学文网网上银行安全篇1
近一两年来,各大商业银行网站被黑,网上银行账户资金被盗的事件时有发生。
2004年12月,中国银行的网站被黑客假冒,内蒙古呼和浩特市一市民因为登录了该网站而被盗窃2.5万元; 2006年2月,四名黑客利用“木马”程序,盗取南宁市市民陆某的网银账户及密码,并通过网上银行将陆某的21400元存款全部转出。
尽管各大银行针对各种账户诈骗、窃取事件做出了回应,但是网银风波并没有因此而终止。2006年5月,一位用户的3120元存款10分钟内被黑客连转三账户,另一用户的网银账户在5月份从月初到近月末,每天转出200元,被盗金额达5000多元。这些网银账户密码被盗、存款失窃的事件备受业界关注,社会各界视线再次聚焦到网银的安全问题上。
为了发泄对中国工商银行(以下简称“工行”)的不满,一位姓丁的受害者在网站上发起组建了“受害者联盟QQ群”、“维权联盟”,并在网站上建立Blog召唤有着相同遭遇的人。在域名为的“工行网银受害者集体维权联盟”网站上,已有将近200多人使用真实姓名签名,并留下了联系地址和失窃金额。而根据他们的一些聊天记录可以发现,很多“失窃网民”把网银密码被盗、存款失窃的原因归于银行保护不力,指责工行“店大欺客”、以“霸王条款”来搪塞和推卸责任。
而银行方面则认为,网上银行密码的失窃,很多是因为用户对电脑的保护不周,被置入木马后遭窃,银行在应对正确用户名和正确密码时,不存在过错。
安全隐患在何处
工行是国内网银用户最多的一家银行,也是因安全问题遭到网银用户投诉最多的银行,身为工行电子银行部的负责人之一,电子银行部总经理王刚最近的大部分时间放在了处理各种用户申诉的案件上。
据王刚介绍,前段时间曝光的工行网银投诉事件,大多由工行的网站被黑客假冒引起。当时很多网银用户收到了一封貌似来自工行的邮件,一旦用户点击邮件正文中的超链接,就会打开一个仿冒工行的页面,使用户认为已经进入了工行的真正网站,如果用户在钓鱼网站上输入个人信息,不法分子便会利用电子邮件自动发送到事先设定好的邮箱,窃取用户的财务数据。据统计,在所有接触诈骗信息的用户中,有多达5%的人对这些骗局做出了回应。
在过去的几年时间里,工行的网站曾遭遇过“网银大盗”多次不同程度的攻击,受害者不在少数。而且其他诸如中国银行、中国农业银行、招商银行等银行网站也遭遇过类似攻击。
中国已成为黑客攻击的主要目标之一,来自国际反网络诈骗组织的报告显示,中国已成为仅次于美国的世界上第二多拥有仿冒域名及假冒网站数量的国家,占全球域名仿冒总量的12%,与此同时,各类假冒网站、邮件恶意欺骗事件也直线飙升。
“当前的网络环境还不够安全。”在谈及网银是否安全时,王刚的解释是,根本原因在于互联网通信协议、网络架构等基础层面存在较大的安全缺陷。
在王刚看来,网络之所以不安全,是因为在实体社会中,有相对完善的法律法规,人与人能见面,彼此有荣誉感和羞耻感,有道德的约束,但在网络环境里这些因素并不完善甚至不具备。如果把黑客和网银比作攻守双方,它们之间的力量对比一直就是“道高一尺魔高一丈”的非平衡博弈状态。
“除了互联网,网银的不安全还在于中国现阶段的金融基础环境比较差。”中国建设银行电子银行部副总经理马春峰表示,中国网银进入门槛低,是导致各种网银安全事件的重要原因,“在国外,银行对网银账户申请审批特别严格,各种审查信息也很全面,进入门槛非常高,而国内银行在这一方面的规定却比较宽松,账户申请特别是个人用户账户申请非常容易。”
一些专家分析,网上银行的不安全因素主要来自网银系统本身和网银客户端两方面。
王刚则认为,网银系统基本上不会有问题,因为银行在这方面都有严格的安全措施和防范手段。“从目前抓到的一些案犯和媒体披露的情况来看,都是案犯利用客户的身份进入工行网银系统作案的。”他说,这表明网银用户端是存在不安全因素的重点。据***门统计,个人用户计算机端有近70%是不安全的。“现在的个人客户端使用的操作系统几乎都是基于微软的Windows系统,而微软操作系统的最大问题是‘易攻难守’,因为它有很多的漏洞给黑客软件、木马软件攻击提供了便利,要防护好非常困难。”一位专家说。
网银领域分析专家、中科院教授吕本富认为,用户端安全风险主要来自以下几类。第一类是假银行网站欺诈,即钓鱼网站。这类假银行网站域名与真银行网站非常相似,网民一旦进入假网站,输入卡号和密码,钱就会被不法分子通过转账等方式划走。第二类是通过窃取密码进行欺诈。这类欺诈方式有多种,例如通过在用户电脑上置入木马程序,盗取用户的账号和密码,然后划走网银用户的资金; 或者用户在公共网吧等地方上网以后,没有及时退出银行网页界面就离开自己的电脑,被黑客窃走资金。第三类来自于业务层面。问题可发生在电子购物过程中,因为电子购物有很多环节,这有可能导致网银安全漏洞的出现。
在2005年的一次安全会议上,一位业内人士在谈及网银安全问题时表示: 超过70%以上的黑客攻击针对银行用户,而其中网页假冒的攻击数量更是以不到三个月就翻一番的速度在增加。
尽管网银的不安全因素主要存在于客户端,但多数民众认为,既然银行提供网银业务,就应该对安全保障问题负责。
数字证书确保网银安全?
随着黑客、病毒攻击的增加,银行已经意识到网银安全问题的严重性,并采取了应对措施。
“我们有两种安全模式可供客户选择。”据王刚介绍,工行的两种安全模式数字证书,分别是U盾和动态口令卡。安全级别最高的U盾数字证书就***在U盾的智能卡里面,是病毒无法攻破的“黑管”,它是网银的物理“身份证”和“安全钥匙”,所有涉及资金对外转移的网银操作,都必须使用U盾才能完成。而新推出的动态口令卡,和U盾客户相比,虽然有一定的交易额度和功能限制,但购买价格远比U盾低,且使用方便,安全性能也有保证。
不过,王刚提醒说,动态口令卡的动态密码还有有待完善之处: 虽然每次需要输入的字符串都不同,但如果被人将密码卡复印或抄写下来,那么动态密码的保护作用就可能被攻破。
据了解,已经有些银行推出了更为先进的动态密码方案,如汇丰银行和恒生银行。这两大银行的所有用户会免费获得一个可挂在钥匙圈上的电子密码生成器,每按1次,就自动生成1个6位数密码,每个密码都不同且有一定规律,但这一规律仅由银行掌握。使用网络银行时,用户除了要输入自己设定的密码外,还需要输入这个6位数密码,由于每次使用的动态密码是新生成的,因此既不需要更换密码卡,也不存在密码卡被复制的可能。
与工行不同的是,其他银行提供的安全数字证书既可***到客户端主机硬盘(软证书)单独使用,又可与USB Key载体绑在一块(硬证书)应用。目前,中国建设银行为客户提供的安全工具有数字证书、USB Key用户证书载体两种方式。
专家认为,使用数字证书能最大程度地提高网上交易的安全系数,到目前还不存在黑客攻破数字证书的先例。“技术上黑客利用木马是攻击不到的,因为它藏在IE的某个位置,木马是无法找到的,编程也是没法找到的,至少目前是这样。”中国建设银行电子银行部产品管理处经理寇冠表示。
虽然数字证书具有很难被黑客攻破的优点,但使用数字证书进行网上交易的用户还是不多,例如在工行2000万网银用户中,只有88万用户使用数字证书。
为什么使用证书的用户数如此之少?业内人士认为,首先,数字证书也存在漏洞,如果把USB Key证书载体长期插在电脑上不退出,就有失控的可能,比如用户在做一件交易还没来得及签名时,黑客会抢先签名,就是用户的账号和密码都输入后,黑客抢先在他的前面把名签了,从而盗走资金。“当然,这只是理论上的分析,实际的作案方式可操作性非常差。”网银安全专家、中国金融认证中心(CFCA)技术顾问关振胜表示。
其次,如果数字证书、证书密码、账号、登录密码和支付密码所有这些安全措施被同一个人窃取,也会存在安全风险。
最后是数字证书在使用上的一些技术,因为现在的数字证书跟应用环境有很大的关系,用户在使用的时候需要***自行保管,而且也有各种各样的问题,当用户重装了系统,这个证书可能就不好用。此外,硬证书还存在安装驱动的问题,但是这个驱动在有些系统环境下可能无法运行。
正是基于对数字证书安全的顾虑、使用上的不便,网银用户不太愿意采纳数字证书,更何况还需要花60~70元不等的使用成本。
如何在便利与安全之间寻求到平衡,建设银行的做法是实行差别化服务。“大众版以方便为主,只提供查询、交费和小额支付,而大额转账以安全为主,实行更高级别的安全认证。”马春峰说。
为了降低大众版网银功能的安全风险,工行目前将大众版网银对外支付额度限制在300元以内,并取消了新的大众版用户的申请,目的是鼓励大家使用数字证书或者电子口令卡。招商银行日前也取消了大众版的使用,要求用户使用数字证书进行网上支付和转账。
就目前的情况来说,“想要银行拿出一个成熟的方案来使用户感觉到既方便又安全,是比较困难的。”但作为银行来讲,在保证安全的前提下,还应当考虑网银使用的易用性和可靠性。
技术之外的问题
虽然银行都建立有相对完善的安全认证手段,但并没有获得用户足够的认同。
在一些维权网站上,很少有网银受害者承认遭遇黑客攻击有自己的过失,而是直接把原因归罪于银行,称银行未经本人授权就支付或转账资金,银行应该承担责任、赔偿损失,而对于银行推出的数字证书,则认为是银行在强行高价搭售。
“网银的问题不再是一个技术问题,而是一个社会责任问题。”吕本富教授的看法是,用户之所以对数字证书的使用没有热情,关键在于银行的宣传不得力,银行必须设法提高用户的安全意识。
通过宣传,使大家建立一个规范,明确规定哪些是用户必须要注意的事,哪些是银行要介入的事。“在规范建立之前,用户肯定会把责任推给银行,这没什么可说的。”他说。
在吕本富看来,纯粹是由于黑客病毒等技术带来的网银风险比例不会超过10%,而大部分风险来自于用户的安全防范意识不强,如果银行对用户的安全意识教育做得好,估计可以降低70%的风险。
马春峰告诉记者,中国建设银行在网银安全问题上除了加强系统的技术防范和监测、制定完整的业务规则、提供如短信服务的安全辅助手段以外,重点放在对用户的宣传教育,包括金融安全知识的普及教育,安全方面应该注意哪些问题等。
尽管如此,网银的安全态势并无很大的改观。接受采访的几位专家分析认为,首要原因在于银行的战略理念有问题。“普通老百姓之所以害怕网上银行,不愿意用数字证书,就是因为各银行早期推出的大众版(普通版)网银产生了安全担忧的误导,这是银行的策略性失误。”CFCA技术顾问关振胜说,银行应该像***事家一样站在战略高度来看待网银的安全问题,其实用户是很愿意接受数字证书的,只要合理,用户花钱买也是认可的。
记者了解到,在网银是否安全这个问题上,不仅普通老百姓不清楚,就连一些地方银行的行长们都讲不明白,这种情况下,普通老百姓担心网银不安全也就在情理之中了。吕本富的观点是,关键在于银行能否选择合适的用户群来推广数字证书,让这个客户群来带动社会其他人群。“银行必须像企业推销MP3一样,针对白领、大学生等年青人群去推广,因为这批人时间紧张,比较喜欢银行的这种服务。”吕本富建议。
网上银行安全篇2
论文关键词 网上银行安全 银行责任 法律监管制度 电子银行
一、网上银行盗窃后有关责任的认定
(一)银行的严格责任认定
(1)网上银行存入资金归属于银行。客户将资金存入网络银行,银行能够对存入的资金实现自己使用,并能够通过自己使用实现利益的留用。(2)银行承担客户资金存入网银后的安全保障义务。《合同法》第60条规定了合同的全面履行和附随义务。从合同法原理的角度分析,储户和银行之间的关系是合同关系,银行提供网上银行服务是主给付义务,保障资金安全和储户的信息安全是从给付义务,主给付义务不履行,储户可以向法院主张解除合同,从给付义务不履行,储户可以向法院主张损害赔偿。根据《商业银行法》第6条规定:“商业银行应当保障存款人的合法权益不受任何单位和个人的侵犯”。储户在非因自己过错遭受财产损害时,银行应当承担赔偿责任。根据网上银行服务协议,银行在进行业务创新的时候,应当保证交易系统的安全,增加储户对于银行创新业务的信赖。储户申请网上银行业务时,与银行签订了网上银行服务协议,银行需要进行储户身份识别,数字证书认定,以及需要采取一定的止损措施等保障交易安全。网上银行服务协议作为银行和储户之间的基本合同,储户在进行网上交易时,银行应当承担基本的安全保障义务,包括保障网络的硬件设施完备、安全,使储户能够进行信赖交易,此过程中储户的个人信息泄露、财产损失等,当由银行承担基本的损失赔偿责任。(3)银行应当作为损失的第一承担者。网上银行是高科技下的产物,银行在赚取利润的同时要承担保证储户资金安全的责任。银行作为首要受害对象,应当对损失承担责任,并加大自我保护力度和增强自我保护意识,绝不应将损失直接推诿给储户。
(二)主要的举证责任因由银行来承担
(1)银行控制网上银行交易的信息资料。网上银行交易的数字信息都在银行的网络系统中,由银行控制掌握,储户很难调取。(2)网上银行的高度技术性使储户举证不能。网上银行的高度创新性和技术性,造成了交易中的信息不对称,储户交纳服务费享受服务,基于的是对网上银行技术的信赖和对银行公信力的倚仗。(3)银行举证网上银行交易信息资料成本相对较低。银行是网上银行系统资料的所有者,对于交易等信息资料的保全和调取相对容易。(4)根据《最高人民法院关于民事诉讼证据的若干规定》第4条第6款规定:“因缺陷产品致人损害的侵权诉讼,由产品生产者就法律规定的免责事由承担举证责任”。由此可见,在我国的产品责任中,生产者承担的是严格责任,因此承担主要举证责任。网上银行作为金融创新的一种产品,理应受到该条法律的约束。
二、法律监管制度的缺陷
(一)我国无统一的、专门针对网上银行进行监管的基本法律
我国人大颁布的《电子签名法》作为仅有的法律支持电子商务和网络银行业的发展及风险控制,但是其条文简单,仅规定了一些原则性的措施,可操作性不高。同时现行的网上银行监管重要法规:银监会颁布的《电子银行业务管理办法》和《电子银行安全评估指引》皆为部门法规,在效力层次上有其局限性,无法满足现实的要求,造成了很多法律上的真空地带,势必导致国家对网上银行风险的监管不力,从而引发各种金融风险。
(二)从配套法规方面来看,其体系也十分不健全
如我国票据法中就没有明确电子票据的法律效力,税法中也没有对网上征税的具体规则,刑法对于利用互联网进行网上银行犯罪活动时,对定罪量刑没有针对性的规定条纹,无法有效的打击越来越多的金融犯罪活动。此外,与网上银行息息相关的其他法律,如《物权法》、《合同法》、《消费者权益保护法》等都没有明确提及针对网上银行的相关条款。结果必然使在解决网上银行问题时遇到极大的困难,如法律中无相关规定、法律规定不明确、无法确切地得到处理结果。因此,制定和完善相关法律规范、营造一个对网上银行发展有一处的监管法律制度迫在眉睫。
(三)网上银行市场准入和退出监管制度存在缺陷
我国处于经济发展阶段,需对金融业的市场准入进行相对严格的监管,对于网上银的准入监管也较紧。根据我国《电子银行业务管理办法》的规定:所有利用开放性网络或无线网络开办的电子银行业务都需要适用审批制;金融机构将已经获得批准的业务应用于电子银行时,需要与证券业、保险业等相关机构进行直接实时数据交换才能实施的电子银行业务,以及金融机构相互之间通过互联电子银行平台联合开展的电子银行业务,都要报经银监会审批。很明显的,我国适用审批制的网上银行准入范围十分宽广,不利于尚处于发展阶段的网上银行业的创新和良性延续。
三、防范网上银行的安全隐患的措施
(一)加强风险防范,完善网上银行法律体系
1.加强储户的安全义务、防范恶意骗取银行赔偿
对银行实行严格责任和过错推定,加大了对储户的保护力度,势必会相对放松储户的警惕,而储户加大对网上银行信息的保护不仅是关键,整体预防损失的成本相对也比较低。可以考虑立法设计储户限额责任的条款或者网上银行服务协议中设计损失共担的条款等,使储户对于损失承担小比例的责任,以提高其安全防范意识,应当设定储户的损失报告时限。储户发现网上银行损失之后要及时向银行报告,以便银行及时对损失原因开展取证调查,超过一定时限未报告,储户要承担相应责任。
2.银行通过技术改造增强安全保障能力
《电子银行业务管理办法》专章规定了风险管理,其中第37条特别指出,金融机构应采取适当的措施和采用适当的技术,鉴定与识别启动网上银行服务业务的客户真实身份,并对其权限实施有效管理。金融机构应在物理控制和软件控制两个方面,建立对非法进入或越权进入的甄别、处理和报告机制。这也对银行提出了改进技术,防范假冒储户非法盗取网上银行存款的行为。目前网上银行采用数字加密技术作为唯一安全防护手段是存在软肋的,应该开发多重技术保护的新途径,如与生物信息技术、短信回执技术等的结合。银行在享受这种金融产品带来的巨大利润时,最应关注的是不断预见风险,提高技术防范措施,保障交易安全,减少诉累,增强广大储户对新生金融产品的信心和对银行的信赖。
(二)加大对金融消费者的民事保护力度
我国《银行法》和《证券法》等金融立法中虽然也在其立法宗旨中写入保护存款人、投资人等消费者利益的内容,但是真正规定消费者权利、具有可诉性和可操作性的民事规则在具体条文中却十分少见,这使得保护消费者权益往往成为被架空了的口号。金融消费者和金融机构在信息上严重不对称也使得前者在主张权利救济时面临举证责任和败诉风险,因此应当简化金融机构民事责任的构成要件、减轻消费者举证责任是金融消费者民事保护的应有之意。银行可以通过建立金融消费者责任赔偿基金,对网上银行的损害做出相应支付。
(三)构建完善的法律监管体系
1.完善高法律层级的基本法
我国在网上银行监管的国家层面的法律法规只有《电子签名法》一部,仅涉及了部分有关规定。有些研究认为,应该制定一部法律专门实现监管网上银行的法律。但就我国目前情况来看,现有的网上银行尚停留在作为传统银行网上服务分支的状态。虽然不排除将来出现纯网上银行,但网上银行业务发展日新月异,制定一部《网上银行法》的条件尚不成熟。同时,我国尚未出台完备的电子商务方面的法律规范,要制定有关网上银行的单行法律规范则更加不切实际。同观其他国家的法律监管,也是多元化的。这样的情况下,在我国现有的规范银行的法律中,如《商业银行法》,增加网上银行的规定章节,将现有的一些规定上升为法律层级。这样,在实际应用时同传统银行监管相互融合,更加符合我国目前的情况。从而避免网上银行的法律风险,使我国对网上银行的法律监管有“法”可依。
2.完善行业部门管理法律法规
相对于法律,部门法律规章的灵活性,操作性更强。在监管部门层面针对网络银行各方面内容和风险监管继续制定和完善专门的部门法规、实施细则等。银监会颁布的《电子银行业务管理办法》和《电子银行安全评估指引》还不足以满足网络银行风险法律监管的需要,对于较为抽象的部门法规,有必要制定实施细则解决具体问题。主要可以包括:首先,管理条例,作为行业法规,管理条例原则性行不宜过细过全,否则容易偏离现有网上银行的发展状况,失去包容性,导致资源浪费。主要应界定网上银行的范围,市场准入的基本要求,交易行为的基本规范,一般的风险管理和站点管理,客户保护措施及信息报告制度等。其次,指引公告,对于目前以及本人订单认为成熟,或者可推广的技术操作系统、标准、系统设置、风险管理手段等,以指引公告的方式,并随情况的变化及时调整。最后,风险警示。对于一些偶然性的网络信息安全问题,潜在的有可能扩展的不确定性因素,宜采用警示的方式,为网上银行提供必要的信息,保驾护航。
网上银行安全篇3
关键词:网上银行 业务 安全
在现在这网络发达的现代社会,不论是商业银行还是最终用户,都在尽享网上银行优势和便捷的同时,又感受到了网上银行安全问题的困惑。网上银行到底是否安全?成了使用者、it及业务专家们争论的焦点。在各种媒体上也一直是一个争论不休的话题,国内也出现过几起利用木马程序等方式盗取用户名和密码,进而盗取用户的资金,甚至出现用户与银行对簿公堂的情况。各家商业银行也纷纷联合起来发表声明,举办宣传活动,培训、教育和提醒广大客户安全使用网上银行。网上银行安全已经受到我国***府与金融界的高度重视,业内对网上银行风险也有了一些认识,总的来说普遍认为有以下几种风险:
1、网上银行系统方面的安全
网上银行安全系统造成的风险主要包括两个方面:一是由于安全认证系统出现故障而形成风险。因为网络的虚拟性,交易双方都无法确保对方的身份的真实性,尤其是当当事人仅仅通过互联网交流时。在这种情况下,要建立交易双方的信用感和安全感非常困难。于是,人们在实践中发展出一种切实有效的方法来解决这个问题,电子认证应运而生。简而言之,电子认证是以特定的机构对电子签名及其签署者的真实性进行验证的具有法律意义的服务。在电子认证过程中,有一个把电子签名和特定的人或者实体加以联系的管理机构,即认证机构(ca)。如果安全认证系统出现故障,商业银行将与提供认证服务的一方一起承担风险后果。因为银行负有维护网络安全的义务。二是黑客、病毒的侵袭而造成的风险。电脑黑客也是网上银行的一大危害。据统计,全球的黑客入侵事件有40%针对金融系统,所以这对金融安全的潜在风险是极大的。
2、网上银行技术方面的风险
银行最大的特点和优点在于虚拟性,它无须考虑银行的营业网点设置,只需设置虚拟的互联网站点,突破了时间和地域的限制。但是,这种虚拟性的达成依赖于自动化程度较高的技术和设备,而这些复杂的技术和设备又肯定面临。因此,和传统的银行相比较,技术风险成为网上银行所面临的最大、最特殊的风险,在具体的网上银行业务中,还常常会转化为风险。 具体包括:(1)网上银行硬件系统出现问题,如果银行由于硬件系统出现技术故障而可能对客户的利益造成损失,这就要求商业银行在采购硬件系统时应对硬件系统的质量给予充分的注意;(2)因网上银行的技术软件原因出现问题,如果网络技术能力不足以支持网上银行的运作,导致支付、结算等业务出现过错而给客户造成损失或到服务质量的;(3)因客户操作上的失误产生风险,如果商业银行未向客户详细说明有关软件、硬件的操作,或者客户操作上失误并带来损失,将影响到网上银行的信誉和客户的信心。
3、网上银行经营管理方面的风险
网上银行是传统银行与高新技术结合的产物,面对复杂的网络技术,网上银行存在着对复杂技术、复杂系统的管理风险,商业银行在机系统的日常维护管理及客户商业资料的保密方面应尽到认真和谨慎义务,此外还存在着网上银行管理人员和操作人员的道德风险,对银行业务人员和技术人员的管理和约束也提出更高的要求。
网上银行安全篇4
关键词:网上银行 网络支付 安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企***非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
5.加强客户的安全意识和网络通讯的安全性
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。
互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
参考文献:
[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.
网上银行安全篇5
关键词:网上银行 网络支付 安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企***非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
网上银行安全篇6
关键词:网上银行;网络陷阱;安全防范
中***分类号:F062.5 文献标识码:A
依托互连网的网上银行,由于能在任何时间、任何地点、以任何方式提供服务,并且相对于传统银行在费用上还拥有优势,再加上电子商务的普及,使得网上银行业务迅速发展。随着交易规模的迅猛增长,网上银行的安全问题也受到更多的关注,如何确保网上银行的安全运营,已经成为有关各方必须认真面对和解决的问题。
一、 网上银行常遇到的几种网络陷阱
(1)利用电子邮件进行诈谝。曾经有诈骗分子盗用银行网站公开信箱,给网上银行注册客户发送邮件。并要求客户把填好的表格发至另一个信箱,从而获取用帐号及密码等重要信息。也有诈骗者发送中奖、顾问、对帐等内容的欺诈性邮件,引诱用户在邮件中填入金融账号和密码,继而盗窃用户资金。
(2)非法基金网站。近年,随着国内基金市场的发展,有境外不法分子利用非法基金网站设立骗局,利用网上银行购买基金投资。投资人在他们网站建立账户,通过网上银行转账等途径进行基金买卖,但此类基金网站在人数上升到一定数量后却突然关闭,***注销。使众多投资者遭受巨大损失。
(3)假网上银行网页。制假人利用真银行网站的有关网页,使自己假银行的网站与真银行的网站界面一模一样,而网站取名也与真银行的网站名非常近似,如果用户登录该网页输入账号、密码,行骗者就可利获得的账号密码盗取账户存款。
(4)间谍软件盗窃密码。间谍软件通过***、游戏、邮件等多种方式植入到用户计算机,在用户进行网银交易时悄悄收集用户的开户银行、用户姓名、电子邮件等资料,然后通过网上银行转走账户中的存款。
(5)利用手机短信诈骗。通常行骗者通过短信告知用户,对方银行卡在某商场消费若干元,引起用户焦虑,一旦用户按短信提供的电话去查询,对方会冒充公安或银联工作人员设法套出用户银行卡的卡号和密码。如果银行卡开通网上银行,案犯就会利用网上银行将银行卡上的钱财快带转走。
二、网络陷阱原因分析
(1)监督有欠缺。国外通常用第三方来评判和监管网上银行的各笔交易,一旦用户帐户出现问题,监管方会调查问题的原因,并根据调查结果确定是否给用户弥补损失。国内目前虽已意识到责任问题,也出台了相关***策,但目前的监管和***策还不够完善。
(2) 技术有漏洞。首先网上银行系统使用了大量新技术、新产品,而这些新技术、新产品本身就可能存在安全漏洞和安全缺陷。另外电子商务领域过度频繁的人才流动,增加了系统源码控制和设计机密性控制的难度,成为银行的安全隐患。还有就是现在大多数商业银行网站存在访问权限的混乱问题,对像客户地址、邮箱这样的重要资源的保密度还不够。
(3)用户对网络应用的不够了解,自我保护意识不够。
三、国家监管的相关措施
国家根据电子商务与网上银行的各种问题,已出台相关***策规范各方责任及行为。比如,
2005年4月1日正式实施的《电子签名法》,中国银监会颁布的《银行业金融机构信息系统风险管理指引》,以及中国银监会的《关于做好网上银行风险管理和服务的通知》等,都希望从***策层面上促进商业银行电子银行安全性和风险管理水平的提高。
虽然,国内还没有法律、法规要求国内银行必须采用第三方认证,但是,使用合法第三方认证机构的趋势是必然的,也是符合法律、法规和***策导向的。
四、目前一些商业银行的安全措施
(1)中国工商银行的口令卡和U盾技术。
中国工商银行电子银行口令卡是指以矩阵形式印有若干字符串的卡片,每个字符串对应一个唯一的坐标。持卡人在使用电子银行相关功能时,系统每次以随机方式指定若干坐标,使客户每次使用的密码都具有动态变化性和不可预知性。
“U盾”是一个带智能芯片、形状类似于U盘的硬件设备,是应用了智能芯片信息加密技术的一种数字签名工具。一旦把自己在银行的账户纳入此证书管理,在网上银行办理转账汇款、B2C支付等业务都必须启用客户证书进行验证。
(2)中国建设银行推出了短信服务、动态口令卡、USBKEY、双密码控制、交易限额控制和客户端密码安全检测等安全措施。客户可以直接通过网上银行捆绑其手机,从而收到网上银行从登陆、查询、交易、直到退出的每一个环节的短信提醒服务。另外,为了进一步保证客户资金的安全,建设银行网上银行系统还对各类资金交易设定了交易限额。
(3)中国农业银行网上银行的安全体系主要包括柜面刷卡注册流程、电子银行密码设置、证书存储机制、动态口令支付和电子支付卡消费限额等。
五、客户自身安全防范
首先安装防火墙和防病毒软件,并经常升级;二是要注意经常给系统打补丁,堵塞软件漏洞;三是提高自我保护意识,尽量避免在网吧等公共场所使用网上电子商务服务,不要随意在网站填写真实信息;四是对于不了解的网站,不要随意访问;另外重要邮件要加密; 最后***交易操作需反复确认, 在按“确定”之前,一定要反复确认自己的交费金额。
六、结语
网上银行业务的安全,需要***府各部门、各银行金融机构、用户等各方的共同努力,充分发挥各自的优势,才能确保金融体系稳健、高效运行。
作者单位:河北软件职业技术学院
参考文献:
[1]李庆莉,王东.多方共建网上银行安全体系[J].中国金融电脑,2007,(9):245-247.
[2]佚名.商业银行网上银行安全各显神通[J].金卡工程.2006,10(10):168-169.
网上银行安全篇7
关键词:资金;规范;风险
中***分类号:F23 文献标识码:A doi:10.3969/j.issn.1672-3309(x).2012.11.09 文章编号:1672-3309(2012)11-23-02
网上银行又称网络银行、***银行,借助于因特网技术,提供信息服务和金融交易服务,开展与金融相关的各项网上服务,包括开户、存款、付款、转账、信用卡消费、代收代付、信息查询等银行全方位服务项目。
一、网上银行的优点
近年来,网上银行发展非常迅速,其原因有以下几方面:一是方便、快捷。财务人员可以24小时上网查询业务,随时直接通过网上银行实现款项的转账拨付,毋须手工填制转账支票和进账单,然后再到银行排队进行转账等一系列繁琐的工作,从而大大提高工作效率。二是保证了资金的安全性。资金的收、付、转都通过网上银行来实现,避免传统模式下交接支票、提取现金等存在的安全隐患,增加了资金的安全系数。三是低成本、高效率。根据相关资料显示,网上银行的每笔交易成本远低于实体银行、电话银行、ATM自助银行,并且交易更便捷。四是有利于对资金交易的控制。每笔交易由财务相关授权人员在提交银行前,用专用CA认证证书进行数字数据录入和审核,保证了交易的可靠性、不可否认性和数据的完整性。
二、网上银行的风险
客户操作风险意识淡簿。由于网上银行是新生事物,大部分网民还没有形成良好习惯,风险意识淡薄,诸如密码过于简单、对密码保管不严、经常在网吧进行网上操作,贪***小利、疏于防范、金融知识缺乏等,这些都给银行客户资金带来隐患。客户操作风险意识淡簿关键是银行与媒体对网上银行安全宣传力度不够,银行在宣传网上银行产品上,过多地在乎营销结果,而对于客户是否真正会用、是否了解网上银行的安全问题关心较少,因而很多客户盲目地成为网上银行客户,但对如何防范风险以确保自己资金的安全却很茫然。有些客户根本不知道网上银行是一种金融产品,从未用过网上银行也未作深入了解,随意泄露个人信息,为后来的网络银行的风险埋下伏笔。
(一)法律风险
网上银行作为一种在我国起步不久的新生事物,目前尚未有专门的网上银行法律法规与之相配套,使得企业或银行在开展网上银行业务时无法可依,这就导致网络金融犯罪的发生。由于相关立法在这一方面的滞后性,使得网上银行在运行中处于被动状态,因此难以将犯罪活动在萌芽开始时予以制止或消灭。
(二)技术风险
技术风险是由于网络技术的不成熟以及网络漏洞而引发的潜在风险。主要出现在数据输送、数据加密解密、防火墙技术等环节上。目前常见的几种窃密手法有:一是钓鱼网站。指通过建立虚假网上银行网站,骗取企业账号密码实施盗窃。盗窃团伙所创建的网站及网页内容、版面的颜色***案都与真正网上银行交易平台极其相似,诱导企业用户输入账号密码等信息,进而通过真正的网上银行交易信息来盗窃资金。二是木马病毒的植入。指通过记录鼠标键盘活动、屏幕截***、网络窃听、内存分析等手段窃取企业重要的电脑资料。面对这些网络攻击手的袭击,网上银行所面临的风险更是显而易见,这就需要网络金融技术的不断创新,使之走在技术领先的前列,才能使网上银行业务走得更远更好。
(三)内部操作性风险
内部操作性风险,又称内部财务管理风险,指由于单位内部人员操作失误或与他人恶意串通而导致的潜在风险以及管理上的不严谨而形成的风险。如由于操作员的制单错误,未将其资金汇往指定的单位账户,导致企业没能按照合同的规定期限付款,而支付了相应的违约金,给企业造成损失;又再如网上银行相关经管人员与外技术单位串通非法窃取授权密码,在未经授权人同意或在其不知情的情况下超越权限进行交易,转移银行存款;除此之外,还可能由于经办人员的U 盾保管不善,使得无法使用网上结算或被人非法窃取使用。
三、加强网上银行日常监管和风险防范的措施
网上银行的优点和存在的风险,随时提醒每个财务人员(或操作人员)如何更好地运用网上银行处理日常资金的收、付、转业务,做到资金安全无忧,笔者结合工作实际,提出以下几点措施:
(一)单位制定网上银行操作流程和相关权限的设计
1、开办网上银行的账户严格按照开设银行账户的审批流程审批。
2、网上银行的银行存款业务审批与管理严格按照普通银行存款的相关管理规定执行。
3、网上银行的银行存款业务设操作员、复核员二级。
4、电子银行卡与密码的保管人员不得将卡交予其他人员,密码需定期更换,电子银行卡丢失需及时挂失上报,否则后果由保管人员承担。
5、网上银行支付程序及权限限制。
(1)对于一笔金额100万元以下的。出纳根据会计审核无误的记账凭证上显示的银行存款金额,在中国工商银行或其他银行网上填写需支付的金额报科长复核无误后付款。
(2)对于一笔金额超过100万元的。出纳根据会计审核无误的记账凭证上显示的银行存款金额,在中国工商银行或其他银行网上填写需支付的金额报科长复核无误呈处长审核无误后付款
(3)对于大笔金额费用的支付设置二级权限,比一级权限多一道防火墙,有利于更好地保障资金的安全。
(二)以上操作流程应注意的事项
1、会计认真审核原始单据,做到数据准确无误、科目归集合理。
2、出纳根据会计编制的会计凭证,进行数据录入。
3、复核人员对于录入的单位、账号、金额根据会计凭证后的附件进行核对,确保单位、账号、金额准确无误后,再批准资金的收、付。
(三)操作人员应加强对计算机的操作流程和病毒清理
1、操作人员应树立随时对计算机进行病毒清理的意识,随时对财务数据进行备份,防止数据丢失。
2、操作人员应安装个人防火墙软件及防电脑病毒软件,并定期***有关的更新档案。这些软件有助于防止骗子在个人电脑内植入有害的病毒或蠕虫。
3、操作人员切勿使用电邮内的超连结、可疑的突现式视窗或网上搜寻器登入网上银行账户。
4、操作人员不要随便开启来历不明并载有附件的电邮,而进入可疑网站前也应三思。当需要浏览银行的网站时,客户应在浏览器的***输入有关银行的***,或将真正的***记录在电脑书签内。
参考文献:
[1] 中国金融认证中心.2008年中国网上银行调查报告.
[2] 霍文斌.关于应用网上银行推进医院财务结算工作的探索与实践[J]. 中国卫生经济,2010,(02).
网上银行安全篇8
关键词 网络银行;电子支付;安全性;虚拟;权益
中***分类号TP39 文献标识码A 文章编号 1674-6708(2011)35-0171-02
随着计算机网络信息技术的发展和电子商务的普及,人们愈来愈偏向于使用网络来进行网上服务以及结算。网络银行作为一种新型的银行信息传递快捷方便、成本低、效率高的优势,突破了传统银行的局限性。网络银行作为新兴的电子支付方式,已经逐渐被人们所接受。在这种形势下,发展网络银行业务已成为整个银行业的共识,网络银行必然会成为未来的主流业务。然而,我国网络银行在显示其巨大的发展潜力以及空间的同时,由于网络银行业务是新兴的交易方式,因此面临着许多问题需要解决。安全问题也逐渐受到关注,并成为阻碍网络银行发展的最大因素。
1 网络银行的内涵定义
网络银行又称***银行、网上银行或“3A银行”,是指银行利用计算机网络技术,通过计算机网络向客户提供开户、销户、对帐、查询、跨行转账、行内转账、网上证券、信贷、投资理财等网上金融服务项目,使客户可以足不出户就可以安全便利地管理活期以及定期存款、信用卡、支票及个人投资等。它不受时间、空间限制,可以在任何时间、任何地点、以任何方式为客户提供金融服务。可以说,网络银行是在计算机网络上的虚拟银行柜台。
2 完善网络银行安全保障的必要性
数量稳定且逐渐壮大的客户群体是商业银行赖以生存以及发展的基础。网络银行突破了空间以及时间的限制,具有交易操作便捷、交易成本较少、交易时间缩短等显著的优点,在理论上可以使商业银行的营业柜台无限拓展,因而正在受到愈来愈多客户的欢迎,这无疑为我国网络银行提供了良好的发展机会。
然而,随着网络银行的不断发展,我们也发现安全问题逐渐成为制约网络银行发展的首要问题。因为安全对于商家、客户、银行都是相当重要的。同时加强网络银行网站本身的安全性问题也逐渐成为网络银行业务面临的主要安全问题。分析这些安全问题产生的根源,并提出一些防范对策,对我国网络银行的发展具有十分重要的现实意义。
3 我国网络银行的安全问题分析
3.1来自银行内部的安全问题
网上支付信息是在互联网上公开传递的,存在支付信息被篡改以及窃取的隐患。传统支付手段的支付信息是在银行内部网络上传输的,内部网络以及外部网络―般都有稳妥的安全隔离措施,内部网的安全性是比较高的。据《中国计算机》所做的调查中,48%的被采访者没有用过网络银行,这部分人不选择网络银行的原因中有70%是因为感觉网络银行不安全。
在网络银行登录过程中,即便登录失败,网站也不会将密码视为无效,根据这一点,作案者就可以采用改变登录ID的方法非法窃取密码。除了这样用软件窃取密码的隐患之外,“冒充站点”也是网络银行使用中一个十分常见的安全隐患。客户在不了解情况下就会向虚假站点发送ID以及密码。这样一来,就会有不法分子乘机钻空隙,就存在非法资金转移的可能性。
如何能够保证客户网上银行交易系统的安全使用,这就关系到银行内部乃至整个金融网络的安全,这是我们在网上银行建设时需要关注的一个至关重要的问题,这也是银行给客户资金最安全的保证。开通了网上银行业务银行为此将承担了更多的风险。所以现在就我国已开通了“网上银行”业务的银行都已经拥有了一套严密的安全体系。这些包括了加强网络安全策略、加强安全管理制度,在加强了网络安全技术措施的同时,也对业务安全、内部安全、安全审计加强了监控,这一系列的加强都是以保证“网上银行”的安全为前提加以运行。
3.2交易信息传递的安全问题
用户以及银行之间通过互联网传递的信息是实现交易的基础条件。目前,我国银行卡安全意识普遍较弱,一旦卡号以及密码被他人窃取或猜出,这就导致密码和卡号容易被盗用。例如在进行网上购物时造成以上情况,而银行技术手段目前对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才可以使用“网络银行”进行转账支付,以此保障客户的资金安全;另一种情况是,有的用户不注意安全在公用的电脑上使用网银或U盾,可能会使数字证书等机密资料落入不法分子之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
4 完善网络银行安全保障的相关建议
4.1确保计算机系统数据的安全可靠
对网络银行信息安全的威胁以及攻击主要是指信息泄漏以及信息破坏。由于偶然事故或人为破坏,使信息的完整性、正确性以及可用性受到破坏,甚至造成敏感信息泄漏,给银行造成巨大的经济和形象损失。由于网络体系的全球开放性,由此对身份认证(CA)、“防火墙”、安全电子交易SET标准及其他技术措施的要求更高。如何确保各种数据在保存以及传输过程中不被泄漏以及被破坏,如何防止不法分子侵入,以及如何识别数据真是持有者的身份都是急需解决的问题。所以,保障数据的安全就成为确保网络银行安全的重要措施。
我们就必须防止诸如行内人员作案、外部黑客人侵、非授权访问、资料被截取以及篡改、病毒干扰等网络犯罪及网络问题,防范风险,确保安全,以切实解决金融认证、网络支付的安全以及可靠问题。同时银行为保证网上客户安全而设计的网上支付程序,应当更有利于保障客户的权益,而不只是有利于银行操作,这样才可以消除客户顾虑,吸引更多的潜在客户,扩大市场规模。
4.2加快社会信用安全体系的建设
社会信用安全体系可以有效减少金融风险,促进金融业规范发展。信用安全体系得不到建立,网络银行的业务也就无法继续扩大。因此,我们在经济交易中,应当具有确定的安全预期心理,进而顺利地进行金融活动。
防范这些问题均需及早研究以及着手准备。我们应当顺应网络时代的潮流,具备前瞻意识,要防范信用风险,必须建立起以监管当局牵头的,同时要跨部门的,包括工商管理、银行、公安、税务等多部门协同的监管体系,实现跨行业、跨部门、跨地区的信用信息互联互通,做到信息共享。同时加快自身的技术更新以及网络化建设,注重自主创新,应对新形势下的网银安全问题,从偏重于增加分支机构转变为注重开发银行安全系统,扩大市场占有率。
4.3增强客户安全意识确保信息安全
安全性作为网络银行赖以生存以及得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术以及业务手段来确保网络银行安全。银行卡持有者的安全意识是影响网络银行安全性的不可忽视的重要因素。互联网是一个开放的网络,用户在网上传输的敏感信息在通讯过程中存在被截获、被篡改、被破译的可能。我们应当加强客户的安全意识以及网络通讯的安全性,客户必须持合法证件到银行柜台签约才可以使用“网络银行”进行转账支付,以此保障客户的资金安全。为了防止客户密码被盗的情况发生,我们应该采用加密传输交易信息的措施,通过SSL数据加密协议等方式保障网银交易的安全。
5 结论
随着电子商务技术的发展,网络银行的使用也愈来愈广泛,网络银行已经成为人们日常生活中不可分割的部分。但是网络银行还存在很大的安全问题,必须引起银行管理者的重视,必须在安全性以及方便性上进行权衡。本文在概述网络银行发展现状的基础上,提出网络银行在安全性方面存在的主要问题,并提出相应的安全技术措施及网络银行更安全的使用方法。希望通过本文提出的观点确保网络银行系统数据的安全可靠,加快社会信用体系以及信用监管机构的建设,提高客户的安全意识以及网络银行交易的安全性。
参考文献
[1]周平.网络银行安全问题[M].北京:中国财经出版社,2009,9.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2010,2.
[3]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2010,6.
网上银行安全篇9
关键词:网络银行;internet网络;安全
中***分类号:TP393文献标识码:A文章编号:1009-3044(2010)20-5453-02
Internet Banking Security Prospects
ZHOU Kai
(Jining City Medical Insurance Management Center, Ji'ning 272059, China)
Abstract: That cyberbank's appearing, maximum field have changed society economy is operating a pattern, is creating new social value in the process reforming now available social value structure. While human being enjoying what informationization society brings about facilitating, also have to ingest bitter pill brewed by information society: Cyber crime is rampant, intellectual property rights and the individual privacy are infringed upon by grave field, national security is waited for a while by grave challenge and the threat. This law will be to one kind of mandatory measure adopted by information safety, the information behavior being that the mandatory strength of country uses the what be in progress law to adjust sum norm, its to information resources and information implement uses people conscientious or compels the field bureau.
Key words: internet banking; internet network; safety
随着“以网络应用为核心的数字化***时代”的到来,金融业首当其冲地受到了电子信息技术的深刻影响,由此形成了全新的经营模式――网上金融。网上金融引发了一系列复杂的问题,其中最为普遍的是与网络银行有关的问题。“网上银行”在为金融企业的发展带来前所未有的商机的同时,也为众多用户带来实实在在的方便。作为一种全新的银行客户服务提交渠道,客户可以不必亲身去银行办理业务,只要能够上网,无论在家里、办公室,还是在旅途中,都能够每天24小时安全便捷地管理自己的资产,或者办理查询、转账、缴费等银行业务。“网上银行”的优越性的确很明显。但是面对这一新兴的事物,人们却有一个最大的疑惑:“网上银行”安全吗?
1 网上银行的安全性分析
1.1 网上银行安全问题
一般来说,人们担心的网上银行安全问题主要是:
1.1.1 银行交易系统被非法入侵。
黑客可以通过入侵级别很高的服务器,如***府机关的服务器访问银行的服务器,通过这样的手段来窃取银行客户的资料。或内部人员利用外面的计算机通过别的手段进入服务器窃取资料。
1.1.2 信息通过网络传输时被窃取或篡改。
黑客通过某种手段在网上截取银行和客户之间的信息,或监控客户的电脑,把客户的电脑改为黑客的肉鸡,达到窃取银行客户资料的目的,如前一段时间爆发的“熊猫烧香”的病毒,“熊猫烧香”病毒有窃取电脑帐号密码的功能,然后发到指定的邮箱里。如果客户的电脑感染了这种病毒,那客户的资料就有可能被盗。
1.1.3 交易双方的身份识别;账户被他人盗用。
上面讲到了病毒和木马有窃取帐号密码的功能和目的,黑客用窃取的资料伪装成合法真实的银行客户与银行或其他消费性行业进行交易.业务。
网银,一般分为大众版和专业版。专业版必须由用户本人到银行网点申请办理数字证书,大众版允许客户凭身份证、账号和密码在网上自助开通。但大众版只能提供查询、小额支付等基本功能,专业版可提供转账支付等服务。
对客户来说,从以下几个步骤可以看出网银的“安全指数”:登陆、数字证书、密码验证。目前,各家银行采用的登陆方式不同,即使是同一家银行,也会让客户选择多种登陆方式,一般情况采用银行卡号、客户号或身份证号登陆,也有的让客户自己设置昵称登陆,也有不用输入用户名即可登陆,如招行、农行。
相对来说,数字证书略微复杂一点。数字证书是网银用户使用的一种将个人信息与电子签名唯一绑定的电子文件,通过它可对网上交易进行身份确认,确保交易的唯一、完整和不可否认。数字证书分为“移动数字证书”和“文件数字证书”。“文件数字证书”是IE浏览器证书,成本低,客户需要将此证书的软件安装在电脑上;“移动数字证书”外形类似U盘,安全性高,便于携带。有了数字证书后,等于为客户设置了三道防火墙:用户名、密码、数字证书,这就能提供最基本的网银安全保障。需要注意,在网银的转帐中,会涉及支付密码,一般支付密码和登陆密码不宜设为同一个。
从银行的角度来看,开展网上银行业务将承担比客户更多的风险。因此,我国已开通“网上银行”业务的招商银行、建设银行、中国银行等,都建立了一套严密的安全体系,包括安全策略、安全管理度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等,以保证“网上银行”的安全运行。
银行交易系统的安全性“网上银行”系统是银行业务服务的延伸,客户可以通过互联网方便地使用商业银行核心业务服务,完成各种非现金交易。但另一方面,互联网是一个开放的网络,银行交易服务器是网上的公开站点,网上银行系统也使银行内部网向互联网敞开了大门。因此,如何保证网上银行交易系统的安全,关系到银行内部整个金融网的安全,这是网上银行建设中最至关重要的问题,也是银行保证客户资金安全的最根本的考虑。
1.2 为防止交易服务器受到攻击,银行主要采取的技术措施
1.2.1 设立防火墙,隔离相关网络
一般采用多重防火墙方案。其作用为:
1) 分隔互联网与交易服务器,防止互联网用户的非法入侵。
2) 用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3) 还应安装杀毒软件,每天定时升级,加强对服务器的管理。
1.2.2 高安全级的Web应用服务器
服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
1.2.3 24小时实时安全监控
在2000年2月Yahoo等大网站遭到黑客入侵破坏时,使用ISS安全产品的网站均幸免于难。网上交易不是面对面的,客户可以在任何时间、任何地点发出请求,传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是,用户的密码在登录时以明文的方式在网络上传输,很容易被攻击者截获,进而可以假冒用户的身份,身份认证机制就会被攻破。
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。
2 网络银行的展望――客户的安全意识
2.1 客户的安全意识
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前,我国银行卡持有人安全意识普遍较弱:不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。
另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用
网上银行账户被盗用,经过调查分析主要由以下几种情况引起:
点击浏览了一些被安装了木马程序的网站,木马就会自动***并根植于受害者的电脑中,一旦受害者使用网上银行功能,木马程序就会自动将受害者的银行账号和密码发给盗号者。在网吧使用网上银行功能,被盗取的可能性极大。因为网吧的电脑有可能被黑客种植了木马盗号程序。***安装了一些盗版或可疑软件,也可能会被种木马,有些来历不明的邮件也会携带木马。受害者不注意密码保护,将银行账号的密码设置成生日等容易被猜测的数字,也会增加被破解盗取的几率。
网外其他途径泄漏,如在取款机取款时被泄漏,被钓鱼短信所骗取,如说你在哪里消费了多少,打什么电话查询之类的。
防范的办法:
首先要提高自身的安全意识,注意自己银行账号的密码保护,尽可能降低泄漏的可能性。
最安全的办法是向银行申请自己的数字证书,例如工商银行的用户,其个人网上银行USBKey客户证书(U盾)是一个带智能芯片、形状类似于闪存(即U盘)的实物硬件,是专门用于网上银行的安全通行证。拥有这个属于自己的硬件安全证书,不但可以确保个人网上银行的安全,而且对外转账金额不受限制。建行的客户证书则是数字证书,也能起到保障网上银行使用者利益的作用。
在电脑环境方面,建议及时更新操作系统的补丁,确保操作系统在最新的版本状态,减少相应的安全漏洞。安装针对病毒及木马的查杀软件,并及时进行更新。
千万不要相信一些骗人的短信,如果有疑问,可以直接打银行提供的电话进行相关的账号信息查询。
在上网时,尽量不要浏览一些来历不明的网站,不要轻易***、安装、运行来历不明的软件,尽量避免在不属于自己的电脑上使用网银功能,减少中木马的可能性。在进行网上银行、网上购物或其他需要输入密码的操作时要特别仔细核对***,有些不法分子就是注册和银行相似的***,然后让客户上当,总之,在网上银行业务操作时一定要多留个心眼。
一旦发现自己的网上银行账户被盗用,马上联系当地的公安网监部门帮助解决。一般情况下,商家都会配合***门做好协助工作,可尽量减少损失额。
我国法律对于网络安全保护及计算机犯罪的制裁是有规定的。1997年修订的新刑法第285条、第286条及第287条,对以计算机系统为客体的犯罪、以计算机中的信息为客体的犯罪、制作传播病毒破坏性程序的犯罪、以计算机为工具的金融犯罪都做出了明确的规定与制裁。此外,***、***等部门颁布的《计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《金融机构计算机信息安全保护工作暂行规定》、《计算机信息网络国际联网保密管理办法》等法规对有关问题也作出了规定。
综上所述,网上银行作为一种与现代科技迅猛发展紧密相连的新型贸易方式,对现行法律提出了前所未有的挑战。对于网上银行带来的新问题,需要对原有法律法规的进行调整修正来解决。密切注意网上银行发展趋势,积极探讨、研究和学习国外的先进立法经验,并结合中国国情,制定符合实际需要的网上银行法律规范,改善我国网上银行发展的基础环境,对促进我国网上银行健康、有序的发展有着非常重要的意义。
参考文献:
[1] 黄敏学.电子商务[M].北京:高等教育出版社,2001.
网上银行安全篇10
关键词:网上银行网络支付安全性问题
随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。
一、我国网上银行存在的安全性问题
1.网上银行网站存在的安全性问题
在网络银行中,企***非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。
2.交易信息在商家与银行之间传递的安全性问题
因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。
3.交易信息在消费者与银行之间传递的安全性问题
目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。
综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。
二、网上银行安全性问题解决的对策
1.做好自身电脑的日常安全维护
一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。
2.设立防火墙,隔离相关网络
所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。
3.设置高安全级的web应用服务器
高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。
4.建立完善的身份认证和CA认证系统
在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。
5.加强客户的安全意识和网络通讯的安全性
银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。
安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。
互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。
参考文献:
[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.
[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.