淺談電子銀行安全風(fēng)險(xiǎn)與防范

序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了一篇淺談電子銀行安全風(fēng)險(xiǎn)與防范范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

淺談電子銀行安全風(fēng)險(xiǎn)與防范:試論我國商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)

論文 關(guān)鍵詞：商業(yè)銀行； 電子 商務(wù)；風(fēng)險(xiǎn)管理

論文摘要：隨著商業(yè)銀行網(wǎng)上業(yè)務(wù)的不斷 發(fā)展 ，電子商務(wù)安全風(fēng)險(xiǎn)管理策略成為理論與實(shí)踐中必須重視的課題。剖析現(xiàn)階段電子商務(wù)安全網(wǎng)風(fēng)險(xiǎn)策略的薄弱點(diǎn)，發(fā)展商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略，應(yīng)借鑒成熟的傳統(tǒng) 金融 風(fēng)險(xiǎn)度量中的一些方法改變電子商務(wù)安全管理對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序，用系統(tǒng)管理思想構(gòu)建商業(yè)銀行電子商務(wù)安全管理框架，并將商務(wù)安全風(fēng)險(xiǎn)納入風(fēng)險(xiǎn)管理范疇。

商業(yè)銀行從事金融業(yè)務(wù)面臨著市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、以及操作風(fēng)險(xiǎn)等，而電子商務(wù)的出現(xiàn)則加劇了上述各類風(fēng)險(xiǎn)發(fā)生的可能性以及風(fēng)險(xiǎn)發(fā)生之后的破壞程度。2004年以來，我國面臨的 網(wǎng)絡(luò) 仿冒威脅正在逐漸加大，仿冒對(duì)象主要是金融網(wǎng)站和電子商務(wù)網(wǎng)站。2005年上半年共收到網(wǎng)絡(luò)安全事件報(bào)告65679件，超過2004年全年案件數(shù)，商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略已成為理論與實(shí)踐中必須重視的課題。

一、信息安全管理的 歷史 演進(jìn)與現(xiàn)階段的特點(diǎn)

信息安全管理的策略大體遵循事件驅(qū)動(dòng)(技術(shù)和管理脫節(jié))－逐漸標(biāo)準(zhǔn)化(技術(shù)和管理逐漸結(jié)合)——安全風(fēng)險(xiǎn)管理(引入了風(fēng)險(xiǎn)分析)的發(fā)展路徑。

(一)以事件驅(qū)動(dòng)的初級(jí)階段時(shí)期

19世紀(jì)70年代安全主要是指物理設(shè)備和環(huán)境的安全，人與 計(jì)算 機(jī)之間的交互主要局限在大型計(jì)算機(jī)上的啞終端，安全問題只涉及能訪問終端的少數(shù)人。安全管理策略處于初級(jí)階段，由事件驅(qū)動(dòng)，沒有形成規(guī)范的管理流程。在此階段的前期，只重視技術(shù)手段。后期開始重視管理手段，但是技術(shù)和管理之間脫節(jié)。許多組織對(duì)信息安全制定了相應(yīng)的規(guī)章和制度，但組織的信息安全管理基本上還處在一種靜態(tài)、局部、少數(shù)人負(fù)責(zé)、突擊式、事后糾正式的管理方式。

(二)標(biāo)準(zhǔn)化時(shí)期

企業(yè) 開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術(shù)手段和管理制度(或稱運(yùn)作管理)。幾乎所有從事電子商務(wù)的企業(yè)都擁有自己的安全策略，內(nèi)容也包括了技術(shù)手段、安全管理制度、人員安全 教育 等等，基本上形成體系，技術(shù)和管理手段綜合統(tǒng)一，但是安全風(fēng)險(xiǎn)分析還存在不足之處。

(三)安全風(fēng)險(xiǎn)管理策略時(shí)期

隨著電子商務(wù)安全管理發(fā)展到一個(gè)比較高的層次，安全管理策略也演進(jìn)到安全風(fēng)險(xiǎn)管理階段。主要特點(diǎn)如下：

1.安全風(fēng)險(xiǎn)管理成為主流趨勢(shì)；在安全管理策略的演進(jìn)過程中，技術(shù)和管理手段綜合統(tǒng)一、又融入了風(fēng)險(xiǎn)管理的分析、防范策略，從而安全管理進(jìn)入了安全風(fēng)險(xiǎn)管理時(shí)期。西方商業(yè)銀行已對(duì)安全風(fēng)險(xiǎn)管理形成共識(shí)。如安氏公司(is—one)，認(rèn)為信息安全問題最終將歸結(jié)為風(fēng)險(xiǎn)管理問題，風(fēng)險(xiǎn)管理方法是建立良性的安全技術(shù)和管理體系的依據(jù)和基礎(chǔ)。

2.安全風(fēng)險(xiǎn)管理的國際標(biāo)準(zhǔn)和各國的規(guī)范逐漸形成并趨于完善。國際上關(guān)于安全風(fēng)險(xiǎn)管理的標(biāo)準(zhǔn)有巴塞爾銀行監(jiān)管委員會(huì)的《電子銀行業(yè)務(wù)風(fēng)險(xiǎn)管理原則》、英國標(biāo)準(zhǔn)協(xié)會(huì)制訂的bs7799等。各國也日益重視安全風(fēng)險(xiǎn)管理，制定了許多規(guī)范。例如美國貨幣監(jiān)理署(occ)的《電子銀行最終規(guī)則》、香港金融管理局的《電子銀行服務(wù)的安全風(fēng)險(xiǎn)管理》等。

(三)忽視與原有的傳統(tǒng)風(fēng)險(xiǎn)管理策略的結(jié)合

本質(zhì)上， 電子 商務(wù)的安全風(fēng)險(xiǎn)無非是新興的商業(yè)模式對(duì)傳統(tǒng)的風(fēng)險(xiǎn)的改變，以及產(chǎn)生的在傳統(tǒng)風(fēng)險(xiǎn)控制領(lǐng)域暫時(shí)無法明晰的新風(fēng)險(xiǎn)；現(xiàn)有管理策略只從信息技術(shù)的角度、或者從偏重技術(shù)的角度看待問題，站在 金融 領(lǐng)域本身來分析研究較少。這種狀況導(dǎo)致了對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理的研究無法立足于一個(gè)比較高的層次；忽略了風(fēng)險(xiǎn)的整體性，只進(jìn)行偏信息和技術(shù)的研究，導(dǎo)致了現(xiàn)有的電子商務(wù)安全風(fēng)險(xiǎn)管理策略與金融機(jī)構(gòu)原有的傳統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)管理策略存在差距。對(duì)于商業(yè)銀行而言，傳統(tǒng)金融業(yè)務(wù)的風(fēng)險(xiǎn)控制與電子商務(wù)的技術(shù)風(fēng)險(xiǎn)控制，兩個(gè)方面存在脫節(jié)，同樣屬于商業(yè)銀行的風(fēng)險(xiǎn)，存在著不同的管理策略，導(dǎo)致多頭管理、資源浪費(fèi)、機(jī)構(gòu)之間的扯皮，乃至缺位管理。

(四)風(fēng)險(xiǎn)管理策略無法依賴外部的信息安全管理行業(yè)

在發(fā)達(dá)國家，信息系統(tǒng)審計(jì)(is audit)作為一種信息技術(shù)服務(wù)被廣泛提供，許多知名的咨詢公司都提供類似的信息審計(jì)服務(wù)。it風(fēng)險(xiǎn)分析師也成為一種職業(yè)，專門從事電子商務(wù)的安全風(fēng)險(xiǎn)工作。商業(yè)銀行采用依靠外部專業(yè)化機(jī)構(gòu)定期對(duì)電子銀行的安全性進(jìn)行評(píng)估的辦法，提高對(duì)電子銀行安全性和技術(shù)風(fēng)險(xiǎn)的管理和監(jiān)管。而國內(nèi)初步建立了國家信息安全組織保障體系，制定和引進(jìn)了一批重要的信息安全管理標(biāo)準(zhǔn)、 法律 法規(guī)，風(fēng)險(xiǎn)評(píng)估工作得到了一定重視，但與發(fā)達(dá)國家成熟完善的外部信息安全管理行業(yè)仍有很大差距。

(五)風(fēng)險(xiǎn)管理策略中商業(yè)銀行的內(nèi)部風(fēng)險(xiǎn)控制能力薄弱

我國商業(yè)銀行目前均建立起統(tǒng)一的風(fēng)險(xiǎn)管理部門；但風(fēng)險(xiǎn)控制部門的職能、權(quán)限與花旗銀行等體制較為先進(jìn)的銀行相比仍然存在較大差距，風(fēng)險(xiǎn)控制實(shí)質(zhì)上仍然分散在各個(gè)子部門；風(fēng)險(xiǎn)的評(píng)估、防范與控制實(shí)質(zhì)上完全依靠商業(yè)銀行的電子交易部門；風(fēng)險(xiǎn)管理部門、內(nèi)審稽核部門實(shí)質(zhì)上無法控制電子商務(wù)安全風(fēng)險(xiǎn)。例如，風(fēng)險(xiǎn)管理部門接受了電子交易部的風(fēng)險(xiǎn)控制報(bào)告，表面上履行的內(nèi)控審核的流程，但審核作用有限，無法完成電子商務(wù)安全風(fēng)險(xiǎn)管理中的監(jiān)控與審計(jì)環(huán)節(jié)。

三、商業(yè)銀行的電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)建議

(一)基于系統(tǒng)的思想構(gòu)建商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理策略框架

利用系統(tǒng)理論作為總體的指導(dǎo)思想，將電子商務(wù)安全風(fēng)險(xiǎn)管理策略本身當(dāng)作一個(gè)開放的自適應(yīng)系統(tǒng)。將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理中的各個(gè)環(huán)節(jié)組成循環(huán)上升的系統(tǒng)。

在商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)控制的流程中，經(jīng)過信息安全的風(fēng)險(xiǎn)評(píng)估、資產(chǎn)識(shí)別和選擇、實(shí)施控制降低風(fēng)險(xiǎn)的措施、將風(fēng)險(xiǎn)控制在可接受的范圍內(nèi)，然后進(jìn)行監(jiān)控和審計(jì)；尤其重要的是把監(jiān)控和審計(jì)所得到的內(nèi)容作為新一輪風(fēng)險(xiǎn)分析輸入，從而開始新一輪的風(fēng)險(xiǎn)管理過程。商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理的各個(gè)步驟為動(dòng)態(tài)的循環(huán)系統(tǒng)。每完成一個(gè)循環(huán)，安全風(fēng)險(xiǎn)管理的有效性就上一個(gè)臺(tái)階，商業(yè)銀行的安全管理水平變得到了提高。

(二)電子商務(wù)安全風(fēng)險(xiǎn)管理中定量分析中的改進(jìn)思路

商業(yè)銀行可以借鑒成熟的傳統(tǒng)金融風(fēng)險(xiǎn)度量中的一些方法來改變電子商務(wù)安全風(fēng)險(xiǎn)管理中對(duì)資產(chǎn)進(jìn)行粗略的優(yōu)先級(jí)別排序的方法。實(shí)踐中，商業(yè)銀行對(duì)操作風(fēng)險(xiǎn)的管理與對(duì)電子商務(wù)安全風(fēng)險(xiǎn)管理有其相似之處。巴塞爾委員會(huì)對(duì)商業(yè)銀行的操作風(fēng)險(xiǎn)的內(nèi)部計(jì)量法中規(guī)定，商業(yè)銀行內(nèi)部估計(jì)風(fēng)險(xiǎn)敞口指標(biāo)、損失事件發(fā)生的概率、風(fēng)險(xiǎn)損失，巴塞爾委員會(huì)制定資本要求的轉(zhuǎn)換系數(shù)；在度量損失的分布時(shí)，主要利用統(tǒng)計(jì)和精算技術(shù)。商業(yè)銀行應(yīng)通過數(shù)據(jù)庫將威脅發(fā)生的頻率、威脅所造成的影響等精確記錄下來，利用現(xiàn)有的度量方法進(jìn)行精確的風(fēng)險(xiǎn)定量分析的嘗試。

(三)將商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)納入商業(yè)銀行總體風(fēng)險(xiǎn)管理范疇

將商業(yè)銀行所面臨的全部風(fēng)險(xiǎn)放在一個(gè)框架中考慮。傳統(tǒng)風(fēng)險(xiǎn)管理以及電子商務(wù)安全風(fēng)險(xiǎn)管理都是風(fēng)險(xiǎn)管理系統(tǒng)中子系統(tǒng)，二者相互聯(lián)系、相互影響，不可分割。嘗試借鑒信用風(fēng)險(xiǎn)與操作風(fēng)險(xiǎn)度量的方法與思想，短期內(nèi)將其與信用風(fēng)險(xiǎn)控制銜接，最終形成一個(gè)全面的商業(yè)銀行安全風(fēng)險(xiǎn)管理框架。

(四)商業(yè)銀行要積極促進(jìn)電子商務(wù)安全風(fēng)險(xiǎn)管理策略的改進(jìn)(1)充分利用國內(nèi)或國外能夠獲得的信息系統(tǒng)審計(jì)、外部信息安全評(píng)估等服務(wù)，采取定期評(píng)估審計(jì)、不斷采取措施改善風(fēng)險(xiǎn)狀態(tài)的策略；(2)在目前商業(yè)銀行的組織與管理體制下，風(fēng)險(xiǎn)控制部門與傳統(tǒng)金融業(yè)務(wù)部門的流程需不斷改善，商業(yè)銀行必須創(chuàng)造條件，加強(qiáng)風(fēng)險(xiǎn)管理部門與電子商務(wù)部門的交叉配合，包括各部門人員的配置、培訓(xùn)等各方面；使風(fēng)險(xiǎn)管理部門能夠履行安全風(fēng)險(xiǎn)管理的監(jiān)控與審計(jì)職能；(3)商業(yè)銀行必須重視對(duì)傳統(tǒng)金融風(fēng)險(xiǎn)與電子商務(wù)安全風(fēng)險(xiǎn)的統(tǒng)一度量問題的研究，不斷提高風(fēng)險(xiǎn)管理部門綜合控制風(fēng)險(xiǎn)的能力，充分考慮電子商務(wù)安全風(fēng)險(xiǎn)與信用風(fēng)險(xiǎn)、操作風(fēng)險(xiǎn)的交叉問題，為實(shí)現(xiàn)全面風(fēng)險(xiǎn)管理奠定基礎(chǔ)。

淺談電子銀行安全風(fēng)險(xiǎn)與防范:電子網(wǎng)上銀行不安全防控研究論文

[摘要]網(wǎng)上銀行為金融企業(yè)的發(fā)展帶來商機(jī)并為眾多用戶帶來了方便,但同時(shí)網(wǎng)上銀行網(wǎng)站本身的安全性問題、交易信息在商家與銀行之間傳遞的安全性問題、交易信息在消費(fèi)者與銀行之間傳遞的安全性問題已成為網(wǎng)上銀行業(yè)務(wù)面臨的主要安全問題,分析這些安全問題產(chǎn)生的根源,并提出一些防范對(duì)策,顯得尤為必要。

[關(guān)鍵詞]網(wǎng)上銀行；網(wǎng)絡(luò)支付；安全性問題

隨著電子商務(wù)技術(shù)的發(fā)展,網(wǎng)上銀行的使用也越來越廣泛,但是網(wǎng)上銀行還存在很大的安全問題,必須引起廣大網(wǎng)民群眾的重視。

一、我國網(wǎng)上銀行存在的安全性問題

1.網(wǎng)上銀行網(wǎng)站存在的安全性問題

在網(wǎng)絡(luò)銀行中,企圖非法竊取密碼的作案者如果采用可以改變登錄ID的方法,即便登錄失敗,網(wǎng)站也不會(huì)將密碼視為無效。除了用軟件竊取密碼這樣的隱憂以外,“冒充站點(diǎn)”也是網(wǎng)上銀行使用中一個(gè)非常重要的安全隱患。客戶在不了解情況時(shí)就會(huì)向虛假站點(diǎn)發(fā)送ID和密碼?？蛻舭l(fā)送完畢后,如果顯示出一個(gè)“服務(wù)馬上就要停止”的畫面,或者把客戶訪問重新引導(dǎo)到正規(guī)站點(diǎn)上,客戶當(dāng)時(shí)是很難察覺的。這樣一來,就存在有人進(jìn)行非法資金轉(zhuǎn)移的可能性。

2.交易信息在商家與銀行之間傳遞的安全性問題

因?yàn)榛ヂ?lián)網(wǎng)的虛擬性,交易雙方無法確保對(duì)方身份的真實(shí)性,尤其在當(dāng)事人僅僅通過互聯(lián)網(wǎng)交流時(shí),在這種情況下,要建立交易雙方的信用機(jī)制和安全感是非常困難的。資金在網(wǎng)上劃撥,安全性是最大問題,發(fā)展網(wǎng)上銀行業(yè)務(wù),大量經(jīng)濟(jì)信息在網(wǎng)上傳遞。而在以網(wǎng)上支付為核心的網(wǎng)上銀行,電子商務(wù)最核心的部分包括CA認(rèn)證在內(nèi)的電子支付流程。就是說國內(nèi)目前的網(wǎng)上銀行還不能算真正的網(wǎng)上銀行,只有真正建立起國家金融權(quán)威認(rèn)證中心(CA)系統(tǒng),才能為網(wǎng)上支付提供法律保障。

3.交易信息在消費(fèi)者與銀行之間傳遞的安全性問題

目前,我國銀行卡持有人安全意識(shí)普遍較弱,不注意密碼保密,或?qū)⒚艽a設(shè)為生日等易被猜測(cè)的數(shù)字。一旦卡號(hào)和密碼被他人竊取或猜出,用戶賬號(hào)就可能在網(wǎng)上被盜用,例如進(jìn)行購物消費(fèi)等,從而造成損失,而銀行技術(shù)手段對(duì)此卻無能為力。因此一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用。用戶和銀行之間通過互聯(lián)網(wǎng)傳遞的信息是實(shí)現(xiàn)交易的基礎(chǔ)條件,如何確保不被第三方知道,是網(wǎng)上業(yè)務(wù)安全進(jìn)行的一個(gè)重要前提。

綜上所述,其根本原因都是由于登錄密碼或支付密碼泄露造成的。①密碼管理問題。②網(wǎng)絡(luò)病毒、木馬問題。③釣魚平臺(tái)。另外還有網(wǎng)上支付的信用問題、網(wǎng)上支付的法律問題和網(wǎng)上安全認(rèn)證機(jī)構(gòu)(CA)建設(shè)混亂等問題。

二、網(wǎng)上銀行安全性問題解決的對(duì)策

1.做好自身電腦的日常安全維護(hù)

一是經(jīng)常給電腦系統(tǒng)升級(jí)。二是安裝殺毒軟件、防火墻,經(jīng)常升級(jí)和殺毒。三在平時(shí)上網(wǎng)是盡量不上一些小型網(wǎng)站,選大型網(wǎng)站,知名度比較高的網(wǎng)站,避免網(wǎng)站掛有病毒、木馬造成中毒。四盡量不要在公共電腦上使用自己的有關(guān)資金的賬戶和密碼。五有條件的情況下,在初裝系統(tǒng)后確認(rèn)電腦安全的后,給自己的電腦做上備份,在使用資金賬戶前做一次系統(tǒng)恢復(fù)。

2.設(shè)立防火墻,隔離相關(guān)網(wǎng)絡(luò)

所謂防火墻指的是位與不同網(wǎng)絡(luò)安全域之間的軟件和硬件設(shè)備的一系列部件的組合,作為不同網(wǎng)絡(luò)安全域之間通信流的唯一通道,并根據(jù)用戶的有關(guān)策略控制進(jìn)出不同網(wǎng)絡(luò)安全域的訪問?，F(xiàn)實(shí)生活中一般采用多重防火墻方案,分隔互聯(lián)網(wǎng)與交易服務(wù)器,防止互聯(lián)網(wǎng)用戶的非法入侵;還用于交易服務(wù)器與銀行內(nèi)部網(wǎng)的分隔,有效保護(hù)銀行內(nèi)部網(wǎng),同時(shí)防止內(nèi)部網(wǎng)對(duì)交易服務(wù)器的入侵。

3.設(shè)置高安全級(jí)的web應(yīng)用服務(wù)器

高安全級(jí)的web服務(wù)器使用可信的專用操作系統(tǒng),憑借其獨(dú)特的體系結(jié)構(gòu)和安全檢查,保證只有合法用戶的交易請(qǐng)求能通過特定的程序送至應(yīng)用服務(wù)器進(jìn)行后續(xù)處理。

4.建立完善的身份認(rèn)證和CA認(rèn)證系統(tǒng)

在網(wǎng)上銀行系統(tǒng)中,用戶的身份認(rèn)證依靠基于“RSA公鑰密碼體制”的加密機(jī)制、數(shù)字簽名機(jī)制和用戶登錄密碼的多重保證。銀行對(duì)用戶的數(shù)字簽名和登錄密碼進(jìn)行檢驗(yàn),全部通過后才能確認(rèn)該用戶的身份。用戶的惟一身份標(biāo)識(shí)就是銀行簽發(fā)的“數(shù)字證書”。用戶的登錄密碼以密文的方式進(jìn)行傳輸,確保了身份認(rèn)證的安全可靠性。數(shù)字證書的引入,同時(shí)實(shí)現(xiàn)了用戶對(duì)銀行交易網(wǎng)站的身份認(rèn)證,以保證訪問的是真實(shí)的銀行網(wǎng)站,另外還確保了客戶提交的交易指令的不可否認(rèn)性。由于數(shù)字證書的惟一性和重要性,各家銀行為開展網(wǎng)上業(yè)務(wù)都成立了CA認(rèn)證機(jī)構(gòu),專門負(fù)責(zé)簽發(fā)和管理數(shù)字證書,并進(jìn)行網(wǎng)上身份審核。2000年6月,由中國人民銀行牽頭,12家商業(yè)銀行聯(lián)合共建的中國金融認(rèn)證中心(CFCA)正式掛牌運(yùn)營。這標(biāo)志著中國電子商務(wù)進(jìn)入了銀行安全支付的新階段。中國金融認(rèn)證中心作為一個(gè)權(quán)威的、可信賴的、公正的第三方信任機(jī)構(gòu),為今后實(shí)現(xiàn)跨行交易提供了身份認(rèn)證基礎(chǔ)。

5.加強(qiáng)客戶的安全意識(shí)和網(wǎng)絡(luò)通訊的安全性

銀行卡持有人的安全意識(shí)是影響網(wǎng)上銀行安全性的不可忽視的重要因素。一些銀行規(guī)定:客戶必須持合法證件到銀行柜臺(tái)簽約才能使用“網(wǎng)上銀行”進(jìn)行轉(zhuǎn)賬支付,以此保障客戶的資金安全。另一種情況是,客戶在公用的計(jì)算機(jī)上使用網(wǎng)上銀行,可能會(huì)使數(shù)字證書等機(jī)密資料落入他人之手,從而直接使網(wǎng)上身份識(shí)別系統(tǒng)被攻破,網(wǎng)上賬戶被盜用。公務(wù)員之家

安全性作為網(wǎng)絡(luò)銀行賴以生存和得以發(fā)展的核心及基礎(chǔ),從一開始就受到各家銀行的極大重視,都采取了有效的技術(shù)和業(yè)務(wù)手段來確保網(wǎng)上銀行安全。但安全性和方便性又是互相矛盾的,越安全就意味著申請(qǐng)手續(xù)越煩瑣,使用操作越復(fù)雜,影響了方便性,使客戶使用起來感到困難。因此,必須在安全性和方便性上進(jìn)行權(quán)衡。

互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò),客戶在網(wǎng)上傳輸?shù)拿舾行畔⒃谕ㄓ嵾^程中存在被截獲、被破譯、被篡改的可能。為了防止此種情況發(fā)生,網(wǎng)上銀行系統(tǒng)一般都采用加密傳輸交易信息的措施,使用最廣泛的是SSL數(shù)據(jù)加密協(xié)議。

淺談電子銀行安全風(fēng)險(xiǎn)與防范:我國電子銀行面臨的安全問題分析

作者簡(jiǎn)介：郭丹妮（1989-），女，漢，浙江省金華市東陽市人，在讀研究生，杭州電子科技大學(xué)經(jīng)濟(jì)學(xué)院，研究方向：國際金融。

摘要：電子銀行業(yè)務(wù)目前成為各大銀行競(jìng)相追捧的業(yè)務(wù)，但其安全問題卻是個(gè)不可忽視的難題。本文主要針對(duì)我國電子銀行發(fā)展中主要出現(xiàn)的安全問題進(jìn)行分析，并簡(jiǎn)單分析其原因，最后提出相關(guān)建議和解決方法。希望電子銀行安全問題能得到廣泛關(guān)注，并得到妥善處理。

關(guān)鍵詞：電子銀行;安全由于電子銀行具有低成本、高效率、方便快捷等優(yōu)勢(shì)，使得近年來電子銀行在我國迅猛發(fā)展。2013年，電子銀行交易筆數(shù)已突破1000億筆，電子銀行替代率高達(dá)77.7%。在高速發(fā)展的背景下，安全問題慢慢浮出水面，成為目前用戶最為關(guān)注和擔(dān)心的問題。根據(jù)艾瑞咨詢網(wǎng)2012―2013年中國電子銀行用戶調(diào)研報(bào)告顯示，2012年受調(diào)查的中國用戶有56%的人因安全問題而不使用手機(jī)銀行和網(wǎng)上銀行，安全問題成為眾多原因中最主要的原因。

一、國內(nèi)電子銀行業(yè)務(wù)面臨的主要安全問題

（一）技術(shù)漏洞風(fēng)險(xiǎn)。

當(dāng)今，高速發(fā)展的信息技術(shù)像由于信一把雙刃劍，為人們提供更多方便服務(wù)的同時(shí)也帶來了新的、多樣化的威脅安全的方式和途徑。同時(shí)，商業(yè)銀行自身為了業(yè)務(wù)更新和服務(wù)完善進(jìn)行的信息技術(shù)的更換，但卻不能保證所選技術(shù)的成熟度和完善度，更何況不論多么可靠的信息技術(shù)都不可避免的存在了或多或少的安全隱患，這將對(duì) 計(jì)算機(jī)系統(tǒng)的穩(wěn)定性造成相當(dāng)大的影響。于此同時(shí)，目前我國銀行間的網(wǎng)絡(luò)系統(tǒng)缺乏統(tǒng)一的、整體的規(guī)劃，使得各銀行間系統(tǒng)無法兼容，業(yè)務(wù)無法暢通無阻的相連和對(duì)接。這些存在的技術(shù)漏洞無疑增加了各類惡意攻擊的風(fēng)險(xiǎn)。如計(jì)算機(jī)病毒的傳播將導(dǎo)致計(jì)算機(jī)系統(tǒng)的癱瘓、黑客的入侵將竊取銀行內(nèi)部各種機(jī)密資料等。

（二）系統(tǒng)設(shè)計(jì)風(fēng)險(xiǎn)。

新型網(wǎng)絡(luò)金融服務(wù)使得銀行業(yè)的服務(wù)的范圍和外延擴(kuò)大了，電子銀行業(yè)務(wù)想通過以前過于簡(jiǎn)單的加密模式已經(jīng)無法滿足現(xiàn)如今的在交易中必需的身份認(rèn)證、數(shù)據(jù)交易以及其他記錄的安全性。目前,我國金融業(yè)的系統(tǒng)的監(jiān)控分析、災(zāi)難的備份管理、自動(dòng)化的故障診斷、突發(fā)事件的應(yīng)對(duì)和抗風(fēng)險(xiǎn)的能力等都很薄弱。而電子銀行業(yè)務(wù)數(shù)據(jù)傳遞渠道的開放性則使其面臨了新的安全問題。與此同時(shí)，很多銀行對(duì)少數(shù)幾家外包商的過分依賴很可能將導(dǎo)致一些系統(tǒng)性風(fēng)險(xiǎn)，事實(shí)上這些外包商大多對(duì)銀行業(yè)務(wù)所必須具有的控制知識(shí)的了解都相當(dāng)缺乏。因此，外包業(yè)務(wù)將會(huì)帶來類似附加隱私權(quán)保護(hù)的問題。

（三）客戶操作風(fēng)險(xiǎn)。

電子銀行業(yè)務(wù)的特殊性決定了其使用者必須具有相應(yīng)的操作技能。客戶不熟練的操作將有可能產(chǎn)生操作錯(cuò)誤，進(jìn)而引起操作風(fēng)險(xiǎn)。同時(shí)，很多客戶的安全意識(shí)淡薄，容易上當(dāng)受騙。例如，將自己的銀行卡賬戶和密碼泄露于他人；將銀行業(yè)務(wù)后的回執(zhí)、回單等隨意丟棄，讓不法分子有機(jī)可趁；甚至無法辨別犯罪分子通過電話、短信、郵件等方式進(jìn)行的詐騙，信以為真，讓自己的財(cái)產(chǎn)受損。

（四）內(nèi)部控制風(fēng)險(xiǎn)。

由于我國商業(yè)銀行的內(nèi)部控制在技術(shù)狀況、管理水平、人員素質(zhì)、組織文化、經(jīng)營規(guī)模以及運(yùn)營效率等方面的條件尚不成熟；忽視內(nèi)部控制模式建設(shè)；缺乏有效的內(nèi)部控制標(biāo)準(zhǔn)和規(guī)范的控制程序；內(nèi)部控制的測(cè)試與評(píng)價(jià)系統(tǒng)不完備等原因致使我國商業(yè)銀行內(nèi)部控制效率低下。銀行內(nèi)部員工的不合規(guī)、不合法操作得不到有效的控制，這將會(huì)引起電子銀行業(yè)務(wù)的運(yùn)行風(fēng)險(xiǎn)。如果銀行具有不完善且得不到獨(dú)立審計(jì)的內(nèi)部控制措施,那么有效的、及時(shí)的安全防范將成為一個(gè)難題。

二、電子銀行風(fēng)險(xiǎn)產(chǎn)生的原因

1、銀行自身的原因

現(xiàn)代網(wǎng)絡(luò)金融業(yè)務(wù)是對(duì)電子、通信和軟件技術(shù)的綜合運(yùn)用的基礎(chǔ)上發(fā)展起來的，因此，對(duì)穩(wěn)定的網(wǎng)絡(luò)系統(tǒng)具有很強(qiáng)的依賴性。另外，客戶的信賴是開展電子銀行業(yè)務(wù)的必要條件。而我國銀行業(yè)開展電子化的金融服務(wù)起步較晚，經(jīng)驗(yàn)缺乏，不合理的操作會(huì)使客戶對(duì)網(wǎng)上服務(wù)的滿意度降低。數(shù)字證書是網(wǎng)上銀行作為客戶身份認(rèn)證的有效手段，那么銀行理應(yīng)將其作用和正確的使用方法作為一種責(zé)任向用戶進(jìn)行清楚的告知和說明。而實(shí)際上，雖然數(shù)字證書已基本覆蓋到各銀行的網(wǎng)上銀行業(yè)務(wù)中，但大部分用戶對(duì)其功能無法完全了解。數(shù)字證書的介紹只有在網(wǎng)上銀行頁面上類似“熱點(diǎn)問題”的專欄中才有解釋，但大多數(shù)解釋都未充分說明數(shù)字證書的重要性和法律效力。各網(wǎng)上銀行應(yīng)以“客戶服務(wù)”為宗旨，確?？蛻舻男畔⒑唾Y金往來的安全性。

2、客戶方面的原因

電子銀行具有傳統(tǒng)銀行經(jīng)營過程中存在的信用風(fēng)險(xiǎn)，而信用風(fēng)險(xiǎn)源于社會(huì)信用體系不夠健全。因此，應(yīng)盡快建立我國的社會(huì)信用體系，以促進(jìn)電子銀行的發(fā)展。目前網(wǎng)銀對(duì)用戶身份的認(rèn)證主要通過以下三種方式完成。第一，根據(jù)客戶的秘密信息來確認(rèn)身份，包括靜態(tài)口令和動(dòng)態(tài)口令。但靜態(tài)口令的用戶常使用簡(jiǎn)單易記的口令，因此容易泄露或被盜用。而動(dòng)態(tài)口令的操作需要在時(shí)間和錄入方面達(dá)到配合，一些用戶無法掌握，且只有完成了用戶身份認(rèn)證，沒有電子簽名，因此當(dāng)客戶和銀行發(fā)生爭(zhēng)議時(shí)無法依法判定。第二，利用智能卡和USBKey等物品來證明身份。但其造價(jià)成本高且需要用戶具備一定的計(jì)算機(jī)技能，因此對(duì)客戶群也有限制。第三，利用指紋、視網(wǎng)膜、聲音、DNA等生物特征來證明身份。雖然成本昂貴，但在安全性、有效性、可靠性上達(dá)到了質(zhì)的飛越。目前用的最好的是指紋Key功能，具備電子簽名的功能。根據(jù)以上對(duì)各種方法評(píng)述，網(wǎng)銀用戶需要具備一定的條件才能確保自身信息、財(cái)產(chǎn)的安全。

3、網(wǎng)絡(luò)系統(tǒng)方面的原因

網(wǎng)上銀行信息的傳輸主要依靠網(wǎng)絡(luò)電纜、光纜、無線傳輸?shù)刃问?，但它們傳輸?shù)據(jù)時(shí)產(chǎn)生載有信息的電磁波，而這些電磁波容易泄露或被監(jiān)聽，導(dǎo)致信息外泄，從而破壞數(shù)據(jù)的真實(shí)性、機(jī)密性、完整性。不法分子則可以偽造數(shù)據(jù)進(jìn)行欺詐或?qū)⒏`取數(shù)據(jù)非法轉(zhuǎn)讓給未授權(quán)用戶以獲利。

4、法律方面的原因

作為銀行業(yè)“新希望”的電子銀行業(yè)務(wù)，由于發(fā)展較晚，目前的法律制度無法適應(yīng)其發(fā)展的步伐，因此急需國家制定一系列新的法規(guī)制度加以保護(hù)，為其保駕護(hù)航。然而我國金融立法的速度落后于電子銀行業(yè)務(wù)的發(fā)展速度，立法工作相對(duì)滯后。所以，現(xiàn)今電子銀行業(yè)務(wù)的處理都按照協(xié)議，但它難以解決在電子銀行業(yè)務(wù)中復(fù)雜的法律問題。例如，用戶和銀行出現(xiàn)爭(zhēng)端時(shí)責(zé)任的認(rèn)定、承擔(dān)等。

三、針對(duì)這些問題的解決方法

1、政府方面要加快信用體系的建立，不斷加強(qiáng)網(wǎng)絡(luò)犯罪的法律法規(guī)建設(shè)，打擊網(wǎng)絡(luò)金融犯罪。市場(chǎng)經(jīng)濟(jì)是信用經(jīng)濟(jì)，信用制度的完善與否將直接影響社會(huì)主義市場(chǎng)經(jīng)濟(jì)體制的建設(shè)。因此，要像西方國家那樣建立個(gè)人和企業(yè)的信用體系，培育我國自己的信用評(píng)級(jí)機(jī)構(gòu)，從而起到社會(huì)監(jiān)督的作用。同時(shí)，要強(qiáng)化法律的監(jiān)督和制裁效力，對(duì)現(xiàn)存法律不完善的地方加以修改補(bǔ)充，對(duì)存在法律空白領(lǐng)域則加緊步伐修訂相應(yīng)的金融法律和規(guī)范，建立、健全信用經(jīng)濟(jì)的法律制度。

2、銀行要通過技術(shù)、管理、服務(wù)、安全機(jī)制等方面的不斷創(chuàng)新，進(jìn)行主動(dòng)防范。第一，要構(gòu)建全方位的服務(wù)安全系統(tǒng)。前提是要提高使用的操作系統(tǒng)的安全性：完善國外操作系統(tǒng)漏洞；加大對(duì)更好操作系統(tǒng)的研發(fā)力度，創(chuàng)造符合國內(nèi)電子銀行業(yè)務(wù)的操作系統(tǒng)。加強(qiáng)防火墻的使用，并利用入侵檢測(cè)技術(shù)加以輔助，對(duì)網(wǎng)絡(luò)內(nèi)、外部的攻擊都加以防控。同時(shí)，提高病毒防治技術(shù)，使用安全掃描系統(tǒng)，做好病毒的預(yù)防、監(jiān)控及清除工作。第二，加強(qiáng)網(wǎng)上銀行身份認(rèn)證的安全管理。加強(qiáng)數(shù)字證書的推廣和使用，確保用戶網(wǎng)銀安全。

3、用戶要加強(qiáng)網(wǎng)銀安全意識(shí)，形成良好的交易習(xí)慣。技術(shù)手段不夠先進(jìn)固然會(huì)影響網(wǎng)銀的安全問題，但是用戶是否能夠有效的使用高科技手段以及是否擁有良好的交易習(xí)慣也對(duì)網(wǎng)上銀行是否安全具有重要影響。中國金融認(rèn)證中心副總經(jīng)理曹小青曾指出，很多網(wǎng)銀被盜問題的關(guān)鍵并不是數(shù)字證書機(jī)制本身不安全，而是用戶沒有妥善保管和使用它。而且經(jīng)專家認(rèn)證，數(shù)字證書機(jī)制是國內(nèi)外網(wǎng)銀系統(tǒng)使用最廣泛且安保性能較強(qiáng)的方法，暫無出現(xiàn)因數(shù)字證書機(jī)制被攻破而使用戶資金受損的案件。因此，用戶自身在培養(yǎng)良好的安全意識(shí)和上網(wǎng)習(xí)慣的基礎(chǔ)上，也要加強(qiáng)對(duì)數(shù)字證書的正確、合理使用。

淺談電子銀行安全風(fēng)險(xiǎn)與防范:電子銀行管理系統(tǒng)的安全監(jiān)管與設(shè)計(jì)

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用的擴(kuò)展和普及。銀行系統(tǒng)便利用計(jì)算機(jī)和網(wǎng)絡(luò)通訊技術(shù)開發(fā)了電子銀行,實(shí)現(xiàn)了數(shù)據(jù)集中,完成了綜合業(yè)務(wù)處理和管理決策一體化建設(shè)。銀行數(shù)據(jù)集中實(shí)現(xiàn)資源共享,為客戶提供了更便捷、更靈活、更豐富的金融理財(cái)服務(wù)的同時(shí),也帶來了風(fēng)險(xiǎn)的集中。而且電子銀行管理信息系統(tǒng)采集的數(shù)據(jù)范圍是銀行業(yè)務(wù)系統(tǒng)交易的數(shù)據(jù)，涉及到客戶信息、客戶交易等非常重要的數(shù)據(jù)，數(shù)據(jù)保密性要求較高，提出的安全要求就相對(duì)較高，故對(duì)其安全設(shè)計(jì)就非常重要。因此,建立全方位、多層次、有針對(duì)性的安全系統(tǒng)就成為目前迫切需要解決的問題。鑒于此筆者從系統(tǒng)安全風(fēng)險(xiǎn)分析、安全要求、安全策略、設(shè)計(jì)原則、安全手段等5個(gè)方面來分析并設(shè)計(jì)了電子銀行信息管理系統(tǒng)的安全方案。

1系統(tǒng)安全風(fēng)險(xiǎn)分析

系統(tǒng)的安全風(fēng)險(xiǎn)一般可以劃分為幾個(gè)不同層面來分析：自然因素，既系統(tǒng)物理上的安全。(1)地震、水災(zāi)、火災(zāi)等自然環(huán)境事故造成整個(gè)系統(tǒng)毀滅；(2)電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；(3)設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；(4)電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；(5)報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。技術(shù)因素，既網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)協(xié)議、應(yīng)用程序、操作系統(tǒng)、設(shè)備等自身的缺陷或不足帶來的風(fēng)險(xiǎn)。例如，計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備不穩(wěn)定，軟件有漏洞，TCP/IP協(xié)議先天的不足等等。人為因素，這里有兩個(gè)層面的問題：一是人為地利用系統(tǒng)技術(shù)上的缺陷或不足主觀地攻擊、破壞；二是管理和素質(zhì)上的原因造成的損壞，例如，安全意識(shí)不強(qiáng)，造成用戶名、口令的泄露，計(jì)算機(jī)知識(shí)有限產(chǎn)生的誤操作等等。

2安全要求

(1)保證數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的安全；(2)對(duì)入網(wǎng)用戶進(jìn)行身份認(rèn)證，防止非法入侵；(3)提供良好的授權(quán)管理機(jī)制；(4)按照地區(qū)進(jìn)行權(quán)限和數(shù)據(jù)管理；(5)防止非法入侵和破壞。

3安全策略

系統(tǒng)安全應(yīng)從實(shí)體安全、網(wǎng)絡(luò)安全、應(yīng)用安全、用戶安全幾個(gè)層次來考慮。主要保證整個(gè)系統(tǒng)的保密性、可用性、可控性。安全設(shè)計(jì)要點(diǎn)歸納為以下幾點(diǎn)：(1)保密性，本系統(tǒng)具有數(shù)據(jù)存貯和傳輸中的保密性。(2)身份識(shí)別，本系統(tǒng)對(duì)各級(jí)操作員和管理員進(jìn)行用戶身份鑒別和認(rèn)證，防止非法入網(wǎng)。(3)防止非法訪問，本系統(tǒng)能夠防止非法用戶訪問和用戶越權(quán)訪問數(shù)據(jù)。(4)防止非法入侵，本系統(tǒng)所運(yùn)行的操作系統(tǒng)安裝有防火墻，可有效防止通過端口漏洞、系統(tǒng)漏洞、木馬程序、計(jì)算機(jī)病毒等各種方式的非法入侵和破壞。

4設(shè)計(jì)原則

系統(tǒng)安全的重要性隨著計(jì)算機(jī)和網(wǎng)絡(luò)在生產(chǎn)、管理上的廣泛應(yīng)用而已經(jīng)被人們所認(rèn)可，而系統(tǒng)安全包含了從硬件、物理到人為的信息安全服務(wù)，但系統(tǒng)安全方案要做到全面、可擴(kuò)充，其設(shè)計(jì)應(yīng)遵循以下原則：

(1)需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則

對(duì)任一系統(tǒng)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)系統(tǒng)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)系統(tǒng)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定相應(yīng)的規(guī)范和措施，確定系統(tǒng)的安全策略。

(2)綜合性、整體性原則

應(yīng)運(yùn)用系統(tǒng)工程的觀點(diǎn)、方法，分析系統(tǒng)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專業(yè)技術(shù)措施(訪問控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測(cè)技術(shù)、容錯(cuò)、防病毒等)。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。系統(tǒng)的各個(gè)環(huán)節(jié)，包括個(gè)人(使用、維護(hù)、管理)、設(shè)備(含設(shè)施)、軟件(含應(yīng)用系統(tǒng))、數(shù)據(jù)等，在系統(tǒng)安全中的地位和影響作用，只有從系統(tǒng)整體的角度去看待、分析，才可能得到有效、可行的安全措施。

(3)一致性原則

一致性原則主要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有詳實(shí)的內(nèi)容及措施。實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施，不但容易，而且花費(fèi)也少很多。

(4)易操作性原則

安全措施需要人去完成，如果措施過于復(fù)雜，對(duì)人的要求過高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行。適應(yīng)性及靈活性原則安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。

(5)多重保護(hù)原則

任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其他層保護(hù)仍可保護(hù)信息的安全。

(6)可評(píng)價(jià)性原則

系統(tǒng)安全是整體的、動(dòng)態(tài)的。整體性是指一個(gè)安全系統(tǒng)的建立，既包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段。安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合。系統(tǒng)安全的動(dòng)態(tài)性是指，系統(tǒng)安全是隨著環(huán)境、時(shí)間的變化而變化的。

針對(duì)安全體系的特性，我們可以采用“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。具體而言，我們可以先對(duì)系統(tǒng)做一個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)系統(tǒng)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)體系，保證基本的、必需的安全性。隨著今后應(yīng)用的種類和復(fù)雜程度的增加，再在原來基礎(chǔ)防護(hù)體系之上，建立增強(qiáng)的安全防護(hù)體系。

5安全手段

本系統(tǒng)的安全手段主要體現(xiàn)在系統(tǒng)手段和制度手段兩個(gè)方面，系統(tǒng)手段管理系統(tǒng)，制度手段管理人員。兩種手段結(jié)合，保證系統(tǒng)的整體安全。數(shù)據(jù)對(duì)于銀行來說至關(guān)重要，因此，對(duì)數(shù)據(jù)的訪問必須加以控制。系統(tǒng)管理模塊可以靈活地管理和控制用戶對(duì)系統(tǒng)信息的訪問。特別地，這種控制不僅僅是功能的限制（比如不能運(yùn)行某個(gè)功能模塊），而且可以在數(shù)據(jù)行的層次上進(jìn)行控制（比如限制用戶訪問其他同級(jí)單位的數(shù)據(jù)）。

5.1實(shí)體安全

在本系統(tǒng)中，實(shí)體安全主要表現(xiàn)為數(shù)據(jù)庫系統(tǒng)安全和應(yīng)用系統(tǒng)軟件安全。保障實(shí)體安全主要采用以下手段：(1)制度上嚴(yán)格控制能夠接觸系統(tǒng)的人員；(2)制度上加強(qiáng)對(duì)數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器等操作系統(tǒng)的用戶管理和口令管理；(3)數(shù)據(jù)庫定期備份以防止系統(tǒng)破壞或系統(tǒng)故障。

5.2網(wǎng)絡(luò)安全

本系統(tǒng)的網(wǎng)絡(luò)安全主要定位于防止非法訪問和非法入侵，為此系統(tǒng)保障網(wǎng)絡(luò)安全的手段主要有：(1)采用防火墻，非法訪問則被防火墻隔絕在外；(2)安裝防病毒軟件，并及時(shí)更新，防止病毒和木馬程序入侵。

5.3應(yīng)用安全

系統(tǒng)的應(yīng)用安全則主要定位于應(yīng)用系統(tǒng)運(yùn)行安全，主要表現(xiàn)在防止越權(quán)操作和訪問數(shù)據(jù)、防止系統(tǒng)運(yùn)行故障、防止非法輸入造成系統(tǒng)故障等各個(gè)方面，電子銀行管理信息系統(tǒng)的應(yīng)用安全設(shè)置如下：(1)通過用戶名/口令方式，口令通過軟件加密，對(duì)用戶進(jìn)行嚴(yán)格的認(rèn)證和管理；(2)輸入密碼時(shí)，密碼以“*”進(jìn)行顯示，并以暗文存儲(chǔ)在數(shù)據(jù)庫中；(3)用戶密碼丟失，必須由系統(tǒng)管理級(jí)別的用戶進(jìn)行重置；(4)用戶認(rèn)證時(shí)，通過總行UAAP認(rèn)證系統(tǒng)，進(jìn)行用戶認(rèn)證；(5)用戶訪問相關(guān)數(shù)據(jù)信息時(shí)，均需要判斷相關(guān)信息，防止非法訪問；(6)制度上嚴(yán)格控制業(yè)務(wù)定制功能的授權(quán)，業(yè)務(wù)定制功能只能由經(jīng)過培訓(xùn)的管理員使用，防止使用不當(dāng)造成系統(tǒng)應(yīng)用問題；(7)用戶使用系統(tǒng)關(guān)鍵操作時(shí)，記錄系統(tǒng)事件日志，以便今后審查；(8)對(duì)數(shù)據(jù)庫中的關(guān)鍵數(shù)據(jù)，采用加密方式存儲(chǔ)，防止數(shù)據(jù)泄漏；(9)對(duì)查詢信息中，不支持對(duì)客戶的相關(guān)信息的批量查詢。防止客戶信息的下載。

6結(jié)束語

本安全方案的設(shè)計(jì)是科學(xué)、合理的，實(shí)施是可行的，具有良好的靈活性、高可靠性和安全性，完全可以保護(hù)廣大客戶和銀行的利益。此方案完全符合銀行的安全需求，在實(shí)際應(yīng)用中也確實(shí)保障了電子銀行管理信息系統(tǒng)的安全。