朱雪燕

網(wǎng)上銀行以其方便快捷、足不出戶提供銀行服務(wù)的特點(diǎn)而受到人們的廣泛歡迎。近年來(lái)，我國(guó)網(wǎng)上銀行業(yè)務(wù)發(fā)展迅猛，網(wǎng)上資金交易和轉(zhuǎn)移日益頻繁，公眾對(duì)網(wǎng)上銀行服務(wù)的依賴程度不斷加深。根據(jù)中國(guó)互聯(lián)網(wǎng)信息中心2012年1月份發(fā)布的第29次《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，2009年以來(lái)，以網(wǎng)絡(luò)購(gòu)物、網(wǎng)上支付、旅行預(yù)訂為代表的商務(wù)類應(yīng)用持續(xù)快速增長(zhǎng)，并引領(lǐng)其他互聯(lián)網(wǎng)應(yīng)用發(fā)展，成為中國(guó)互聯(lián)網(wǎng)發(fā)展的突出特點(diǎn)。2011年這一態(tài)勢(shì)依然延續(xù)，我國(guó)網(wǎng)絡(luò)購(gòu)物應(yīng)用依然處于較快發(fā)展通道，包括網(wǎng)絡(luò)購(gòu)物、網(wǎng)上支付、網(wǎng)上銀行、旅行預(yù)訂在內(nèi)的電子商務(wù)類應(yīng)用在2011年繼續(xù)保持穩(wěn)步發(fā)展態(tài)勢(shì)，用戶規(guī)模全面增長(zhǎng)。其中網(wǎng)絡(luò)購(gòu)物用戶規(guī)模達(dá)到1.94億人，較上年底增長(zhǎng)20.8%；網(wǎng)上支付用戶達(dá)到1.67億，較上年增長(zhǎng)21.6%，網(wǎng)上支付使用率增長(zhǎng)至32.5%；網(wǎng)上銀行用戶達(dá)到1.66億，較上年增長(zhǎng)19.2%，網(wǎng)上銀行使用率增長(zhǎng)至32.4%。

當(dāng)前國(guó)內(nèi)網(wǎng)絡(luò)安全問(wèn)題依然突出

人們使用網(wǎng)上銀行最為關(guān)心的莫過(guò)于網(wǎng)絡(luò)安全問(wèn)題。目前，國(guó)內(nèi)互聯(lián)網(wǎng)風(fēng)險(xiǎn)形勢(shì)嚴(yán)峻，網(wǎng)上交易的安全性成為公眾使用網(wǎng)上銀行時(shí)心中最大的隱憂。根據(jù)國(guó)內(nèi)互聯(lián)網(wǎng)安全公司金山網(wǎng)絡(luò)2012年2月20日發(fā)布的《2011～2012中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告》，2011年金山毒霸累計(jì)捕獲新增病毒約1 230萬(wàn)個(gè)，全國(guó)平均每天在4%～8%的電腦上會(huì)發(fā)現(xiàn)病毒，金山毒霸保護(hù)用戶免于病毒攻擊的次數(shù)約每天500萬(wàn)次。雖然2011年新增病毒總數(shù)自2010年以來(lái)再次下滑，而針對(duì)網(wǎng)購(gòu)的攻擊則日益普遍，釣魚(yú)網(wǎng)站取代病毒木馬成為互聯(lián)網(wǎng)第一大安全威脅，每月攔截網(wǎng)民訪問(wèn)次數(shù)比去年激增了100倍。金山毒霸云安全中心數(shù)據(jù)顯示，2011年，金山毒霸網(wǎng)購(gòu)保鏢日平均保護(hù)2 000萬(wàn)次網(wǎng)購(gòu)操作，日均覆蓋500萬(wàn)網(wǎng)民。病毒產(chǎn)業(yè)追逐經(jīng)濟(jì)利益的趨勢(shì)不會(huì)改變，隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的飛速發(fā)展，2012年，病毒制造者會(huì)通過(guò)各種手段給用戶帶來(lái)新的安全威脅。

網(wǎng)上銀行業(yè)務(wù)的主要風(fēng)險(xiǎn)點(diǎn)

與傳統(tǒng)的銀行業(yè)務(wù)相比，網(wǎng)上銀行具有開(kāi)放性的特征。主要體現(xiàn)在：一是網(wǎng)絡(luò)社會(huì)化，互聯(lián)網(wǎng)是社會(huì)化網(wǎng)絡(luò)；二是終端社會(huì)化，進(jìn)行網(wǎng)上銀行操作的計(jì)算機(jī)都不是銀行的終端；三是客戶自助操作，網(wǎng)上銀行業(yè)務(wù)是由客戶操作，而非銀行柜員進(jìn)行操作。這些開(kāi)放性的特征，形成了網(wǎng)上銀行業(yè)務(wù)特有的風(fēng)險(xiǎn)。

網(wǎng)上銀行的風(fēng)險(xiǎn)點(diǎn)主要存在于三個(gè)方面：用戶端、信息傳輸過(guò)程、銀行端和商戶端。用戶端的風(fēng)險(xiǎn)主要由于用戶風(fēng)險(xiǎn)防范意識(shí)不強(qiáng)、操作不規(guī)范或被欺詐而引起個(gè)人信息泄露或?qū)е陆灰罪L(fēng)險(xiǎn)，例如，用戶不注意計(jì)算機(jī)使用環(huán)境、未能有效防范各種類型的木馬病毒，登錄假網(wǎng)站或釣魚(yú)網(wǎng)站，泄漏自己的賬戶信息、身份證信息、網(wǎng)上銀行登錄密碼，未使用或丟失U盾或動(dòng)態(tài)密碼卡等等，這些都是可能導(dǎo)致風(fēng)險(xiǎn)事件的原因。信息傳輸過(guò)程中的風(fēng)險(xiǎn)是由于網(wǎng)上交易的信息是在互聯(lián)網(wǎng)上公開(kāi)傳遞的，如沒(méi)有采取必要的安全措施加以防范，則存在著交易信息被篡改和竊取的可能性。銀行端和商戶端的風(fēng)險(xiǎn)主要來(lái)自于黑客入侵、銀行和商戶的相關(guān)業(yè)務(wù)和產(chǎn)品設(shè)計(jì)缺陷、內(nèi)控管理不嚴(yán)、網(wǎng)站風(fēng)險(xiǎn)防控能力不足、網(wǎng)上交易風(fēng)險(xiǎn)監(jiān)控能力不足等。盡管目前各家銀行、商戶網(wǎng)站均采取了防火墻和網(wǎng)絡(luò)檢測(cè)等安全措施，然而2011年底以來(lái)CSDN等網(wǎng)站的暴庫(kù)事件表明，針對(duì)運(yùn)營(yíng)商服務(wù)器展開(kāi)的攻擊仍然存在。

商業(yè)銀行防范網(wǎng)上銀行業(yè)務(wù)的風(fēng)險(xiǎn)措施

網(wǎng)上銀行風(fēng)險(xiǎn)防范不僅僅是銀行的責(zé)任，也是整個(gè)社會(huì)的責(zé)任。本文僅從商業(yè)銀行角度，從事前、事中、事后三個(gè)方面提出網(wǎng)上銀行風(fēng)險(xiǎn)防范對(duì)策。

（一）事前防范措施

1.確定風(fēng)險(xiǎn)管理原則，即審慎性原則和安全性與便利性均衡原則。銀行是經(jīng)營(yíng)風(fēng)險(xiǎn)的特殊企業(yè)，銀行要防范風(fēng)險(xiǎn)，規(guī)避風(fēng)險(xiǎn)，減少客戶的資金損失，保障銀行的資金安全，因此，要堅(jiān)持審慎性原則。同時(shí)，銀行也是服務(wù)行業(yè)，面向廣大客戶提供服務(wù)，要秉承“以客戶為中心”的宗旨，最大程度滿足客戶的需求，方便客戶使用。網(wǎng)上銀行是客戶自助操作，通過(guò)互聯(lián)網(wǎng)公開(kāi)透明渠道提供服務(wù)，因此必須采取必要的安全措施、安全手段；然而風(fēng)險(xiǎn)防范措施過(guò)于嚴(yán)密，采取過(guò)多的安全手段、措施，為防范個(gè)別、少數(shù)不法分子的作案而采取過(guò)高、過(guò)多的安全手段，會(huì)影響廣大用戶的方便性，因此，過(guò)分強(qiáng)調(diào)方便也是不現(xiàn)實(shí)的。處理好安全性與便利性的關(guān)系是一個(gè)難題。銀行應(yīng)以滿足廣大客戶最基本的安全手段、安全措施為基礎(chǔ)，在設(shè)計(jì)管理制度、風(fēng)險(xiǎn)控制手段時(shí)應(yīng)考慮廣大客戶最基本的需求，統(tǒng)籌兼顧便利性與安全性的平衡。

2.把風(fēng)險(xiǎn)防范嵌入到產(chǎn)品創(chuàng)新和流程優(yōu)化工作之中。商業(yè)銀行設(shè)計(jì)新產(chǎn)品、新業(yè)務(wù)流程和編寫(xiě)業(yè)務(wù)需求時(shí)，必須同時(shí)分析風(fēng)險(xiǎn)點(diǎn)和風(fēng)險(xiǎn)環(huán)節(jié)，并相應(yīng)制定防范措施，杜絕制度缺陷、流程缺陷和系統(tǒng)缺陷。

3.普及網(wǎng)上銀行安全知識(shí)，提高公眾的風(fēng)險(xiǎn)防范意識(shí)。當(dāng)用戶通過(guò)銀行網(wǎng)站或柜臺(tái)開(kāi)辦網(wǎng)上銀行業(yè)務(wù)時(shí)，銀行可結(jié)合口頭提示、宣傳資料、網(wǎng)站、手機(jī)短信等多種形式對(duì)其進(jìn)行風(fēng)險(xiǎn)提示，向其揭示網(wǎng)上銀行的相關(guān)風(fēng)險(xiǎn)，并進(jìn)行安全知識(shí)教育，提高客戶的自我保護(hù)意識(shí)。加強(qiáng)用戶身份驗(yàn)證管理，嚴(yán)格審核用戶身份證件，防止代人簽約網(wǎng)上銀行或利用虛假身份證件開(kāi)立賬戶和簽約網(wǎng)上銀行。此外，還應(yīng)通過(guò)各種宣傳渠道向公眾明示本行正確的網(wǎng)上銀行官方網(wǎng)址和呼叫中心號(hào)碼。網(wǎng)上銀行用戶自身也要加強(qiáng)學(xué)習(xí)，掌握基本的安全知識(shí)，培養(yǎng)良好的安全操作習(xí)慣，增強(qiáng)風(fēng)險(xiǎn)防范意識(shí)。

（二）事中防范措施

1.合理制訂網(wǎng)上銀行相關(guān)業(yè)務(wù)制度和操作流程，嚴(yán)格內(nèi)控管理。在科學(xué)論證基礎(chǔ)上，合理設(shè)置網(wǎng)上銀行有關(guān)參數(shù)，并進(jìn)行規(guī)范管理，規(guī)范操作人員和操作權(quán)限。參數(shù)管理中，最重要的莫過(guò)于網(wǎng)上銀行的交易限額管理，銀行要對(duì)客戶的不同情況（例如，使用安全產(chǎn)品的情況），針對(duì)不同交易種類合理設(shè)置交易限額，防范大額資金風(fēng)險(xiǎn)。

2.加強(qiáng)安全防護(hù)手段，根據(jù)當(dāng)前互聯(lián)網(wǎng)安全形勢(shì)，持續(xù)優(yōu)化安全產(chǎn)品和手段，不斷加固防范措施。積極研發(fā)和應(yīng)用各類維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。加快網(wǎng)上銀行安全產(chǎn)品升級(jí)換代，提高客戶使用網(wǎng)上銀行的安全性。近期，建設(shè)銀行、工商銀行推出了二代U盾，與原有普通U盾相比，二代U盾增加了液晶顯示屏回顯交易信息、物理按鈕確認(rèn)交易兩道安全環(huán)節(jié)，液晶顯示屏回顯交易信息可讓客戶再次確認(rèn)收款人賬號(hào)和交易金額等信息，防止不法分子利用惡意軟件篡改客戶提交的交易信息；通過(guò)物理按鍵來(lái)增加客戶干預(yù)，可防止不法分子遠(yuǎn)程控制客戶計(jì)算機(jī)、利用客戶插在計(jì)算機(jī)上的原有普通U盾進(jìn)行網(wǎng)銀交易而給客戶造成損失。同時(shí)，銀行還可提升多渠道信息交互的產(chǎn)品研發(fā)，針對(duì)較高風(fēng)險(xiǎn)的交易。例如，銀行在驗(yàn)證證書(shū)或動(dòng)態(tài)口令后，仍不對(duì)交易進(jìn)行處理，而是將登錄狀態(tài)、賬戶、金額等敏感信息即時(shí)通過(guò)短信方式發(fā)送至用戶手機(jī)，待用戶核實(shí)后，最終決定對(duì)交易進(jìn)行確認(rèn)或取消。

3.加強(qiáng)假網(wǎng)站監(jiān)測(cè)，定期搜索與本行相關(guān)的假冒網(wǎng)站（郵件、電話、短信號(hào)碼等），做好對(duì)“釣魚(yú)”網(wǎng)站的24小時(shí)監(jiān)測(cè)和防控工作，并通過(guò)專業(yè)化工具進(jìn)行主動(dòng)搜索、關(guān)停。檢查本行網(wǎng)頁(yè)上對(duì)外鏈接的可靠性，并開(kāi)辟專門渠道接受公眾舉報(bào)，發(fā)現(xiàn)風(fēng)險(xiǎn)立即采取防范措施，并向公眾進(jìn)行通報(bào)提示。

4.構(gòu)建科學(xué)的電子銀行風(fēng)險(xiǎn)管理體系，提高風(fēng)險(xiǎn)管理水平。建立網(wǎng)上銀行風(fēng)險(xiǎn)監(jiān)控系統(tǒng)，對(duì)網(wǎng)上銀行系統(tǒng)資源使用情況、業(yè)務(wù)覆蓋區(qū)域網(wǎng)絡(luò)性能、外部系統(tǒng)訪問(wèn)情況等進(jìn)行監(jiān)控，有效識(shí)別、衡量、監(jiān)督和控制網(wǎng)上銀行風(fēng)險(xiǎn)。首先，要建立有效實(shí)用的網(wǎng)上銀行風(fēng)險(xiǎn)稽核模型，確定具有什么樣特征的交易是可疑的交易，進(jìn)而采用事中監(jiān)控手段。在日常工作中，應(yīng)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)稽核模型的動(dòng)態(tài)管理，隨著業(yè)務(wù)發(fā)展和客戶交易習(xí)慣的變化而作相應(yīng)調(diào)整。其次，在此基礎(chǔ)上，制訂監(jiān)控規(guī)則，并依據(jù)監(jiān)控規(guī)則，分析客戶交易行為，識(shí)別高風(fēng)險(xiǎn)交易，進(jìn)行事中監(jiān)控管理。在監(jiān)控中，應(yīng)重點(diǎn)加強(qiáng)對(duì)大額、頻繁、跨地區(qū)操作等交易的分析、識(shí)別和事中監(jiān)控，實(shí)現(xiàn)對(duì)高風(fēng)險(xiǎn)交易的實(shí)時(shí)監(jiān)測(cè)、事中干預(yù)、事后核實(shí)、事后提醒等功能，對(duì)風(fēng)險(xiǎn)等級(jí)高的交易實(shí)施事中干預(yù)。此外，要完善黑名單的監(jiān)控類型和控制措施，以作為事中監(jiān)控的有力補(bǔ)充。對(duì)已經(jīng)發(fā)生風(fēng)險(xiǎn)事件的，通過(guò)客戶服務(wù)中心、業(yè)務(wù)部門以及其他渠道收集風(fēng)險(xiǎn)事件涉及的賬號(hào)、手機(jī)號(hào)、證件號(hào)以及IP地址，經(jīng)過(guò)一定的審批程序，將涉嫌信息在黑名單中進(jìn)行登記，關(guān)閉其今后的電子銀行交易，防止損失擴(kuò)大。

5.建立風(fēng)險(xiǎn)防范信息共享機(jī)制，實(shí)現(xiàn)風(fēng)險(xiǎn)信息跨系統(tǒng)、跨渠道共享和聯(lián)動(dòng)。建立銀行同業(yè)之間，以及銀行與合作伙伴間的風(fēng)險(xiǎn)聯(lián)防機(jī)制，推進(jìn)可疑交易跨行追索機(jī)制，實(shí)現(xiàn)跨行可疑交易賬戶的快速鎖定和資金凍結(jié)。

（三）事后補(bǔ)救措施

1.建立風(fēng)險(xiǎn)事件快速處理機(jī)制及應(yīng)急機(jī)制，提高處理風(fēng)險(xiǎn)事件的能力。銀行首先要對(duì)風(fēng)險(xiǎn)事件發(fā)生的類型、緣由進(jìn)行初步判斷。對(duì)于因客戶自身原因造成其信息或賬戶資金被非法竊取或騙取而發(fā)生的風(fēng)險(xiǎn)事件，銀行應(yīng)在得知風(fēng)險(xiǎn)事件發(fā)生的第一時(shí)間采取控制措施，盡量幫助客戶減少損失。啟動(dòng)緊急聯(lián)動(dòng)機(jī)制，對(duì)尚未提現(xiàn)的，第一時(shí)間凍結(jié)收款賬戶資金，并積極協(xié)助公安機(jī)關(guān)調(diào)查取證，爭(zhēng)取早日破案。

2.建立風(fēng)險(xiǎn)事件賠付機(jī)制，對(duì)客戶交易因木馬欺詐等原因，且客戶無(wú)過(guò)錯(cuò)，對(duì)客戶損失進(jìn)行快速補(bǔ)償。對(duì)于因銀行網(wǎng)上銀行系統(tǒng)出現(xiàn)問(wèn)題、故障或遭到攻擊、破壞而發(fā)生的風(fēng)險(xiǎn)事件，應(yīng)立即啟動(dòng)應(yīng)急預(yù)案，迅速反應(yīng)，排除故障或處理解決，并充分預(yù)測(cè)和應(yīng)對(duì)可能引發(fā)的影響。（作者單位：中國(guó)建設(shè)銀行江西省分行）