网上银行面临的主要风险及安全防护措施.pdf

网上银行面临的主要风险及安全防护措施

随着信息化与传统银行业的完美融合，近年来电子银行的发展可谓突飞猛进，呈现出交易规模阶跃式

迅速增长、用户规模不断扩大、网银替代率增加的显著特点，不仅成为推动国民经济发展的催化剂，

更为人们的生活带来了前所未有的便利。

互联网的开放和虚拟性给作为传统银行的延伸和创新的网上银行带来复杂性和多样性的风险，从

信息安全角度分析，主要有三类：一是基于网上银行基础架构环境所引发的技术风险；二是基于网上

银行金融业务特征所形成的业务安全风险；三是网上银行管理体系信息安全风险。如何有效风范网上

银行风险，成为银行和监管部门面临的新的挑战。

网上银行面临的主要风险

㈠技术安全风险

网上银行客户端安全认证风险

网银客户端使用证件号码、用户名和密码登陆，一旦用户计算机感染病毒、木马或者被黑客攻击，

如果没有进行安全认证，网上银行用户所做的所有操作，都会被发送至控制用户计算机的服务器后端，

严重影响网银客户端用户的银行帐号和密码安全。假冒银行网站而出现钓鱼网站，就是将用户的所有

操作通过键盘记录或者屏幕录制等方式，将用户帐号和密码信息传输至窃取人指定的服务器中，危及

用户资金安全。

网络传输风险

网上银行业务通过网络在银行和用户之间进行数据传输，在数据传输过程中要求进行加密处理，

如果网络传输系统和环境被攻破，或者加密算法被黑客攻击，将使网上银行客户的资金、帐号、密码

在网络传输中如同明文传输，造成客户信息泄漏，严重影响网上银行用户信息安全。

系统漏洞风险

网上银行应用系统和数据库，在技术上依然存在一些系统漏洞和隐患，这些漏洞往往会被黑客、

计算机病毒所利用，对网上银行系统造成很大的信息安全风险。

数据安全风险

网上银行的数据要求绝对安全和必威体育官网网址。用户基本信息、用户支付信息、业务处理信息、数据交换

信息等的丢失、泄漏和篡改都会使商业银行产生不可估量的损失。如何确保数据输入和传输的完整性、

安全性和可靠性、如何防止对数据的非法篡改、如何实现对数据非法操作的监控与控制是网上银行系

统需要解决的问题。

㈡管理安全风险

1、系统应急风险

目前大多数银行在系统建设和运行中，没有很好地按照业务运行应急计划进行演练，应对电力中

断、地震、洪水等灾害措施不到位，一旦发生这类灾害，会导致数据的破坏和消失，给银行带来巨大

风险。

2、内部控制风险

网上银行的内部控制制度指对网上银行日常运行处理过程进行流程或制度规范，一旦执行不到位，

将会造成网上银行在运行或者业务操作中出现问题，比如由单个维护人员完成对客户的密码的重置或

者客户帐户信息调整等，造成网上银行系统信息安全风险。

3、外包管理风险

网上银行在快速发展过程中，由于银行相关人才不足，在系统开发、运行维护过程中，很多是通

过购买第三方外包服务的方式提供网上银行技术支持。如果由于网上银行外包服务管理不到位，将给

银行带来数据泄漏的风险。

㈢业务安全风险

操作风险是来源于银行内部员工或者用户的错误操作、恶意操作而导致潜在的损失。商业银行人

员对业务不熟练，有可能导致网银操作风险，网银客户由于缺乏网络安全知识也可能面临相当高的操

作风险。

㈣法律风险

网上银行的法律风险来源于违反相关法律、法规和制度，以及在网上交易中没有遵守有关权利义

务的规定，政府有关法规中对于网上银行交易权利和义务的规定还不清晰，从而导致的可能发生的风

险。

二、防范网上银行风险的安全措施

2012年5月，中国人民银行发布《网上银行系统信息安全通用规范》（以下简称《规范》），

此《规范》由金融标准化委员会审批通过，对推动我国网上银行安全快速发展，具有四个方面的重要

意义。一是《规范》源于对已知的网银犯罪案例、网银常见交易机制的问题的深入挖掘和分析，具有

很强的针对性和指导性。二是《规范》为金融机构开展网银系统建设、内部安全检测和合规性审计提

供法律依据。三是《规范》为行业主管部门、评估测试机构进行网银信息安全检查、检测提供标准化

依据。四是《规范》将信息系统信息安全等级保护与网银系统实际结合，提出可操作性的具体措施和

要求，对推动金融信息安全等级保护工作具有示范作用。

《规范》分为安全技术规范、安全管理规范和业务运作安全规范三个部分。安全技术规范从客户

端安全、专用安全设备、网络通讯安全和网上银行服务器端安全几个方面提出要求；安全管理规范从

安全管理机构、安全策略、系统建设管理、系统运维管理几