除了傳統銀行的流動性風險、利率風險、結算風險、道德風險和新型金融工具風險之外,我國網上銀行在網絡環境下還增加了壹些新的風險。
壹,中國網上銀行面臨的風險
1.系統風險
(1)操作系統風險。操作系統作為計算機資源的直接管理者,直接與硬件打交道,為用戶提供接口,是計算機系統正常安全運行的基礎。Windows操作系統存在很多安全漏洞,而UNIX操作系統是壹個開放系統,其源代碼已經公開。根據美國、荷蘭、法國、德國、英國和加拿大共同制定的安全評估標準《IT安全評估通用準則》(簡稱CC標準),微軟的Windows操作系統和大部分UNIX操作系統的安全僅達到C2級別,而網銀操作系統的安全級別至少應達到B級。
(2)應用系統風險。網絡業務系統設計存在漏洞。目前網絡應用軟件存在以下安全漏洞:參數無效、訪問控制無效、賬號無效、跨站腳本漏洞、緩沖區溢出、命令註入漏洞、錯誤處理問題、密碼系統使用不安全、遠程管理漏洞、網絡和應用軟件服務器配置錯誤。
在設計過程中,只註重“計算機如何完成任務”的設計,沒有充分考慮運行過程中的程序控制或檢查。系統沒有給審計留接口,很難進行實時審計。
(3)數據存儲風險。數據訪問、保密性和硬盤損壞帶來的風險。
(4)數據傳輸風險。數據傳輸過程中被竊取或修改等風險。
2.操作風險
網上銀行操作風險是指網上銀行內部程序、人員和系統的不完善或失誤以及外部事件導致直接或間接損失的風險。操作風險的原因如下:
(1)網銀操作風險意識薄弱。
(2)組織的職責不明確。
(3)內部控制制度不完善或執行不力。
(4)沒有合適的網銀審計部門。
3.信用風險
網上銀行的信用風險主要表現在客戶在網上使用信用卡支付時惡意透支,或者使用偽造的信用卡欺騙銀行。
4.信息不對稱風險
信息不對稱表現在兩個方面,壹方面是因為網上銀行無法獲得足夠的客戶信息,另壹方面是因為客戶無法獲得足夠的網上銀行信息。信息不對稱使得網上客戶更容易隱藏自己的信息和行動,做出對自己有利而對網上銀行不利的行為,也使得客戶無法正確評價網上銀行的優劣。
5.法律風險
中國在網上銀行和網上交易方面缺乏相應的法律法規。如:網上稅收如何征管、數字簽名是否具有法律效力、交易的跨境問題、知識產權問題、電子合同、電子貨幣問題、電子轉賬問題等。
二,我國網上銀行風險防範措施
1.防範系統風險
(1)物理安全。主要指對計算機設備場所、計算機系統、網絡設備、密鑰等關鍵設備的安全防禦措施。為了防止電磁泄漏,電源線和信號線要安裝濾波器,降低傳輸阻抗和導線間的交叉耦合,同時起到防輻射的作用。
(2)安全操作系統技術的應用。安全的操作系統不僅可以防止黑客利用操作系統平臺的漏洞攻擊網上銀行交易系統,還可以在壹定程度上屏蔽應用軟件系統的壹些安全漏洞。美國開發了各種級別的安全操作系統,包括數據通用公司的DG UX B1/B2安全操作系統和惠普公司的HPUX CMW B1安全操作系統。國內各大科研機構和公司也開發了高安全性的操作系統,如中科院信息安全工程研究中心開發的SECLINUX安全操作系統和中軟公司開發的COSIX LINUX系統。目前中國建設銀行網上銀行系統基於安全操作系統平臺,基於HP9000的硬件平臺,采用惠普的B1級安全操作系統。
(3)數據通信加密技術的應用。根據加密的通信級別,加密傳輸中的數據流可分為鏈路加密、節點加密和端到端加密。在鏈路數量較多,對流量分析要求不高的情況下,適合采用“端到端加密”的方式。在對流量分析要求較高的情況下,可以采用“鏈路加密”和“端到端加密”相結合的方式:用“鏈路加密”對報文頭進行加密,防止流量分析,然後對傳輸的報文進行“端到端加密”。
數據加密主要有兩種算法:DES和RSA。DES屬於私鑰加密系統(也稱對稱加密系統)。其優點是加解密速度快,算法實現容易,安全性好,缺點是密鑰管理不方便。RSA屬於公鑰加密系統(也稱非對稱加密系統)。其優點是安全性好,易於網絡中的密鑰管理。因此,可以采用DES和RSA相結合的綜合加密體制:數據用DES算法加密,密鑰用RSA算法加密。
(4)應用系統安全。應用系統安全主要包括交易雙方的身份識別和交易的確認。在網上銀行系統中,用戶的身份認證依賴於數字簽名機制和登錄密碼的雙重核對,未來還可以通過自動指紋認證系統進行認證。數字簽名還確保客戶提交的交易指令不可否認。公鑰基礎設施——PKI(public key infra structure)是解決大規模網絡環境中信任和加密問題的良好解決方案。同時,采用了安全的電子交易協議。目前主要的協議標準有:安全超文本傳輸協議(S-HTTP)、安全套接字層協議(SSL)、安全交易技術協議(STT)和安全電子交易協議(SET),其中SET涵蓋了信用卡交易協議、信息機密性、數據完整性和數據認證、數字簽名等。,並已成為事實上的工業標準。
加強應用系統開發過程審計和應用系統運行過程實時審計。
(5)應用數據庫安全技術。應用訪問控制技術、數據加密技術、硬盤分區保護技術、數據庫安全審計技術、故障恢復技術等。
(6)應用防火墻安全技術。第四代防火墻集計算機病毒檢測技術、代理服務技術和包過濾技術於壹體,建立提供DES加密、支持鏈路加密或虛擬專用網、病毒掃描等安全服務,並具有實時報告、實時監控、記錄非法登錄、統計分析等功能。設置防火墻時,切斷135到142的所有TCP和UDP連接,更改默認配置端口,拒絕PING報文,通過設置訪問列表過濾規則實現包過濾功能。采用防火墻雙機冷備份策略。進行入侵檢測和定期漏洞掃描。
2.操作風險的預防
操作風險主要來自銀行。應完善網上銀行內控制度,建立科學的操作規範,嚴格內控機制,將管理員與經理、程序員與操作員、制作人與執行人等不相容崗位分開,用ic卡認證主管和操作員,同時增設密碼。任何進入系統的操作都必須記錄在日誌中。
建立操作風險管理中心,為員工提供防範操作風險的技術培訓,監督各項操作風險管理制度的執行情況,評估網上銀行的操作風險,並采取相應措施。建立操作風險應急中心,研究業務的影響因素,識別可能導致業務暫停的情況,對系統進行備份並定期測試公司的災難應急預案,對出現的安全問題提供技術支持和解決方案。用保險來抵消那些“低頻率、高危害”的運營風險。建立操作風險審計中心,對所有網上銀行服務進行實時監控和掃描,利用審計記錄對業務操作人員和計算機系統管理人員進行審計。
外部操作風險,特別是網上銀行的金融欺詐,不僅要監控個人服務的零售業務,還要加強對企業登錄網上銀行的監控,通過數據挖掘軟件分析可疑資金交易,防止利用網絡進行非法資金交易。
3.信用風險的防範
建立全國範圍的用戶信用管理信息系統,將用戶分為不同的信用等級,對不同等級的用戶采取不同的管理措施。享有客戶信息數據庫,與世界其他商業銀行、保險公司等非銀行金融機構、銀行等金融機構合作,及時記錄客戶守信和違約情況。
4.信息不對稱風險的防範
建立信息披露制度,提高信息披露質量。應當定期發布經註冊會計師審計的網上銀行業務活動和財務狀況的公允信息,披露網上銀行的風險、網上銀行規避風險的措施以及消費者權益保護等信息。建立社會監督體系,進行網上銀行間的相互監督。
5.法律風險的防範
要充分利用和落實《網絡銀行管理暫行辦法》,充分利用《合同法》、《會計法》、《票據法》、《支付結算辦法》等法律起草網絡銀行相關協議,制定相關業務流程和業務辦理規定,充分利用《計算機信息系統安全保護條例》、《計算機信息網絡國際聯網管理暫行規定》等目前正在實施的網絡安全行政法規。網上銀行要註意交易數據的保管,為可能出現的糾紛或訴訟準備證據。
建立網上銀行法律監管體系,制定網上銀行外部處罰措施和網上銀行市場退出機制。建立網上銀行業務的法律體系,如建立電子銀行法、電子簽名法、電子資金劃撥法等法律法規,同時充實和修改現有法律法規。完善網上銀行的配套法律法規,主要包括稅收征管法、國際稅法、電子商務法、刑法、訴訟法、票據法、證券法、商業銀行法、消費者權益保護法、反不正當競爭法等相關法律法規。加強與國際立法和司法實踐的交流與合作,加大對網絡洗錢、網絡盜竊等電子犯罪的打擊力度。