金融機構網銀業務存在的問題及應對措施

曹暉

摘要：網絡銀行是銀行通過網絡為客戶提供金融服務的平臺，其安全性受到廣泛的關注。本文介紹了目前涉及網銀安全的關鍵技術，并分析了我國商業銀行使用的主要網銀安全措施以其產品。

關鍵詞：網銀安全；數據加密；身份認證；通信加密

網上銀行的概念有廣義和狹義兩種，廣義的網上銀行是指在網絡中擁有獨立的網站，并為客戶提供一定服務的銀行，這種服務可以是：（1）一般的信息和通信服務；（2）簡單的銀行交易；（3）所有銀行業務。狹義的網上銀行是指在互聯網上開展一類或幾類銀行實質性業務的銀行。這些業務包括上述的（2）（3），但不包括（1），一般都執行了傳統銀行的部分基本職能。目前，我國對網上銀行的界定，采用的是狹義定義法。

網上銀行是隨著計算機和網絡的發展和普及而產生的，它不僅是電子商務發展的需要，而且在提高銀行工作效率，降低銀行運營成本，加強資金監管力度等方面都起到積極的作用。網銀的發展依賴于網絡安全問題的解決。最近中國人民銀行發布的《網上銀行業務管理暫行辦法》中對網銀業務提出了風險管理，要求銀行采用合適的加密技術和措施，以確認網上銀行業務用戶身份和授權，保證網上交易數據傳輸的保密性、真實性，保證通過網絡傳輸信息的完整性和交易的不可否認性。

我國自1997年中國銀行首次建立網上銀行以來，網上銀行業務在我國迅速發展，各商業銀行采用了各具特色的網銀安全技術，推出了各種網銀安全產品。本文從分析網銀交易流程入手，剖析其中存在的安全問題，詳細介紹數據加密技術、身份認證技術和通信加密技術，并分析了我國主要商業銀行的安全措施和安全產品。

一、網銀交易流程及安全問題剖析

一般來說，用戶要進行網銀交易必須先在網上銀行注冊，到銀行營業網點的柜臺辦理，進行簽約并取得銀行用于身份認證的安全產品，如口令卡、電子數字證書、USBkey等。在交易過程中，用戶首先要輸入帳戶和密碼。這種方式存在嚴重的身份認證風險，通過網絡竊聽、非法數據庫訪問、窮舉攻擊、重放攻擊等方式很容易獲取口令等方式攻擊系統。隨著計算機性能的不斷提高，從理論上說沒有解不開的密碼，有的只是時間長短問題。目前，以盜取用戶賬號、密碼為目的的間諜軟件、木馬病毒非常多，如“熊貓燒香”、“木馬代理”和“網銀大盜”等。登錄個人界面后，用戶選擇交易的項目，此時將發生業務變更、資金流動等后果，因此需再次進行身份認證。若使用口令卡，可能由于用戶疏忽而丟失，無法確實保證用戶身份的真實性；數字證書是一整套成熟的信息安全保護措施，基于PKI的數字證書電子簽名技術被國內外普遍采用。數字證書有兩種形式：一種是存放在電腦的瀏覽器中，這種方式仍然容易被黑客竊取，另一種安全的方式是存放在USBkey中，USBkey能夠徹底防止被黑客或犯罪分子通過互聯網竊取，還能保護其中的證書任何情況下不被導出，從而防止證書被復制或丟失，是目前安全級別最高的一種網銀安全產品。

接下來，客戶端要與銀行終端進行信息交互。由于數據是在國際互聯網中傳輸，網絡電纜、光纜、無線傳輸等各種形式以及路由器等配套設施在傳輸數據時會產生電磁波或占用一定的載道，電磁波是一種信息載體，泄露的電磁波會載有信息。監測到連線上的電磁波或查出載波頻率，就很容易監聽，使系統傳輸的信息外泄。

二、網銀安全的關鍵技術及主流安全措施

1.確保安全運作。網上支付信息的安全主要包括三個方面，即信息的保密性、真實完整性和不可否認性。以網上購物支付交易的全過程為例，信息的安全性問題主要出現在以下三個方面：一是銀行網站本身的安全性；二是交易信息在商戶與銀行之間傳遞的安全性；三是交易信息在消費者與銀行之間傳遞的安全性。由于電子形式的金融產品和信息，對于知道網絡機密并能不留痕跡進入的網絡“黑客”而言，其偽造、篡改、復制成本極低，真假難辨，網上銀行對非法侵入者的吸引力極大，SFNB開業僅兩個月，就有1萬名黑客企圖非法入侵，美國每年因信息與網絡安全問題所造成的經濟損失高達75億美元，企業電腦安全受到侵犯的比例占50%，如此脆弱的網絡安全體系不能不令人擔憂，如何確保安全交易，為客戶保密，就成了發展網上銀行首先要解決的問題。

2.完善立法體系。同傳統銀行相比，網絡銀行有兩個十分突出的特性，它傳遞信息（包括契約）采用的是電子化方式，它模糊了國與國之間的自然疆界，其業務和客戶隨著互聯網的延伸可達世界的任何角落，從理論上講，國外客戶使用銀行服務的便利幾乎同國內客戶一樣。這樣，就向傳統的基于自然疆界和紙質合約基礎上的法律法規提出了挑戰。主要表現在以下幾個方面：（1）跨境網上金融服務的交易的管轄權、法律適用性問題。（2）服務和交易合約的合法性問題。網絡金融服務和交易合約，一般都要比商品交易合同復雜。金融工具的不斷發展和衍生工具的不斷出現，更加劇了金融合約的復雜性。在金融合約中，一般都包括了合約執行的條件、具體業務、相關責任、抵押和擔保條款等。傳統上，各國都要求合約涉及的的各方以書面形式簽署和保管相應的合約。因此，網上銀行產生的服務和交易的無紙張化合約，是否完全合法有效，是一個亟待解決的法律問題。（3）品牌與知識產權。當國外機構在網上使用相同或相擬的圖標、稱謂以及涉及其他一些知識產權問題時，其認定。取證和處理難度加大。（4）境外信息的有效性與法律認定問題。網絡銀行的一些交易和客戶信息有可能來自境外，這些信息對于網絡銀行所在地來說，是否能被管理當局認可，作為網絡銀行進行交易的業務依據。（5）語言。大部分國家要求銀行應將客戶的相關信息，用指定語言提交客戶并提交金融監管當局。當網絡銀行的客戶為非本國居民，存在語言選擇的合法性問題。因此，解決網絡立法滯后問題刻不容緩，這是保證我國網上銀行快速、健康發展的重要保證。

三、結束語

隨著網絡安全技術和機制的完善，建立起系統的網銀安全綜合保障體系，最大限度地降低風險，保證網銀有效地運行，為客戶提供安全、可靠的服務，網銀必將贏得用戶的信賴和歡迎，發展前景必將愈加寬廣，在未來的金融服務中發揮更大的作用。

參考文獻：

[1]馬翔，李海靖.網絡銀行的安全威脅與風險防范[J].金融論壇，2001，（4）.

[2]劉昊.我國網絡銀行安全問題解決途徑[J].現代金融，2003，（2）endprint