网络金融安全:面对的挑战与应对之策,本文主要内容关键词为:之策论文,金融论文,网络论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,网络金融的迅速崛起,为金融机构的竞争与发展拓展了新的空间,为单位及公众的资金和投资管理带来了极大的便利。与此同时,金融网络频遭攻击,客户金融资产被在网上盗卖、资金被在网上盗取的案件时有发生,网络金融的安全问题也日益突出。因此,认真分析、准确把握影响网络金融安全运行的各种诱致性因素,采取有效措施,堵塞漏洞,不断强化和提高网络金融运作的安全性能,增强其安全保障,是推动我国网络金融健康发展的当务之急。
一、网络金融在我国的快速发展及其遭遇的安全挑战
当今的时代是信息时代,信息技术与网络技术的快速发展,为现代社会经济深深地打上了“网络经济”的烙印。特别是作为其最为活跃、最具代表性组成部分的网络金融,其迅猛发展与广泛应用,正在极大地丰富着金融业的服务内涵,深刻地改变着金融业的运作方式,为金融业的发展注入了无穷的活力。
网络金融,是一种借助发达的互联网络和通信技术,通过个人电脑、通信终端或其他智能设备,实现金融机构与客户之间安全、快捷、友好联结,方便客户及时获取经济金融信息、享受网上金融服务、开展网上金融交易的金融活动。网络金融既是传统金融活动在现代高新技术领域的延伸,更足对金融业传统运作方式的一种创新和变革。
近年来,受电脑日益普及、信息技术与网络技术高速发展、金融创新不断活跃等因素的共同推动,以网上银行、网上保险、网上证券及网上期货交易等为主要内容和表现形式的网络金融活动,在我国获得了异常迅猛的发展。特别是今年上半年,突如其来的SARS危机,在使众多经济部门遭受严重冲击的同时,却为网络金融服务的大显身手提供了千载难逢的契机,使得自2000年以来饱受“网络泡沫”破灭困扰的网络金融,再次以其快捷、便利、非接触式等传统金融服务活动无法比拟的优势,大放光彩,焕发出勃勃生机,成为我国金融业乃至整个社会经济运作中的一道亮丽的风景线。
以中国工商银行为例,该行自2000年2月推出网上银行服务以来,其网银业务一直呈现出爆炸式增长之势。2000年,该行网上业务交易额累计仅为105亿元(单位:人民币,下同),规模之小,在其业务总量中几乎可以忽略不计;但到2001年和2002年,则迅速攀升至6410亿元和53 000亿元,分别是2000年的61倍和505倍。2002年末,该行已在全国300多个城市开通了网银服务,网银个人客户高达400万户。2003年,该行网银业务再创佳绩,到7月末,其网上银行交易额累计达80890亿元,是2000年全年的770多倍。尤其是在“非典”肆虐期间,该行充分发挥其网上银行——“金融e通道”的品牌优势,开展以“足不出户、轻松理财”为主题的宣传活动,其网上交易的优势更是得到了酣畅淋漓的体现。2003年4月份,其网上交易额高达12977亿元,同比增长了3.65倍。“非典”过后,工行的网银业务继续保持高速发展,交易额继6月份突破15 000亿元后,7月份再创新高,突破2万亿元大关,达到20609亿元。
工商银行网上银行业务的快速发展可以说是我国整个网络金融业迅猛发展的一个缩影和生动写照。同工商银行一样,目前,国内其他各金融机构,包括银行、证券公司、期货公司、保险公司等,无不在大力推进其网上金融业务的发展,且都取得了丰硕的成果。但在同时,网络金融的安全问题也正在不断地引起社会各界的广泛关注。与传统金融交易方式相比,网上金融交易的速度、效率和便捷性显而易见,其安全性也应更高。但由于网上金融交易的最大特点是交易双方即金融机构和客户之间互不见面,其交易充满了虚拟性和不确定性,再加上互联网络本身存在着固有的安全缺陷,且其在金融领域的应用时间不长,人们对其安全性的认识还不是十分到位,操作手段、技术设施也不是十分成熟和完善,安全控制能力还不是很强等,这就使得网络金融运作的安全问题变得日益突出。同时,网上交易一般规模庞大,巨额的资金转移往往瞬间便可完成,一旦出现安全问题,必将蒙受巨大的损失,这就决定了网络金融安全更是关系重大。因此,可以说,网络金融是一柄双刃利剑,使客户在享受到不受时空限制的便捷理财、支付、结算等服务的同时,也往往不得不面对其安全方面的严峻挑战。
网络金融安全涉及客户的网上信息资料、账户密码、资金与资产等各个方面,伴随着网上交易的整个过程,其核心是客户资金与金融资产的安全。目前,网络金融运作中往往存在有多方面的安全隐患,其中比较突出的有:网络运行不稳定;系统被病毒入侵、被黑客攻击;虚假信息泛滥;账户及密码被黑客破译,数据资料、委托指令被篡改,资金被盗取,股票、债券、基金等金融资产被盗卖;信息传递的私密性、真实性、完整性、不可否认性缺乏保障;等等。特别是其中的网络金融犯罪活动,近年来,有愈演愈烈之势。
网络金融运行中所存在的种种安全隐患一旦演化为现实,必将给金融机构或其客户造成巨大的损失。而有关调查表明,目前国内80%的网站都存在有安全隐患,其中有20%网站的安全问题还十分严重。可以说,安全问题已日益成为困扰网上金融交易的首要的也是最大的问题,这些安全问题如果得不到有效的解决,势必会影响广大客户参与网上交易的积极性,势必会影响我国网上金融业务的健康发展。
二、网络金融安全的主要影响因素
网络金融安全主要来自两个方面:一是金融机构网络系统自身的安全,如由于系统设计不合理、运行不稳定而形成的安全隐患;二是各种外来因素如黑客攻击、自然灾害侵袭等所造成的安全问题。
影响网络金融安全的因素十分复杂,但概括起来讲,主要有以下几个方面:
(一)对网络安全认识不足,重视程度不够
受观念、认识等因素的影响,不少金融机构往往只看重网上金融服务快捷、便利的一面,而对其潜在的安全问题却重视不够。之所以如此,其原因一是一些金融机构电脑与网络知识有限,对网络技术的安全缺陷缺乏应有的了解,对网络安全隐患的危害性认识不足,安全意识淡薄。二是一些金融机构认为传统的账户加密码的安全机制已足以保证其网络的运行安全,因而不愿再使用数字证书等更高级别的加密技术。三是认为采用较高级别的防护技术(如数字证书)会占用一定的系统资源,从而导致系统运行速度放慢。因此,为保证网络运行速度,以争夺客户,一些金融机构便降低其安全门槛,放弃或降低防护措施。四是认为投入巨资改进安全机制不合算,因此缺乏采用更高级别安全措施的积极性。凡此种种,这些模糊、片面甚至是错误的认识与短视行为,无不为网络安全埋下隐患。另外,一些用户上网时不注意自身账户资料与密码的保护,也会形成安全隐患。
(二)金融网络系统本身存在安全漏洞
不少金融机构网上业务系统存在着运行不稳定、抵抗各种攻击或突发性事件打击的能力不强等问题。究其原因,一是互联网本身的技术体制存在缺陷。互联网的诞生,主要是为了远程通信的便利,一开始并没有考虑到安全性问题,其赖以生存的TCP/IP协议是基于信任主机之间的通信而设计的,本身就缺乏安全机制。由于网络金融运作是以互联网络为基础的,这就决定了网络金融运作的安全隐患也就在所难免。二是金融机构自身的网上业务系统在开发、设计、容量、配置与控制等方面存在这样或那样的缺陷,特别是其所采用的一些关键技术的不先进、不成熟等,使网络运作出现漏洞。
(三)技术水平落后,安全防范措施不到位
目前,我国金融业的电子化基础尚十分薄弱,不少网络安全产品在设计、制造、性能、稳定性、可靠性等方面都不同程度地存在问题,大多数网上交易软件开发、应用都没有经过权威部门的检测和认证,金融机构对网络金融运作的核心技术掌握不够,网络通讯系统脆弱,技术规范和实施标准缺乏统一规划等,都严重制约着金融网络的运行安全。另外,安全控制技术落后,安全防范措施不到位,出现问题以后紧急响应机制跟不上,管理水平低下等,也都构成了不可忽视的安全隐患。
(四)各种网上攻击行为日益猖獗
目前,网络世界中的各种攻击行为令人防不胜防,银行、证券、期货、保险等高度依赖信息化的金融行业都莫不受此影响。网上攻击行为手法繁多,比较常见的有以下几种:
1.病毒攻击。网络的共享性、开放性为各种计算机病毒的传播提供了便利,致使病毒经常大肆流传和爆发。但人们对其的防范能力却十分有限,缺少根本性的解决办法。
2.黑客攻击。黑客对金融网络的攻击正变得日益频繁,目前全球的黑客攻击事件,有40%是针对金融系统的,我国则高达60%以上。电脑黑客对金融网络的攻击,手法主要有三种:一是直接对网络进行攻击。即黑客直接在网上入侵金融机构的网站或网络,破坏或篡改系统数据、资料或交易指令,破译客户账号与密码,盗取客户资金。二是通过专用程序攻击。即黑客通过可以发现网站软件程序薄弱之处的“扫描器”、窃取密码的“嗅探器”等专用程序,破译金融机构及其客户的关键密码、窃取其核心技术或信息。三是利用带有黑客性质的特殊病毒攻击。如2003年6月,先后在中东地区和美国发现的W32“怪物B”病毒、Bugbear“熊熊虫”变种病毒都属此类。这些带有黑客性质的病毒,专门针对金融机构进行攻击,盗取客户密码等信息资料,其危害性远远超过了一般病毒。
3.盗用网管名义发布虚假信息,进行诈骗性攻击。2003年6月初,一些不法分子盗用国内某知名银行网管信箱,假冒“网络银行系统升级”的名义,大肆向该行网上客户发送密码确认邮件,骗取客户用户名(登录卡号)、密码等机密资料。虽然这一骗局很快被戳穿,当事银行做出了迅速反应,避免了损失的发生,但此事带给人们的思考却仍是极其深刻的。诈骗者的阴谋一旦得逞,其后果不堪设想。
4.通过银联网关实施攻击。不法分子先采用窥视、录像、电话套取等方式,在自动柜员机上骗取客户的银行卡号、密码等资料,然后再通过银联的网关盗取、转移资金。
(五)金融机构内部控制不力
按照规定,金融机构必须对其网上业务定期进行内部审计。目前,虽然各家金融机构都设有内审部门,但因内控制度不健全,网上银行业务专业性较强,一般审计人员难以适应等,不少金融机构对网上业务的内部审计基本上流于形式,从而助长了其网上业务运作中密码控制不严、软件控制功能薄弱、授权机制执行不力等问题的滋生。另外,按照我国有关规定,金融机构的网上业务要达到三级安全标准,但目前大多数金融机构的安全状况都远远达不到这一要求,其访问授权混乱、对客户地址与邮箱等重要资源保护不力等现象相当普遍。
(六)网络金融立法滞后
目前,我国网络金融立法尚处在起步阶段,网络金融安全立法更是一片空白。这就使网络金融运作缺少必要的法律规范和约束,这不仅容易引发交易纠纷,使客户的合法权益得不到有效的维护,而且使整个网上金融交易缺乏足够的安全保障。
(七)市场监管满足不了网络金融发展的需要
目前,我国对网络金融运作的监管存在着经验不足、手段不完备、技术落后等一系列问题。同时,网络金融交易活动全部在网上进行,没有时空限制,透明度低,再加上立法不完善,监管缺乏依据,分业监管体制对各监管主体的网上监管职责界定不清等,更对整个监管工作提出了严峻的挑战,使监管活动严重滞后于网络金融业的发展需要。
除上述种种因素外,金融机构技术与业务人员或其客户对电脑和网络驾驭能力有限、操作不当,各种难以抗拒的自然灾害与突发事件的不时发生,对网络金融犯罪活动打击力度不够等,也都在一定程度上影响着网络金融的运行安全。
三、多管齐下,不断提高网络金融的运作安全
网络金融安全,影响因素众多,涉及关系复杂,因此,必须从多方面入手,采取综合措施,多管齐下,严加治理,以切实推进我国网络金融业的健康发展。
(一)转变观念,提高认识,重视网络金融的运作安全
网络金融是金融业的发展方向,是金融机构未来竞争致胜的利器。安全问题如果得不到有效解决,必将制约网络金融的长远发展。对此,各金融机构应有清醒的认识,要彻底破除过去对网络金融安全的种种模糊、片面、消极甚至是错误的认识,转变观念,提高认识,正视当前网络金融运作中存在的各种安全问题及其诱因,增强安全防范意识和责任,自觉地把安全问题放在开展网上金融业务的首要位置,并努力做好安全隐患的化解工作。
(二)加快网络金融的立法进程,为网络金融发展提供强有力的法律保障
作为市场经济的产物,网络金融的安全发展离不开法律法规的规范、指导和约束,因此,有关方面应大力推进网络金融的立法进程,尽快完善有关网络金融安全的法律法规,逐步形成法律许可、法律保障和法律约束共同发挥作用的网上金融经营环境,充分利用法律法规的规范性、稳定性、强制性,来规范市场参与者的资格、行为、责任,打击网络金融犯罪,保护金融机构及其客户的利益,促使网络金融业健康、规范、有序地发展。
(三)加大对网络金融犯罪活动的打击力度
对于网络金融的安全运作,公安机关应担负起防护和打击的双重职责。一方面,公安机关应充分发挥其公共安全网络的防护作用,为包括网络金融在内的整个网络世界构筑一道外围防护网,在病毒监测与控制、维护网络世界安全秩序等方面发挥更为积极的作用。另一方面,要大力打造其网上应急处置平台,确保信息渠道畅通,及时捕获犯罪活动的蛛丝马迹,了解病毒传播、黑客攻击等的途径和来源,不断加大对网络金融犯罪活动依法查处和打击力度,以共同构建起一道强大的防线,防止各种网络安全事故发生。
(四)增强对异常情况的紧急应变能力
针对网络运行中有可能面对的各种突发事件的影响,金融机构必须系统地、全方位地构筑应急机制,要准备应急方案,配备先进的检测工具,在各种异常或突发事件发生时,做到从容应对。如在交易量急剧放大时,应确保系统有足够的容量来保持正常运转;在网络系统出现故障时,要有备用系统来代替。只有增强紧急情况下的应变能力,才能确保网络系统稳健运行。
(五)构建网络金融保险体系
国内保险业应积极借鉴国外保险公司开拓网络金融保险业务的做法和经验,大力开发网络金融保险产品,构建符合我国网络金融业发展需要的网络金融保险体系。有了保险业作后盾,人们从事网上业务的安全感会大大增强,金融机构所承担的风险也会有效地分散和减少,客户的利益也会得到可靠的保障。
(六)强化对网络金融运作安全的监管
网络金融在迅速发展过程中所不断出现的各种安全性问题,对市场监管提出了新的要求和挑战。作为监管部门,必须直面这一挑战,义无反顾地承担起监管的重任,积极采取各种有效措施,认真做好网络金融运作的安全性监管工作。具体地讲,一要坚持正确的监管原则和理念;二要完善监管制度;三要提高监管能力与水平;四要加强对市场准入的控制,严格对金融机构新开办网上业务的审批;五要规范交易平台;六要规范信息披露,增强网上金融信息披露的规范性和有效性,防止虚假、误导性信息的传播;七要统一网络金融运作的技术标准,加大金融认证工作的推广力度,做好技术标准的修订和升级工作。
(七)完善制度,严格程序,强化内控,优化管理
金融机构作为网上金融服务的提供者,对其网络的运作安全负有不可推卸的责任。因此,开办网上业务的金融机构必须从以下几个方面做好其网络安全运作的管理工作:一是完善规章制度和操作流程,各项业务操作要有合理的流程控制。二是大力提高对网络安全的监测和控制能力,要能够及时掌握金融电子领域风险所在和新的动向,及时采取安全防范措施。三是优化对网上业务运作的管理,包括网络服务器管理、信息发布管理、客户资格管理、客户信息资料管理、客户“入径”管理、客户访问管理、业务操作管理、出现问题以后的责任分担管理等。四是强化对网络运作安全的内部控制和运作监控。一方面,要强化内部控制职能,做好内部审计工作,防止内部工作人员违规操作或恶意犯罪。另一方面,要做好对系统运行稳定性的动态监控,严格电子邮箱、网上论坛的安全管理,密切监视计算机病毒、电脑黑客等的侵袭,防范各种意外事故有可能对安全造成的冲击。
(八)不断提高金融网络的技术水平,强化对网络金融犯罪的技术遏制
技术遏制是严防各种网络攻击行为、遏制网络金融犯罪、确保网络运行安全的核心。针对目前国内金融网络的技术和安全状况,要做好以下工作:一是选择先进的网络技术,不断提高金融网络的技术性能,构筑完整的安全机制。二是完善金融网络的系统设计,改善其体系结构,提高其操作性和可控性。三是强化系统的风险评估、安全策略实施、运行控制、灾难恢复、事后监督等功能,构筑全方位、立体式的防御体系。四是统一制定网上金融业务使用的软硬件产品、认证技术、加密技术、安全传输技术、信息格式、用户接口等的技术标准和技术规范。五是建立信息系统安全应用平台,完善病毒防范、系统漏洞扫描、入侵实时监测与报警等监控系统;加快网络加密技术的创新、开发和应用,开发相对独立的客户终端与金融机构服务器的保密协议,实现金融机构服务器与互联网的隔离,建立有效的防火墙;综合运用身份识别、口令保护、密码设置、数据备份、数据加密、随机数表、数字证书、电子认证、指定转账账户、增加物理装置、短信实时监控等多种高级别的安全认证和防护手段,为网上交易的安全性提供多层防护,解决网上交易中信息传输的保密性、数据交换的完整性、发送信息的不可否认性和交易者身份的确定性等核心安全问题。确保网上数据传输系统、交易管理系统及数据库系统的安全性,实现对系统资源、网络资源、设备性能、作业控制、故障对策和安全策略的自动化管理,提高系统运行的稳定性。
随着网上金融业务在金融机构整个业务中所占份额的不断加大,网络安全问题也显得日益重要。对此,金融机构及社会各界应未雨绸缪,高度重视,大力推进信息安全战略,加大网络安全投资力度,不断增强安全防范意识,提高安全防范技术,综合运用防、堵、滤、检、惩等多种防范手段,促使网络金融安全建设尽快迈上新的台阶。