银行网络安全宣传总结范文

导语：如何才能写好一篇银行网络安全宣传总结，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

银行网络安全宣传总结

篇1

XX农商行安全保卫部:

根据武穴农商行关于开展2020年“安全生产月”和“安全生产楚天行”活动实施方案，我支行迅速成立以行长为组长，其他员工为成员的安全活动领导小组，结合我支行的实际工作，广泛深入地开展了全方位、多层次、多渠道、多形式的安全生产月活动。

一、营业部XX行长迅速组织员工学总书记关于安全生产重要论述。营业部全体员工在认真聆听X行长行长对XX总书记安全生产重要论述的理解。

二、开展安全教育，提高员工的安全意识。

三、我支行在门头LED上滚动播出“1，安全是发展的前提，发展是安全的保障。2，依法严厉打击各类犯罪活动，全力维护公共安全。3，网络安全为人民，网络安全靠人民。 ”活动主题。在营业网点设置宣传咨询台，向过往群众和员工宣传安全生产知识。

四、组织员工发现营业网点，自助银行等重点区域安全隐患及时整改，重点环节的人防、物防、技防、消防的重点场所，关键环节安全风险隐患进行了全面的深入的排查整治，确保安全无事故。扎实开展安全生产宣传教育和应急预案的演练工作，增强了营业部全体员工的安全意识和应急处置能力。为安全生产提供了坚实的保障。

最后，我支行将认真总结活动经验，坚持问题导向，拓展思路，砥砺前行。进一步提高安全生产在日常工作、生活中的重要性，使安全生产更加贴近实际，动员全辖员工更加关注安全生产，为全行的经营发展营造安全稳健的环境。

篇2

随着校园网络应用的逐渐深入，特别是校园网络与互联网链接以后，校园网络在信息资源上得到了极大的提升，但是网络信息安全问题也逐渐凸显，直接影响了学校正常的教学管理以及其他教学活动。而常见的校园网络安全问题主要表现在以下几个方面：

（1）计算机系统存在漏洞

目前，我国中小学校园网络中被普遍使用的操作系统是WIN7。而由于技术发展水平的限制，目前WINDOWS操作系统在服务器、防火墙、TCP/IP协议等方面都存在大量安全漏洞，而且当下应用范围比较广泛的360杀毒软件、腾讯电脑管家等杀毒修复软件功能也十分有限，对于互联网这种无限开放的空间环境而言，这些漏洞被越来越多的人发现，并加以利用。这些都为校园网络的稳定运行带来了严重的影响和威胁。

（2）计算机病毒的破坏

威胁计算机功能运行的最普遍则来自于计算机病毒。可以说对于校园网络而言，计算机病毒是破坏计算机系统正常运行、破坏系统软件、损害文件资料、导致网络效率下降，甚至造成计算机及网络系统瘫痪的最直接因素。具体来说，计算机病毒主要具有传播速度快、隐蔽性强、传染途径广、潜伏期长、破坏力大等特点。比如前几年影响比较恶劣的熊猫烧香病毒，网络执行官、网络特工、ARPKILLER、灰鸽子等木马病毒，使得网络集体掉线、网络系统中的游戏账号、QQ账号、网上银行账号密码等被泄漏等等，严重威胁着中小学校园网络的正常使用。

（3）互联网对校园网的非法入侵及破坏威胁

为了最大程度的享有信息资源，提高校园管理、教学水平，基本上所有中小学校园网络都是与互联网相连的。这样就导致了在享有互联网无限资源的同时，也时刻面临着来自互联网中的非法入侵风险。比如最为常见的黑客利用网络攻击校园网络服务器，窃取、篡改或破坏学校重要信息等，给学校日常的教学管理造成巨大危害。

二、完善校园网络信息安全的对策措施

维护校园网络安全是一个复杂的系统工程。其往往涉及到网络用户、管理以及技术维护等方面的工作内容。因此，本质上讲，网络安全工作是一个循序渐进、不断完善的过程。根据前人的研究成果，为了切实提高校园网络的安全性，笔者认为应该从以下几个方面进行完善：

（1）采用身份认证技术

由于校园网属于开放性网络，因此，校园网对用户的限制很少。这样就给一些非法入侵者提供了条件。因此，加强校园网络的安全性，首先我们可以采用身份认证的技术，从用户限制上提高网络的安全性。具体来说，身份认知是指通信方设置身份确认来限制非授权用户的进入。这项技术在高等院校及图书馆等机构中已经得到了普遍盈盈。而常见的身份认证的方法有口令认证法。其是指给系统管理员帐户设置足够复杂的强密码，同时系统管理员的口令不定期的予以更换。

（2）防范系统安全漏洞

在日常的网络系统维护中，及时的对当前的电脑操作系统进行更新升级，及时安装各种系统补丁程序以及第三方系统管理软件，比如常见的360安全卫士、腾讯电脑管家等等，定期的进行系统扫描机漏洞扫描，及时发现安全隐患。这样才能防止各种计算机病毒入侵网络，损坏计算机及系统软件，提高网络使用的安全性。

（3）加强校园网络监控

由于中小学师生对网络安全普遍缺乏正确的认知，在网络使用过程中也无法有效准确的判断病毒网站，因此，在加强校园网络安全意识的宣传同时，还应该在不影响校园网络正常运行的前提下，加强对内部网络的监控范围和力度，做到最大程度的保护网络资源信息。具体措施比如配备入侵检测系统，入侵防御系统，Web、E-mail、BBS的安全监测系统和网络监听系统等。一方面，通过监控手段，增强网络安全的自我适应性和反应能力，及时发现不安全因素，从而保证网络服务的正常提供。另一方面，通过使用网管软件、日志分析软件、MRTG和Sniffer等工具，形成一个功能较完整、覆盖面较广的监控管理系统。

篇3

关键词：电子商务；问题；对策

近年来，随着互联网技术的不断发展，我国电子商务的规模也是与日俱增，淘宝、阿里巴巴、京东、亚马逊、当当、聚划算、唯品会、聚美优品等网络商城比比皆是，各个企业也都在建立自己的网络商城，这完全颠覆了我国传统的商业模式，极大地促进了我国经济的发展。但是，我国电子商务起步较晚，各方面的发展还有待提高，基于互联网的电子商务是一个庞大的体系，其中存在很多值得注意的问题。我国电子商务若想取得长足的进步与发展，就必须要找出这些问题的所在，并采取有效措施予以解决。笔者对我国电子商务中存在的问题作了简要分析，并对问题的解决提出了几点看法，期望对我国电子商务的发展有所启迪。

一、我国电子商务存在的问题

近年来，电子商务的出现无疑促进了我国社会经济的快速发展，但这其中也存在一些制约我国电子商务发展的问题。笔者对此做了如下总结：

1.网络安全隐患问题

电子商务是基于互联网的全新的商业模式，既然是与互联网紧密相联，那么这其中必然存在网络安全问题。首先，庞大的网络病毒给电子商务的网络安全带来巨大的冲击，极易造成网络系统的瘫痪。尽管我们不断加强网络安全技术，但总会存在一些漏洞，病毒和木马等能够通过各行种方式盗取用户的网银密码，给人们造成经济损失。其次，钓鱼网站层出不穷，一些假冒的网络商城，中奖网站、银行网站、理财与投资网站等比比皆是，一旦这些钓鱼网站成功攻击，将会给客户带来巨大的经济财产损失。最后，手机病毒与垃圾短信肆虐，手机病毒能够攻击用户的网络银行客户端，盗取用户账号与密码信息，给用户带来损失，手机垃圾短信横行，给用户一些虚假的信息，稍有不慎，便会中了圈套。

2.诚信缺失问题

电子商务大都是在网络上进行线上交易，买卖双方几乎不会发生面对面的交流，彼此双方缺乏有效的了解，这就显得诚信问题尤为重要。首先是客户隐私信息的泄露，客户在购买商品的同时，肯定会提供给卖家一系列的个人信息，倘若卖家诚信缺失，极易造成客户信息的泄露。其次是商品质量问题，由于买家无法接触到商品实物，商品质量的好坏，全凭卖方一家之言，不少商家就会以假乱真，以次充好，使得产品质量无法得以保障。再次是网络诈骗，网络是一个虚拟的环境，网络购物最易遇到诈骗行为，这是电子商务中典型的诚信缺失，因为现在的网络商城很多都是先付款再发货，一些不良之人便会借此实行网络诈骗，付了款不发货，或者是以假充真，以次充好，骗取客户钱财；最后是网络销售的售后服务不佳，客户在网上买过东西之后，若发现商品出现质量问题，卖家不积极应对，总是找各种理由对售后服务予以推脱，从而给客户带来不便与损失。

3.电子商务物流问题

顾客购买网络商品之后，若要商品到达顾客手中就必须进行物流配送，电子商务的发展，在极大程度上促进了物流行业的兴起。如今，我国物流行业规模越来越大，使得物流行业鱼龙混杂，使得一些问题日益明显。首先，各个物流公司服务水平参差不齐，有些小的物流公司规模小，经营不是太规范，服务质量有待提高，员工素质水平整体不高，使得顾客不能享受优质物流服务，这在一定程度上不利于我国电子商务的高速发展。其次，我国电子商务物流行业起步比较晚，物流管理技术还不够成熟，缺乏一定的信息化与集成化，作业水平整体比较低，虽然我国的物流公司很多，但真正能适应我国高速发展的电子商务的却寥寥无几，不能满足电子商务发展的需求。最后，我国电子商务物流效率整体不高，尤其是针对农村以及西部等偏远地区的配送效率更低，这使得农村电子商务以及偏于地区电子商务不能得以良好发展。

二、应对我国电子商务面临问题的策略

我国电子商务若要取得良好发展，就必须采取有效的措施解决这其中存在的问题，笔者结合我国电子商务面临的上述问题，提出了以下解决方案：

1.加强对电子商务安全保障

电子商务安全问题涉及广大用户的切身利益，与用户的经济财产密切相关，我国必须要采取一定措施，加强对电子商务的安全保障。首先，我们要加大对电子商务安全的宣传力度，提高用户的安全意识，对用户讲解各种网络攻击类型，意识到什么样的信息是虚假的，提高用户识别网络安全的能力，树立防范意识，保证网络交易环境的安全可靠。其次，提高网络安全保障技术，我们要积极研制网络安全维护技术，不断提高网络安全，减少网络交易中的漏洞，降低网络交易风险，积极升级网络防护技术，加大对各种病毒和木马的拦截与防御，确保交易环境不受侵害。最后，我们要加大执法力度，建立健全相应的法律法规，通过法律来严惩电子商务网络安全犯罪，从而来引导网络电子商务走向规范，各级公检法之间要积极联系与配合，做好网络监管，尤其是要加大对电子商务活动的监管力度，让违法者付出更高的代价，提高法律的效率，维护网络交易环境的安全可靠，实现电子商务的良好发展。

2.积极应对电子商务中的诚信问题

诚信是任何经营活动都不可缺少的基本要素，是一切经营活动的前提，尤其是电子商务更是离不开诚信。我们一定要积极应对电子商务中的诚信问题，提出有效的解决方案。首先，我们要不断培养人们的诚信意识，树立诚信的社会形象，营造以诚信为本的市场文化，使人们自觉地在商业活动中遵诚守信。诚信是人们立足社会的根本，更是电子商务经营活动的根基，我们要形成良好的诚信环境，使得电子商务良好发展。其次，我们要加大对商家以及个人的信用评价，建立健全信用评价体制，将商家以及个人的信用纪律与生活的方方面面联系在一起，比如银行、公安、税务等都要与人的信用挂钩，使人们树立信用第一的理念。最后，建立第三方信用服务机构，对人们的信用进行评价、记录以及认证，为电子商务营造一个良好的信誉环境。对于信用偏差的商家，取消其经营资格，对于信用值较低的个人，限制其参与电子商务活动，从而保证买卖双方诚信交易，构建一个诚实守信、稳定和谐的电子商务交易体系。

3.加大对电子商务物流行业的建设

电子商务的发展离不开物流行业的有力支撑，我们必须要加大对物流行业的建设与管理，保障电子商务顺利发展。首先，我们要建立健全物流行业一系列的服务标准，促进物流服务水平的不断提高，使得物流服务变得高效快捷，服务水平高、质量好。其次，我们要努力使得物流的管理水平稳步提升，实现分货、拣货、验货等的自动化，使得物流运用效率快速提升，缩短物流的运送时间，使得货物尽早到达客户手中。最后，我们要加大对物流相关人才的培养力度，为物流行业的人才储备做好保障，物流公司可以与企业相互合作，将自己的员工送到学校进修，提高员工整体素质，也可定向培养优秀物流人才，从而加快物流的发展。总之，我国电子商务起步较晚，在网络安全、诚信建设以及物流运输等方面还存在一些问题，只要我们不断加强网络安全技术，努力营造诚信氛围，进一步提高物流服务水平，我国电子商务就一定能取得良好发展，促进我国社会经济的不断进步。

参考文献

[1]魏宝红.浅析我国电子商务中物流配送存在的问题及对策[J].价值工程,2015(3):29-30

[2]闵存高.电子商务的安全问题及对策研究[J].无线通信技术,2012(1):54-58

篇4

关键词：网络；中小学生；网络安全教育；措施

安全问题历来受教育机构重视，保证学生身心安全，是诸多学校进行教育时重点考虑的问题。中小学生具较强可塑性，对新知识和信息充满好奇。同时，该年龄段的学生在心理和身体上都不成熟，自控力、甄别能力低，这就更需要学校做好网络安全教育工作，指导学生安全上网，趋利避害。

近几年大容量的信息方便受众学习的同时，也常混杂着不适合青少年观看的信息，如暴力语言、低俗图片、视频等。要解决网络带来的安全问题，首先要对学生进行网络安全教育。学校和教师则在网络安全教育中承担着主要角色。当下，我国的网络安全教育面临学校不重视、教育方式错误等问题，怎样正确引导学生面对网络，考量教师的水平，也是学校教育观念转变的体现。

一、中小学生网络接触现状与存在的问题

近几年，随着信息技术的飞速发展、网络的普及，无孔不入的网络闯入了中小学生的学习和生活中。不论是手机还是电脑，只要联上网，世界各地的信息皆在“屏幕之中”。中小学生的网络接触现状和问题有以下几点：

（一）学生接触网络的机会增多，年龄也越来越小

随着我国经济水平的普遍提升，电脑、手机等网络终端也飞入了寻常百姓家，这在20年前是不可想的。如今，电脑也不再是什么稀有品了，农村里许多家庭都已经安装，学生们放学回家就可以玩电脑，看视频。一旦开通手机的上网功能，中小学生便可畅通无阻的网上冲浪。

（二）上网多是休闲娱乐，学习不是主要目的

现在的学生，所谓的上网，大多就是聊一聊QQ，认识几个网友，收发邮件，或者弄弄空间、微薄，发发心情什么的。比较痴迷的一些学生就是打网游，可以不吃不喝打通宵，这种情况比较严重，往往既耽误学习，又伤身体。通过上网来主动学习是很少的。

同学们对网络充满了好奇，网络知识也多半是从同学那里得来的，从学校获得的网络知识很少。大部分情况下，老师和家长是不太愿意让同学们进网吧，在他们的眼里，上网多是无益于学习的。这就是“堵”多过于“疏”。

（三）个人信息容易泄漏，隐私得不到有效保护

在学生上网过程中，很多网站需要注册登陆，个人的手机号码，姓名，年龄、家里电话经常因此被泄漏，骚扰电话和短信便接踵而来了。有些同学的QQ被盗，里面许多照片再也找不回来了。更有甚者，在网购时，没有安装一定的安全软件，自己的身份证号和银行卡号被他人所知，后果严重。

（四）网友见面多半是个坑，小女生上当几率大

中小学生的好奇心重，甄别能力弱，当遇到网友约见时，很少人会考虑会是骗局。然而，在现实生活中，网友见面，多半是个坑。特别是一些单纯的女学生，经常被“劫财劫色”，身心遭受创伤，给自己的学习生活带来了无尽的痛苦。

二、中小学网络安全教育现状

（一）观念滞后，网络安全教育缺乏重视

在网络新时代，威胁安全的手段和方式发生了变化，信息也能威胁安全，如充斥屏幕的犯罪信息。当中小学生以单纯的想法去度量网络上的虚假信息和诈骗、犯罪信息时候，对学生的身心危害及其巨大。所以，安全教育的外延已经大大发生改变。除了外延的拓展，安全教育的内涵也有所改变：即保证学生的安全不再只是保证身体上的安全，还包括心理安全。心理安全在当下最突出的表现就是怎样与学生对话，了解学生的思想，分析其行为产生的原因。

网络安全教育伴随着网络的普及和发展所产生，是通过传统的教育方式让学生认清网络，教会学生分辨网络中良莠不齐的信息，不在网络上受到危害。但是，目前学校对网络的危害认识还不充分，对网络安全教育不够重视。这就导致了网络安全教育的落后，学生不能得到网络中丰富而有用的信息。

（二）缺少专门的网络安全教育者和教育组织

网络安全教育属于安全教育的一个分支，在组织机构方面可以沿用传统的机构。但是，网络的特点决定了网络教育不同于传统教育，它是对虚拟空间内看不见的信息进行甄别。在教育的过程中，要有熟悉网络特点的人担任教育者，才能在教育过程中用具体的例子引导学生。

就目前中小学安全管理处的人员设置看，都是一些有一定教龄的教师代为管理的。因为他们在自己的教育工作中，总结了很多安全教育方面的经验。没错，这些老师在传统安全教育中的确能发挥青年教师难以有的作用。但是，年长也意味着思想的保守，对新信息、新知识、新技术存在某种程度的排斥。他们不了解网络，不知道网络会怎样危害学生的安全。因此，这种缺少专门网络安全教育者的现象也是我国中小学安全教育的一个现状，制约着网络安全教育的发展。

（三）教育方式错误，收效甚微

中小学生处于人生的青少年阶段，有着强烈的好奇心。当他们知道网络渠道可以方便快捷地帮助他们实现愿望后，便“沉迷”于其中。而此时，家长和学校在传统的教育观念下认为上网是不务正业，对其行为加以禁止。这就让正处身心成长关键期的学生，容易出现反叛等行为，如逃课上网，手机看网络小说、打游戏等，这样的例子在中小学中不胜枚举。

目前，网络安全教育家长和老师往往是采取限制乃至禁止使用网络等方法。这源于家长和社会对网络功能认识的不全面。大多数人认为，网络是用来玩乐和游戏的，容易分散学生的注意力，与学校严肃教育和学习相悖。因此，上网总会受到家长和老师的干涉。以教师为代表的学校在遇到这样

的情况时，往往是收走学生的网络终端工具，然后告诉家长，学生会受到一定程度的惩罚。这种教育方式容易让学生产生厌烦感，收不到预期的效果，而且常常是屡禁不止。更有中小学的教育者在提到网络安全问题时，或者危言耸听，夸大网络犯罪、网络诈骗等信息，又或者小看网络安全问题，对出现的网络犯罪现象讳莫如深，觉得告诉学生会让学生产生一种恐惧感。

三、中小学网络安全教育的措施

（一）改变观念，提高认识

在我国，虽然中小学生的安全教育一直被广泛强调，但社会、学校和家长大多将注意力放在学生的交通安全、消防安全、校园安全和食品安全，而对网络安全关注不够。尽管有的家长也关注学生的上网情况，但更多是害怕孩子“上网成瘾”，影响学习和健康，但对网络的潜在危险估计不足。因此，在中小学开展网络安全教育，首先需要提高对网络安全教育的重要性的认识，摆正其在学校安全教育中的位置。国外对于网络安全教育主要内容已经有了较为详尽的阐述，这些内容也适用于中国的中小学，主要包括：在线安全行为问题、个人隐私的保护、下载和版权问题、和网友见面问题、网络欺侮、正确使用手机上网问题等。在许多国家，网络安全教育还包括其他内容，比如计算机游戏成瘾、网络购物安全等。

因此，我国中小学在开展网络安全教育时应该尽可能全面地囊括这些内容，在具体操作上，可以根据实际情况处理。当然，由于信息技术的迅猛发展，新的网络安全问题可能随之产生。因此，我们学校需要及时关注和更新网络安全教育的主要内容。

（二）变堵为疏，发挥主体作用

中小学生的大部分时间是在学校度过，学校便利的教育条件和师资，使得它应该成为网络安全教育的主体。当然，在实际教育过程中，应考虑到中小学生的心理和生理特点，形式可以灵活一些，可通过综合课程和课外活动相结合等形式展开。但网络安全教育应该有一个整体规划，保证连续性和系统性。

此外，中小学也可以通过主题班队会、团活动等形式，加强法制教育、网德教育、责任意识教育和自我保护意识教育，使学生彻底认清“不健康上网”的危害；广泛开展网络科普展览，利用网络世界增加校园生活的多样性；老师要加强对电脑和网络知识的了解，，能给学生讲解有关的电脑知识，解决一些网络疑难问题，演示一些常规软件的应用，教授网页的制作与简单的编程等。并且也可以借助板报、长廊、宣传画或校园广播等媒体，多途径、多方式展开网络安全教育。教育主管部门应出台关于加强网络安全教育的指导性文件，使中小学的网络安全教育具有更强的计划性、系统性和持续性。

篇5

随着光纤宽带、移动电话、移动互联网的普及，通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进，通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来，伴随着互联网技术在全球迅猛发展，信息化给人们提供了极大的便利，然而，同时我们也正受到日益严重的来自网络的安全威胁，比如黑客攻击、重要信息被盗等，网络安全事件频发，给人们的财产和精神带来很大损失。但是，在世界范围内，黑客活动越来越猖狂，黑客攻击者无孔不入，对信息系统的安全造成了很大的威胁，对社会造成了严重的危害。除此之外，互联网上黑客网站还在不断增加，这就给黑客更多的学习攻击的信息，在黑客网站上，学习黑客技术、获得黑客攻击工具变得轻而易举，更是加大了对互联网的威胁。如何才能保障信息系统的信息安全，怎样才能确保网络信息的安全性，尤其是网络上重要的数据的安全性。

在通信领域，信息安全尤为重要，它是通信安全的重要环节。在通信组织运作时，信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面，小到人与人之间联系的纽带，大到国与国之间的信息交流。因此，研究信息安全和防护具有重要的现实意义。

一、通信运用中加强信息安全和防护的必要性

1.1搞好信息安全防护是确保国家安全的重要前提

众所周知，未来的社会是信息化的社会，网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点，如果信息安全防护工作跟不上，一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此，信息安全防护不仅是未来战争胜利的重要保障，而且将作为交战双方信息攻防的重要手段，贯穿战争的全过程。一旦信息安全出现问题，可能导致整个国家的经济瘫痪，战争和军事领域是这样，政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡，关系到世界的安定和平。比如，美国加利弗尼亚州银行协会的曾经发出一份报告，称如果该银行的数据库系统遭到网络“黑客”的破坏，造成的后果将是致命的，3天就会影响加州的经济，5天就能波及全美经济，7天会使全世界经济遭受损失。鉴于信息安全如此重要，美国国家委员会早在2000年初的《国家安全战备报告》里就强调：执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》，第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来，我国也越来越重视信息安全问题，相关的研究层出不穷，为我国信息安全的发展奠定了基础。

1.2我国信息安全面临的形势十分严峻

信息安全是国家安全的重要组成部分，它不仅体现在军事信息安全上，同时也涉及到政治、经济、文化等各方面。当今社会，由于国家活动对信息和信息网络的依赖性越来越大，所以一旦信息系统遭到破坏，就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱，其后果不堪设想。由于我国信息化起步较晚，目前信息化系统大多数还处在“不设防’，的状态下，国防信息安全的形势十分严峻。具体体现在以卜几个方面：首先，全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解，对因忽视信息安全而可能造成的重大危害还认识不足，信息安全观念还十分淡薄。因此，在研究开发信息系统过程中对信息安全问题不够重视，许多应用系统处在不设防状态，具有极大的风险性和危险性。其次，我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上，还是在计算机软件上，我国信息化系统的国产率还较低，而在引进国外技术和设备的过程中，又缺乏必要的信息安全检测和改造。再次，在军事领域，通过网络泄密的事故屡有发生，敌对势力“黑客”攻击对我军事信息安全危害极大。最后，我国国家信息安全防护管理机构缺乏权威，协调不够，对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离，管理混乱，缺乏与信息化进程相一致的国家信息安全总体规划，妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。

二、通信中存在的信息安全问题

2.1信息网络安全意识有待加强

我国的信息在传输的过程中，特别是军事信息，由于存在扩散和较为敏感的特征，有的人利用了这一特点采取种种手段截获信息，以便了解和掌握对方的新措施。更有甚者，在信息网络运行管理和使用中，更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此，我们更要深层次地加强网络安全方面的观念，认识到信息安全防护工作不仅仅是操作人员的“专利”，它更需要所有相关人员来共同防护。

2.2信息网络安全核心技术贫乏

目前，我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用，忽略了一定的安全隐患。技术上的落后，使得设备受制于人。因此，我们要加大对信息网络安全关键技术的研发，避免出现信息泄露的“后门”。

2.3信息网络安全防护体系不完善

防护体系是系统顶层设计的一个重要组成部分，是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防，技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统，并担负着网络攻防对抗的重任。因此，现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。

2.4信息网络安全管理人才缺乏

高级系统管理人才缺乏，已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术，还要熟悉安全技术。既要具有丰富的网络工程建设经验，又要具备管理知识。显然，加大信息安全人才的培养任重而道远。

三、通信组织运用中的网络安全防护

网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注，如何防范病毒入侵、保护信息安全是人们关心的问题，笔者总结了几点常用的防范措施，遵循这些措施可以降低风险发生的概率，进而降低通信组织中信息安全事故发生的概率。

3.1数据备份

对重要信息资料要及时备份，或预存影像资料，保证资料的安全和完整。设置口令，定期更换，以防止人为因素导致重要资料的泄露和丢失。利用镜像技术，在磁盘子系统中有两个系统进行同样的工作，当其中一个系统故障时，另一个系统仍然能正常工作。加密对网络通信加密，以防止网络被窃听和截取，尤其是绝密文件更要加密处理，并定期更换密码。另外，文件废弃处理时对重要文件粉碎处理，并确保文件不可识别。

3.2防治病毒

保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件，定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性，保证在使用前对软盘进行病毒检查，杀毒软件应及时更新版本。一旦发现正在流行的病毒，要及时采取相应的措施，保障信息资料的安全。

3.3提高物理安全

物理安全是保障网络和信息系统安全的基本保障，机房的安全尤为重要，要严格监管机房人员的出入，坚决执行出入管理制度，对机房工作人员要严格审查，做到专人专职、专职专责。另外，可以在机房安装许多装置以确保计算机和计算机设备的安全，例如用高强度电缆在计算机的机箱穿过。但是，所有其他装置的安装，都要确保不损害或者妨碍计算机的操作。

3.4安装补丁软件

为避免人为因素（如黑客攻击）对计算机造成威胁，要及时安装各种安全补丁程序，不要给入侵者以可乘之机。一旦系统存在安全漏洞，将会迅速传播，若不及时修正，可能导致无法预料的结果。为了保障系统的安全运行，可以及时关注一些大公司的网站上的系统安全漏洞说明，根据其附有的解决方法，及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。

3.5构筑防火墙

构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的，能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击，也不能阻止恶意代码的入侵，如病毒和特洛伊木马。

四、加强通信运用中的信息安全与防护的几点建议

为了应付信息安全所面临的严峻挑战，我们有必要从以下几个方面着手，加强国防信息安全建设。

4.1要加强宣传教育，切实增强全民的国防信息安全意识

在全社会范围内普及信息安全知识，树立敌情观念、纪律观念和法制观念，强化社会各界的信息安全意识，营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势，自觉针对存在的薄弱环节，采取各种措施，把这项工作做好；另一方面要结合工作实际，进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。

4.2要建立完备的信息安全法律法规

信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来，我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规，但从整体上看，我国信息安全法规建设尚处在起步阶段，层次不高，具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此，我们应当加快信息安全有关法律法规的研究，及早建立我国信息安全法律法规体系。

4.3要加强信息管理

要成立国家信息安全机构，研究确立国家信息安全的重大决策，制定和国家信息安全政策。在此基础上，成立地方各部门的信息安全管理机构，建立相应的信息安全管理制度，对其所属地区和部门内的信息安全实行统一管理。

4.4要加强信息安全技术开发，提高信息安全防护技术水平

没有先进、有效的信息安全技术，国家信息安全就是一句空话。因此，我们必须借鉴国外先进技术，自主进行信息安全关键技术的研发和运用。大力发展防火墙技术，开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术，加强计算机网络安全管理，为保护国家信息安全打卜一个良好的基础。

4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节

首先，可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识，加大网络安全教育的投入。其次，重要数据和信息要及时备份，也可采用影像技术提高资料的完整性。第三，及时更新杀毒软件版本，杀毒软件可将部分病毒拒之门外，杀毒软件更新提高了防御病毒攻击的能力。第五，对重要信息采取加密技术，密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六，严格执行权限控制，做好信息安全管理工作。“三分技术，七分管理”，可见信息安全管理在预防风险时的重要性，只有加强监管和管理，才能使信息安全更上一个台阶。

4.6建立和完善计算机系统风险防范的管理制度

建立完善的防范风险的制度是预防风险的基础，是进行信息安全管理和防护的标准。首先，要高度重视安全问题。随着信息技术的发展，攻击者的攻击手段也在不断进化，面对高智商的入侵者，我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时，可以借鉴国外相关研究，尤其是一些发达国家，他们信息技术起步早，风险评估研究也很成熟，我们可以借鉴他们的管理措施，结合我们的实际，应用到风险防范中，形成风险管理制度，严格执行。

其次，应当设立信息安全管理的专门机构，并配备专业技术人才，选拔防范风险的技术骨干，开展对信息安全技术的研究，对系统弱点进行风险评估，及时采取补救措施。完善信息安全措施，并落实到信息安全管理中去。

篇6

关键词　网上银行；网络银行；电子银行；网上支付

网上银行(nternetBank)，也叫网络银行、在线银行、虚拟银行等，是指银行以自己的计算机系统为主体，以单位和个人的计算机为入网操作终端，借助互联网技术，通过网络向客户提供银行服务的虚拟银行柜台。随着互联网技术的日益成熟、计算机的普及、以及人们的认识和使用水平的提高，网上银行越来越多的被个人和企业客户认知和采用，也成为当今银行发展的潮流和方向。

一、网上银行特点

(一)业务智能化、虚拟化

网络银行没有建筑物、没有地址，只有网址，其分行是终端机和因特网带来的虚拟化的电子空间，主要借助智能资本，客户无须银行工作人员的帮助，可以自己在短时间内完成账户查询、资金转账、现金存取等银行业务，即可自助式地获得网络银行高质、快速、准确、方便的服务。

(二)服务个性化

因特网向银行服务提供了交互式的沟通渠道，客户可以在访问网络银行站点时提出具体的服务要求，网络银行与客户之间采用一对一金融解决方案，使金融机构在于客户的互动中，实行有特色、有针对性的服务，通过主动服务赢得客户。

(三)金融业务创新的平台

网络银行侧重于利用其成本低廉的优势和因特网丰富的信息资源，对金融信息提供企业资信评估，公司个人理财顾问、专家投资分析等业务进行创新和完善，提高信息的附加价值，强化银行信息中介职能。

二、我国网上银行发展的现状

(一)外资银行开始进入网上银行领域

目前，获准在在中国内地开办网上银行业务的外资银行包括汇丰银行、东亚银行、渣打银行、恒生银行、花旗银行等。另外还有几家外资银行的申请正在审核之中。截至2004年8月底，花旗、汇丰、东亚、德意志等13家外资银行获准在国内开办了网上银行业务。到2005年，中国内地的网络银行业务量已占全部银行业务量的20％左右。

(二)网上银行业务种类、服务品种迅速增多

交易类业务已经成为网上银行服务的主要内容，提供的服务包括存贷款利率查询、外汇牌价查询、投资理财咨询、账户查询、账户资料更新、挂失、转账、汇款、印证转账、网上支付、代客外汇买卖等、部分银行已经开始试办网上小额质押贷款、住房按揭贷款等授信业务。

(三)银行日益重视业务经营中的品牌战略

一些银行已形成有一定知名度的网络银行品牌，艾瑞市场咨询网《2005年中国网络银行用户研究报告》中表明，工行的“金融@家”的品牌知名度在网上银行用户中最高，达53.8％，其次为工行的“金融e通道”，达51.8％，招行的“一网通”品牌知名度也达到了51.1％，和工行差距不大，建行的“e路道”品牌知名度稍低，为30.4％。一些网上银行服务开始赢得国际声誉，如2002年9月，中国工商银行网站被英国《银行家》杂志评为2002年度全球最佳银行网站。

三、我国网上银行发展存在的问题及解决对策

(一)我国网上银行发展存在的问题

首先，以产品为导向，忽视客户需求。“以产品为导向”的战略特征依然明显，客户导向的理念并没有得到贯彻。纵观各商业银行的网上银行竞争战略，产品和服务功能性的强调始终作为整个商业战略核心和广告宣传的重点。其次，缺乏互动，影响了客户使用网上银行的积极性。网上银行最引以自豪的优势就是“足不出户、轻松上网”以及“24小时无间断服务”等技术突破成果，这同时也构成了网上银行的明显缺陷一人与人之间沟通匾乏化导致客户的细分需求和一些即时触发的需求难以得到真正满足。再次，信用机制不健全，市场环境不完善。互联网具有充分开放、管理松散和不设防护等特点，网上交易、支付的双方互不见面，交易的真实性不容易考察和验证，更应尽快建立和完善社会信用体系，以支持网络经济的健康发展。目前商业银行网上支付系统各自为政，企业及个人客户资信零散不全，有关信息资源不能共享，其整体优势没有显现出来。而海关、税务、交通等电子支付相关部门的网络化水平未能与银行网络化配套，制约了网上银行业务的发展。最后，安全性有待加强。许多商业银行都曾遭遇假冒网站的“袭击”，然而这仅仅是银行网络平台的问题，更为复杂的网上支付、电子转账等网上银行服务项目的安全漏洞，在电子商务浪潮下也显得尤为凸出。2004年12月8日，内蒙古呼和浩特市一市民向某媒体投诉说，他在登陆中国银行的网站后，卡里的2.5万元就莫名其妙地不见了。而调查结果显示，他登陆的这一网站是一个假的中国银行网站，与真的中国银行网站相比，几乎能以假乱真，行标、栏目、新闻、地址，样样齐全。随后，假银联、假银行的网站也纷纷被发现，各商业银行也开始疲于到处打假。

(二)我国网上银行的发展方向

第一，建立统一的支付网络体系，解决跨行结算体系。我国国有银行资金平衡能力脆弱，超负荷经营态势严重，直接制约了银行内控机制的建立和资产负债比例管理的实施，而这一问题的症结，在于银行系统内不同行之间结算资金和资金收付而引起的债权债务的清算方式，为了彻底改革这科，传统的联行业务体制，必须尽快建立资金汇划清算系统的高速公路，而建立这种支付网关，需要选择与各商业银行既紧密联系又权威性、公正性，又可按市场化运作的第三方机构进行建设，可由中国人民银行牵头，建立会员制机构。

第二，建立健全自身的网络安全系统。随着网上银行业务发展，必然出现很多金融业务创新，也必将涉及到现行金融管理体制和政策的空白点或。同时计算机及计算机网络系统极易遭受黑客和病毒的袭击，内部技术和操作故障都难以避免。因此，银行应尽快建立计算机网络的安全体系，不仅包括防范计算机犯罪、防病毒、防黑客，还应包括各类电脑识别系统的防护系统。以及防止自然灾害恶意侵入，人为破坏，金融诈骗等各类因素。

篇7

Online bank is the one of the most Influential finaneial innovation of the 20th Century. Although the online bank has a good foreground, the problem about transaction security is always restricting the development of online bank. With the diversification of financial crime on net-work and the ubiquitous disadvantages of current transaction security, the matters about security has become the bottleneck of the online bank development. After analyzing the development of international online bank, this thsis considers that ocerall planning should be ensured on the basis of prudence,the internal and external should work together to strengthen the risk control and management of online bank.We should fradually empolder the online bank in depth based on the traditional bank,meanwhile increase the force of technical defendance and off-site supervision,build up internet0-bank risk supervision system,finally,we should consummate the correlative law or regulation,protect the security of online bank transaction roundly.

KEYWORDS：online bank、transaction security、crime

正文目录

第一章引言 4

第一节网上银行概念及特点 4

一、概念 4

二、特点 4

第二节我国网上银行现状 6

一、我国商业银行网上业务的发展情况 6

二、我国网上银行发展的特点 8

三、我国网上银行发展的趋势 9

第二章我国网上银行目前存在的问题及风险 10

第一节战略风险问题 10

第二节网络安全风险问题 10

一、黑客入侵风险。 10

二、病毒破坏风险。 11

三、内部欺诈风险。 11

四、其他不确定因素造成的风险。 11

第三节管理风险问题 11

一、管理思想不能满足网上银行业务发展的需要 11

二、现有的管理经验和规章制度不能满足发展网上银行业务的需要 12

三、管理人才短缺，难以满足网络银行发展的需要 12

第四节技术风险问题 12

第五节操作风险问题 12

第六节数据认证不完善 13

第七节法律风险问题 13

第八节金融监管风险问题 14

一、是对金融监管当局带来的风险 14

二、对货币政策产生的影响 14

三、对资本管制的影响 15

第三章网上银行交易流程 16

第一节网上银行的物理结构 16

第二节初次使用网银的数据走向 16

第三节身份认证的数据流程 17

第四章网上银行各种身份认证方式 20

第一节传统认证方式 20

一、口令+ID 20

二、IC卡 20

第二节现行认证方式 20

一、动态口令 20

二、生物特征 24

三、基于PKI的USBKey 24

四、综上所述而产生的指纹KEY 26

第五章国内外各大银行网银研究分析 27

第一节国内银行 27

一、中国建设银行 27

二、中国农业银行 27

三、中国工商银行 28

第二节国外银行 28

一、国际优秀网上银行安全控制——Wells Fargo 28

二、风险控制机制快速发展——Entrium DirectBankers 29

第六章加强我国网上银行交易安全管理的建议 30

第一节整合各银行系统，建立网上银行安全中心 30

一、解决网址域名混乱 30

二、避免资源浪费 30

三、统一数字证书 31

第二节在传统银行基础上逐步进行网上银行的深度开发 31

一、根据我国国情，继续发展依附式网上银行 31

二、险分散化，保障客户权益 32

第三节加强非现场监管，建立网上银行风险监管体系 32

第四节加大技术防范力度 33

第五节进一步完善网上银行安全的法律法规 33

第七章总结 34

参考文献 35

致　谢 36

第一章引言

第一节网上银行概念及特点

一、概念

有关网上银行的最早的定义是1998年巴塞尔银行监管委员会(BCBs)的定义 :网上银行那些通过电子通道提供零售与小额产品和服务的银行。之后1999年欧洲银行标准委员会(ECBS)和美国货币监理署(OCc)在这个定义的基础上将电子通道分别改为数字设备连接上网和电脑/智能化装置;2000年美联储(FRS)和英国金融服务局(FSA)将通道方式分别改为互联网和网络或电子手段，并提出网上银行不仅提品和服务，还应为客户提供信息;在我国香港金管局于2000年5月的对网上银行最新定义中，基本认同上述定义，但特别指出网上银行不包括利用互联网或其他电子方式作为向客户提品或服务的另一个途径的现有持牌银行。根据中国银行业监督管理委员会2006年1月26日施行的《电子银行业务管理办法》的规定，网上银行是指利用计算机和互联网开展的银行业务。我国对网上银行的定义时间最近，也最符合我国当前实际.

根据交易对象的不同，网上银行可以分为企业网上银行和个人网上银行，企业网上银行和个人网上银行在应用模式上基本类似，但在应用条件、业务功能上还存在许多不同的地方。根据业务发生地的不同，可以分为国内业务、国外业务和离岸业务等。

二、特点

1．突破时空限制的银行

“三A”特征是网上银行的基本特点，即网上银行是全天候运作的银行（Anytime）、开放的银行（Anywhere）、服务方式多样化的银行（Anyhow），银行的服务突破了时间和空间的限制，突破了服务手段的限制。全天候运作的银行（Anytime），即无时限银行，突破了时间的限制。由于因特网不分昼夜每天24小时动转，网上银行服务不受时间因素的制约，可以全天候地连续进行，摆脱了上下班的时间制约，摆脱了白天和黑夜的时间制约，也摆脱了全球时区划分的限制。开放的银行（Anywhere），即全球化银行，突破了空间限制。由于因特网把整个世界变成了“地球村”，地域距离变得无关紧要，导致网上银行不受空间因素的制约，大大加快了银行全球化的进程，金融市场的相互依存性也就空前加强了。服务方式多样化的银行（Anyhow），客户将不需要非要到银行柜台才能办理业务，而是可以通过家中、办公室、宾馆的电脑终端享受查询、转账、证券交易等银行服务，还可以通过电话、手机等方式享受银行服务。客户不仅可以通过网上银行获得银行服务，还可以通过网上银3行享受证券、保险、信托等方面的服务。

2．虚拟化银行

虚拟化银行，即可以在虚拟世界中进行活动的银行活动。因特网在把地球变小的同时又为经济活动构筑了一个虚拟世界，即网络空间，使网络经济得以在网上网下虚实结合、同时并存、相互促进。与其他行业相比，金融产品的交易以虚拟资本为交易对象，不是实物的交换，这就使得金融与构筑虚拟活动空间的信息网络具有天然的结合基础，使得银行服务无纸化程度大大增强，服务效率大大提高。虚拟化特征还使人们业已形成的对银行的概念受到全面冲击。银行不一定再以高楼大厦的形态出现，客户面对的将可能不是银行柜台，而是计算机屏幕上显示的虚拟银行柜台。银行无须再为扩张分支行网络而投入大量购置或租用办公场地的资金，也无须为刻意树立银行形象而建造或租用雄伟的办公大楼。

3．速度型银行

速度型银行，即高效率银行。因特网以光速传输信息，信息流动空前加快，反映技术变化的“网络年”只相当于日历年的四分之一，实时信息变得日益重要。以计算机芯片为例，其发展速度遵循罗尔定律，即每18个月处理速度增加一位。当世界上第一批个人电脑在1979年问世时，其芯片处理速度为每秒钟33万个字符，三年后诞生的因特尔286芯片每秒种能处理120万个字符。现在，芯片的处理速度要用“mips”（每秒百万个字符）表示。目前，最新奔腾处理每秒的处理速度已超过500mips。因特网使银行服务活动的节奏大大加快，一步落后就会步步落后。产品老化变快，创新周期在缩短，竞争越来越成为时间的竞争。“大吃小”将变成“快吃慢”，银行不论大小，转型快的必将战胜转型慢的。大、中、小银行将站在同一起跑线上竞争，许多金融机构将有机会利用其优秀的服务在网络上重建自己的地位，中小银行中凭借技术优势掌握商业先机，赢得传统金融服务时代难以得到的客户资源和竞争优势。

4．创新型银行

创新型银行，即技术创新与制度创新、产品创新紧密结合的银行。随着网络技术的不断更新，市场对银行提供的服务手段和提品的功能要求也会随之不断提高，这就要求银行要不断地进行创新，通过创新建立竞争优势，维持银行的持续发展。

5．全方位服务的银行

网上银行具有很强的交互性。通过银行传统营业网点销售保险、证券、基金等金融产品很难成功，因为客户在购买这类产品时往往要进行详细的咨询和了解，而一般营业网点的业务人员不能为客户提供咨询，聘请金融专家提供咨询又成本过高。利用互联网的交互性，银行只需要少数专业职员就可以低成本地同时回答各类客户的疑问，从而顺利地实施分销。从西方发达国家国际银行提供的网上银行服务看，网上银行已经成为“一站式服务”的金融超市，客户不仅可以得到各种银行服务，而且可以在网上银行的平台上进行各类证券投资，购买不同的保险产品，甚至可以获得其他行业的交易信息。6．个性化银行相对于传统银行，网上银行的客户散布于不同的终端之前，传统的大众营销方式，已不适合新的客户结构。在网上银行的竞争环境中，如何根据客户的实际需要，为客户提供个性化的服务，是网上银行竞争成败的关键所在。借助网上银行完善的交易记录，银行可以对客户的交易行为进行分析和数据挖掘，从中发现重要的价值客户。通过对客户行为偏好的分析，细分服务市场，利用互联网交互性的特点，投其所好的营销策略和服务内容，对产品进行金融创新，从而为客户提供量身定制的服务。

第二节我国网上银行现状

据《2008中国网上银行调查报告》显示：中国网上银行总体发展继续保持快速增长的势头，用户量及交易量同期高速增长。此外，网上银行对于传统柜台业务的替代性也进一步提升。全国范围内，个人网银用户比例为19.9%。在10个经济发达城市中，2008年使用个人网上银行的用户比例达到44.9%，比2007年高出7.1%。而在企业用户市场，这一趋势则更为明显：2008年全国企业网银用户的比例达到42.8%；在2008年10个经济发达城市调查结果中，使用企业网上银行的用户比例继续增长，比2007年增长了10.3个百分点。从不同规模企业网银用户总体发展情况看，企业规模越大，使用网银的比例越高。

一、我国商业银行网上业务的发展情况

我国网上银行的发展始于1997年,招商银行率先推出网上银行,接着中国工商银行,抛出自己的电子钱包,随后,中国建设银行、交通银行、中国银行、中国农业银行等国内银行老字号也不断地完成各自的“E”化之路,一些中小商业银行,如中信实业银行、中国民生银行等也纷纷开通网上支付业务。

中国工商银行是我国规模最大、客户数量最多、网点覆盖面最广的一家“国”字号老银行，工商银行在近几年的改革发展中取得了不菲的业绩，同样在网上银行的领域也处于全国同业的领先地位。下面以中国工商银行为例，来了解一下我国网上银行发展的基本情况。

中国工商银行网上银行从2000年2月开始正式运营,它是中国工商银行的网上分支机构,自开通网上银行业务以来,先后推出了企业网上银行、个人网上银行、B To B和B To C网上支付业务。2000年2月,北京、上海、天津、广州4个城市试点开通网上银行,至今,中国工商银行电子银行业务已经覆盖全国并逐步迈向世界，业务功能也从早期的信息、业务咨询、投拆处理和简单交易发展到几乎囊括银行业务的各个方面。2000年2月1日,北京、上海、天津、广州4个城市试点企业网上银行,除信息、账户信息查询、转账支付等基本功能外,还在国内率先推出了集团理财等创新功能。2000年8月28日,在中国工商银行北京、浙江分行试点个人网上银行业务,主要功能包括信息、账户信息查询、转账支付、B To C在线支付等功能。2000年12月7日,中国工商银行网上银行在全国范围内全面开通。2001年6月15日,中国工商银行网上银行eBank V3.0版本成功投产。此后,网上银行版本不断升级eBank v3.3、eBank v3.4、eBank v3.5、eBank v4.0并推出了适合不同语种客户的版本如英文版、中文繁体版。2002年5月13日,中国工商银行推出电子银行“金融e通道”品牌。2002年10月10日,中国工商银行在国内率先推出网上现金管理业务“理财e站通”。2003年12月18日,中国工商银行推出集银行、投资、理财于一体,拥有个人理财、网上贷款等12项大功能、58项子功能的新版个人网上银行---“金融家”。

中国工商银行的网上银行设计思路比较清晰,它提供的服务分为企业网上银行业务和个人网上银行业务。个人网上银行包括:账务处理、外汇买卖、证券服务、个人汇款、个人贷款、缴费站、个人国债、e通卡、个人理财和客户服务等功能，提供转账、外汇交易、银证通、B股证券业务、基金业务、在线支付、账户管理、代缴费、异地汇款、个人质押贷款、个人理财等一系列服务,满足客户多方面的金融需求。

企业网上银行把企业分类为集团企业、一般企业和同业机构,并分别对它们提供不同的服务。对企业集团提供集团理财、网上购物、网上结算、贷款查询、票据业务、收费站、企业财务室、贵宾室、基金业务、国债业务、电子回单、客户服务等功能的服务。对一般企业提供账户管理以及其他类似于集团企业的功能。对同业机构则提供汇兑、代签银行汇票、企业服务等功能。

中国工商银行网上银行业务从2000年2月开始起步,从小至大,至今已有长足发展，其网上银行交易额、企业客户数和个人客户数增长迅速，见表1-1。

表1-1 中国工商银行网上银行发展情况

2000年 2001年 2002年 2003年 2004年 2005年

网上交易额 196亿元 6350亿元 53500亿元 191200亿元 335300亿元 416300亿元

企业客户数 976户 6176户 3.5万户 6.9万户 11.7万户 32.4万户

个人客户数 0 32166户 383万户 750万户 1154万户 1667万户

中国工商银行尽管中国工商银行开展网上银行业务起步较晚,但其具有独特的优势,如在全国范围开办网上银行,业务发展的空间大,潜在客户群体多,加上中国工商银行原有的电子化9网络平台较为完善,功能较强,具有良好的开发能力,持续发展潜力大。同时,中国工商银行经过几次升级之后,功能已经日趋完善,正朝着最先进的网上银行方向发展。2002年中国工商银行网上银行被美国《环球金融》评为“中国最佳企业网上银行”，其网站被英国《银行家》杂志评为2002年度的“全球最佳银行网站”,这是发展中国家也是国内商业银行的网站首次在国际上获此殊荣。在美国《环球金融》杂志举办的2003年度“最佳网上银行”评选活动中,中国工商银行被评为“中国最佳个人网上银行”。

二、我国网上银行发展的特点

我国的网上银行虽然起步较晚,但发展很快,并从一开始就呈现出一些特点：

第一，网上银行模式都是传统银行与网上银行结合的产物,其业务基本依赖于传统银行,尚无纯网上银行。

第二，许多银行尚处于发展网上银行业务的初期,利用的是非银行专有的域名或网站,至今仍有一些银行将其产品和服务的广告宣传放在其他网站之中。

第三，业务方式演变迅速。我国商业银行网站几乎一开始就进入了动态、交互式信息检索阶段,而且主要的商业银行在这一阶段停留的时间也很短,很快就进入了在线业务信息查询阶段,并与电子商务的发展紧密结合,迅速完成了从一般网站向网上银行的转变。

在业务方面，我国的网上银行的服务内容主要有：（1）信息服务、主要包括新闻资讯、银行内部信息及业务介绍、银行分支机构导航、外汇牌价、存贷款利率等，一些银行（如中国工商银行）目前还提供一些特别的信息服务，如股票指数、基金净值等。（2）个人银行服务，主要包括帐户查询、帐户管理、存折和银行卡挂失、缴费等，中国工商银行和中国银行还提供外汇买卖服务，中国银行提供个人电子汇款服务，中国建设银行提供小额抵押贷款和国债买卖服务。开设第三方转账业务的网上银行只有一家：深圳发展银行。（3）企业银行服务，主要包括帐户查询、企业内部资金转账、对帐、缴费等。除此之外，中国工商银行还提供同城结算和异地汇款服务，中国银行提供国际

结算服务。（4）银证转账，银行存款与证券公司保证金之间的实时资金转移，部分银行（如中国银行）已开始提供相关信息的查询；有一些网上银行，如招商银行北京分行、深圳分行等已经推出网上证券交易委托平台，以便其客户可以直接在其网站上从事股票买卖、查询和投资管理等。（5）网上支付，包括B To C和B To B，大部分网上银行提供前者。这种服务一般与网上商城相结合，一些银行设定了一些网上商城的链接，但还没有一家银行直接从事网上一般商业活动。支付方式有三种：银行卡直接支付、专用支付卡支付（招商银行）和电子钱包（中国工商银行）。

从总体上看，我国网上银行业务纵深和宽度还有限，尚无一家开展网上存款、贷款，账单收付，非金融品销售等业务，与国外同行相比差距较为明显。总之，我国网上银行建设尚处于起步阶段，面对广阔的市场孕育着巨大的发展潜力和发展空间。

三、我国网上银行发展的趋势

随着经济全球化与金融自由化，金融混业经营成为一种不可逆转的趋势，我国金融业的整体格局也会因此发生变动。在此背景下，以商业银行为主的各金融机构开始计划和实施行业间的初步合作，对因特网的利用和客户资源共享是其中比较重要的两个方面。

在由个体金融机构延伸出来的诸多渠道当中，网络与其他渠道存在着冲突和竞争，因而会发生网络对旧渠道业务的侵夺和新增业务的分享。不同金融机构有着不同的客户基础，在需求总量不变的情况下，客户基础的规模此消彼长，就个体金融机构而言，实际上是与外部机构的渠道之争的结果。内部的渠道争夺是由业务结构失衡造成的，直接的结果就是内部资源的浪费、总体成本的上升和行业竞争力的下降。减缓或避免上述矛盾的途径称为渠道的整合，即从渠道冲突到渠道协同。整合意味着内外部生产要素的重新配置，产业格局的调整，新的业务流程和管理模式的产生；协同则意味着资源的共享和效率的提升。这是网络经济推动下传统产业应有的主流思维。达到协同的方式可能是资本层面的并购活动，也可能是松散的外部合作，在二者之间有一种折中的方式称为网上金融门户。

第二章我国网上银行目前存在的问题及风险

由于银行是资金高度集中的场所，而且网上资金划拨不需要进行实物交割，所以一旦犯罪份子成功窃取金融企业或客户的资金，后果十分严重，其数额往往是传统犯罪的数十倍。有资料显示，全球每年因网络犯罪被直接盗走的资金达20多亿美元，美国因交易安全问题所造成的损失平均每件案件高达45万美元，大大高于传统的银行欺诈案。在我国，因交易安全问题给银行带来的损失也十分巨大。据统计，仅1997、1998两年，四家国有商业银行就发生计算机犯罪案件共140余起，涉及人员160多人，涉案金额1.6亿多元，造成巨大经济损失。近年来我国金融业计算机犯罪案平均金额都在几十万元以上，个别的为数百万元，最大一起犯罪案件造成的经济损失高达人民币2100万元。而且相关研究表明，因交易安全问题所带来的损失还呈逐年上升之势。中国人民银行1999年6号文件《关于采取有效措施防范金融领域计算机犯罪的通知》指出近年此类问题以每年30%的速度递增，在上海召开的“金融犯罪防治与反洗钱政策”研讨会上与会代表指出我国银行卡犯罪也在迅猛增长，中国外卡偷换欺诈率为0.038%，大大高于亚太地区0.010%的比率。因此我国网上银行的交易安全问题不可小觑，主要存在以下问题:

第一节战略风险问题

战略风险是指由于业务决策不力、决策的不恰当实施或对行业变化缺乏响应而对网上银行所造成的风险。我国的战略风险问题受组织战略目标的一致性、为实现这些目标而制定的业务战略、为实现目标而利用的资源、实施质量等诸多因素的影响。为实现业务战略而必需的资源包括有形资源和无形资源，其中包括通讯渠道、操作系统、传送网络、管理上的能力和才能。必须对照经济、技术、竞争、立法和其他环境变化的影响来评估资源的有效利用，进而评价战略风险。

第二节网络安全风险问题

网络安全风险是指由于网络防范不严密或应用系统设计有缺陷，遭到非法入侵及其他不确定性因素影响对网上银行所造成的风险。

一、黑客入侵风险。

网上银行是建立在开放网络上的，由于网络的开放性和应用系统设计可能存在缺陷，一旦被黑客利用，将直接危害系统的安全，商业机密被窃取，用户的银行资料泄密，甚至银行的资金遭受损失。因此，网络安全就成为事关银行生死的头等大事。

二、病毒破坏风险。

由于网络防范不严，计算机病毒通过网上银行入侵到银行主机系统，从而造成数据丢失等严重后果。同时，来自网上银行系统外部的正常客户或非法入侵者在与网上银行的业务交往中，也可能将各种电脑病毒带入网上银行的电脑系统，造成主机或软件的失灵，使得网上银行面临瘫痪的风险。

三、内部欺诈风险。

网上银行不仅容易受到来自因特网外部的黑客攻击，也会因为网上银行内部职员的欺诈行为而承担操作风险。例如，商业银行内部的某些职员利用他们的职业优势，有目的地获取客户的账户资料进行各种风险投资，如炒卖股票、外汇和期权等，将交易风险直接转嫁到客户身上。也可能直接偷窃电子货币，让客户蒙受损失或者制造各种假的电子货币从网上银行获取利益。因此，内部欺诈风险也是网上银行风险的基本内容之一。

四、其他不确定因素造成的风险。

网上银行的计算机系统停机、磁盘列阵破坏等不确定性因素，也会形成网上银行的风险。同时，往往由于网络某一局部的破坏可能导致整个网络的瘫痪，同样形成网上银行的风险。所有这些风险对我国网上银行都将形成灾难性的影响，不仅网上银行的原有客户会流失，而且由于网络传播的快捷、广泛，可能引发整个银行的流动性危机。根据对发达国家不同行业的调查，计算机系统停机等因素对不同行业造成的损失各不相同。由此也可以看出，发达国家零售业和金融业的经营服务已在相当程度上依赖于网络通讯系统的运行。网络通讯系统的平稳、可靠和安全的运行，成为网上银行系统安全的重要保障。网上银行的系统风险不仅会给我国商业银行带来直接的经济损失，而且会影响到商业银行的企业形象和客户对银行的信任程度。

第三节管理风险问题

管理风险是指网上银行的管理现状与管理水平与网上银行业务快速发展的状况不协调而造成的风险。我国的商业银行体系相对年轻，如以《中华人民共和国商业银行法》的颁布实施为标志，商业银行体系形成不到十年，真正的商业银行运行机制尚处于发育和完善阶段，并未真正形成。这使得我国商业银行发展网上金融服务出现三个不协调：

一、管理思想不能满足网上银行业务发展的需要

网上银行的发展将进一步加速银行业务处理集中化的趋势，银行业务的运作和管理随着网上银行的发展必须进行改变和重组。然而，我国的商业银行，包括已经开办网上业务的银行，管理思维仍局限于传统的管理方法，许多银行仍在努力增设新的营业网点。在新的竞争形势下，商业银行，尤其是老国有商业银行庞大的营业网点将成为业务发展的沉重包袱。

二、现有的管理经验和规章制度不能满足发展网上银行业务的需要

网上银行业务首先是建立在现有传统银行业务的基础之上的，从我国银行的发展现状看，内部控制机制不健全，缺乏一套成熟的风险管理和控制机制，这就很难保证对网上银行业务风险能进行有效的控制。

三、管理人才短缺，难以满足网络银行发展的需要

这是前面两个不协调的自然结果。在管理人才尚不能满足现有业务风险管理和控制需要的情况下，如果不能统筹规划，网上银行业务的过快发展可能会降低现有业务的经营质量，甚至导致我国网上银行的经营风险。

第四节技术风险问题

技术风险是指网上银行由于技术采用不当，或所采用的技术相对落后而带来安全技术隐患造成的风险。网上银行业务的高技术性、无纸化和瞬间性的特点，决定了其在经营中会面临技术风险。它是网上银行风险的核心内容，也是我国各金融机构和广大客户最为关注的问题，这一问题如果不能有效地解决，必然会造成损失，影响信用。

第五节操作风险问题

操作风险指来源于系统可靠性、稳定性和安全性的重大缺陷而导致的风险。操作风险可能来自网上银行客户的疏忽，也可能来自网上银行安全系统和其产品的设计缺陷及操作失误。

我国网上银行的操作风险问题主要涉及网上银行账户的授权使用、网上银行的风险管理系统、网上银行与其他银行和客户间的信息交流、真假电子货币的识别等。目前，我国网上银行对进入银行账户的授权管理变得日益复杂起来，这一方面是由于计算机的处理能力得到日益增强，另一方面原因是客户的地理空间位置变得更加分散，也可能是由于采用多种通讯手段等因素造成的。对于电子货币而言，网络安全系统的缺陷会让客户误为网上银行实施了欺诈行为。对于其他电子银行业务，如没有经过明确授权使用账户可能导致客户有直接的经济损失，加大了网上银行对客户的责任。

银行职员对业务的漫不经心，也有可能导致网上银行严重的操作风险，从而危及网上银行的总体安全。像在传统银行业务中那样，客户的疏忽也是操作风险的另外一个来源。网上银行可能会因为客户欠缺网络安全方面的知识而面临相当高的操作风险。例如，客户在某些没有安全防护措施的场合使用私人信息，如身份证鉴定、信用卡号、银行账号等，容易被他人窃取而导致账户泄密，使客户和银行双方都蒙受损失。此外，如果商业银行职员和客户不能够充分理解网上银行采用的不断更新的软件，进行误操作也会给银行或客户自身带来操作风险。

第六节数据认证不完善

数据在储存及传输过程中，网上银行通过各种技术手段来保证数据的保密性、完整性和可用性。为防止犯罪分子通过旁路系统威胁数据安全，如物理地取走数据库，在通讯线路上窃听，对数据进行加密是网上银行最通常的做法。数据加密是指通由形形的加密算法来具体实施，据不完全统计，到目前为止已经公开发表的各种加密算法多达数百种。通过加密将明文转变为密文密钥，即以加密格式存储和传输敏感数据。加密算法的输入信息为明文，即原始的或未加密的数据;加密算法的输出信息为密文，即加密后的格式，其中，密文为信息的传输形式。然而，CheckPoint软件技术有限公司区域试验室的高级网络安全分析专家Jonorbeton警告说，如今黑客采用的嗅探器越来越完善，能够截获SSL和SSL交易信号，窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取，但加密标准却存在数个漏洞，黑客只要拥有适当工具，就能够通过漏洞窃取敏感数据和信息。

尽管可以通过对数据认证来保证数据来源和数据的完整性，但我国的网上银行安全认证由于建设时间很短，加之安全认证问题涉及众多部门，存在着诸多问题，如网上银行安全认证无权威管理部门，认证机构建设呈现无序状态;网上银行安全认证标准不统一，无法跨行认证等。

第七节法律风险问题

法律风险是指违反、不遵从或无法遵从法律、法规、规章、惯例或伦理标准而给网上银行所造成的风险。在我国由于对银行经营或客户行为的法律或法规不明确，往往会产生法律风险。法律风险使我国金融机构面临着罚款、赔偿和合同失效的风险。法律风险将导致信誉的贬低、免赔限额的降低、业务机会的受限制、拓展潜力的降低以及缺乏合同的可实施性等等。

例如：从银行客户的角度看，网上银行使用的通讯系统就是网上银行的系统，它们是不可分的。就网上银行服务而言，客户只与网上银行之间存在合同关系，而与通讯系统经营者并无契约上的法律关系。从网上银行的角度看，网上银行服务是建立在通讯系统上的，银行也是通讯系统经营者的用户。经营者对所有用户都承担经营者的义务，通讯系统与网上银行服务有联系，因而也要承担相应的法律责任。但是，他们的法律地位究竟怎么确定，应承担什么样的法律责任，在现行法律中还难以找到依据。一旦出现纠纷，银行的法律责任难以说清楚。

网上银行也可能因为使用电子货币提供虚拟金融服务业务而涉及到客户隐私权的保护问题。一旦出现客户隐私权问题，在被告知其权利义务的情况下，客户可能会对网上银行提出诉讼。网上银行在自己的网页上建立与重要客户的链接侵入网上银行客户的网页，那么，客户很可能因此而对网上银行提出司法诉讼。而目前法律对网络运行和业务操作过程中出现的消费者权益保护和隐私权保护问题都没有做出相应规定，从而使网上银行面临着相当大的法律风险。

第八节金融监管风险问题

金融监管风险是指由于网上银行的发展及产生的各种风险使得金融监管复杂化，从而产生的金融监管当局的监管实效的风险。

一、是对金融监管当局带来的风险

网上银行主要通过大量无纸化操作进行交易，不仅无凭证可查，而且一般都设有密码，使我国监管当局（中国银监会）无法收集到相关资料作进一步的稽核审查。同时，许多金融交易在网上进行，其电子记录可以不留任何痕迹地加以修改，使确认该交易的过程复杂化。使得我国监管当局对银行业务难以核查，造成监管数据不能准确反映银行实际经营情况，即一致性遭到破坏。在网络金融条件下，监管当局原有的对传统银行注册管理的标准也许难以实施，网上银行的申请者可以注册一家银行，但是他可以通过多个终端，获得多家银行业务或多家银行分行网络的服务效果。因此，我国监管当局不仅需要参照传统银行的监管标准，进行一般的风险监管，而且还要根据虚拟银行的特殊性进行技术性安全与管理安全的监管，即保证网络交易双方的身份、交易资料和交易过程是安全的；支付系统提供服务的网络主机系统和数据库是安全的，并且要对跨行金融数据流和网上银行网站上提供的各种网络金融服务广告进行监管等。

二、对货币政策产生的影响

网上银行可以发行电子货币，由于电子货币发行及其运作相当于货币创造，将对实现货币政策目标造成主要干扰。目前，在我国由于技术本身和配送渠道等电子商务发展的限制，电子货币的使用还不是十分方便，一定程度上限制了电子货币的大规模发行，还不能对货币政策构成显著影响。但是，如果国家对电子货币发行不加以规范，对电子货币使用未能有效监管，对网上银行的市场退出机制不加以完善的话，随着网络技术普及和完善，电子货币的发行量大量增长，完全有可能对国内的货币供应造成重大冲击，影响货币政策的实施。

三、对资本管制的影响

在资本管制条件下，我国的监管当局还面临逃避管制的风险。比如，当携带货币的出入境受到管制时，可以通过网络支付和提款渠道达到不受限制目的。又比如，网上银行的兴起，又会进一步形成离岸的管制货币自由兑换市场和投机套现市场，使资本管制受到严重挑战。此外，跨国金融机构可以逃避在国内的经营管制，通过网上银行实现异地、境外吸收存款和支付、结算功能等。所有这些都会使我国的资本管制出现漏洞，资本管制手段将丧失意义。

第三章网上银行交易流程

第一节网上银行的物理结构

网上银行的物理结构由用户系统、网站、网银中心、业务数据中心、银行柜台和CA中心等组成，见图3-1:

第二节初次使用网银的数据走向

客户方面数据走向：银行柜台办理开户业务，网上银行开户申请，客户下载私钥、证书的认证介质以及认证介质的初初始访问密码，下载相关软件并安装，自行修改银行提供的认认介质初始密码，登入使用网上银行系统。

银行方面数据走向：网上银行，将客户的个人资料和选择需要及网上交易的账号存储到银行后台业务系统主机数据库，网上银行系统产生两对密钥，银行只保留公钥，CA将公钥和个人信息用CA的私钥进行签名，形成证书CA和网银中心都保存该证书，建立用户系统，负责用户与网站和网银中心的通讯、数据加解密、交易数据的数字签名和认证介质密码修改等工作，在数据库中更新保存客户信息。

如图3-2所示：

第三节身份认证的数据流程

在使用网上银行系统时，身份认证是第一步，也是最重要的一步。身份认证用于鉴定使用者的身份，起到保护账户安全的作用，其处理过程为:

第一步:鉴别IC卡的使用者身份

用户登陆时，输入认证介质的访问密码，以IC卡为例，用户系统将输入的密码以指令形式转送入IC卡，IC卡将这个密码与卡内的密码信息进行比较，如果相同，则认为用户是合法的IC卡访问者，否则拒绝用户访问。

第二步:用户数字签名

认证介质访问成功后，银行需要确认用户的身份。用户将一串明文信息传送至IC卡，IC卡用私钥对明文进行签名，并将明文和签名结果通过用户系统保密的传送到银行端的交易服务器。我们注意到数字签名在IC卡内进行，而不是在用户系统实现，这是因为如果在用户系统进行数字签名，那么私钥将不可避免的在用户系统的内存出现，可能导致私钥被窃取。事实上在整个网上银行交易过程中，私钥始终保存在IC卡内，与私钥有关的运算也始终在IC卡内进行。

第三步:银行端验证签名

银行端的交易服务系统收到用户发送来的明文和签名信息后，先检测用户的证书是否合法和有效(证书库是否存在该证书，黑名单是否有该证书的信息)，如果该用户证书合法并且有效，银行端从用户证书取出公钥对签名信息进行解密(此项工作可以在加密机完成)，将结果与明文比较，如果相等则认为该用户合法，用户验证完成。

第四章网上银行各种身份认证方式

第一节传统认证方式

一、口令+ID

基于口令的身份认证机制具有易于实现和操作简单等特点．被广为使用。传统的静态口令机制采用用户名/口令核对法：即系统为每个用户维护一个(用户ID，口令)二元组信息，用户登录系统时．输入自己的用户ID和口令．系统通过比对用户输入的(用户ID，口令)与系统内维护的(用户ID，口令)二元组信息，来判断用户身份的合法性。

这种方式实现和操作都很简单，但其安全性仅依赖于用户口令的保密性，一旦用户口令泄密，合法用户就会被冒充。用户口令的泄密存在主、客观两方面的原因：主观方面．用户为方便记忆往往采用短口令或者生日、姓名、电话号码等作为口令．并且常会出现用户对口令管理不善(如随手写下口令造成口令泄露)的问题；客观方面，攻击者可采用多种攻击手段以获得用户口令，常用的攻击手段有穷举尝试、字典攻击、网络窃昕、重放攻击等。

二、IC卡

是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。IC卡由专门的设备生产，是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。简单易行,但容易被驻留内存的木马或网络监听等黑客技术窃取。

第二节现行认证方式

一、动态口令

动态口令机制是为了解决静态口令的不安全问题而提出的，基本思想是用动态口令代替静态口令．其基本原理是：在客户端登录过程中，基于用户的秘密通行短语(Secure PassPhrase，sPP)加入不确定因素，对SPP和不确定因素进行变换(如使用MD5信息摘录)，所得的结果作为认证数据(即动态口令)，提交给认证服务器。认证服务器接收到用户的认证数据后．以事先预定的算法去验算认证数据，从而实现对用户身份的认证。由于客户端每次生成认证数据都采用不同的不确定因素值，保证了客户端每次提交的认证数据都不相同．因此动态口令机制有效地提高了身份认证的安全性。根据口令生成时不确定因素的选择方式．动态口令机制有时问同步机制、事件同步机制和挑战／应答机制等．本文将阐述这三种常用动态口令机制，并对它们的安全性进行分析。

第一、基于时间同步的动态口令机制

基于时间同步的动态口令机制，其特点是选择单向散列函数作为认证数据的生成算法，以种子密钥和时间值作为单向散列函数的输人参数。由于时间值是不断变化的，因此散列函数运算所得的认证数据也在不断变化，保证了每次产生的认证数据不相同。基于时间同步的动态口令机制的认证过程如图4-1所示：

图4-1 基于时间同步动态口令机制的认证过程

基于时间同步动态口令机制的认证过程如下：用户输入ID(或PIN码)，客户端单向散列函数以时间和种子密钥作为参数进行计算，将计算所得的动态口令传送到认证服务器。认证服务器确认用户ID的合法性后，从服务器加密的数据库中提取该用户所对应的种子密钥，采用与客户端相同的单向散列函数计算出验证口令，若验证口令和动态口令相同则通过验证．否则不能通过验证。时间同步方式的关键在于认证服务器和客户端的时钟要保持同步，只有在两端时钟同步的情况下才能做出正确的判断。一旦发生了时钟偏移，就需进行时钟校正。

第二、基于事件同步的动态口令机制

基于事件同步的动态I=I令机制又称为Lamport方式或哈希链方式。事件同步机制是以事件(例如使用次数或序列数)作为变量。在初始化阶段选取一个口令PW和一个迭代数n，及一个单向散列函数H。计算Y=H n(PW)(Hn0表示进行n次散列运算)，把Y和n的值存储于认证服务器上。客户端计算Y’=Hn-1(PW) ，将计算结果提交给服务器。服务器则计算Z=H(Y’)，并将z值与服务器上保存的Y值进行比较。如果Z=Y，则验证成功．然后用Y 的值取代服务器上保存的Y值，同时将n的值递减1。基于事件同步的动态口令机制的认证过程如图4-2所示：

图4-2基于事件同步动态口令机制的认证过程

基于事件同步的动态口令机制易于实现，且无须特殊硬件的支持。但该方案每次进行身份认证时，客户端要进行多次Hash运算。而且由于迭代值n不断递减，当递减为0时就需要重新初始化系统。服务器的额外开销比较大。基于事件同步的动态口令机制同样存在失去同步的风险，如用户多次无目的的生成口令就会造成失步。对于事件的失步。认证服务器可采用增大偏移量的方式进行再同步，即服务器端自动向后推算一定次数的密码。

第三、基于挑战／应答的动态口令机制

基于挑战／应答(challenge／response)的动态口令机制属于异步方式。其基本原理为：选择单向散列函数或加密算法作为口令生成算法。当用户请求登录时，认证服务器产生一个挑战码(通常是随机数)发送给用户；用户端将口令(密钥)和挑战码作为单向散列函数的参数，进行散列运算，得到的结果(即应答数)作为动态口令发送给认证服务器。认证服务器用同样的单向散列函数做验算即可验证用户身份。基于挑战/应答的动态口令机制的认证过程如图3-3所示其身份认证过程为：

(1)溶户端输入用户ID等信息，向认证服务器发送连接请求。

(2)服务器检查询数据库，若是合法用户ID，则生成挑战码并传回客户端。

(3)客户端根据密钥和挑战码，执行单向散列函数运算，生成应答数并发送到服务器。

(4)服务器执行同样的算法生成应答数，并与客户端发来的应答数进行比对．得到验证结果并传回客户端。

图4-3基于挑战/应答动态口令机制的认证过程

挑战/应答机制中的不确定因素是由认证服务器产生的随机数。由于每个随机数都是惟一的，因此保证了每次产生的口令都不相同。

安全性分析：

口令机制的安全威胁主要来自于信道窃听攻击、穷举尝试和字典攻击、重放攻击、中间人攻击、口令泄露等几个方面。动态口令机制是针对静态口令的不安全性提出来的．在防御以上口令安全威胁上．比静态口令机制具有更高的安全性。

(1)信道窃听

动态口令机制能够完全抵御信道窃听攻击．因为在信道中传输的不是用户的口令而是计算得到的认证数据．攻击者无法窃听到用户的口令。并且由于在计算认证数据中使用了具有不可逆性的散列函数，因此攻击者难于从认证数据中得到用户口令。

(2)穷举尝试和字典攻击

动态口令机制中的用户口令(密钥)的安全性仍非常重要．如果用户口令过于简单，容易被攻击者通过穷举法或字典攻击获得，攻击者仍然能够实施攻击。但在动态口令机制中用户口令仅是产生动态口令的一个因素．产生动态密码时更重要的是加入了不确定因素，所以，即使攻击者通过穷举法或字典攻击得到用户口令．也因很难获得不确定因素而难于产生可用的动态口令。因此动态口令机制可以有效抵御口令猜测攻击。

(3)重放攻击

动态口令机制能够完全抵御重放攻击．因为每次用户向服务器提交的认证数据都是不同的，因此即使攻击者截获了认证数据．也无法通过重放而获得服务器的验证。

(4)中间人攻击

动态口令机制不能完全抵御中间人攻击。当用户通过网访问服务器时。位于用户与服务器之间的攻击者，可以劫持用户与服务器之间的通信：一方面假冒用户与服务器连接，另一方面假冒服务器与用户连接。

(5)口令泄露

动态口令机制能够有效防止口令泄露造成的安全问题．因为许多动态口令系统中，用户的口令不会在网络中传输。

从以上分析可见，动态口令技术能够有效地抵御大部分针对静态口令的攻击，其安全性得到明显的提高，特别是能有效地抵抗信道窃听、截取／重放、口令泄露等安全威胁。但动态口令机制仍然存在着安全问题，主要表现为基于事件同步和基于口令序列的动态口令机制不能抵御小数攻击，动态口令机制仍然是单向认证机制。并且动态口令机制还不能有效地防范系统内部人员攻击。

二、生物特征

利用人的指纹、虹膜、掌纹、声纹等天然纹理作为认证识别手段，不同的人具有不同的生物特征，几乎不可能被仿冒。因此，安全性最高，最可靠的身份认证方式，但各种相关识别技术还没有成熟，没有规模商品化，准确性和稳定性有待提高，特别是当生物特征缺失时，就可能没法利用。

三、基于PKI的USBKey

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式，很好地解决了身份认证的安全问题，并提供USB接口与现今的电脑通用。它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。USB Key内置CPU，可以实现加解密和签名的各种算法，加解密运算在USBKey内进行，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。目前，最安全的方式还是使用PKI的USBKey，所以下面重点论述一下PKI+USBKey的安全方式。

第一、什么是PKI

PKI是英文Public Key Infrastructure的缩写，中文意思就是公开密钥基础设施。它是利用公开密钥技术所构建的、解决网络安全问题的、普遍使用的一种基础设施。美国的部分学者也把提供全面安全服务的基础设施，包括软件、硬件、人和策略的集合称作PKI。PKI通过延伸到用户本地的接口，为各种应用提供安全的服务，如认证、身份识别、数字签名、加密等。PKI中最基本的元素就是数字证书。所有安全的操作主要通过证书来实现。PKI的部件主要包括签发这些证书的证书机构(CA)，登记这些证书的注册机构（RA），存储和这些证书的电子目录，以及用户终端系统。PKI中还包括证书策略，证书路径等元素以及证书的使用者。所有这些都是PKI的基本部件或元素。许多这样的基本部件和元素有机地结合在一起，就构成了PKI。

第二、PKI的组成

PKI主要由下列部分所组成：

(1)认证机构(CA)，它主要签发数字证书及管理数字证书。它是一个权威性的机构，因为由国家授权，具有法律保证。

(2)注册机构(RA)，它主要是注册申请审批机构，是CA机构的扩展。

(3)数字证书，它是PKI的核心元素。用以实现交易数据的完整性和不可否认性，即可实现数字签名。

(4)证书库和目录服务器，CA颁发的用户证书需要存储在证书库中并到目录服务器上，以供人们通过目录服务器查询公钥证书和CRL，以保证数字证书的安全。一个大规模的PKI没有证书库是无法使用的。

(5)密钥管理中心(KMC)，KMC主要负责密钥恢复审核、密钥销毁审核、密钥托管审核，以及更新密钥，保存密钥的历史档案。

(6)客户端软件，它是PKI中的一个必要组成部分。没有客户端的请求，PKI不会起到任何的作用。在网上银行系统中客户端的证书一般以USBKey为载体。

第三、PKI的核心服务

(1) 认证服务, PKI认证服务采用了数字签名这个密码技术，签名产生于以下3个方面数据的杂凑值之上：1)被认证的数据；2)用户希望发送到远程设备的请求；3)远程设备生成的随机挑战信息。第一项支持PKI的数据起源认证服务，后两项支持PKI的实体认证服务。

(2) 完整, PKI完整可以采用两种技术之一。第一种技术是数字签名，既可以提供认证(实体认证)，也可以保证被签名数据的完整性。第二种技术是消息认证码(MAC)。这项技术通常采用对称分组密码或密码杂凑函数。

(3)机密，PKI机密采用了类似于完整的机制，其处理过程如下：(1)Alice生成一个对称密钥(也许是使用她的私钥和Bob的公钥)；(2)用对称密钥加密数据；(3)将加密后的数据以及Alice的公钥或用Bob的公钥加密后的对称密钥发送给Bob。

第四、基于PKI身份认证的方法

登录网上银行首先是要确认网上身份的真实性，根据甲乙双方都具有第三方CA所签发的证书和PKI提供的认证服务（使用数字签名加密技术）来进行个人身份的认证和鉴别。认证主要是验证该证书是否是第三方CA签发的有效证书。检查证书的有效期及该证书是否已被作废而进入黑名单。双向认证过程如图4-4所示。

图4-4双向认证过程

其认证过程如下：

(1)客户经浏览器通过SSL协议访问网银服务器；

(2)网银服务器与浏览器握手之后首先要验证客户端证书，验证的过程是：网银服务器使用已置于其中的第三方CA证书的公钥来解密该客户证书的CA私钥签名。如能解密就证明该客户是合法有效的客户；然后网银服务器将该客户的证书再传送至第三方CA证书的目录服务器上，进行查询该证书的有效期和是否进入黑名单，如果黑名单中无名，也在有效期之内，则网银服务器对客户端验证通过；

(3)客户端在网银服务器对其进行验证后，也要验证网银服务器的证书；这样做可有效防止“网络钓鱼”事件和黑客冒充用户登录网银进行资金诈骗的可能性，用第三方证书机制可减少“网络钓鱼”事件的发生。目前，这种认证方式是国内外较全面的网上银行认证方法。

四、综上所述而产生的指纹KEY

基于PKI的USBKEY认证是最安全有效的，但是如果把生物特性跟USBKEY相结合又会是怎么样一个效果呢。目前，对指纹识别器，有的银行用于柜台员的身份识别，如建行、工行的柜员识别系统。但是，就是对银行的柜员身份识别，只是指纹识别器还是很不够的，其最好，最先进的办法，却是指纹KEY。即指纹识别器+USBKey。USBKey中按装数字证书，达到可以完成数字签名的功能。但目前与银行客户的使用，还有一定的距离，除非是那些高端客户。目前，使用PKI的USBKey不失为一种很好的选择。

第五章国内外各大银行网银研究分析

第一节国内银行

一、中国建设银行

我在大学一年级的时候申请了中国建设银行的网上银行业务，我先是到分行柜台申请办理，然后回家在自己的笔记本上登入建行主页进行数据填写和下载数字证书，而且这个数字证书是可以导出到U盘的，有一次我电脑系统重装之后那个证书就不在了，只有到建行柜台重新办理才能再使用银行，其实这个证书是网页证书，而不是移动证书；大概又过了一段时间，建行又推出了动态口令卡的认证方式，接着到了大三的时候建行打电话给我要我去更新网银交易方式，免费给我一个“网银顿”USB-KEY，也就是说在拥有网页证书的基础之上再加上移动证书验证，而且移动证书只能读不能写，防止了木马病毒的侵入，更加有效的建立起安全网银的机制；再到了大四，建行又加了一个安全措施，就是在进入网银页面之前有一句提示语，而这句提示语是由户主自己加进去的，进入网银之前显示的的确是户主输入的提示语那么说明该网站是官方正规网站而不是假冒的！同时建行又添加了一个安全服务叫做短信服务，只要开通了短信服务就能在交易之后发送账户信息到自己的手机上，避免他人取款未知的风险！

优点：跟农行比，不收每年的20元网银手续费，usbkey比农行的便宜，一张卡里能既存活期又存定期。跟工行比，可以进行省内异地缴费，而工行只能缴本地。跟中行比，不收每年的20元网银手续费，而且中行的使用范围很窄，建行很广，几乎所有支持网银的网站都支持建行的，而中行很多网站都不支持，且安全系数低。跟交行比，范围广，有很多网站也不支持交行的。

二、中国农业银行

本人办理农行网上业务跟办理建行时间差不多，农行的网银业务起步比建行晚，所以我去办理的时候就只是输入了一个交易密码就能使用网银，接着在与建行接轨，使用了网页证书，证书可以导出到电脑上备份，避免电脑重启的时候再去柜台办理申请！而且农行有个特色那就是可以有电子支付功能，电子支付卡是农行金穗借记卡、准贷记卡客户通过网银申请的虚拟卡号，它与金穗卡之间建立一一对应关系，并只能用于网上支付，这个功能很简单只要我拥有一张农行的金穗卡，输入卡号跟密码就能在网上付款，但是在2006年的时候被取消掉了，因为这个方法安全性太低，如果自己的卡号跟密码被人盗取之后那卡里的金钱可以一下子被转移！接着农行也使用了动态口令卡和K宝USB-KEY移动证书，使得其安全性提高到一个很好的境界！

个人认为农行的优点：

1.登录农行网站，即使没有开通网上银行，也可以登录公共系统查询余额和漫游汇款兑付。

2.省手续费。这是我这个月才发现的。

1）跨省同行转帐没有收手续费

2）网上漫游汇款也没有收手续费 3.很多基金公司网上直销可以使用农行卡直接支付，工行卡一般都不行。我没有开通农行网上的基金业务，因为需要到营业厅办理相关签约手续，所以最后选择放弃，用工行卡买基金定投。

农行的缺点： 1.很多时候登陆进去后，左边的业务项目栏都没法显示，网站系统的问题，这也是我给农行打分比较低的原因。 2.农行有电子支付卡号，免费的，用这个在支付宝付款时金额是有限制的，但是开通了网上银行就可以用证书支付，无金额限制。

三、中国工商银行

中国工商银行的网银服务是起步比较早的，也是做的最出色的银行，南北信息中心，基本认证方式也是口令卡跟U顿USB-KEY的同时使用来确保其网银账户的安全性，但是中国工商银行有自己的一个特色那就是在输入账号跟密码之前先来一个小E安全检测保证电脑环境的安全，拥有专业的研发团队，是比较信得过的网银银行！

其他银行现在已经都做到了比较高的交易安全性能，都能放心使用！

第二节国外银行

一、国际优秀网上银行安全控制——Wells Fargo

Wells Fargo的网络系统Wells Fargo被认为是美国银行业提供网上银行服务的优秀代表。从使用性能、客户信任程度、网上资源、关系协调、成本等方面，对美国、欧洲等地银行的网上银行服务进行评比，Wells Fargo是1999年度网上银行系统使用性能最好的银行。Wells Fargo的成功得益于安全的SWIFT网络系统。SWIFT网络系统一般要求操作员应有二级登录密码：一级为自身密码，一级为权限密码。权限密码为二级授权，输入、核对、发送分人管理，每一份报文发妥后，注明输入、核对、发送人员名单存入美国操作中心。SWIFT网络系统在数据处理中心、网络传输层和数据自身的安全性三个方面给予了重点考虑。一是SWIFT分别在比利时、荷兰和美国设立了数据处理中心，每个中心之间互为备份。当一个中心发生故障时，在30分钟内，另一中心就会替代它的工作。正常情况下，系统按月撤换运行内容，以保证备份机制的可操作性。二是在网络传输层的安全方面采用了三项措施，防止了任何非法用户的入侵：网络的进入点严格由数据处理中心控制；所有国际线路由SWIFT统一进行加密；用户线路的加密由用户选择，可用专线加密联接，也可用端到端的X.25加密。三是数据采用以下措施来保证自身的安全性：客户数据以加密方式存储，只有通过授权的客户和内部稽核人员才可存取；通过专用的“签到”手续(或智能卡技术)才能存取各种服务；根据双方约定的键值对交易进行加押，以保证交易数据的绝对安全。SWIFT网络系统采用128位加密。除了有严格的传输安全保障机制，网上银行系统与客户的服务器之间又加入了病毒防护层。

二、风险控制机制快速发展——Entrium DirectBankers

Entrium Direct Bankers的风险控制机制快速发展的直接网上银行(Direct Bank)的代表是德国的Entrium DirectBankers。1990年，Entrium Direct Bankers作为Queue邮购公司的一部分成立于德国，最初通过电话线路提供金融服务，1998年开辟网上银行业务系统。目前已经成为德国，乃至欧洲最大的直接银行之一。Entrium没有分支机构，依靠电话和因特网开拓市场、提供服务。首先，Entrium Direct Bankers有具体的风险控制部门。其次，网络的风险除了内部风险部门实行实时监控外，电脑操作程序的设计也具有风险控制系统，在西方国家银行的系统风险控制中发挥了重要作用，也很值得我国商业银行借鉴。外部作用机构——社会资信咨询公司在网上银行的风险控制中也功不可没。Wells Fargo和Entrium Direct Bankers取得的成功归功于几个因素：及早地开发和使用高科技，包括Internet；采用的系统和产品安全可靠；成熟的风险控制机制，值得借鉴。

第六章加强我国网上银行交易安全管理的建议

我国网上银行起步较早，发展较快，现在己进入网上银行稳定发展的新时。由于我国金融业发展背景与国外不同，而且在银行信息化建设的技术方面相关政策等方面与国外有较大差别，我网上银行的发展具有起步早、发展快、题突出和空间大的特点。针对我国经济、政策等具体情况，找出真正适合我国情的网上银行持续发展模式，进一步加强网上银行的安全发展是目前的重之重。

第一节整合各银行系统，建立网上银行安全中心

根据国家“十五”攻关课题“银行业信息化示范工程”有关负责人介绍，建设与国际接轨的现代金融体系，增强银行业综合竞争实力，就必须充分利现有资源和建设成果，通过整合已有系统，建立银行业网间互联平台，为加金融信息化建设和金融业务创新提供网络基础支撑环境。整合银行系统即是各银行之间构建一个支持多种互联网应用、安全可靠、资源共享的互联平台，相当于将各个银行自有的资源联结成一个整体的系统。现期网上银行通过各交易系统进行工作，而交易系统的整合在技术上比较容易实现。而且构建开式的交易系统，对系统功能、业务流程以及数据信息进行多层面集成，使异、分散的应用系统形成有机的整体，可以更好发挥银行系统平台的整体效能，能够很好的解决以下问题。

一、解决网址域名混乱

最早以机构区分的最高域名有7个:com(商业机构)、net(网络服务机构)、ov(政府机构)、mil(军事机构)、o嗯(非盈利性组织)、edu(教育部门)、int(国际机构)。1997年又新增7个最高级标准域名:firm(企业和公司)、Store(商业企业)、web(从事与wEB相关业务的实体)、arts(从事文化娱乐的实体)、EC(从事休闲娱乐业的实体)、info(从事信息服务业的实体)、nom(从事个活动的个体、个人信息)。在前段时间的工商银行被网络钓鱼犯罪分子利的案例中，犯罪分子所使用的假工商银行网址icbc.org.cn与真正的工商行网址icbc.com.cn极为相同，仅后缀名有所不同。如果银行系统进行整，给银行以统一的域名后缀，就可以杜绝网络钓鱼这种犯罪方式的肆虐。

二、避免资源浪费

武汉理工大学硕士论文降低成本是银行系统整合的动力。以往的银行业一直存在着“专网专用”象，尽管“同城清算”、“信贷登记咨询”、“账户管理”等系统都己经被应用，是在设计和少卜发这些应用系统时，各个银行通常只按自己设计的网络架构进互联互通，未充分考虑与其他金融业务及网络的融合。这种建设方式导致在一城市中，金融机构间存在多个网络链接，多头建设、重复建设现象普遍存。互联网出口多、安全保证滞后、缺乏标准、数据交换流程不规范、资源浪、系统可复用性差等缺陷导致新应用系统的快速研发和推广难以实现。特别在网上银行的建设中，我国网上银行的服务种类还没有分化，大多数都还只意义上的相互复制，这就使得重复开发的问题格外严重。从投入研发到市场出，往往需要一到两年，不仅投入了相当的人力和财力，还浪费了大量时间。

三、统一数字证书

许多银行由于商业利益的原因，都自建了CA中心，采用的证书有硬件证书、件证书等，无论从证书本身还是体系上都没有统一的标准。虽然中国金融认中心(CFCA)己经成立多年，但采用CFCA的数字证书的并不多，因为国家有明文规定必须采用CFCA的证书，也没有统一的标准规范证书的发放和使。这样，就造成数字证书混乱的现象。此外，各个证书之间无法互认证，用手中往往不得不持有多个证书，不仅不方便，更影响了网上银行交易的安全。种情况在美国也同样存在，在美国数字认证体系建设初期政府并不参与，采的是完全的市场化运作，使美国的很多公司开始应用自己的数字认证体系和字证书。其结果是，用户虽然有很多证书，但这些证书之间却不能通用，大增加了用户的使用成本。为改变数字证书格式不统一给社会各方带来的不便，国曾经试图建立一种平台(称为“桥CA”)，将各种数字认证体系下的密钥转成格式统一的密钥，但这项工程所需的巨大投资却无人愿意承担，最终这个法并没有实现，所以今日的美国正受到“多重信任体系”的困扰。我国数字证书认证体系起步较晚，应吸取国外的教训，建立统一标准、合布局、按区域划分认证体系单位。银行系统整合，统一颁发数字证书，就能很好的解决这个问题。

第二节在传统银行基础上逐步进行网上银行的深度开发

网上银行相对于己经有几百年发展历史的传统商业银行来说，还是一个新的事物，国内外都站在同一个起跑线上，这是我国商业银行再次发展的巨大武汉理J_大学硕士论文遇。因此，我国商业银行应好好把握这个机遇，实现传统经营理念和方式的破。针对我国的具体国情，要注意在发展模式上有所把握，既要借鉴国外网银行发展的经验教训，又不能完全的照搬硬套。

一、根据我国国情，继续发展依附式网上银行

世界上第一家网上银行是于1995年10月在美国成立的安全第一网上银行，银行的营业厅就是网页画面，银行的员工只有19人，主要的工作就是对网络维护和管理，属于纯虚拟的网上银行。同属于纯虚拟网上银行的还有FSharp网上银行、Firt-e、ZeBank等，但就目前来看，国外的银行业却被迫面对这样个现实:选择纯虚拟网上银行模式的网上银行大多以失败而告终。在损失惨后，这些银行有逐渐依附传统大金融机构的趋向，如美国第一安全网络银行加拿大皇家银行收购，依托于传统商业银行众多客户发展业务。该案例证明，上银行依托于母体，可以起到互补作用。依附式网上银行是目前国际上比较行的发展模式，也为绝大部分商业银行所采用。

国内首家推出网上银行业务的招商银行广州分行行长罗继东前不久在一个息化论坛上表示，传统银行的网络化己经是不可阻挡的趋势。而在网上银行构建和深度开发中有些问题还必须要有所考虑。西方的网上银行发展过程中经验教训表明，脱离了传统银行的纯网上银行在目前没有生存空间，网上银必须在传统的基础上逐步构造。根据我国国情，继续发展依附式网上银行应我国在未来一段时间内的发展模式。

二、险分散化，保障客户权益

在网上银行完善自身安全设施和配套措施的同时，引入其他行业介入，分风险，能够引导网上银行更加健康的发展。我国目前处理网上银行用户财产全问题均根据银行与用户签订的协议，使用户处于被动地位，对用户的正当益产生威胁。但网上银行的安全应该是政府、银行、客户和外包商等共同努的结果。在美国网上银行的风险可以得到很好地分散，根据网上银行交易风易发的三个环节分别开发险种。首先，存款有联邦存款保险公司的保障;其，有网络信息保险业务:一是“黑客保险”，二是针对网上产品、服务疏忽或行失败所引起的法律诉讼保险，三是员工忠实险。实践证明，在银行业务中入保险业，可以大大减小给客户带来的损失，而且也能够很好的对银行起到约和激励作用。

第三节加强非现场监管，建立网上银行风险监管体系

网上银行还处于一个蓬勃发展的阶段，如果我国监管当局不积极进行研究，理引导，不仅不利于银行的稳健发展，还可能会留下风险隐患。我国监管部必须采取切实措施，积极发展和合理监管我国网上银行业。网上银行的诞生银行领域的一场革命性的变革，正处于不断的发展和演化过程中，因此对网银行的监管也是一个不断发展和完善的动态过程。我国网上银行的监管尚处起步阶段，怎样进行有效监管是我国监管部门面临的重大课题，我们可以借美国和欧洲国家对网上银行监管所积累的成功经验，结合我国国情有计划、步骤地建设我国网上银行监管体系。通过非现场监管能够及时、持续监测金融机构的经营和风险状况，并能为场检查提供依据和指导，使现场检查更有针对性，从而有利于合理分配监管源，发挥现场检查的最大效力。作为银行业持续性监管的必要组成部分，中人民银行对银行业非现场监督系统的建设一直滞后于现场检查系统的建设，响了现场检查的效果。对网上银行业的监管目前正处于框架设计阶段，因此，充分总结经验教训，在开发对网上银行的现场检查系统的同时，开发对网上行业的非现场监测系统。在实际操作中，应建立并逐步健全一套自上而下的够快速适应客户需求变化、网上银行技术性变化和市场变化的风险控制部门，括风险部、合规部、稽核部和信用部等，严格规定各部门的职责，形成一个责明确、功能齐全而又紧密联系的网上银行内部风险控制组织体系，并共同成网上银行风险防范和控制的一道重要防线。

第四节加大技术防范力度

在技术层面，根据第四章的结论，我国网上银行应该重视物理安全措施、洞与“后门测试”、系统备份与恢复、内部管理控制、IDs、防火墙布控、IPSec、户端安全防护、SET、智能卡、SSL、数据加密、CA认证等风险防范措施。过自评，可以明确了解自身的薄弱处，从而有针对性的加以投入。在国外，针对交易安全问题频频发生，大力推广动态密码，从客户端杜绝全隐患是目前最为常用的方法。而在我国，仅有少数银行为用户提供动态密的保护方式，如工商银行和浦发银行，其他银行基本上还是沿用老的密码模。在信息技术飞速发展的今天，银行应积极的应对各种可能的风险，与时俱不断完善自己的安全措施，确保用户的财产安全。动态密码能够很好的控制户端的风险，而投入相对于其他技术来说偏低，银行应该大力推广这种风险范技术，不吝短期的投入，放眼于网上银行健康长远的发展。

第五节进一步完善网上银行安全的法律法规

与网上银行相关法制建设较发达的国家与地区，以及巴塞尔委员会等国际织在网上银行业务监管问题上所积累的先进经验相比，我国现行的有关监管制总体上还处于初期，很多地方还存在真空。即使是专门为处理网上银行问而出台的《暂行办法》也停留在比较概括的层次，其操作性、专业性与细致均函待加强40。并且在实践中还有许多新问题的有关法律问题需要进一步研究予以明确。因此，我国网上银行法律体系的构建还存在相当大的发展空间，当随着网上银行发展的深入而逐渐细化、丰富并予以完善。

第七章总结

通过对网上银行的了解和对交易安全的研究之后，我觉得网银交易安全的重中之重是交易认证方式。根据以上的各种交易认证方式的研究，我自己又想到了一个可行性很高的方案——基于交易确认的银行系统安全方案

目前手机作为普及的通信工具，是个人随身携带、自己专用且经常使用的通信设备，发生失窃能及时发现。而且手机号码具有一卡一号不重复的特性，手机号码可作为网银交易时客户的身份证明。如果利用手机的短信通信功能和银行的短信银行服务，由银行处理系统在客户交易时随机生成交易确认信息，通过短信系统发送给客户，再由客户输入提交的交易信息返回给银行，银行处理系统对客户提交的交易信息与原先发送给客户的交易信息进行核对，判断是否相符，利用手机号码作为客户身份证明这一特性，即可实现对客户身份的即时再确认。这种通过交易确认的方法，可动态地验证客户身份，有效解决网银的安全问题，提高网银的安全性。

【参考文献】

[1]晓辉.网络安全与技术应用[J]. Network Security Technology & Application, 2009,（1）:33-34

[2]薛岷.我国网上银行发展现状、问题及对策研究[D].东北：东北师范大学，2006

[3]顾韵华,刘素英. 动态口令身份认证机制及其安全性研究[J]. 中文核心期刊<微计算机信息> (管控一体),2007,23(11-3):51

[4]李晓峰,赵海.网上银行的身份认证与交易的安全防范[J].国家信息安全测评认证,2007(9):13-17.

[5]JosephA.DiVanna.Redefining Financial Services[J].Journal of Economic Perspectives,2005(2):22-34

[6]HenryEngler.The Future of Banking[J].American Econnomic Review,2005(2):43-56

[7]刘知贵，杨立春等.基于PKI技术的数字签名身份认证系统[J].计算机应用研究.2004,(9):158-160.

[8]张慧娜,董丽丽,闫晓慧. 基于PKI的网上银行身份认证的探究[J].计算机安全,2008,(07):62-63

[9]张进，姚志国.网络金融学[M].北京:北京大学出版社，2002.96-99

[10]柯新生.网络支付与结算[M].北京:电子工业出版社，2004.71-75

[11]王宇佳.浅析我国网络银行的安全问题及对策[D].厦门:厦门大学，2002.

[12]李涛.网络安全概论[M].北京：电子工业出版社，2004. 11-18

[13]林柏钢.网络与信息安全教程[M].北京：机械工业出版社，2004.7-12

[14]宋安平.商业银行核心竞争力研究[M].北京：中国金融出版社，2005.7-33

[15]黄宗捷.网络金融[M].北京：中国财政经济出版社，2003.77-89

[16]孙森.网络银行[M].北京：中国金融出版社，2004.44-56

篇8

现代社会，网络是工作生活必不可少的工具。网络上的信息是否安全可靠，是网民非常关心的问题。提到这个，也许很多人会想到一个名字，那就是全球最大的安全软件厂商赛门铁克。赛门铁克大中国区企业传播部经理王华告诉记者：“也许你每天上网的时候，都有赛门铁克的产品在陪伴，只是也许你本人并不知晓。”正如她所说的，赛门铁克是互联世界与黑客战斗的时代枭雄。

“信”的理念为主线

王华在接受采访时精炼地将赛门铁克的品牌精髓用一个“信”字做了表达和闸释，她说这个“信”通常便可理解为信心和信任。

信心是赛门铁克一直倡导的口号，即“互联世界，满怀信心”，其意思就是让用户对赛门铁克的产品有信心。无论是企业还是个人，如果网上银行出现问题，这都是令人感到恐惧的事情。当我们登录自己的开心网，打开Facebook或者Twitter，亦或是微博，忽然发现弹出一些莫名其妙的窗口，点击后，电脑运行突然缓慢，很明显我们可能被黑了一―我们的电脑此刻可能全部暴露于黑客的视野中，银行信息、客户资料可能由此被轻松窃取。在这一情景之下，或许赛门铁克可以提供帮助，赛门铁克一直致力于通过自己的产品消除网络世界的威胁，提升用户使用网络工具的信心。

当然，信心的激发不是无缘无故，是依靠一定的技术支持的。根据王华的介绍，赛门铁克有一张全球智能网络。在全球很多国家设立了监测站，同时还设立了一些“蜜罐”，这如同逮麻雀和老鼠用的诱饵，如果有不良攻击软件出现，这套网络系统很快就会捕捉到，同时把它搁置黑名单里面，并且会及时更新到软件数据库里面去。如果这一软件再次出现，系统就会自动屏蔽和删除它。

可见，“信”是赛门铁克产品贯穿始终的主线，也是赛门铁克的理念所在，而且这个理念也通过形象而特殊的手段表达了出来。2010年12月，借赛门铁克2010年度大中国区用户大会暨新闻会之机，由大中国区总裁、亚太及日本地区总裁和全球总裁一起书写了一个颇具中国特色的毛笔字――“信”，表达赛门铁克会给予用户信心，同时是互联网唯一值得信任的源泉之意。这个由每人几个笔画写成的大大的“信”字经由众多大众类以及行业类媒体的报道，已经开始慢慢深入人心。可王华表示，真正把赛门铁克“信”的理念传播出去，是一项并非简单的工程，其日常传播与赛门铁克大中国区所特有的三维矩阵传播战略紧密结合在一起。

三维矩阵的传播理念

王华介绍，在赛门铁克大中国区有一套颇具特色的传播系统，她将其总结为三维矩阵，从产品、地域特色、行业三个层面因地因时制宜的进行信息、媒体沟通，从而达到有效传播。王华将三维矩阵传播特色应用于赛门铁克大中国区，是从三个维度来理解赛门铁克的产品线。其产品线很广，包括安全类、存储类以及系统管理类等类型，每种类型中又有不同的产品，总体有200多种产品，而每种产品的特性又有几类，从技术角度来说是一个很庞杂的产品体系，这是第一维。同时，赛门铁克在全球40多个国家开展业务，每个国家提出的需求是不一样的。有些国家对安全类产品需求多一些，有些国家对存储类产品需要多，有些国家则对系统管理类产品的需求更多，这与每个国家的经济发展水平以及发展阶段是紧密相关的。基于这种情况，当然每个国家地区在开展业务的时候，侧重于强调的产品类型要有所差异，这是第二维。最后，赛门铁克的产品服务于众多行业，比如金融、电信、政府、制造、医疗等行业，它们对软件的需求是不同的，因此要根据行业要求来设置产品，这是第三维。

对于赛门铁克大中国的公关传播来说，立足于三个维度的宣传才能层次分明。从产品线上的种类来说，应该根据不同产品的特点设置传播的要点，突出不同产品的差异性。就国家来说，在选择媒体和强调的重点方面也是不同的，因为每个国家侧重需求的产品有差别，所以，针对不同的国家，对所有产品线的产品不能平均用力去传播。针对行业需求不同这一特点，在选择大众还是行业媒体方面更是要认真分析，在不同的行业媒体上，对产品的介绍和传播要紧扣行业的特点。

王华作为赛门铁克大中国区企业传播部经理，当然也要根据公司特色从这三个角度制作公关计划。在赛门铁克总部是按产品来分部门的，每个部门都有自己的公关经理，他们会不时地给王华一个产品的项目让其去推广。对于王华来说不会来者不拒，而是要充分考虑到各地市场的差异化，挑选一些适合本地市场的，然后再进行传播。

在王华看来，要想让用户真正了解，在传播的时候不能过多强调生涩的技术用语，而应该将其特点用生动易懂的表述给大家一个形象化的认识，唯其如此，才能真正达到传播效果。针对这一点，赛门铁克也举行了许多类似的活动，让媒体记者参与其中，用生动形象的语言或者事例去映射赛门铁克的技术或者产品。比如针对云计算这一生涩概念，他们组织参与者去寻找一切与“云”有关的东西，不但充满乐趣，而且效果明显。在大中国区三维矩阵的传播战略之下，配之以科学合理的传播平台和手段，自然可以水到渠成。

践行企业社会责任

在进行三维矩阵传播的同时，赛门铁克大中国区也将其理念带到企业社会责任的项目中去。通过这些项目，不但提升了赛门铁克的品牌形象，而且使一些固定的群体能够更好地了解其产品线和理念。

在这些项目中，有一项不得不提，那就是赶赴北京同心学校的安全上网知识普及。同心学校是北京一所纯民办的小学，属于打工子弟学校。王华说，打工子弟在如今社会上是一个容易被忽视的群体。被社会忽视，但是却引起了赛门铁克的注意，在这一背景下，赛门铁克策划了走进同心小学的项目。

篇9

关键词：移动互联网；信息安全

前言

随着物联网的发展，有线网络在支持网络连接方面已经远远落后于实际的需求。物联网要求万物互联，移动的设备与网络连接的最好方式就是无线网络。近年来，人民银行积极推动移动金融的发展，移动金融首先必须有移动网络的支持。但由于移动网络出现较晚，在技术上没有完整完善的信息安全规划，各单位在无线网络的使用方面面一直持谨慎态度，部分机构内部禁止私自使用无线网络。为了明确移动互联网存在的安全问题并探索解决方案，本文通过调研、座谈、测试等多种方式，探讨移动互联网的信息安全问题，力求为安全使用移动网络探索一条有效途径。

1基本概念

移动互联网是移动通信技术与互联网技术融合而生，其主要特征是用户在移动的过程中通过移动设备随时随地访问互联网。以移动通信作为接入网络是狭义的移动互联网，以各种无线网络作为接入网是广义的移动互联网。中国工业和信息化部电信研究院在2011年的《移动互联网白皮书》中给出：“移动互联网是以移动网络作为接入网络的互联网及服务，包括3个要素：移动终端、移动网络和应用服务。

2主要问题

与固定互联网相比，移动互联网的特征可以总结为3个方面，即移动性、私密性和融合性。移动互联网与传统互联网的不同给信息安全带来了新的问题，主要体现在如下几方面。一是如何对接入网络的地点、设备、人员进行认证；二是如何保证网络数据不被窃听；三是如何保证发生信息安全问题后的追查；四是病毒、木马等恶意代码的防范。

2.1认证问题

一是身份认证方式简单，普遍使用静态口令，安全性不够。二是数字证书的形式不够灵活，复杂的操作、较高的计算负荷不能满足移动终端快速响应的要求。三是跨域信任的问题，身份认证中广泛应用的PKI体系在移动终端应用时会产生跨域信任的问题。四是客户端应用实现存在安全风险，部分手机SIM卡采用的加密技术存在安全漏洞，网络犯罪分子可以利用这一漏洞，控制人们的手机。

2.2数据通信问题

无线电波传输的开放性和无线信号获取的便利性，使得不法分子对移动网络中的信息窃取是比较容易的。服务提供商提供了发送与接收双向服务，为合法的用户发送需求的数据，接收合法的用户的访问请求及数据提交。若缺乏相应的保密机制与技术措施，非法用户通过窃听等手段能够轻易的得到合法用户的访问权限，获取用户与服务提供商之间的交互信息，可利用这些信息伪装成合法用户获取资源，或伪装成服务提供商向用户提供恶意信息。

2.3审计问题

传统的网络安全防护措施有防火墙、入侵检测、防DDOS攻击设备等，但这些监管技术手段难以在移动互联网上应用，针对移动互联网的监控和保护措施非常缺乏。移动互联网具有跨地区、跨网段、跨平台的特点，在为人们随时随地提供便捷上网服务的同时，也存在着众多的安全弊端以及审计漏洞。

2.4病毒防范

病毒软件是危害移动互联网安全的首要问题，虽然相关机构早已开始对病毒软件开展整治工作，但病毒软件在我国依旧十分猖獗。在现阶段相关部门的调查中，我国现阶段移动互联网上大约活动着超过600种，并且增加的速度越来越明显。当前，手机病毒已经泛滥成灾，维护移动互联网安全，任重而道远。

3主要措施

移动互联网主要有两种接入方式：移动通信方式接入和企业级WLAN接入。移动通信方式主要是通过手机卡、无线上网卡等终端接入移动通信网络，如3G、4G网络，实现与互联网的连接，对信息安全的管理主要有运营商和手机厂商实现，普通用户从技术上无法干预。企业级WLAN由企业自行构建，安全体系可自行控制。因此，我们讨论移动互联网信息安全的措施与手段，主要从企业级WLAN构建的角度出发。

3.1技术架构

企业级WLAN构建方案如图1所示，主要包括无线的接入与无线的管控两方面。3.1.1无线的接入无线接入AP分为两种，在楼层的公共区域（如走廊过道顶部）安装放装型AP，均匀分布，保证信号覆盖。个别信号覆盖不到的地方，补充安装面板型AP，实现无线信号的全覆盖。3.1.2无线的管控无线的管控主要由无线接入控制交换机完成，在该设备上，通过配置接入终端的MAC地址，实现设备的准入，为配置物理信息的设备无法访问无线网络。上网管理行为系统能够将无线接入与有线接入一样，对用户的上网进行监测，对网络的流量进行控制。防火墙、防DDOS攻击设备都是通用的安全设备，当无线接入汇入有线设备后，其攻击行为能够受到安全设备的有效防范。

3.2注意事项

安全风险管理重在超前防范，在使用移动互联网时，提前学习相关风险防范措施，紧绷信息安全这根弦，是防止信息安全事件发生，保护个人隐私数据不受侵犯的有效手段。一是安全使用WiFi。（1）不要随意使用来源不明的无线网络，免费又不需密码的公共WiFi，安全风险最大；（2）在使用手机支付或者转账时，尽量使用移动网络，因为手机移动4G网络比无线WiFi安全系数高。二是注重终端安全防范。手机作为移动终端，应关闭移动共享，防止文件泄露；应安装防病毒软件，防范病毒入侵；应关闭WiFi自动连接功能，防止误入钓鱼网站，导致账户信息泄密与资金风险。三是安全使用浏览器。浏览器是互联网的入口，是用户最常使用的软件，漏洞的存在使其成为很多攻击者追寻的目标，导致一系列的安全问题。因此，在笔记本电脑或智能手机使用无线网络，应经常对浏览器进行升级，并安装一些安全控件进行加固。四是安全设置路由器。家里使用的路由器管理后台的用户名、密码，不要使用默认的用户名密码，密码最好更改为数字+字母+字符的高强度密码，同时设置的WiFi密码选择WPA2加密认证方式，防止非法用户篡改设备配置。五是防止非法外联。在办公区域使用移动互联网，应高度谨慎，防止非法外联。当移动设备接入内部网络前，可通过关闭或者禁用无线网卡来杜绝非法外联事件发生。

3.3管理措施

3.3.1建立接入审批制度建立移动互联网申请审批流程，由申请人提交申请书，由本部门负责人、保密部门负责人和科技部门负责人审批后，登记移动终端设备MAC地址，并签署保密协议，方可接入移动互联网。用户手机终端设备的变更，同样需要报备审批，便于所有上网用户的信息及时更新。3.3.2加强日常行为监测通过部署上网行为管理系统，对用户日常上网行为，设定相关策略，阻止非法操作，防止信息安全事件发生。上网行为管理具备专业的行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等功能，能够做到全网全终端统一上网行为管理，有效防止员工进行与工作无关的网络行为。提高带宽资源利用率，规避泄密和法规风险、保障内网数据安全，实现可视化管理以及全面管控无线AP。3.3.3强化操作日志审计用户访问日志的保存是相当重要的，信息安全管理规定通常要求日志保存在三个月以上。无线管控需要部署日志服务器，增加日志审计功能模块，包含Web访问审计、文件传输审计、邮件审计、用户行为审计等内容。一方面，网络管理员可以通过查询系统日志记录，随时了解本单位网络系统的运行情况，及时发现系统异常事件；另一方面，通过事后分析和丰富的报表系统，管理员可以高效地对用户群体进行有针对性的安全审计。遇到特殊安全事件和系统故障，日志审计系统可以帮助网管人员对故障进行快速定位，并为责任追查和数据恢复提供客观依据。3.3.4加大安全宣传力度人是决定移动互联网安全问题的关键性因素，只有拥有遵守法律法规和操作规范的使用人群，才能保证移动互联网不再出现安全问题。因此，应加大信息安全宣传力度，通过宣传板、公示栏、单位广播等方式向人们宣传移动互联网安全问题，在讲述移动互联网安全问题对人们的危害时，也要讲明相关安全问题在人们生活中的体现，提高人们对移动互联网安全问题的认识，降低相关安全问题对人们的影响。

参考文献：

[1]赵玉雪.移动互联网中的认证机制研究[D].南京邮电大学，2011.

[2]李佳.移动互联网的信息安全研究[D].首都经济贸易大学，2014.

[3]罗军舟等.移动互联网：终端、网络与服务[J].计算机学报，2011.

[4]李志永.移动互联网数据传输安全机制研究与审计[D].南京航空航天大学，2010.

[5]杜元胜.移动互联网安全问题与应对策略探讨[J].电子技术与软件工程，2014.

篇10

关键词：电子商务：网上支付：电子银行，支付工具

引言

随着互联网应用技术的普及，电子商务已在各个领域得到了广泛的运用。与以前的传统行业注重实地交易的模式有本质的区别，其中尤其突出的优势是简便快捷。电子商务是指通过电脑网络来完成商品交易、结算等一系列商业活动的一种方式，它可以消除时间和空间上的障碍，降低交易成本，减少运作时间。如果没有网上支付的参与，电子商务就会停留在网上信息搜索和协议草签的阶段，无法进入实质性的交易阶段，同样无法形成完整的电子商务。

对传统公司来说，电子商务是新的发展工具和销售手段。因此，如何建立电子商务信用模式、提升利润价值、实现网上收付款功能就成为建设企业电子商务网站的首要问题。所谓的网上支付就是电子支付的一种形式。广义地讲，网上支付指的是客户、商家、网络银行(或第三方支付)之间使用安全电子手段，利用电子现金、银行卡，电子支票等支付工具通过互联网传送到银行或相应的处理机构，从而完成支付的整个过程。主要有以下几个元素组成：Internet，客户，商家，开户银行，支付网关，银行网络，认证中心。其中后三者是网上支付的必要条件，要通过在线网上电子银行介入才能实现网上支付。

目前我国开展网上银行业务的银行已有多家，基本都有推出网上支付业务。但这些银行开展的服务基本上是电子银行业务中比较初级的内容，仅是传统业务在网上的延伸，如个人帐户查询，不同卡种或折种间的转帐，实现个人网上支付，代收公共费用等；同时很多银行也只在宣传、尝试之中。电子银行的被接受程度低，业务量少，

一、网上支付目前主要存在以下几个问题：

1　支付的安全问题。这是大家最关心，也是林国庆

福建农业职业技术学院信息系最敏感的问题。无论何种方式的网上支付最终都是落实到互联网技术上。在开放的互联网中，它们也完全有可能受到攻击。电子交易面临着各种威胁：非法访问，内部窃密。破坏交易的顺利进行，破坏系统的可行性等。虽然目前在技术方面已经提供了很多手段来保障，但在实际应用中还存在很多问题，由于Internet是一个开放的网络系统，Internetk的商家很多，其中不乏鱼目混珠之辈，如何保证商家是真正的商家?消费者支付后信用卡的密码会不会被其他人盗用?黑客会不会进入银行主机系统，存进去的钱会不会丢掉?网上支付被扣的钱会不会比实际多?这些问题深深的影响了消费者的购买行为。安全问题是很重要的问题，同时又是很复杂的问题，需要在技术上，法律上、运用环境上等方面共同努力才能解决。

2　各家银行技术标准不统一。我国目前的网络银行业务由各银行独立开发、推销，开发模式、业务范围及发展规模有较大差异，发展不均衡，如信用卡业务：各银行展开了激烈竞争，却不能达成内部一致协议以实现信用卡的跨行结算，这种规范标准不统一的局面既造成重复建设、浪费资金，使得整个金融结算系统不能满足消费者方便、快捷的要求。

各银行在金融电子化的起步阶段采用各自为政的方针，造成目前的技术不统一的混乱局面。各银行都各自发行自己的银行卡，运用在不同的平台上，各银行卡不能跨行使用。安全技术同样也不一样。

3　网上支付工具发展滞后。电子商务需要银行的参与，但仅靠银行一家机构的运行还是永远不够的。未来电商务活动中使用新一代电子货币如电子现金、电子支票等通过银行账户进行转账的方式进行支付的金额将不断增加。但我国目前在电子现金方面的开发和应用与国外相比还有很大差距。电子现金其实与现实货币没有什么不同，是一般等价物的一种表现形式，但其法律地位―直难以确定。这是因为按照货币的实质和网络无国界性来推断。各国中央银行的地位都将受到挑战，因为任何一个有实力，有信誉的垒球性公司，都可以发行购买其产品数字化等价物，从而避开银行的繁琐手续和税收。而这会扰乱一国的金融秩序，任何国家都不会允许。但随着电子现金技术的不断成熟，其又具有网络化的方便性、安全性、秘密性，所以电子现金的发展优势是不可阻挡的。关键是要在法律方面进行调整。而我国现在电子支票的应用也极为有限。主要原因是受到我国《票据法》的制约，电子支票的法律地位难以得到确认，使银行望而却步。

4　行业监管不完善，缺乏相关的法律依据。迄今为止，我国银行开展网上支付业务已经数年了。电子商务立法却还不完备，在目前的网上支付相关法律中仅有《中华人民共和国电子签名法》、《电子支付指引》。有关电子支票和电子现金立法还没有建立，缺乏完善的法律框架体系保障，致使在交易双方发生经济纠纷的时候无法可依。目前E-BANK采用的规则都是协议式的，是与客户在事先说明权利义务关系的基础上签定合同，出现问题则通过仲裁解决。由于缺乏相关法律，问题出现后涉及的责任认定，仲裁结果的执行等复杂的法律关系是现在难以解决的。另外，新《合同法》中虽然承认了电子合同的法律效应，但没有解决数字签名问题，这些问题无形中都增加了银行与客户网上进行交易的麻烦和风险。

5　社会信用体制不健全。网上支付不等于现金支付，需要建立在信用基础上，是个人和商家之间，商家和银行之间，或商家和商家之间。我国现阶段信用体系根本没有建立起来，银行担心企业拖欠，轻易不放贷款；银行也怕个人拖欠，所以申请信用卡手续复杂，条件繁多。而我国的社会信用体系未达到任何行为都有记录可查的情况，所以，相当一部分企业或个人还存在一些不良行为，这些行为影响了我国网上支付的发展，也制约了电子商务的发展。

6　信用卡使用不普遍。几乎所有的网上支付方式，最后一步都是由银行根据用户提供的或注册的信用卡信息划拨账款，如果信用卡不普及，那么所谓网上支付就成了无源之永，无本之木。目前，大部分人使用的是借记卡，据新加坡的调研NNAsian Banker透露，中国现有的约10亿张银行卡中，信用卡的比例只有少的可怜的百分之一，而且还由大部分尚未激活，或者已经激活却尚未使用。如果信用卡被盗用，消费者承担了几乎全部的责任，而如果相同情况发生在美国，持卡人最多只需承担50美元的损失，其余由银行和商店赔付。因此在这种情况下，使用信用卡的积极性自然不高。

二、第三方支付模式分析

电子商务网上支付模式中，使用“信任的第三方”比较常见和普及，因为第三方支付平台是在商家与消费者之间建立了一个公共可信任的中介。它满足了电子商务中商家和消费者对信誉和安全的要求，它的出现和发展说明该方式满足市

场发展的必然需求。现以该模式为样本，简要分析其原理。

第三方支付一般的运行模式为：买方选购商品后，使用第三方平台提供的账户进行货款支付，第三方在收到代为保管的款项后，通知卖家贷款到账，要求卖家发货，买方收到货物、检验商品并确认后。通知第三方付款，第三方将其款项转划至卖家账户上。这一交易完成过程的实质是一种提供结算信用担保的中介服务方式。以B2c交易为例，其支付交易流程如下：

1)消费者在电子商务网站选购商品，买卖双方在网上达成交易意向。

2)消费者选择第三方支付平台作为交易中介，用借记卡或信用卡将货款划到第三方账户，设定发货期限。

3)第三方支付平台通知商家，消费者的货款到账，要求商家在规定时间内发货。

4)商家收到消费者已付款的通知按订单发货，并在网站上做相应记录，消费者可在网站上查看所购买商品的状态，如果商家没有发货，则第三方支付平台通知顾客交易失败，并询问将货款划回其账户还是暂存在支付平台。

5)消费者收到货物并确认满意后通知第三方支付平台。如果对商品不满意，或认为与商家承诺有出入，可通知第三方支付平台拒付货款并将货物退回商家。

6)消费者满意，第三方支付平台将货款划入商家账户，交易完成；顾客对货物不满，第三方支付平台确认商家收到退货后，将该商品货款划回消费者账户或暂存在第三方账户中。

三、解决电子裔务网上支付问趣的对策

1　加快网络基础设施的建设

银行应从传统的主要经营资产负债业务的观念中摆脱出来，注重中间业务的经营，并遵循统一的标准。中央银行应充分利用金融系统电子化基础设施，加快实现全国范围内银行卡跨行、异地支付业务授权及清算信息自动交换。除此之外，国家还应建立并完善电子商务国家标准体系，提高标准化意识，充分调动各方积极性。抓紧完善电子商务的国家标准体系，鼓励以企业为主体，联合高校和科研机构研究制订电子商务关键技术标准和参与国际标准的制订和修正，积极推进电子商务标准化进程。电子商务体系完善起来了，网上支付也会随之正规化，而随着两者的相继完善与发展，其存在的制约因素也会日益减少，网上支付业务也就会逐渐被人们所接受。

2　研发适合我国国情的网上支付工具

在发展电子商务中，要积极开展对电子现金，电子支票等网上支付工具的研究，推动网上支付工具多样化，手续的简单化。参与国际交流与合作，跟踪国际先进技术，推动网上支付工具的应用，同时也要总结和制定适合我国国情的支付标准和规范。目前进行网上支付的工具还有很大限制，主要是由于我国银行卡的特殊情况，信用卡的普及不是很高，很多银行采用储蓄卡来代替信用卡。如果必须用信用卡才能进行网上支付，那将会给广大网民带来新的麻烦，手中大把的银行卡不能用，还要经过复杂的程序申请新的信用卡，这导致网民网购的积极性降低。因此，如果能使网民利用现有的工具完成网上支付，将在很大程度上解决支付问题，从而扩大网上购买行为。

3　制订统一的标准

制订统一的标准主要包括制定统一的管理、统一的读卡机、统一的安全技术等，而我国各地经济发展水平的不一致，导致了银行间网络化发展水平的参差不齐，这势必给我国银行卡统―发展及利用银行卡进行网上支付带来困难。我国商业银行通过Internet提供网上支付还处在初级阶段，其覆盖面小，还远远不能适应网上支付的要求。据CCID调查显示，通过网上在线支付的仅占国内电子商务总交易额的17％左右。目前国内银行大多还只是提供一些基础性的支票、电话转账及信用证业务。网上主动支付业务能力有限，这远远不能满足电子商务所需要的网上支付流程。虽然各大商业银行都在做相应努力与调整，但短期内很难突破这种局面。很显然，这些都是急需改进的。一方面要加快银行的信息建设工作，另―方面要尽快完善网上交易的相关安垒规范，只有真正地实现了在线电子支付，电子商务的优势才会显现出来。

4　加强网上支付数字安全认证工作

首先要把与认证相关的法律完善起来，不严格的认证审批所带来的连锁反应、在认证过程中出现的欺骗行为及其后果等一系列问题的责任划分，必须在法律上有所规定。所以我们要积极推动电子商务法律法规的建设，认真贯彻实施《中华人民共和国电子签名法》，抓紧研究电子交易、信用管理、安全认证、在线支付、市场准入，隐私权保护等方面的法律法规问题。尽快制订相关法律法规，根据电子商务健康有序发展的要求，加快制订在网上开展相关业务的管理办法，推动络仲裁、网络公证等法律服务与保障体系建设，打击电子商务领域的非法经营以及危害国家安全、损害人民群众切身利益的违法犯罪活动。

5　扩大服务覆盖范围，提高服务质量。现在我国几大商业银行都有开展网上银行业务，但他们不仅业务种类少，而且服务范围有限，而网民地理分布比较分散，这样相当大的一部分网民都被拒绝在网上支付范围外。因此银行应该有预见性的看到前景，从而早日在垒国大部分城市开展网上银行业务，并尽可能多的发展业务的种类，这样才能满足现阶段及未来的网上支付发展需要。

同时，应引起我们注意的是，网上银行业务的服务质量也需要进一步提高，例如在速度方面，手续方面以及前面所提到的安全方面都有待于进一步的提高。除此之外网上银行业务还应增强在查询，信息检索等方面的服务，金方位的提高网上银行业务的质量。

6　加大宣传力度。安垒问题除了在技术上解决外，很重要的还要解决消费者的接受问题。如何说服广大网民接受这种新的支付方式，这是一个较为漫长而持续的过程。但是我们应尽力加强网上支付的宣传力度，让更多的消费者介入，争取早日实现尽可能多的网上购物及网上支付行为。

无论如何随着电子商务的发展，网上支付所起的作用越来越重要。电子银行的建设既是大势所趋，又是刻不容缓。同时，网上支付在电子商务应用的各个领域中都是核心环节，网上支付的完善将会对电子商务的广泛应用及深入发展奠定基础，而电子商务也对网上支付提出更高要求。网上支付是电子商务发展中资金流的重要组成部分，它的发展直接决定了电子商务的成败。

四、结束语

总而言之，现阶段虽然已经出现并运用了第三方支付模式，但要在我国实现电子商务的网上安全支付，仍然存在金融网络安全技术，相关法律法规不健全等多方面的问题有待解决。相对的，电子商务也有很大的优势等着我们去挖掘利用。当今电子商务时代，网上支付必将成为主流。

参考文献：

[1]叶燕，电子商务网上支付问题研究；福建行政学院学报：2008#03期，63-65页

[2]李二亮，刘云强：浅议第三方支付平台，电子商务，2005(9)

[3]高祥，周林；802.lx协议及其在宽带接入中的应用；重庆邮电学院学报(自然科学版)；2004年01期

[4]曾金全；电子商务支付系统建设探讨，邮电设计技术；2004#04期；40-44

银行网络安全宣传总结范文

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

热门标签

相关文章

相关期刊

银行家

现代商业银行

中国银行业

中国人民银行文告

精品范文