网上银行专题 - 金融行业 - ITPUB论坛－专业的IT技术社区

wangjia

网上银行是随着互联网的兴起而诞生的，以前只能到银行才能办的事情，现在只要坐在家里，轻松点击鼠标就能办妥了。这全要归功于宽带网络的发达和银行服务的完善。网上银行在发达国家和地区已得到迅速发展，在香港，到2003年底为止，共有220万个个人网上理财户口。网上银行的出现，标志着金融服务方式的重大变革。有人预测：2006年后，网上银行将是中外银行竞争的阵地，谁占据了网络制高点，谁就会在未来的银行业竞争中占尽先机。
那么网上银行到底好在哪里呢，怎样才能享受到这么便利的服务呢，在网上办理与钱有关的事情，安不安全呢……
银行业步入网络时代，网络融入银行业，迎合了现在电子商务发展的新趋势，也奠定了全球网络金融服务体系的基础。银行业务的概念化，细分了银行业的营销方式，也改变了银行业的运作方式，达成了银行与客户间低成本受益的“双赢”
网上银行的发展还没有达到各商业银行所预计的目标和效果，网上银行的客户占总客户的比例较小、客户使用的满意度不高、实际使用率偏低。而国内网上银行业务发展也面临着一些待解决的问题。

专业研究机构Tower Group和IDC的分析表明：从1999年到2001年，美国网上银行的对私业务增长超过300%，到2003年底，有超过2000万的用户接受网上银行提供的服务。自1999年招商银行建成国内第一家网上银行以来，我国国内的网上银行在这五年内也得到了长足的发展，目前国内开展对公业务的银行已超过16家。

但是网上银行的发展还没有达到各商业银行所预计的目标和效果，网上银行的客户占总客户的比例较小、客户使用的满意度不高、实际使用率偏低。而国内网上银行业务发展也面临着一些待解决的问题：
“赢利模式”尚未真正出现
不能赢利，或者说不能给各商业银行带来综合效益，那么网上银行的存在是没有意义的。网上银行从诞生起到现在,在近十年的时间里,逐渐演化成三种主要模式：一是单纯网上银行模式；二是传统银行+网上银行模式；三是传统银行和网上银行相分离模式。
这三种类型的网上银行各有千秋，也曾经各领风骚。单纯网上银行模式最具备新经济的特点，低投入、高产出，简单高效。据统计，美国的网上银行运营成本相当于经营收入的15%～20%，而传统银行的运营成本则占收入的60%。但单纯的网上银行的弊端也是显而易见的。一是孤立的网上银行减少了银行与客户交流的机会。接触不到客户，就无法了解客户的需求，尤其针对高端客户就无法提供个性化的金融服务。产品销售和客户的金融需求发现就会变得非常困难，久而久之银行就会失去吸引力，客户也会流失。二是网上银行的总成本还比较高，这体现在网上银行的市场销售上，由于单纯的网上银行的品牌吸引力与传统银行相比显然较弱，客户认知度不高，同时缺乏传统销售渠道的支持，因此产品的销售和客户的吸引主要是通过广告或借助于其他载体和渠道，这就引起了网上银行的营销成本大大增加。在这两点上，传统银行+网上银行的综合模式恰恰弥补了这些问题。这种模式下的网上银行更多地是以交易渠道的形式存在，传统银行的品牌号召力和客户认知程度，大大提升了其网上银行的形象。同时传统柜面和客户经理的营销推动作用又使得网上银行产品的推广速度加快、成本降低。但作为交易渠道的网上银行更多的是提供一种服务，从赢利角度来讲，其能力还是很弱的。
发展外部动力不足
无论何种形式的网上银行，尤其是国内的网上银行，在业务报表数据一片大好的情况下面，隐藏着极大的隐患，或者说是致命的缺陷，即网上银行的业务发展动力的匮乏与不足，集中体现在国内多数商业银行在纷纷将网上银行列为战略发展重点的同时，将发展任务照例层层落实到了传统柜面和客户经理的身上，而不是依靠网上银行自身的吸引力，造成这种现象的原因是：网上银行发展内部动力充分，而外部动力不足。内部动力充分，是因为网上银行对传统柜面的渠道弥补效应和低运营成本效应。
在中国，外部动力不足体现在老百姓对网上银行的接受是被动的；交易量、交易额和传统柜面相比所占份额很小；网上银行业务更多的是复制传统柜面业务，缺乏根据互联网特点的新的金融创新，对客户的吸引力较弱。客户对网上银行业务接受比较被动，这和西方发达国家的情况形成鲜明对比。西方发达国家的整个社会信息化程度比较高，金融信息化的速度适应于社会信息化的速度。而在中国，金融企业信息化程度领先于社会平均水平，很大程度上，客户从心理和认知上都不接受网上银行。接受程度低，使用度也就相应降低，网上银行的规模效应无法体现。
功能相对单一
由于金融监管的因素，我国金融产品尤其是理财型的产品相对较少，而很多银行是将其网上银行作为低值业务的分流渠道，因此查询、转账、代缴费老三样大行其道，成为各网上银行的主流业务，所不同的是形式上的包装，就产品来讲更缺乏对客户的吸引力。
●网上银行的安全隐患进一步证明，比尔·盖茨关于“传统商业银行要在21世纪灭绝”的预言过于乐观
银行卡上的工资到账之后，公司的员工张先生第一时间通过网上银行确认工资总额，而同一办公室的李小姐和刘小姐对于网上银行的使用却抱着迟疑的态度。
李小姐表示由于对安全存疑，坚决不使用网上银行；刘小姐试图注册网上银行时，因为注册密码必须都是数字而停止，她认为都是数字的密码非常不可靠，她们都选择下班后到ATM机上查询。
在中国，网上银行成为传统银行业务的延伸已经吸引了250万的用户，但是也有相当一部分人群因为安全隐患的存在而对网上银行“望而却步”。
比尔·盖茨曾经预言：“传统商业银行是要在21世纪灭绝的一群恐龙。”他甚至说，银行业是必需的，银行是不必要的。传统商业银行的网上金融变革将改变比尔·盖茨的预言。
而网上银行的安全隐患进一步证明，比尔·盖茨的预言未免过于乐观。
1600万日元不翼而飞
用户的担心并不是没有道理。
在日本，“1600万日元突然从自己的账户中不翼而飞”的网络银行案件再次给网络银行的使用者提了醒———网络银行的安全问题并不如想象中那样简单和容易解决。
日本两位嫌犯今年以来以东京为中心、利用一个名为“KeyLogger”的特殊软件在100多家网吧非法窃取了他人的网络银行ID和密码，并涉嫌通过非法访问美国著名的“花旗银行”，以虚假身份将大约1600万日元划入了自己的账户。
据了解，此次事件中用于非法窃取ID和密码的软件是“KeyLogger”。其实这种特殊软件并没有多高明，它的功能非常单一，通过常驻系统来监视键盘输入，并将所输入的文字全部作为日志保存在文本文件中。
由于部分用户网络银行的安全意识淡薄，随意在公用电脑，诸如网吧输入账号和密码，导致案犯有机可乘。
业内人士认为，作为银行来说，银行的ID和密码也非常脆弱。如果有随机数表，就可以防备此类事件。随机数表是指为每个客户指定各不相同的数字列表，申请时将该随机数表分配给客户。
根据日本相关机构对网络银行站点进行的调查结果显示，网络银行登录画面上所要求的认证输入，很大一部分仅要求输入客户编号等登录ID和密码，有的银行竟然只要求4位数字的密码。这样一来密码存在泄漏或被窃取的可能性就非常大。
作案方法
在网吧等场所有可能被盗取密码，但熟悉网络银行安全性的专家指出：“登录认证检测有可能会成为作案者校验并窃取密码的功能”。方法很简单，连续地在ID和密码栏中输入随机数字，如果能够登录，就说明这个数字是正确的密码。
在传统银行业务中，密码输入一定次数仍然错误就会被停止服务，但是在网络银行中，企图非法窃取密码的作案者如果采用可以改变登录ID的方法，即便登录失败，网站也不会将密码视为无效。
除了用软件窃取密码这样的事件以外，“冒充站点”也是网上银行使用中一个非常重要的安全隐患。
比如，可以首先向客户发送一个“本行网站正在进行促销活动！”等内容的虚假邮件，然后诱骗客户访问虚假站点。客户在不了解情况时就会向虚假站点发送ID和密码。客户发送完毕后，如果显示出一个“服务马上就要停止”的画面，或者把客户访问重新引导到正规站点上，客户当时是很难察觉的。这样一来，就存在有人进行非法资金转移的可能性。
谁来保护1.4亿用户
对于中国网上银行的发展，业内普遍认为，中国的网上银行起步于1996年2月；1997年中国银行建立了自己的网页，同年推出网上银行“一网通”，成为国内第一家上网的银行。
目前中国已有20多家银行的200多个分支机构拥有网址和主页，其中开展实质性网络银行业务的分支机构达50余家，企业与个人客户超过1000万户。
1998年，招商银行率先在国内推出“一网通”领跑网上金融业以来，四大商业银行迅速跟进，网上银行业务呈蒸蒸日上的态势。AC尼尔森公司最近的调查结果显示，中国的网上银行用户已由2000年下半年的90万人增加到2002年底250万，到2005年，这一数字将达到1.4亿。
然而未来的1.4亿网上银行用户的安全问题谁来保证？如何来保证？
一般来说，电子货币与现金相比应该更为安全。但是，电子货币一旦出问题，损失也将是巨大的。据调查，目前国内80％的网站存在安全隐患，20％的网站有严重的安全问题。
虽然迄今国内还没有某家银行网站被黑客人侵的案例，但多数客户仍心存顾虑，不敢在网上传送自己的信用卡账号等关键信息就是基于支付信息安全的原因，这就严重制约了网上银行的业务发展。
需要警惕的是，中国就发生过多起证券交易系统（还称不上是开放的互联网，只不过是局域网而已）被侵入，犯罪分子盗卖盗买他人股票、挪用盗取他人股票账户资金的恶性计算机犯罪。
由于网络安全问题始终未能得到很好的、完全的解决，利用互联网犯罪的案例有可能增多。网络窃贼的作案方法、作案工具有数十种之多，其中包括：释放计算机病毒使计算机系统瘫痪；通过可以发现网站软件程序薄弱之处的“扫描器”、窃取密码的“嗅探器”破译关键密码、窃取核心技术或信息；通过破译密码修改计算机系统内账户数据，制造混乱或达到窃取资金的目的。
制约电子商务
网上银行的安全隐患同样限制了电子商务的发展，使电子商务在一段时期内仍然停留在“网上订购，网下交易”的状态。
安全问题涉及许多方面，但主要体现在支付上。银行应尽快具备安全支付的条件，离开银行，便无法完成网上交易的支付，从而也谈不上真正意义的电子商务。
业内人士还指出，要保证电子商务的顺利进行，必须分析一下什么样的网上支付运作机制适合国情，能满足要求。网上的要求是互联、互通、互操作，而不是关起门来做自己的事，要想确定支付运作流程，必须在宏观上根据用户需求确定构架，用户和服务支持者需要联合起来把需求说清楚，才能规范模型、机制和功能。
中国银行业已经开通了安全认证服务，通过向电子商务参与方发放数字证书来确认各方的身份，保证网上支付的安全性，对防范支付风险将起到积极的作用。但网上支付和网上银行要走的路都还很长。
一般来说，电子货币与现金相比应该更为安全。但是，电子货币一旦出问题，损失也将是巨大的。因此，如何确保网上银行交易的安全就成了首要面对的问题。
您的用户名称及密码是您登入网上银行的锁匙，只有正确的用户名称及密码组合方可登入有关服务。
1）选用英文字母和数字的组合，英文字母亦应混合大写和小写，例如:hu6N3Rw2。
2）切勿使用您于其它网上服务的用户名称及密码，例如电子邮件或网络短讯。
3）避免选用容易被猜中的号码或字母组合，例如姓名、出生日期或电话号码。
4）定期更改密码，切勿将密码向任何人透露。
5）定期查阅您的户口结余及结单，以检查有没有异常的账项。
6）如您怀疑他人知悉了您的密码，应立即更改密码。

   
2、保护您的计算机
您的计算机及软件有可能受到病毒及计算机黑客的威胁。
安装个人防火墙。 在计算机安装个人防火墙软件可以防止黑客入侵您的计算机。假如您使用宽带上网，更建议您安装个人防火墙。当安装这类软件时，请遵照制造商的建议，使用较保守的存取控制方法。
安装及定期更新病毒检测软件。 病毒检测软件会检查您的计算机及接收的电子邮件，并将病毒清除。您可以从软件公司的网站下载或在商店购买防毒软件。要令软件更有效，您亦应养成定期更新防毒软件的习惯。为了防范病毒，要是意外收到带有附件的电子邮件，即使是由熟悉的人寄出，您亦应避免开启。
   
    3、您使用互联网及网上理财时的保安措施
不要在公众地方如网上咖啡室或公用计算机使用网上服务。您难以确定那里的计算机有否安装黑客程序以盗取您的个人数据。
选用「注销」按钮离开网页，以确保您在安全的情况下注销网上服务。切勿以关闭浏览器窗口来注销服务，因为这不能确定您已经结束网上服务。您应该选用「注销」按钮离开，以确保您安全地注销。
当您上网完毕后，请紧记中断互联网的联机服务。除非您仍在使用互联网，否则应避免在不使用计算机时保持联机状态，尤其是使用宽频上网时更应加注意。
经常检查上一次登入网上服务的日期及时间。如果您对所显示的资料有任何怀疑，请立即与相关机构联络。

  1.督促商业银行加强内部管理，转换视点，重新梳理已有的规章制度和操作流程，针对网上银行业务的特点和风险所在，制定涵盖各个风险点和业务流程的规章制度。另外，应加强对高级管理人员网络知识的要求和考核，应强制规定高管人员中至少有一人了解网络知识，熟悉网上银行业务，或设立总工程师之类的高管岗位。以使决策层能够及时掌握金融电子领域风险所在和新的动向。

2.督促金融机构加强内部控制职能，充实审计部门科技力量。可以调整或分配部分科技人员到稽核部门，也可以加强对审计人员科技培训工作，使商业银行内部控制制度覆盖整个业务流程，防止内部工作人员违规操作或恶意犯罪。
3.加快立法工作，确定数字证书、数字签名、电子证据、电子合同的法律效力。同时应规定银行负责维护电子数据的真实性、完整性，并长期保存，严禁篡改、伪造、销毁交易记录、客户资料、系统日志等电子数据。这些电子数据既可作为法律依据，也利于税务、审计、监管部门及执法机构的必要检查。考虑到电子技术的快速发展，立法应具有一定的前瞻性，避免频繁改动，处处被动。
4.尽快制定相关的技术标准和规范，对网上银行业务使用的硬件、软件产品，认证、加密、安全传输技术，信息包格式、用户接口标准等各方面制定全面、可行的标准，为网上银行业务的持续发展创造有利条件。
5.加强对网上银行业务市场准入的控制，避免没有规划，一哄而上。可控制对金融机构新开办网上银行业务的审批，待相应的法律法规齐全，技术标准制定完善等基础工作做好后，再逐步放开。这样可以少走弯路。金融机构（包括其分支机构）开办网上银行业务，应严格按照《网上银行业务管理暂行办法》的规定，进行必要的安全评估，尽量降低技术风险。
本文无意从技术深度上深入探讨技术细节，例如防火墙技术、安全交易协议、CA认证、系统结构及灾难恢复等技术方面都有相关的深入介绍，但作为网上银行部门的CTO，如何管理好网上银行的技术安全部分，并不是简单的技术集成或累加，而是需要一套完善的安全技术管理策略，在相应的技术管理策略框架下，进行有效的组织设计和责任人分解。本篇文章就是从技术管理角度来探讨网上银行安全的技术管理策略。
网上银行安全技术管理策略
1 网上银行系统架构拓扑图