章葉英

【摘 要】 網(wǎng)絡(luò)銀行在轉(zhuǎn)變社會經(jīng)濟(jì)運(yùn)作模式的同時，也帶來了信息安全問題，必須全面規(guī)制網(wǎng)絡(luò)銀行的安全性。文章分析了網(wǎng)絡(luò)銀行的發(fā)展現(xiàn)狀，對網(wǎng)上銀行安全問題進(jìn)行了闡述，提出了安全技術(shù)建設(shè)和法律制度規(guī)制的保護(hù)策略，全面地探索了技術(shù)與規(guī)制兩方面內(nèi)容，對建立安全有效的保護(hù)機(jī)制，提升網(wǎng)民對網(wǎng)銀的使用信心有一定的借鑒作用。

【關(guān)鍵詞】 網(wǎng)絡(luò)銀行； 安全性； 規(guī)制

網(wǎng)絡(luò)銀行的出現(xiàn)，在很大程度上轉(zhuǎn)變了社會經(jīng)濟(jì)的運(yùn)作模式，而在新的運(yùn)作模式過程中往往會出現(xiàn)信息便利所帶來的危害，這種危害性主要體現(xiàn)在計算機(jī)操作的不嚴(yán)密性上，犯罪分子就會從這種不嚴(yán)密中找出可乘之機(jī)，進(jìn)行經(jīng)濟(jì)信息犯罪，而且這種犯罪方式往往很難查證，為銀行和網(wǎng)絡(luò)銀行客戶帶來嚴(yán)重?fù)p失。為此，國家必須正視網(wǎng)絡(luò)銀行的信息安全性，對網(wǎng)絡(luò)銀行的安全性進(jìn)行全面規(guī)制。通過強(qiáng)制性力量對信息資源和信息工具使用進(jìn)行法律調(diào)整和規(guī)范，從而限制非法的、偶然的和非授權(quán)的信息活動，以支持正常的信息往來。

一、網(wǎng)絡(luò)銀行的安全性問題

（一）網(wǎng)絡(luò)銀行的發(fā)展與安全性需求

雖然目前各銀行的網(wǎng)上銀行都具備符合標(biāo)準(zhǔn)的安全系統(tǒng)及措施，以確?？蛻魴?quán)益能得到充分保障。但還是有經(jīng)濟(jì)犯罪發(fā)生，而這種犯罪情況一旦有報道就對網(wǎng)銀用戶的心理產(chǎn)生極大的負(fù)面影響。通過問卷調(diào)查顯示：超過60.5%的網(wǎng)民有虛擬財產(chǎn)被盜的經(jīng)歷，超過50%的消費(fèi)者不信任網(wǎng)上支付的用戶名和密碼機(jī)制。對安全性的顧慮成為目前阻礙網(wǎng)上銀行發(fā)展的重要瓶頸。自2004年以來，國內(nèi)發(fā)生的“假冒網(wǎng)站”、“網(wǎng)銀大盜”、“快樂耳朵”等事件，使網(wǎng)銀用戶對網(wǎng)上銀行的誤解更深，導(dǎo)致他們不敢放心大膽地使用。中國金融認(rèn)證中心（簡稱CFCA）也曾經(jīng)多次發(fā)表聲明，以證明銀行在保障網(wǎng)上銀行資金交易安全上做足功夫，不僅采用了防火墻、防病毒產(chǎn)品等安全的物理手段，并且絕大多數(shù)都使用了第三方安全認(rèn)證機(jī)構(gòu)頒發(fā)的數(shù)字證書，以確保交易雙方身份的真實性和交易信息的私密性。但是任何防范措施都需要有實效來證明，網(wǎng)民相信的往往是交易的安全結(jié)果，所以進(jìn)一步提升網(wǎng)絡(luò)銀行的安全防范技術(shù)和法律規(guī)制是目前的頭等大事。

（二）網(wǎng)絡(luò)銀行存在的安全問題

1.網(wǎng)站的安全性。網(wǎng)站是進(jìn)行網(wǎng)上交易的主要虛擬場所，在網(wǎng)站環(huán)節(jié)進(jìn)行犯罪的活動往往會用軟件竊取密碼進(jìn)行非法資金轉(zhuǎn)移，使客戶的密碼設(shè)置形同虛設(shè)，以往出現(xiàn)的“假冒網(wǎng)站”活動就是利用了網(wǎng)站的密碼不安全因素進(jìn)行非法竊取行為，使得客戶的利益受到損害，因此網(wǎng)站的安全問題不容忽視。

2.交易信息傳遞的安全性。由于互聯(lián)網(wǎng)的虛擬性，資金在網(wǎng)上劃撥， 客戶與銀行在進(jìn)行交易時，大量經(jīng)濟(jì)信息就會在網(wǎng)上進(jìn)行傳遞，從而出現(xiàn)傳遞安全問題。而傳遞的主要手段是依靠鍵盤進(jìn)行信息輸入，在輸入信息的過程中，鍵盤反應(yīng)往往與遠(yuǎn)端信息聯(lián)系，犯罪分子就會利用這種方式來竊取交易信息，進(jìn)行非法資金轉(zhuǎn)移。在以網(wǎng)上支付為核心的網(wǎng)上銀行，電子商務(wù)最核心的部分包括CA認(rèn)證在內(nèi)的電子支付流程，這種支付流程并沒有在我國形成統(tǒng)一規(guī)范的法律保證、認(rèn)證系統(tǒng)。另外，我國銀行卡持有人安全意識較弱，不注意密碼保密， 也就有可能使數(shù)字證書等機(jī)密資料落入他人之手，從而直接使網(wǎng)上身份識別系統(tǒng)被攻破，網(wǎng)上賬戶被盜用。用戶和銀行之間通過互聯(lián)網(wǎng)傳遞的信息是實現(xiàn)交易的基礎(chǔ)條件，如何確保不被第三方知道，是網(wǎng)上業(yè)務(wù)安全進(jìn)行的一個重要前提 。

3.制度層面上的安全性。我國網(wǎng)上銀行法律規(guī)制存在不完善，任何非法行為的控制都需要有法律做限制，但是對于網(wǎng)上銀行犯罪來說，其犯罪證據(jù)很難收集，出現(xiàn)問題之后，犯罪記錄、犯罪嫌疑人的追查都十分困難。法律法規(guī)的不完善使得犯罪分子的作案行為更為暢快，無形地影響了安全問題的控制。另外，國家也必須設(shè)立專門的網(wǎng)上銀行安全保障系統(tǒng)，投入資金和人力進(jìn)行網(wǎng)絡(luò)規(guī)范化管理，這也是當(dāng)代社會必須面對的問題 。

二、網(wǎng)絡(luò)銀行安全的技術(shù)規(guī)制

（一）網(wǎng)絡(luò)入侵檢測系統(tǒng)

網(wǎng)絡(luò)入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于IDS是一種積極主動的安全防護(hù)技術(shù)。IDS技術(shù)是保護(hù)計算機(jī)安全的最新技術(shù)，可以對網(wǎng)絡(luò)入侵行為做出最為快速準(zhǔn)確地安全監(jiān)控。它通過對網(wǎng)絡(luò)或計算機(jī)系統(tǒng)中的若干關(guān)鍵點收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或被攻擊的跡象。

（二）安全操作系統(tǒng)及安全數(shù)據(jù)庫

安全操作系統(tǒng)是指計算機(jī)信息系統(tǒng)在自主訪問控制、強(qiáng)制訪問控制、標(biāo)記、身份鑒別、客體重用、審計、數(shù)據(jù)完整性、隱蔽信道分析、可信路徑、可信恢復(fù)等十個方面滿足相應(yīng)的安全技術(shù)要求。數(shù)據(jù)庫的安全性要考慮到網(wǎng)絡(luò)環(huán)境的復(fù)雜性，要對數(shù)據(jù)庫環(huán)境進(jìn)行分項目管理，每個結(jié)點服務(wù)器還能自治實行集中式安全管理和訪問控制，對自己創(chuàng)建的用戶、規(guī)則、客體進(jìn)行安全管理。數(shù)據(jù)庫的安全管理能夠防止網(wǎng)上銀行用戶的信息被修改和篡改。

（三）身份認(rèn)證

身份認(rèn)證指能夠正確辨別用戶的各種方法，可通過三種基本方式或其組合形式來實現(xiàn)：用戶所知道的密碼（如口令），用戶持有合法的介質(zhì)（如智能卡），用戶具有某些生物學(xué)特征（如指紋、聲音、DNA圖案、視網(wǎng)膜掃描等）。為了進(jìn)一步進(jìn)行網(wǎng)銀的安全認(rèn)證，計算機(jī)可以進(jìn)行安全通道設(shè)置。如：在“安全通信”頁簽中，可以為遠(yuǎn)程桌面Web連接的通信通道進(jìn)行安全配置。如可以選擇“要求安全通道”選項，并且可以選擇“要求128位加密”。這樣就可以對通信過程中的通信通道采用SSL加密，同時對其中的數(shù)據(jù)也進(jìn)行128位的加密，對網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)實現(xiàn)雙重保護(hù)。

（四）備份和災(zāi)難恢復(fù)

網(wǎng)絡(luò)數(shù)據(jù)存儲管理系統(tǒng)的工作原理是在網(wǎng)絡(luò)上選擇一臺應(yīng)用服務(wù)器（當(dāng)然也可以在網(wǎng)絡(luò)中另配一臺服務(wù)器作為專用的備份服務(wù)器）作為網(wǎng)絡(luò)數(shù)據(jù)存儲管理服務(wù)器，安裝網(wǎng)絡(luò)數(shù)據(jù)存儲管理服務(wù)器端軟件，作為整個網(wǎng)絡(luò)的備份服務(wù)器。在備份服務(wù)器上連接一臺大容量存儲設(shè)備（磁帶庫、光盤庫）。在網(wǎng)絡(luò)中其他需要進(jìn)行數(shù)據(jù)備份管理的服務(wù)器上安裝備份客戶端軟件，通過局域網(wǎng)將數(shù)據(jù)集中備份管理到與備份服務(wù)器連接的存儲設(shè)備上。網(wǎng)絡(luò)備份和災(zāi)難恢復(fù)的計算機(jī)技術(shù)設(shè)置可以在網(wǎng)銀非法入侵的情況下，對計算機(jī)系統(tǒng)進(jìn)行最快速度地恢復(fù)，保證網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)作，也就提供給了客戶最為直接控制的機(jī)會。而備份的設(shè)置則保證了對操作數(shù)據(jù)的保留，為跟蹤和查證提供幫助 。

（五）SSL協(xié)議

SSL協(xié)議（Secure Socket Layer，安全套接層）是由網(wǎng)景（Netscape）公司推出的一種安全通信協(xié)議，它能夠?qū)π庞每ê蛡€人信息提供較強(qiáng)的保護(hù)。SSL是對計算機(jī)之間整個會話進(jìn)行加密的協(xié)議。在SSL中，采用了公開密鑰和私有密鑰兩種加密方法，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密（Encryption）技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。這樣就可以保證用戶的信息安全更為全面，從鍵盤到會話都能夠全面監(jiān)控，全面加密，保證了網(wǎng)上交易的安全。

三、網(wǎng)絡(luò)銀行安全性的全面規(guī)制分析

（一）加快技術(shù)更新

如今網(wǎng)上銀行的安全控制技術(shù)已經(jīng)很完備了，但是技術(shù)的更新是沒有極限的，為了跟蹤非法入侵者、對網(wǎng)絡(luò)交易進(jìn)行全面護(hù)航，網(wǎng)絡(luò)安全技術(shù)必須不斷更新、不斷創(chuàng)新，以領(lǐng)先的技術(shù)優(yōu)勢來控制犯罪行為的發(fā)生。全方位的計算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。所以要銀行監(jiān)督管理機(jī)構(gòu)、技術(shù)科研機(jī)構(gòu)和銀行加大技術(shù)研發(fā)力度，共同協(xié)作，加強(qiáng)資源共享，不斷創(chuàng)新技術(shù)，提高大眾對網(wǎng)銀的安全信心。而先進(jìn)技術(shù)的應(yīng)用也至關(guān)重要，對使用網(wǎng)上銀行交易的客戶應(yīng)該采取一些強(qiáng)制手段，保證其應(yīng)用合適的網(wǎng)銀保護(hù)系統(tǒng)，這樣就可以避免出現(xiàn)由于客戶的粗心大意而導(dǎo)致的安全問題，可以從意識到技術(shù)全面地實現(xiàn)安全保護(hù)。

（二）完善法律規(guī)制

全面地技術(shù)控制對網(wǎng)銀交易的安全作用主要還是以防范為主，而法律規(guī)制則是主動出擊行為，網(wǎng)絡(luò)銀行的法律規(guī)制可以保證非法入侵者和非法資金挪用者受到應(yīng)有的懲罰。建立其全面地犯罪行為跟蹤系統(tǒng)，對犯罪人員進(jìn)行嚴(yán)懲。另外，法律規(guī)制也在很大程度上保證了客戶使用網(wǎng)上銀行的信心，從心理層面解決了網(wǎng)民的網(wǎng)上交易困擾。而對交易雙方而言，法律規(guī)制應(yīng)該從市場準(zhǔn)入、經(jīng)營監(jiān)管、市場退出和權(quán)利救濟(jì)四方面著手，規(guī)范網(wǎng)上銀行的行為，明確網(wǎng)上銀行和客戶的法律責(zé)任，逐漸使大眾的安全意識從技術(shù)依賴型過渡到法律信任型。

（三）強(qiáng)化網(wǎng)絡(luò)管理

網(wǎng)絡(luò)管理包括：配置管理、變更管理、審計與合規(guī)和高可靠性控制。網(wǎng)絡(luò)管理是從網(wǎng)上銀行設(shè)置方的角度出發(fā)，旨在將網(wǎng)銀系統(tǒng)、構(gòu)架、服務(wù)等功能進(jìn)行全面地系統(tǒng)操控管理。網(wǎng)上銀行的管理首先必須設(shè)置人為管理員，不能一味地依靠虛擬設(shè)施，管理員能夠輕松地管理分散在多個地理位置的網(wǎng)絡(luò)，而且不會出現(xiàn)單點故障。另外，管理員也要隨時對各種網(wǎng)絡(luò)程序進(jìn)行安全監(jiān)控和操作審核，保證網(wǎng)上銀行的服務(wù)沒有入侵風(fēng)險和交易信息被竊取的現(xiàn)象發(fā)生?？傊W(wǎng)絡(luò)管理要面對日趨復(fù)雜的網(wǎng)絡(luò)系統(tǒng)環(huán)境，隨時調(diào)整管理方案，對網(wǎng)絡(luò)管理進(jìn)行統(tǒng)一的資產(chǎn)、配置、操作流程管理與行為審計，制訂并執(zhí)行統(tǒng)一的安全策略和配置規(guī)范，推進(jìn)網(wǎng)絡(luò)安全策略部署和網(wǎng)絡(luò)安全管理落實的有機(jī)結(jié)合，實現(xiàn)管理無漏洞、技術(shù)無缺陷。

因此，網(wǎng)上銀行的安全系統(tǒng)是建立在網(wǎng)絡(luò)銀行發(fā)展現(xiàn)狀和對網(wǎng)上銀行安全問題分析的基礎(chǔ)上的。對安全技術(shù)而言，必須要建立起訪問控制、交易控制、SSL協(xié)議、身份認(rèn)證、災(zāi)難恢復(fù)等全面的控制手段，保證對非法入侵的有效防范。對法律法規(guī)規(guī)制而言，要從實際情況出發(fā)，以法律的嚴(yán)謹(jǐn)來懲處罪犯，建立起安全有效地保護(hù)機(jī)制，提升網(wǎng)民對網(wǎng)銀的使用信心。

【參考文獻(xiàn)】

［1］ 孫立祥， 孫學(xué)全. 基于網(wǎng)絡(luò)安全中的防火墻技術(shù)研究［J］. 科協(xié)論壇（下半月）， 2009（6）：62.

［2］ 李彥軍， 屠全良， 郝夢巖. 基于中小企業(yè)網(wǎng)絡(luò)安全的防火墻配置策略［J］. 太原大學(xué)學(xué)報， 2006（1）：70-72.

［3］ 張曦. 網(wǎng)絡(luò)安全技術(shù)的探討［J］. 山西財經(jīng)大學(xué)學(xué)報（高等教育版）， 2002（S1）：172-173.

［4］ 黃迪. 電子政務(wù)網(wǎng)安全技術(shù)研究及應(yīng)用［D］. 重慶大學(xué)， 2008：1-60.

［5］ 吳京偉. 大學(xué)校園網(wǎng)絡(luò)運(yùn)維體系研究［D］. 合肥工業(yè)大學(xué)， 2009：1-53.

［6］ 兀俊. ACL訪問控制列表在交易連接平臺上的應(yīng)用［D］. 復(fù)旦大學(xué)， 2008：1-54.