前言:中文期刊網(wǎng)精心挑選了金融網(wǎng)絡(luò)安全管理辦法范文供你參考和學(xué)習(xí),希望我們的參考范文能激發(fā)你的文章創(chuàng)作靈感,歡迎閱讀。
金融網(wǎng)絡(luò)安全管理辦法范文1
論文摘要:隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷發(fā)展,電子商務(wù)安全風(fēng)險管理策略成為理論與實踐中必須重視的課題。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風(fēng)險策略的薄弱點(diǎn),發(fā)展商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略,應(yīng)借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法改變電子商務(wù)安全管理對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序,用系統(tǒng)管理思想構(gòu)建商業(yè)銀行電子商務(wù)安全管理框架,并將商務(wù)安全風(fēng)險納入風(fēng)險管理范疇。
商業(yè)銀行從事金融業(yè)務(wù)面臨著市場風(fēng)險、信用風(fēng)險、以及操作風(fēng)險等,而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險發(fā)生的可能性以及風(fēng)險發(fā)生之后的破壞程度。2004年以來,我國面臨的網(wǎng)絡(luò)仿冒威脅正在逐漸加大,仿冒對象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報告65679件,超過2004年全年案件數(shù),商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進(jìn)與現(xiàn)階段的特點(diǎn)
信息安全管理的策略大體遵循事件驅(qū)動(技術(shù)和管理脫節(jié))-逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險管理(引入了風(fēng)險分析)的發(fā)展路徑。
(一)以事件驅(qū)動的初級階段時期
19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全,人與計算機(jī)之間的交互主要局限在大型計算機(jī)上的啞終端,安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級階段,由事件驅(qū)動,沒有形成規(guī)范的管理流程。在此階段的前期,只重視技術(shù)手段。后期開始重視管理手段,但是技術(shù)和管理之間脫節(jié)。許多組織對信息安全制定了相應(yīng)的規(guī)章和制度,但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。
(二)標(biāo)準(zhǔn)化時期
企業(yè)開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略,內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全教育等等,基本上形成體系,技術(shù)和管理手段綜合統(tǒng)一,但是安全風(fēng)險分析還存在不足之處。
(三)安全風(fēng)險管理策略時期
隨著電子商務(wù)安全管理發(fā)展到一個比較高的層次,安全管理策略也演進(jìn)到安全風(fēng)險管理階段。主要特點(diǎn)如下:
1.安全風(fēng)險管理成為主流趨勢;在安全管理策略的演進(jìn)過程中,技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險管理的分析、防范策略,從而安全管理進(jìn)入了安全風(fēng)險管理時期。西方商業(yè)銀行已對安全風(fēng)險管理形成共識。如安氏公司(is—One),認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險管理問題,風(fēng)險管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。
2.安全風(fēng)險管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》、英國標(biāo)準(zhǔn)協(xié)會制訂的BS7799等。各國也日益重視安全風(fēng)險管理,制定了許多規(guī)范。例如美國貨幣監(jiān)理署(OCC)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險管理》等。中國銀行業(yè)監(jiān)督管理委員也于2006年頒布了《電子銀行業(yè)務(wù)管理辦法》,對國內(nèi)企業(yè)的電子商務(wù)安全風(fēng)險管理給出了指導(dǎo)意見。
3.利用外部專業(yè)化機(jī)構(gòu)對金融機(jī)構(gòu)的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術(shù)風(fēng)險,在相當(dāng)程度上取決于采用的信息技術(shù)的先進(jìn)程度,系統(tǒng)的設(shè)計開發(fā)水平,以及相關(guān)設(shè)施設(shè)備及其供應(yīng)商的選擇等;銀行依靠傳統(tǒng)的風(fēng)險管理機(jī)制已很難識別、監(jiān)測、控制和管理相關(guān)風(fēng)險。同樣,監(jiān)管機(jī)構(gòu)也難以完全依靠自身的力量對電子銀行的安全性進(jìn)行準(zhǔn)確評價和監(jiān)控。因此,大部分國家都采用了依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行安全性進(jìn)行評估的辦法,加強(qiáng)對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。
4.在許多國家信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。業(yè)界的IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作,從經(jīng)濟(jì)學(xué)的角度出發(fā)分析風(fēng)險,充分衡量保持安全的代價和收益之間的關(guān)系,尋求用最小的代價實現(xiàn)最大的效用,在風(fēng)險分析中也形成一套較為成熟的模式。
二、我國商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略的薄弱點(diǎn)
(一)系統(tǒng)管理思想缺乏
目前的電子商務(wù)安全風(fēng)險管理策略,在全局上缺乏系統(tǒng)論理論的指導(dǎo),在實際操作中受到多種多樣的安全攻擊時會不可避免地出現(xiàn)安全漏洞,無法形成一張全面有序的安全網(wǎng)絡(luò)。
實踐中被采用的安全風(fēng)險管理策略,以及作為指導(dǎo)意見的規(guī)則規(guī)范,如《信息安全管理實務(wù)準(zhǔn)則》(IS017799)、《信息技術(shù)安全性評估準(zhǔn)則》(GB/T18336.1)、巴塞爾銀行監(jiān)管委員會的《電子銀行業(yè)務(wù)風(fēng)險管理原則》,盡管提出了比較全面的安全風(fēng)險管理方案,層次上也比較清晰,但是還不足以作為一個風(fēng)險防范系統(tǒng)。實踐中,電子商務(wù)組織是一個復(fù)雜的系統(tǒng)組織,電子商務(wù)的安全風(fēng)險管理體系和過程也是個復(fù)雜的系統(tǒng)。系統(tǒng)論、控制論的思想在電子商務(wù)安全風(fēng)險管理中是不可或缺的。
(二)風(fēng)險分析的模型與方法不成熟,定量分析不足
電子商務(wù)模式自身的發(fā)展歷史也不過20幾年,在風(fēng)險分析的定量技術(shù)上并不成熟;如BS7799中推薦的電子商務(wù)安全風(fēng)險管理中實施風(fēng)險評估時,往往將威脅發(fā)生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質(zhì)上是將一些按照概率發(fā)生的事件定義為不連續(xù)的幾個級別,在操作上易行,但造成了度量的不精確。在進(jìn)行監(jiān)控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統(tǒng)風(fēng)險管理策略的結(jié)合
本質(zhì)上,電子商務(wù)的安全風(fēng)險無非是新興的商業(yè)模式對傳統(tǒng)的風(fēng)險的改變,以及產(chǎn)生的在傳統(tǒng)風(fēng)險控制領(lǐng)域暫時無法明晰的新風(fēng)險;現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題,站在金融領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對電子商務(wù)安全風(fēng)險管理的研究無法立足于一個比較高的層次;忽略了風(fēng)險的整體性,只進(jìn)行偏信息和技術(shù)的研究,導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險管理策略存在差距。對于商業(yè)銀行而言,傳統(tǒng)金融業(yè)務(wù)的風(fēng)險控制與電子商務(wù)的技術(shù)風(fēng)險控制,兩個方面存在脫節(jié),同樣屬于商業(yè)銀行的風(fēng)險,存在著不同的管理策略,導(dǎo)致多頭管理、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮,乃至缺位管理。
(四)風(fēng)險管理策略無法依賴外部的信息安全管理行業(yè)
在發(fā)達(dá)國家,信息系統(tǒng)審計(Is Audit)作為一種信息技術(shù)服務(wù)被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務(wù)。IT風(fēng)險分析師也成為一種職業(yè),專門從事電子商務(wù)的安全風(fēng)險工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對電子銀行的安全性進(jìn)行評估的辦法,提高對電子銀行安全性和技術(shù)風(fēng)險的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系,制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、法律法規(guī),風(fēng)險評估工作得到了一定重視,但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。
(五)風(fēng)險管理策略中商業(yè)銀行的內(nèi)部風(fēng)險控制能力薄弱
我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險管理部門;但風(fēng)險控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距,風(fēng)險控制實質(zhì)上仍然分散在各個子部門;風(fēng)險的評估、防范與控制實質(zhì)上完全依靠商業(yè)銀行的電子交易部門;風(fēng)險管理部門、內(nèi)審稽核部門實質(zhì)上無法控制電子商務(wù)安全風(fēng)險。例如,風(fēng)險管理部門接受了電子交易部的風(fēng)險控制報告,表面上履行的內(nèi)控審核的流程,但審核作用有限,無法完成電子商務(wù)安全風(fēng)險管理中的監(jiān)控與審計環(huán)節(jié)。
三、商業(yè)銀行的電子商務(wù)安全風(fēng)險管理策略的改進(jìn)建議
(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險管理策略框架
利用系統(tǒng)理論作為總體的指導(dǎo)思想,將電子商務(wù)安全風(fēng)險管理策略本身當(dāng)作一個開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險管理中的各個環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。
在商業(yè)銀行電子商務(wù)安全風(fēng)險控制的流程中,經(jīng)過信息安全的風(fēng)險評估、資產(chǎn)識別和選擇、實施控制降低風(fēng)險的措施、將風(fēng)險控制在可接受的范圍內(nèi),然后進(jìn)行監(jiān)控和審計;尤其重要的是把監(jiān)控和審計所得到的內(nèi)容作為新一輪風(fēng)險分析輸入,從而開始新一輪的風(fēng)險管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險管理的各個步驟為動態(tài)的循環(huán)系統(tǒng)。每完成一個循環(huán),安全風(fēng)險管理的有效性就上一個臺階,商業(yè)銀行的安全管理水平變得到了提高。
(二)電子商務(wù)安全風(fēng)險管理中定量分析中的改進(jìn)思路
商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險度量中的一些方法來改變電子商務(wù)安全風(fēng)險管理中對資產(chǎn)進(jìn)行粗略的優(yōu)先級別排序的方法。實踐中,商業(yè)銀行對操作風(fēng)險的管理與對電子商務(wù)安全風(fēng)險管理有其相似之處。巴塞爾委員會對商業(yè)銀行的操作風(fēng)險的內(nèi)部計量法中規(guī)定,商業(yè)銀行內(nèi)部估計風(fēng)險敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險損失,巴塞爾委員會制定資本要求的轉(zhuǎn)換系數(shù);在度量損失的分布時,主要利用統(tǒng)計和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來,利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險定量分析的嘗試。
(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險納入商業(yè)銀行總體風(fēng)險管理范疇
金融網(wǎng)絡(luò)安全管理辦法范文2
關(guān)鍵詞:網(wǎng)絡(luò)銀行;internet網(wǎng)絡(luò);安全
中圖分類號:TP393文獻(xiàn)標(biāo)識碼:A文章編號:1009-3044(2010)20-5453-02
Internet Banking Security Prospects
ZHOU Kai
(Jining City Medical Insurance Management Center, Ji'ning 272059, China)
Abstract: That cyberbank's appearing, maximum field have changed society economy is operating a pattern, is creating new social value in the process reforming now available social value structure. While human being enjoying what informationization society brings about facilitating, also have to ingest bitter pill brewed by information society: Cyber crime is rampant, intellectual property rights and the individual privacy are infringed upon by grave field, national security is waited for a while by grave challenge and the threat. This law will be to one kind of mandatory measure adopted by information safety, the information behavior being that the mandatory strength of country uses the what be in progress law to adjust sum norm, its to information resources and information implement uses people conscientious or compels the field bureau.
Key words: internet banking; internet network; safety
隨著“以網(wǎng)絡(luò)應(yīng)用為核心的數(shù)字化革命時代”的到來,金融業(yè)首當(dāng)其沖地受到了電子信息技術(shù)的深刻影響,由此形成了全新的經(jīng)營模式――網(wǎng)上金融。網(wǎng)上金融引發(fā)了一系列復(fù)雜的問題,其中最為普遍的是與網(wǎng)絡(luò)銀行有關(guān)的問題。“網(wǎng)上銀行”在為金融企業(yè)的發(fā)展帶來前所未有的商機(jī)的同時,也為眾多用戶帶來實實在在的方便。作為一種全新的銀行客戶服務(wù)提交渠道,客戶可以不必親身去銀行辦理業(yè)務(wù),只要能夠上網(wǎng),無論在家里、辦公室,還是在旅途中,都能夠每天24小時安全便捷地管理自己的資產(chǎn),或者辦理查詢、轉(zhuǎn)賬、繳費(fèi)等銀行業(yè)務(wù)。“網(wǎng)上銀行”的優(yōu)越性的確很明顯。但是面對這一新興的事物,人們卻有一個最大的疑惑:“網(wǎng)上銀行”安全嗎?
1 網(wǎng)上銀行的安全性分析
1.1 網(wǎng)上銀行安全問題
一般來說,人們擔(dān)心的網(wǎng)上銀行安全問題主要是:
1.1.1 銀行交易系統(tǒng)被非法入侵。
黑客可以通過入侵級別很高的服務(wù)器,如政府機(jī)關(guān)的服務(wù)器訪問銀行的服務(wù)器,通過這樣的手段來竊取銀行客戶的資料。或內(nèi)部人員利用外面的計算機(jī)通過別的手段進(jìn)入服務(wù)器竊取資料。
1.1.2 信息通過網(wǎng)絡(luò)傳輸時被竊取或篡改。
黑客通過某種手段在網(wǎng)上截取銀行和客戶之間的信息,或監(jiān)控客戶的電腦,把客戶的電腦改為黑客的肉雞,達(dá)到竊取銀行客戶資料的目的,如前一段時間爆發(fā)的“熊貓燒香”的病毒,“熊貓燒香”病毒有竊取電腦帳號密碼的功能,然后發(fā)到指定的郵箱里。如果客戶的電腦感染了這種病毒,那客戶的資料就有可能被盜。
1.1.3 交易雙方的身份識別;賬戶被他人盜用。
上面講到了病毒和木馬有竊取帳號密碼的功能和目的,黑客用竊取的資料偽裝成合法真實的銀行客戶與銀行或其他消費(fèi)性行業(yè)進(jìn)行交易.業(yè)務(wù)。
網(wǎng)銀,一般分為大眾版和專業(yè)版。專業(yè)版必須由用戶本人到銀行網(wǎng)點(diǎn)申請辦理數(shù)字證書,大眾版允許客戶憑身份證、賬號和密碼在網(wǎng)上自助開通。但大眾版只能提供查詢、小額支付等基本功能,專業(yè)版可提供轉(zhuǎn)賬支付等服務(wù)。
對客戶來說,從以下幾個步驟可以看出網(wǎng)銀的“安全指數(shù)”:登陸、數(shù)字證書、密碼驗證。目前,各家銀行采用的登陸方式不同,即使是同一家銀行,也會讓客戶選擇多種登陸方式,一般情況采用銀行卡號、客戶號或身份證號登陸,也有的讓客戶自己設(shè)置昵稱登陸,也有不用輸入用戶名即可登陸,如招行、農(nóng)行。
相對來說,數(shù)字證書略微復(fù)雜一點(diǎn)。數(shù)字證書是網(wǎng)銀用戶使用的一種將個人信息與電子簽名唯一綁定的電子文件,通過它可對網(wǎng)上交易進(jìn)行身份確認(rèn),確保交易的唯一、完整和不可否認(rèn)。數(shù)字證書分為“移動數(shù)字證書”和“文件數(shù)字證書”。“文件數(shù)字證書”是IE瀏覽器證書,成本低,客戶需要將此證書的軟件安裝在電腦上;“移動數(shù)字證書”外形類似U盤,安全性高,便于攜帶。有了數(shù)字證書后,等于為客戶設(shè)置了三道防火墻:用戶名、密碼、數(shù)字證書,這就能提供最基本的網(wǎng)銀安全保障。需要注意,在網(wǎng)銀的轉(zhuǎn)帳中,會涉及支付密碼,一般支付密碼和登陸密碼不宜設(shè)為同一個。
從銀行的角度來看,開展網(wǎng)上銀行業(yè)務(wù)將承擔(dān)比客戶更多的風(fēng)險。因此,我國已開通“網(wǎng)上銀行”業(yè)務(wù)的招商銀行、建設(shè)銀行、中國銀行等,都建立了一套嚴(yán)密的安全體系,包括安全策略、安全管理度和流程、安全技術(shù)措施、業(yè)務(wù)安全措施、內(nèi)部安全監(jiān)控和安全審計等,以保證“網(wǎng)上銀行”的安全運(yùn)行。
銀行交易系統(tǒng)的安全性“網(wǎng)上銀行”系統(tǒng)是銀行業(yè)務(wù)服務(wù)的延伸,客戶可以通過互聯(lián)網(wǎng)方便地使用商業(yè)銀行核心業(yè)務(wù)服務(wù),完成各種非現(xiàn)金交易。但另一方面,互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò),銀行交易服務(wù)器是網(wǎng)上的公開站點(diǎn),網(wǎng)上銀行系統(tǒng)也使銀行內(nèi)部網(wǎng)向互聯(lián)網(wǎng)敞開了大門。因此,如何保證網(wǎng)上銀行交易系統(tǒng)的安全,關(guān)系到銀行內(nèi)部整個金融網(wǎng)的安全,這是網(wǎng)上銀行建設(shè)中最至關(guān)重要的問題,也是銀行保證客戶資金安全的最根本的考慮。
1.2 為防止交易服務(wù)器受到攻擊,銀行主要采取的技術(shù)措施
1.2.1 設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)
一般采用多重防火墻方案。其作用為:
1) 分隔互聯(lián)網(wǎng)與交易服務(wù)器,防止互聯(lián)網(wǎng)用戶的非法入侵。
2) 用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔,有效保護(hù)銀行內(nèi)部網(wǎng),同時防止內(nèi)部網(wǎng)對交易服務(wù)器的入侵。
3) 還應(yīng)安裝殺毒軟件,每天定時升級,加強(qiáng)對服務(wù)器的管理。
1.2.2 高安全級的Web應(yīng)用服務(wù)器
服務(wù)器使用可信的專用操作系統(tǒng),憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查,保證只有合法用戶的交易請求能通過特定的程序送至應(yīng)用服務(wù)器進(jìn)行后續(xù)處理。
1.2.3 24小時實時安全監(jiān)控
在2000年2月Yahoo等大網(wǎng)站遭到黑客入侵破壞時,使用ISS安全產(chǎn)品的網(wǎng)站均幸免于難。網(wǎng)上交易不是面對面的,客戶可以在任何時間、任何地點(diǎn)發(fā)出請求,傳統(tǒng)的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進(jìn)行認(rèn)證。但是,用戶的密碼在登錄時以明文的方式在網(wǎng)絡(luò)上傳輸,很容易被攻擊者截獲,進(jìn)而可以假冒用戶的身份,身份認(rèn)證機(jī)制就會被攻破。
在網(wǎng)上銀行系統(tǒng)中,用戶的身份認(rèn)證依靠基于“RSA公鑰密碼體制”的加密機(jī)制、數(shù)字簽名機(jī)制和用戶登錄密碼的多重保證。銀行對用戶的數(shù)字簽名和登錄密碼進(jìn)行檢驗,全部通過后才能確認(rèn)該用戶的身份。用戶的惟一身份標(biāo)識就是銀行簽發(fā)的“數(shù)字證書”。用戶的登錄密碼以密文的方式進(jìn)行傳輸,確保了身份認(rèn)證的安全可靠性。數(shù)字證書的引入,同時實現(xiàn)了用戶對銀行交易網(wǎng)站的身份認(rèn)證,以保證訪問的是真實的銀行網(wǎng)站,另外還確保了客戶提交的交易指令的不可否認(rèn)性。
2 網(wǎng)絡(luò)銀行的展望――客戶的安全意識
2.1 客戶的安全意識
銀行卡持有人的安全意識是影響網(wǎng)上銀行安全性的不可忽視的重要因素。目前,我國銀行卡持有人安全意識普遍較弱:不注意密碼保密,或?qū)⒚艽a設(shè)為生日等易被猜測的數(shù)字。一旦卡號和密碼被他人竊取或猜出,用戶賬號就可能在網(wǎng)上被盜用,例如進(jìn)行購物消費(fèi)等,從而造成損失,而銀行技術(shù)手段對此卻無能為力。因此一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶的資金安全。
另一種情況是,客戶在公用的計算機(jī)上使用網(wǎng)上銀行,可能會使數(shù)字證書等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用
網(wǎng)上銀行賬戶被盜用,經(jīng)過調(diào)查分析主要由以下幾種情況引起:
點(diǎn)擊瀏覽了一些被安裝了木馬程序的網(wǎng)站,木馬就會自動下載并根植于受害者的電腦中,一旦受害者使用網(wǎng)上銀行功能,木馬程序就會自動將受害者的銀行賬號和密碼發(fā)給盜號者。在網(wǎng)吧使用網(wǎng)上銀行功能,被盜取的可能性極大。因為網(wǎng)吧的電腦有可能被黑客種植了木馬盜號程序。下載安裝了一些盜版或可疑軟件,也可能會被種木馬,有些來歷不明的郵件也會攜帶木馬。受害者不注意密碼保護(hù),將銀行賬號的密碼設(shè)置成生日等容易被猜測的數(shù)字,也會增加被破解盜取的幾率。
網(wǎng)外其他途徑泄漏,如在取款機(jī)取款時被泄漏,被釣魚短信所騙取,如說你在哪里消費(fèi)了多少,打什么電話查詢之類的。
防范的辦法:
首先要提高自身的安全意識,注意自己銀行賬號的密碼保護(hù),盡可能降低泄漏的可能性。
最安全的辦法是向銀行申請自己的數(shù)字證書,例如工商銀行的用戶,其個人網(wǎng)上銀行USBKey客戶證書(U盾)是一個帶智能芯片、形狀類似于閃存(即U盤)的實物硬件,是專門用于網(wǎng)上銀行的安全通行證。擁有這個屬于自己的硬件安全證書,不但可以確保個人網(wǎng)上銀行的安全,而且對外轉(zhuǎn)賬金額不受限制。建行的客戶證書則是數(shù)字證書,也能起到保障網(wǎng)上銀行使用者利益的作用。
在電腦環(huán)境方面,建議及時更新操作系統(tǒng)的補(bǔ)丁,確保操作系統(tǒng)在最新的版本狀態(tài),減少相應(yīng)的安全漏洞。安裝針對病毒及木馬的查殺軟件,并及時進(jìn)行更新。
千萬不要相信一些騙人的短信,如果有疑問,可以直接打銀行提供的電話進(jìn)行相關(guān)的賬號信息查詢。
在上網(wǎng)時,盡量不要瀏覽一些來歷不明的網(wǎng)站,不要輕易下載、安裝、運(yùn)行來歷不明的軟件,盡量避免在不屬于自己的電腦上使用網(wǎng)銀功能,減少中木馬的可能性。在進(jìn)行網(wǎng)上銀行、網(wǎng)上購物或其他需要輸入密碼的操作時要特別仔細(xì)核對網(wǎng)址,有些不法分子就是注冊和銀行相似的網(wǎng)址,然后讓客戶上當(dāng),總之,在網(wǎng)上銀行業(yè)務(wù)操作時一定要多留個心眼。
一旦發(fā)現(xiàn)自己的網(wǎng)上銀行賬戶被盜用,馬上聯(lián)系當(dāng)?shù)氐墓簿W(wǎng)監(jiān)部門幫助解決。一般情況下,商家都會配合公安部門做好協(xié)助工作,可盡量減少損失額。
我國法律對于網(wǎng)絡(luò)安全保護(hù)及計算機(jī)犯罪的制裁是有規(guī)定的。1997年修訂的新刑法第285條、第286條及第287條,對以計算機(jī)系統(tǒng)為客體的犯罪、以計算機(jī)中的信息為客體的犯罪、制作傳播病毒破壞性程序的犯罪、以計算機(jī)為工具的金融犯罪都做出了明確的規(guī)定與制裁。此外,國務(wù)院、公安部等部門頒布的《計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《金融機(jī)構(gòu)計算機(jī)信息安全保護(hù)工作暫行規(guī)定》、《計算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)保密管理辦法》等法規(guī)對有關(guān)問題也作出了規(guī)定。
綜上所述,網(wǎng)上銀行作為一種與現(xiàn)代科技迅猛發(fā)展緊密相連的新型貿(mào)易方式,對現(xiàn)行法律提出了前所未有的挑戰(zhàn)。對于網(wǎng)上銀行帶來的新問題,需要對原有法律法規(guī)的進(jìn)行調(diào)整修正來解決。密切注意網(wǎng)上銀行發(fā)展趨勢,積極探討、研究和學(xué)習(xí)國外的先進(jìn)立法經(jīng)驗,并結(jié)合中國國情,制定符合實際需要的網(wǎng)上銀行法律規(guī)范,改善我國網(wǎng)上銀行發(fā)展的基礎(chǔ)環(huán)境,對促進(jìn)我國網(wǎng)上銀行健康、有序的發(fā)展有著非常重要的意義。
參考文獻(xiàn):
[1] 黃敏學(xué).電子商務(wù)[M].北京:高等教育出版社,2001.
