□文/ 張藝婷 姬祥飛

（西安石油大學(xué)經(jīng)濟(jì)管理學(xué)院 陜西·西安）

［提要］ 隨著技術(shù)發(fā)展和社會(huì)需求變化，銀行業(yè)逐漸互聯(lián)網(wǎng)化。鑒于國外銀行推出的網(wǎng)上銀行業(yè)務(wù)，我國在21 世紀(jì)初開創(chuàng)網(wǎng)上銀行模式。但就目前來看，其安全性問題依然存在，并一直為社會(huì)各界所重視。本文就中國具有代表性的6 家商業(yè)銀行為研究對(duì)象，探究中國商業(yè)銀行網(wǎng)上銀行所存在的安全問題，并以此為基礎(chǔ)提出對(duì)策建議，以促進(jìn)中國商業(yè)銀行網(wǎng)上銀行的持續(xù)發(fā)展。

一、引言

隨著計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)技術(shù)不斷發(fā)展，互聯(lián)網(wǎng)普及到人民的生活中，銀行業(yè)在發(fā)現(xiàn)機(jī)遇的同時(shí)也看到了行業(yè)的競爭，為增加自身的競爭優(yōu)勢、謀求生存和可持續(xù)發(fā)展，各大銀行涉足網(wǎng)上銀行業(yè)務(wù)。網(wǎng)上銀行以其效率高、成本低、靈活性大等特點(diǎn)在國內(nèi)外迅速發(fā)展。

網(wǎng)絡(luò)技術(shù)的廣泛應(yīng)用，不可避免地為使用者帶來網(wǎng)絡(luò)安全問題。全球首家網(wǎng)絡(luò)銀行——安全第一網(wǎng)絡(luò)銀行（SFNB）在1995 年成立，SFNB 是一種完全依賴互聯(lián)網(wǎng)辦理各種業(yè)務(wù)的銀行，因此也稱為純網(wǎng)上銀行。該銀行自成立其安全性就成為客戶擔(dān)憂的最主要因素，對(duì)此，SFNB 便采用了安全措施，首先就是承諾賠償，來保證存款人的資金安全；其次是保障網(wǎng)絡(luò)交易的安全，SFNB 建立了一個(gè)三層次網(wǎng)絡(luò)安全系統(tǒng)，包括公共網(wǎng)絡(luò)信息的加密傳輸、防火墻和可靠的操作系統(tǒng)。SFNB的網(wǎng)銀還采用了Web 服務(wù)器和ISS 網(wǎng)絡(luò)動(dòng)態(tài)監(jiān)控等措施。在歐洲，網(wǎng)上銀行發(fā)展較美國晚，但網(wǎng)上銀行發(fā)展是非常迅速的，同時(shí)也避免不了安全性問題。以在歐洲開辦較為成功的瑞典銀行來說，為保障網(wǎng)站安全運(yùn)行設(shè)計(jì)出遠(yuǎn)程自動(dòng)追蹤系統(tǒng)來進(jìn)行監(jiān)控。我國銀行業(yè)借鑒國外經(jīng)驗(yàn)，緊跟時(shí)代科技潮流，1999 年在招行成立中國第一家網(wǎng)上銀行，隨后各大商業(yè)銀行也陸續(xù)建立了自己的網(wǎng)上銀行。在創(chuàng)建初期，中國商業(yè)銀行網(wǎng)上銀行的發(fā)展存在許多局限，其中最突出的就是安全問題。在最初各家商業(yè)銀行網(wǎng)上銀行系統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)傳輸方面采用的是國際上通行的SSL（安全套接字協(xié)議）協(xié)議進(jìn)行鏈路層的加密傳輸，同時(shí)各商業(yè)銀行都直接或間接通過自己建立的CA（證書簽發(fā)機(jī)構(gòu)）完成網(wǎng)上業(yè)務(wù)。除了這些共有的問題外，各家網(wǎng)上銀行也存在其他安全問題。

基于上述國內(nèi)外網(wǎng)上銀行安全問題的不斷涌現(xiàn)和改進(jìn)，再到新的安全問題的出現(xiàn)，本文選取了國內(nèi)較為代表的6 家商業(yè)銀行為樣本，探究商業(yè)銀行網(wǎng)上銀行安全方面發(fā)展模式的變化，對(duì)比這6 家商業(yè)銀行網(wǎng)上銀行現(xiàn)存的安全問題，為中國商業(yè)銀行網(wǎng)上銀行的發(fā)展提出可行性建議，推動(dòng)中國銀行業(yè)的創(chuàng)新發(fā)展。

二、樣本選取

商業(yè)銀行，英文縮寫為CB，是銀行的一種類型，職責(zé)是通過存款、貸款、匯兌、儲(chǔ)蓄等業(yè)務(wù)，承擔(dān)信用中介的金融機(jī)構(gòu)。主要的業(yè)務(wù)范圍是吸收公眾存款、發(fā)放貸款以及辦理票據(jù)貼現(xiàn)等。一般的商業(yè)銀行沒有貨幣的發(fā)行權(quán)，傳統(tǒng)商業(yè)銀行的業(yè)務(wù)主要集中在經(jīng)營存款和貸款業(yè)務(wù)。我國商業(yè)銀行主要有6 家大型國有商業(yè)銀行（中國工商銀行、中國農(nóng)業(yè)銀行、中國銀行、中國建設(shè)銀行、交通銀行、中國郵政儲(chǔ)蓄銀行）和12 家全國性股份制商業(yè)銀行（浦發(fā)銀行、招商銀行、中信銀行、光大銀行、華夏銀行、民生銀行、興業(yè)銀行、廣發(fā)銀行、平安銀行、渤海銀行、恒豐銀行、浙商銀行）。

根據(jù)2020 年7 月27 日《財(cái)富》發(fā)布的中國500 強(qiáng)商業(yè)銀行排行榜，本文選擇其中最具代表性的國有商業(yè)銀行3 家、全國性股份制商業(yè)銀行3 家，分別為中國工商銀行（國有排名1）、中國建設(shè)銀行（國有排名2）、中國農(nóng)業(yè)銀行（國有排名3）和招商銀行（民營排名1）、浦發(fā)銀行（民營排名2）、興業(yè)銀行（民營排名3）進(jìn)行深入探討與研究。以下簡稱“工行、建行、農(nóng)行、招行、浦發(fā)、興業(yè)”。（表 1、表 2）

三、網(wǎng)銀安全發(fā)展對(duì)比分析

現(xiàn)如今網(wǎng)上銀行面臨的危險(xiǎn)主要有來自網(wǎng)絡(luò)系統(tǒng)內(nèi)部的技術(shù)漏洞和來自外部的攻擊。對(duì)于安全性的考慮，各大銀行在網(wǎng)絡(luò)安全的技術(shù)上不斷發(fā)展改進(jìn)。

（一）中國工商銀行。工行自建立網(wǎng)上銀行以來，采用的是公鑰安全體系，該體系是以1024 位非對(duì)稱密鑰算法為基礎(chǔ)。同時(shí)，還采用SSL協(xié)議進(jìn)行鏈路層的加密傳輸和ISS 黑客掃描程序。為了交易安全，工行設(shè)計(jì)了“U 盾”來保障個(gè)人網(wǎng)銀安全，U 盾是工行設(shè)計(jì)并已經(jīng)取得專利的專門進(jìn)行客戶身份認(rèn)證的客戶證書。針對(duì)企業(yè)網(wǎng)上銀行，在網(wǎng)絡(luò)框架上設(shè)多重防火墻和安全代理服務(wù)器，防止非法入侵，還有必須使用客戶證書進(jìn)行數(shù)字簽名。工行的網(wǎng)上銀行具備較多的安全輔助工具，所以其網(wǎng)上銀行在使用時(shí)較為安全。

表1 2020 年《財(cái)富》中國500 強(qiáng)商業(yè)銀行排行榜前十名一覽表

（二）中國建設(shè)銀行。建行使用的是國際上認(rèn)可的SSL128 位加密安全技術(shù)，用于保障信息的保密和完整，同時(shí)完成相互認(rèn)證。還有采用國內(nèi)最高級(jí)別安全的商用操作系統(tǒng)，保證客戶所訪問的網(wǎng)絡(luò)站點(diǎn)安全可靠。最后是擁有24 小時(shí)動(dòng)態(tài)監(jiān)控系統(tǒng)，監(jiān)控黑客攻擊和非法訪問。還有其特色產(chǎn)品網(wǎng)銀盾，能夠儲(chǔ)存電子證書，還具有電子簽名功能。建行的網(wǎng)銀盾經(jīng)使用發(fā)現(xiàn)其操作相比工行較為便捷。

（三）中國農(nóng)業(yè)銀行。農(nóng)行有兩種安全工具，一種是動(dòng)態(tài)口令卡客戶申請(qǐng)，另一種就是K 寶，是目前農(nóng)業(yè)銀行安全級(jí)別最高的認(rèn)證工具。動(dòng)態(tài)口令卡采用動(dòng)態(tài)密碼技術(shù)，該口令卡解決了靜態(tài)密碼被盜竊的問題，能有效地保證身份識(shí)別和認(rèn)證安全，農(nóng)行的官網(wǎng)有通知提示窗口建議客戶將動(dòng)態(tài)口令卡和K 寶配合使用，從而最大限度地保障客戶利益。農(nóng)行相比較工行、建行來說其輔助安全措施介紹較少，也缺乏使用和操作指導(dǎo)。

（四）招商銀行。招行通過網(wǎng)上支付賬戶和一卡通主賬戶分離來將消費(fèi)者信息直接傳輸?shù)姐y行，可以防止商戶泄露消費(fèi)者的賬號(hào)和密碼，消費(fèi)者的交易信息因?yàn)椴辉谟脖P上存儲(chǔ)，防止了在PC 端盜取信息的機(jī)會(huì)；同時(shí)，信息傳輸采用的也是SSL 協(xié)議防止信息盜取，網(wǎng)絡(luò)傳輸采取隨機(jī)密碼制，避免密碼被隨意猜測。招商銀行設(shè)計(jì)有“一網(wǎng)通網(wǎng)盾”提供八重保障，免驅(qū)動(dòng)“優(yōu)Key”采用精尖加密技術(shù)，具有獨(dú)有的“免驅(qū)動(dòng)”特點(diǎn)，能夠自動(dòng)識(shí)別虛假網(wǎng)站，幫助客戶防范網(wǎng)絡(luò)欺詐。

（五）浦發(fā)銀行。浦發(fā)銀行在安全基礎(chǔ)設(shè)施上采用了路由器、防火墻、交換機(jī)、入侵檢測系統(tǒng)、公鑰技術(shù)等，在客戶端采用的也是128 位SSL 數(shù)據(jù)傳輸協(xié)議，客戶身份信息驗(yàn)證也是采用動(dòng)態(tài)身份認(rèn)證，浦發(fā)銀行網(wǎng)上銀行的災(zāi)難備份不是獨(dú)立存在及建設(shè)的，是依靠浦發(fā)核心系統(tǒng)一同備份，來提高IT 技術(shù)災(zāi)害抵御能力。浦發(fā)銀行現(xiàn)在仍然是采用UKey 和動(dòng)態(tài)密碼相配合來確保網(wǎng)上交易安全。

（六）興業(yè)銀行。興業(yè)銀行網(wǎng)上銀行也稱為在線興業(yè)，是中國首批通過認(rèn)證中心安全評(píng)估的網(wǎng)上銀行系統(tǒng)，在技術(shù)推新的過程中，興業(yè)銀行也采用了“網(wǎng)盾”預(yù)制數(shù)字證書，外形小巧，方便攜帶，不可復(fù)制，有效防止木馬病毒；同時(shí)還具有密碼鎖定保護(hù)、超時(shí)自動(dòng)退出、精靈衛(wèi)士為客戶提供短信和手機(jī)二維碼兩種動(dòng)態(tài)密碼驗(yàn)證服務(wù)、精靈秘書確保資金安全可控等功能。

通過上述六大商業(yè)銀行的對(duì)比，各大商業(yè)銀行都擁有動(dòng)態(tài)口令卡和USB 證書兩個(gè)安全措施來相互配合，主要是保障身份識(shí)別和避免密碼與信息被盜取，保證資金安全，在系統(tǒng)方面也是利用國際安全技術(shù)來維護(hù)網(wǎng)絡(luò)系統(tǒng)安全。

四、我國網(wǎng)上銀行存在的安全問題

表2 樣本銀行官方網(wǎng)站一覽表

經(jīng)過對(duì)比各大銀行網(wǎng)站發(fā)現(xiàn)，各家銀行可以針對(duì)內(nèi)部系統(tǒng)和身份認(rèn)證方面，研發(fā)出有助于客戶網(wǎng)上交易的安全工具，但在瀏覽網(wǎng)頁中發(fā)現(xiàn)各大銀行的安全專區(qū)中有許多安全提示，這些是在高新技術(shù)的發(fā)展下，銀行所面臨的新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，銀行業(yè)暫時(shí)無法克服，亟待解決的問題。經(jīng)過調(diào)查研究發(fā)現(xiàn)，目前幾大商業(yè)銀行的網(wǎng)上銀行在安全保障上的不足主要有以下幾個(gè)方面：

（一）網(wǎng)絡(luò)釣魚。釣魚網(wǎng)站是指欺騙用戶的虛假網(wǎng)站。根據(jù)中國反釣魚網(wǎng)站聯(lián)盟公布的數(shù)據(jù)顯示，支付類和金融交易類釣魚網(wǎng)站位居前列。大部分商業(yè)銀行官網(wǎng)的首頁是不斷更新的，但當(dāng)用戶點(diǎn)擊個(gè)人或者企業(yè)等業(yè)務(wù)模塊進(jìn)入二級(jí)頁面時(shí)，依然會(huì)出現(xiàn)界面老舊，缺乏更新的狀況，容易讓不法分子仿制，制作釣魚網(wǎng)站來開展違法活動(dòng)。此外，部分商業(yè)銀行沒有關(guān)注到客戶可能在各大搜索引擎中當(dāng)輸入自身關(guān)鍵字段卻沒有檢索到官網(wǎng)的現(xiàn)象。例如，當(dāng)搜索到“興業(yè)”兩字時(shí)沒有出現(xiàn)由百度認(rèn)證的興業(yè)銀行官方網(wǎng)站，而當(dāng)搜索“農(nóng)行、招行”等關(guān)鍵字段皆能出現(xiàn)被認(rèn)證過的官方網(wǎng)站。

（二）電子身份認(rèn)證。對(duì)6 家網(wǎng)上銀行的研究發(fā)現(xiàn)，這六家商業(yè)銀行都是采用由中國金融認(rèn)證中心提供的統(tǒng)一認(rèn)證服務(wù)，能夠提供電子身份認(rèn)證服務(wù)的機(jī)構(gòu)具有可依賴、公正性、權(quán)威性，統(tǒng)一電子認(rèn)證對(duì)網(wǎng)上銀行交易安全起關(guān)鍵性作用。但是，部分商業(yè)銀行采用自建的電子認(rèn)證系統(tǒng)（CA）來對(duì)客戶進(jìn)行認(rèn)證，這不僅花費(fèi)較高，還加重了自身的技術(shù)壓力。在這種情況下，對(duì)證書頒發(fā)、管理等過程有了更加嚴(yán)格的要求。

（三）缺乏風(fēng)險(xiǎn)提示。經(jīng)使用發(fā)現(xiàn)，部分商業(yè)銀行沒有彈窗提示消息，如警示用戶在操作完成后拔出自己的U 盾等。不能培養(yǎng)用戶的良好使用習(xí)慣，提高了安全問題發(fā)生的概率。另外，在實(shí)體營業(yè)網(wǎng)點(diǎn)也鮮少能看見網(wǎng)上銀行的操作注意事項(xiàng)或有關(guān)功能介紹。就如上文中農(nóng)行的安全性輔助工具及操作指導(dǎo)較少。

（四）頁面設(shè)計(jì)感不強(qiáng)。部分商業(yè)銀行的官網(wǎng)沒有將客戶使用可能性最高的功能入口鏈接擺放在較為顯眼的位置，如“卡內(nèi)余額查詢”、“銀行卡申請(qǐng)”等功能。這對(duì)于本身就不經(jīng)常使用網(wǎng)上銀行的人來說無疑增添了一道工序，增加了時(shí)間成本，降低了易用性感知。若此客戶沒有特別偏好，則有一定的概率可能使其轉(zhuǎn)變?yōu)楦偁帉?duì)手的客戶。

五、網(wǎng)上銀行發(fā)展實(shí)現(xiàn)路徑

沒有絕對(duì)的安全，時(shí)代在發(fā)展，技術(shù)在進(jìn)步，只有安全防范意識(shí)的不斷提高與安全保障措施的不斷完善才能更好地為客戶提供服務(wù)，維護(hù)客戶利益，保持企業(yè)自身形象。

（一）系統(tǒng)及內(nèi)部管理要到位。首先，作為不法分子制作釣魚網(wǎng)站的重災(zāi)區(qū)，商業(yè)銀行應(yīng)定時(shí)定點(diǎn)地對(duì)自己官方網(wǎng)站進(jìn)行維護(hù)與更新，一級(jí)、二級(jí)甚至三級(jí)頁面都要進(jìn)行版式的更新，做到與母版一致。其次，應(yīng)主動(dòng)出擊，對(duì)網(wǎng)站進(jìn)行巡視與檢查，積極主動(dòng)地舉報(bào)釣魚網(wǎng)站而不是等到用戶投訴再做出反應(yīng)。最后，切實(shí)做好SEO 優(yōu)化，可以招聘專業(yè)的技術(shù)人員進(jìn)行維護(hù)，也可以與專業(yè)的機(jī)構(gòu)進(jìn)行合作來增加官網(wǎng)曝光率和減少客戶的錯(cuò)誤檢索。

（二）統(tǒng)一電子認(rèn)證。在電子認(rèn)證上，依據(jù)《電子認(rèn)證服務(wù)管理辦法》來說，金融機(jī)構(gòu)并不屬于傳統(tǒng)意義上的電子認(rèn)證服務(wù)機(jī)構(gòu)，嚴(yán)格意義上來說，在發(fā)生糾紛的情況下，其電子認(rèn)證的效力相對(duì)較弱?？梢酝ㄟ^不斷地更新迭代慢慢地摒棄掉原先自建的電子認(rèn)證系統(tǒng)，轉(zhuǎn)為與合法合規(guī)的、行業(yè)內(nèi)認(rèn)可的、安全度較高的電子認(rèn)證服務(wù)專業(yè)機(jī)構(gòu)開展合作，如中國金融認(rèn)證中心（CFCA），以此來增加認(rèn)證的效力，進(jìn)而提高不良資產(chǎn)處置效率。

（三）增加風(fēng)險(xiǎn)提示。首先，在用戶完成一些敏感操作（如轉(zhuǎn)賬匯款、投資理財(cái)）后，及時(shí)彈窗進(jìn)行提示，來確保用戶操作的正確性和培養(yǎng)顧客良好的使用習(xí)慣。其次，可以制作高級(jí)安全插件，在某用戶首次使用網(wǎng)上銀行進(jìn)行操作的前后，對(duì)用戶電腦進(jìn)行快速檢測以排除隱藏風(fēng)險(xiǎn)和及時(shí)地告知。

（四）豐富使用功能。銀行可以借助大數(shù)據(jù)技術(shù)來記錄并分析出客戶使用頻次較高的部分功能，將之放置在網(wǎng)站中顯眼的位置來提高事務(wù)處理效率、降低客戶的時(shí)間成本?；蚴峭瞥鲱愃朴膳d業(yè)銀行所推出的“功能演示”功能，此功能可以讓客戶使用虛擬賬戶進(jìn)行練習(xí)，幫助客戶熟悉各項(xiàng)功能的使用，降低了客戶因使用真實(shí)賬戶操作不當(dāng)而造成不必要損失的可能。相比于圖文的堆砌，這種讓客戶上手實(shí)際操作的效果更加有效和更容易讓客戶所接受。（圖1）

圖1 興業(yè)銀行功能演示圖

六、總結(jié)

網(wǎng)上銀行是新經(jīng)濟(jì)發(fā)展的產(chǎn)物，在我國，網(wǎng)上銀行的安全性問題依然存在，并且隨著時(shí)代的進(jìn)步，新技術(shù)的產(chǎn)生必然伴隨著新的技術(shù)漏洞，也會(huì)給不法分子帶來可乘之機(jī)，所以在網(wǎng)上銀行發(fā)展的不斷探索中，要將安全問題擺在首位，促進(jìn)安全模式的不斷升級(jí)，提高網(wǎng)上銀行全方位的防御體系，從而提升中國銀行業(yè)的優(yōu)勢和競爭力。