許婷

中國人民銀行南京分行 江蘇 210004

0 引言

隨著互聯網技術的發展，其在金融領域的應用越來越廣泛，并徹底改變了傳統金融業的服務模式。商業銀行通過網上銀行系統將一些傳統的柜臺業務變為線上業務，還推出了一系列創新金融業務。關于網上銀行的定義有多種，本文所討論的網上銀行是指銀行通過互聯網為個人或企業所提供的金融業務和服務。網上銀行方便快捷，為銀行提供了更加高效和優質的服務。而且由于無紙化和非人工操作，降低了銀行的經營成本。更重要的是能夠通過網絡為客戶提供更加個性化的金融服務。因此其將成為未來銀行業的主要發展趨勢之一。網上銀行承載著大量的客戶信息和資金安全，因此容易受到釣魚網站、網絡詐騙、網絡黑客等不法分子的覬覦。如何保證網上銀行的信息安全，是整個銀行業乃至社會都非常關注的問題。筆者通過調查和實踐，就如何有效防范網上銀行的信息安全風險給出了相關建議。

1 嚴格遵守央行發布的《網上銀行系統信息安全通用規范》

為切實提高網上銀行信息安全水平，引導網上銀行業務健康發展，保護金融消費者權益，中國人民銀行于 2012年正式發布了《網上銀行系統信息安全通用規范》(JR/T 0068-2012)。該規范來源于人民銀行多年來網上銀行安全工作實的踐經驗和對網上銀行安全案件的調研，內容涵蓋了網上銀行系統的各個部分和交易的全過程。因此其具有全面性和針對性的特點，是商業銀行做好網上銀行信息安全工作的指南。因此，商業銀行應嚴格按照規范要求在安全技術、安全管理和業務運作三個方面做好防范工作。

2 加強自身技術防護

2.1 增強網站的防釣魚措施

據中國反釣魚網站聯盟發布的數據顯示，今年以來聯盟已處理釣魚網站 2186個，釣魚網站涉及的行業前兩位分別為支付類交易和金融證券類；而聯盟接到的釣魚網站舉報中，涉及淘寶網、建設銀行、中國銀行、工商銀行四家單位的釣魚網站總量占全部舉報網的82.62%。釣魚網站的頻繁出現，已經損害了銀行的聲譽，妨礙了銀行金融業務的拓展，同時還危害到社會公眾的利益。

對于銀行來說，一是應該主動出擊，改變過去被動依賴客戶投訴或舉報的方式，對釣魚網站進行主動的監控和預警。通過主動監控獲取更多的信息，并及時預警客戶，將不良影響減至最小。例如與國內的安全公司合作，由他們對網絡上的各種釣魚網站進行搜索與監控，當發現有釣魚網站出現時，及時通知銀行，銀行可以迅速的采取應對措施；二是應形成完善的應急處理機制，發現問題后應及時報告行業主管部門，同時積極與公安機關合作，做好信息系統等級保護工作；三是應該加固自身的技術防范，如在網站上部署https證書中的最高級別證書-- EVSSL 證書。該 EV 證書不僅對網站上傳輸的信息采取最高強度的加密技術，更由第三方公正機構對網站真實身份進行了嚴格的審核，確保只有真實的銀行才能取得該證書。部署EV 證書后，在主流瀏覽器的地址欄處將顯示鎖形標志并可通過“https”訪問，同時地址欄將變為綠色，讓用戶清楚地辨識到該網站是否可信。

2.2 加強客戶端的技術防護

客戶端是整個網上銀行系統的最薄弱部分。首先，客戶端部署在用戶的PC機、手機或其他移動終端上，安全防護普遍不足。其次，犯罪分子非常容易通過操作系統程序的漏洞進行攻擊，或通過植入木馬獲取用戶的賬戶、密碼等敏感信息，或通過客戶端漏洞遠程控制用戶的硬件數字證書(USBKey)冒充客戶進行交易。因此，建立客戶端程序的檢測和定期檢查機制非常重要。銀行應在客戶端程序上線前進行嚴格的代碼測試和漏洞掃描，上線后銀行也可以在客戶每次交易前，主動的發起對客戶端程序的檢測，對一些可能被不法分子利用的漏洞進行主動掃描，及時幫助客戶發現安全漏洞并提醒客戶進行漏洞修復。為了確保檢測的有效性和權威性，在銀行自身進行檢測后，還可以邀請合作的安全公司或者第三方檢測機構來共同進行。

2.3 加強服務器端的技術防護

相對于客戶端的薄弱各銀行服務器端的防護措施均較為嚴密，因此目前的網上銀行安全事件大都集中在對客戶端的攻擊。但一些中小銀行的網上銀行系統大量使用外包開發，機房等基礎設施達不到國家標準、日常安全管理松懈、IT運維管理人員素質較差，也形成了一些風險隱患。這些安全隱患可能會造成網上銀行系統通信中斷、后臺數據被篡改等嚴重后果。特別是近年來，所有銀行系統之間通過金融城域網進行互聯，任何一家銀行系統出現漏洞，都有可能影響到所有銀行，甚至影響到國家的金融穩定。因此，對于中小銀行來說需要加強服務器端的基礎設施建設和安全防護設施建設，保證機房和數據庫系統的安全，降低服務器端被攻擊的風險。

2.4 采用高安全級別的電子認證服務

電子認證服務是各銀行通過向其網上銀行用戶頒發電子證書來實現交易過程中的身份認證、交易信息加密和交易的不可抵賴。電子認證本身的可靠性對保障網上銀行的交易安全起到了關鍵作用，能夠為網上銀行系統提供電子認證服務的機構應具有權威性、可信賴型和公正性。目前我國建立了網上銀行系統的商業銀行均可使用電子認證服務系統——中國金融認證中心(CFCA)，但有少數銀行采用自建的CA系統為用戶簽發數字證書，這不僅加重了商業銀行本身的技術負擔，還對證書頒發、管理等過程提出了較高的要求。因此商業銀行在準備開展網上銀行業務時，應盡量選擇合規的、安全級別較高的第三方電子認證服務，例如CFCA。

3 加強對個人隱私信息的保護

網上銀行由于使用互聯網進行銀行和個人之間信息的傳送，因此用戶個人信息暴露的風險較大。針對這種風險，為了更好的保護金融消費者權益，商業銀行應更加關注對網上銀行個人隱私信息的保護，通過有效措施保護用戶個人隱私：一是如前所述，加強客戶端的安全防護，確保客戶端所存放的個人隱私數據加密存放，即使客戶端文件被他人竊取，也無法取得跟銀行有關的關鍵信息；二是在客戶端與服務器端的信息傳輸，做好加密保護，防止網絡上有不法分子采取竊聽網絡報文的方式來竊取交易信息；三是做好服務器端數據庫中個人隱私信息加密與分塊存放，這樣即使數據庫中的數據被盜取，如果沒有拿到所有的數據塊，或者沒有數據庫的解密密碼，也無法得到真實的隱私交易信息；四是加強數據操作管理，并設置崗位制約制度，防止單一員工通過某個前臺業務操作或后臺數據管理操作就能輕易竊取到用戶隱私數據。

4 加強對用戶的風險提示和安全常識宣傳

如前所述，商業銀行應提升自身客戶端程序的質量，及時封堵漏洞。但很多網絡安全事件同時也是因為用戶自身安全意識淡薄和使用習慣不良所造成的。因此銀行對于網上銀行用戶應給予必要的風險提示和安全教育。一是通過發放安全手冊等方式提示客戶；二是在客戶端程序中要設置多項安全提示，指導用戶養成良好的使用習慣，如設置強壯的口令、業務完成后及時拔出USBKey等；三是及時向用戶預警可能出現的安全事件，例如提醒釣魚網站的防范技巧等，提醒用戶加以防范。

5 加強內控內管制度的建設

近年來中國人民銀行和銀監會都出臺了多項有關網上銀行信息安全規范的文件。但少數商業銀行內部重視程度不夠，缺少內控內管制度。在缺少相關制度保證的情況下，信息安全保障措施難以實施到位，員工對于網上銀行信息安全風險的認識也不夠。因此商業銀行還須進一步加強內控內管制度、規范崗位責任與制約、建立標準規范的操作流程，通過管理手段來促進各項措施落實到位。

[1]李東榮主編.網上銀行系統信息安全通用規范解讀[M].北京：中國金融出版社.2013.

[2]鄭巖.如何跨越“網銀安全”這道坎[J].金融電子化.2011.

[3]李曉楓.規范網銀安全控制網銀風險[J].中國金融電腦.2011.

[4]胡曉荷.加強防護措施,給力網銀安全[J].信息安全與通信保密.2012.

[5]釣魚網站威脅網銀安全[J].微電腦世界.2011.