網絡銀行安全性的全面規制探索

章葉英

【摘 要】 網絡銀行在轉變社會經濟運作模式的同時，也帶來了信息安全問題，必須全面規制網絡銀行的安全性。文章分析了網絡銀行的發展現狀，對網上銀行安全問題進行了闡述，提出了安全技術建設和法律制度規制的保護策略，全面地探索了技術與規制兩方面內容，對建立安全有效的保護機制，提升網民對網銀的使用信心有一定的借鑒作用。

【關鍵詞】 網絡銀行； 安全性； 規制

網絡銀行的出現，在很大程度上轉變了社會經濟的運作模式，而在新的運作模式過程中往往會出現信息便利所帶來的危害，這種危害性主要體現在計算機操作的不嚴密性上，犯罪分子就會從這種不嚴密中找出可乘之機，進行經濟信息犯罪，而且這種犯罪方式往往很難查證，為銀行和網絡銀行客戶帶來嚴重損失。為此，國家必須正視網絡銀行的信息安全性，對網絡銀行的安全性進行全面規制。通過強制性力量對信息資源和信息工具使用進行法律調整和規范，從而限制非法的、偶然的和非授權的信息活動，以支持正常的信息往來。

一、網絡銀行的安全性問題

（一）網絡銀行的發展與安全性需求

雖然目前各銀行的網上銀行都具備符合標準的安全系統及措施，以確保客戶權益能得到充分保障。但還是有經濟犯罪發生，而這種犯罪情況一旦有報道就對網銀用戶的心理產生極大的負面影響。通過問卷調查顯示：超過60.5%的網民有虛擬財產被盜的經歷，超過50%的消費者不信任網上支付的用戶名和密碼機制。對安全性的顧慮成為目前阻礙網上銀行發展的重要瓶頸。自2004年以來，國內發生的“假冒網站”、“網銀大盜”、“快樂耳朵”等事件，使網銀用戶對網上銀行的誤解更深，導致他們不敢放心大膽地使用。中國金融認證中心（簡稱CFCA）也曾經多次發表聲明，以證明銀行在保障網上銀行資金交易安全上做足功夫，不僅采用了防火墻、防病毒產品等安全的物理手段，并且絕大多數都使用了第三方安全認證機構頒發的數字證書，以確保交易雙方身份的真實性和交易信息的私密性。但是任何防范措施都需要有實效來證明，網民相信的往往是交易的安全結果，所以進一步提升網絡銀行的安全防范技術和法律規制是目前的頭等大事。

（二）網絡銀行存在的安全問題

1.網站的安全性。網站是進行網上交易的主要虛擬場所，在網站環節進行犯罪的活動往往會用軟件竊取密碼進行非法資金轉移，使客戶的密碼設置形同虛設，以往出現的“假冒網站”活動就是利用了網站的密碼不安全因素進行非法竊取行為，使得客戶的利益受到損害，因此網站的安全問題不容忽視。

2.交易信息傳遞的安全性。由于互聯網的虛擬性，資金在網上劃撥， 客戶與銀行在進行交易時，大量經濟信息就會在網上進行傳遞，從而出現傳遞安全問題。而傳遞的主要手段是依靠鍵盤進行信息輸入，在輸入信息的過程中，鍵盤反應往往與遠端信息聯系，犯罪分子就會利用這種方式來竊取交易信息，進行非法資金轉移。在以網上支付為核心的網上銀行，電子商務最核心的部分包括CA認證在內的電子支付流程，這種支付流程并沒有在我國形成統一規范的法律保證、認證系統。另外，我國銀行卡持有人安全意識較弱，不注意密碼保密， 也就有可能使數字證書等機密資料落入他人之手，從而直接使網上身份識別系統被攻破，網上賬戶被盜用。用戶和銀行之間通過互聯網傳遞的信息是實現交易的基礎條件，如何確保不被第三方知道，是網上業務安全進行的一個重要前提 。

3.制度層面上的安全性。我國網上銀行法律規制存在不完善，任何非法行為的控制都需要有法律做限制，但是對于網上銀行犯罪來說，其犯罪證據很難收集，出現問題之后，犯罪記錄、犯罪嫌疑人的追查都十分困難。法律法規的不完善使得犯罪分子的作案行為更為暢快，無形地影響了安全問題的控制。另外，國家也必須設立專門的網上銀行安全保障系統，投入資金和人力進行網絡規范化管理，這也是當代社會必須面對的問題 。

二、網絡銀行安全的技術規制

（一）網絡入侵檢測系統

網絡入侵檢測系統（簡稱“IDS”）是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在于IDS是一種積極主動的安全防護技術。IDS技術是保護計算機安全的最新技術，可以對網絡入侵行為做出最為快速準確地安全監控。它通過對網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為或被攻擊的跡象。

（二）安全操作系統及安全數據庫

安全操作系統是指計算機信息系統在自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。數據庫的安全性要考慮到網絡環境的復雜性，要對數據庫環境進行分項目管理，每個結點服務器還能自治實行集中式安全管理和訪問控制，對自己創建的用戶、規則、客體進行安全管理。數據庫的安全管理能夠防止網上銀行用戶的信息被修改和篡改。

（三）身份認證

身份認證指能夠正確辨別用戶的各種方法，可通過三種基本方式或其組合形式來實現：用戶所知道的密碼（如口令），用戶持有合法的介質（如智能卡），用戶具有某些生物學特征（如指紋、聲音、DNA圖案、視網膜掃描等）。為了進一步進行網銀的安全認證，計算機可以進行安全通道設置。如：在“安全通信”頁簽中，可以為遠程桌面Web連接的通信通道進行安全配置。如可以選擇“要求安全通道”選項，并且可以選擇“要求128位加密”。這樣就可以對通信過程中的通信通道采用SSL加密，同時對其中的數據也進行128位的加密，對網絡傳輸的數據實現雙重保護。

（四）備份和災難恢復

網絡數據存儲管理系統的工作原理是在網絡上選擇一臺應用服務器（當然也可以在網絡中另配一臺服務器作為專用的備份服務器）作為網絡數據存儲管理服務器，安裝網絡數據存儲管理服務器端軟件，作為整個網絡的備份服務器。在備份服務器上連接一臺大容量存儲設備（磁帶庫、光盤庫）。在網絡中其他需要進行數據備份管理的服務器上安裝備份客戶端軟件，通過局域網將數據集中備份管理到與備份服務器連接的存儲設備上。網絡備份和災難恢復的計算機技術設置可以在網銀非法入侵的情況下，對計算機系統進行最快速度地恢復，保證網絡系統的正常運作，也就提供給了客戶最為直接控制的機會。而備份的設置則保證了對操作數據的保留，為跟蹤和查證提供幫助 。

（五）SSL協議

SSL協議（Secure Socket Layer，安全套接層）是由網景（Netscape）公司推出的一種安全通信協議，它能夠對信用卡和個人信息提供較強的保護。SSL是對計算機之間整個會話進行加密的協議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法，用以保障在Internet上數據傳輸之安全，利用數據加密（Encryption）技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。這樣就可以保證用戶的信息安全更為全面，從鍵盤到會話都能夠全面監控，全面加密，保證了網上交易的安全。

三、網絡銀行安全性的全面規制分析

（一）加快技術更新

如今網上銀行的安全控制技術已經很完備了，但是技術的更新是沒有極限的，為了跟蹤非法入侵者、對網絡交易進行全面護航，網絡安全技術必須不斷更新、不斷創新，以領先的技術優勢來控制犯罪行為的發生。全方位的計算機網絡安全體系結構包含網絡的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。所以要銀行監督管理機構、技術科研機構和銀行加大技術研發力度，共同協作，加強資源共享，不斷創新技術，提高大眾對網銀的安全信心。而先進技術的應用也至關重要，對使用網上銀行交易的客戶應該采取一些強制手段，保證其應用合適的網銀保護系統，這樣就可以避免出現由于客戶的粗心大意而導致的安全問題，可以從意識到技術全面地實現安全保護。

（二）完善法律規制

全面地技術控制對網銀交易的安全作用主要還是以防范為主，而法律規制則是主動出擊行為，網絡銀行的法律規制可以保證非法入侵者和非法資金挪用者受到應有的懲罰。建立其全面地犯罪行為跟蹤系統，對犯罪人員進行嚴懲。另外，法律規制也在很大程度上保證了客戶使用網上銀行的信心，從心理層面解決了網民的網上交易困擾。而對交易雙方而言，法律規制應該從市場準入、經營監管、市場退出和權利救濟四方面著手，規范網上銀行的行為，明確網上銀行和客戶的法律責任，逐漸使大眾的安全意識從技術依賴型過渡到法律信任型。

（三）強化網絡管理

網絡管理包括：配置管理、變更管理、審計與合規和高可靠性控制。網絡管理是從網上銀行設置方的角度出發，旨在將網銀系統、構架、服務等功能進行全面地系統操控管理。網上銀行的管理首先必須設置人為管理員，不能一味地依靠虛擬設施，管理員能夠輕松地管理分散在多個地理位置的網絡，而且不會出現單點故障。另外，管理員也要隨時對各種網絡程序進行安全監控和操作審核，保證網上銀行的服務沒有入侵風險和交易信息被竊取的現象發生。總之，網絡管理要面對日趨復雜的網絡系統環境，隨時調整管理方案，對網絡管理進行統一的資產、配置、操作流程管理與行為審計，制訂并執行統一的安全策略和配置規范，推進網絡安全策略部署和網絡安全管理落實的有機結合，實現管理無漏洞、技術無缺陷。

因此，網上銀行的安全系統是建立在網絡銀行發展現狀和對網上銀行安全問題分析的基礎上的。對安全技術而言，必須要建立起訪問控制、交易控制、SSL協議、身份認證、災難恢復等全面的控制手段，保證對非法入侵的有效防范。對法律法規規制而言，要從實際情況出發，以法律的嚴謹來懲處罪犯，建立起安全有效地保護機制，提升網民對網銀的使用信心。

【參考文獻】

［1］ 孫立祥， 孫學全. 基于網絡安全中的防火墻技術研究［J］. 科協論壇（下半月）， 2009（6）：62.

［2］ 李彥軍， 屠全良， 郝夢巖. 基于中小企業網絡安全的防火墻配置策略［J］. 太原大學學報， 2006（1）：70-72.

［3］ 張曦. 網絡安全技術的探討［J］. 山西財經大學學報（高等教育版）， 2002（S1）：172-173.

［4］ 黃迪. 電子政務網安全技術研究及應用［D］. 重慶大學， 2008：1-60.

［5］ 吳京偉. 大學校園網絡運維體系研究［D］. 合肥工業大學， 2009：1-53.

［6］ 兀俊. ACL訪問控制列表在交易連接平臺上的應用［D］. 復旦大學， 2008：1-54.