導(dǎo)語(yǔ)：我國(guó)網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)與對(duì)策研究論文一文來(lái)源于網(wǎng)友上傳，不代表本站觀點(diǎn)，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

[摘要]文章從技術(shù)上、操作上、社會(huì)環(huán)境等方面闡述了網(wǎng)絡(luò)銀行的風(fēng)險(xiǎn)及其相應(yīng)的防范措施。

[關(guān)鍵詞]網(wǎng)絡(luò)銀行;風(fēng)險(xiǎn);防范

我國(guó)網(wǎng)絡(luò)銀行除了具有傳統(tǒng)銀行的流動(dòng)性風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)、結(jié)算風(fēng)險(xiǎn)、道德風(fēng)險(xiǎn)、新金融工具風(fēng)險(xiǎn)外,還增加了一些網(wǎng)絡(luò)環(huán)境下的新風(fēng)險(xiǎn)。

一、我國(guó)網(wǎng)絡(luò)銀行面臨的風(fēng)險(xiǎn)

1.系統(tǒng)風(fēng)險(xiǎn)

(1)操作系統(tǒng)風(fēng)險(xiǎn)。操作系統(tǒng)是作為計(jì)算機(jī)資源的直接管理者,它直接和硬件打交道并為用戶提供接口,是計(jì)算機(jī)系統(tǒng)能夠正常、安全運(yùn)行的基礎(chǔ)。Windows操作系統(tǒng)存在許多安全漏洞,UNIX操作系統(tǒng)是一個(gè)開放的系統(tǒng),源代碼已公開。根據(jù)美、荷、法、德、英、加共同制定的通用安全評(píng)價(jià)標(biāo)準(zhǔn)《CommonCriteriaforITSecurityEvaluation(簡(jiǎn)稱CC標(biāo)準(zhǔn))》,微軟的Windows操作系統(tǒng)、大部分的UNIX操作系統(tǒng)其安全性僅達(dá)到C2級(jí)安全,而網(wǎng)絡(luò)銀行的操作系統(tǒng)的安全級(jí)別應(yīng)至少達(dá)到B級(jí)。

(2)應(yīng)用系統(tǒng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)設(shè)計(jì)存在漏洞。目前,網(wǎng)絡(luò)應(yīng)用軟件存在以下安全漏洞:無(wú)效參數(shù)、失效的訪問(wèn)控制、失效的賬戶、跨站點(diǎn)腳本漏洞、緩沖溢出、命令注入漏洞、錯(cuò)誤處理問(wèn)題、密碼系統(tǒng)的非安全利用、遠(yuǎn)程管理漏洞、網(wǎng)絡(luò)及應(yīng)用軟件服務(wù)器錯(cuò)誤配置。

在設(shè)計(jì)過(guò)程中,只重視“計(jì)算機(jī)如何完成任務(wù)”方面的設(shè)計(jì),對(duì)運(yùn)行過(guò)程中的程序控制或檢查考慮不全面,系統(tǒng)沒有為審計(jì)留下接口,難以進(jìn)行實(shí)時(shí)審計(jì)。

(3)數(shù)據(jù)存儲(chǔ)風(fēng)險(xiǎn)。數(shù)據(jù)存取、保密、硬盤損壞導(dǎo)致的風(fēng)險(xiǎn)。

(4)數(shù)據(jù)傳輸風(fēng)險(xiǎn)。數(shù)據(jù)傳輸過(guò)程中被竊取、修改等風(fēng)險(xiǎn)。

2.操作風(fēng)險(xiǎn)

網(wǎng)絡(luò)銀行操作風(fēng)險(xiǎn)是指由于網(wǎng)絡(luò)銀行中的內(nèi)部程序、人員、系統(tǒng)的不完善或失誤,以及外部事件而導(dǎo)致網(wǎng)絡(luò)銀行直接或間接損失的風(fēng)險(xiǎn)。產(chǎn)生操作風(fēng)險(xiǎn)的原因有以下幾點(diǎn):

(1)網(wǎng)絡(luò)銀行操作風(fēng)險(xiǎn)意識(shí)淡薄。

(2)組織機(jī)構(gòu)職責(zé)不清。

(3)內(nèi)控制度不健全或執(zhí)行不力。

(4)沒有適合的網(wǎng)絡(luò)銀行稽核審計(jì)部門。

3.信用風(fēng)險(xiǎn)

網(wǎng)絡(luò)銀行的信用風(fēng)險(xiǎn)主要表現(xiàn)為客戶在網(wǎng)絡(luò)上使用信用卡進(jìn)行支付時(shí)惡意透支,或使用偽造的信用卡來(lái)欺騙銀行。

4.信息不對(duì)稱風(fēng)險(xiǎn)

信息不對(duì)稱表現(xiàn)在兩個(gè)方面,一方面是由于網(wǎng)絡(luò)銀行無(wú)法得到足夠客戶信息,另一方面是由于客戶無(wú)法得到有關(guān)網(wǎng)絡(luò)銀行的足夠信息。信息不對(duì)稱使得網(wǎng)上客戶更容易隱蔽他們的信息和行動(dòng),做出對(duì)自己有利而對(duì)網(wǎng)絡(luò)銀行不利的行為,也使得客戶不能正確評(píng)價(jià)網(wǎng)絡(luò)銀行的優(yōu)劣。

5.法律風(fēng)險(xiǎn)

我國(guó)對(duì)網(wǎng)絡(luò)銀行和網(wǎng)上交易缺乏相應(yīng)的法規(guī)。如:如何征收與管理網(wǎng)上稅收、數(shù)字簽名是否具有法律效力、交易的跨國(guó)界問(wèn)題、知識(shí)產(chǎn)權(quán)問(wèn)題、電子合同問(wèn)題、電子貨幣問(wèn)題、電子轉(zhuǎn)賬問(wèn)題。

二、我國(guó)網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)防范對(duì)策

1.系統(tǒng)風(fēng)險(xiǎn)的防范

(1)物理安全。主要指對(duì)計(jì)算機(jī)設(shè)備場(chǎng)地、計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、密鑰等關(guān)鍵設(shè)備的安全防衛(wèi)措施。為了防止電磁泄露,要對(duì)電源線和信號(hào)線加裝濾波器,減少傳輸阻抗和導(dǎo)線間的交叉耦合,同時(shí)對(duì)輻射進(jìn)行防護(hù)。

(2)應(yīng)用安全操作系統(tǒng)技術(shù)。安全操作系統(tǒng)不僅可以防范黑客利用操作系統(tǒng)平臺(tái)本身的漏洞來(lái)攻擊網(wǎng)絡(luò)銀行交易系統(tǒng),而且它還可以在一定程度上屏蔽掉應(yīng)用軟件系統(tǒng)的某些安全漏洞。美國(guó)先后開發(fā)了各種級(jí)別的安全操作系統(tǒng),其中作為商用的有DataGeneral公司的DGUXB1/B2安全操作系統(tǒng),HP公司的HPUXCMWB1級(jí)安全操作系統(tǒng)等。國(guó)內(nèi)各大科研機(jī)構(gòu)及公司也研制出高安全級(jí)別的操作系統(tǒng),如:中科院信息安全工程研究中心研制的SECLINUX安全操作系統(tǒng)、中軟總公司研制的COSIXLINUX系統(tǒng)。目前,中國(guó)建設(shè)銀行的網(wǎng)絡(luò)銀行系統(tǒng)建立在安全操作系統(tǒng)平臺(tái)之上,該系統(tǒng)基于HP9000硬件平臺(tái),采用HP公司的B1級(jí)安全操作系統(tǒng)。

(3)數(shù)據(jù)通信加密技術(shù)的應(yīng)用。對(duì)傳輸中的數(shù)據(jù)流進(jìn)行加密,按實(shí)現(xiàn)加密的通信層次可分為鏈路加密、節(jié)點(diǎn)加密、端到端加密。在鏈路數(shù)較多以及對(duì)流量分析要求不高的情況下,適合采用“端到端加密”方式。在對(duì)流量分析要求較高的情況下,可采用“鏈路加密”與“端到端加密”相結(jié)合的方式:用“鏈路加密”對(duì)報(bào)文的報(bào)頭進(jìn)行加密,防止進(jìn)行流量分析,再用“端到端加密”對(duì)傳送的報(bào)文進(jìn)行加密保護(hù)。

對(duì)數(shù)據(jù)進(jìn)行加密的算法主要有DES和RSA兩種。DES屬于私鑰加密體制(又稱對(duì)稱加密體制),它的優(yōu)點(diǎn)是加、解密速度快,算法容易實(shí)現(xiàn),安全性好,缺點(diǎn)是密鑰管理不方便。RSA屬于公鑰加密體制(又稱非對(duì)稱加密體制),它的優(yōu)點(diǎn)是安全性好,網(wǎng)絡(luò)中容易實(shí)現(xiàn)密鑰管理。因此可以采用將DES和RSA相結(jié)合的綜合加密體制:用DES算法對(duì)數(shù)據(jù)進(jìn)行加密,用RSA算法對(duì)密鑰進(jìn)行加密。

(4)應(yīng)用系統(tǒng)安全。應(yīng)用系統(tǒng)安全主要包括對(duì)交易雙方的身份確認(rèn)和對(duì)交易的確認(rèn)。在網(wǎng)絡(luò)銀行系統(tǒng)中,用戶的身份認(rèn)證依靠數(shù)字簽名機(jī)制和登錄密碼雙重檢驗(yàn),將來(lái)還可以通過(guò)自動(dòng)指紋認(rèn)證系統(tǒng)進(jìn)行身份認(rèn)證。數(shù)字簽名還確保了客戶提交的交易指令的不可否認(rèn)性。公鑰基礎(chǔ)設(shè)施——PKI(PublicKeyInfrastructure)是解決大規(guī)模網(wǎng)絡(luò)環(huán)境中信任和加密問(wèn)題的很好的解決方案。同時(shí)采用安全電子交易協(xié)議,目前主要的協(xié)議標(biāo)準(zhǔn)有:安全超文本傳輸協(xié)議(S-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術(shù)協(xié)議(STT)、安全電子交易協(xié)議(SET),其中SET涵蓋了信用卡的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認(rèn)證、數(shù)字簽名等,已經(jīng)成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)。

加強(qiáng)應(yīng)用系統(tǒng)開發(fā)過(guò)程的審計(jì),應(yīng)用系統(tǒng)運(yùn)行過(guò)程中的實(shí)時(shí)審計(jì)。

(5)應(yīng)用數(shù)據(jù)庫(kù)安全技術(shù)。應(yīng)用存取控制技術(shù)、數(shù)據(jù)加密技術(shù)、硬盤分區(qū)防護(hù)技術(shù)、數(shù)據(jù)庫(kù)的安全審計(jì)技術(shù)、故障恢復(fù)技術(shù)等。

(6)應(yīng)用防火墻安全技術(shù)。建立綜合計(jì)算機(jī)病毒檢測(cè)技術(shù)、服務(wù)技術(shù)和包過(guò)濾技術(shù)的第四代防火墻,提供DES加密、支持鏈路加密或虛擬專網(wǎng)、病毒掃描等安全服務(wù),并具有實(shí)時(shí)報(bào)告、實(shí)時(shí)監(jiān)控、記錄非法登錄、統(tǒng)計(jì)分析等功能。設(shè)置放火墻時(shí)要截止所有從135到142的TCP和UDP連接,改變默認(rèn)配置端口,拒絕PING信息包,通過(guò)設(shè)置ACCESSLIST的過(guò)濾規(guī)則來(lái)實(shí)現(xiàn)包過(guò)濾功能。采用防火墻雙機(jī)冷備份策略。進(jìn)行入侵檢測(cè)和定期漏洞掃描。

2.操作風(fēng)險(xiǎn)的防范

操作風(fēng)險(xiǎn)主要來(lái)自銀行內(nèi)部,應(yīng)完善網(wǎng)絡(luò)銀行的內(nèi)部控制制度,建立科學(xué)的操作規(guī)范,嚴(yán)格內(nèi)部制約機(jī)制,將不相容職務(wù)如管理員與經(jīng)辦員分離、程序員與操作員分離、制作者與執(zhí)行者分離,對(duì)主管和操作員實(shí)行IC卡身份鑒別,并同時(shí)加口令,任何進(jìn)入系統(tǒng)的操作必須有日志記載。

建立操作風(fēng)險(xiǎn)管理中心,對(duì)員工進(jìn)行防范操作風(fēng)險(xiǎn)的技術(shù)培訓(xùn),監(jiān)督各項(xiàng)操作風(fēng)險(xiǎn)管理制度的執(zhí)行情況,對(duì)網(wǎng)絡(luò)銀行的操作風(fēng)險(xiǎn)進(jìn)行評(píng)估,并采取相應(yīng)措施。建立操作風(fēng)險(xiǎn)應(yīng)急反應(yīng)中心,對(duì)業(yè)務(wù)的影響因素進(jìn)行研究,識(shí)別出可能導(dǎo)致業(yè)務(wù)中止的情況,系統(tǒng)的備份及定期測(cè)試公司的災(zāi)難應(yīng)急計(jì)劃,對(duì)出現(xiàn)的安全問(wèn)題提供技術(shù)支援和解決方案。使用保險(xiǎn)來(lái)抵補(bǔ)那些“低頻率、高危害”的操作風(fēng)險(xiǎn)。建立操作風(fēng)險(xiǎn)審計(jì)中心,對(duì)全部的網(wǎng)絡(luò)銀行業(yè)務(wù)實(shí)時(shí)監(jiān)控、網(wǎng)絡(luò)掃描,并利用審計(jì)記錄,對(duì)業(yè)務(wù)操作人員和計(jì)算機(jī)系統(tǒng)管理人員進(jìn)行稽核。

來(lái)自外部的操作風(fēng)險(xiǎn),尤其是網(wǎng)絡(luò)銀行金融欺詐方面,不但要對(duì)個(gè)人服務(wù)的零售業(yè)務(wù)進(jìn)行監(jiān)控,還要加強(qiáng)對(duì)登錄網(wǎng)絡(luò)銀行的企業(yè)加強(qiáng)監(jiān)控,通過(guò)數(shù)據(jù)挖掘軟件對(duì)可疑資金交易進(jìn)行分析,防范利用網(wǎng)絡(luò)進(jìn)行非法資金交易。

3.信用風(fēng)險(xiǎn)的防范

建立全國(guó)性的用戶信用管理信息系統(tǒng),將用戶劃分為不同的信用等級(jí),針對(duì)不同等級(jí)的用戶采取不同的管理措施。應(yīng)共享客戶資料信息庫(kù),與其他商業(yè)銀行、保險(xiǎn)公司等非銀行金融機(jī)構(gòu)、世界各銀行等金融機(jī)構(gòu)合作,及時(shí)將客戶的守信情況和違約情況記錄入庫(kù)。

4.信息不對(duì)稱風(fēng)險(xiǎn)的防范

建立信息披露制度,強(qiáng)化信息披露的質(zhì)量。應(yīng)定期經(jīng)注冊(cè)會(huì)計(jì)師審計(jì)的關(guān)于網(wǎng)絡(luò)銀行經(jīng)營(yíng)活動(dòng)和財(cái)務(wù)狀況的公允信息,披露有關(guān)網(wǎng)絡(luò)銀行風(fēng)險(xiǎn)的大小和網(wǎng)絡(luò)銀行為了規(guī)避風(fēng)險(xiǎn)而采取的措施以及消費(fèi)者權(quán)益保護(hù)的信息。建立社會(huì)監(jiān)管體系,網(wǎng)絡(luò)銀行之間進(jìn)行相互監(jiān)督。

5.法律風(fēng)險(xiǎn)的防范

應(yīng)充分利用和執(zhí)行《網(wǎng)絡(luò)銀行業(yè)務(wù)管理暫行辦法》,應(yīng)充分利用《合同法》、《會(huì)計(jì)法》、《票據(jù)法》、《支付結(jié)算辦法》等法律擬訂網(wǎng)絡(luò)銀行相關(guān)協(xié)議,制定有關(guān)業(yè)務(wù)流程和業(yè)務(wù)處理規(guī)定,應(yīng)充分利用目前執(zhí)行的關(guān)于網(wǎng)絡(luò)安全方面的行政法規(guī),如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》等,充分利用中國(guó)金融認(rèn)證中心在認(rèn)證技術(shù)方面的權(quán)威性和第三方認(rèn)證的合理性。網(wǎng)絡(luò)銀行應(yīng)注重交易數(shù)據(jù)的保管,為可能的糾紛或訴訟過(guò)程做好證據(jù)準(zhǔn)備。

建立網(wǎng)絡(luò)銀行法律監(jiān)管體系,制定網(wǎng)絡(luò)銀行的外部懲罰措施以及網(wǎng)絡(luò)銀行的市場(chǎng)退出機(jī)制。建立網(wǎng)絡(luò)銀行業(yè)務(wù)運(yùn)營(yíng)法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規(guī),同時(shí)對(duì)已有法律法規(guī)進(jìn)行充實(shí)、修改。完善網(wǎng)絡(luò)銀行配套法律法規(guī)建設(shè),主要有稅收征管法、國(guó)際稅收法、電子商務(wù)法、刑法、訴訟法、票據(jù)法、證券法、商業(yè)銀行法、消費(fèi)者權(quán)益保護(hù)法、反不正當(dāng)競(jìng)爭(zhēng)法等相關(guān)法律法規(guī)。加強(qiáng)與國(guó)際立法、司法實(shí)踐的交流與合作,加大打擊網(wǎng)上洗錢、網(wǎng)上盜竊等電子犯罪的力度。

主要參考文獻(xiàn)

[1]周慧.商業(yè)銀行電子化的風(fēng)險(xiǎn)控制[J].金融與保險(xiǎn),2003,(9).

[2]喬立新,袁愛玲,馮英俊.建立網(wǎng)絡(luò)銀行操作風(fēng)險(xiǎn)內(nèi)部控制系統(tǒng)

的策略[J].商業(yè)研究,2003,(8).

[3]劉昊.論我國(guó)網(wǎng)絡(luò)銀行的風(fēng)險(xiǎn)及其控制[J].新金融,2003,(1).

[4]劉克龍.電子商務(wù)及其安全性分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用

2003,(7).