网络银行的技术风险与防范,本文主要内容关键词为:风险论文,银行论文,技术论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
网络银行就是基于因特网或其他电子通讯手段提供各种金融服务的银行机构或虚拟网站。从本质上讲网络银行并没有改变商业银行“存、贷、汇”等基本业务的本质,因特网只是为顾客提供了一种新的服务途径。但是,随着信息技术尤其是互联网技术在网络银行业务中的广泛应用,使得银行业风险具有了新的内容,而引发风险的因素更多地与技术联系在一起。
一、网络银行中的技术风险
从银行业务发展的实践来看,银行提供的所有产品和服务都存在一定的风险,而网络银行业务中除了具有传统银行业务过程中存在的流动性风险、市场风险和利率风险等之外,还由于其特殊性而存在着由于信息技术导致的技术风险。所谓网络银行技术风险是指由于技术性原因,如计算机故障、操作人员失误等使系统中存在的不利于可靠性、稳定性和安全性要求的重大缺陷而导致损失的可能性。同时,伴随网络而来的网上诈骗、金融黑客、电子病毒等,成为网上金融安全的新问题。
(一)安全性风险。安全性风险主要是侵入的风险,包括网络黑客的入侵、病毒的入侵或者是银行内部员工通过不法手段获取密码侵入客户的账户。
黑客入侵。黑客通过网络侵入银行的电脑系统,可以删除和修改网络银行的程序,窃取银行以及客户的资料,更加严重的是,他们有可能根据获得的信息进行非法转账。美国联邦调查局调查的计算机犯罪中,有80%的罪犯为“黑客”,他们通过因特网非法侵入别人的计算机网络系统。每年,美国政府的计算机系统被非法侵入(虽然并非全部是恶意)的次数至少有30万次之多。17%的美国公司因计算机安全性有漏洞而遭受损失。每年黑客犯罪引起的损失估计达15亿美元。
病毒入侵。1983年11月,美国人弗里德·科恩提出了计算机病毒的概念:一种隐蔽在计算机之中,并且繁殖以影响电脑正常运行的程序,具有感染、潜伏、发病三大功能。由于这些功能与生物学上的病毒十分相像,它们都具有传染性、潜伏性、隐蔽性和破坏性,所以被称为计算机病毒。由于计算机病毒是设计人员在尽可能使人难以发现和尽可能加强其破坏性的思想指导下设计出来的,因此,其危害性往往很大,轻则扰乱计算机的正常运转,重则毁灭整个计算机程序和有关资料,因而人们谈病毒而色变。计算机病毒可分为以下四类:
1.以软盘为媒介侵入。由于它仅仅发生在使用受病毒感染的软盘建立系统时,而不会在其他情况下侵入。因此,这种类型的病毒几乎不会经由网络侵入。
2.以软件为媒介侵入。1991年,这种类型的病毒首次发生在为商用个人机通信提供服务的网络上。在因特网下,凡使用WWW和FTP(文件传输协议)下载受病毒感染的软件,在执行该软件时自己的计算机也将受到病毒的侵入。
3.混在电子邮件中侵入。当这种病毒以二进制代码形式存在时,抗病毒软件是检查不出来的,它是因特网时代新出现的而又不容易发现的病毒。因此,当收到来历不明的程序时,不仅不能利用,而且应该立即将其删掉。
4.通过安全漏洞侵入。这种病毒被称为“网络虫”,它徘徊在网络中,不断复制自己进行扩散而造成危害。网络虫是通过网络安全漏洞侵入的。这是在因特网时代危害极大的一种病毒。
计算机病毒属于计算机犯罪的一种,它是一种技术犯罪,往往是一些具有电子计算机知识的人,或是恶作剧,或是为了显示自己高超的编程技巧而故意制造,因而隐蔽性大且不易侦破;加之电子计算机在原理上相当脆弱,没有自我保护功能,各个环节几乎都是透明的,毫无防范措施,因而病毒的危害面也很广。因此,对安全性、准确性要求都特别高的金融部门来说,如何防范计算机病毒是网络金融时代面临的一个重大课题。
(二)系统设计、运行和维护风险。系统设计有缺陷以及硬件设备的落伍导致客户的需求得不到满足。比如银行选用的网络银行系统与客户的需求不一致,银行就会发生和出现现行系统中断或者运行速度减慢的风险。目前,越来越多的银行将战略重点集中于核心业务的拓展上,而将技术性比较强的网络银行系统支持、维护等项目外包给其他机构,这样在技术上可能形成对外界的依赖,这种依赖也会给银行带来风险。此外,信息技术的快速发展还使银行面临系统退化的风险。当更新有关计算机软件时,发送升级软件的渠道也存在风险,因为犯罪分子有可能会截取或修改该软件。
(三)源于客户滥用产品和服务的风险。如果一家银行没有适当告知其客户有关的注意事项,客户可能会操作不当,包括有意和无意。例如,由于客户欠缺网络安全方面的知识,而在某些没有安全防护措施的场合使用私人信号,如身份鉴定、信用卡号、银行账号等,容易被人窃取而导致账号泄密,使客户和银行双方都蒙受损失,这将使得罪犯可以访问客户的账户。此外,如果缺乏足够的措施来验证交易,客户可能会否认他们曾经授权过的交易,从而使银行蒙受损失。
二、网络银行技术风险的治理与防范
为了在竞争中取得先机,国内各大银行纷纷在因特网络建立网站,开展网络银行业务。目前我国网络银行虽然都已经初步具备了风险管理的意识,但对技术风险的防范意识仍很淡薄。为了防止事故的发生,减少不安全事件造成的损失,加强对技术安全管理和风险防范十分必要。
(一)在管理制度方面
1.要健全各项管理制度,建立计算机房管理、计算机及相关设备管理、计算机管理人员管理、计算机操作人员管理、软件管理及计算机操作规程等制度,明确岗位职责,坚持“三员”分离制,严禁越权操作。严格执行计算机检查制。科技人员要定期对通信线路进行检测,对计算机磁头、显示器进行清洗,对计算机键盘、主机及相关设备进行除尘和保养。
2.增加科技投入,改善硬件环境。计算机在银行业务中具有应用面广、使用频率高和连续运行时间长的特点,计算机网络系统的发展,对硬件提出了更高的要求。因此,要分清重点,全面规划,统筹安排,合理使用有限资金,逐步改善现有的硬件环境,充分发挥计算机的潜能。
3.建立和完善内部管理机制。加强信息系统管理工作,确保安全。尽量采用扩展、升级能力强的业务系统,保证系统能够灵活地根据外部技术以及业务需要的变化而升级换代。同时,还要配备足够的安全设备。
4.加强计算机病毒的防治。在实际工作中应坚持“预防为主,防治结合”的思想,采取有力措施预防与杀灭病毒。
5.加强思想政治教育。领导应密切关心员工的思想状况,深入开展爱岗敬业活动,充分调动计算机操作员的工作积极性。对不适合从事金融计算机有关业务的人员要及时调整,做到防患于未然。
(二)技术措施方面
安全将是金融行业永恒的主题。要对金融高科技设备采取安全措施,保障金融电子化系统高效、安全地运行。
1.物理安全措施。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体等设施免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限,防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。
2.访问控制措施。访问控制是网络银行系统安全防范和保护的主要策略,它的主要任务是保证银行网络系统资源不被非法使用和非法访问。
3.安全的信息传输。从本质上讲,Internet本身就不是一种安全的信息传输通道。网络上的任何信息都是经重重中介网站分段传送至目的地的。由于网络信息的传输并无固定路径,而是取决于网络的流量状况,且通过哪些中介网站亦难以查证,因此,任何中介站点均可能拦截、读取,甚至破坏和篡改封包的信息。所以应该利用加密技术确保安全的信息传输。
4.网络服务器安全措施。在Internet上,网络服务器的设立与状态的设定相当复杂,而一台配置错误的服务2S将对网络安全造成极大的威胁。例如,当系统管理员配置网络服务器时,若只考虑高层使用者的特权与方便,而忽略整个系统的安全需要,将造成难以弥补的安全漏洞。
5.操作系统及网络软件安全措施。大多数金融机构高度依赖防火墙作为网络安全的一道防线。防火墙通常设置于某一台作为网间连接器的服务器上,由许多程序组成,主要是用来保护私有网络系统不受外来者的威胁。一般而言,计算机操作系统软件是任何应用的基础,然而最常见的Windows NT或UNIX即使通过防火墙与安全交易协议也难以保证100%的安全。
6.网络安全管理措施。在金融电子化系统的安全中,除了采用上述技术措施之外,加强网络的安全管理,制定有关规章制度,对于确保网络的安全运行,将起到十分有效的作用。网络安全管理包括确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。