再議網上銀行的風險與防范

［摘要］隨著中國互聯網的高速發展，使我國網上銀行業務進入蓬勃期，網上銀行支付業務越來越受到網民客戶的青睞，同時網上銀行支付是否安全可靠也引起各方的疑慮，本文就網上銀行業務風險防范問題行文論述。

［關鍵詞］網上銀行互聯網內控制度

隨著中國電子商務的飛速發展，使中國網上銀行業務開始進入蓬勃發展期。網上銀行支付的快捷方便，影響著人們的生產方式和生活方式，越來越廣泛地被大眾所接受。但是網上銀行支付是否安全可靠成為眾多客戶的擔憂，影響著網上銀行的信譽及發展。因此，我們必須認真剖析、深入研究網上支付案件的成因及對策。

一、網上銀行發展現狀、案件種類及特點

網上銀行支付是銀行金融服務的發展和創新，網上支付的目的在于減少銀行成本、加快處理速度、方便客戶、擴展業務等，使客戶可以在任何地方、任何時間通過互聯網獲得銀行的支持服務，而無需到 銀行的傳統營業柜臺辦理支付，從而給客戶帶來支付的便利。然而，網上銀行業務的發展是建立于互聯網技術基礎之上的。近年來，由于我國互聯網業務的普及和發展，我國網上銀行由2001年200多萬用戶，幾年間網上銀行客戶數發展達6900萬左右，網銀交易額約140多萬億。中國銀行是最早在互聯網上建立和發布自己主頁的銀行，成為我國第一家在互聯網上發布信息的銀行。隨之中國銀行、招商銀行開通網上銀行服務，再后工商銀行、建設銀行、交通銀行、光大銀行以及農業銀行等也陸續推出網上銀行業務，發展到現在幾乎所有的銀行都開通網上銀行業務。查歷史數據，我國根據CNNIC歷年調查數據顯示，截至2007年底，超過85%的網民選擇網上支付作為付款方式，網上支付已經成為最為普遍和最受歡迎的網上購物付款方式。雖然目前我國網上銀行業務在整個銀行業務交易金額中的比例僅為5%-7%。而世界銀行預測，在未來幾年，中國網上銀行業務量占銀行業務量比重將達20%左右。可見，我國網上銀行產品將從投入期進入發展期，市場發展潛力巨大。同時網上支付安全問題，也給網民

客戶帶來風險的困擾。網上支付案件屢見不鮮，頻繁發生歸納起來主要有四類：

1.木馬病毒黑客類

木馬病毒利用安全軟件其他程序加載輸入法文件的特點進行“注入”攻擊方式，可以使大部分安全軟件失去作用，最終令計算機訪問黑客指定地址，下載大量木馬病毒到用戶電腦中進行盜號和破壞操作。

2.假網站類

不法分子往往利用與網絡銀行相似的網址、相同的網頁，制造虛假網站，騙取銀行客戶的銀行卡號和密碼。所以在登錄網絡銀行辦理業務時，定要認清銀行的合法網址，并正確輸入。

3.網上銀行信息泄漏類

騙徒通過網絡聊天或通信設備騙知網銀用戶名、密碼等個人身份識別信息。

4.利用網上支付或繳費等功能盜取資金類。

其特點：

（1）與證書相關的案件明顯增多。尤其以利用木馬病毒黑客技術等盜取文件證書的案件發生得最為頻繁。

（2）通過網上支付等功能盜取資金的案件增多。

（3）集團式犯罪增多。網上銀行案件向集團式、大額方向發展，這種集團式作案組織嚴密、分工明確，盜取到的資金金額巨大，給社會造成了嚴重的不良后果。

二、網上銀行案件發生的成因

1.電腦中未安裝殺毒軟件，或未對殺毒軟件經常進行升級；

2.使用的是文件證書，或者未對證書進行妥善保管；

3.登陸網銀時沒有仔細辨認網站真偽；

4.沒有良好的保密意識，輕易將卡號、口令及其它信息透露給他人；或沒有主動防范的意識，被他人偷窺個人資料；或沒能妥善保管與網上銀行相關的資料或證書載體；

5.與數字證書相關的各環節出現紕漏

首先，在數字證書的申請過程中，用戶對于個人資料的保管不善使得他人有機可乘；其次，他人可以冒充用戶身份開辦數字證書，利用網銀盜取大額資金；再次，用戶在使用環節中的大意也容易形成被他人攻擊的突破口，例如將證書的密碼輕易透露給他人，證書的存儲介質未能妥善保存，讓不熟悉的人接近存放證書的計算機等等。

三、網上銀行的風險防范

1.銀行要建立良好的網上銀行風險管理體系。要研究網上銀行自身特點，作好事前分析與防范工作， 完善組織機構和管理制度，制訂一整套自上而下的風險管理組織機構和管理規章制度。在銀行內部控制上要做到：

（1）各項業務操作全過程必須遵守的規章制度和操作規程；

（2）業務管理部門要建立業務管理、專業檢查和業務輔導以及事后監督制度；

（3）加強稽核、內審監督和紀檢、監察部門的檢查監督。

（4）建立網絡風險審計中心和網絡風險預警系統。

2.注重利用先進、成熟的技術手段

充分利用當前先進、成熟的技術手段， 在軟、硬件設備方面縮小與發達國家的差距， 提高關鍵設備的安全防御能力。進一步搞好網絡銀行系統的基礎建設，靈活使用現代網絡技術。

（1）防火墻技術；

（2）防病毒技術，防重于殺，及時更新殺毒軟件版本及病毒庫；

（3）防木馬技術，切斷木馬的植入路徑，定期進行木馬掃描與清理，阻斷木馬信息向外發送；

（4）密鑰加密技術，保證信息的私密性，要對網上傳輸的信息進行加密，使未經授權者無法了解信息內容。建立并使用入侵檢測系統（IDS），將IDS置于防火墻或網關后，像網絡窺探器一樣捕獲所有內傳或外傳的數據包。利用IDS監視數據。定期對網絡銀行系統進行安全漏洞的偵查掃描。在各銀行網絡銀行用戶處部署安全代理客戶端及安全硬件模塊(Usb Key)。

3.建立電子簽名及認證制度

《電子簽名法是2004 年8 月在我國推出的，首次賦予符合一定條件的電子簽名具有法律效力，并確立電子了電子簽名的規則。然而界定安全的電子簽名，關鍵要確立有權限的認證機構。需要具有權威性和公正性的第三方來完成，為網上交易建立有效、可靠的保護機制。

4.建立分級授權內控制度

在內控制度建社方面，要建立立分級授權制度，以加強業務過程審計力度。主要從下列內容進行：首先在業務審計中，審核與監督要貫穿網上銀行業務操作與管理的各個環節，既要有非現場的事后集中檢查與監督，又要有現場實時在線檢測與監督，這是防范操作風險和道德風險的可行措施。其次在網上轉賬方面，要建有限制制度，對賬戶性質、資金流動等內容加以限制。再次在交易額方面，要確立交易額限制，即不同品種的單筆交易額，對當日累計交易額應確立限制。

5.個人網上銀行風險防范措施

首先，銀行客戶切勿使用電子郵件內的超連結、可疑的突現式視窗或網上搜尋器登入網上銀行帳戶。當需要瀏覽銀行的網站時，客戶應在瀏覽器的網址輸入有關銀行的網址，避免進入“假網銀”。其次，客戶應安裝個人防火墻軟件及防電腦病毒軟件，并定期下載與更新，以有效防范木馬與病毒對終端系統的攻擊。再次，保管好密碼等個人身份信息，不要將用戶名、密碼等個人身份識別信息透露給其他人，建議不定期地修改網上銀行相關密碼。第四，養成良好的操作習慣操作完畢后或暫離機器時，及時退出網上銀行，并立即從計算機上拔下移動證書并妥善保管。

參考文獻：

[1]張寬海: 網上支付與結算北京高等教育出版社2007

[2]黃濤: 中國電子商務及其網上支付瓶頸初析 計算機科學 2008

[3]楊堅爭: 編著 電子商務安全與電子支付機械工業出版社

[4]王道軍:淺談網上英航風險防范和控制策略