金融机构网银业务存在的问题及应对措施

曹晖

摘要：网络银行是银行通过网络为客户提供金融服务的平台，其安全性受到广泛的关注。本文介绍了目前涉及网银安全的关键技术，并分析了我国商业银行使用的主要网银安全措施以其产品。

关键词：网银安全；数据加密；身份认证；通信加密

网上银行的概念有广义和狭义两种，广义的网上银行是指在网络中拥有独立的网站，并为客户提供一定服务的银行，这种服务可以是：（1）一般的信息和通信服务；（2）简单的银行交易；（3）所有银行业务。狭义的网上银行是指在互联网上开展一类或几类银行实质性业务的银行。这些业务包括上述的（2）（3），但不包括（1），一般都执行了传统银行的部分基本职能。目前，我国对网上银行的界定，采用的是狭义定义法。

网上银行是随着计算机和网络的发展和普及而产生的，它不仅是电子商务发展的需要，而且在提高银行工作效率，降低银行运营成本，加强资金监管力度等方面都起到积极的作用。网银的发展依赖于网络安全问题的解决。最近中国人民银行发布的《网上銀行业务管理暂行办法》中对网银业务提出了风险管理，要求银行采用合适的加密技术和措施，以确认网上银行业务用户身份和授权，保证网上交易数据传输的保密性、真实性，保证通过网络传输信息的完整性和交易的不可否认性。

我国自1997年中国银行首次建立网上银行以来，网上银行业务在我国迅速发展，各商业银行采用了各具特色的网银安全技术，推出了各种网银安全产品。本文从分析网银交易流程入手，剖析其中存在的安全问题，详细介绍数据加密技术、身份认证技术和通信加密技术，并分析了我国主要商业银行的安全措施和安全产品。

一、网银交易流程及安全问题剖析

一般来说，用户要进行网银交易必须先在网上银行注册，到银行营业网点的柜台办理，进行签约并取得银行用于身份认证的安全产品，如口令卡、电子数字证书、USBkey等。在交易过程中，用户首先要输入帐户和密码。这种方式存在严重的身份认证风险，通过网络窃听、非法数据库访问、穷举攻击、重放攻击等方式很容易获取口令等方式攻击系统。随着计算机性能的不断提高，从理论上说没有解不开的密码，有的只是时间长短问题。目前，以盗取用户账号、密码为目的的间谍软件、木马病毒非常多，如“熊猫烧香”、“木马代理”和“网银大盗”等。登录个人界面后，用户选择交易的项目，此时将发生业务变更、资金流动等后果，因此需再次进行身份认证。若使用口令卡，可能由于用户疏忽而丢失，无法确实保证用户身份的真实性；数字证书是一整套成熟的信息安全保护措施，基于PKI的数字证书电子签名技术被国内外普遍采用。数字证书有两种形式：一种是存放在电脑的浏览器中，这种方式仍然容易被黑客窃取，另一种安全的方式是存放在USBkey中，USBkey能够彻底防止被黑客或犯罪分子通过互联网窃取，还能保护其中的证书任何情况下不被导出，从而防止证书被复制或丢失，是目前安全级别最高的一种网银安全产品。

接下来，客户端要与银行终端进行信息交互。由于数据是在国际互联网中传输，网络电缆、光缆、无线传输等各种形式以及路由器等配套设施在传输数据时会产生电磁波或占用一定的载道，电磁波是一种信息载体，泄露的电磁波会载有信息。监测到连线上的电磁波或查出载波频率，就很容易监听，使系统传输的信息外泄。

二、网银安全的关键技术及主流安全措施

1.确保安全运作。网上支付信息的安全主要包括三个方面，即信息的保密性、真实完整性和不可否认性。以网上购物支付交易的全过程为例，信息的安全性问题主要出现在以下三个方面：一是银行网站本身的安全性；二是交易信息在商户与银行之间传递的安全性；三是交易信息在消费者与银行之间传递的安全性。由于电子形式的金融产品和信息，对于知道网络机密并能不留痕迹进入的网络“黑客”而言，其伪造、篡改、复制成本极低，真假难辨，网上银行对非法侵入者的吸引力极大，SFNB开业仅两个月，就有1万名黑客企图非法入侵，美国每年因信息与网络安全问题所造成的经济损失高达75亿美元，企业电脑安全受到侵犯的比例占50%，如此脆弱的网络安全体系不能不令人担忧，如何确保安全交易，为客户保密，就成了发展网上银行首先要解决的问题。

2.完善立法体系。同传统银行相比，网络银行有两个十分突出的特性，它传递信息（包括契约）采用的是电子化方式，它模糊了国与国之间的自然疆界，其业务和客户随着互联网的延伸可达世界的任何角落，从理论上讲，国外客户使用银行服务的便利几乎同国内客户一样。这样，就向传统的基于自然疆界和纸质合约基础上的法律法规提出了挑战。主要表现在以下几个方面：（1）跨境网上金融服务的交易的管辖权、法律适用性问题。（2）服务和交易合约的合法性问题。网络金融服务和交易合约，一般都要比商品交易合同复杂。金融工具的不断发展和衍生工具的不断出现，更加剧了金融合约的复杂性。在金融合约中，一般都包括了合约执行的条件、具体业务、相关责任、抵押和担保条款等。传统上，各国都要求合约涉及的的各方以书面形式签署和保管相应的合约。因此，网上银行产生的服务和交易的无纸张化合约，是否完全合法有效，是一个亟待解决的法律问题。（3）品牌与知识产权。当国外机构在网上使用相同或相拟的图标、称谓以及涉及其他一些知识产权问题时，其认定。取证和处理难度加大。（4）境外信息的有效性与法律认定问题。网络银行的一些交易和客户信息有可能来自境外，这些信息对于网络银行所在地来说，是否能被管理当局认可，作为网络银行进行交易的业务依据。（5）语言。大部分国家要求银行应将客户的相关信息，用指定语言提交客户并提交金融监管当局。当网络银行的客户为非本国居民，存在语言选择的合法性问题。因此，解决网络立法滞后问题刻不容缓，这是保证我国网上银行快速、健康发展的重要保证。

三、结束语

随着网络安全技术和机制的完善，建立起系统的网银安全综合保障体系，最大限度地降低风险，保证网银有效地运行，为客户提供安全、可靠的服务，网银必将赢得用户的信赖和欢迎，发展前景必将愈加宽广，在未来的金融服务中发挥更大的作用。

参考文献：

[1]马翔，李海靖.网络银行的安全威胁与风险防范[J].金融论坛，2001，（4）.

[2]刘昊.我国网络银行安全问题解决途径[J].现代金融，2003，（2）endprint