曹暉

摘要：網(wǎng)絡(luò)銀行是銀行通過網(wǎng)絡(luò)為客戶提供金融服務(wù)的平臺，其安全性受到廣泛的關(guān)注。本文介紹了目前涉及網(wǎng)銀安全的關(guān)鍵技術(shù)，并分析了我國商業(yè)銀行使用的主要網(wǎng)銀安全措施以其產(chǎn)品。

關(guān)鍵詞：網(wǎng)銀安全；數(shù)據(jù)加密；身份認(rèn)證；通信加密

網(wǎng)上銀行的概念有廣義和狹義兩種，廣義的網(wǎng)上銀行是指在網(wǎng)絡(luò)中擁有獨(dú)立的網(wǎng)站，并為客戶提供一定服務(wù)的銀行，這種服務(wù)可以是：（1）一般的信息和通信服務(wù)；（2）簡單的銀行交易；（3）所有銀行業(yè)務(wù)。狹義的網(wǎng)上銀行是指在互聯(lián)網(wǎng)上開展一類或幾類銀行實(shí)質(zhì)性業(yè)務(wù)的銀行。這些業(yè)務(wù)包括上述的（2）（3），但不包括（1），一般都執(zhí)行了傳統(tǒng)銀行的部分基本職能。目前，我國對網(wǎng)上銀行的界定，采用的是狹義定義法。

網(wǎng)上銀行是隨著計算機(jī)和網(wǎng)絡(luò)的發(fā)展和普及而產(chǎn)生的，它不僅是電子商務(wù)發(fā)展的需要，而且在提高銀行工作效率，降低銀行運(yùn)營成本，加強(qiáng)資金監(jiān)管力度等方面都起到積極的作用。網(wǎng)銀的發(fā)展依賴于網(wǎng)絡(luò)安全問題的解決。最近中國人民銀行發(fā)布的《網(wǎng)上銀行業(yè)務(wù)管理暫行辦法》中對網(wǎng)銀業(yè)務(wù)提出了風(fēng)險管理，要求銀行采用合適的加密技術(shù)和措施，以確認(rèn)網(wǎng)上銀行業(yè)務(wù)用戶身份和授權(quán)，保證網(wǎng)上交易數(shù)據(jù)傳輸?shù)谋Ｃ苄?、真?shí)性，保證通過網(wǎng)絡(luò)傳輸信息的完整性和交易的不可否認(rèn)性。

我國自1997年中國銀行首次建立網(wǎng)上銀行以來，網(wǎng)上銀行業(yè)務(wù)在我國迅速發(fā)展，各商業(yè)銀行采用了各具特色的網(wǎng)銀安全技術(shù)，推出了各種網(wǎng)銀安全產(chǎn)品。本文從分析網(wǎng)銀交易流程入手，剖析其中存在的安全問題，詳細(xì)介紹數(shù)據(jù)加密技術(shù)、身份認(rèn)證技術(shù)和通信加密技術(shù)，并分析了我國主要商業(yè)銀行的安全措施和安全產(chǎn)品。

一、網(wǎng)銀交易流程及安全問題剖析

一般來說，用戶要進(jìn)行網(wǎng)銀交易必須先在網(wǎng)上銀行注冊，到銀行營業(yè)網(wǎng)點(diǎn)的柜臺辦理，進(jìn)行簽約并取得銀行用于身份認(rèn)證的安全產(chǎn)品，如口令卡、電子數(shù)字證書、USBkey等。在交易過程中，用戶首先要輸入帳戶和密碼。這種方式存在嚴(yán)重的身份認(rèn)證風(fēng)險，通過網(wǎng)絡(luò)竊聽、非法數(shù)據(jù)庫訪問、窮舉攻擊、重放攻擊等方式很容易獲取口令等方式攻擊系統(tǒng)。隨著計算機(jī)性能的不斷提高，從理論上說沒有解不開的密碼，有的只是時間長短問題。目前，以盜取用戶賬號、密碼為目的的間諜軟件、木馬病毒非常多，如“熊貓燒香”、“木馬代理”和“網(wǎng)銀大盜”等。登錄個人界面后，用戶選擇交易的項(xiàng)目，此時將發(fā)生業(yè)務(wù)變更、資金流動等后果，因此需再次進(jìn)行身份認(rèn)證。若使用口令卡，可能由于用戶疏忽而丟失，無法確實(shí)保證用戶身份的真實(shí)性；數(shù)字證書是一整套成熟的信息安全保護(hù)措施，基于PKI的數(shù)字證書電子簽名技術(shù)被國內(nèi)外普遍采用。數(shù)字證書有兩種形式：一種是存放在電腦的瀏覽器中，這種方式仍然容易被黑客竊取，另一種安全的方式是存放在USBkey中，USBkey能夠徹底防止被黑客或犯罪分子通過互聯(lián)網(wǎng)竊取，還能保護(hù)其中的證書任何情況下不被導(dǎo)出，從而防止證書被復(fù)制或丟失，是目前安全級別最高的一種網(wǎng)銀安全產(chǎn)品。

接下來，客戶端要與銀行終端進(jìn)行信息交互。由于數(shù)據(jù)是在國際互聯(lián)網(wǎng)中傳輸，網(wǎng)絡(luò)電纜、光纜、無線傳輸?shù)雀鞣N形式以及路由器等配套設(shè)施在傳輸數(shù)據(jù)時會產(chǎn)生電磁波或占用一定的載道，電磁波是一種信息載體，泄露的電磁波會載有信息。監(jiān)測到連線上的電磁波或查出載波頻率，就很容易監(jiān)聽，使系統(tǒng)傳輸?shù)男畔⑼庑埂?/p>

二、網(wǎng)銀安全的關(guān)鍵技術(shù)及主流安全措施

1.確保安全運(yùn)作。網(wǎng)上支付信息的安全主要包括三個方面，即信息的保密性、真實(shí)完整性和不可否認(rèn)性。以網(wǎng)上購物支付交易的全過程為例，信息的安全性問題主要出現(xiàn)在以下三個方面：一是銀行網(wǎng)站本身的安全性；二是交易信息在商戶與銀行之間傳遞的安全性；三是交易信息在消費(fèi)者與銀行之間傳遞的安全性。由于電子形式的金融產(chǎn)品和信息，對于知道網(wǎng)絡(luò)機(jī)密并能不留痕跡進(jìn)入的網(wǎng)絡(luò)“黑客”而言，其偽造、篡改、復(fù)制成本極低，真假難辨，網(wǎng)上銀行對非法侵入者的吸引力極大，SFNB開業(yè)僅兩個月，就有1萬名黑客企圖非法入侵，美國每年因信息與網(wǎng)絡(luò)安全問題所造成的經(jīng)濟(jì)損失高達(dá)75億美元，企業(yè)電腦安全受到侵犯的比例占50%，如此脆弱的網(wǎng)絡(luò)安全體系不能不令人擔(dān)憂，如何確保安全交易，為客戶保密，就成了發(fā)展網(wǎng)上銀行首先要解決的問題。

2.完善立法體系。同傳統(tǒng)銀行相比，網(wǎng)絡(luò)銀行有兩個十分突出的特性，它傳遞信息（包括契約）采用的是電子化方式，它模糊了國與國之間的自然疆界，其業(yè)務(wù)和客戶隨著互聯(lián)網(wǎng)的延伸可達(dá)世界的任何角落，從理論上講，國外客戶使用銀行服務(wù)的便利幾乎同國內(nèi)客戶一樣。這樣，就向傳統(tǒng)的基于自然疆界和紙質(zhì)合約基礎(chǔ)上的法律法規(guī)提出了挑戰(zhàn)。主要表現(xiàn)在以下幾個方面：（1）跨境網(wǎng)上金融服務(wù)的交易的管轄權(quán)、法律適用性問題。（2）服務(wù)和交易合約的合法性問題。網(wǎng)絡(luò)金融服務(wù)和交易合約，一般都要比商品交易合同復(fù)雜。金融工具的不斷發(fā)展和衍生工具的不斷出現(xiàn)，更加劇了金融合約的復(fù)雜性。在金融合約中，一般都包括了合約執(zhí)行的條件、具體業(yè)務(wù)、相關(guān)責(zé)任、抵押和擔(dān)保條款等。傳統(tǒng)上，各國都要求合約涉及的的各方以書面形式簽署和保管相應(yīng)的合約。因此，網(wǎng)上銀行產(chǎn)生的服務(wù)和交易的無紙張化合約，是否完全合法有效，是一個亟待解決的法律問題。（3）品牌與知識產(chǎn)權(quán)。當(dāng)國外機(jī)構(gòu)在網(wǎng)上使用相同或相擬的圖標(biāo)、稱謂以及涉及其他一些知識產(chǎn)權(quán)問題時，其認(rèn)定。取證和處理難度加大。（4）境外信息的有效性與法律認(rèn)定問題。網(wǎng)絡(luò)銀行的一些交易和客戶信息有可能來自境外，這些信息對于網(wǎng)絡(luò)銀行所在地來說，是否能被管理當(dāng)局認(rèn)可，作為網(wǎng)絡(luò)銀行進(jìn)行交易的業(yè)務(wù)依據(jù)。（5）語言。大部分國家要求銀行應(yīng)將客戶的相關(guān)信息，用指定語言提交客戶并提交金融監(jiān)管當(dāng)局。當(dāng)網(wǎng)絡(luò)銀行的客戶為非本國居民，存在語言選擇的合法性問題。因此，解決網(wǎng)絡(luò)立法滯后問題刻不容緩，這是保證我國網(wǎng)上銀行快速、健康發(fā)展的重要保證。

三、結(jié)束語

隨著網(wǎng)絡(luò)安全技術(shù)和機(jī)制的完善，建立起系統(tǒng)的網(wǎng)銀安全綜合保障體系，最大限度地降低風(fēng)險，保證網(wǎng)銀有效地運(yùn)行，為客戶提供安全、可靠的服務(wù)，網(wǎng)銀必將贏得用戶的信賴和歡迎，發(fā)展前景必將愈加寬廣，在未來的金融服務(wù)中發(fā)揮更大的作用。

參考文獻(xiàn)：

[1]馬翔，李海靖.網(wǎng)絡(luò)銀行的安全威脅與風(fēng)險防范[J].金融論壇，2001，（4）.

[2]劉昊.我國網(wǎng)絡(luò)銀行安全問題解決途徑[J].現(xiàn)代金融，2003，（2）endprint