行应提供一些方法让网上银行客户确保其链接的网站为认可机构的正式网站, 绝对不要以电子邮件内提供的链接方式登录网上银行网站。
再次,定期在互联网上搜寻,以检查是否有第三方网站的域名可能以假乱真。最后,加强安全使用网上银行的培训和教育。在保护用户的账户隐私、确保交易安全方面,银行应提供完备的安全防范手册, 尽量在其网页的醒目位置对用户使用网上银行时如何保护自己的账务密码安全等方面进行明确提示,加强对客户安全使用网上银行的培训和教育。
加强网上银行安全技术措施
借此,我想用这个使人惊叹的小故事隐喻一下网银的安全性问题。
对于女神像事件,汉默斯坦写道:“不管创作一件艺术品,还是从事其他工作,都要追求尽善尽美。因为你永远都不知道,在未来何时,会发明出直升机或某种别的工具,使你的作品的瑕疵暴露无遗。”当网友们登陆到工行网站,准备办理各种业务时,正如面对着一件等待人们审视的杰出艺术品,制作它的人们同样非常认真、谨慎,不忽视每一个小细节。
说到这里,就为大家支上几招,教您一些如何保护自己账户安全性的小窍门。
第一招:拥有U盾 高枕无忧。U盾(个人网上银行客户证书)是工行率先推出并获得国家专利、专门用于保护网上银行客户安全的“智能卫士”。如果您已经申请了U盾,只要保管好自己手中的U盾及其密码,就可以高枕无忧,简单、安全地使用网上银行,不用再担心黑客、假网站、木马病毒等各种风险隐患。
第二招:预留信息验证。“预留信息验证”是工行为帮助客户有效识别银行网站、防范不法分子利用假网站进行网上诈骗的一项服务。客户可以在银行预先记录一段文字(即“预留信息”),当客户登录我行个人网上银行、在购物网站进行在线支付或在线签订委托代扣协议时,网页上会自动显示客户的预留信息,以便客户验证该网站是否为真实的工商银行网站。如果网页上没有显示预留信息或显示的信息与客户的预留信息不符,便可以确认该网站是假网站。
第三招:输入正确网址登录。建议客户手工输入正确网址登录工行网站,并将之添加到IE浏览器的“收藏夹”中,方便下次使用。不要通过超级链接访问工行网站。工行门户网站地址为:省略;工行个人网上银行登录地址为:mybank.省略/icbc/perbank/index.jsp。
第四招:核对网址。建议客户在登录工行网上银行或进行在线支付时,留意核对所登录的网址与工行公布的网址是否相符,谨防不法分子恶意模仿我行网站,骗取客户信息。工行个人网上银行登录页面和在线支付页面的网址均以mybank.省略开头。
第五招:查看安全锁。工行个人网上银行登录页面和网上支付页面都经过128位SSL加密处理,在打开上述页面时,在IE浏览器右下角状态栏上会显示一个“挂锁”图形的安全证书标识。点击挂锁,可显示相关信息。
第六招:申办一张工行网上银行口令卡。请客户牢记,真正的工商银行在线支付页面首先会提示客户输入支付卡号和验证码;客户正确输入相关信息后,会显示客户在工行的预留信息供客户核对;如果客户核对返回的信息有误或有疑问时,应马上停止操作并致电95588;如果核对返回信息无误,U盾客户可以按照系统提示插入U盾输入密码完成支付,口令卡客户应按照系统提示的两个坐标,输入口令卡上对应坐标密码完成支付。
需要特别注意的是,每一次在线支付时,工行系统只会给出两个坐标要求客户输入。如网站要求客户一次输入两个以上的坐标口令,请客户提高警惕,并致电工行客户热线95588进行确认。
论文关键词 网上银行安全 银行责任 法律监管制度 电子银行
一、网上银行盗窃后有关责任的认定
(一)银行的严格责任认定
(1)网上银行存入资金归属于银行。客户将资金存入网络银行,银行能够对存入的资金实现自己使用,并能够通过自己使用实现利益的留用。(2)银行承担客户资金存入网银后的安全保障义务。《合同法》第60条规定了合同的全面履行和附随义务。从合同法原理的角度分析,储户和银行之间的关系是合同关系,银行提供网上银行服务是主给付义务,保障资金安全和储户的信息安全是从给付义务,主给付义务不履行,储户可以向法院主张解除合同,从给付义务不履行,储户可以向法院主张损害赔偿。根据《商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”。储户在非因自己过错遭受财产损害时,银行应当承担赔偿责任。根据网上银行服务协议,银行在进行业务创新的时候,应当保证交易系统的安全,增加储户对于银行创新业务的信赖。储户申请网上银行业务时,与银行签订了网上银行服务协议,银行需要进行储户身份识别,数字证书认定,以及需要采取一定的止损措施等保障交易安全。网上银行服务协议作为银行和储户之间的基本合同,储户在进行网上交易时,银行应当承担基本的安全保障义务,包括保障网络的硬件设施完备、安全,使储户能够进行信赖交易,此过程中储户的个人信息泄露、财产损失等,当由银行承担基本的损失赔偿责任。(3)银行应当作为损失的第一承担者。网上银行是高科技下的产物,银行在赚取利润的同时要承担保证储户资金安全的责任。银行作为首要受害对象,应当对损失承担责任,并加大自我保护力度和增强自我保护意识,绝不应将损失直接推诿给储户。
(二)主要的举证责任因由银行来承担
(1)银行控制网上银行交易的信息资料。网上银行交易的数字信息都在银行的网络系统中,由银行控制掌握,储户很难调取。(2)网上银行的高度技术性使储户举证不能。网上银行的高度创新性和技术性,造成了交易中的信息不对称,储户交纳服务费享受服务,基于的是对网上银行技术的信赖和对银行公信力的倚仗。(3)银行举证网上银行交易信息资料成本相对较低。银行是网上银行系统资料的所有者,对于交易等信息资料的保全和调取相对容易。(4)根据《最高人民法院关于民事诉讼证据的若干规定》第4条第6款规定:“因缺陷产品致人损害的侵权诉讼,由产品生产者就法律规定的免责事由承担举证责任”。由此可见,在我国的产品责任中,生产者承担的是严格责任,因此承担主要举证责任。网上银行作为金融创新的一种产品,理应受到该条法律的约束。
二、法律监管制度的缺陷
(一)我国无统一的、专门针对网上银行进行监管的基本法律
我国人大颁布的《电子签名法》作为仅有的法律支持电子商务和网络银行业的发展及风险控制,但是其条文简单,仅规定了一些原则性的措施,可操作性不高。同时现行的网上银行监管重要法规:银监会颁布的《电子银行业务管理办法》和《电子银行安全评估指引》皆为部门法规,在效力层次上有其局限性,无法满足现实的要求,造成了很多法律上的真空地带,势必导致国家对网上银行风险的监管不力,从而引发各种金融风险。
(二)从配套法规方面来看,其体系也十分不健全
如我国票据法中就没有明确电子票据的法律效力,税法中也没有对网上征税的具体规则,刑法对于利用互联网进行网上银行犯罪活动时,对定罪量刑没有针对性的规定条纹,无法有效的打击越来越多的金融犯罪活动。此外,与网上银行息息相关的其他法律,如《物权法》、《合同法》、《消费者权益保护法》等都没有明确提及针对网上银行的相关条款。结果必然使在解决网上银行问题时遇到极大的困难,如法律中无相关规定、法律规定不明确、无法确切地得到处理结果。因此,制定和完善相关法律规范、营造一个对网上银行发展有一处的监管法律制度迫在眉睫。
(三)网上银行市场准入和退出监管制度存在缺陷
我国处于经济发展阶段,需对金融业的市场准入进行相对严格的监管,对于网上银的准入监管也较紧。根据我国《电子银行业务管理办法》的规定:所有利用开放性网络或无线网络开办的电子银行业务都需要适用审批制;金融机构将已经获得批准的业务应用于电子银行时,需要与证券业、保险业等相关机构进行直接实时数据交换才能实施的电子银行业务,以及金融机构相互之间通过互联电子银行平台联合开展的电子银行业务,都要报经银监会审批。很明显的,我国适用审批制的网上银行准入范围十分宽广,不利于尚处于发展阶段的网上银行业的创新和良性延续。
三、防范网上银行的安全隐患的措施
(一)加强风险防范,完善网上银行法律体系
1.加强储户的安全义务、防范恶意骗取银行赔偿
对银行实行严格责任和过错推定,加大了对储户的保护力度,势必会相对放松储户的警惕,而储户加大对网上银行信息的保护不仅是关键,整体预防损失的成本相对也比较低。可以考虑立法设计储户限额责任的条款或者网上银行服务协议中设计损失共担的条款等,使储户对于损失承担小比例的责任,以提高其安全防范意识,应当设定储户的损失报告时限。储户发现网上银行损失之后要及时向银行报告,以便银行及时对损失原因开展取证调查,超过一定时限未报告,储户要承担相应责任。
2.银行通过技术改造增强安全保障能力
《电子银行业务管理办法》专章规定了风险管理,其中第37条特别指出,金融机构应采取适当的措施和采用适当的技术,鉴定与识别启动网上银行服务业务的客户真实身份,并对其权限实施有效管理。金融机构应在物理控制和软件控制两个方面,建立对非法进入或越权进入的甄别、处理和报告机制。这也对银行提出了改进技术,防范假冒储户非法盗取网上银行存款的行为。目前网上银行采用数字加密技术作为唯一安全防护手段是存在软肋的,应该开发多重技术保护的新途径,如与生物信息技术、短信回执技术等的结合。银行在享受这种金融产品带来的巨大利润时,最应关注的是不断预见风险,提高技术防范措施,保障交易安全,减少诉累,增强广大储户对新生金融产品的信心和对银行的信赖。
(二)加大对金融消费者的民事保护力度
我国《银行法》和《证券法》等金融立法中虽然也在其立法宗旨中写入保护存款人、投资人等消费者利益的内容,但是真正规定消费者权利、具有可诉性和可操作性的民事规则在具体条文中却十分少见,这使得保护消费者权益往往成为被架空了的口号。金融消费者和金融机构在信息上严重不对称也使得前者在主张权利救济时面临举证责任和败诉风险,因此应当简化金融机构民事责任的构成要件、减轻消费者举证责任是金融消费者民事保护的应有之意。银行可以通过建立金融消费者责任赔偿基金,对网上银行的损害做出相应支付。
(三)构建完善的法律监管体系
1.完善高法律层级的基本法
我国在网上银行监管的国家层面的法律法规只有《电子签名法》一部,仅涉及了部分有关规定。有些研究认为,应该制定一部法律专门实现监管网上银行的法律。但就我国目前情况来看,现有的网上银行尚停留在作为传统银行网上服务分支的状态。虽然不排除将来出现纯网上银行,但网上银行业务发展日新月异,制定一部《网上银行法》的条件尚不成熟。同时,我国尚未出台完备的电子商务方面的法律规范,要制定有关网上银行的单行法律规范则更加不切实际。同观其他国家的法律监管,也是多元化的。这样的情况下,在我国现有的规范银行的法律中,如《商业银行法》,增加网上银行的规定章节,将现有的一些规定上升为法律层级。这样,在实际应用时同传统银行监管相互融合,更加符合我国目前的情况。从而避免网上银行的法律风险,使我国对网上银行的法律监管有“法”可依。
2.完善行业部门管理法律法规
相对于法律,部门法律规章的灵活性,操作性更强。在监管部门层面针对网络银行各方面内容和风险监管继续制定和完善专门的部门法规、实施细则等。银监会颁布的《电子银行业务管理办法》和《电子银行安全评估指引》还不足以满足网络银行风险法律监管的需要,对于较为抽象的部门法规,有必要制定实施细则解决具体问题。主要可以包括:首先,管理条例,作为行业法规,管理条例原则性行不宜过细过全,否则容易偏离现有网上银行的发展状况,失去包容性,导致资源浪费。主要应界定网上银行的范围,市场准入的基本要求,交易行为的基本规范,一般的风险管理和站点管理,客户保护措施及信息报告制度等。其次,发布指引公告,对于目前以及本人订单认为成熟,或者可推广的技术操作系统、标准、系统设置、风险管理手段等,以指引公告的方式发布,并随情况的变化及时调整。最后,风险警示。对于一些偶然性的网络信息安全问题,潜在的有可能扩展的不确定性因素,宜采用警示的方式,为网上银行提供必要的信息,保驾护航。
关键词:网上行;安全认证;身份识别
一、 引言
目前国内网上行的安全认证方式呈现多样化发展,从之前更多依赖简单的帐号密码,逐渐新增了数字证书、动态密码、一次性密码等新的认证方式。2008年至今各大行在安全认证方面不断加大力度,工行推出了手机短信认证服务、浦发推出了“移动数字证书+动态密码”认证新方式等。可以发现,单一的认证已不能满足用户的需求,网认证正朝着多重认证的方向发展。
二、 网络行安全系统概述
1. 网络节点安全。网络行的节点安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等,主要靠防火墙实现。
(1)防火墙:防火墙是在连接Internet和Intranet保证安全最为有效的方法,防火墙能够有效地监视网络的通信信息,并记忆通信状态,从而做出允许/拒绝等正确的判断。通过灵活有效运用这些功能,制定正确的安全策略,将能提供一个安全高效的Intranet系统。
(2)防火墙安全策略:基于防火墙的安全策略建立了全方位的防御体系来保护机构的信息资源,安全策略应包括:规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施,以及管理制度等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。
(3)安全操作系统:防火墙是基于操作系统的。如果信息通过操作系统后门绕过防火墙进入内部网,则防火墙失效。所以,要保证防火墙发挥作用,必须保证操作系统的安全。只有在安全操作系统的基础上,才能充分发挥防火墙的功能。在条件许可的情况下,应考虑将防火墙单独安装在硬件设备上。
2. 商务安全。
(1)通信和链路安全。电子商务系统的数据通信主要存在于:①客户浏览器端与电子商务WEB服务器端的通讯;②电子商务WEB服务器与电子商务数据库服务器的通讯;③行内部网与业务网之间的数据通讯。
此外,在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接,所传递的重要信息都是经过加密的,这在一定程度上保证了数据在传输过程中的安全。
(2)应用程序的安全。即使正确地配置了访问控制规则,要满足计算机系统的安全性也是不充分的,因为编程错误也可能引致攻击。
(3)用户的认证管理。
①身份认证:电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份,IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。
②CA证书:要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书,实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书(下载可以在访问之前或访问时进行)。
三、 各种安全认证的比较
目前安全认证技术主要有:动态口令、USB卡、IC卡、磁卡、虹膜、指纹、CA数字证书、掌纹、声纹、面像等。在此对主要认证技术简单进行应用安全性和实现方便性上的比较。
1. 安全性比较,(如表2示)。
2. 便捷性比较,(如表3示)。
在安全认证领域,安全性与便捷性成反向关系,U盾的安全等级高于动态令牌,但是U盾会遇到计算机、操作系统、防火墙等软硬件适配性方面的问题,也会面临手机、iPad等移动终端没有USB接口方面的问题。原来认为短信密码相对安全性比较高,但在单独使用过程中,会遭遇无线信号未覆盖、短信的时间滞后,SIM卡被克隆,电信主机被侵入,密码被盗后无法确认是电信责任还是网上行的责任等方面的问题。因此,一般认证体系在相同便捷性情况下,选择安全等级高的认证系统,在认证强度不足的情况下,采用双因素的认证。另外,将认证强度与交易金额上限相关,实现既便捷又相对安全的的认证方式。
四、 安全认证系统遭到攻击的事件
理论上被认为需要几百万年才能被攻破的系统,存在事后被认为显而易见的漏洞。
1. 美国网络安全认证巨头RSA公司遭受攻击,4 000万个种子文件被盗。2011年3月,RSA公司透露其受到网络攻击,攻击造成SecurID的关键信息丢失。6月2日,RSA确认了在3月份的被盗的数据被用来攻击洛克希德―马丁公司和其他美国国防承包商。6月6日,该公司在全球范围召回4 000万只SecurID。
为规避种子文件库被攻破,可以采用两次SecurID激活方案,既在出厂时激活一次,在发放给用户是再设一次SecurID。理论上,只有获得两个SecurID库,并知道两个SecurID库之间的对应关系才能攻破动态令牌。
2. 第一代U盾遭受攻击。原来被公认为安全等级最高的U盾,也遭受攻击。2011年4月,北京一犯罪分子利用木马突破网U盾30秒窃30万。犯罪分子通过将木马程序,远程控制用户电脑,然后在U盾尚未拔掉的情况下,完成转帐。随即,招商行等行宣布,下调通过第三方支付进行的网上交易限额。其中,招商行大众版一卡通客户的网上支付、转账上限由原来的5 000元/日调整为500 元/日;而信用卡客户的网上支付单日限额也由原来的自行设置调整为单笔不超过500元。除招行外,其他商业行也以支付安全为理由将网交易上限大幅下调。
3. 中国行第一代动态令牌遭受钓鱼网站攻击。持有中行“E令”(动态令牌)的用户登录仿冒中国行主页的钓鱼网站后,即暴露静态密码和动态密码,而钓鱼网站利用动态密码在60秒钟内有效的特点,有程序自动登陆中国行主页并转账。据业内人士估计,此轮中行遭受的损失上亿元。此后,中国行增加短信密码作为第二个认证因素。
目前,生成与账户、转账金额相关的挑战/应答型动态令牌可以有效化解这方面的风险。
五、 电子安全认证相关法律法规
网络行和电子商务相关的主要法律法规包括:《中华人民共和国电子签名法》、《电子行业务管理办法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》、《商用密码管理条例》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密码产品管理办法》、《电子支付指引(第一号)》、《电子行安全评估指引》、《关于网上交易的指导意见(暂行)》、《信息安全等级保护管理办法》。
2004年8月28日,十届全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》是该领域比较基础性的法律,主要规定了四方面的内容:确立了电子签名的法律效力;规范了数据电文;设立电子认证服务市场准入制度;制定了电子签名安全保障制度。虽然在《电子签名法》诞生后,完成了对《公司法》、《票据法》、《证券法》、《拍卖法》的修订工作,但仍然存在许多衔接方面的问题。《合同法》第32条规定:“当事人采用合同书形成订立合同的,自双方当事人签字或盖章时合同成立”。该合同书很明显指的是传统的书面合同并不涉及电子合同。与电子合同有关的是《合同法》第33条:“当事人采用信件、数据电文形式订立合同的,可以在合同成立之前要求签订确认书,签订确认书时合同成立”。但在这里《合同法》并没有解决电子合同的签名问题,而是将其抛给了当事方自己处理。当事人既可以要求签订确认书,也可以不要求签订确认书。事实上,由于当事方在现实中客户与行的财力、技术水平、经验等方面并不是一样的,客户与行很难通过协商达成公平的解决方案。《电子签名法》倾向但不强制要求采用第三方认证。1999年由中国人民行牵头组织工商行、建设行、中国行、农业行等多家商业行联合共建国家金融认证中心(CFCA)。事实上,中农工建交招等大型行依然采用本行内部认证机制,未采用CFCA认证。另外,《电子签名法》倾向于电子签名,但由于现实情况、技术水平决定电子签名效率比较低、依然存在安全漏洞,而且与用户习惯不符,因此为其他安全认证方法留下足够的空间。如“第三十四条第三款:电子签名认证证书,是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录”。总体看来,《电子签名法》的表述上有较大的弹性,实际情况是象征意义大于操作意义。
监会公布《电子行业务管理办法》和《电子行安全评估指引》,于2006年3月1日起施行。《办法》上所指的电子行包括网上行、电话行、手机行,也包括其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的行业务,例如自助行、ATM机等。由于电子行的行风险很大程度上与第三方有关,比如技术风险,监会在管理办法中,重点强调了风险管理和相应的法律责任,明确了电子行风险管理体系和内控制度建设、授权管理机制等要求。按照办法规定,金融机构应当与客户签订电子行服务协议或合同,在协议中告知风险,比如金融机构已经采取的风险控制措施和客户应采取的风险控制措施,相关风险的责任承担等。在责任部分,办法规定,因电子行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的,金融机构应承担相应责任。因客户有意泄露交易,或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的,金融机构可以根据协议的约定免于承担相应责任。如果涉及到两家金融机构造成客户损失,尽职的不担责任,但提供电子行服务的金融机构有义务协助其客户处理有关事宜。由于电子行涉及到的安全和技术风险,行依靠传统的风险管理机制很难识别、监测、控制和管理,大部分国家依靠外部专业化机构定期对电子行的安全性进行评估,监会因此颁布了指引以规范电子行安全评估活动。
参考文献:
1. 梁爽.我国网上行风险现状及对策.财经界(学术版),2011,(3):90-92.
2. 孙旖.我国网上行发展历程及现状浅析.东方企业文化,2010,(7):283-284.
3. 陈晓慧,吴应宇.我国网络行发展的制约因素及完善对策,2008,(6):104-105.
4. 吕志祥,何红金.我国网上行安全保障机制探析,2010,(3):113-114.
【关键词】网络银行;风险控管;交易安全
中图分类号:F84文献标识码A文章编号1006-0278(2015)09-052-01
网络银行是于计算机出现之后,网络技术渐渐适用于传统银行业务,网络银行的产生。它的产生使得银行运营方式与服务内容发生了翻天覆地的变化,作为电子金融行业的先锋,已经成为引领世界各国银行业发展的方向。由于我国银行业起步晚,专业化程度赶不上发达国家,网络银行的出现可以成为我国赶超其它国家的契机。由于网络银行的特殊性,随着网络技术的不断升级,网络银行发生技术风险的可能性越来越大,因此风险控管应是网络银行关注的首要风险。
一、课题的研究背景与动机
1.信息技术的应用已成为企业发展的一把利器,在之前,银行业的工作中就经常用到信息科技,面对网络行业的兴起,在银行业的经营上掀起了一场全新的变革。传统银行在过去通常设立一些实体柜台,来增加自己的版图,网络银行利用信息技术的优势,将银行营业窗口带入到自己家中或工作室,提供各项金融服务。传统银行提供的电子银行的项目包含自动取款机,电话银行,其中的工作内容也是比较小范围的,网络银行为客户带来了极大的方便,足不出户就可以完成大多资金业务,这对于银行来说不仅降低了银行业的成本,还促进了国际相处。
2.网络银行的起源追溯到20世纪70年代的美国,在那时银行提供的所谓家庭银行是通过电话来进行少部分金融业务的,在之后的1995年第一个网络银行诞生,自此进入网络银行的新世纪,同年花旗银行率先在国际网络上架设网站,掀起网络银行的热潮。
3.本文的研究是就网络银行的发展状况,了解银行业者如何构建风险控管与交易安全的环境,对其交易安全技术与信息安全管理问题加以探索,为金融主管机关提供参考,也希望就本课题讨论过后针对网络银行的持久发展相关议题做深入的分析。根据研究目的与动机对网络银行现状进行实际调查。
二、网络银行交易安全分析
1.网络银行从广义上讲是所有通过国际网络提供各种金融信息的银行。它的优点可以由两个方面来说明,第一银行面,与实体银行相比,降低了建置成本;第二顾客面,为顾客提供更便捷有效的管理个人财务状况,信息提供及时服务,客户在银行建制的网站完成各项金融服务。网络银行的系统构架组成主要是客户端、银行端及签证中心。
2.网络银行服务涉及资金转移活动,为了保证交易安全问题,主管机关财政部顺应时代潮流,在保证交易安全和保护存款人权益前提下,陆续开放金融服务窗口,规范银行电子业务办理。财政部为符合国际电子金融发展状况,调整金融产业安全策略修订了“电子银行安控基准”,修订后有关网络银行安全需求及安全设计基本标准,研究内容分为:(1)交易面安全需求根据国际网络交易安全措施,将交易类别必要防护措施与非必要两类;(2)管理面安全需求,基本内部应依相关规范办理着重防范金融机构计算机资源遭外部管道入侵威胁,能有效期机密性与使用性;(3)交易面安全设计指客户交易通道应达到安全防护措施之设计方法;(4)管理面安全设计指金融机构使用的管理机构应加以考量具备其基本原则。
3.在网络银行使用过程中,依赖密码技术达成虚拟世界的安全需求,网络银行系统的设计中尽力运用各种不同安全的保护措施来构建一个安全地网络交易环境,但是随着网络的普及,网网相连,降低了信息的取得程度,从而也增加了安全风险。网络银行是属于开放性的网络交易,尤其在遇到资金转移等敏感信息,安全保护更是重要。所以目前制造一个安全的网络交易环境是目前网络银行使用的关键问题。Netscape公司指定的SSL协议、VISA与MasterCard两大国际共同主导和IBM等信息业者共同制定的SET协议以及根据SET构建的Non-SET系统都在不同程度的对网络银行安全问题带来不同安全措施。
4.网络银行对电子金融服务的推进第一台自动柜员机的诞生,开启公共场所ATM的使用,推动建制了金融电子资料交换网络,这项功能是电子商务企业对企业付款作业之前身,还有电话银行的诞生,以及目前网络银行的兴起。网络银行所提供的服务会随着网际网络的发展成熟而有所不同,根据网络使用的普及,网络银行受其趋势的影响,银行客户中使用网络银行的逐步增多。根据相关调查,对网络银行使用者做了相关调查显示与传统实体银行使用者人数还有一定差距,所以如何吸引客户使用便宜的网络银行通路,以降低成本是银行业者应该努力的方向。由于网络银行提供的服务项目多元化,每一种服务项目的安全需求也有很大的不同,SSL、SET以及Non-SET解决了这样的问题。除此之外国家也建设了保护网上银行正常交易的相关法律法规,我国现行的有关监管法制还处于初期阶段,在很多地方还存在缺陷,即使是专门处理网上银行问题而出台的法制也处在表面层次,有待加强,在实践中还存在很多法律问题有待进一步研究,所以我国我国网上银行的法律体系还有很大的晋升空间。网上银行相关法律法规的制定需要具有高度的前瞻性和兼容性为了避免法律滞后以及实际使用所带来的麻烦。制定明确的责任规划,对于网上银行社会信誉的建立是非常有必要的。并将网上银行信息披露纳入法律法规,制定网上银行犯罪的法律法规,为金融安全问题提供保障。
三、结语
金融主管机关财政部应加大安全保护措施确保消费者权益,积极鼓励网络银行的使用,为客户营造一个安全放心的交易平台。采取各项措施鼓励消费者使用网络银行,对还没有建设网上银行的银行提出建议与意见,银行的组织规模以及员工的相关知识储备是银行业者重点考虑的,同时网上银行的风险控管与交易安全问题仍需完善管理,是我国网上银行能够健康、稳步的发展。
参考文献:
[1]薛夙珍.电子商务付款系统之研究[D].国立交通大学信息管理研究所,1998.
我国网上银行发展快速,用户量及交易量均保持高速增长。但国内网银业务发展存在的普遍问题是,网银客户在线体验较差,以钓鱼网站、盗取客户信息、植入木马程序等多种形态出现的网银安全问题也日益增多,制约了网银业务健康发展。
网上银行商机无限
作为国内最早推出网上银行服务的银行之一,中国建设银行的网上银行业务已经发展了10年,其各项产品的研发和服务拓展一直处于国内领先行列。
本着“以客户为中心”的经营理念,建设银行计划在未来5年内将进一步强化电子银行渠道经营和渠道服务,打造最具创新优势、竞争优势和价值创造力的电子银行品牌。为达到这一目标,中国建设银行与微软中国基于微软的技术平台共同打造了建行零点击网银盾和建行网银专用浏览器,以全面提升客户终端应用的安全性和便捷性,为网银客户提供安全、简单、快捷的网上银行体验。
中国建设银行总行电子银行部总经理徐捷表示,建设银行个人网银客户数目前已突破5000万户,企业网银客户数已达到90万户,网上银行日均交易量超过700万笔。依托微软公司领先的解决方案、全球化的金融服务能力和资源,建设银行有信心实现电子银行业务的战略转型,不断提高客户服务能力,提升用户体验,引领中国电子金融服务业的发展。
网络信息技术的发展和电子商务的普及,对企业传统的经营思想和经营方式产生了强烈的冲击。以互联网技术为核心的网上银行使银行业务也发生了巨大变化。网上银行在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。
降低网上系统风险
网上银行的优越性的确很明显,但是面对这一新兴事物,客户也对网上银行的安全性和易用性存在一定的质疑。“建设银行历来重视网上银行业务风险管理,全面构建集事前防范、事中监控、事后补偿三位一体的全面风险管理体系,致力于为广大客户提供最为安全、快捷、易用的网上银行服务。” 徐捷表示。
传统的网上银行服务通常由金融机构向客户提供电子证书或基于硬件的网银盾 设备,然后由客户自行在计算机上进行安装和配置,安装成功后才可以连接到金融机构的网上银行服务进行相关的金融业务操作。电子证书或网银盾是客户连接到网上银行的最关键认证标志,但往往在客户自行安装和配置时,由于操作流程等原因造成安全证书不能被正确安装和使用,由此导致客户使用网上银行的体验较差。
随着中国建设银行网上银行系统的建设,信息的传递、身份的鉴别等安全问题已成为网上银行运营的关键组成部分。为了有效地保证网上银行数据的安全性,在充分保证客户及银行自身利益的同时将业务操作移至网上银行进行,中国建设银行与微软公司共同研制了新一代网银盾技术。
微软大中华区副总裁兼企业及合作伙伴事业部总经理连智浩表示,在该技术方案中,微软公司通过对建设银行网上银行认证的网银盾进行Windows操作系统硬件品质(WHQL)认证并将其收录到Windows硬件列表库来保证建设银行发行的客户身份认证网银盾产品与Windows操作系统达到100%兼容,从而使计算机系统具备前所未有的稳定性。使用该产品无需用户手动安装任何软件和硬件驱动,为用户省去了麻烦。
【关键词】商业银行;网上银行;因素;策略
作为电子商务领域的新型服务方式,商业银行网上银行是金融行业和高新技术相结合而诞生的产物。它依托互联网,向广大客户提供方便、快捷、安全的服务,能够有效地拓展商业银行的市场空间、分流柜台客流量、提高竞争力、降低成本,是商业银行在未来一段时间内取得竞争优势的关键点。但是,近年来,随着商业银行网上银行的深入发展,一些阻碍网上银行发展的因素逐渐显现出来,成为商业银行网上银行进一步发展的绊脚石,本文结合电子金融的发展现状,对于城市商业银行网上银行的发展提出自己的一点看法。
一、影响商业银行网上银行发展的因素分析
(一)网络安全问题
因为网上银行的应用系统存在漏洞或网络防范不够严密,一些不法分子趁机非法入侵他人账户、转移他人资金,使得网上银行面临着严重的安全问题。总的来说,网络安全问题可以分为以下三种:网络欺诈、黑客入侵和病毒破坏。网络欺诈是指不法分子运用假网站、手机短信、邮件、虚假的电子商务网站等手段来窃取用户的网上银行登录号、密码、身份证号码等关键信息,以达到非法占有的目的。黑客入侵是指黑客利用互联网的开放性、有目的地攻击运行系统上的缺陷,危害网络安全。病毒破坏是指不法分子借助电脑病毒程序来破坏银行系统,已达到窃取数据、转移资金的目的。这些行为都严重危害了网上银行的安全。
(二)网上银行的收费问题
费用低廉甚至免费是网上银行的经营优势之一。但是,随着网上银行业务的不断拓展,网上银行的收费逐渐暴露出以下几个问题:全面收费流失部分客户、收费与服务不匹配、收费标准不具有权威性、网上收费有可能产生消费纠纷等等。从银行效益的角度来看,银行需要收取一定的费用来维持正常的运转、获得经济效益。但是,网上银行的收费问题却正在成为流失户源的主要问题,我们不得不给予足够的重视。
(三)网上银行的操作问题
主要表现在客户端的业务操作是否出自本人、客户端的凭证是否有效、客户端的私人密钥是否泄漏、交易指令传递是否顺利等等。这些问题的出现使得商业银行陷入纠纷之中,损害了商业银行的形象。所以,银行应该采取一定的措施来规避这些风险。此外,客户满意度和忠诚度、银行口碑等因素也在一定程度上阻碍了商业银行网上银行的深入发展。
二、城市商业银行网上银行业务发展的策略研究
(一)加强网络安全
网上银行依托互联网,互联网的安全直接关系到网上银行的安全。所以,我们应该从网络安全着手,保证网上银行的安全运行。首先,建立严格、系统的安全体系。采用更高安全级别的网络运行体系、确保全天候的安全监护;升级网上银行的安全等级、填补运行系统中的漏洞;采用更智能化的科技手段来阻止网络侵犯等等。其次,加强客户的安全防范意识。网络银行应该在网页、操作界面等客户可以看到的地方设置安全提示,在客户输入关键信息的时候提醒客户注意防范潜在的风险;培养客户严格保密网上银行的账户和密码的习惯,提高客户的安全意识等等。第三,建立全国统一认证中心。清扫网络环境中的害群之马,还网络用户一个安全干净的世界。最后,加强网络应用环境的风险防范。
(二)规避操作风险
首先,商业银行要高度重视网上银行的外部欺诈风险。目前,商业银行在网络安全性方面投入了较多的人力、物力,建立了较为安全的网络运行系统。但是,商业银行对于基层网点的关注不够,一些由于业务处理不规范而引起的操作失误频频发生。例如一些不法分子借助基层网点操作系统的漏洞骗取用户的U盾和密码,损害了用户和银行的正常利益。其次,加强规章制度的执行力度。为了杜绝以信任、关系来破坏制度的情况的出现,商业银行必须要加强规章制度的执行力度,使得规章制度能够真正发挥其应用的作用。网点操作员需要按照章程办事,严格执行规章的要求,审核客户的身份、签名、指纹等信息,确认没有代办、误办的情况出现。最后,完善网上银行业务内控机制。运用科技手段来完善弥补操作系统上的漏洞,建立有效的内控机制。
(三)优化收费制度
在保证商业银行利润的基础上,网上银行的收费制度需要进一步的完善。首先,加大网银业务收费制度的宣传力度,使得广大客户形成一种网银收费的正确认知,确保客户能够在心理上接受该项制度。其次,细化收费项目和收费档次。根据不同的业务、客户群体、服务水平等情况,制定梯度化、科学化的收费制度。例如适当地减少网上银行异地转账的收费标准、鼓励客户使用网上银行自主完成费用转存等业务;减免手机银行的查询、转账、支付等业务的费用,将网上银行的影响延伸到人们生活的方方面面等等。最后,细分客户群体。不同的网上银行商品针对不同层次的客户群体,所以,商业银行应该对客户进行细分,从信誉度、回报率、资信状况等方面调查总结客户的征信情况,并有目的地制定收费制度,使得多数客户都能够享受到网上银行的优惠和便利。
(四)提高网上银行客户的忠诚度和满意度
口碑的力量是无穷的,只有客户对网上银行的满意度和忠诚度提高了,商业银行才能够在市场竞争中占据不败之地。所以,商业银行可以从以下几个方面着手:提供客户需要的服务、尽量便捷化简单化、为客户提供承诺服务、及时采取补救措施等等。通过这些手段来降低商业银行的运行成本、提高效益。
作者:郭咏萍 单位:郑州市农村信用合作联社文化中路分社
参考文献
[1]卢玉志,赵东星.我国网上银行发展中存在的问题与对策[J].特区经济,2008.
聚焦交易风波
网络银行,又称“网上银行”或“在线银行”,是指银行以自己的计算机系统为主体,以单位和个人的计算机为入网操作终端,借助互联网技术,通过网络向客户提供银行服务的虚拟银行柜台。简单地说,网络银行就是互联网上的“虚拟银行”柜台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务操作。
网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网,进入网络银行处理交易。与传统银行业务相比,网络银行的优势体现在,不仅能够大大降低银行的经营成本,还有利于扩大客户群、交叉销售产品、吸引和保留优质客户。网络银行的无时空限制的特点,打破了传统业务受地域和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务。
在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务和银行交易服务。其中银行交易服务包括个人业务和公司业务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。
网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银行业务交易服务。因此,事实上,我国还没有出现真正意义上的网络银行,也就是“虚拟银行”,国内现在的网络银行基本都属于第二种模式。
对于银行来讲,历来是“信用第一”。网络银行既然是互联网的产物,互联网所带来的一切安全隐患,自然会波及网络银行,影响其信用。因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。“网络钓鱼”、“网银大盗”肆虐。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中。而网上交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击付款链接时就将用户的银行资料骗取出去。
筑起“铜墙铁壁”
面对发生在网络银行上形形的安全问题,外资银行都采取了哪些安全措施?记者采访了中科院专家王光宇,王光宇说:“中资外资银行都有自己的一套安全防范机制,外资银行不论在软件方面、硬件方面都是领先于中资银行的,硬件上外资银行有一套成熟的IT系统,软件上他们有良好的服务机制和补偿机制。”
如何保证网上银行交易系统的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。为防止交易服务器受到攻击,外资银行主要采取以下几方面的技术措施:设立防火墙,隔离相关网络,一般采用多重防火墙方案;高安全级的Web应用服务器,服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理;24小时安全监控。识别身份是确保网上交易安全的保证,在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。其中USBKey客户证书是一个外形类似U盘的智能芯片,是网上银行的“身份证”和“安全钥匙”,也是目前安全级别最高的一种安全措施。
目前不少电脑都装上了微软最新的vista系统,但国内网银多不兼容Vista,王光宇说:“同样是网银,花旗、汇丰等外资银行网络因为Vista系统而受影响的程度较低,用户只需调低自用电脑上的Vista安全等级,就不会影响网上转账等操作。外资银行有很好的控制风险的实力和能力,即使出现问题,他们也有相对完善的安全防范机制。”记者登录了国内几家银行的网上银行,都没有发现针对Vista系统不兼容现象的任何提示性语句。对于一些电脑知识较为缺乏的用户,如果遇到此类情况,根本不知道原因以及解决办法。记者获悉这种情况最快明年才能解决。
在国外,如果你的信用卡被骗子假冒,造成的损失不是由你承担,而是由银行承担,事实上最终承担损失的是保险公司。外资银行主动为客户承担损失,有很好的补偿机制,但在国内发生类似情况时,银行和用户常常为此而“扯皮”。其实,如果银行方面能够主动承担损失,消费者也就能够“放心安全用网银”了。王光宇说目前国内还没有出台这方面的规定。
技术固然重要,但防范更重要。汇丰银行有关负责人告诉记者,网上银行应用了多种安全防范机制,如CA数字证书、防火墙、入侵检测等多种安全方案,理论上讲是安全的。但这种安全机制主要应用在服务器上,网上银行恰恰疏忽了对客户端的安全防范,目前许多类似于网银大盗的木马病毒都是通过客户端盗取用户账号密码,从而达到其盗取网上银行资金的目的的。目前网上银行最紧要的是考虑如何保证客户端的安全。对个人用户来讲,首先要提高警惕,不要登录不熟悉的网站,不要打开陌生人的电子邮件,更不要轻信即时通讯工具上传来的消息,它很有可能是病毒发出的。安装杀毒软件并及时升级病毒库和操作系统(如Windows)补丁。将敏感信息输入到隐私保护中,打开个人防火墙。对于企业用户来讲,安装杀毒软件和防火墙。加强电脑安全管理,及时更新杀毒软件,升级操作系统补丁。加强员工安全意识,及时培训网络安全知识。一旦发现有害网络的程序,要及时在防火墙中屏蔽它。
中外互补合作共赢
2007年是中国加入WTO全面对外开放的第一年,也是中国金融业全面对外开放的第一年。随着中国银行业的全面开放,外资银行加速布局中国市场,网络银行理所当然地成为中外资银行首先要抢占的市场。王光宇说:“外资银行的网上银行在国外已经比较成熟,具有丰富的开展网上业务的经验,他们不仅技术先进,而且经营管理水平和信誉较高,服务范围广,提供的金融产品多,个性化服务的能力很强。”花旗银行在面向全球客户的“花旗在线银行”的基础上,建立了针对人民币付款的“花旗中国电子银行平台”,并将其作为推进中国市场的核心手段。这无疑将给中资银行带来巨大的冲击,造成一些中高端客户的流失。
网上银行自14年前诞生起就以其方便、快捷和较低成本的优势迅速取代了部分传统银行的柜台业务。据有关数据统计,08年网上银行的资金交易总额已经达到305万亿,占整个银行业务总额的30%。网银用户虽不断扩大,但人们对其安全性的质疑从未停止,有数据显示,近75%的网民认为“对网上银行安全性不放心”是他们不使用网上银行的主要原因。网银同时具有公共网络、通用终端、客户自助三个属性,也正因为此造成了网银安全控制的复杂性。在很多受害者的维权网站上,失窃网民将网银被盗的原因归于银行的安全系统漏洞,而大多数银行则认为,网银密码失窃很多是因为用户保护不周,相信虚假信息或被置入木马后遭窃,银行在应对正确用户名和正确密码时不存在过错。
各打五十大板还是单方责任
谁动了我的网上银行?虽然近一两年,各大银行加强了网银安全性措施,网银失窃案件有所减少,但是用户使用网上银行的疑虑依然存在。
就法律来说,民事案件原则是“谁主张,谁举证”,但大部分网上银行被盗案,储户是无法举证的。90%的网上银行被盗案是因为密码泄露,密码泄露的方式多种多样,比如木马病毒、黑客攻击、电子支付,还有无意识的泄露等。由于无法举证是银行方的责任,储户打赢官司的几率为零。去年,国内首例网上银行盗窃案宣判后原告律师就表示,某银行曾有400多名储户的网上银行被盗,但因无法举证,全部无法索赔。这对于用户使用网上银行或者申请网上银行的心理影响是巨大的。
中国建设银行电子银行部负责人曾表示:“在国外,银行对网银账户申请审批特别严格,各种审查信息也很全面,进入门槛非常高,而国内银行在这一方面的规定却比较宽松,账户申请特别是个人用户账户申请非常容易。”但这些问题并不能作为银行推卸责任的理由。
很多银行推出银行大众版和专业版,大众版只能进行简单的查询功能,牵涉到大额转账、理财等功能需使用专业版。专家认为,使用数字证书能最大程度地提高网上交易的安全系数,到目前还不存在黑客攻破数字证书的先例。不过数字证书也会存在一些漏洞,比如如果数字证书、证书密码、账号、登录密码和支付密码所有这些安全措施被同一个人窃取,也会存在安全风险。数字证书的安装也会存在一定的障碍,应用环境要求比较高。另外下载安全控件也面临下载安全控件以后装不上,或者是有些程序不能使用等问题。毕竟客户不是计算机安全专家。
这些问题导致了用户使用网上银行数字证书或者安全控件的不便,同时数字证书办理还需花费一定的手续费,很多用户认为没有必要,白花冤枉钱,因此不愿意办理,这又增加了安全风险。
在安全问题的推皮球过程中,客户自身的疏忽是存在的,但是处在强势地位的银行显然在网络安全上存在更多漏洞,银行在各种案件中推卸责任是搬起石头砸自己的脚,只会让用户更加愤怒,毕竟用户相比银行来说,永远处在弱势地位,他们被动接受各种软件系统,并且不能完全接收或懂得来自银行的安全信息。
银行宣传与用户理解的割裂
“银行不仅仅是要业务创新、风险控制,还要提高综合管理的水平。”在和讯网举办的2009电子银行高峰会上,银监会创新协作部副主任尹龙说:“客户一方面觉得用网上银行不安全,但是另一方面他们在使用过程中,又缺乏一些基本的安全意识和安全常识。我们综合管理不仅仅要对业务、对风险,还有如何加强对客户的教育,如何加强服务适用性的评判。”
中国科学院研究生院金融科技研究中心主任潘辛平指出,很多安全措施客户不理解,客户不知道支付密码和登录密码要分离,他们还是使用一样的密码。有的银行还使用了上次登录时间、登录地点,但是没有哪一项测评分析过用户是否真正理解上次登录时间地点的含义。这些都是属于教学两张皮,银行从自己的角度出发,他们认为很简单的问题和答案并不能被用户所接受,可是又很少做用户调查,自说自话,难怪很多网民指责银行店大欺客。
当然,很多银行已经开始进行新的突破,民生银行在网银安全方面打破了一些固有的出现问题再补救的思路,进行主动监控,防微杜渐。其电子银行部某负责人说:“民生银行前不久推出钓鱼网站主动监测服务,实时监测互联网上存在的与民生银行相关的钓鱼网站、假冒网站、与民生银行合作的电子商户以及通过第三方支付平台链接的商户。我们发现这种方式收效非常好,主动地寻找问题,比亡羊补牢要好的多。”据记者了解,民生银行还在国内首次针对借记卡客户构建电子银行交易风险监控系统。
