網絡銀行面臨的安全問題及其防范措施

一、網絡銀行安全問題的主要表現

網絡技術是把“雙刃劍”，一方面使金融服務便捷、高效:另一方面也使風險更容易積聚，爆發也更快。網絡銀行建立于互聯網基礎上，信息傳遞的私密性、真實完整性和不可否認性都是影響交易安全的關鍵因素。網絡銀行安全涉及客戶的網上信息資料、賬戶密碼、資金與資產等各個方面，同時關系到網絡銀行交易的雙方，其核心是客戶資金與金融資產的安全。

(一)網絡釣魚

網絡釣魚是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件，試圖引誘收信人給出敏感信息(如用戶名、口令、賬號ID、ATM PIN碼或信用卡詳細信息)的一種攻擊方式。最典型的網絡釣魚攻擊將收信人引誘到一個通過精心設計與目標組織的網站非常相似的釣魚網站上，獲取收信人在此網站上輸入的個人敏感信息。近年來，網絡釣魚的犯罪總數呈快速上升趨勢。中國工商銀行曾在互聯網上被克隆，克隆網址為http://www.lcbc.com.cn/，而真正的中國工商銀行網站是http://www.icbc.com.cn/，犯罪分子利用數字“1”和字母“i”非常相近的特點蒙蔽用戶。盡管域名不盡相同，但對許多人來說，這些似是而非的假銀行網站極具欺騙性，行標、欄目、新聞、地址，樣樣齊全。另外還有利用網絡聊天，以網友的身份低價兜售網絡游戲裝備、數字卡等商品，誘騙用戶登錄犯罪嫌疑人提供的假網站地址，并要求他們同時輸入自己的賬號、網絡銀行登錄密碼、支付密碼等敏感信息。用戶一旦輸入真實信息，詐騙者就利用騙取的用戶真實卡號和密碼，制作假銀行卡，在ATM自動取款機上盜取錢款或進行網上支付、轉賬等活動，使用戶蒙受經濟損失。

(二)病毒入侵

電腦上傳統的“沖擊波”、“CIH”等病毒已經退居二線，而一系列包括盜號木馬、僵尸網絡、BotNet、間諜軟件、流氓軟件、網絡詐騙、垃圾郵件等網絡威脅成為新的隱患。和“沖擊渡”、“震蕩波”等惡性病毒大規模發作不同，這些病毒直接以經濟利益為驅動，感染范圍較小、對電腦系統本身的攻擊趨弱。但是對用戶的信息安全影響卻更加直接、威脅更大。如木馬病毒“網銀大盜”對于用戶的計算機程序沒有任何影響，卻專門盜取網絡銀行用戶賬號和密碼，當被感染用戶再次使用病毒所針對銀行的網絡銀行業務時，用戶賬號、密碼和數字證書就會被竊取并發向病毒編寫者的信箱。而其變種“超級網銀大盜”更厲害，能盜取大部分網絡銀行的賬號、密碼、驗證碼等，例如，在網銀服務器內植入木馬程序，竊取帳號和口令。另外，包含間諜軟件、惡意插件和瀏覽器劫持在內的流氓軟件大行其道，它們侵入用戶電腦安裝插件和后門程序，竊取個人信息、欺騙或強制用戶瀏覽某些網站和廣告。

(三)黑客攻擊

近年來，網上“黑客”活動日趨頻繁，規模逐漸增大，組織化趨向明顯，入侵銀行、證券等金融網絡犯罪行為增加，危害國家基礎設施網絡的苗頭和跡象時有發生。隨著網絡和通信技術的發展，越來越多的高新技術被違法犯罪分子所利用，致使其打擊防范難度越來越高。一方面，新的網絡攻擊方式不斷出現，向SOL注入攻擊，P2P即時信息網絡傳播惡意代碼等，當前的網絡安全保護措施尚不能起到有效對抗;另一方面，有效掌握攻擊技術的“黑客”通過互聯網等方式出售技術牟利，不懂攻擊技術的“黑客”通過直接破壞網絡安全“牟利”，二者結合，致使網絡攻擊越來越簡單，許多不懂黑客技術的犯罪分子可以輕而易舉的得手。黑客攻擊的方法和手段不斷翻新，網絡銀行的安全問題面臨考驗。

二、網絡銀行安全問題產生的根源

網絡銀行業務產生及發展過程中的種種跡象表明，目前網絡銀行業務中的整體安全狀況還不盡如人意，眾多有關安全的問題和風險隱患的存在使網絡銀行業務尚未達到其應有的安全狀態。通過研究分析，導致網絡銀行安全問題發生的因素主要表現在以下幾個方面。

(一)網絡銀行系統在技術上存在安全隱患

網絡銀行是傳統銀行業務在互聯網上的實現和拓展。技術實現上是一個Browser/Server結構的web應用程序集。網絡銀行的應用層安全保護措施主要是使用PKI(公共密鑰基礎設施)所提供的安全服務，其中包括認證即身份鑒別機制、訪問控制機制、數據加密機制、數據完整性機制、不可否認機制、審計機制。盡管采取了層層安全措施，但其技術上的安全隱患是與生俱來的，需要長時間的不斷發展和完善。究其原因，一是網絡銀行的3A型特點使它更容易受到攻擊，而且范圍更大，攻擊方法更隱蔽。對傳統銀行而言，攻擊往往發生在內部，影響也是局限在一定區域內或一定的業務品種上，但網絡銀行的黑客攻擊可能來自全球各個角落，內、外勾結更加簡單易行，違規違法操作隨時可能發生。從攻擊的角度看，攻擊者可以通過綜合系統向銀行的各項業務展開攻擊，黑客只要突破了一點，就可能造成整個網絡銀行系統的癱瘓。二是互聯網本身的技術體制存在缺陷。互聯網賴以生存的TCP/IP協議是基于信任主機之間的通信而設計的，本身就缺乏安全機制。當銀行業機構憑借互聯網平臺提供各種服務和產品時，大量的資金和信息均以數據的形式通過各種網絡和設備進行存儲、更改和傳遞，每筆具體的網絡銀行交易的順利實現往往就取決于這些數據在網絡空間中安全無誤的傳輸。倘若數據本身遭到未經授權的篡改和破壞，承載數據信息的網絡系統出現運行中斷或失靈，則網絡銀行業務將無法繼承。這就決定了網絡銀行運作的安全隱患在所難免。三是網絡銀行自身的業務系統在開發、設計、容量、配置與控制等方面存在這樣或那樣的缺陷。使網絡運作出現漏洞。

(二)對網絡安全認識不足，重視程度不夠

從銀行的角度講，受觀念、認識等因素的影響，不少金融機構往往只看重網上金融服務快捷、便利的一面，而對其潛在的安全問題卻重視不夠。究其原因，一是一些金融機構認為傳統的賬戶加密碼的安全機制已足以保證其網絡的運行安全，因而不愿再使用數字證書等更高級別的加密技術。二是認為采用較高級別的防護技術(如數字證書)會占用一定的系統資源，從而導致系統運行速度放慢。因此，為保證網絡運行速度，一些金融機構便降低其安全門檻，放棄或降低防護措施。三是依據現行的法律，銀行對于個人網絡銀行的安全問題，并沒有賠償責任，銀行缺乏采用更高級別安全措施的積極性。

從用戶角度講，用戶的安全意識是影響網絡銀行安全不可忽視的重要因素。VISA卡國際組織發布的調查結果顯示，有85%的網絡銀行事故是由于用戶操作失誤造成的。我國網絡銀行用戶安全意識普遍較弱，如對假冒站點的辨別能力不足，對使用網絡銀行時如何保護自己的賬戶隱私、確保交易安全等方面的了解和重視程度不夠等。雖然多數網絡銀行已經能夠提供數字證書的使用，但事實上，大部分用戶對數字證書的認識模糊，且鑒于數字證書存儲介質需收取一定費用，所以部分用戶不愿購買。CFCA2005網絡銀行行為調查報告表明。在國內網5銀2000多萬用戶中，懂得如何使用第三方數字證書來保護資金安全的用戶尚不足1/3。

(三)網絡銀行監管體系不健全，法制環境不完善

我國的網絡銀行在監管方面還處于起步階段，2001年以前，我國網絡銀行業務的監管沿用的是傳統銀行業務的管理規章，沒有專門的法規和規范性文件。2001年6月，中國人民銀行制定頒布的《網絡銀行業務管理暫行辦法》(以下簡稱《暫行辦法》)是我國關于網絡銀行監管的第1部行政規章。中國人民銀行2005年10月向社會公布的《電子支付指引(第一號)》，主要規范銀行及其客戶之間的權利義務關系，對防范電子支付風險、保障客戶資金安全發揮了積極作用。但是與網絡銀行業務及其法制建設較發達的國家與地區，以及如巴塞爾委員會等國際組織在網絡銀行業務監管問題上所積累的先進經驗相比，我國現行的有關監管法制尚顯稚嫩、簡單和籠統。即使是專門為處理網絡銀行業務監管問題而出臺的《暫行辦法》也停留在比較概括、抽象的層次，其操作性、專業性與細致性均亟待加強。另外，我國的網絡銀行在監管方面還存在著經驗不足、手段不完備、技術落后、監管體系不健全等一系列問題，監管活動明顯滯后于網絡銀行業務發展的需要。

三、網絡銀行安全問題的防范措施

(一)銀行方面要全方位采取有效措施，加強網絡銀行的安全防護

銀行部門作為網絡銀行安全工作的重中之重，需要采取切實措施加強安全管理，建立起一套真正適合網絡銀行的安全體系。首先，建立安全管理組織體系。落實責任人。并加強安全管理部門的力量和權力。完善安全管理規章制度。嚴格貫徹實施。建立業務運行應急計劃和業務連續性計劃，保證即使在不利情況下，銀行仍能對外提供產品與服務。其次，盡量采用高等級安全操作系統，運用多種安全機制來增強網絡銀行的安全性，在運行過程中不斷地檢測各種網絡入侵、審核安全記錄，檢查是否有對網絡銀行構成威脅的漏洞，及時發現并作相應處理等。最后，要大力探索數字證書、虹膜認證、指紋認證等新型安全的認證方式，加強客戶終端的安全。加強銀行之間、銀行與公安部門及反病毒廠商之間的協作與溝通，及時掌握最新的網絡犯罪動態和病毒信息，及時采取有效防護措施。

(二)提高用戶安全防范意識

第一。銀行應持續提醒網絡銀行客戶注意，認可機構本身或其業務伙伴絕不會通過電子郵件要求客戶提供敏感的密碼資料;第二，提供一些方法讓網絡銀行客戶確保他們鏈接的網站為認可機構的正式網站，絕對不要以電子郵件內提供的鏈接方式登陸網絡銀行網站;第三，定期在互聯網上搜尋，以檢查是否有第三方網站的域名可能以假亂真:第四，加強安全使用網絡銀行的培訓和教育。在保護用戶的賬戶隱私、確保交易安全方面，銀行應提供完備的安全防范手冊，盡量在其網頁的醒目位置對用戶使用網絡銀行時如何保護自己的賬務密碼安全等方面進行明確提示，加強對客戶安全使用網絡銀行的培訓和教育。

(三)完善網絡銀行安全的法律體系

影響網絡銀行發展的關鍵因素不是技術，而是營造適合網絡銀行發展的環境。通過電腦對網絡銀行實施犯罪可以來自不同國家，網絡銀行的客戶也可以來自不同的國家。發生糾紛如何確定，案件管轄權以及審判或仲裁的規則如何確定，都應以法律形式做出規定。我國已經出臺了一些有關網絡銀行的法規，但還很不健全。要將散見于不同部門的規定、辦法等政策性文件合理整合，盡快出臺我國網絡銀行法，為網絡銀行提供一個透明、穩定、有效的行為規則，使參與各方有一個穩定和安全的預期，提供一個和諧統一的法律環境。要不斷補充我國刑法上銀行計算機犯罪種類，懲罰網絡銀行犯罪條例。加強與國際刑警組織以及世界各國金融司法部門的聯系和磋商，制定共同打擊網絡銀行犯罪和調控網絡銀行業風險責任承擔的國際條約，確保網絡銀行業的順利發展。