摘要:随着中国互联网的高速发展,使我国网上银行业务进入蓬勃期,网上银行支付业务越来越受到网民客户的青睐,同时网上银行支付是否安全可靠也引起各方的疑虑,本文就网上银行业务风险防范问题行文论述。
关键词:网上银行互联网内控制度
随着中国电子商务的飞速发展,使中国网上银行业务开始进入蓬勃发展期。网上银行支付的快捷方便,影响着人们的生产方式和生活方式,越来越广泛地被大众所接受。但是网上银行支付是否安全可靠成为众多客户的担忧,影响着网上银行的信誉及发展。因此,我们必须认真剖析、深入研究网上支付案件的成因及对策。
一、网上银行发展现状、案件种类及特点
网上银行支付是银行金融服务的发展和创新,网上支付的目的在于减少银行成本、加快处理速度、方便客户、扩展业务等,使客户可以在任何地方、任何时间通过互联网获得银行的支持服务,而无需到 银行的传统营业柜台办理支付,从而给客户带来支付的便利。然而,网上银行业务的发展是建立于互联网技术基础之上的。近年来,由于我国互联网业务的普及和发展,我国网上银行由2001年200多万用户,几年间网上银行客户数发展达6900万左右,网银交易额约140多万亿。中国银行是最早在互联网上建立和发布自己主页的银行,成为我国第一家在互联网上发布信息的银行。随之中国银行、招商银行开通网上银行服务,再后工商银行、建设银行、交通银行、光大银行以及农业银行等也陆续推出网上银行业务,发展到现在几乎所有的银行都开通网上银行业务。www.11665.COm查历史数据,我国根据cnnic历年调查数据显示,截至2007年底,超过85%的网民选择网上支付作为付款方式,网上支付已经成为最为普遍和最受欢迎的网上购物付款方式。虽然目前我国网上银行业务在整个银行业务交易金额中的比例仅为5%-7%。而世界银行预测,在未来几年,中国网上银行业务量占银行业务量比重将达20%左右。可见,我国网上银行产品将从投入期进入发展期,市场发展潜力巨大。同时网上支付安全问题,也给网民
客户带来风险的困扰。网上支付案件屡见不鲜,频繁发生归纳起来主要有四类:
1.木马病毒黑客类
木马病毒利用安全软件其他程序加载输入法文件的特点进行“注入”攻击方式,可以使大部分安全软件失去作用,最终令计算机访问黑客指定地址,下载大量木马病毒到用户电脑中进行盗号和破坏操作。
2.假网站类
不法分子往往利用与网络银行相似的网址、相同的网页,制造虚假网站,骗取银行客户的银行卡号和密码。所以在登录网络银行办理业务时,定要认清银行的合法网址,并正确输入。
3.网上银行信息泄漏类
骗徒通过网络聊天或通信设备骗知网银用户名、密码等个人身份识别信息。
4.利用网上支付或缴费等功能盗取资金类。
其特点:
(1)与证书相关的案件明显增多。尤其以利用木马病毒黑客技术等盗取文件证书的案件发生得最为频繁。
(2)通过网上支付等功能盗取资金的案件增多。
(3)集团式犯罪增多。网上银行案件向集团式、大额方向发展,这种集团式作案组织严密、分工明确,盗取到的资金金额巨大,给社会造成了严重的不良后果。
二、网上银行案件发生的成因
1.电脑中未安装杀毒软件,或未对杀毒软件经常进行升级;
2.使用的是文件证书,或者未对证书进行妥善保管;
3.登陆网银时没有仔细辨认网站真伪;
4.没有良好的保密意识,轻易将卡号、口令及其它信息透露给他人;或没有主动防范的意识,被他人偷窥个人资料;或没能妥善保管与网上银行相关的资料或证书载体;
5.与数字证书相关的各环节出现纰漏
首先,在数字证书的申请过程中,用户对于个人资料的保管不善使得他人有机可乘;其次,他人可以冒充用户身份开办数字证书,利用网银盗取大额资金;再次,用户在使用环节中的大意也容易形成被他人攻击的突破口,例如将证书的密码轻易透露给他人,证书的存储介质未能妥善保存,让不熟悉的人接近存放证书的计算机等等。
三、网上银行的风险防范
1.银行要建立良好的网上银行风险管理体系。要研究网上银行自身特点,作好事前分析与防范工作, 完善组织机构和管理制度,制订一整套自上而下的风险管理组织机构和管理规章制度。在银行内部控制上要做到:
(1)各项业务操作全过程必须遵守的规章制度和操作规程;
(2)业务管理部门要建立业务管理、专业检查和业务辅导以及事后监督制度;
(3)加强稽核、内审监督和纪检、监察部门的检查监督。
(4)建立网络风险审计中心和网络风险预警系
统。
2.注重利用先进、成熟的技术手段
充分利用当前先进、成熟的技术手段, 在软、硬件设备方面缩小与发达国家的差距, 提高关键设备的安全防御能力。进一步搞好网络银行系统的基础建设,灵活使用现代网络技术。
(1)防火墙技术;
(2)防病毒技术,防重于杀,及时更新杀毒软件版本及病毒库;
(3)防木马技术,切断木马的植入路径,定期进行木马扫描与清理,阻断木马信息向外发送;
(4)密钥加密技术,保证信息的私密性,要对网上传输的信息进行加密,使未经授权者无法了解信息内容。建立并使用入侵检测系统(ids),将ids置于防火墙或网关后,像网络窥探器一样捕获所有内传或外传的数据包。利用ids监视数据。定期对网络银行系统进行安全漏洞的侦查扫描。在各银行网络银行用户处部署安全代理客户端及安全硬件模块(usb key)。
3.建立电子签名及认证制度
《电子签名法是2004 年8 月在我国推出的,首次赋予符合一定条件的电子签名具有法律效力,并确立电子了电子签名的规则。然而界定安全的电子签名,关键要确立有权限的认证机构。需要具有权威性和公正性的第三方来完成,为网上交易建立有效、可靠的保护机制。
4.建立分级授权内控制度
在内控制度建社方面,要建立立分级授权制度,以加强业务过程审计力度。主要从下列内容进行:首先在业务审计中,审核与监督要贯穿网上银行业务操作与管理的各个环节,既要有非现场的事后集中检查与监督,又要有现场实时在线检测与监督,这是防范操作风险和道德风险的可行措施。其次在网上转账方面,要建有限制制度,对账户性质、资金流动等内容加以限制。再次在交易额方面,要确立交易额限制,即不同品种的单笔交易额,对当日累计交易额应确立限制。
5.个人网上银行风险防范措施
首先,银行客户切勿使用电子邮件内的超连结、可疑的突现式视窗或网上搜寻器登入网上银行帐户。当需要浏览银行的网站时,客户应在浏览器的网址输入有关银行的网址,避免进入“假网银”。其次,客户应安装个人防火墙软件及防电脑病毒软件,并定期下载与更新,以有效防范木马与病毒对终端系统的攻击。再次,保管好密码等个人身份信息,不要将用户名、密码等个人身份识别信息透露给其他人,建议不定期地修改网上银行相关密码。第四,养成良好的操作习惯操作完毕后或暂离机器时,及时退出网上银行,并立即从计算机上拔下移动证书并妥善保管。
参考文献:
[1]张宽海: 网上支付与结算北京高等教育出版社2007
[2]黄涛: 中国电子商务及其网上支付瓶颈初析 计算机科学 2008
[3]杨坚争: 编著 电子商务安全与电子支付机械工业出版社
[4]王道军:浅谈网上英航风险防范和控制策略
论文网在线:
