淺析網上銀行存在的安全風險及防范措施

■董萍萍 中國建設銀行東營分行

網上銀行是在互聯網普及的社會大背景下產生的一種新型銀行運營模式,因其高效性、便捷性、安全性受到了銀行新老客戶的青睞。網上銀行的快速發展則需要其安全性的保障，網上銀行安全性對我國經濟發展有著重要意義。

一、網上銀行基本概況及特點

20世紀90年代中期，隨著因特網的普及應用，商業銀行開始了網絡服務方式并且得以快速發展壯大，銀行經營方式也隨之發生了巨大變化，至今已成為商業銀行發展過程中不可或缺的一部分。我國網上銀行的發展始于1997年，招商銀行率先推出網上銀行，隨后中國工商銀行、中國建設銀行、交通銀行、中國銀行等也紛紛開通網上服務業務，自此網上銀行在我國發展開來。網上銀行不僅提供開戶、銷戶、轉賬、網上證券、投資理財等傳統銀行業務，還產生了新的金融服務項目；包括電子商務的相關業務和企業銀行為首的新型金融創新業務等。

與傳統銀行相比，網上銀行的突出特點主要表現在交易時間短、交易成本低、交易靈活性強、客戶群體更加廣泛等，但其中最重要的特點就是它的快捷便利。其他方面則包括：

1.3A服務：即不受時間、空間限制，能實現隨時(Anytime)、隨地(Anywhere)、用任何方式(Anyhow)的網上支付功能

2.有效的結合了當前蓬勃發展的電子商務

為電子商務中的在線電子支付和轉賬等提供技術支持。例如，類似淘寶的商戶對客戶（B2C）模式購物，而且支持類似阿里巴巴的商戶對商戶（B2B）模式的網上采購等業務。

3.金融服務和管理的電子化，數字化

傳統銀行柜臺業務辦理所需的各種票據、票證、賬單、交易記錄等全面電子化，手寫簽名也實現了數字化簽名。

二、網上銀行存在的安全風險

網上銀行作為實體銀行的一種虛擬服務方式，具有高技術性、瞬時性和開放性等特點，這導致其運營風險的增加和安全性能的降低。另外，現有的技術水平和立法制度也不盡完善，這些缺陷都導致了網上銀行安全問題的日益嚴重。

1.銀行網站中存在的安全風險

網上銀行內部系統的不完善，使得監督和管理系統未能充分發揮其作用，由此導致銀行內部風險的產生。最常見的內部風險包括：

（1）由于技術人員的工作失誤造成系統運行出現故障。

（2）工作人員違法相關的法律規定，利用客戶的賬戶進行違規投資，再出現風險之后將風險轉嫁到客戶身上。

（3）內部人員管理系統的不完善，各部門之間權利義務不清晰的現象，從而產生了內部操作風險。

2.用戶安全防范意識較低

其主要表現是過于輕信別人，導致自己的賬戶用戶名以及密碼的泄露。一些違法亂紀份子，通過短信、電話或者是郵件等多種方式，利用現階段網上銀行使用普遍的現狀，通常會謊稱自己是銀行工作人員或者國家監管部門工作人員，并告訴客戶客戶中獎或者是由于各種原因導致客戶的資金被凍結，進而誘騙客戶提供出自己的卡號以及密碼，對客戶的資金進行竊取。而且由于客戶的防范意識低以及詐騙手法多種多樣，導致客戶上當受騙的現象經常發生。

3.客戶端具有一定的安全隱含

造成客戶端存在安全銀行的問題主要是由于客戶端系統本山可能存在漏洞以及用戶使用習慣這兩方面的原因，如果客戶端系統在開發設計上存在著安全隱患，那就容易造成信息的泄露。此外，如果客戶在使用客戶端時，不夠注意在網吧或者公用計算機上進行操作，則會使得數字證書等重要信息泄露。

4.密碼設置中存在的安全風險

密碼設置過于簡單，容易破解或不注意保密。這也給不法分子破解賬號、密碼提供了方便。

5.網絡通訊的安全性

因為互聯網的開放性，客戶在網上傳輸的敏感信息(如密碼、交易指令等)在通訊過程中存在被截獲、被破譯、被篡改的可能。

三、針對網上銀行安全風險的防范措施

1.用戶自身采取的安全措施

（1）下載安全防護軟件。一般來說，系統自帶的保護軟件不能解決所有的網絡安全問題，因此客戶需要下載額外的安全防護軟件，以此來保護個人網絡信息。

（2）注意保護重要的私人信息。①確認網銀運行的網站是安全的，警惕釣魚網站。②在網絡中傳輸敏感信息時，要注意加密保護。③不要在公共電腦上使用或存儲個人網上信息。

（3）選擇可信賴的交易網站。用戶在進行網上交易的時候，應選擇可信賴的或比較大型網站，以保證交易環境的安全性以及交易對象的真實性。

（4）設置安全的密碼。一個安全有效的密碼應該是比較長并且包含數字以外的其他字符或符號。另外，把個人賬號和密碼寫下來或存儲在電腦里也是不可取的。

（5）從正規網站下載應用程序。盡量避免在不熟悉的網站上下載電腦程序，因為這些下載程序上有可能保定了木馬病毒或惡意插件；另外，不要隨意打開網站自動跳出不知名的網站鏈接或附件。

（6）定期查詢網銀交易記錄。網銀用戶定期查看“歷史交易明細”、定期打印網上銀行業務對賬單，如發現異常交易或賬務差錯，立即與銀行聯系，避免損失。

2.銀行采取的安全防范措施

為了更好地服務廣大客戶，保護網上用戶的個人信息安全，銀行機構采取了以下幾種防范措施：

（1）網銀系統安全性測試。網銀系統屬于應用系統，對于應用系統而言，安全性能測試是十分重要的一個環節。

（2）加強對銀行內部業務工作人員的培訓與監管。對業務人員進行嚴格培訓，使其具備良好的職業道德。同時，規范系統的操作和管理權限,明確分工，設置合理的權限和職責。

（3）提供安全的網絡交易環境。為保證網銀交易環境的安全性，銀行需定期進行技術升級。包括：①設立防火墻，分隔互聯網與交易服務器以及交易服務器②高安全級的Web應用服務器。

（4）手機動態密碼。當客戶登錄網上銀行時，系統將向客戶綁定的手機發送一次性動態密碼，客戶在規定時間內輸入此密碼完成第二重驗證，保證了登錄系統的安全性。

（5）動態軟鍵盤。動態軟鍵盤可以有效地避免用戶密碼在輸入過程中被檢測，而且由于數字是成動態顯示的，每次登錄時數字在軟鍵盤上的位置顯示位置不同，因此可以有效的避免密碼被記錄竊取。

（6）動態口令卡。使用動態口令卡，實現了網上銀行登陸的三重防護，只有正確的輸入銀行卡卡號、用戶密碼以及口令卡密碼，才能登陸網上銀行，因此隨機變化的動態口令卡可以有效的保護客戶的資金安全。

（7）USB Key證書。USB Key是一種先進的網上銀行數字簽名工具，通過USB Key證書這一專用性的U盤，將網銀證書存入其中，而且無法向其中存入其他信息，因此既不會攜帶傳播病毒，同時也可以確保客戶賬戶的安全可靠。此外，由于這種專用性的U盤中的東西無法向外拷貝，因此能夠有效的避免木馬程序對于用戶信息的竊取。

（8）客戶端密碼安全監測。由于現階段大部分銀行都會提供客戶端的密碼安全監測，因此能夠通過安全監測隊用戶密碼的安全程度進行相應的評價分析，同時對于存在安全銀行的客戶，會由客戶端密碼安全監測系統做出相應警告提示。

目前，網上銀行已經成為銀行業務的主要內容，同時也是銀行經營發展的大勢所趨，對于拓展隱含的也無法為，降低銀行的經營管理成本具有非常重要的作用。因此，為了確保銀行網上銀行業務的進一步推廣，必須做好網上銀行的安全問題，只有確保網上銀行的安全可靠，才能保護客戶的身份信息安全，避免各種利用網銀違法發罪行為的出現，進而為客戶提供安全、便利以及快捷的銀行服務。