網(wǎng)上銀行安全問題的全面質(zhì)量管理分析

摘要:目前，網(wǎng)上銀行的安全問題已成為網(wǎng)上銀行發(fā)展的“瓶頸”和推動電子商務(wù)的最大障礙，如何建立一個高效、安全、風(fēng)險責(zé)任明確的網(wǎng)上銀行體系成為一個現(xiàn)實而又迫切的問題。應(yīng)用全面質(zhì)量管理中針對人、機、料、法、環(huán)分析的方式來對網(wǎng)上銀行安全問題進行剖析，通過檢查與網(wǎng)上銀行安全有關(guān)的因素，提出可能的解決方法。銀行在加大自身安全方面投入的同時，不斷對用戶進行安全教育，為用戶提供殺毒的方便，讓用戶在交易之前先進行殺毒處理，再使用數(shù)字證書、動態(tài)密碼、USB-KEY等安全措施開展網(wǎng)上銀行業(yè)務(wù)，將是十分安全的。

關(guān)鍵詞:網(wǎng)上銀行;網(wǎng)絡(luò)釣魚;注冊;殺毒;數(shù)字證書;質(zhì)理管理

中圖分類號:F83文獻標(biāo)志碼:A文章編號:1673-291X(2010)15-0059-02

網(wǎng)上銀行(INTERNET BANK、INTERENT BANKING 、ONLINE BANKING)，又稱網(wǎng)絡(luò)銀行或在線銀行，是指利用網(wǎng)絡(luò)技術(shù)，在INTERNET上開展銀行業(yè)務(wù)，為客戶提供信息、金融及衍生服務(wù)的金融機構(gòu)。網(wǎng)上銀行可以為客戶提供3A服務(wù)(Anywhere/Anytime/Anyhow)，無論客戶身在何處，無論何時，只要輕點鼠標(biāo)，就可以通過計算機享受所需的銀行服務(wù)。任何人只要擁有一臺電腦或數(shù)據(jù)終端，都是銀行的潛在用戶。網(wǎng)上銀行在一定程度上代表銀行業(yè)的發(fā)展方向，目前其業(yè)務(wù)幾乎覆蓋全國主要大中城市。網(wǎng)上銀行作為一種實體銀行的虛擬工作環(huán)境，其交易不僅具有與傳統(tǒng)銀行業(yè)務(wù)相同的風(fēng)險，而且他具有高技術(shù)性、無紙化和瞬時性等特點，決定了其經(jīng)營風(fēng)險要遠遠大于傳統(tǒng)銀行的風(fēng)險，且目前技術(shù)措施和立法保障等方面不盡完善，因此其存在的問題也日益顯現(xiàn)，其中最重要的是網(wǎng)上銀行的安全風(fēng)險問題。此問題現(xiàn)已成為網(wǎng)上銀行發(fā)展的“瓶頸”和推動電子商務(wù)的最大障礙，如何建立一個高效、安全、風(fēng)險責(zé)任明確的網(wǎng)上銀行體系成為一個現(xiàn)實而又迫切的問題。

一、人

“人”是進行網(wǎng)上銀行業(yè)務(wù)的主體，起著決定性的作用。由于任何人只要擁有一臺電腦或數(shù)據(jù)終端，都是銀行的潛在用戶。而這些人的安全意識卻是高低不一。安全和方便是一對矛盾體，有很多人為了方便而忽略了安全。因此，在成為網(wǎng)上銀行用戶前，銀行有必要對他們進行安全教育，以增強其安全意識;用戶也應(yīng)主動學(xué)習(xí)有關(guān)網(wǎng)上銀行的安全知識，在上網(wǎng)時，盡量不要瀏覽一些來歷不明的網(wǎng)站，不要輕易下載、安裝、運行來歷不明的軟件，盡量避免在不屬于自己的電腦上使用網(wǎng)銀功能，減少中木馬的可能性。從而防范未來可能產(chǎn)生的風(fēng)險，以減少自己不必要的損失。

由于用戶把自己在網(wǎng)上銀行的損失大多歸咎于銀行方面，由此可見，這種安全教育的重要性。防范于未然。由于用戶的分散，銀行方面所要主動提供的安全教育也就只能通過網(wǎng)絡(luò)進行。現(xiàn)在，用戶在注冊成為網(wǎng)上銀行用戶的時候，通常網(wǎng)站有一個《××銀行網(wǎng)上銀行個人客戶服務(wù)協(xié)議》，有不少用戶在注冊時為了省時，卻并沒有認真了解這個協(xié)議，就點了下面的“同意”直接進入下一項。其實，如果網(wǎng)上銀行方面充分利用這一段協(xié)議，作為安全教育的課堂，將會收到良好的效果。可以讓用戶點擊“同意”后將有關(guān)安全方面的知識化作試題，讓用戶通過這里的在線測試才能進入后續(xù)的注冊。

而對于已經(jīng)注冊的用戶，銀行可以通過舉行安全知識問答，或者在用戶登錄時，要求用戶回答一些安全問題，或者彈出一些安全提示讓用戶了解……長此以往，就會增強用戶的安全意識，讓用戶主動防范可能發(fā)生的風(fēng)險。

二、機

在銀行方面，機主要是指網(wǎng)上銀行為實現(xiàn)交易提供的交易服務(wù)器。為防止交易服務(wù)器受到攻擊，銀行主要采取以下三方面的技術(shù)措施:

1.設(shè)立防火墻，隔離相關(guān)網(wǎng)絡(luò)。一般采用多重防火墻方案。其作用為:分隔互聯(lián)網(wǎng)與交易服務(wù)器，防止互聯(lián)網(wǎng)用戶的非法入侵;用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔，有效保護銀行內(nèi)部網(wǎng)，同時防止內(nèi)部網(wǎng)對交易服務(wù)器的入侵。

2.高安全級的Web應(yīng)用服務(wù)器。服務(wù)器使用可信的專用操作系統(tǒng)，憑借其獨特的體系結(jié)構(gòu)和安全檢查，保證只有合法用戶的交易請求能通過特定的代理程序送至應(yīng)用服務(wù)器進行后續(xù)處理。

3.24小時實時安全監(jiān)控。例如，采用ISS網(wǎng)絡(luò)動態(tài)監(jiān)控產(chǎn)品，進行系統(tǒng)漏洞掃描和實時入侵檢測。在2000年2月Yahoo等大網(wǎng)站遭到黑客入侵破壞時，使用ISS安全產(chǎn)品的網(wǎng)站均幸免于難。

從商業(yè)銀行角度，各家銀行不惜投入巨資紛紛引進先進的計算機軟硬件，學(xué)習(xí)發(fā)達國家的經(jīng)驗，引進先進技術(shù)和系統(tǒng)，選擇軟件開發(fā)商也都是國內(nèi)外最好的，力圖確保系統(tǒng)的穩(wěn)定性和先進性，最大限度地確保網(wǎng)上銀行軟硬件系統(tǒng)的安全。

三、料

工業(yè)企業(yè)中的“料”是指加工出成品的原材料，在這里可以理解為完成網(wǎng)上銀行業(yè)務(wù)的身份認證。網(wǎng)銀在現(xiàn)實中所做的安全措施是非常強大的:網(wǎng)上銀行系統(tǒng)中網(wǎng)上銀行分為普通版和專業(yè)版，一般來說普通版是單一身份認證，所以只提供簡單的賬戶查詢功能。只有采取了雙重認證，客戶才能通過網(wǎng)上銀行進行各種轉(zhuǎn)賬、支付等操作。這樣就大大加強了網(wǎng)上銀行的安全性。用戶的身份認證依靠基于“RSA公匙密碼體制”的加密機制、數(shù)字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數(shù)字簽名和登錄密碼進行檢驗，全部通過后才能確認該用戶的身份。用戶的唯一身份標(biāo)識就是銀行簽發(fā)的“數(shù)字證書”。用戶的登錄密碼以密文的方式進行傳輸，確保了身份認證的安全可靠性。數(shù)字證書的引入，同時實現(xiàn)了用戶對銀行交易網(wǎng)站的身份認證，以保證訪問的是真實的銀行網(wǎng)站，另外還確保了客戶提交的交易指令的不可否認性。

現(xiàn)今各網(wǎng)上銀行推出了CA數(shù)字證書、U盾、USB-KEY、動態(tài)密碼、口令卡、安全登錄控件等辦理網(wǎng)上銀行業(yè)務(wù)的安全幫手。USB-KEY是目前國內(nèi)商業(yè)銀行采用最為普遍的雙重認證方式之一，是可以隨身攜帶的網(wǎng)上銀行物理“身份證”和“安全鑰匙”。客戶申請USB-KEY后，所有涉及資金對外轉(zhuǎn)移的網(wǎng)銀操作，都必須使用USB-KEY才能完成。客戶只要保證USB-KEY、USB-KEY密碼、賬號、登錄密碼和支付密碼不被同一個人竊取，任何病毒、木馬、黑客、假網(wǎng)站的網(wǎng)絡(luò)詐騙方式都無法竊取客戶資金。

如果用戶能好好利用這些“料”，相信所完成的產(chǎn)品——網(wǎng)上交易也是合格的、安全的。

四、法

也就是使用安全問題(包括銀行系統(tǒng)的生產(chǎn)運行安全和客戶使用安全兩個方面)是否有相關(guān)法律法規(guī)和具體的規(guī)章制度。銀行的機房(包括網(wǎng)上銀行的系統(tǒng)運行)往往被視為銀行的重要核心地方，安全措施和規(guī)章制度都非常健全，并嚴(yán)格地落到實處。風(fēng)險控制和管理部門的常規(guī)監(jiān)督檢查也是作為網(wǎng)絡(luò)運行安全的一個重要環(huán)節(jié);如網(wǎng)上銀行是否有健全的各項規(guī)章制度?是否得到了有效執(zhí)行等。客戶使用方面，出于安全考慮，用戶要盡量避免使用網(wǎng)吧等公用電腦進行網(wǎng)上銀行業(yè)務(wù)。在使用網(wǎng)上銀行時，最好不要直接用鍵盤輸入密碼，而用“密碼軟鍵盤”輸入密碼，因為假如所使用的這臺電腦被植入木馬程序，木馬程序一旦發(fā)現(xiàn)用戶登錄銀行界面，就記錄下其在此期間的所有鍵盤和鼠標(biāo)動作，以此竊取客戶的信息。相比之下，“密碼軟鍵盤”的安全性更高。

五、環(huán)境

環(huán)境也就是指客戶使用網(wǎng)上銀行的安全運行環(huán)境。一般來說，人們擔(dān)心的網(wǎng)上銀行安全問題主要是:(1)銀行交易系統(tǒng)被非法入侵; (2)信息通過網(wǎng)絡(luò)傳輸時被竊取或篡改; (3)交易雙方的身份識別;賬戶被他人盜用。銀行視信譽如生命，所以它會不斷采用當(dāng)今最先進的安全技術(shù)來保障系統(tǒng)的安全。在網(wǎng)絡(luò)上采用128位SSL安全加密技術(shù)加密傳輸，能夠有效防止黑客在網(wǎng)絡(luò)上截取密碼信息。那么，安全的漏洞一般只會在用戶這一邊打開。

黑客手上的客戶資料應(yīng)該是客戶的計算機感染間諜軟件而導(dǎo)致密碼遭竊，有很多人則是在網(wǎng)上下載可免費取得音樂的軟件時，在不知情的情況下被強制下載了間諜軟件。

銀行應(yīng)提醒用戶在使用網(wǎng)上銀行時，電腦應(yīng)該無毒、無木馬程序，以防止自己的密碼被盜，目前已有商業(yè)銀行在用戶登錄界面提出安全提示。如果銀行能夠與殺毒軟件公司合作，提供在線殺毒，那么用戶在登錄網(wǎng)銀時，銀行方面會跳出提醒框，用戶只要輕松一“點”就可以使用最新病毒庫的軟件殺毒、清除木馬，這樣用戶的使用環(huán)境就會更清潔，網(wǎng)上銀行交易就更安全。

關(guān)于“網(wǎng)絡(luò)釣魚”，即以假網(wǎng)站或是購物網(wǎng)站為名，以緊急升級、低價優(yōu)惠等為幌子，來詐騙客戶的賬號、密碼、支付密碼，或者要求客戶到一個指定的網(wǎng)站去購物。這樣的釣魚平臺，不能認定只是銀行的網(wǎng)絡(luò)安全有問題，例如有人使用www.lcbc.com.cn，而它與工行www.icbc.com.cn十分接近，這就需要域名注冊機構(gòu)的監(jiān)管，這些監(jiān)管部門也應(yīng)該負有一定的社會責(zé)任。同時，銀行方面也要注意在申請自己的域名時，應(yīng)該像企業(yè)注冊商標(biāo)那樣，把接近或類似自己的域名同時進行保護性注冊，以最大限度地保護自己的客戶利益(娃哈哈集團在注冊娃哈哈時，同時保護性注冊了哈哈娃、娃娃哈、哈哈哈等商標(biāo))。而作為客戶在進行網(wǎng)上銀行、網(wǎng)上購物或其他需要輸入密碼的操作時也要特別仔細核對網(wǎng)址，多留個心眼，以免上當(dāng)。

全面質(zhì)量管理工作的一個重要特征是，從根源處控制質(zhì)量。綜上，銀行在加大自身安全方面投入的同時，不斷對用戶進行安全教育，提高用戶的安全意識，為用戶提供殺毒的方便，并且，用戶在交易之前先進行殺毒處理，再使用數(shù)字證書、動態(tài)密碼、USB-KEY等安全措施開展網(wǎng)上銀行業(yè)務(wù)，將是十分安全的。這種使客戶足不出戶就能完成“安全、方便、快捷”的網(wǎng)上查詢、轉(zhuǎn)賬、支付等業(yè)務(wù)的網(wǎng)上銀行，既提高了銀行與用戶雙方的辦事效率，又在一定程度上為客戶節(jié)省了大量的人工、車輛等費用及支票等工本費用。相信網(wǎng)上銀行會立即融入到電子商務(wù)的潮流中，得到更多人的青睞。