商业银行如何有效保障网上银行的信息安全

许婷

中国人民银行南京分行 江苏 210004

0 引言

随着互联网技术的发展，其在金融领域的应用越来越广泛，并彻底改变了传统金融业的服务模式。商业银行通过网上银行系统将一些传统的柜台业务变为线上业务，还推出了一系列创新金融业务。关于网上银行的定义有多种，本文所讨论的网上银行是指银行通过互联网为个人或企业所提供的金融业务和服务。网上银行方便快捷，为银行提供了更加高效和优质的服务。而且由于无纸化和非人工操作，降低了银行的经营成本。更重要的是能够通过网络为客户提供更加个性化的金融服务。因此其将成为未来银行业的主要发展趋势之一。网上银行承载着大量的客户信息和资金安全，因此容易受到钓鱼网站、网络诈骗、网络黑客等不法分子的觊觎。如何保证网上银行的信息安全，是整个银行业乃至社会都非常关注的问题。笔者通过调查和实践，就如何有效防范网上银行的信息安全风险给出了相关建议。

1 严格遵守央行发布的《网上银行系统信息安全通用规范》

为切实提高网上银行信息安全水平，引导网上银行业务健康发展，保护金融消费者权益，中国人民银行于 2012年正式发布了《网上银行系统信息安全通用规范》(JR/T 0068-2012)。该规范来源于人民银行多年来网上银行安全工作实的践经验和对网上银行安全案件的调研，内容涵盖了网上银行系统的各个部分和交易的全过程。因此其具有全面性和针对性的特点，是商业银行做好网上银行信息安全工作的指南。因此，商业银行应严格按照规范要求在安全技术、安全管理和业务运作三个方面做好防范工作。

2 加强自身技术防护

2.1 增强网站的防钓鱼措施

据中国反钓鱼网站联盟发布的数据显示，今年以来联盟已处理钓鱼网站 2186个，钓鱼网站涉及的行业前两位分别为支付类交易和金融证券类；而联盟接到的钓鱼网站举报中，涉及淘宝网、建设银行、中国银行、工商银行四家单位的钓鱼网站总量占全部举报网的82.62%。钓鱼网站的频繁出现，已经损害了银行的声誉，妨碍了银行金融业务的拓展，同时还危害到社会公众的利益。

对于银行来说，一是应该主动出击，改变过去被动依赖客户投诉或举报的方式，对钓鱼网站进行主动的监控和预警。通过主动监控获取更多的信息，并及时预警客户，将不良影响减至最小。例如与国内的安全公司合作，由他们对网络上的各种钓鱼网站进行搜索与监控，当发现有钓鱼网站出现时，及时通知银行，银行可以迅速的采取应对措施；二是应形成完善的应急处理机制，发现问题后应及时报告行业主管部门，同时积极与公安机关合作，做好信息系统等级保护工作；三是应该加固自身的技术防范，如在网站上部署https证书中的最高级别证书-- EVSSL 证书。该 EV 证书不仅对网站上传输的信息采取最高强度的加密技术，更由第三方公正机构对网站真实身份进行了严格的审核，确保只有真实的银行才能取得该证书。部署EV 证书后，在主流浏览器的地址栏处将显示锁形标志并可通过“https”访问，同时地址栏将变为绿色，让用户清楚地辨识到该网站是否可信。

2.2 加强客户端的技术防护

客户端是整个网上银行系统的最薄弱部分。首先，客户端部署在用户的PC机、手机或其他移动终端上，安全防护普遍不足。其次，犯罪分子非常容易通过操作系统程序的漏洞进行攻击，或通过植入木马获取用户的账户、密码等敏感信息，或通过客户端漏洞远程控制用户的硬件数字证书(USBKey)冒充客户进行交易。因此，建立客户端程序的检测和定期检查机制非常重要。银行应在客户端程序上线前进行严格的代码测试和漏洞扫描，上线后银行也可以在客户每次交易前，主动的发起对客户端程序的检测，对一些可能被不法分子利用的漏洞进行主动扫描，及时帮助客户发现安全漏洞并提醒客户进行漏洞修复。为了确保检测的有效性和权威性，在银行自身进行检测后，还可以邀请合作的安全公司或者第三方检测机构来共同进行。

2.3 加强服务器端的技术防护

相对于客户端的薄弱各银行服务器端的防护措施均较为严密，因此目前的网上银行安全事件大都集中在对客户端的攻击。但一些中小银行的网上银行系统大量使用外包开发，机房等基础设施达不到国家标准、日常安全管理松懈、IT运维管理人员素质较差，也形成了一些风险隐患。这些安全隐患可能会造成网上银行系统通信中断、后台数据被篡改等严重后果。特别是近年来，所有银行系统之间通过金融城域网进行互联，任何一家银行系统出现漏洞，都有可能影响到所有银行，甚至影响到国家的金融稳定。因此，对于中小银行来说需要加强服务器端的基础设施建设和安全防护设施建设，保证机房和数据库系统的安全，降低服务器端被攻击的风险。

2.4 采用高安全级别的电子认证服务

电子认证服务是各银行通过向其网上银行用户颁发电子证书来实现交易过程中的身份认证、交易信息加密和交易的不可抵赖。电子认证本身的可靠性对保障网上银行的交易安全起到了关键作用，能够为网上银行系统提供电子认证服务的机构应具有权威性、可信赖型和公正性。目前我国建立了网上银行系统的商业银行均可使用电子认证服务系统——中国金融认证中心(CFCA)，但有少数银行采用自建的CA系统为用户签发数字证书，这不仅加重了商业银行本身的技术负担，还对证书颁发、管理等过程提出了较高的要求。因此商业银行在准备开展网上银行业务时，应尽量选择合规的、安全级别较高的第三方电子认证服务，例如CFCA。

3 加强对个人隐私信息的保护

网上银行由于使用互联网进行银行和个人之间信息的传送，因此用户个人信息暴露的风险较大。针对这种风险，为了更好的保护金融消费者权益，商业银行应更加关注对网上银行个人隐私信息的保护，通过有效措施保护用户个人隐私：一是如前所述，加强客户端的安全防护，确保客户端所存放的个人隐私数据加密存放，即使客户端文件被他人窃取，也无法取得跟银行有关的关键信息；二是在客户端与服务器端的信息传输，做好加密保护，防止网络上有不法分子采取窃听网络报文的方式来窃取交易信息；三是做好服务器端数据库中个人隐私信息加密与分块存放，这样即使数据库中的数据被盗取，如果没有拿到所有的数据块，或者没有数据库的解密密码，也无法得到真实的隐私交易信息；四是加强数据操作管理，并设置岗位制约制度，防止单一员工通过某个前台业务操作或后台数据管理操作就能轻易窃取到用户隐私数据。

4 加强对用户的风险提示和安全常识宣传

如前所述，商业银行应提升自身客户端程序的质量，及时封堵漏洞。但很多网络安全事件同时也是因为用户自身安全意识淡薄和使用习惯不良所造成的。因此银行对于网上银行用户应给予必要的风险提示和安全教育。一是通过发放安全手册等方式提示客户；二是在客户端程序中要设置多项安全提示，指导用户养成良好的使用习惯，如设置强壮的口令、业务完成后及时拔出USBKey等；三是及时向用户预警可能出现的安全事件，例如提醒钓鱼网站的防范技巧等，提醒用户加以防范。

5 加强内控内管制度的建设

近年来中国人民银行和银监会都出台了多项有关网上银行信息安全规范的文件。但少数商业银行内部重视程度不够，缺少内控内管制度。在缺少相关制度保证的情况下，信息安全保障措施难以实施到位，员工对于网上银行信息安全风险的认识也不够。因此商业银行还须进一步加强内控内管制度、规范岗位责任与制约、建立标准规范的操作流程，通过管理手段来促进各项措施落实到位。

[1]李东荣主编.网上银行系统信息安全通用规范解读[M].北京：中国金融出版社.2013.

[2]郑岩.如何跨越“网银安全”这道坎[J].金融电子化.2011.

[3]李晓枫.规范网银安全控制网银风险[J].中国金融电脑.2011.

[4]胡晓荷.加强防护措施,给力网银安全[J].信息安全与通信保密.2012.

[5]钓鱼网站威胁网银安全[J].微电脑世界.2011.