網上銀行風險的碩士論文
網路銀行是銀行通過網際網路為客戶提供金融服務的平臺,是電子商務在銀行業的具體應用,它代表了現代商業銀行業務的發展方向。下文是小編為大家蒐集整理的關於的內容,歡迎大家閱讀參考!
篇1
淺析農村信用社網上銀行的風險及對策
摘要:隨著社會經濟的高速發展,網上銀行已經是金融企業網路經濟發展的必然趨勢,對於網上銀行的瞭解我們不能簡單地將它看成是傳統性的銀行與網路的疊加,網上銀行是一種新型的金融創新產品,它具有快捷、便利、低成本、高效益等優勢,但是同時也給農村信用社帶來了新的風險,因此對農村信用社的風險防範也提出了新的挑戰。本文針對農村信用社網上銀行的風險及對策進行了初步探討。
關鍵詞:農村信用社;網上銀行;風險;對策
隨著科技的不斷髮展,網上銀行作為農村信用社金融創新的業務產品,在農村信用社拓寬服務領域、提高核心競爭力等方面發揮著積極作用,使客戶足不出戶就能享受到高效快捷的金融產品與服務。但網上銀行是一把“雙刃劍”,在電子交易支付業務法律體系還不健全,監管制度也不是很完善的時期,所以我們需要全面淨化網上銀行的安全性,使得我們有一個安全、健康和快捷的交易平臺。
一、網上銀行的內涵
網上銀行***Online Bank***,又可稱網路銀行***NetBank或Internet Bank***,是指銀行藉助客戶的個人電腦,通訊終端或其他智慧裝置,通過因特網或其他公用資訊網向客戶提供的銀行業務和有關金融服務。根據網上銀行的定義,我們可以歸納出網上銀行所具有的三個特徵:***1***將客戶的個人電腦等智慧裝置作為網上銀行業務的操作前臺,具有自助的特徵;***2***以因特網或其他公用資訊網作為網上銀行業務資訊交換載體,具有網路化特徵;***3***以銀行提供的金融服務為網上銀行的載體,具有傳統銀行業務特徵。
二、農村信用社網上銀行發展現狀
目前,以各大國有銀行為首的金融機構已經走在了網上銀行業務發展的前列,在客戶基礎、業務發展上已經形成了一定的規模。相較之下,農村信用社的網上銀行業務範圍侷限,部分地區網上銀行發展緩慢滯後,而且全國大部分農村信用社還沒有建立起網上銀行,特別是在網上支付類業務上仍然是空白,造成了大部分優質客戶的流失。在發展網上銀行的同時,“網路釣魚”等各種網銀安全事件也時有發生,使得銀行和使用者都在享受網上銀行便捷服務的同時也感受到了網銀安全問題的困惑。
三、農村信用社網上銀行的風險分析
農村信用社網上銀行的風險是指因開辦網上銀行業務,或在經營過程中由於不確定因素的影響,可能給農村信用社帶來聲譽和法律等方面的潛在風險。網上銀行是在網際網路上的虛擬銀行櫃檯,因此它不僅具有實體銀行的風險。同時由於網上銀行具有開放性特徵,還會存在技術風險、操作風險等新的風險。
1.技術風險。指在使用與計算機、網路等資訊科技相關的產品、服務、傳遞渠道或系統時所產生或引發的不確定性或對銀行管理不利的因素。2.操作風險。指由於客戶或員工操作不當及失誤而導致的業務損失和不確定性;由於不完善或有問題的內部程式、人員、系統、外部事件而造成損失的可能性。3.聲譽風險。指因負面公眾輿論和媒體言論而導致農村信用社資金或客戶嚴重流失的可能性。4.法律風險。指由於違反或不遵守法律、法規及約定的慣例,或者沒有完善地界定有關交易各方在法律上的權利和義務,從而產生和引發的對銀行管理的不利因素。
四、網上銀行的風險防範對策
1.建立完善的內部管理機制。農村信用社應加強內部管理,保證網上銀行業務的安全。首先健全業務管理制度體系。其次加強員工安全教育。再次建立內控風險管控的長效機制。
2.提高客戶的風險防範意識。農村信用社應通過多種方式和渠道加強對客戶的宣傳、引導、教育,促使客戶提高風險防範意識,增強風險防範能力。首先指導客戶正確使用網上銀行產品。其次加強對客戶進行網銀業務安全教育。再次提高客戶風險防範能力。
3.完善技術風險防範措施。農村信用社應構建切實有效的安全保障體系,防範網上銀行的技術風險。首先全面加強網路系統的日常管理,建立網路安全防護體系,通過各種各樣的安全防護方式杜絕各種存在或潛在的安全威脅,全面避免安全風險。其次加強網加密技術,利用網路加密技術對於重要的資訊進行加密處理,有效地防止資料包被截後失密、網路監聽竊密等網路黑客犯罪,保障網上銀行與客戶之間資訊交流的安全,保證客戶資訊的私密性,以及銀行資金的安全性。再次發展資料庫技術,建立大型網上銀行資料庫,依靠資料庫技術儲存、管理和分析處理資料,防範網上銀行的安全風險。
4.構建有效的風險防控體系。農村信用社應建立完善的網上銀行風險事件的應急預案和處置機制,提高防控風險的能力。首先在網上銀行系統統一的應急預案框架下,制訂針對不同事件的應急預案,應急預案至少包括各類事件場景下應急預案、啟動條件、應急處理流程等,同時每年定期對網上銀行系統相關人員進行應急預案培訓。其次健全完善重大突發事件報告制度,將網上銀行業務經營過程中發生的重大洩密、客戶資金被盜、黑客入侵等事件列入重大事項報告的範圍。根據風險事件造成的影響和損失程度,確定風險事件的等級,明確應急事件的處理部門、責任人以及處理流程,確保風險事件第一時間被發現,及時啟動應急預案,儘量減少風險損失,最大限度降低農村信用社聲譽風險。
5.加大內控檢查和審計力度。農村信用社應制定相應的網上銀行內控檢查和審計方案,查詢內控薄弱環節,督促落實整改。首先定期開展現場。針對網上銀行業務的安全要求和特性,對業務操作環節和制度辦法的落實情況定期進行現場檢查。其次不定期開展非現場檢查。 採用人工調閱諮詢以及利用網上銀行內管系統遠端查詢等方式,對網上銀行業務發展規模和應用系統的安全程度進行非現場檢查。再次可根據業務實際適時對網上銀行的風險點及系統控制的適當性和有效性進行審計,同時提高系統開發時內部審計部門的參與度。
五、總結
網上銀行雖然快捷方便,但是面對網上銀行所存在的一些風險,我們還是需要存在一定清醒的認識,要以謹慎的態度去對待網路交易,採取在發展中規範和規範中發展的策略,全面督促網路平臺的安全健康,使網上銀行是銀行增強市場競爭力的砝碼的優勢體現出來。
參考文獻:
[1]成克惠.網路銀行安全防範策略[J].河北金融,2007***06***.
[2]曹萬卿.網上銀行發展的現狀與對策分析[J].大陸橋視野,2009***01***.
[3]王金良.網上銀行風險及防範對策[J].大眾科技,2009***03***.
[4]羅旭東.農信社防範網銀業務風險的對策[J].中國金融電腦,2011***03***.
篇2
淺析網上銀行客戶端的風險防控措施
【摘要】大部分網上銀行安全事件源於客戶端的安全隱患。由於受到木馬、釣魚、嗅探等各種客戶端攻擊,網上銀行安全面臨較多威脅。本文通過測試目前主要商業銀行的網上銀行,瞭解客戶端保護機制,提出網銀客戶端的主要風險防控措施,對完善網銀的安全策略,有現實參考意義。
【關鍵詞】網上銀行,風險管理
一、研究方法與意義
中國大部分商業銀行已經建設了網銀系統,由於面臨較多網際網路威脅,如網路釣魚、惡意程式碼、暴力破解、惡意鎖死使用者、假冒客戶登入等,因此安全措施是否完善一直備受關注。經過多年的摸索和總結,大型商業銀行網銀伺服器端已經配置較齊全,安全措施較完善,基本經受了考驗,其經驗值得中小商業銀行借鑑。
以普爾2012年釋出的《中國五十大銀行》中列舉的商業銀行作為研究物件,通過實際登陸網銀進行測試,總結網銀客戶端的主要風險防控措施,對中小商業銀行網銀建設和管理,有現實的參考意義。
二、主要風險防控措施
網民安全意識參差不齊,個人電腦防護不夠,客戶端導致的網上銀行案件層出不窮。為了增強客戶端的訪問控制安全性,各大商業銀行主要採取瞭如下幾種措施。
1、SSL安全會話
安全的會話是個人網上銀行的安全基礎。所有國內50大銀行個人網上銀行的網路通訊都採用HTTPS的加密傳輸方式,通過SSL建立安全的通道訪問。國內商業銀行大部分採用VeriSign頒發的SSL證書,除VeriSign外,Entrust和CFCA也是常見的證書頒發機構。個人網上銀行證書普遍採用RSA***2048Bits***公鑰,少數採用RSA***1024Bits***公鑰。證書有效期集中在24-27個月之間,也有部分短期證書例如9個月。
2、多因素認證
身份鑑別是保障個人網上銀行業務安全的關鍵,好的身份鑑別方式,不但能簡化繁雜的登陸過程,更能較好地保障客戶的帳號和財產安全。大多數銀行都採用不同的身份鑑別手段來區分操作許可權。一般“專業版”使用多因素認證,具備轉賬、交易等多種許可權。而用傳統客戶名加密碼簡單認證的“大眾版”只能查詢資訊而無法更改金額。目前我國50大銀行中有82%在登陸過程中採用了多因素認證,有72%的銀行採用了USBKEY證書的認證方式。出於更個性化考慮,客戶還可以選擇採用個性化登陸名或暱稱,銀行對客戶登陸名的長度、密碼長度、密碼複雜度等進行了限制。
3、USBKEY保護
USBKEY因物理特性而具有較好的安全性。金鑰儲存在安全的u盤介質中,無法輕易讀出,修改金鑰必須經過硬體內程式呼叫。在介面的外部沒有命令能對金鑰區進行讀刪改,較好地保證了介質安全陛。即使客戶密碼洩漏,只要USBKEY不被盜用,客戶身份就不會被仿冒。USBKEY內建CPU或智慧卡晶片,可以實現資料摘要、資料加解密和簽名的各種演算法,加解密運算在硬體內進行,保證了金鑰不會出現在計算機記憶體中。如果USBKEY不慎遺失,拾到者由於不知道客戶密碼,也無法仿冒客戶身份。
USBKEY還使用公私鑰密碼體制和數字證書,從密碼學角度提高了安全性。USBKEY初始化的時將演算法寫在ROM中,生成一對公私鑰,公鑰可以匯出到USBKEY外,而私鑰儲存在金鑰區,不允許外部訪問,計算只在晶片內部進行,全過程中私鑰不離開介質。
4、密碼輸入保護
密碼輸入是網銀保護物件中安全級別最高的部分。當客戶初次使用網上銀行,一般會提示安裝安全控制元件。安全控制元件是為確保密碼不被惡意程式非法獲取的保護措施,可抵禦反編譯、嗅探、溢位等。控制元件經過第三方安全測評,方可使用。密碼輸入保護主要分為安全控制元件、軟鍵盤或二者結合,部分銀行已將安全控制元件與軟鍵盤功能統一在安全控制元件中,安全性得到提升。目前商業銀行86%的密碼輸入後可實現自動加密,但仍有14%的商業銀行網銀密碼未採取客戶端加密,存在較大風險。
5、驗證碼增強驗證
為防止機器暴力破解密碼或自動登陸,90%的網銀在登陸介面採用了驗證碼,但客戶體驗受到影響,登陸時間平均延遲2秒以上。從長度看,大多數銀行的驗證碼為4位,少數銀行採用5位和6位。從內容看,多數驗證碼為字母和數字相結合,字母不區分大小寫,但也有個別銀行驗證碼為純字母或純數字,存在風險。從表現形式看,大部分銀行驗證碼在客戶每一次登陸就在首頁上要求輸入驗證碼;少數銀行採用隱藏驗證碼的形式,只有客戶第一次登陸失敗後才會顯示驗證碼。隱藏驗證碼的方式達到了安全與易用的平衡。
6、登陸失敗提示
網銀常見錯誤提示包括:帳號或客戶名錯誤,密碼錯誤,驗證碼失效等。94%的網上銀行採用了帳號自動鎖定策略,達到特定的失敗次數後,帳號會自動鎖定一段時間,在滿足時間要求後,帳號自動解鎖,避免正常客戶帳號被惡意長期鎖死。登陸失敗提示是一把雙刃劍,在使用較為嚴格的“帳號自動鎖定策略”後,因模糊的反饋提示,無法提供給客戶足夠幫助,降低了客戶體驗感,增加了錯誤處理成本。
7、瀏覽器功能遮蔽
商業銀行為了降低客戶端風險而遮蔽了瀏覽器部分功能。一般包括遮蔽選單欄功能、遮蔽導航欄功能、遮蔽右鍵功能等。88%的網上銀行僅支援IE瀏覽器,而其中又僅有8%採用功能遮蔽。只有少數銀行支援IE、谷歌等多種瀏覽器,並分別不同程度採用了功能遮蔽的措施。
8、預留資訊
預留資訊是為了幫助防止釣魚網站的一種安全措施。網銀需要對客戶進行身份認證,同樣的,客戶也需要對網銀的真實性進行確認。客戶在銀行預留資訊,當登陸個人網上銀行的時候,網頁上自動顯示客戶預留的特定資訊,可辨認真偽。個性化的預留資訊,能夠幫助客戶.陝速、有效地識別網銀真偽,保護客戶資產。目前個人網上銀行採用的預留資訊主要為文字為主,少數銀行提供圖片防偽的預留資訊。
9、首頁登陸提醒
成功登陸網銀後,首頁提供一些客戶個人資訊和以往登陸記錄,一方面類似預留資訊的防偽作用,另一方面可方便客戶瞭解網上銀行的使用情況,提高安全意識。當前網銀的登陸提醒資訊有很多種,較多的是提醒上次登陸時間資訊,也有少數銀行提醒更加多樣化,如“總的登陸次數”、“上次登陸的IP地址”、“上次安全退出的時間”、“密碼錯誤次數”等。
三、結論
本文通過對目前國內主要商業銀行的個人網上銀行進行測試,總結了客戶端的主要風險防控措施,包括安全會話、多因素認證、USBKEY保護、輸入保護、驗證碼、失敗處理、登陸提醒、瀏覽器功能遮蔽、預留資訊等。
隨著網上銀行在銀行渠道建設中的重要性不斷提升,客戶端風險防控越來越得到銀行重視。本文總結的網銀客戶端風險防範措施,是實現網上銀行安全保護的眾多方法之一,措施本身可以隨業務發展和技術需要進一步細化、擴充套件和完善,值得銀行同業參考借鑑。
>