网上银行应对金融安全风险新挑战
来源:互联网周刊
网上银行的发展突飞猛进,在技术进步的同时,网上银行安全风险也与日俱增,尤其在互联网金融时代,对银行业的安全管理能力提出了更高的要求。
近年来,伴随着信息技术在金融领域的快速、广泛应用,银行业不断加大技术投入,以网络为媒介,采用个性化的高科技集中营销策略逐步取代传统的大规模无差别营销策略,网上银行的发展突飞猛进。但是,在技术进步的同时,网上银行安全风险也与日俱增,对银行业的安全管理能力提出了更高的要求。
金融安全事件频发为行业敲响警钟
在近期重庆市发生的一起金融安全案件中,由于保险公司网站泄露用户个人信息,导致犯罪嫌疑人利用获得的用户身份证号码和手机号制作假身份证,并用假身份证补办手机卡,通过手机号找回支付宝密码,从而将与支付宝绑定的银行卡中的钱款转走。在这一过程中,从保险公司到手机运营商,再到支付宝,几道关卡均告失守,令人担忧。本案只是近期数起案件中的一个代表,业内人士表示,不仅保险公司,包括招聘、社交甚至普通企事业单位的网站在个人信息方面也都存在漏洞。业内人士表示,移动互联网时代,用户对移动支付体验的便捷要求越来越高,风险概率也因此提升。该人士建议用户妥善保管个人身份证、银行卡及其他隐私信息;同时,获取相关信息的机构、单位、企业应完善安全机制,运营商、银行应共同就关键业务受理加强身份审核。
此外,最近一种新型诈骗手法也引起了业界的关注:不法分子通过“伪基站”屏蔽运营商网络信号,然后假冒银行向手机用户发送诈骗短信,内容包括指示用户提供个人银行账户信息等,给用户和电信运营商造成重大经济损失。某国有大行内部人士告诉《互联网周刊》记者,该行近期已联合公安机关和无线电管理机构发起打击伪基站金融犯罪的行动。但该人士也表示,目前在打击相关金融诈骗犯罪方面,还没有“一劳永逸”的手段。与此同时,公众的金融诈骗防范意识尚显淡漠,因此,银行在信息安全领域的压力很大。
利用“伪基站”实施诈骗的作案新手法给用户和电信运营商造成重大损失,也引起了业界的关注。
国内金融业对风险问题认识有待提高
巴塞尔银行监管委员会于1998年3月发表了《电子银行和电子货币运作中的风险管理》专项研究报告,就电子银行和电子货币运作中的风险管理进行了全面论述,将风险划分为:操作风险、信誉风险、法律风险、信用风险、流动性风险、利率风险、市场风险和国家风险8类。与之相对应,网上银行风险管理则由风险识别、风险防范以及风险控制三部分组成。
尽管业界已经就网上银行风险管理问题形成了较为成熟的理论,但目前国内许多银行仍对这一领域的诸多风险,尤其是对网上银行带来的声誉风险认识不足。问题集中体现在对网上银行的内控体系建设重视不足,对客户的风险提示和安全教育不够,客户容易操作不当,感染木马病毒等方面。更重要的是银行在技术控制措施方面暴露出严重问题,例如缺少业务连续性计划,缺少对系统安全监控及冗余设计,缺少针对钓鱼网站的应对措施等。
随着网上银行客户数和业务交易量的逐年递增,使用量的不断增加,越来越多的客户对网上银行产生了较强的依赖性,网上银行的事故将会给客户带来经济损失和极大不便,进而对银行的声誉产生不良印象。所幸,这些问题已经引起了行业的重视,相关人员对此提出以下建议。
采取有效措施,加强网上银行安全防护
银行部门作为网上银行安全工作的重中之重, 需要采取切实措施加强安全管理, 建立起一套真正适合网上银行的安全体系。首先,建立安全管理组织体系,落实责任人,并加强安全管理部门的力量和权力。完善安全管理规章制度, 严格贯彻实施。建立业务运行应急计划和业务连续性计划,保证即使在不利情况下,银行仍能对外提供产品与服务。其次,尽量采用高等级安全操作系统, 运用多种安全机制来增强网上银行的安全性,在运行过程中不断地检测各种网络入侵、审核安全记录,检查是否有对网上银行构成威胁的漏洞, 及时发现并作相应处理等。最后,要大力探索数字证书、虹膜认证、指纹认证等新型安全的认证方式,加强客户终端的安全。加强银行之间、银行与公安部门及反病毒厂商之间的协作与沟通, 及时掌握最新的网络犯罪动态和病毒信息,及时采取有效防护措施。
提高用户安全防范意识
首先,银行应持续提醒网上银行客户注意,认可机构本身或其业务伙伴绝不会通过电子邮件要求客户提供敏感的密码资料。其次,银行应提供一些方法让网上银行客户确保其链接的网站为认可机构的正式网站, 绝对不要以电子邮件内提供的链接方式登录网上银行网站。
再次,定期在互联网上搜寻,以检查是否有第三方网站的域名可能以假乱真。最后,加强安全使用网上银行的培训和教育。在保护用户的账户隐私、确保交易安全方面,银行应提供完备的安全防范手册, 尽量在其网页的醒目位置对用户使用网上银行时如何保护自己的账务密码安全等方面进行明确提示,加强对客户安全使用网上银行的培训和教育。
加强网上银行安全技术措施
目前在打击相关金融诈骗犯罪方面,还没有“一劳永逸”的手段。与此同时,公众的金融诈骗防范意识尚显淡漠,因此,银行在信息安全领域的压力很大。
首先要在操作系统及数据库方面进行改进,许多银行业务系统使用Unix网络系统, 黑客可利用网络监听工具截取重要数据;或者利用用户使用服务时监听用户明文形式的账户名和口令等。而在网络加密技术方面,网络加密的目的是保护网上传输的数据、文件、口令和控制信息的安全。目前信息加密处理通常有两种方式:链路加密和端到端加密。网络安全访问控制方面,应以保证网络资源不被非法使用和非法访问为主要任务, 通过对特定的网段和服务建立有效的访问控制体系,可在大多数的攻击到达之前进行阻止,从而达到限制非法访问的目的,是维护网络系统安全保护网络资源的重要手段。身份认证方面,要保证能够正确识别用户,可通过三种基本方式或其组合形式来实现: 用户所知道的密码(如口令), 用户持有合法的介质(如智能卡), 用户具有某些生物学特征(如指纹、声音、DNA 图案、视网膜扫描等)。要加强对网络入侵检测系统的防范。入侵检测技术是近年出现的新型网络安全技术,是对入侵行为的监控,它通过对网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。此外,还要在防病毒技术、备份和灾难恢复方面进行优化。
在互联网金融时代,银行应增强技术创新,加强安全保障和风险防范措施,充分发挥网络的强大潜力。