近年來，伴隨著信息技術(shù)在金融領(lǐng)域的快速、廣泛應(yīng)用，銀行業(yè)不斷加大技術(shù)投入，以網(wǎng)絡(luò)為媒介，采用個性化的高科技集中營銷策略逐步取代傳統(tǒng)的大規(guī)模無差別營銷策略，網(wǎng)上銀行的發(fā)展突飛猛進。但是，在技術(shù)進步的同時，網(wǎng)上銀行安全風(fēng)險也與日俱增，對銀行業(yè)的安全管理能力提出了更高的要求。

金融安全事件頻發(fā)為行業(yè)敲響警鐘

在近期重慶市發(fā)生的一起金融安全案件中，由于保險公司網(wǎng)站泄露用戶個人信息，導(dǎo)致犯罪嫌疑人利用獲得的用戶身份證號碼和手機號制作假身份證，并用假身份證補辦手機卡，通過手機號找回支付寶密碼，從而將與支付寶綁定的銀行卡中的錢款轉(zhuǎn)走。在這一過程中，從保險公司到手機運營商，再到支付寶，幾道關(guān)卡均告失守，令人擔(dān)憂。本案只是近期數(shù)起案件中的一個代表，業(yè)內(nèi)人士表示，不僅保險公司，包括招聘、社交甚至普通企事業(yè)單位的網(wǎng)站在個人信息方面也都存在漏洞。業(yè)內(nèi)人士表示，移動互聯(lián)網(wǎng)時代，用戶對移動支付體驗的便捷要求越來越高，風(fēng)險概率也因此提升。該人士建議用戶妥善保管個人身份證、銀行卡及其他隱私信息；同時，獲取相關(guān)信息的機構(gòu)、單位、企業(yè)應(yīng)完善安全機制，運營商、銀行應(yīng)共同就關(guān)鍵業(yè)務(wù)受理加強身份審核。

此外，最近一種新型詐騙手法也引起了業(yè)界的關(guān)注：不法分子通過“偽基站”屏蔽運營商網(wǎng)絡(luò)信號，然后假冒銀行向手機用戶發(fā)送詐騙短信，內(nèi)容包括指示用戶提供個人銀行賬戶信息等，給用戶和電信運營商造成重大經(jīng)濟損失。某國有大行內(nèi)部人士告訴《互聯(lián)網(wǎng)周刊》記者，該行近期已聯(lián)合公安機關(guān)和無線電管理機構(gòu)發(fā)起打擊偽基站金融犯罪的行動。但該人士也表示，目前在打擊相關(guān)金融詐騙犯罪方面，還沒有“一勞永逸”的手段。與此同時，公眾的金融詐騙防范意識尚顯淡漠，因此，銀行在信息安全領(lǐng)域的壓力很大。

國內(nèi)金融業(yè)

對風(fēng)險問題認(rèn)識有待提高

巴塞爾銀行監(jiān)管委員會于1998年3月發(fā)表了《電子銀行和電子貨幣運作中的風(fēng)險管理》專項研究報告，就電子銀行和電子貨幣運作中的風(fēng)險管理進行了全面論述，將風(fēng)險劃分為：操作風(fēng)險、信譽風(fēng)險、法律風(fēng)險、信用風(fēng)險、流動性風(fēng)險、利率風(fēng)險、市場風(fēng)險和國家風(fēng)險8類。與之相對應(yīng)，網(wǎng)上銀行風(fēng)險管理則由風(fēng)險識別、風(fēng)險防范以及風(fēng)險控制三部分組成。

盡管業(yè)界已經(jīng)就網(wǎng)上銀行風(fēng)險管理問題形成了較為成熟的理論，但目前國內(nèi)許多銀行仍對這一領(lǐng)域的諸多風(fēng)險，尤其是對網(wǎng)上銀行帶來的聲譽風(fēng)險認(rèn)識不足。問題集中體現(xiàn)在對網(wǎng)上銀行的內(nèi)控體系建設(shè)重視不足，對客戶的風(fēng)險提示和安全教育不夠，客戶容易操作不當(dāng)，感染木馬病毒等方面。更重要的是銀行在技術(shù)控制措施方面暴露出嚴(yán)重問題，例如缺少業(yè)務(wù)連續(xù)性計劃，缺少對系統(tǒng)安全監(jiān)控及冗余設(shè)計，缺少針對釣魚網(wǎng)站的應(yīng)對措施等。

隨著網(wǎng)上銀行客戶數(shù)和業(yè)務(wù)交易量的逐年遞增，使用量的不斷增加，越來越多的客戶對網(wǎng)上銀行產(chǎn)生了較強的依賴性，網(wǎng)上銀行的事故將會給客戶帶來經(jīng)濟損失和極大不便，進而對銀行的聲譽產(chǎn)生不良印象。所幸，這些問題已經(jīng)引起了行業(yè)的重視，相關(guān)人員對此提出以下建議。

采取有效措施，

加強網(wǎng)上銀行安全防護

銀行部門作為網(wǎng)上銀行安全工作的重中之重， 需要采取切實措施加強安全管理， 建立起一套真正適合網(wǎng)上銀行的安全體系。首先，建立安全管理組織體系，落實責(zé)任人，并加強安全管理部門的力量和權(quán)力。完善安全管理規(guī)章制度， 嚴(yán)格貫徹實施。建立業(yè)務(wù)運行應(yīng)急計劃和業(yè)務(wù)連續(xù)性計劃，保證即使在不利情況下，銀行仍能對外提供產(chǎn)品與服務(wù)。其次，盡量采用高等級安全操作系統(tǒng)， 運用多種安全機制來增強網(wǎng)上銀行的安全性，在運行過程中不斷地檢測各種網(wǎng)絡(luò)入侵、審核安全記錄，檢查是否有對網(wǎng)上銀行構(gòu)成威脅的漏洞， 及時發(fā)現(xiàn)并作相應(yīng)處理等。最后，要大力探索數(shù)字證書、虹膜認(rèn)證、指紋認(rèn)證等新型安全的認(rèn)證方式，加強客戶終端的安全。加強銀行之間、銀行與公安部門及反病毒廠商之間的協(xié)作與溝通， 及時掌握最新的網(wǎng)絡(luò)犯罪動態(tài)和病毒信息，及時采取有效防護措施。

提高用戶安全防范意識

首先，銀行應(yīng)持續(xù)提醒網(wǎng)上銀行客戶注意，認(rèn)可機構(gòu)本身或其業(yè)務(wù)伙伴絕不會通過電子郵件要求客戶提供敏感的密碼資料。其次，銀行應(yīng)提供一些方法讓網(wǎng)上銀行客戶確保其鏈接的網(wǎng)站為認(rèn)可機構(gòu)的正式網(wǎng)站， 絕對不要以電子郵件內(nèi)提供的鏈接方式登錄網(wǎng)上銀行網(wǎng)站。

再次，定期在互聯(lián)網(wǎng)上搜尋，以檢查是否有第三方網(wǎng)站的域名可能以假亂真。最后，加強安全使用網(wǎng)上銀行的培訓(xùn)和教育。在保護用戶的賬戶隱私、確保交易安全方面，銀行應(yīng)提供完備的安全防范手冊， 盡量在其網(wǎng)頁的醒目位置對用戶使用網(wǎng)上銀行時如何保護自己的賬務(wù)密碼安全等方面進行明確提示，加強對客戶安全使用網(wǎng)上銀行的培訓(xùn)和教育。

加強網(wǎng)上銀行安全技術(shù)措施

首先要在操作系統(tǒng)及數(shù)據(jù)庫方面進行改進，許多銀行業(yè)務(wù)系統(tǒng)使用Unix網(wǎng)絡(luò)系統(tǒng)， 黑客可利用網(wǎng)絡(luò)監(jiān)聽工具截取重要數(shù)據(jù)；或者利用用戶使用服務(wù)時監(jiān)聽用戶明文形式的賬戶名和口令等。而在網(wǎng)絡(luò)加密技術(shù)方面，網(wǎng)絡(luò)加密的目的是保護網(wǎng)上傳輸?shù)臄?shù)據(jù)、文件、口令和控制信息的安全。目前信息加密處理通常有兩種方式：鏈路加密和端到端加密。網(wǎng)絡(luò)安全訪問控制方面，應(yīng)以保證網(wǎng)絡(luò)資源不被非法使用和非法訪問為主要任務(wù)， 通過對特定的網(wǎng)段和服務(wù)建立有效的訪問控制體系， 可在大多數(shù)的攻擊到達之前進行阻止， 從而達到限制非法訪問的目的， 是維護網(wǎng)絡(luò)系統(tǒng)安全保護網(wǎng)絡(luò)資源的重要手段。身份認(rèn)證方面，要保證能夠正確識別用戶， 可通過三種基本方式或其組合形式來實現(xiàn)： 用戶所知道的密碼（如口令） ， 用戶持有合法的介質(zhì)（如智能卡） ， 用戶具有某些生物學(xué)特征（如指紋、聲音、DNA 圖案、視網(wǎng)膜掃描等）。要加強對網(wǎng)絡(luò)入侵檢測系統(tǒng)的防范。入侵檢測技術(shù)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)， 是對入侵行為的監(jiān)控， 它通過對網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并進行分析， 從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。此外，還要在防病毒技術(shù)、備份和災(zāi)難恢復(fù)方面進行優(yōu)化。

在互聯(lián)網(wǎng)金融時代，銀行應(yīng)增強技術(shù)創(chuàng)新，加強安全保障和風(fēng)險防范措施，充分發(fā)揮網(wǎng)絡(luò)的強大潛力。