關于我國網上銀行安全建設的幾點建議

楊經偉

[摘要]網上銀行以其基于先進的IT技術所帶來的效率的提升和更加便捷的用戶體驗，贏得了市場的一致好評，其比重在銀行業務中也呈逐年的上升趨勢。由于銀行和用戶通過Internet進行信息的交互，也使得該項業務存在巨大的安全隱患。近年來針對網上銀行的犯罪行為愈發嚴重，并引起了大量的糾紛，成為了監管部門、銀行、司法部門所共同面臨的一個棘手問題。本文首先對“網銀安全”的威脅和來源進行分類定義，并對當前的監管和司法保護中的不足進行分析，最后筆者分別從司法、監管、人才培養等方面給出了相應的建設意見。

[關鍵詞]網上銀行安全、系統工程、法律保障制度、消費者權利

[中圖分類號][C94]

[文獻標識碼]A

[文章編號]1672—5158（2013）05—0484—02

1研究背景

隨著信息技術的迅猛發展，信息技術帶來的效率的提升和用戶的便捷體驗，得到了各行各業的一致認同。網上銀行就是一種基于網絡通信等IT技術的杰出產品，在市場上得到了廣泛的好評，業務份額不斷擴大。在我國，自從招商銀行于1998年開通了國內的第一項網上銀行服務以來，各大銀行也隨后推出了各自的網上銀行業務。由于網購業務模式的流行，網上支付已經成為了最為普遍和最受歡迎的網上購物方式。于此同時，針對網銀的資金安全事件也呈陜速增長趨勢。2011年1月，不法分子利用中行動態E令的漏洞盜取普通用戶近億元。“安全”已經成為了廣大網銀用戶最關心的問題，并對用戶通過網銀進行交易的積極性造成了極大的負面影響，成為了威脅網銀發展的一大毒瘤。能否為普通的用戶提供一個安全的使用環境，已經成為了一個制約網銀業務持續、健康發展的重要因素，也是當前的監管部門、銀行、司法部門需要正視的一大難題。

2網上銀行的安全威脅和應對重點

2.1網上銀行面對的幾種主要的安全威脅

在計算機領域中，網絡攻擊的定義為網絡攻擊者利用目前網絡通信協議（如TCP/IP協議）或操作系統自身存在的或因配置不當而產生的安全漏洞，未經授權非法進入本地或者遠程用戶主機系統，非法獲得、修改、刪除用戶系統的信息等一系列過程。當這種犯罪行為染指網絡銀行業務時，就演變為了針對網絡銀行的犯罪。以下列出幾種常見的針對網上銀行的攻擊方式：

（1）病毒入侵

電腦上的沖擊波等以破壞感染主機系統為目的傳統病毒已經成為過去，而以盜取用戶信息為目的的盜號木馬、間諜軟件、流氓軟件等網絡威脅則成為了當前的主流。傳統的病毒以破壞宿主的計算機，致使其系統崩潰為目的。而當前的病毒則具有了更加明顯的趨利特征，它們主要是隱藏在用戶的計算機中以盜取用戶的重要信息，并不對系統進行破壞。由于這些病毒以盜取用戶的信息獲取經濟利益為目的，對電腦系統本身的攻擊大大弱化，甚至對系統本身不構成任何危害。像網上銀行這種能為其帶來明顯的經濟收益的“獵物”，自然成為其作案的主要對象，近年來針對網上銀行的木馬病毒幾乎爆炸式的增長就是一個很好的佐證。

（2）黑客攻擊

近年來，網上黑客活動日益頻繁，規模逐漸增大。開始不斷出現專業的黑客組織入侵銀行、證券等金融網絡進行違法活動。這些侵入的黑客，常常具有較高的信息知識素養，能夠熟練的使用漏洞掃描、數據包嗅探、Root-kit技術等技術手段入侵到保護措施薄弱的客戶端，從中盜取用戶保密信息和密碼。可以想象，如果黑客能夠成功的獲得用戶的賬戶和口令信息，那么用戶的賬戶安全將會受到很大的威脅。

（3）網絡釣魚

網絡釣魚攻擊（pohisbkN attacks）是常見的攻擊手段，釣魚攻擊者通過郵件、短信等渠道發送一個看似合法網站的鏈接誘騙用戶。這種郵件為了所渭的“更新安全性”，騙取用戶對該郵件的信任，并要求用戶在指定網站的表單中輸入相關賬戶信息，引誘收信人給出敏感信息，如用戶名、賬號、密碼等詳細信息。當用戶誤以為是銀行的合法表單填人信息并提交后，這些收集到的信息將被轉發給攻擊者，進而導致用戶網上銀行賬戶的損失。

2.2網上銀行安全建設的應對重點

筆者認為，目前用戶的防范意識和銀行網銀系統的安全性，可以被形象的理解為兩座攔洪壩，都是為了保護下游的農田，這個農田可以被形象的理解為用戶的賬戶。當山洪來襲時，其中的任意一個攔洪壩只要足夠堅固，都可以成功的把洪水隔離隔離在下游的農田之外。山洪來襲時，總會先沖擊第一道攔洪壩，再沖擊第二道攔洪壩，第一道攔洪壩會為第二道攔洪壩分擔一定的沖擊力。但現實是，這第一道攔洪壩，也就是廣大的網銀用戶，一般是缺乏防范意識，甚至有些是毫無防范意識的。可以說第一道防洪壩的抗洪能力極其的脆弱，不得不主要依靠第二道防洪壩發生效用，如果第二道防洪壩不夠堅固出現了缺口，那么農田就會面臨著被淹沒的危險。所以在保護用戶賬戶安全的過程中，主要還得依靠具有資金、技術優勢的銀行。銀行要建立起足夠堅固的大壩來保護普通用戶的權益，定期的對其大壩的缺口進行修復。這種對大壩的修復動力不能僅靠自覺，它應該來自于市場的刺激、監管部門的壓力和銀行對其自身利益的維護，筆者于此專門在保障現狀和建議中有所針對的進行了討論。

3我國當前的網上銀行保障現狀及不足

3.1監管領域

（1）監管現狀

我國的銀監會成立之前，中國人民銀行負責商業銀行的集中監管，包括開業審查和批準以及日常經營等。在2003年銀監會成立以后，開業審查和批準的權限劃歸銀監會，同時中國人民銀行內的有關監管機構也轉移到銀監會下。由于中國人民銀行在全國支付核算體系中處于核心地位，在業務上與商業銀行有著天然的各種聯系，因此，對我國網上銀行的風險監督仍有賴于銀監會和中國人民銀行之間的合作。目前，我國網上銀行業務受到兩個部分的監管：業務主管部門

銀監會和信息主管部門

信息產業部。在宏觀監督體制的設置上，為分業經營、分業監管的體制。

（2）現行監管的不足

a）對網上銀行監管意識上的滯后性

在傳統的金融范疇中，我國銀行監管本生就存在著滯后性，主要以事后調節為主，計劃性、強制性的指導為主，真正帶有前瞻性的宏觀調控不是很強，特別是面臨網絡化發展的時期，其監管意識還是相對滯后。

b）網上銀行的監管體系尚不完善，監管制度尚不健全

網上銀行的監管基本延續的是機構監管和傳統業務的管理模式。監管工作的針對性不強。網上銀行的活動雖然設計銀行業務的方方面面，但都是在一個平臺上運行，密切關聯。按機構和業務劃分的傳統監管模式，已經無法適應網上銀行業務“無縫”運行的特點。

c）監管實效有待提高，綜合風險控制能力有待加強

在日常監管方面，由于缺乏必要的規章，監管人員缺乏必需的技能和業務知識，檢查工作很難落實在實處。

3.2司法保護

本文的司法保護主要是從與網絡銀行相關的兩個司法領域進行探討：1.網上銀行的犯罪與偵查；2.網上銀行消費者權益的保護。

（1）當前我國在網上銀行犯罪偵查中的不足

不同于一般案件的偵查，網絡犯罪所具有的智能性、隱蔽性、跨地域性以及罪證易被篡改、銷毀等特性，網上銀行犯罪也都具備。對偵查此類案件的人員提出了更高的要求，實踐中偵查機關常常面臨相關法律法規不健全、犯罪證據難以收集與固定等問題。

（2）網上銀行消費者權益保護的現狀和不足

本文在網上銀行安全建設的應對重點中已經提到，銀行對網銀系統的安全建設動力不僅該依靠其自覺，還應該來自于監管部門的壓力、市場的刺激和對自身利益的維護。網上銀行消費者權益保護的進步，可以有效的放大市場的刺激作用以及銀行對其自身利益的維護作用，為網上銀行的安全建設注入更為強勁的動力。

在2003年12月27日通過的《銀行業監督管理法》在第一條針對消費者保護做出了以下原則性的規定：“為了加強對銀行業的監督管理，規范監督管理行為，防范和化解銀行業風險，保護存款人和其他客戶的合法權益，促進銀行業健康發展，制定本法。”雖然該法在第三章“監督管理職責”中隊銀行業監督管理機構的職責作了系統的規定，但是該章沒有一個條文涉及到銀行業消費者權益的保護問題，對銀行業監督管理機構在消費者權益保護問題上的職責規范不夠明確。

4對網上銀行安全建設的幾點建議

筆者認為網銀系統的安全建設不應該僅僅依靠銀行的自覺，監管部門、司法部門所帶來的壓力和刺激，所產生的敦促作用，才是銀行不斷對其系統進行改進的強大推動力。針對網上銀行安全現有保障的不足，本文將就消費者自身防范素質提高、監管思維、法律建設、專業人才等問題，提出以下幾點建議：

4.1強化網銀客戶的風險防范意識，規范使用網銀

本文前面提到網銀安全的風險很大一部分來源于網銀用戶薄弱的風險意識和相關知識的匱乏。在利用消費者自身防范意識薄弱的網銀犯罪中，其技術手段并不高級，普通的網銀用戶只需提高警惕和具備一定的網銀安全防范知識，就可以完全避免受到侵害。例如就針對工商銀行網銀的釣魚網站（www.1cbc.com.cn，現已被查封）而言，如果用戶提高警惕并具備域名判別知識，就可以很容易的發現其與（www.icbc.com.cn，中國工商銀行官方網站）的域名不同，這樣用戶就可以輕松的邁開此類陷阱。作為具有技術優勢的銀行應該主動肩負起培育市民網銀安全意識的使命，履行揭示和告知網銀風險的義務，指導客戶有效防范風險，提高用戶對個人信息管理的安全意識。

4.2培養事前預防的思維方式，加強網銀系統的安全建設

監管部門和銀行都應該轉變其現有的事后改進的思維方式，化事后為事前。由監管部門出面制定出一套詳細的網銀系統安全性的評估體系，并以此作為標準對銀行的網銀系統進行評估。考慮到網銀作為一種基于web的新型銀行業務，傳統的監管部門進行評估時在技術方面可能會顯得力不從心，可以考慮引進第三方專業機構的方式對各個銀行的網銀系統進行評估。對安全評估不合格的網銀系統，要責令其整改，以改進、優化其現有的系統，盡可能的減少系統對外暴露的漏洞。通過設立這樣一種控制機制，可以強化銀行防范意識，在系統漏洞尚未遭到利用之間就積極的進行改進和預防，以降低將來系統漏洞暴露后所面臨的巨大風險。

4.3完善網銀管理辦法，促進相關法律出臺

目前已經出臺的的《中國人民銀行法》、《商業銀行法》、《銀行業監督管理法》和銀監會出臺的《電子銀行安全評估指引》、《電子銀行業務管理辦法》等法律規章都賦予了監管部門很大的監管權力，這些權利的適當應用將能有效的保護消費者的利益。但從目前有關網銀服務的監管現狀來看，網銀業務的監管現狀并不理想。一些規定變成了一紙空文，并沒有得到嚴格的貫徹實施，并沒有對開設網銀業務的銀行產生足夠強大的約束力。所以后續的網銀管理辦法也應該加強對監管部門履行職費『青況的績效評估，督促監管部門嚴格履行相關法律。

4.4建立一流的監管技術設備和高素質人才庫

網絡銀行作為一種基于先進的IT技術而產生的一種新業務，傳統的監管，無論是在監管的模式還是在監管的技能方面都已經無法適應。只有擁有高技術軟硬件設備的條件下，才能談得上對網絡銀行業務的有效監管；同時，必須儲備一支高素質的隊伍，才能有效的應付現代化程度高、傳統金融業務比重較小的網絡銀行業務。應加強對現有監管人員的技術培訓，強化其對lT技術的理解，同時適當從外部聘請專門人才，以確保監管者能跟上不斷更新變化的IT技術的發展。這個精心培養的人才隊伍，將是監管工作開展的基礎和核心力量，他們的知識、技能水平將會極大的影響到監管的效果。復合型人才的需求信號要能夠切實的傳達給高校的學生，使一些財經院校能夠充分的發揮其學生的特長，有針對性的為國家培養出既懂計算機又具備金融知識的復合型人才。

4.5完善相關法律、規則，加強對網銀消費者合法權益的保護

當前的網銀監管過于偏重原則、內容薄弱、體系零散，在實際的監管事務中存在著可操作性不強的缺陷。下一步的發展中，相關的保障法律應該集中于一些具體細節，對“網銀實務”中暴露出的問題，進行針對性的控制和解決，以使得既存的原則框架具有更高的可操作性，同時也能有效的降低監管成本。盡管電子銀行業務管理辦法》在業務外包管理、風險管理中對網上銀行消費者權益的保護問題有所涉及，但是仍然需要進一步的細化。

5結論

網上銀行以網絡通信等IT技術為基礎，向用戶提供方便、快捷、低成本的金融服務，并逐漸贏得了廣大網民的青睞。但也因其涉及賬戶信息和現代信息技術的虛擬性、風險大等問題，使得網上銀行的安全建設變得尤為的重要。能否為普通的網銀用戶營造一個安全的使用環境，已經成為了監管部門、司法部門所急需解決的問題。

筆者認為網上銀行的安全建設是一個監管環境、法律環境、人才環境、消費環境、消費者自生素質、網銀系統共同強化和完善的過程。各個方面的建設情況相互影響、相互制約，只有通過法律的完善、專業人才的培養、消費者利益的保護和消費者自身防范意識的提高，才能為網上銀行業務營造一個安全、健康的交易環境，才能使得每一次微小的改進都獲得事半功倍的效果。

參考文獻

[1]冷傲雪.我國網上銀行發展對策研究[D].吉林大學，2012

[2]張曉.網上銀行身份認證與網絡安全機制設計與實現[D].電子科技大學，2010

[3]周麗.網絡安全的法律現狀[J]經濟研究導刊，2013，（02）

[4]劉亞軍.網上銀行系統的安全性研究[J]網絡安全技術與引用，2013，（01）

[5]車志紅.我國網上銀行的風險與監管研究[D].廈門大學，2009

[6]譚榮華，劉瀚波，王丹.我國網上銀行安全認證體系架構的理性選擇[J]金融研究.2003，（12）

[7]董佳.關于網上銀行消費者權益保護的案例分析.[D].蘭州大學，2010

[8]李樹生.網上銀行犯罪手段及防范舉措.[J]金融電子化.2008（02）