网上银行安全范文

导语：如何才能写好一篇网上银行安全，这就需要搜集整理更多的资料和文献，欢迎阅读由公务员之家整理的十篇范文，供你借鉴。

网上银行安全

篇1

由中国金融认证中心牵头，百家银行共同参与的“第十二届电子银行年会”于2016年12月举行，渤海银行网上银行业务以多年来为客户提供稳定可靠的金融服务优势，经过层层筛选，在与众多银行的评比中荣获“2016年最佳网上银行安全奖”，显示了业内对渤海银行网上银行安全性的高度认可。

据记者了解，渤海银行网上银行自推出后就非常注重网银交易的安全性，并根据业务需求的不断变化和网银客户规模的增长，先后推出了银行预留信息、动态口令、数字证书、登录设备绑定、安全保护问题等多种安全保护措施和身份认证方式，能够更加有效地防范假网站、黑客窃取、密码泄露、电信诈骗等可能出现的网上交易风险。渤海银行相关工作人员向《投资者报》记者具体解释了网银的安全措施，并提示广大用户正确使用这些功能，通过多种组合措施建立安全的防护体系，保障账户资金安全。

银行预留信息能预防登录假网站

什么是“银行预留信息”？为什么要设置预留信息？渤海银行解释道：银行预留信息是银行帮客户有效识别假网站而设置的一种简单而有效的方法，当客户首次成功登录个人网银，可以自行通过客户服务功能完成银行预留信息设置，预留信息可以是文字、字母或数字组合的一段字符串。当客户再次登录时，如登录页面不能正确显示客户在网银中设置的预留信息，则说明客户很有可能登录了假网站或钓鱼网站，客户需立即停止登录，避免造成信息泄露或经济损失。也就是说，通过设置银行预留信息，可以有效地帮助客户识别自身登录的网站是否为正确的交易渠道。

动态口令和数字证书能够阻挡冒名登录

什么是动态口令和数字证书？它们有什么作用？渤海银行解释道：动态口令是以手机短信方式实时向客户指定手机发送的一次性数字密码。这里的“客户指定手机” ，是网点注册客户登录或办理高风险业务时，由客户指定的、用来认证客户身份的预留手机号。而数字证书则是由银行向证书申请人发放的含有申请人特征信息、公钥及私钥等有关要素，能够确认申请人唯一身份的电子信息。动态口令和数字证书是渤海银行为客户提供的两种电子渠道客户身份认证方式。客户可以根据自身需要，向银行申请选择其中的一种或两种方式，作为自己登录相关电子渠道进行身份验证的信息凭证。客户开通、变更身份认证方式均需持本人有效证件和银行卡至银行网点办理，经柜面核实本人信息后才能办理成功，可以很大程度上避免不法分子的冒名登录。

渤海银行个人网银在客户登录环节采用了“用户名+静态密码+动态口令或液晶数字证书”的身份认证模式，通过“客户知晓的”和“客户持有的”双重要素来确认客户身份，严控风险；特别是在交易环节，当发生账务易或其他关键易时，系统会根据交易发生额等要素自动判断客户需使用的身份认证方式或由客户自行选择身份认证方式，系统验证客户身份通过后，方可完成资金交易操作。

设备绑定等多次加强认证身份

为什么要进行“设备绑定”和“安全保护问题”验证？渤海银行解释道：“设备绑定”是将客户信息与登录电子渠道的设备（手机、电脑MAC地址）进行绑定，是验证客户身份的辅助手段之一。“安全保护问题”是一种加强认证方式，即如果客户使用非绑定设备登录，那么在客户通过基础认证（包括用户名、密码、动态口令、数字证书）后，系统会根据客户交易行为的风险程度，针对高风险特征交易，进行安全保护问题验证，并根据验证结果允许或拒绝用户继续使用。

篇2

Online bank is the one of the most Influential finaneial innovation of the 20th Century. Although the online bank has a good foreground, the problem about transaction security is always restricting the development of online bank. With the diversification of financial crime on net-work and the ubiquitous disadvantages of current transaction security, the matters about security has become the bottleneck of the online bank development. After analyzing the development of international online bank, this thsis considers that ocerall planning should be ensured on the basis of prudence,the internal and external should work together to strengthen the risk control and management of online bank.We should fradually empolder the online bank in depth based on the traditional bank,meanwhile increase the force of technical defendance and off-site supervision,build up internet0-bank risk supervision system,finally,we should consummate the correlative law or regulation,protect the security of online bank transaction roundly.

KEYWORDS：online bank、transaction security、crime

正文目录

第一章引言 4

第一节网上银行概念及特点 4

一、概念 4

二、特点 4

第二节我国网上银行现状 6

一、我国商业银行网上业务的发展情况 6

二、我国网上银行发展的特点 8

三、我国网上银行发展的趋势 9

第二章我国网上银行目前存在的问题及风险 10

第一节战略风险问题 10

第二节网络安全风险问题 10

一、黑客入侵风险。 10

二、病毒破坏风险。 11

三、内部欺诈风险。 11

四、其他不确定因素造成的风险。 11

第三节管理风险问题 11

一、管理思想不能满足网上银行业务发展的需要 11

二、现有的管理经验和规章制度不能满足发展网上银行业务的需要 12

三、管理人才短缺，难以满足网络银行发展的需要 12

第四节技术风险问题 12

第五节操作风险问题 12

第六节数据认证不完善 13

第七节法律风险问题 13

第八节金融监管风险问题 14

一、是对金融监管当局带来的风险 14

二、对货币政策产生的影响 14

三、对资本管制的影响 15

第三章网上银行交易流程 16

第一节网上银行的物理结构 16

第二节初次使用网银的数据走向 16

第三节身份认证的数据流程 17

第四章网上银行各种身份认证方式 20

第一节传统认证方式 20

一、口令+ID 20

二、IC卡 20

第二节现行认证方式 20

一、动态口令 20

二、生物特征 24

三、基于PKI的USBKey 24

四、综上所述而产生的指纹KEY 26

第五章国内外各大银行网银研究分析 27

第一节国内银行 27

一、中国建设银行 27

二、中国农业银行 27

三、中国工商银行 28

第二节国外银行 28

一、国际优秀网上银行安全控制——Wells Fargo 28

二、风险控制机制快速发展——Entrium DirectBankers 29

第六章加强我国网上银行交易安全管理的建议 30

第一节整合各银行系统，建立网上银行安全中心 30

一、解决网址域名混乱 30

二、避免资源浪费 30

三、统一数字证书 31

第二节在传统银行基础上逐步进行网上银行的深度开发 31

一、根据我国国情，继续发展依附式网上银行 31

二、险分散化，保障客户权益 32

第三节加强非现场监管，建立网上银行风险监管体系 32

第四节加大技术防范力度 33

第五节进一步完善网上银行安全的法律法规 33

第七章总结 34

参考文献 35

致　谢 36

第一章引言

第一节网上银行概念及特点

一、概念

有关网上银行的最早的定义是1998年巴塞尔银行监管委员会(BCBs)的定义 :网上银行那些通过电子通道提供零售与小额产品和服务的银行。之后1999年欧洲银行标准委员会(ECBS)和美国货币监理署(OCc)在这个定义的基础上将电子通道分别改为数字设备连接上网和电脑/智能化装置;2000年美联储(FRS)和英国金融服务局(FSA)将通道方式分别改为互联网和网络或电子手段，并提出网上银行不仅提品和服务，还应为客户提供信息;在我国香港金管局于2000年5月的对网上银行最新定义中，基本认同上述定义，但特别指出网上银行不包括利用互联网或其他电子方式作为向客户提品或服务的另一个途径的现有持牌银行。根据中国银行业监督管理委员会2006年1月26日施行的《电子银行业务管理办法》的规定，网上银行是指利用计算机和互联网开展的银行业务。我国对网上银行的定义时间最近，也最符合我国当前实际.

根据交易对象的不同，网上银行可以分为企业网上银行和个人网上银行，企业网上银行和个人网上银行在应用模式上基本类似，但在应用条件、业务功能上还存在许多不同的地方。根据业务发生地的不同，可以分为国内业务、国外业务和离岸业务等。

二、特点

1．突破时空限制的银行

“三A”特征是网上银行的基本特点，即网上银行是全天候运作的银行（Anytime）、开放的银行（Anywhere）、服务方式多样化的银行（Anyhow），银行的服务突破了时间和空间的限制，突破了服务手段的限制。全天候运作的银行（Anytime），即无时限银行，突破了时间的限制。由于因特网不分昼夜每天24小时动转，网上银行服务不受时间因素的制约，可以全天候地连续进行，摆脱了上下班的时间制约，摆脱了白天和黑夜的时间制约，也摆脱了全球时区划分的限制。开放的银行（Anywhere），即全球化银行，突破了空间限制。由于因特网把整个世界变成了“地球村”，地域距离变得无关紧要，导致网上银行不受空间因素的制约，大大加快了银行全球化的进程，金融市场的相互依存性也就空前加强了。服务方式多样化的银行（Anyhow），客户将不需要非要到银行柜台才能办理业务，而是可以通过家中、办公室、宾馆的电脑终端享受查询、转账、证券交易等银行服务，还可以通过电话、手机等方式享受银行服务。客户不仅可以通过网上银行获得银行服务，还可以通过网上银3行享受证券、保险、信托等方面的服务。

2．虚拟化银行

虚拟化银行，即可以在虚拟世界中进行活动的银行活动。因特网在把地球变小的同时又为经济活动构筑了一个虚拟世界，即网络空间，使网络经济得以在网上网下虚实结合、同时并存、相互促进。与其他行业相比，金融产品的交易以虚拟资本为交易对象，不是实物的交换，这就使得金融与构筑虚拟活动空间的信息网络具有天然的结合基础，使得银行服务无纸化程度大大增强，服务效率大大提高。虚拟化特征还使人们业已形成的对银行的概念受到全面冲击。银行不一定再以高楼大厦的形态出现，客户面对的将可能不是银行柜台，而是计算机屏幕上显示的虚拟银行柜台。银行无须再为扩张分支行网络而投入大量购置或租用办公场地的资金，也无须为刻意树立银行形象而建造或租用雄伟的办公大楼。

3．速度型银行

速度型银行，即高效率银行。因特网以光速传输信息，信息流动空前加快，反映技术变化的“网络年”只相当于日历年的四分之一，实时信息变得日益重要。以计算机芯片为例，其发展速度遵循罗尔定律，即每18个月处理速度增加一位。当世界上第一批个人电脑在1979年问世时，其芯片处理速度为每秒钟33万个字符，三年后诞生的因特尔286芯片每秒种能处理120万个字符。现在，芯片的处理速度要用“mips”（每秒百万个字符）表示。目前，最新奔腾处理每秒的处理速度已超过500mips。因特网使银行服务活动的节奏大大加快，一步落后就会步步落后。产品老化变快，创新周期在缩短，竞争越来越成为时间的竞争。“大吃小”将变成“快吃慢”，银行不论大小，转型快的必将战胜转型慢的。大、中、小银行将站在同一起跑线上竞争，许多金融机构将有机会利用其优秀的服务在网络上重建自己的地位，中小银行中凭借技术优势掌握商业先机，赢得传统金融服务时代难以得到的客户资源和竞争优势。

4．创新型银行

创新型银行，即技术创新与制度创新、产品创新紧密结合的银行。随着网络技术的不断更新，市场对银行提供的服务手段和提品的功能要求也会随之不断提高，这就要求银行要不断地进行创新，通过创新建立竞争优势，维持银行的持续发展。

5．全方位服务的银行

网上银行具有很强的交互性。通过银行传统营业网点销售保险、证券、基金等金融产品很难成功，因为客户在购买这类产品时往往要进行详细的咨询和了解，而一般营业网点的业务人员不能为客户提供咨询，聘请金融专家提供咨询又成本过高。利用互联网的交互性，银行只需要少数专业职员就可以低成本地同时回答各类客户的疑问，从而顺利地实施分销。从西方发达国家国际银行提供的网上银行服务看，网上银行已经成为“一站式服务”的金融超市，客户不仅可以得到各种银行服务，而且可以在网上银行的平台上进行各类证券投资，购买不同的保险产品，甚至可以获得其他行业的交易信息。6．个性化银行相对于传统银行，网上银行的客户散布于不同的终端之前，传统的大众营销方式，已不适合新的客户结构。在网上银行的竞争环境中，如何根据客户的实际需要，为客户提供个性化的服务，是网上银行竞争成败的关键所在。借助网上银行完善的交易记录，银行可以对客户的交易行为进行分析和数据挖掘，从中发现重要的价值客户。通过对客户行为偏好的分析，细分服务市场，利用互联网交互性的特点，投其所好的营销策略和服务内容，对产品进行金融创新，从而为客户提供量身定制的服务。

第二节我国网上银行现状

据《2008中国网上银行调查报告》显示：中国网上银行总体发展继续保持快速增长的势头，用户量及交易量同期高速增长。此外，网上银行对于传统柜台业务的替代性也进一步提升。全国范围内，个人网银用户比例为19.9%。在10个经济发达城市中，2008年使用个人网上银行的用户比例达到44.9%，比2007年高出7.1%。而在企业用户市场，这一趋势则更为明显：2008年全国企业网银用户的比例达到42.8%；在2008年10个经济发达城市调查结果中，使用企业网上银行的用户比例继续增长，比2007年增长了10.3个百分点。从不同规模企业网银用户总体发展情况看，企业规模越大，使用网银的比例越高。

一、我国商业银行网上业务的发展情况

我国网上银行的发展始于1997年,招商银行率先推出网上银行,接着中国工商银行,抛出自己的电子钱包,随后,中国建设银行、交通银行、中国银行、中国农业银行等国内银行老字号也不断地完成各自的“E”化之路,一些中小商业银行,如中信实业银行、中国民生银行等也纷纷开通网上支付业务。

中国工商银行是我国规模最大、客户数量最多、网点覆盖面最广的一家“国”字号老银行，工商银行在近几年的改革发展中取得了不菲的业绩，同样在网上银行的领域也处于全国同业的领先地位。下面以中国工商银行为例，来了解一下我国网上银行发展的基本情况。

中国工商银行网上银行从2000年2月开始正式运营,它是中国工商银行的网上分支机构,自开通网上银行业务以来,先后推出了企业网上银行、个人网上银行、B To B和B To C网上支付业务。2000年2月,北京、上海、天津、广州4个城市试点开通网上银行,至今,中国工商银行电子银行业务已经覆盖全国并逐步迈向世界，业务功能也从早期的信息、业务咨询、投拆处理和简单交易发展到几乎囊括银行业务的各个方面。2000年2月1日,北京、上海、天津、广州4个城市试点企业网上银行,除信息、账户信息查询、转账支付等基本功能外,还在国内率先推出了集团理财等创新功能。2000年8月28日,在中国工商银行北京、浙江分行试点个人网上银行业务,主要功能包括信息、账户信息查询、转账支付、B To C在线支付等功能。2000年12月7日,中国工商银行网上银行在全国范围内全面开通。2001年6月15日,中国工商银行网上银行eBank V3.0版本成功投产。此后,网上银行版本不断升级eBank v3.3、eBank v3.4、eBank v3.5、eBank v4.0并推出了适合不同语种客户的版本如英文版、中文繁体版。2002年5月13日,中国工商银行推出电子银行“金融e通道”品牌。2002年10月10日,中国工商银行在国内率先推出网上现金管理业务“理财e站通”。2003年12月18日,中国工商银行推出集银行、投资、理财于一体,拥有个人理财、网上贷款等12项大功能、58项子功能的新版个人网上银行---“金融家”。

中国工商银行的网上银行设计思路比较清晰,它提供的服务分为企业网上银行业务和个人网上银行业务。个人网上银行包括:账务处理、外汇买卖、证券服务、个人汇款、个人贷款、缴费站、个人国债、e通卡、个人理财和客户服务等功能，提供转账、外汇交易、银证通、B股证券业务、基金业务、在线支付、账户管理、代缴费、异地汇款、个人质押贷款、个人理财等一系列服务,满足客户多方面的金融需求。

企业网上银行把企业分类为集团企业、一般企业和同业机构,并分别对它们提供不同的服务。对企业集团提供集团理财、网上购物、网上结算、贷款查询、票据业务、收费站、企业财务室、贵宾室、基金业务、国债业务、电子回单、客户服务等功能的服务。对一般企业提供账户管理以及其他类似于集团企业的功能。对同业机构则提供汇兑、代签银行汇票、企业服务等功能。

中国工商银行网上银行业务从2000年2月开始起步,从小至大,至今已有长足发展，其网上银行交易额、企业客户数和个人客户数增长迅速，见表1-1。

表1-1 中国工商银行网上银行发展情况

2000年 2001年 2002年 2003年 2004年 2005年

网上交易额 196亿元 6350亿元 53500亿元 191200亿元 335300亿元 416300亿元

企业客户数 976户 6176户 3.5万户 6.9万户 11.7万户 32.4万户

个人客户数 0 32166户 383万户 750万户 1154万户 1667万户

中国工商银行尽管中国工商银行开展网上银行业务起步较晚,但其具有独特的优势,如在全国范围开办网上银行,业务发展的空间大,潜在客户群体多,加上中国工商银行原有的电子化9网络平台较为完善,功能较强,具有良好的开发能力,持续发展潜力大。同时,中国工商银行经过几次升级之后,功能已经日趋完善,正朝着最先进的网上银行方向发展。2002年中国工商银行网上银行被美国《环球金融》评为“中国最佳企业网上银行”，其网站被英国《银行家》杂志评为2002年度的“全球最佳银行网站”,这是发展中国家也是国内商业银行的网站首次在国际上获此殊荣。在美国《环球金融》杂志举办的2003年度“最佳网上银行”评选活动中,中国工商银行被评为“中国最佳个人网上银行”。

二、我国网上银行发展的特点

我国的网上银行虽然起步较晚,但发展很快,并从一开始就呈现出一些特点：

第一，网上银行模式都是传统银行与网上银行结合的产物,其业务基本依赖于传统银行,尚无纯网上银行。

第二，许多银行尚处于发展网上银行业务的初期,利用的是非银行专有的域名或网站,至今仍有一些银行将其产品和服务的广告宣传放在其他网站之中。

第三，业务方式演变迅速。我国商业银行网站几乎一开始就进入了动态、交互式信息检索阶段,而且主要的商业银行在这一阶段停留的时间也很短,很快就进入了在线业务信息查询阶段,并与电子商务的发展紧密结合,迅速完成了从一般网站向网上银行的转变。

在业务方面，我国的网上银行的服务内容主要有：（1）信息服务、主要包括新闻资讯、银行内部信息及业务介绍、银行分支机构导航、外汇牌价、存贷款利率等，一些银行（如中国工商银行）目前还提供一些特别的信息服务，如股票指数、基金净值等。（2）个人银行服务，主要包括帐户查询、帐户管理、存折和银行卡挂失、缴费等，中国工商银行和中国银行还提供外汇买卖服务，中国银行提供个人电子汇款服务，中国建设银行提供小额抵押贷款和国债买卖服务。开设第三方转账业务的网上银行只有一家：深圳发展银行。（3）企业银行服务，主要包括帐户查询、企业内部资金转账、对帐、缴费等。除此之外，中国工商银行还提供同城结算和异地汇款服务，中国银行提供国际

结算服务。（4）银证转账，银行存款与证券公司保证金之间的实时资金转移，部分银行（如中国银行）已开始提供相关信息的查询；有一些网上银行，如招商银行北京分行、深圳分行等已经推出网上证券交易委托平台，以便其客户可以直接在其网站上从事股票买卖、查询和投资管理等。（5）网上支付，包括B To C和B To B，大部分网上银行提供前者。这种服务一般与网上商城相结合，一些银行设定了一些网上商城的链接，但还没有一家银行直接从事网上一般商业活动。支付方式有三种：银行卡直接支付、专用支付卡支付（招商银行）和电子钱包（中国工商银行）。

从总体上看，我国网上银行业务纵深和宽度还有限，尚无一家开展网上存款、贷款，账单收付，非金融品销售等业务，与国外同行相比差距较为明显。总之，我国网上银行建设尚处于起步阶段，面对广阔的市场孕育着巨大的发展潜力和发展空间。

三、我国网上银行发展的趋势

随着经济全球化与金融自由化，金融混业经营成为一种不可逆转的趋势，我国金融业的整体格局也会因此发生变动。在此背景下，以商业银行为主的各金融机构开始计划和实施行业间的初步合作，对因特网的利用和客户资源共享是其中比较重要的两个方面。

在由个体金融机构延伸出来的诸多渠道当中，网络与其他渠道存在着冲突和竞争，因而会发生网络对旧渠道业务的侵夺和新增业务的分享。不同金融机构有着不同的客户基础，在需求总量不变的情况下，客户基础的规模此消彼长，就个体金融机构而言，实际上是与外部机构的渠道之争的结果。内部的渠道争夺是由业务结构失衡造成的，直接的结果就是内部资源的浪费、总体成本的上升和行业竞争力的下降。减缓或避免上述矛盾的途径称为渠道的整合，即从渠道冲突到渠道协同。整合意味着内外部生产要素的重新配置，产业格局的调整，新的业务流程和管理模式的产生；协同则意味着资源的共享和效率的提升。这是网络经济推动下传统产业应有的主流思维。达到协同的方式可能是资本层面的并购活动，也可能是松散的外部合作，在二者之间有一种折中的方式称为网上金融门户。

第二章我国网上银行目前存在的问题及风险

由于银行是资金高度集中的场所，而且网上资金划拨不需要进行实物交割，所以一旦犯罪份子成功窃取金融企业或客户的资金，后果十分严重，其数额往往是传统犯罪的数十倍。有资料显示，全球每年因网络犯罪被直接盗走的资金达20多亿美元，美国因交易安全问题所造成的损失平均每件案件高达45万美元，大大高于传统的银行欺诈案。在我国，因交易安全问题给银行带来的损失也十分巨大。据统计，仅1997、1998两年，四家国有商业银行就发生计算机犯罪案件共140余起，涉及人员160多人，涉案金额1.6亿多元，造成巨大经济损失。近年来我国金融业计算机犯罪案平均金额都在几十万元以上，个别的为数百万元，最大一起犯罪案件造成的经济损失高达人民币2100万元。而且相关研究表明，因交易安全问题所带来的损失还呈逐年上升之势。中国人民银行1999年6号文件《关于采取有效措施防范金融领域计算机犯罪的通知》指出近年此类问题以每年30%的速度递增，在上海召开的“金融犯罪防治与反洗钱政策”研讨会上与会代表指出我国银行卡犯罪也在迅猛增长，中国外卡偷换欺诈率为0.038%，大大高于亚太地区0.010%的比率。因此我国网上银行的交易安全问题不可小觑，主要存在以下问题:

第一节战略风险问题

战略风险是指由于业务决策不力、决策的不恰当实施或对行业变化缺乏响应而对网上银行所造成的风险。我国的战略风险问题受组织战略目标的一致性、为实现这些目标而制定的业务战略、为实现目标而利用的资源、实施质量等诸多因素的影响。为实现业务战略而必需的资源包括有形资源和无形资源，其中包括通讯渠道、操作系统、传送网络、管理上的能力和才能。必须对照经济、技术、竞争、立法和其他环境变化的影响来评估资源的有效利用，进而评价战略风险。

第二节网络安全风险问题

网络安全风险是指由于网络防范不严密或应用系统设计有缺陷，遭到非法入侵及其他不确定性因素影响对网上银行所造成的风险。

一、黑客入侵风险。

网上银行是建立在开放网络上的，由于网络的开放性和应用系统设计可能存在缺陷，一旦被黑客利用，将直接危害系统的安全，商业机密被窃取，用户的银行资料泄密，甚至银行的资金遭受损失。因此，网络安全就成为事关银行生死的头等大事。

二、病毒破坏风险。

由于网络防范不严，计算机病毒通过网上银行入侵到银行主机系统，从而造成数据丢失等严重后果。同时，来自网上银行系统外部的正常客户或非法入侵者在与网上银行的业务交往中，也可能将各种电脑病毒带入网上银行的电脑系统，造成主机或软件的失灵，使得网上银行面临瘫痪的风险。

三、内部欺诈风险。

网上银行不仅容易受到来自因特网外部的黑客攻击，也会因为网上银行内部职员的欺诈行为而承担操作风险。例如，商业银行内部的某些职员利用他们的职业优势，有目的地获取客户的账户资料进行各种风险投资，如炒卖股票、外汇和期权等，将交易风险直接转嫁到客户身上。也可能直接偷窃电子货币，让客户蒙受损失或者制造各种假的电子货币从网上银行获取利益。因此，内部欺诈风险也是网上银行风险的基本内容之一。

四、其他不确定因素造成的风险。

网上银行的计算机系统停机、磁盘列阵破坏等不确定性因素，也会形成网上银行的风险。同时，往往由于网络某一局部的破坏可能导致整个网络的瘫痪，同样形成网上银行的风险。所有这些风险对我国网上银行都将形成灾难性的影响，不仅网上银行的原有客户会流失，而且由于网络传播的快捷、广泛，可能引发整个银行的流动性危机。根据对发达国家不同行业的调查，计算机系统停机等因素对不同行业造成的损失各不相同。由此也可以看出，发达国家零售业和金融业的经营服务已在相当程度上依赖于网络通讯系统的运行。网络通讯系统的平稳、可靠和安全的运行，成为网上银行系统安全的重要保障。网上银行的系统风险不仅会给我国商业银行带来直接的经济损失，而且会影响到商业银行的企业形象和客户对银行的信任程度。

第三节管理风险问题

管理风险是指网上银行的管理现状与管理水平与网上银行业务快速发展的状况不协调而造成的风险。我国的商业银行体系相对年轻，如以《中华人民共和国商业银行法》的颁布实施为标志，商业银行体系形成不到十年，真正的商业银行运行机制尚处于发育和完善阶段，并未真正形成。这使得我国商业银行发展网上金融服务出现三个不协调：

一、管理思想不能满足网上银行业务发展的需要

网上银行的发展将进一步加速银行业务处理集中化的趋势，银行业务的运作和管理随着网上银行的发展必须进行改变和重组。然而，我国的商业银行，包括已经开办网上业务的银行，管理思维仍局限于传统的管理方法，许多银行仍在努力增设新的营业网点。在新的竞争形势下，商业银行，尤其是老国有商业银行庞大的营业网点将成为业务发展的沉重包袱。

二、现有的管理经验和规章制度不能满足发展网上银行业务的需要

网上银行业务首先是建立在现有传统银行业务的基础之上的，从我国银行的发展现状看，内部控制机制不健全，缺乏一套成熟的风险管理和控制机制，这就很难保证对网上银行业务风险能进行有效的控制。

三、管理人才短缺，难以满足网络银行发展的需要

这是前面两个不协调的自然结果。在管理人才尚不能满足现有业务风险管理和控制需要的情况下，如果不能统筹规划，网上银行业务的过快发展可能会降低现有业务的经营质量，甚至导致我国网上银行的经营风险。

第四节技术风险问题

技术风险是指网上银行由于技术采用不当，或所采用的技术相对落后而带来安全技术隐患造成的风险。网上银行业务的高技术性、无纸化和瞬间性的特点，决定了其在经营中会面临技术风险。它是网上银行风险的核心内容，也是我国各金融机构和广大客户最为关注的问题，这一问题如果不能有效地解决，必然会造成损失，影响信用。

第五节操作风险问题

操作风险指来源于系统可靠性、稳定性和安全性的重大缺陷而导致的风险。操作风险可能来自网上银行客户的疏忽，也可能来自网上银行安全系统和其产品的设计缺陷及操作失误。

我国网上银行的操作风险问题主要涉及网上银行账户的授权使用、网上银行的风险管理系统、网上银行与其他银行和客户间的信息交流、真假电子货币的识别等。目前，我国网上银行对进入银行账户的授权管理变得日益复杂起来，这一方面是由于计算机的处理能力得到日益增强，另一方面原因是客户的地理空间位置变得更加分散，也可能是由于采用多种通讯手段等因素造成的。对于电子货币而言，网络安全系统的缺陷会让客户误为网上银行实施了欺诈行为。对于其他电子银行业务，如没有经过明确授权使用账户可能导致客户有直接的经济损失，加大了网上银行对客户的责任。

银行职员对业务的漫不经心，也有可能导致网上银行严重的操作风险，从而危及网上银行的总体安全。像在传统银行业务中那样，客户的疏忽也是操作风险的另外一个来源。网上银行可能会因为客户欠缺网络安全方面的知识而面临相当高的操作风险。例如，客户在某些没有安全防护措施的场合使用私人信息，如身份证鉴定、信用卡号、银行账号等，容易被他人窃取而导致账户泄密，使客户和银行双方都蒙受损失。此外，如果商业银行职员和客户不能够充分理解网上银行采用的不断更新的软件，进行误操作也会给银行或客户自身带来操作风险。

第六节数据认证不完善

数据在储存及传输过程中，网上银行通过各种技术手段来保证数据的保密性、完整性和可用性。为防止犯罪分子通过旁路系统威胁数据安全，如物理地取走数据库，在通讯线路上窃听，对数据进行加密是网上银行最通常的做法。数据加密是指通由形形的加密算法来具体实施，据不完全统计，到目前为止已经公开发表的各种加密算法多达数百种。通过加密将明文转变为密文密钥，即以加密格式存储和传输敏感数据。加密算法的输入信息为明文，即原始的或未加密的数据;加密算法的输出信息为密文，即加密后的格式，其中，密文为信息的传输形式。然而，CheckPoint软件技术有限公司区域试验室的高级网络安全分析专家Jonorbeton警告说，如今黑客采用的嗅探器越来越完善，能够截获SSL和SSL交易信号，窃取经过加密的数据。虽然加密有助于保护遭到窃取的数据被人读取，但加密标准却存在数个漏洞，黑客只要拥有适当工具，就能够通过漏洞窃取敏感数据和信息。

尽管可以通过对数据认证来保证数据来源和数据的完整性，但我国的网上银行安全认证由于建设时间很短，加之安全认证问题涉及众多部门，存在着诸多问题，如网上银行安全认证无权威管理部门，认证机构建设呈现无序状态;网上银行安全认证标准不统一，无法跨行认证等。

第七节法律风险问题

法律风险是指违反、不遵从或无法遵从法律、法规、规章、惯例或伦理标准而给网上银行所造成的风险。在我国由于对银行经营或客户行为的法律或法规不明确，往往会产生法律风险。法律风险使我国金融机构面临着罚款、赔偿和合同失效的风险。法律风险将导致信誉的贬低、免赔限额的降低、业务机会的受限制、拓展潜力的降低以及缺乏合同的可实施性等等。

例如：从银行客户的角度看，网上银行使用的通讯系统就是网上银行的系统，它们是不可分的。就网上银行服务而言，客户只与网上银行之间存在合同关系，而与通讯系统经营者并无契约上的法律关系。从网上银行的角度看，网上银行服务是建立在通讯系统上的，银行也是通讯系统经营者的用户。经营者对所有用户都承担经营者的义务，通讯系统与网上银行服务有联系，因而也要承担相应的法律责任。但是，他们的法律地位究竟怎么确定，应承担什么样的法律责任，在现行法律中还难以找到依据。一旦出现纠纷，银行的法律责任难以说清楚。

网上银行也可能因为使用电子货币提供虚拟金融服务业务而涉及到客户隐私权的保护问题。一旦出现客户隐私权问题，在被告知其权利义务的情况下，客户可能会对网上银行提出诉讼。网上银行在自己的网页上建立与重要客户的链接侵入网上银行客户的网页，那么，客户很可能因此而对网上银行提出司法诉讼。而目前法律对网络运行和业务操作过程中出现的消费者权益保护和隐私权保护问题都没有做出相应规定，从而使网上银行面临着相当大的法律风险。

第八节金融监管风险问题

金融监管风险是指由于网上银行的发展及产生的各种风险使得金融监管复杂化，从而产生的金融监管当局的监管实效的风险。

一、是对金融监管当局带来的风险

网上银行主要通过大量无纸化操作进行交易，不仅无凭证可查，而且一般都设有密码，使我国监管当局（中国银监会）无法收集到相关资料作进一步的稽核审查。同时，许多金融交易在网上进行，其电子记录可以不留任何痕迹地加以修改，使确认该交易的过程复杂化。使得我国监管当局对银行业务难以核查，造成监管数据不能准确反映银行实际经营情况，即一致性遭到破坏。在网络金融条件下，监管当局原有的对传统银行注册管理的标准也许难以实施，网上银行的申请者可以注册一家银行，但是他可以通过多个终端，获得多家银行业务或多家银行分行网络的服务效果。因此，我国监管当局不仅需要参照传统银行的监管标准，进行一般的风险监管，而且还要根据虚拟银行的特殊性进行技术性安全与管理安全的监管，即保证网络交易双方的身份、交易资料和交易过程是安全的；支付系统提供服务的网络主机系统和数据库是安全的，并且要对跨行金融数据流和网上银行网站上提供的各种网络金融服务广告进行监管等。

二、对货币政策产生的影响

网上银行可以发行电子货币，由于电子货币发行及其运作相当于货币创造，将对实现货币政策目标造成主要干扰。目前，在我国由于技术本身和配送渠道等电子商务发展的限制，电子货币的使用还不是十分方便，一定程度上限制了电子货币的大规模发行，还不能对货币政策构成显著影响。但是，如果国家对电子货币发行不加以规范，对电子货币使用未能有效监管，对网上银行的市场退出机制不加以完善的话，随着网络技术普及和完善，电子货币的发行量大量增长，完全有可能对国内的货币供应造成重大冲击，影响货币政策的实施。

三、对资本管制的影响

在资本管制条件下，我国的监管当局还面临逃避管制的风险。比如，当携带货币的出入境受到管制时，可以通过网络支付和提款渠道达到不受限制目的。又比如，网上银行的兴起，又会进一步形成离岸的管制货币自由兑换市场和投机套现市场，使资本管制受到严重挑战。此外，跨国金融机构可以逃避在国内的经营管制，通过网上银行实现异地、境外吸收存款和支付、结算功能等。所有这些都会使我国的资本管制出现漏洞，资本管制手段将丧失意义。

第三章网上银行交易流程

第一节网上银行的物理结构

网上银行的物理结构由用户系统、网站、网银中心、业务数据中心、银行柜台和CA中心等组成，见图3-1:

第二节初次使用网银的数据走向

客户方面数据走向：银行柜台办理开户业务，网上银行开户申请，客户下载私钥、证书的认证介质以及认证介质的初初始访问密码，下载相关软件并安装，自行修改银行提供的认认介质初始密码，登入使用网上银行系统。

银行方面数据走向：网上银行，将客户的个人资料和选择需要及网上交易的账号存储到银行后台业务系统主机数据库，网上银行系统产生两对密钥，银行只保留公钥，CA将公钥和个人信息用CA的私钥进行签名，形成证书CA和网银中心都保存该证书，建立用户系统，负责用户与网站和网银中心的通讯、数据加解密、交易数据的数字签名和认证介质密码修改等工作，在数据库中更新保存客户信息。

如图3-2所示：

第三节身份认证的数据流程

在使用网上银行系统时，身份认证是第一步，也是最重要的一步。身份认证用于鉴定使用者的身份，起到保护账户安全的作用，其处理过程为:

第一步:鉴别IC卡的使用者身份

用户登陆时，输入认证介质的访问密码，以IC卡为例，用户系统将输入的密码以指令形式转送入IC卡，IC卡将这个密码与卡内的密码信息进行比较，如果相同，则认为用户是合法的IC卡访问者，否则拒绝用户访问。

第二步:用户数字签名

认证介质访问成功后，银行需要确认用户的身份。用户将一串明文信息传送至IC卡，IC卡用私钥对明文进行签名，并将明文和签名结果通过用户系统保密的传送到银行端的交易服务器。我们注意到数字签名在IC卡内进行，而不是在用户系统实现，这是因为如果在用户系统进行数字签名，那么私钥将不可避免的在用户系统的内存出现，可能导致私钥被窃取。事实上在整个网上银行交易过程中，私钥始终保存在IC卡内，与私钥有关的运算也始终在IC卡内进行。

第三步:银行端验证签名

银行端的交易服务系统收到用户发送来的明文和签名信息后，先检测用户的证书是否合法和有效(证书库是否存在该证书，黑名单是否有该证书的信息)，如果该用户证书合法并且有效，银行端从用户证书取出公钥对签名信息进行解密(此项工作可以在加密机完成)，将结果与明文比较，如果相等则认为该用户合法，用户验证完成。

第四章网上银行各种身份认证方式

第一节传统认证方式

一、口令+ID

基于口令的身份认证机制具有易于实现和操作简单等特点．被广为使用。传统的静态口令机制采用用户名/口令核对法：即系统为每个用户维护一个(用户ID，口令)二元组信息，用户登录系统时．输入自己的用户ID和口令．系统通过比对用户输入的(用户ID，口令)与系统内维护的(用户ID，口令)二元组信息，来判断用户身份的合法性。

这种方式实现和操作都很简单，但其安全性仅依赖于用户口令的保密性，一旦用户口令泄密，合法用户就会被冒充。用户口令的泄密存在主、客观两方面的原因：主观方面．用户为方便记忆往往采用短口令或者生日、姓名、电话号码等作为口令．并且常会出现用户对口令管理不善(如随手写下口令造成口令泄露)的问题；客观方面，攻击者可采用多种攻击手段以获得用户口令，常用的攻击手段有穷举尝试、字典攻击、网络窃昕、重放攻击等。

二、IC卡

是一种内置集成电路的芯片，芯片中存有与用户身份相关的数据。IC卡由专门的设备生产，是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器读取其中的信息，以验证用户的身份。简单易行,但容易被驻留内存的木马或网络监听等黑客技术窃取。

第二节现行认证方式

一、动态口令

动态口令机制是为了解决静态口令的不安全问题而提出的，基本思想是用动态口令代替静态口令．其基本原理是：在客户端登录过程中，基于用户的秘密通行短语(Secure PassPhrase，sPP)加入不确定因素，对SPP和不确定因素进行变换(如使用MD5信息摘录)，所得的结果作为认证数据(即动态口令)，提交给认证服务器。认证服务器接收到用户的认证数据后．以事先预定的算法去验算认证数据，从而实现对用户身份的认证。由于客户端每次生成认证数据都采用不同的不确定因素值，保证了客户端每次提交的认证数据都不相同．因此动态口令机制有效地提高了身份认证的安全性。根据口令生成时不确定因素的选择方式．动态口令机制有时问同步机制、事件同步机制和挑战／应答机制等．本文将阐述这三种常用动态口令机制，并对它们的安全性进行分析。

第一、基于时间同步的动态口令机制

基于时间同步的动态口令机制，其特点是选择单向散列函数作为认证数据的生成算法，以种子密钥和时间值作为单向散列函数的输人参数。由于时间值是不断变化的，因此散列函数运算所得的认证数据也在不断变化，保证了每次产生的认证数据不相同。基于时间同步的动态口令机制的认证过程如图4-1所示：

图4-1 基于时间同步动态口令机制的认证过程

基于时间同步动态口令机制的认证过程如下：用户输入ID(或PIN码)，客户端单向散列函数以时间和种子密钥作为参数进行计算，将计算所得的动态口令传送到认证服务器。认证服务器确认用户ID的合法性后，从服务器加密的数据库中提取该用户所对应的种子密钥，采用与客户端相同的单向散列函数计算出验证口令，若验证口令和动态口令相同则通过验证．否则不能通过验证。时间同步方式的关键在于认证服务器和客户端的时钟要保持同步，只有在两端时钟同步的情况下才能做出正确的判断。一旦发生了时钟偏移，就需进行时钟校正。

第二、基于事件同步的动态口令机制

基于事件同步的动态I=I令机制又称为Lamport方式或哈希链方式。事件同步机制是以事件(例如使用次数或序列数)作为变量。在初始化阶段选取一个口令PW和一个迭代数n，及一个单向散列函数H。计算Y=H n(PW)(Hn0表示进行n次散列运算)，把Y和n的值存储于认证服务器上。客户端计算Y’=Hn-1(PW) ，将计算结果提交给服务器。服务器则计算Z=H(Y’)，并将z值与服务器上保存的Y值进行比较。如果Z=Y，则验证成功．然后用Y 的值取代服务器上保存的Y值，同时将n的值递减1。基于事件同步的动态口令机制的认证过程如图4-2所示：

图4-2基于事件同步动态口令机制的认证过程

基于事件同步的动态口令机制易于实现，且无须特殊硬件的支持。但该方案每次进行身份认证时，客户端要进行多次Hash运算。而且由于迭代值n不断递减，当递减为0时就需要重新初始化系统。服务器的额外开销比较大。基于事件同步的动态口令机制同样存在失去同步的风险，如用户多次无目的的生成口令就会造成失步。对于事件的失步。认证服务器可采用增大偏移量的方式进行再同步，即服务器端自动向后推算一定次数的密码。

第三、基于挑战／应答的动态口令机制

基于挑战／应答(challenge／response)的动态口令机制属于异步方式。其基本原理为：选择单向散列函数或加密算法作为口令生成算法。当用户请求登录时，认证服务器产生一个挑战码(通常是随机数)发送给用户；用户端将口令(密钥)和挑战码作为单向散列函数的参数，进行散列运算，得到的结果(即应答数)作为动态口令发送给认证服务器。认证服务器用同样的单向散列函数做验算即可验证用户身份。基于挑战/应答的动态口令机制的认证过程如图3-3所示其身份认证过程为：

(1)溶户端输入用户ID等信息，向认证服务器发送连接请求。

(2)服务器检查询数据库，若是合法用户ID，则生成挑战码并传回客户端。

(3)客户端根据密钥和挑战码，执行单向散列函数运算，生成应答数并发送到服务器。

(4)服务器执行同样的算法生成应答数，并与客户端发来的应答数进行比对．得到验证结果并传回客户端。

图4-3基于挑战/应答动态口令机制的认证过程

挑战/应答机制中的不确定因素是由认证服务器产生的随机数。由于每个随机数都是惟一的，因此保证了每次产生的口令都不相同。

安全性分析：

口令机制的安全威胁主要来自于信道窃听攻击、穷举尝试和字典攻击、重放攻击、中间人攻击、口令泄露等几个方面。动态口令机制是针对静态口令的不安全性提出来的．在防御以上口令安全威胁上．比静态口令机制具有更高的安全性。

(1)信道窃听

动态口令机制能够完全抵御信道窃听攻击．因为在信道中传输的不是用户的口令而是计算得到的认证数据．攻击者无法窃听到用户的口令。并且由于在计算认证数据中使用了具有不可逆性的散列函数，因此攻击者难于从认证数据中得到用户口令。

(2)穷举尝试和字典攻击

动态口令机制中的用户口令(密钥)的安全性仍非常重要．如果用户口令过于简单，容易被攻击者通过穷举法或字典攻击获得，攻击者仍然能够实施攻击。但在动态口令机制中用户口令仅是产生动态口令的一个因素．产生动态密码时更重要的是加入了不确定因素，所以，即使攻击者通过穷举法或字典攻击得到用户口令．也因很难获得不确定因素而难于产生可用的动态口令。因此动态口令机制可以有效抵御口令猜测攻击。

(3)重放攻击

动态口令机制能够完全抵御重放攻击．因为每次用户向服务器提交的认证数据都是不同的，因此即使攻击者截获了认证数据．也无法通过重放而获得服务器的验证。

(4)中间人攻击

动态口令机制不能完全抵御中间人攻击。当用户通过网访问服务器时。位于用户与服务器之间的攻击者，可以劫持用户与服务器之间的通信：一方面假冒用户与服务器连接，另一方面假冒服务器与用户连接。

(5)口令泄露

动态口令机制能够有效防止口令泄露造成的安全问题．因为许多动态口令系统中，用户的口令不会在网络中传输。

从以上分析可见，动态口令技术能够有效地抵御大部分针对静态口令的攻击，其安全性得到明显的提高，特别是能有效地抵抗信道窃听、截取／重放、口令泄露等安全威胁。但动态口令机制仍然存在着安全问题，主要表现为基于事件同步和基于口令序列的动态口令机制不能抵御小数攻击，动态口令机制仍然是单向认证机制。并且动态口令机制还不能有效地防范系统内部人员攻击。

二、生物特征

利用人的指纹、虹膜、掌纹、声纹等天然纹理作为认证识别手段，不同的人具有不同的生物特征，几乎不可能被仿冒。因此，安全性最高，最可靠的身份认证方式，但各种相关识别技术还没有成熟，没有规模商品化，准确性和稳定性有待提高，特别是当生物特征缺失时，就可能没法利用。

三、基于PKI的USBKey

基于USB Key的身份认证方式是近几年发展起来的一种方便、安全、可靠的身份认证技术。它采用一次一密的强双因子认证模式，很好地解决了身份认证的安全问题，并提供USB接口与现今的电脑通用。它内置了CPU、存储器、芯片操作系统（COS），可以存储用户的密钥或数字证书，利用USB Key内置的密码算法实现对用户身份的认证。USB Key内置CPU，可以实现加解密和签名的各种算法，加解密运算在USBKey内进行，保证了密钥不会出现在计算机内存中，从而杜绝了用户密钥被黑客截取的可能性。目前，最安全的方式还是使用PKI的USBKey，所以下面重点论述一下PKI+USBKey的安全方式。

第一、什么是PKI

PKI是英文Public Key Infrastructure的缩写，中文意思就是公开密钥基础设施。它是利用公开密钥技术所构建的、解决网络安全问题的、普遍使用的一种基础设施。美国的部分学者也把提供全面安全服务的基础设施，包括软件、硬件、人和策略的集合称作PKI。PKI通过延伸到用户本地的接口，为各种应用提供安全的服务，如认证、身份识别、数字签名、加密等。PKI中最基本的元素就是数字证书。所有安全的操作主要通过证书来实现。PKI的部件主要包括签发这些证书的证书机构(CA)，登记这些证书的注册机构（RA），存储和这些证书的电子目录，以及用户终端系统。PKI中还包括证书策略，证书路径等元素以及证书的使用者。所有这些都是PKI的基本部件或元素。许多这样的基本部件和元素有机地结合在一起，就构成了PKI。

第二、PKI的组成

PKI主要由下列部分所组成：

(1)认证机构(CA)，它主要签发数字证书及管理数字证书。它是一个权威性的机构，因为由国家授权，具有法律保证。

(2)注册机构(RA)，它主要是注册申请审批机构，是CA机构的扩展。

(3)数字证书，它是PKI的核心元素。用以实现交易数据的完整性和不可否认性，即可实现数字签名。

(4)证书库和目录服务器，CA颁发的用户证书需要存储在证书库中并到目录服务器上，以供人们通过目录服务器查询公钥证书和CRL，以保证数字证书的安全。一个大规模的PKI没有证书库是无法使用的。

(5)密钥管理中心(KMC)，KMC主要负责密钥恢复审核、密钥销毁审核、密钥托管审核，以及更新密钥，保存密钥的历史档案。

(6)客户端软件，它是PKI中的一个必要组成部分。没有客户端的请求，PKI不会起到任何的作用。在网上银行系统中客户端的证书一般以USBKey为载体。

第三、PKI的核心服务

(1) 认证服务, PKI认证服务采用了数字签名这个密码技术，签名产生于以下3个方面数据的杂凑值之上：1)被认证的数据；2)用户希望发送到远程设备的请求；3)远程设备生成的随机挑战信息。第一项支持PKI的数据起源认证服务，后两项支持PKI的实体认证服务。

(2) 完整, PKI完整可以采用两种技术之一。第一种技术是数字签名，既可以提供认证(实体认证)，也可以保证被签名数据的完整性。第二种技术是消息认证码(MAC)。这项技术通常采用对称分组密码或密码杂凑函数。

(3)机密，PKI机密采用了类似于完整的机制，其处理过程如下：(1)Alice生成一个对称密钥(也许是使用她的私钥和Bob的公钥)；(2)用对称密钥加密数据；(3)将加密后的数据以及Alice的公钥或用Bob的公钥加密后的对称密钥发送给Bob。

第四、基于PKI身份认证的方法

登录网上银行首先是要确认网上身份的真实性，根据甲乙双方都具有第三方CA所签发的证书和PKI提供的认证服务（使用数字签名加密技术）来进行个人身份的认证和鉴别。认证主要是验证该证书是否是第三方CA签发的有效证书。检查证书的有效期及该证书是否已被作废而进入黑名单。双向认证过程如图4-4所示。

图4-4双向认证过程

其认证过程如下：

(1)客户经浏览器通过SSL协议访问网银服务器；

(2)网银服务器与浏览器握手之后首先要验证客户端证书，验证的过程是：网银服务器使用已置于其中的第三方CA证书的公钥来解密该客户证书的CA私钥签名。如能解密就证明该客户是合法有效的客户；然后网银服务器将该客户的证书再传送至第三方CA证书的目录服务器上，进行查询该证书的有效期和是否进入黑名单，如果黑名单中无名，也在有效期之内，则网银服务器对客户端验证通过；

(3)客户端在网银服务器对其进行验证后，也要验证网银服务器的证书；这样做可有效防止“网络钓鱼”事件和黑客冒充用户登录网银进行资金诈骗的可能性，用第三方证书机制可减少“网络钓鱼”事件的发生。目前，这种认证方式是国内外较全面的网上银行认证方法。

四、综上所述而产生的指纹KEY

基于PKI的USBKEY认证是最安全有效的，但是如果把生物特性跟USBKEY相结合又会是怎么样一个效果呢。目前，对指纹识别器，有的银行用于柜台员的身份识别，如建行、工行的柜员识别系统。但是，就是对银行的柜员身份识别，只是指纹识别器还是很不够的，其最好，最先进的办法，却是指纹KEY。即指纹识别器+USBKey。USBKey中按装数字证书，达到可以完成数字签名的功能。但目前与银行客户的使用，还有一定的距离，除非是那些高端客户。目前，使用PKI的USBKey不失为一种很好的选择。

第五章国内外各大银行网银研究分析

第一节国内银行

一、中国建设银行

我在大学一年级的时候申请了中国建设银行的网上银行业务，我先是到分行柜台申请办理，然后回家在自己的笔记本上登入建行主页进行数据填写和下载数字证书，而且这个数字证书是可以导出到U盘的，有一次我电脑系统重装之后那个证书就不在了，只有到建行柜台重新办理才能再使用银行，其实这个证书是网页证书，而不是移动证书；大概又过了一段时间，建行又推出了动态口令卡的认证方式，接着到了大三的时候建行打电话给我要我去更新网银交易方式，免费给我一个“网银顿”USB-KEY，也就是说在拥有网页证书的基础之上再加上移动证书验证，而且移动证书只能读不能写，防止了木马病毒的侵入，更加有效的建立起安全网银的机制；再到了大四，建行又加了一个安全措施，就是在进入网银页面之前有一句提示语，而这句提示语是由户主自己加进去的，进入网银之前显示的的确是户主输入的提示语那么说明该网站是官方正规网站而不是假冒的！同时建行又添加了一个安全服务叫做短信服务，只要开通了短信服务就能在交易之后发送账户信息到自己的手机上，避免他人取款未知的风险！

优点：跟农行比，不收每年的20元网银手续费，usbkey比农行的便宜，一张卡里能既存活期又存定期。跟工行比，可以进行省内异地缴费，而工行只能缴本地。跟中行比，不收每年的20元网银手续费，而且中行的使用范围很窄，建行很广，几乎所有支持网银的网站都支持建行的，而中行很多网站都不支持，且安全系数低。跟交行比，范围广，有很多网站也不支持交行的。

二、中国农业银行

本人办理农行网上业务跟办理建行时间差不多，农行的网银业务起步比建行晚，所以我去办理的时候就只是输入了一个交易密码就能使用网银，接着在与建行接轨，使用了网页证书，证书可以导出到电脑上备份，避免电脑重启的时候再去柜台办理申请！而且农行有个特色那就是可以有电子支付功能，电子支付卡是农行金穗借记卡、准贷记卡客户通过网银申请的虚拟卡号，它与金穗卡之间建立一一对应关系，并只能用于网上支付，这个功能很简单只要我拥有一张农行的金穗卡，输入卡号跟密码就能在网上付款，但是在2006年的时候被取消掉了，因为这个方法安全性太低，如果自己的卡号跟密码被人盗取之后那卡里的金钱可以一下子被转移！接着农行也使用了动态口令卡和K宝USB-KEY移动证书，使得其安全性提高到一个很好的境界！

个人认为农行的优点：

1.登录农行网站，即使没有开通网上银行，也可以登录公共系统查询余额和漫游汇款兑付。

2.省手续费。这是我这个月才发现的。

1）跨省同行转帐没有收手续费

2）网上漫游汇款也没有收手续费 3.很多基金公司网上直销可以使用农行卡直接支付，工行卡一般都不行。我没有开通农行网上的基金业务，因为需要到营业厅办理相关签约手续，所以最后选择放弃，用工行卡买基金定投。

农行的缺点： 1.很多时候登陆进去后，左边的业务项目栏都没法显示，网站系统的问题，这也是我给农行打分比较低的原因。 2.农行有电子支付卡号，免费的，用这个在支付宝付款时金额是有限制的，但是开通了网上银行就可以用证书支付，无金额限制。

三、中国工商银行

中国工商银行的网银服务是起步比较早的，也是做的最出色的银行，南北信息中心，基本认证方式也是口令卡跟U顿USB-KEY的同时使用来确保其网银账户的安全性，但是中国工商银行有自己的一个特色那就是在输入账号跟密码之前先来一个小E安全检测保证电脑环境的安全，拥有专业的研发团队，是比较信得过的网银银行！

其他银行现在已经都做到了比较高的交易安全性能，都能放心使用！

第二节国外银行

一、国际优秀网上银行安全控制——Wells Fargo

Wells Fargo的网络系统Wells Fargo被认为是美国银行业提供网上银行服务的优秀代表。从使用性能、客户信任程度、网上资源、关系协调、成本等方面，对美国、欧洲等地银行的网上银行服务进行评比，Wells Fargo是1999年度网上银行系统使用性能最好的银行。Wells Fargo的成功得益于安全的SWIFT网络系统。SWIFT网络系统一般要求操作员应有二级登录密码：一级为自身密码，一级为权限密码。权限密码为二级授权，输入、核对、发送分人管理，每一份报文发妥后，注明输入、核对、发送人员名单存入美国操作中心。SWIFT网络系统在数据处理中心、网络传输层和数据自身的安全性三个方面给予了重点考虑。一是SWIFT分别在比利时、荷兰和美国设立了数据处理中心，每个中心之间互为备份。当一个中心发生故障时，在30分钟内，另一中心就会替代它的工作。正常情况下，系统按月撤换运行内容，以保证备份机制的可操作性。二是在网络传输层的安全方面采用了三项措施，防止了任何非法用户的入侵：网络的进入点严格由数据处理中心控制；所有国际线路由SWIFT统一进行加密；用户线路的加密由用户选择，可用专线加密联接，也可用端到端的X.25加密。三是数据采用以下措施来保证自身的安全性：客户数据以加密方式存储，只有通过授权的客户和内部稽核人员才可存取；通过专用的“签到”手续(或智能卡技术)才能存取各种服务；根据双方约定的键值对交易进行加押，以保证交易数据的绝对安全。SWIFT网络系统采用128位加密。除了有严格的传输安全保障机制，网上银行系统与客户的服务器之间又加入了病毒防护层。

二、风险控制机制快速发展——Entrium DirectBankers

Entrium Direct Bankers的风险控制机制快速发展的直接网上银行(Direct Bank)的代表是德国的Entrium DirectBankers。1990年，Entrium Direct Bankers作为Queue邮购公司的一部分成立于德国，最初通过电话线路提供金融服务，1998年开辟网上银行业务系统。目前已经成为德国，乃至欧洲最大的直接银行之一。Entrium没有分支机构，依靠电话和因特网开拓市场、提供服务。首先，Entrium Direct Bankers有具体的风险控制部门。其次，网络的风险除了内部风险部门实行实时监控外，电脑操作程序的设计也具有风险控制系统，在西方国家银行的系统风险控制中发挥了重要作用，也很值得我国商业银行借鉴。外部作用机构——社会资信咨询公司在网上银行的风险控制中也功不可没。Wells Fargo和Entrium Direct Bankers取得的成功归功于几个因素：及早地开发和使用高科技，包括Internet；采用的系统和产品安全可靠；成熟的风险控制机制，值得借鉴。

第六章加强我国网上银行交易安全管理的建议

我国网上银行起步较早，发展较快，现在己进入网上银行稳定发展的新时。由于我国金融业发展背景与国外不同，而且在银行信息化建设的技术方面相关政策等方面与国外有较大差别，我网上银行的发展具有起步早、发展快、题突出和空间大的特点。针对我国经济、政策等具体情况，找出真正适合我国情的网上银行持续发展模式，进一步加强网上银行的安全发展是目前的重之重。

第一节整合各银行系统，建立网上银行安全中心

根据国家“十五”攻关课题“银行业信息化示范工程”有关负责人介绍，建设与国际接轨的现代金融体系，增强银行业综合竞争实力，就必须充分利现有资源和建设成果，通过整合已有系统，建立银行业网间互联平台，为加金融信息化建设和金融业务创新提供网络基础支撑环境。整合银行系统即是各银行之间构建一个支持多种互联网应用、安全可靠、资源共享的互联平台，相当于将各个银行自有的资源联结成一个整体的系统。现期网上银行通过各交易系统进行工作，而交易系统的整合在技术上比较容易实现。而且构建开式的交易系统，对系统功能、业务流程以及数据信息进行多层面集成，使异、分散的应用系统形成有机的整体，可以更好发挥银行系统平台的整体效能，能够很好的解决以下问题。

一、解决网址域名混乱

最早以机构区分的最高域名有7个:com(商业机构)、net(网络服务机构)、ov(政府机构)、mil(军事机构)、o嗯(非盈利性组织)、edu(教育部门)、int(国际机构)。1997年又新增7个最高级标准域名:firm(企业和公司)、Store(商业企业)、web(从事与wEB相关业务的实体)、arts(从事文化娱乐的实体)、EC(从事休闲娱乐业的实体)、info(从事信息服务业的实体)、nom(从事个活动的个体、个人信息)。在前段时间的工商银行被网络钓鱼犯罪分子利的案例中，犯罪分子所使用的假工商银行网址icbc.org.cn与真正的工商行网址icbc.com.cn极为相同，仅后缀名有所不同。如果银行系统进行整，给银行以统一的域名后缀，就可以杜绝网络钓鱼这种犯罪方式的肆虐。

二、避免资源浪费

武汉理工大学硕士论文降低成本是银行系统整合的动力。以往的银行业一直存在着“专网专用”象，尽管“同城清算”、“信贷登记咨询”、“账户管理”等系统都己经被应用，是在设计和少卜发这些应用系统时，各个银行通常只按自己设计的网络架构进互联互通，未充分考虑与其他金融业务及网络的融合。这种建设方式导致在一城市中，金融机构间存在多个网络链接，多头建设、重复建设现象普遍存。互联网出口多、安全保证滞后、缺乏标准、数据交换流程不规范、资源浪、系统可复用性差等缺陷导致新应用系统的快速研发和推广难以实现。特别在网上银行的建设中，我国网上银行的服务种类还没有分化，大多数都还只意义上的相互复制，这就使得重复开发的问题格外严重。从投入研发到市场出，往往需要一到两年，不仅投入了相当的人力和财力，还浪费了大量时间。

三、统一数字证书

许多银行由于商业利益的原因，都自建了CA中心，采用的证书有硬件证书、件证书等，无论从证书本身还是体系上都没有统一的标准。虽然中国金融认中心(CFCA)己经成立多年，但采用CFCA的数字证书的并不多，因为国家有明文规定必须采用CFCA的证书，也没有统一的标准规范证书的发放和使。这样，就造成数字证书混乱的现象。此外，各个证书之间无法互认证，用手中往往不得不持有多个证书，不仅不方便，更影响了网上银行交易的安全。种情况在美国也同样存在，在美国数字认证体系建设初期政府并不参与，采的是完全的市场化运作，使美国的很多公司开始应用自己的数字认证体系和字证书。其结果是，用户虽然有很多证书，但这些证书之间却不能通用，大增加了用户的使用成本。为改变数字证书格式不统一给社会各方带来的不便，国曾经试图建立一种平台(称为“桥CA”)，将各种数字认证体系下的密钥转成格式统一的密钥，但这项工程所需的巨大投资却无人愿意承担，最终这个法并没有实现，所以今日的美国正受到“多重信任体系”的困扰。我国数字证书认证体系起步较晚，应吸取国外的教训，建立统一标准、合布局、按区域划分认证体系单位。银行系统整合，统一颁发数字证书，就能很好的解决这个问题。

第二节在传统银行基础上逐步进行网上银行的深度开发

网上银行相对于己经有几百年发展历史的传统商业银行来说，还是一个新的事物，国内外都站在同一个起跑线上，这是我国商业银行再次发展的巨大武汉理J_大学硕士论文遇。因此，我国商业银行应好好把握这个机遇，实现传统经营理念和方式的破。针对我国的具体国情，要注意在发展模式上有所把握，既要借鉴国外网银行发展的经验教训，又不能完全的照搬硬套。

一、根据我国国情，继续发展依附式网上银行

世界上第一家网上银行是于1995年10月在美国成立的安全第一网上银行，银行的营业厅就是网页画面，银行的员工只有19人，主要的工作就是对网络维护和管理，属于纯虚拟的网上银行。同属于纯虚拟网上银行的还有FSharp网上银行、Firt-e、ZeBank等，但就目前来看，国外的银行业却被迫面对这样个现实:选择纯虚拟网上银行模式的网上银行大多以失败而告终。在损失惨后，这些银行有逐渐依附传统大金融机构的趋向，如美国第一安全网络银行加拿大皇家银行收购，依托于传统商业银行众多客户发展业务。该案例证明，上银行依托于母体，可以起到互补作用。依附式网上银行是目前国际上比较行的发展模式，也为绝大部分商业银行所采用。

国内首家推出网上银行业务的招商银行广州分行行长罗继东前不久在一个息化论坛上表示，传统银行的网络化己经是不可阻挡的趋势。而在网上银行构建和深度开发中有些问题还必须要有所考虑。西方的网上银行发展过程中经验教训表明，脱离了传统银行的纯网上银行在目前没有生存空间，网上银必须在传统的基础上逐步构造。根据我国国情，继续发展依附式网上银行应我国在未来一段时间内的发展模式。

二、险分散化，保障客户权益

在网上银行完善自身安全设施和配套措施的同时，引入其他行业介入，分风险，能够引导网上银行更加健康的发展。我国目前处理网上银行用户财产全问题均根据银行与用户签订的协议，使用户处于被动地位，对用户的正当益产生威胁。但网上银行的安全应该是政府、银行、客户和外包商等共同努的结果。在美国网上银行的风险可以得到很好地分散，根据网上银行交易风易发的三个环节分别开发险种。首先，存款有联邦存款保险公司的保障;其，有网络信息保险业务:一是“黑客保险”，二是针对网上产品、服务疏忽或行失败所引起的法律诉讼保险，三是员工忠实险。实践证明，在银行业务中入保险业，可以大大减小给客户带来的损失，而且也能够很好的对银行起到约和激励作用。

第三节加强非现场监管，建立网上银行风险监管体系

网上银行还处于一个蓬勃发展的阶段，如果我国监管当局不积极进行研究，理引导，不仅不利于银行的稳健发展，还可能会留下风险隐患。我国监管部必须采取切实措施，积极发展和合理监管我国网上银行业。网上银行的诞生银行领域的一场革命性的变革，正处于不断的发展和演化过程中，因此对网银行的监管也是一个不断发展和完善的动态过程。我国网上银行的监管尚处起步阶段，怎样进行有效监管是我国监管部门面临的重大课题，我们可以借美国和欧洲国家对网上银行监管所积累的成功经验，结合我国国情有计划、步骤地建设我国网上银行监管体系。通过非现场监管能够及时、持续监测金融机构的经营和风险状况，并能为场检查提供依据和指导，使现场检查更有针对性，从而有利于合理分配监管源，发挥现场检查的最大效力。作为银行业持续性监管的必要组成部分，中人民银行对银行业非现场监督系统的建设一直滞后于现场检查系统的建设，响了现场检查的效果。对网上银行业的监管目前正处于框架设计阶段，因此，充分总结经验教训，在开发对网上银行的现场检查系统的同时，开发对网上行业的非现场监测系统。在实际操作中，应建立并逐步健全一套自上而下的够快速适应客户需求变化、网上银行技术性变化和市场变化的风险控制部门，括风险部、合规部、稽核部和信用部等，严格规定各部门的职责，形成一个责明确、功能齐全而又紧密联系的网上银行内部风险控制组织体系，并共同成网上银行风险防范和控制的一道重要防线。

第四节加大技术防范力度

在技术层面，根据第四章的结论，我国网上银行应该重视物理安全措施、洞与“后门测试”、系统备份与恢复、内部管理控制、IDs、防火墙布控、IPSec、户端安全防护、SET、智能卡、SSL、数据加密、CA认证等风险防范措施。过自评，可以明确了解自身的薄弱处，从而有针对性的加以投入。在国外，针对交易安全问题频频发生，大力推广动态密码，从客户端杜绝全隐患是目前最为常用的方法。而在我国，仅有少数银行为用户提供动态密的保护方式，如工商银行和浦发银行，其他银行基本上还是沿用老的密码模。在信息技术飞速发展的今天，银行应积极的应对各种可能的风险，与时俱不断完善自己的安全措施，确保用户的财产安全。动态密码能够很好的控制户端的风险，而投入相对于其他技术来说偏低，银行应该大力推广这种风险范技术，不吝短期的投入，放眼于网上银行健康长远的发展。

第五节进一步完善网上银行安全的法律法规

与网上银行相关法制建设较发达的国家与地区，以及巴塞尔委员会等国际织在网上银行业务监管问题上所积累的先进经验相比，我国现行的有关监管制总体上还处于初期，很多地方还存在真空。即使是专门为处理网上银行问而出台的《暂行办法》也停留在比较概括的层次，其操作性、专业性与细致均函待加强40。并且在实践中还有许多新问题的有关法律问题需要进一步研究予以明确。因此，我国网上银行法律体系的构建还存在相当大的发展空间，当随着网上银行发展的深入而逐渐细化、丰富并予以完善。

第七章总结

通过对网上银行的了解和对交易安全的研究之后，我觉得网银交易安全的重中之重是交易认证方式。根据以上的各种交易认证方式的研究，我自己又想到了一个可行性很高的方案——基于交易确认的银行系统安全方案

目前手机作为普及的通信工具，是个人随身携带、自己专用且经常使用的通信设备，发生失窃能及时发现。而且手机号码具有一卡一号不重复的特性，手机号码可作为网银交易时客户的身份证明。如果利用手机的短信通信功能和银行的短信银行服务，由银行处理系统在客户交易时随机生成交易确认信息，通过短信系统发送给客户，再由客户输入提交的交易信息返回给银行，银行处理系统对客户提交的交易信息与原先发送给客户的交易信息进行核对，判断是否相符，利用手机号码作为客户身份证明这一特性，即可实现对客户身份的即时再确认。这种通过交易确认的方法，可动态地验证客户身份，有效解决网银的安全问题，提高网银的安全性。

【参考文献】

[1]晓辉.网络安全与技术应用[J]. Network Security Technology & Application, 2009,（1）:33-34

[2]薛岷.我国网上银行发展现状、问题及对策研究[D].东北：东北师范大学，2006

[3]顾韵华,刘素英. 动态口令身份认证机制及其安全性研究[J]. 中文核心期刊<微计算机信息> (管控一体),2007,23(11-3):51

[4]李晓峰,赵海.网上银行的身份认证与交易的安全防范[J].国家信息安全测评认证,2007(9):13-17.

[5]JosephA.DiVanna.Redefining Financial Services[J].Journal of Economic Perspectives,2005(2):22-34

[6]HenryEngler.The Future of Banking[J].American Econnomic Review,2005(2):43-56

[7]刘知贵，杨立春等.基于PKI技术的数字签名身份认证系统[J].计算机应用研究.2004,(9):158-160.

[8]张慧娜,董丽丽,闫晓慧. 基于PKI的网上银行身份认证的探究[J].计算机安全,2008,(07):62-63

[9]张进，姚志国.网络金融学[M].北京:北京大学出版社，2002.96-99

[10]柯新生.网络支付与结算[M].北京:电子工业出版社，2004.71-75

[11]王宇佳.浅析我国网络银行的安全问题及对策[D].厦门:厦门大学，2002.

[12]李涛.网络安全概论[M].北京：电子工业出版社，2004. 11-18

[13]林柏钢.网络与信息安全教程[M].北京：机械工业出版社，2004.7-12

[14]宋安平.商业银行核心竞争力研究[M].北京：中国金融出版社，2005.7-33

[15]黄宗捷.网络金融[M].北京：中国财政经济出版社，2003.77-89

[16]孙森.网络银行[M].北京：中国金融出版社，2004.44-56

篇3

关键词：网上银行网络支付安全性问题

随着电子商务技术的发展,网上银行的使用也越来越广泛,但是网上银行还存在很大的安全问题,必须引起广大网民群众的重视。

一、我国网上银行存在的安全性问题

1.网上银行网站存在的安全性问题

在网络银行中,企图非法窃取密码的作案者如果采用可以改变登录ID的方法,即便登录失败,网站也不会将密码视为无效。除了用软件窃取密码这样的隐忧以外,“冒充站点”也是网上银行使用中一个非常重要的安全隐患。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后,如果显示出一个“服务马上就要停止”的画面,或者把客户访问重新引导到正规站点上,客户当时是很难察觉的。这样一来,就存在有人进行非法资金转移的可能性。

2.交易信息在商家与银行之间传递的安全性问题

因为互联网的虚拟性,交易双方无法确保对方身份的真实性,尤其在当事人仅仅通过互联网交流时,在这种情况下,要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨,安全性是最大问题,发展网上银行业务,大量经济信息在网上传递。而在以网上支付为核心的网上银行,电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网上银行还不能算真正的网上银行,只有真正建立起国家金融权威认证中心(CA)系统,才能为网上支付提供法律保障。

3.交易信息在消费者与银行之间传递的安全性问题

目前,我国银行卡持有人安全意识普遍较弱,不注意密码保密,或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出,用户账号就可能在网上被盗用,例如进行购物消费等,从而造成损失,而银行技术手段对此却无能为力。因此一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。用户和银行之间通过互联网传递的信息是实现交易的基础条件,如何确保不被第三方知道,是网上业务安全进行的一个重要前提。

综上所述,其根本原因都是由于登录密码或支付密码泄露造成的。①密码管理问题。②网络病毒、木马问题。③钓鱼平台。另外还有网上支付的信用问题、网上支付的法律问题和网上安全认证机构(CA)建设混乱等问题。

二、网上银行安全性问题解决的对策

1.做好自身电脑的日常安全维护

一是经常给电脑系统升级。二是安装杀毒软件、防火墙,经常升级和杀毒。三在平时上网是尽量不上一些小型网站,选大型网站,知名度比较高的网站,避免网站挂有病毒、木马造成中毒。四尽量不要在公共电脑上使用自己的有关资金的账户和密码。五有条件的情况下,在初装系统后确认电脑安全的后,给自己的电脑做上备份,在使用资金账户前做一次系统恢复。

2.设立防火墙,隔离相关网络

所谓防火墙指的是位与不同网络安全域之间的软件和硬件设备的一系列部件的组合,作为不同网络安全域之间通信流的唯一通道,并根据用户的有关策略控制进出不同网络安全域的访问。现实生活中一般采用多重防火墙方案,分隔互联网与交易服务器,防止互联网用户的非法入侵;还用于交易服务器与银行内部网的分隔,有效保护银行内部网,同时防止内部网对交易服务器的入侵。

3.设置高安全级的web应用服务器

高安全级的web服务器使用可信的专用操作系统,凭借其独特的体系结构和安全检查,保证只有合法用户的交易请求能通过特定的程序送至应用服务器进行后续处理。

4.建立完善的身份认证和CA认证系统

在网上银行系统中,用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验,全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输,确保了身份认证的安全可靠性。数字证书的引入,同时实现了用户对银行交易网站的身份认证,以保证访问的是真实的银行网站,另外还确保了客户提交的交易指令的不可否认性。由于数字证书的惟一性和重要性,各家银行为开展网上业务都成立了CA认证机构,专门负责签发和管理数字证书,并进行网上身份审核。2000年6月,由中国人民银行牵头,12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为今后实现跨行交易提供了身份认证基础。

5.加强客户的安全意识和网络通讯的安全性

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。一些银行规定:客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付,以此保障客户的资金安全。另一种情况是,客户在公用的计算机上使用网上银行,可能会使数字证书等机密资料落入他人之手,从而直接使网上身份识别系统被攻破,网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础,从一开始就受到各家银行的极大重视,都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的,越安全就意味着申请手续越烦琐,使用操作越复杂,影响了方便性,使客户使用起来感到困难。因此,必须在安全性和方便性上进行权衡。

互联网是一个开放的网络,客户在网上传输的敏感信息在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生,网上银行系统一般都采用加密传输交易信息的措施,使用最广泛的是SSL数据加密协议。

参考文献:

[1]孙强.互联网商务应用[M].北京:对外经济贸易大学出版社,2000.

[2]关翔.中国电子商务与实践[M].北京:清华大学出版社,2000.

篇4

关键词：网上银行;安全风险;防范对策

网上银行是依托计算机网络实现银行服务。在Internet上的虚拟银行柜台，是银行利用Internet技术，向客户提供开户、查询、对帐、行内转帐、跨行转账、信贷、网上证弧⑼蹲世聿频却统服务项目，使客户足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人投资等。然而由于网上银行的虚拟性和开放行，同时也给客户资金带来了安全风险。

一、网上银行的安全风险

（一）操作风险

操作风险是指由于客户自身和银行内部管理不当、控制系统失灵而导致的各类风险。因其涉及面广、可控性小、关联性强，是目前我国网上银行面临的主要风险。

1.客户自身操作不当带来的风险

一是客户为了便于记忆，常常把自己或亲人的生日作为网银密码，将自己网银与其它网站共用相同的密码，由于其它网站的密码泄漏进而导致自身网银密码的泄漏。

二是客户防范能力比较低，轻信他人，如网络钓鱼、电话诈骗等，使客户信以为真，从而导致网银密码的泄露。

三是利用公共场所（如网吧）和无安全保护的WIFI环境下使用网银，导致个人网银敏感信息的泄漏。

2.银行内部管理和操作风险

一是缺乏对网上银行业务的系统性管理，极易出现多头管理或管理的真空地带，埋下操作风险隐患。

二是内控相对滞后。目前，银行机构大多将网上银行的重点战略任务放在业务拓展上，以抢占市场份额为出发点，注重产品开发和运用，但在风险防范和内部控制建设上却较为滞后。

三是银行网站出现漏洞，不合理的服务器和防火墙的设置易遭受病毒的攻击，使银行网站处于崩溃失灵状态。

（二）信用风险

信用风险又称违约风险，是指借款人、证券发行人或交易对方因种种原因，不愿或无力履行合同条件所带来的风险。在网络的虚拟世界中，交易双方不直接见面，身份难以确认，追究违约责任等方面有较大的障碍。近几年，虽然我国市场经济得到了快速发展，但信用意识和信用道德规范严重缺乏，整个社会信用体系不完善，发展相对滞后，交易活动中失信现象非常严重。使网上银行这一新生事物的生命力受到削弱，其发展势头也必将遭到遏制。

（三）法律风险

由于网上银行是新型的金融业务，具有其独特性，有别于传统银行，我国对网上银行的法律制度规范不够健全，使犯罪份子利用法律的某些缺陷给银行和用户带来了不必要的损失。网上银行具有开放性，网络自身的虚拟性给公安机关带来许多挑战，犯罪份子利用计算机技术窃取网上银行秘钥或采取黑客技术攻击网络主机，这种犯罪活动不会留下现实犯罪的痕迹，执法过程中取证困难，网络系统技术和管理中存在漏洞等将导致网上银行的法律风险出现。

二、网上银行的安全风险的防范对策

（一）操作风险的防范对策

1.提醒客户操作风险的防范对策

申请开通网上银行时绑定网银安全产品，如U盾、K宝、E令等安全产品，设置密码要科学，同时要记清官方网站的网址，登录网站时不要通过链接或按照他人指示的网址登陆。避免自己的计算机被病毒感染或受到黑客攻击，为计算机安装杀毒软件和防火墙并及时更新。切勿在图书馆、网吧等公共场所使用网银，建议开通银行帐户资金变动的短信通知功能，网银登陆短信提醒等服务，时时掌握账户情况，提高交易安全性。

2.银行内部管理策略

在银行组织内部控制系统框架的设计中，要明确内部治理的职责分配，将操作风险控制、业务操作和后台服务等部门分离，避免造成管理重复。使风险防范责任与员工个人利益直接挂钩，各负其责，使责任落实到个人。要及时、深入了解重要岗位人员工作、生活情况，掌握思想和行为变化动态，对行为失范的员工要及时进行教育疏导，情节严重的，要严肃处理。

加强网上银行控制管理系统建设，负责对网上银行操作风险事中、事后的分析与控制管理，可以全天候、多维度掌握网上银行操作风险的情况。一旦网上银行出现操作风险引起的紧急事件，银行必须及时作出反应，在最短的时间内发现问题和解决问题，以保证将银行和客户的损失降低到最小，及时更新网上银行主页上有关安全问题及解决方案的内容。

（二）信用风险的防范对策

银行内部应建立一套完善的信用管理机制，对客户进行追踪调查，以保障银行的切身利益，促进网上银行信用体系建设。应从以下几方面入手。

（1）加强网上客户档案管理，培养专门的人才从事信用管理的工作。

（2）合理利用客户信用信息。

（3）建立第三方信用服务认证机构，目的是与国际信用管理体系接轨。

（4）建立第三方信用评级机构，目的是以第三方的身份出现，可以站在一个客观的立场，极力维护评级的公正性，可以帮助银行对企业和个人的信用进行评级。

（三）法律风险的防范对策

借鉴欧美等发达国家关于网上银行的法律制度，与国际组织接轨，建立健全的网上银行业务相关的法律、法规。制定有关网上银行建设与发展的相关条例和法律等，同时加大对网络金融犯罪的惩罚力度，强化执法手段，从立法和制度上保障好网上银行各项业务的健康发展。网络金融业务环境的开放性、交易信息传递的快捷性强化了国际金融风险的传染性，使得各国银行监管机构对金融市场的单一监管的有效性大大降低，因此，制定网上银行法律监管的国际性标准、开展国际化合作日益重要。

参考文献：

[1]刘明明.网络金融的安全风险防范[J].金融电子化，2009（01）.

[2]陶良华.网上银行常见安全问题介绍[J].计算机安全，2009（07）.

篇5

关键词：网上银行；信息安全产品；服务质量；差距分析

中图分类号：F713.5　文献标识码：A　文章编号：1003－3890(2011)11－0039－04

一、引言

网上银行能够为用户带来许多快捷便利的服务，为银行节省巨大的成本费用和带来更多利润增长点，于是各大银行都积极拓展网上银行业务，工行、建行、农行、中行、招行已成为国内网上银行交易额排名居前的银行。为了消除客户对网银安全方面的担忧，网银都纷纷加大了技术力量的投入，推出了各种信息安全产品。易观国际的《中国网上银行用户研究报告2009》显示，工商银行的U盾、电子银行口令卡，用户覆盖率为53.3％，排名第一，建设银行的网银盾，用户覆盖率为39％，招商银行的免驱动“优key”，用户覆盖率为30.2％，农业银行的K宝，用户覆盖率为21.8％，中国银行的免费动态口令牌，用户覆盖率为14.1％，在保障网银客户信息、资金的安全方面取得了显著成效。

然而，我们对网上银行客户论坛数据的跟踪调查结果显示，客户在使用网银及其信息安全产品的过程中，仍然存在很多问题，这主要是因为网银提供的信息安全产品以及相关的服务与顾客所期望的服务存在一定的差距，即顾客感知的服务质量差距。本文试图从服务营销理论中的服务质量差距模型出发，分析出网上银行信息安全产品的服务质量差距的种种具体表现，识别出影响网银信息安全产品服务质量差距的主要因素，分析服务质量差距产生的主要原因，为研究服务质量差距弥合策略提供有价值的依据。

二、服务质量差距模型概述

服务质量差距分析模型是由美国的服务管理研究组合PZB(A.Parasuraman,Zeithaml，V.anLBerry)于1985年在长期实践基础上提出来的，如图1所示。

该模型将服务质量差距分为以下几个层次：

顾客期望与企业感知的差距，指企业没有能够准确地感知到顾客对服务的期望。

企业感知与服务标准的差距，指企业没有能够准确地设计出服务标准。

服务标准与服务传递间的差距，指企业的服务传递没能达到其所制定的服务标准。

服务传递与外部沟通间的差距，指企业提供的服务与对外沟通中所做的承诺不一致。

顾客期望与顾客感知间的差距，指顾客所感知到的服务质量与其预期的不一致。

该模型认为：前面4个服务质量差距是供应商差距，属于企业内部行为，由于一个或多个供应商差距的存在，导致了顾客感知的服务差距，虽然我们关注的核心是顾客差距，但是弥合顾客差距的关键在于弥合所有的供应商差距，并应使其处于持续弥合状态。服务质量差距模型层次清晰，简明易懂，是发现顾客与企业对服务质量的感知差距的一种直观而有效的工具，为企业诊断影响服务质量的因素提供了一条实用的路径问。

三、网上银行信息安全产品的服务质量差距分析

从服务质量差距分析模型出发，将面向顾客的外部沟通归纳到服务传递差距中，结合现今各大银行提供的网上银行信息安全产品及其相关服务，并根据对各大网银的网上论坛以及对传统网点顾客的问卷调查，我们可以清晰地分析出网上银行信息安全产品的服务质量差距的具体表现及其产生的原因，归纳出影响服务质量差距的各种主要因素，为网银制定信息安全产品的服务质量差距弥合策略提供依据。

(一)网银信息安全产品的顾客期望与银行感知的差距

当银行推出网上银行及其信息安全产品与相关服务的时候，由于互联网信息技术是一个全新的领域，银行常常会根据以往的经验来认知顾客的需求，而顾客则是通过售前宣传册、广告、对互联网服务的一些体验经历、相互交流等途径来期望这种全新产品及其相关服务，银行对顾客需求的认知和顾客的期望之间通常会产生一定的差距，这些具体表现如表1所示。

从表1我们可以看到，网上银行最为关注的是安全性，主观地认为只要安全性提高了，顾客就会满意，而顾客除了关注安全性外，还会更加关注价格、方便性、易用性以及出现问题后网银的解决速度，其对产品与服务的期望贯穿了购买、使用的全过程。由于我国银行业一直以来都是垄断行业，银行的服务意识一直比较薄弱，对顾客需求的挖掘不够重视；而且，网上银行是一个以互联网信息技术为基础的新生事物，近几年发展极为迅猛，网上银行和传统银行网点的管理层与员工对网银及其信息安全产品的认识也都极为有限，传统银行网点通常会认为其只需负责为顾客办理开通网上银行业务，销售网上银行信息安全产品，而与网银及其信息安全产品的相关服务都属于网上银行部门的责任范畴，这些都是导致银行认知与顾客期望之间产生差距的主要原因。

(二)网银对顾客期望的认知与服务设计的差距

一旦识别出顾客对网银信息安全产品及其服务的期望，网银管理者面临的下一个挑战就是如何准确地把对顾客期望的认知转化为具体的服务。网银管理者对顾客期望的认知和他们基于这些认知所设计的服务标准之间，通常也会产生一定的差距，具体表现如表2所示。

基于网银管理层对顾客期望的认知和服务设计之间所产生的差距，主要体现在没有考虑不同信息技术知识结构、不同收入层次的顾客对网银信息安全产品及其服务的需求，如大部分信息化程度较低的顾客仍然需要面对面的指导，对于收入较低的顾客，60元～100元的价格将是一个很高的门槛，因而产品的丰富多样性不够；再有，过分依赖网上的自助操作指南，与传统网点的沟通、协调、分工不够明确，对网点员工对网银的宣传、传播角色的服务设计不够；此外，没有把握好安全性与便捷性之间的平衡，过分强调了安全性，忽视了方便性、易用性、便捷性的服务设计，对新顾客的促销活动较多，而对老顾客的优惠活动的设计却很少，对特殊问题的服务模式设计不足。

(三)网银信息安全产品的服务设计与服务传递的差距

正确的服务设计和标准确立以后，网银还必须确保系统、流程、人员全部到位，才能保证服务传递与正确的服务设计和标准相匹配，否则就会导致网银员工的实际服务绩效与服务设计标准之间产生传递差距。网银信息安全产品的服务传递与服务设计之间的传递差距的具体表现如表3所示。

网银信息安全产品的服务传递差距主要表现在服务传递过程中面向顾客的外部沟通不足，没有充分利用传统网点及其网银体验中心进行顾客教育与培训。因为网上的自助服务指南只能满足信息化程

度较高的顾客，而对于大部分信息化程度较低的顾客还需要传统网点面对面的指导与培训，对网银信息安全产品这样一个全新的服务面向顾客的服务承诺也有欠缺，使得顾客不能完全放心地使用网银。其次，银行对传统网点员工信息化程度的提升、培训、约束和激励措施不足，传统网点员工的信息化程度普遍比较低，不能有效、及时地解答顾客在安装、使用、更新网银信息安全产品时所遇到的问题，对顾客的主动宣传力度也不够。另外，对老顾客的关注与优惠不足，U盾驱动程序版本过多，升级频率过高，安全控件安装和更新的提示页面会对顾客造成一定的心理负担，对特殊问题的解答不够及时等方面也存在一些服务传递差距。

(四)网银信息安全产品的顾客期望与顾客感知差距

享受任何产品及其服务的顾客都会自觉或不自觉地把自己所感知的服务质量与其所期望的服务质量进行对比，顾客所期望的服务和感知到的服务不一致时就会导致顾客感知的服务质量差距。网银对顾客期望的认知，信息安全产品设计的服务标准与实际传递的服务，最终都将导致顾客对网银信息安全产品服务的期望与其对服务的感知出现差距，具体表现如表4所示。

在使用网银及其信息安全产品之前，顾客对网银信息安全产品的期望来自于网银的宣传册、广告以及各种传播途径，他们期望能享受免费的或低价的服务，除了安全性要有保障外，使用起来还应非常方便。在使用过网银及其信息安全产品之后，他们对于网银信息安全产品的期望更为深入和细化，对于网银信息安全产品及服务的期望集中在使用过程的各个环节，但仍然可以归结为使用的便捷性或在保证安全性上的便捷性。最后是对售后服务过程中疑难问题解答的及时性，希望有形展示以及面对面的指导，尽管网上有各个栏目、各种指南，顾客还是希望传统网点能够提供专业的、技术的、面对面的指导。

篇6

关键词：商业银行　网络安全　网络风险

1　城市商业银行网络安全建设现状

银行的信息与网络安全建设与银行的整个电子化、信息化和网络化密切相关，把金融风险监管现代化和金融电子化、信息化和网络化风险的监管密切结合起来，是搞好银行与阿络安全建设的根本思路。目前城市商业银行信息化安全的观念对于网络与系统的虚拟世界的“行为与内容的监管”和“大范围的网络环境的安全问题”，考虑较少。

1.1银行网络行为和内容的安全情况

银行网络的安全问题实际是银行风险监管的问题，银行风险监管既要检查银行和客户人员在现实世界中的人与银行业务相关的行为结果，又要检查网络虚拟世界中用户、系统和的行为，实际上要对银行监管实行监管现代化的建设和银行信息化实行监管。

1.2银行业务运营信息化安全情况

主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统等。对于这些业务信息系统，由于银行系统有高度的安全意识银行系统的安全工作开展的较早，制定了相关的标准和规范，进行了安全规划与实施等。

1.3银行网络系统安全情况

当前银行网络系统安全问题重要表现在数据大集中后的安全，其特点是数据服务大集中，前置通信中心强大的和众多本地与远端终端的中心体系结构。

应该看到，电子化在给银行带来利益的同时，也给银行带来了新的安全问题。原因主要有三个：伴随金融体制改革的深入、对外开放的扩大，金融风险迅速增大；当前计算机应用日益广泛、日趋网络化，系统的安全性漏洞也随之增加；计算机知识日益普及，金融网络向国际化发展，计算机犯罪技术在不断提高。

2　银行网络安全重点关注的方面

目前银行用户关注的信息化安全问题主要是客户隐私、用户权益、信息内容安全和客户可信接入银行网等问题：

全面整合银行信息化安全建设，在此基础上建立银行信息安全保障、应急和监管系统。

以安全观点再度审核银行应用数据大集中的安全建设问题、专网与公网的隔离安全建设、银行外包服务安全建设、安全检测、监控、审计、追踪和定位系统建设、制定安全应急标准与安全应急培训。

3　安全风险分析

我们可以参考国际标准化组织ISO开放系统互联(OSI)模型，将整个银行系统的安全风险统一划分成五个层次，即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。

3.1物理层安全风险分析。物理层安全包括通信线路的安全，物理设备的安全，机房的安全等。

3.2网络层安全风险分析。网络层安全包括网络层身份认证，网络资源的访问控制，数据传输的保密和完整性，远程接入的安全，路由系统的安全等。

a数据传输风险分析。表现在重要业务数据泄漏、重要数据被破坏等，如果没有专门的软件或硬件对数据进行控制，所有的广域网通信都将不受限制地进行传输，因此任何一个对通信进行监测的人都可以对通信数据进行截取

b网络边界风险分析。主要表现于银行业务系统安全和互联网出口的安全。

c网络设备的安全风险。由于银行专用网络系统中使用大量的网络设备，如交换机、路由器等，使得这些设备的自身安全性也会直接关系的银行系统和各种网络应用的正常运转。

3.3系统层的安全风险。主要表现在两方面：一是操作系统本身的安全漏洞和隐患；二是对操作系统的错误配置。

3.4应用层安全风险分析。应用层安全是用户采用的应用软件和数据库的安全性，包括数据库软件、Web服务、电子邮件系统、域名服务系统、业务应用软件，以及其他网络服务系统(如Telnet、FTP等)。

3.5管理层安全风险分析

管理层安全包括安全技术和设备的管理，安全管理制度的制定，部门和人员的组织规划等。要建立完备的安全网络最终要靠人来实现，因此管理是整个网络安全中最为重要的一环。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。

4　安全方案总体设计

4.1网络安全建设原则

网络安全建设是一个系统工程，银行网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。

在实际实施中还要按照系列基本原则进行：系统性原则；简单性原则；实时、连续、安全统一原则；需求、风险、代价平衡原则；实用与先进相互结合的原则；方便与安全相互统一原则；全面防护、突出重点原则；分层、分区原则；整体规划、分布实施原则；责任明确，分级管理，联合防护原则。

4.2网络安全建设目标

我们对于银行网络系统安全建设的目标为：采用防护、检测、反应、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，确保银行网络系统安全可靠的运行

a系统级安全目标。保证操作系统、数据库管理系统的安全补丁不断升级、安全设置正确，防止计算机终端、服务器感染通过软盘、光盘、网络、电子邮件及其它网络途径传播的计算机病毒。

b网络级安全目标。保证内外网之间、内部网不同网络安全域之间的安全隔离和有效的访问控制，保证系统业务敏感信息网络传输中的机密性、完整性，保证网络攻击和网络安全漏洞及时发现、告警，网络安全状况不断改善，以及保证银行网络系统网络传输系统的高可靠性：主要指线路、设备的备份、冗余等。

c应用级别安全目标。防止本地用户和远程用户的非授权访问、越权访问和身份假冒，保证各种服务系统的正常运转。

d管理级安全目标。对安全软硬件设备(如防杀病毒软件、入侵检测软件、安全MPN设备、防火墙设备)和安全策略、安全状况能够集中统一管理、监控、审计和响应，保证安全责任分解到人、出现问题有迹可寻，加强管理制度和管理体系建设。

4.3整体安全设计概述

整体安全设计要最大限度保障业务系统、办公系统的安全，做到安全性和方便性的统一。

a数据库服务器是业务系统中最重要的数据库部分，它保存了所有业务交易相关的各种帐务数据，因此必须对它们实行有限访问控制防护——配置双机热备防火墙系统。

b由于办公机器众多、员工的安全防范意识较差，需要与互联网接入，又要直接接入OA办公、决策等系统，因此，办公机器应受到高度关注。

c由于网络中设备、主机数量众多，应此使用日志审计系统收集全网中的安全设备、服务器的日志，进行归档、分析，及时发现系统中发生的安全时间，起到事后审计的安全机制。

篇7

【关键词】商业银行;网上银行;因素;策略

作为电子商务领域的新型服务方式，商业银行网上银行是金融行业和高新技术相结合而诞生的产物。它依托互联网，向广大客户提供方便、快捷、安全的服务，能够有效地拓展商业银行的市场空间、分流柜台客流量、提高竞争力、降低成本，是商业银行在未来一段时间内取得竞争优势的关键点。但是，近年来，随着商业银行网上银行的深入发展，一些阻碍网上银行发展的因素逐渐显现出来，成为商业银行网上银行进一步发展的绊脚石，本文结合电子金融的发展现状，对于城市商业银行网上银行的发展提出自己的一点看法。

一、影响商业银行网上银行发展的因素分析

（一）网络安全问题

因为网上银行的应用系统存在漏洞或网络防范不够严密，一些不法分子趁机非法入侵他人账户、转移他人资金，使得网上银行面临着严重的安全问题。总的来说，网络安全问题可以分为以下三种：网络欺诈、黑客入侵和病毒破坏。网络欺诈是指不法分子运用假网站、手机短信、邮件、虚假的电子商务网站等手段来窃取用户的网上银行登录号、密码、身份证号码等关键信息，以达到非法占有的目的。黑客入侵是指黑客利用互联网的开放性、有目的地攻击运行系统上的缺陷，危害网络安全。病毒破坏是指不法分子借助电脑病毒程序来破坏银行系统，已达到窃取数据、转移资金的目的。这些行为都严重危害了网上银行的安全。

（二）网上银行的收费问题

费用低廉甚至免费是网上银行的经营优势之一。但是，随着网上银行业务的不断拓展，网上银行的收费逐渐暴露出以下几个问题：全面收费流失部分客户、收费与服务不匹配、收费标准不具有权威性、网上收费有可能产生消费纠纷等等。从银行效益的角度来看，银行需要收取一定的费用来维持正常的运转、获得经济效益。但是，网上银行的收费问题却正在成为流失户源的主要问题，我们不得不给予足够的重视。

（三）网上银行的操作问题

主要表现在客户端的业务操作是否出自本人、客户端的凭证是否有效、客户端的私人密钥是否泄漏、交易指令传递是否顺利等等。这些问题的出现使得商业银行陷入纠纷之中，损害了商业银行的形象。所以，银行应该采取一定的措施来规避这些风险。此外，客户满意度和忠诚度、银行口碑等因素也在一定程度上阻碍了商业银行网上银行的深入发展。

二、城市商业银行网上银行业务发展的策略研究

（一）加强网络安全

网上银行依托互联网，互联网的安全直接关系到网上银行的安全。所以，我们应该从网络安全着手，保证网上银行的安全运行。首先，建立严格、系统的安全体系。采用更高安全级别的网络运行体系、确保全天候的安全监护；升级网上银行的安全等级、填补运行系统中的漏洞；采用更智能化的科技手段来阻止网络侵犯等等。其次，加强客户的安全防范意识。网络银行应该在网页、操作界面等客户可以看到的地方设置安全提示，在客户输入关键信息的时候提醒客户注意防范潜在的风险；培养客户严格保密网上银行的账户和密码的习惯，提高客户的安全意识等等。第三，建立全国统一认证中心。清扫网络环境中的害群之马，还网络用户一个安全干净的世界。最后，加强网络应用环境的风险防范。

（二）规避操作风险

首先，商业银行要高度重视网上银行的外部欺诈风险。目前，商业银行在网络安全性方面投入了较多的人力、物力，建立了较为安全的网络运行系统。但是，商业银行对于基层网点的关注不够，一些由于业务处理不规范而引起的操作失误频频发生。例如一些不法分子借助基层网点操作系统的漏洞骗取用户的U盾和密码，损害了用户和银行的正常利益。其次，加强规章制度的执行力度。为了杜绝以信任、关系来破坏制度的情况的出现，商业银行必须要加强规章制度的执行力度，使得规章制度能够真正发挥其应用的作用。网点操作员需要按照章程办事，严格执行规章的要求，审核客户的身份、签名、指纹等信息，确认没有代办、误办的情况出现。最后，完善网上银行业务内控机制。运用科技手段来完善弥补操作系统上的漏洞，建立有效的内控机制。

（三）优化收费制度

在保证商业银行利润的基础上，网上银行的收费制度需要进一步的完善。首先，加大网银业务收费制度的宣传力度，使得广大客户形成一种网银收费的正确认知，确保客户能够在心理上接受该项制度。其次，细化收费项目和收费档次。根据不同的业务、客户群体、服务水平等情况，制定梯度化、科学化的收费制度。例如适当地减少网上银行异地转账的收费标准、鼓励客户使用网上银行自主完成费用转存等业务；减免手机银行的查询、转账、支付等业务的费用，将网上银行的影响延伸到人们生活的方方面面等等。最后，细分客户群体。不同的网上银行商品针对不同层次的客户群体，所以，商业银行应该对客户进行细分，从信誉度、回报率、资信状况等方面调查总结客户的征信情况，并有目的地制定收费制度，使得多数客户都能够享受到网上银行的优惠和便利。

（四）提高网上银行客户的忠诚度和满意度

口碑的力量是无穷的，只有客户对网上银行的满意度和忠诚度提高了，商业银行才能够在市场竞争中占据不败之地。所以，商业银行可以从以下几个方面着手：提供客户需要的服务、尽量便捷化简单化、为客户提供承诺服务、及时采取补救措施等等。通过这些手段来降低商业银行的运行成本、提高效益。

作者:郭咏萍单位:郑州市农村信用合作联社文化中路分社

参考文献

[1]卢玉志，赵东星.我国网上银行发展中存在的问题与对策[J].特区经济，2008.

篇8

【关键词】网上银行；安全；防范措施

【中图分类号】：F832

【文献标识码】：B【文章编号】：1673-4041(2007)10-0033-04

网上银行又称网络银行、在线银行和因特网银行等等，它是指金融机构利用Internet网络技术和电子计算机网络技术为基础，采用电子数据的形式，通过互联网络而开办的银行业务，提供具有充分个性化的金融服务的一种全新的银行客户服务系统。近年来，网上银行在我国获得了迅速发展，但由于起步晚，网上银行业务面临着众多问题。我们只有很好地解决这些问题，才能确保网上银行业务安全、有效的发展。

1我国网上银行现状

1999年来，中国网上银行的发展主要体现在四大国有商业银行紧随招商银行之后，逐步涉足虚拟金融服务市场，拉开了中国网上银行市场的竞争序幕。工商银行2004年网上银行业务累计实现笔数25.8亿笔，相当于7068个营业网点的业务量。“招商银行”的一网通，工商银行的金融E通道、金融@家，建设银行的E路通等网上银行品牌也日渐为人所熟悉。网上银行的发展速度很快，尤其是2003年以来，它在人们心目中的认知度更是有了日新月异的提高。随着用户数和使用频率的提高，全国网上银行交易额从2003年的24.3万亿元增长到2004年的49.3万亿元，增幅高达103.2%。我国主要商业银行2006年度电子银行交易金额达到122万亿元，比上年增长101．48％；。一份关于2004年中国网上银行的研究报告表明，网上银行用户在网民中所占的比例呈现逐年递增的趋势，由2001年的6.4%增长到2004年的16.9%。预计到2007年这一比例将增长到21.7%左右。

2我国网上银行发展存在的一些问题

在银行网络化过程中，银行的信用中介、支付中介、创造货币等职能不但没有消失，反而面临着全新的挑战。由于网上银行在我国尚处于起步阶段，在它的发展过程中也存在着众多的问题亟待解决：

2.1法律法规与现实的需求脱节问题。网上银行仍然是经济金融活动的一部分，它离不开法律的规范和保护，而现行的法律又很难规范网上银行业务的发展和保护消费者权益。以对网络交易安全至关重要的电子签名来说，美国已公布了《电子签名法》，新加坡和韩国1999年就已完成了立法，香港和日本也早已制定了专门法规。网上资金转账只要有一个环节出现错误，资金就不能正常支付，就会发生法律方面的纠纷，所以必须由相关的法律来进行调节。

2.2网上银行安全问题亟待解决。通过互联网进行交易,相关信息的保密性、真实性、完整性和不可否认性是最关键的因素。在我国尚没有法规来对付这些没有造成危害或危害较轻的网络犯罪的时候,如何确保交易安全,为个人保密,就成为网上银行发展最需解决的问题。目前各家商业银行虽然都采取了一定的安全防范措施、制定了相应规定,但是在执行上却存在种种安全问题，具体表现在以下几方面：

2.2.1网上银行认证手段缺陷，容易造成密码泄漏。目前大多数网上银行采取的是“ID和密码”这一传统认证手段有可能被盗取密码。因为登录认证检测有可能会成为作案者校验并窃取密码的机会。除了用软件窃取密码这样的隐忧以外，“冒充站点”也是网上银行使用中一个非常重要的安全隐患。这样一来，就存在有人进行非法资金转移的可能性。

2.2.2交易信息在商家与银行之间传递因互联网的虚拟性，交易双方无法确保对方身份的真实性，尤其在当事人仅仅通过或联网交流时，要建立交易双方的信用机制和安全感是非常困难的。资金在网上划拨，安全性是最大问题，发展网上银行业务，大量经济信息在网上传递。而在以网上支付为核心的网络银行，电子商务最核心的部分包括CA认证在内的电子支付流程。就是说国内目前的网络银行还不能算真正的网络银行，只有真正建立起国家金融权威认证中心（CA）系统，才能为网上支付提供法律保障。

2.2.3交易信息在消费者与银行之间传递的安全性：银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识普遍较弱，不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。

2.3监管意识和现有监管方式的滞后问题。我国的网上银行是在相关法规几乎空白的情况下，迅速出现并不断演进的，监管面对快速变化的情况在很多方面是滞后的。中央银行对商业银行现有的监管，主要针对传统银行，重点是通过对银行机构网点指标增减、业务凭证、报表的检查稽核等方式实施。而在网上银行时代，帐务收支的无纸化、处理过程的抽象化、机构网点的虚拟化、业务内容的大幅增加，均使现有的监管方式在效率、质量、辐射等方面大打折扣，监管信息的真实性、全面性及权威性面临严竣的挑战，对基于互联网的银行服务业务监管将出现重大变化。

3 解决存在问题的对策和建议

3.1加强宣传、进行客户教育和信用体系的建立完善。加大宣传力度，使有条件的客户了解并开始使用网上银行，引导客户对网上银行的认识。据业内分析，实体银行网点每笔交易的费用为1.07元，电话银行为0.45元，ATM自助银行为0.27元，而网上银行成本仅为0.01元，相对于实体银行、电话银行、手机银行而言，网上银行成本低廉，交易便捷，很显然，网银业务有足够的优势。同时对客户进行安全性教育，逐步消除客户疑虑，在客户的使用中加强服务指导，从而使客户接受并习惯性的使用网上银行。目前人民银行信用体系正在逐步建立和完善中，社会的其他领域信息库也在建立和完善之中，2000年6月29日中国金融认证中心进行了挂牌和开通仪式,这为建立规范统一、布局合理的全国安全认证体系打下了良好的基础。中国金融认证中心专门负责为金融业的各种认证需要提供证书服务,包括电子商务、网上银行、支付系统和管理信息系统等为参与网上交易的各方提供安全交易基础和建立彼此信任的机制。随着信用体系的完善，社会信用环境的改善，网上银行的方便、快捷、低成本、无空间时间限制的优势，将会促使其快速的发展。

3.2加快相关的法律建设。目前网上银行采用的规范都是协议，与客户在明确权利与义务关系的基础上签定合同，出现问题则通过仲裁解决。但由于缺乏相关的法律，问题出现后涉及的责任认定、承担、仲裁结果的执行等复杂的法律关系是现在难以解决的。网上银行法的发展是和一系列相关的法律规范相联系的，主要有税收征管法、合同法、、电子商务立法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等。上述法律规范对于我国传统商业银行发展起到了较好的规范作用，但面对网上银行新兴业务的发展，则相形见绌，难以起到良好的规范作用，如税收征管法中对于电子商务的规定几近于零，特别是这种网上支付方式对税收问题没有做出较好的规范，因而必须做好法律的修改、完善工作；新的《合同法》中虽然承认了电子合同的法律效应，却没有解决数字签名的问题；国际税收、电子商务等方面的立法显得滞后，不利于其支持系统之网上银行业发展，因而需要做大量的立法工作；洗钱犯罪在网上银行业务中发生频率较高，这方面必须做完善的规范，才能使网上银行法律起到真正的规范作用；诉讼法中有关证据的标准等现行规定对于网上银行纠纷取证极为困难，不利于其发展，我们必须采取措施使之适应其发展趋势等。

3.3加强网上银行安全防范措施。安全地使用网银业务，已逐渐成为广大客户关注的焦点。客户除了需要了解产品功能，使用网上银行业务外，还需要不断加强自我保护，提高安全防范意识，采取必需的手段与保障措施防止资金损失。

3.3.1尽快提高网银业务的安全性认识。银行在大力推广应用网银业务的同时，不能忽视安全性问题，从领导到员工都要高度认识这个问题，既要同客户讲明利害性关系，做好安全防范工作，把网银的安全性问题作为防范金融风险的一道重要环节来抓，做到思想认识统一，组织技术落实，资金投入到位，从而确保网银业务的顺利发展。

3.3.2加强网银业务的技术防范。做好网银业务的技术防范工作是确保网银业务发展的前提：①银行业要尽快培养网上银行的技术人才，以适应网上银行发展的形势。②尽快出台一套网上银行技术防范制度，采取强有力的措施，以确保网上银行的安全性。③以新规和数字证书为网银护航。银监会已经制定了《电子银行业务管理办法（征求意见稿）》和《电子银行安全评估指引（征求意见稿）》。二项管理办法中，分别对电子银行业务的申请与变更、风险管理、数据交换转移管理、业务外包管理、跨境业务活动管理、电子银行业务的监督核查、法律责任以及电子银行安全评估机构，安全评估的实施，安全评估活动的管理等方面作出了规定。同时由中国金融认证中心为各行提供的数字证书为网银安全提供了技术保障。

3.3.3做好网上银行安全防范工作。在日常网上银行应用中，用户要养成良好的习惯，坚持做到“三要”，即①保管好卡号、密码和客户证书。②安装正规软件公司的杀毒软件，及时升级病毒码，定期对系统进行检测，为网上银行的使用创造一个良好的环境。③注意网上银行使用中系统的提示。

同时要做好“三不要”，即：①不要在公共场所（如网吧）使用网上银行，因为您无法知道这些计算机是否装有恶意的监测程序。②不要随意关闭窗口画面，使用完毕后需正确退出网上银行，应按网上银行操作页面上的“退出”按钮正常退出系统，不要在未退出网上银行服务前离开计算机。③不要使用计算机自动记忆功能。

3.3.4加强央行信息监管。随着安全技术和认证机制的广泛应用，互联网金融服务的发展无疑给中央银行监管和金融立法带来了新的课题。老的监管方式和程序已很难再适用于新型的金融业务，现行的金融立法也阻碍或限制着新型业务的发展。金融监管部门和国家有关部门应尽快制定有关网上银行和电子商务的基本法律法规，明确监管规则和指导规范，主要包括：网上银行和电子商务网站的安全标准；完善现行法律，补充适用于网上银行业务的相关条文；建立网上银行和电子商务网站的准入制度，在安全措施的到位上要从严把关。

网上银行作为银行业的生存与发展问题，必将成为二十一世纪商业银行竞争的新焦点。随着我国加入WTO之后，为迎接全球经济一休化的挑战，我国的网络银行建设步伐必将加快，以满足电子商务的发展需要。同时应该加快我国金融安全保障体系的建立，加强金融系统的风险防范机制，使我国网上银行发展的进程，在新世纪网络经济的浪潮中立于不败之地。

参考文献

[1]周平， 2006：《网上银行》，中国财经出版社。

[2]陈静，刘永春，2005：《网上银行-技术风险及其管理》，人民出版社。

[3]杨向东,1999：《试论网络银行发展制约因素》，中国金融电脑。

[4]吴春芳，丁加华，2001：《我国网上交易发展尚待时日》，现代金融。

篇9

【关键词】网上银行风险管理防范

一、引言

网上银行不是储蓄所和营业室这样的实体机构，而且是一种全新的金融服务模式，即无论何时（Anytime）、何地（Anywhere）、以何种方式（Anyhow）都能为有需求的客户提供个性化的金融服务。由于其具有运营管理成本低、效率高的特点，并且能够更加便捷的满足各类不同用户的不同需求，因此在银行业中所占的业务份额必将越来越重，成为银行业未来发展的方向。然而伴随着网银业务的发展，以及客户的增多，网上银行自身存在的各种缺陷也在逐步暴露，现如今网络安全隐患日益显现，不断曝出各类问题。如何加强网上银行的风险管理，采取有效的安全措施，已经成为在当今金融全球化的背景下具有现实意义的研究课题。

二、网上银行存在的风险分析

随着网上银行业务量的迅速增长，特别是网上银行业务在整个银行业务中所占比重的成倍加大，这一新型电子化金融服务模式所处的地位越来越重要，但随之而来的网上银行的风险管理问题日益显现出来。所谓网上银行风险，是指可能会对银行收益或资本产生不良影响的一些能够预见的或未能预见的事件，主要是指会对银行的资本、收益、信誉、业务操作、系统安全等产生负面影响的预期或不可预期的潜在事项。

三、网上银行风险管理的优化改进措施

网上银行的风险管理就是通过风险分析、风险预测、风险控制等方法，预防、避免、排除或者转移经营中的风险。网上银行面临的风险又有其特殊性，更要加强风险研究、防范和管控，具体来说，需要着重从以下几个方面进行优化和改进：

（一）提高网上银行技术安全

建立一个有足够安全的网上银行安全系统，从而尽可能的杜绝各种安全隐患。这就必须研究硬件设施安全技术、身份认证技术、防火墙技术、密码技术以及风险预警技术等。值得注意的是，网上银行的安全性管理是一项复杂而又有其特殊性的任务，只有不断升级网络安全保障系统，才能有效防范面临的各种风险。

（二）建立网上银行安全评估体系

中国银监会《电子银行安全评估指引》（2006年3月）中指出，网上银行安全评估体系是金融机构在开展网上银行业务过程中，对网上银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。它应真实、全面的评价网上银行系统的安全性。所以，网上银行安全评估体系至少应包括以下内容：（1）安全策略；（2）内控制度建设；（3）风险管理状况；（4）系统安全性；（5）网上银行业务运行连续性计划；（6）网上银行业务运行应急计划；（7）网上银行风险预警体系；（8）其他重要安全环节和机制的管理。在评估报告的结论中，评估机构应采用量化的办法表明被评估机构网上银行的风险等级，说明被评估机构网上银行安全管理中存在的主要问题与隐患，并提出整改建议。

（三）增加客户安全意识

由于网上银行是以网络为媒介的方式向客户提供服务，所以保证网上银行运营安全的首要问题，就是进行对客户身份的认证。如何确保客户身份真实可靠，如何加强对客户的信息管理，如何提高其风险意识等方面的规章制度建设，是网上银行目前应当注重。对此，笔者认为：一是要求网上银行对客户仅通过网络开立账户的行为，设置严格的开立程序，并且对客户的可疑活动及时通报。二是要求网上银行对消费者进行教育。如：在网站上提供相关链接演示网上银行的业务流程、风险教育动画等，或是允许客户对在线银行的执照和存款保险进行查证。三是银行要在其网页的醒目位置提供完备的安全防范手册，对客户安全使用网上银行进行教育。

（四）完善银行内部控制制度

完善银行内部管控是对银行操作风险的重要防范措施，因此针对网上银行，也需要建立起一套完整的内部控制机制。首先，树立银行各级管理者、银行全体员工的风险防范和管理意识，具备预见和操作风险的能力，能够将现实的风险转向潜在的风险，将风险的事后处置转向风险的前期控制。其次，通过建立独立于银行业务部门的网上银行操作风险管理委员会和风险管理经理制度，集中管理网上银行的操作风险。再次，要建立业务操作管理制度和权限制约原则，并采取逐级管理原则；要明确规定系统操作人员的工作过程和权限，每一步操作业务人员和技术人员必须分离，每个级别人员都要受权限控制。最后，审计部门要加强科技力量，改进内部检查手段，增加内审的频率和深度，对操作风险管理工作实施内部实时审计，防范风险。

（五）加强网上银行人才知识储备

网上银行是技术的产物，建立完善的科技、人才培养机制则是发展网上银行的必要保证。因此，一是要引进专门的网络技术人才，为网上银行提供专门的技术保障；二是要通过举办专门的技术讲座，以培养一批既掌握计算机技术、网络技术、通信技术，又掌握金融业务实务和金融业务管理知识的复合型高级技术人员和管理人才。除此之外，还要专门培训员工如何正确操作网上银行，使之对客户进行教授演示，教会他们如何使用银行的设备，并通过培训向客户披露有关的信息，以减少相应的法律风险。

四、结论

网上银行必将成为是银行业未来发展方向，但网上银行的风险问题所导致的损失也是非常巨大的，银行在开展网上银行业务的同时，要加强网上银行的风险管理，认真分析研究网上银行的特点属性，借鉴国内外先进的风险技术和管理经验，探索有效的网上银行风险评估体系和风险管理模式。

本文通过对网上银行风险管理现状进行分析研究，有针对性提出一些优化措施和改进意见，但是受理论水平和工作实践的限制，还有许多的不足之处，希望在今后的学习研究中进一步的完善和总结。

参考文献

[1]章杰文.我国网上银行业务风险及监管研究[D].首都经济贸易大学.2011.

篇10

【关键词】网上银行便捷必要性安全意识

一、中职学生学习网上银行结算的必要性

网上银行的基本功能和服务项目在不断增加，客户群体也在不断扩大，网上银行的交易方式已被人们高度认可。中职学生加强学习网上银行的结算流程和方法势在必行。

（一）网上银行是工作和生活中不可或缺的金融工具

随着电脑与网络的普及应用，各大银行都在积极推广网上银行以及手机银行等电子银行服务业务。曾经柜台票据式的结算方式，逐渐趋向于无纸化，更便捷的网上银行结算。自1996年2月，中国银行在互联网上建立和了自己的主页，成为我国第一家在互联网上信息的银行。到2013年，网上银行客户数达到了6.5亿，占有巨大的市场份额。网上银行不但有效分流大众客户，降低柜台压力，提高工作效率，而且大幅度降低了交易成本，给客户提供了便捷，可以随时通过电脑、手机等数字终端设备，随时登录Internet享受网上银行服务。已被更多的企业和个人认可和使用，是工作与生活不可或缺的金融工具。

（二）要么学习，要么出局

从两方面讲：

（1）外部环境：当前和未来的社会形势是：要么学习，要么出局。同时职业教育承载着培养大量具有实际操作能力的生产、服务、经营、管理等第一线技能型人才的重任。

（2）内部需求：学习是人生发展的基础，知识是创造金钱的能源。作为中职学生，要想在众多竞争对手中脱颖而出，就要努力学习，充实自己，推陈出新。目前网上银行的应用已经成为一种新的金融交易平台，他的好处获得了很高的社会共识。因此掌握网银结算的操作不但适应社会的需求，同时也能给自己的生活带来便利。

二、目前网上银行结算业务在课堂教育中面临的问题

中职学生在读期间会学习到银行结算业务，而网上银行结算是属于多种银行结算业务的其中一种，教师会选择常用的来重点讲解，并让学生动手操作实践。这些重点中不包括网上银行。原因有以下几点：

（1）每个银行的操作方法略有区别，授课老师没有标准。例如：中国银行、建设银行等在首次使用网上银行时需要下载安全控件；而农业银行、招商银行则不用。在服务项目上有差别，工商银行易用性较强，操作界面和导航允许用户自己定制；农业银行在申请网上银行服务是要收取手续费；交通银行各项服务功能的操作页面缺少足够的提示等。

（2）不易讲授。如果用一个企业的网上银行案例给学生讲解，会涉及网络安全对企业的影响，同时对企业信息安全存在隐患。若不使用案例教学法，单凭教师口头描述既不形象又不具体，是不能让学生完全理解和学会的。

（3）学生对网上银行的安全存在疑虑。有的学生从一些信息渠道听到或间接看到由于网络的不安全，导致极少数人群的利益受到了损害。因此从心理上排斥这些知识，从而缺乏学习的主动性。

三、解决措施

（1）给学生讲解网上银行及安全的相关知识，客观的分析安全与不安全因素，排除学生对网上银行安全的疑虑。同时解释说明网银的安全支付方式：其一有严格的岗位分设制度，不得一人完成网上银行付款的全过程。其二应不定期的修改操作密码。其三银行预留印鉴章、网上银行上网U盾以及支付密码器应分别由银行出纳员和资金调度负责保管。其四网上银行支付时由出纳人员操作，再由资金调度复核一致后支付，并打印支付清单。

（2）可以应用工商银行的企业模拟操作，作为案例给学生讲解，然后举一反三用于其他银行，经过反复推敲也能操作。

（3）通过亲身体验，亲自动手，掌握网上银行一部分功能的操作方法。让学生申请个人网上银行，体验将自己生活费中的一百元钱，由网上银行汇款给自己的父母，从中掌握转账汇款业务操作；可以从网上银行给自己的手机充值，掌握代缴费的操作；还可以从网上购买东西，通过网上银行支付款项，以此掌握网上支付的功能。

（4）普及安全知识，培养学生安全意识。从银行角度出发，网银服务平台不断改进、升级、更新，尽力保障客户安全，而客户自身对自己的电脑、网络以及密码要安全使用，别给他人留下可乘之机。第一设置与个人信息无相关的密码，并严格保密；第二在首次成功使用网上银行服务后，应及时销毁相关密码信封或其他有关密码的通知；第三不得将密码记录在自动保留密码的任何软件上；第四下载并安装由银行提供的用于保护客户端安全的控件，定期下载安装最新的操作系统和浏览器安全程序或补丁，安装防火墙，安装并及时更新杀毒软件等。

知识经济的时代需要知识来适应，潜能的发挥需要学习和训练。作为职业院校的学生，必须加强各种技能的学习与实践，才更容易受到企业的青睐。

参考资料：

[1]刘芳，胡蔚玲.出纳业务核算[J].文教资料，2013，（2）.

篇1

篇2

篇3

篇4

篇5

篇6

篇7

篇8

篇9

篇10

热门标签

相关文章

相关期刊

江淮法治

电子商务世界

网络传播

作物学报

精品范文