不卡AV在线|网页在线观看无码高清|亚洲国产亚洲国产|国产伦精品一区二区三区免费视频

學習啦>論文大全>畢業(yè)論文>金融證券論文>銀行管理>

網(wǎng)上銀行風險的論文

時間: 秋梅1032 分享

  網(wǎng)上銀行又稱網(wǎng)絡銀行,是依托信息技術、因特網(wǎng)提供各種金融服務的一種全新的企業(yè)組織形式或是一種全新的銀行服務手段。下文是學習啦小編為大家搜集整理的關于網(wǎng)上銀行風險的論文下載的內(nèi)容,歡迎大家閱讀參考!

  網(wǎng)上銀行風險的論文下載篇1

  淺析我國網(wǎng)上銀行應用風險及安全策略

  【摘 要】隨著電子商務的迅速發(fā)展,網(wǎng)上銀行業(yè)務呈現(xiàn)出網(wǎng)絡化、系統(tǒng)化、快速化和貨幣數(shù)字化等特點。這就對銀行信息系統(tǒng)的安全保密性提出了更加嚴格的要求。本文在分析我國網(wǎng)上銀行應用存在的安全問題的基礎上,尋找解決對策,旨在為網(wǎng)上銀行發(fā)展獻計獻策,愿我國網(wǎng)上銀行業(yè)務安全、健康、有序、持續(xù)、快速發(fā)展。

  【關鍵詞】網(wǎng)上銀行;安全策略;金融風險

  網(wǎng)絡銀行是銀行通過互聯(lián)網(wǎng)為客戶提供金融服務的平臺,是電子商務在銀行業(yè)的具體應用,它代表了現(xiàn)代商業(yè)銀行業(yè)務的發(fā)展方向。自從1995年10月美國“安全第一網(wǎng)絡銀行”誕生以來,網(wǎng)絡銀行借助現(xiàn)代信息技術,以其低成本、高效益、方便快捷、應用廣泛等特點,顯示了其強大的生命力。但是,網(wǎng)上銀行作為一種虛擬銀行,除了具有傳統(tǒng)銀行經(jīng)營過程中存在的各種風險之外,還存在著基于虛擬網(wǎng)絡服務而形成的業(yè)務風險和基于信息技術導致的技術風險。下面主要分析一下我國網(wǎng)上銀行應用過程中存在的安全問題及解決對策。

  一、我國網(wǎng)上銀行安全事件分析

  據(jù)外電報道,2005年安全公司Sunbelt軟件公司曾發(fā)現(xiàn)一個重大身份盜竊集團竊取了50家銀行客戶的個人身份信息。據(jù)Sunbelt公司介紹,這個身份盜竊團伙使用擊鍵登錄軟件從數(shù)千臺電腦上搜集了個人信息。所盜竊的數(shù)據(jù)包括信用卡賬號詳情、社會保險號碼、用戶名、密碼、即時信息聊天片段和搜索條件。

  同年,廣西南寧發(fā)生的首例假中國工商銀行網(wǎng)站網(wǎng)絡盜竊案件,犯罪嫌疑人邱某通過安裝“木馬”程序盜竊他人銀行存款。

  某銀行北京總部告急:網(wǎng)絡銀行1天內(nèi)遭同一黑客攻擊10萬次,308張銀行卡的卡號及網(wǎng)上查詢密碼被竊取,而IP地址顯示黑客所在城市就是廈門。此時,被同一黑客攻擊的還有其他10家銀行,銀行客戶信息面臨巨大威脅。

  我國,由于網(wǎng)上銀行建設和應用中還存在很多問題,網(wǎng)上銀行盜竊案頻繁發(fā)生,使得網(wǎng)上銀行的信息安全體系建設迅速成為金融信息化建設的一大焦點。

  網(wǎng)上銀行的盜竊案主要是利用安全漏洞,在竊取客戶帳號、密碼和證書等信息基礎上,實施犯罪。對客戶信息的竊取方式,典型的包括以下幾種:

  (1)銀行IT人員監(jiān)守自盜,竊取客戶信息;

  (2)通過網(wǎng)絡攻擊向計算機安裝木馬及間諜軟件盜取客戶信息;

  (3)誘導客戶通過超級鏈接等方式進入偽造的商業(yè)銀行網(wǎng)站騙取客戶信息;

  (4)通過冒充銀行發(fā)送電子郵件誘騙客戶信息;

  (5)假借銀行之名發(fā)送短信誘騙客戶信息;

  (6)假冒銀行客服打電話套取客戶信息。

  二、我國網(wǎng)上銀行應用存在的安全隱患

  針對目前我國網(wǎng)上銀行出現(xiàn)的安全問題,將網(wǎng)銀的安全隱患總結(jié)為以下幾方面:

  (一)黑客攻擊

  目前由于一些網(wǎng)銀用戶自身的疏忽以及網(wǎng)絡安全意識不高,虛擬財產(chǎn)產(chǎn)受損事件還是時有發(fā)生。黑客就是其中的一種。所謂黑客,就是指網(wǎng)絡的非法入侵者。黑客針對網(wǎng)銀攻擊主要采用兩種手段,即網(wǎng)銀盜號木馬和網(wǎng)銀釣魚網(wǎng)站。

  網(wǎng)銀盜號木馬作案方式分為三種:一是通過查找網(wǎng)銀的支付窗口,然后記錄鍵盤操作來盜取賬號和密碼。二是通過網(wǎng)銀的安全控件來盜取用戶網(wǎng)銀帳號和密碼。三是劫持本地網(wǎng)銀頁面到偽造網(wǎng)銀的支付頁面,然后盜取用戶帳號和密碼。

  網(wǎng)銀釣魚主要是申請一個與真實網(wǎng)銀網(wǎng)站相似的域名,www.1cbc.com.cn(注意這里是1不是i)此域名將鏈接到黑客偽造的網(wǎng)銀頁面,不明真相的用戶訪問該偽裝網(wǎng)站很容易就泄露了自己網(wǎng)銀的賬號密碼。

  (二)病毒破壞

  編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(zhì)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞。銀行計算機數(shù)據(jù)庫中存儲著大量的金融數(shù)據(jù),如果病毒入侵銀行計算機系統(tǒng),可能導致銀行數(shù)據(jù)庫的破壞甚至更嚴重的威脅到整個計算機網(wǎng)絡,導致系統(tǒng)癱瘓。

  目前主要有三類病毒威脅網(wǎng)銀安全:

  1.木馬下載器――讓系統(tǒng)安全功能全失

  通過破壞用戶電腦的安全防護系統(tǒng),并在用戶電腦毫無抵抗力的情況下,大量下載盜號木馬的病毒。或者直接操作磁盤以繞過系統(tǒng)文件完整性的檢驗,通過感染系統(tǒng)文件(比如explorer.exe,userinit.exe,winhlp32.exe等)達到隱蔽啟動。

  2.遠程控制木馬――讓你的電腦屏幕“現(xiàn)場直播”賬號密碼全過程

  這類病毒可以遠程控制使用者的機器,攻擊者可以對被感染病毒的機器進行多種任務操作,如屏幕監(jiān)控,鍵盤監(jiān)控,強行視頻等等。

  3.網(wǎng)銀專業(yè)盜號家族――專業(yè)就是生產(chǎn)力

  這類病毒通過監(jiān)控用戶操作界面,一旦發(fā)現(xiàn)用戶使用瀏覽器登陸銀行系統(tǒng),病毒就會監(jiān)視用戶的鍵盤輸入與鼠標動作,伺機盜取網(wǎng)銀帳號數(shù)據(jù)并將它們發(fā)到病毒操作者指定的郵箱。

  (三)信息有效性

  信息安全是保證網(wǎng)絡銀行安全的關鍵,在傳輸過程中必須確保信息的機密性,完整性、交易的不可抵賴性以及用戶身份的可確認性。

  1.信息的保密性。銀行系統(tǒng)中的數(shù)據(jù)都是非常重要的金融數(shù)據(jù)或商業(yè)數(shù)據(jù),要預防被非法竊取和被非法信號存取。

  2.數(shù)據(jù)完整有效性。數(shù)據(jù)在金融網(wǎng)絡系統(tǒng)傳輸時,要防止數(shù)據(jù)傳送過程中丟失、重復、修改和刪除,確保數(shù)據(jù)的完整有效性,才能確保信息在規(guī)定時間和地點送至合法接收方。

  3.交易不可抵賴性。網(wǎng)絡銀行的無紙性交易特點要求,發(fā)送方和接收方均不能抵賴信息,從而確保交易過程的有效。

  4.用戶身份的可確認性。識別用戶身份的真實性是對網(wǎng)絡銀行客戶信息的鑒定,使交易雙方在不見面的情況下能夠確認對方的身份,從而保證安全性。

  (四)內(nèi)部管理不嚴

  我國銀行業(yè)內(nèi)部控制存在嚴重的缺陷。主要表現(xiàn)為以下幾方面:

  1.組織結(jié)構(gòu)不合理,沒有形成橫縱交錯的監(jiān)督制約機制。例如決策、執(zhí)行層設置分工不合理;各業(yè)務部門管理職責執(zhí)行不到位;部門間、部門內(nèi)崗位職責不清;缺少專門的操作風險管理部門等。

  2.控制不足與控制分散并存。首先,我國銀行業(yè)內(nèi)控制度建設相對滯后,一些新的業(yè)務還沒有制定完善的操作規(guī)程和相應的管理制度,導致出現(xiàn)風險控制失真。其次,內(nèi)控制度不健全。現(xiàn)行的某些制度辦法、操作規(guī)程在風險防范方面存在局限性。再次,內(nèi)控制度不夠合理。如績效考核制度設置的指標體系,存在單純追求業(yè)務指標,忽視對操作流程的合規(guī)性、經(jīng)營的合規(guī)性等方面的考核,容易形成追求利潤最大化而忽略風險的情況。

  3.重要業(yè)務和環(huán)節(jié)內(nèi)控措施落實不到位

  比如在會計柜臺業(yè)務管理方面、授信業(yè)務審查、審批方面等都存在管理部規(guī)范、重視程度不夠的問題。

  4.缺乏有效的風險識別與評估機制。首先,對風險不能有效識別,主要表現(xiàn)為缺乏強而有力的風險管理隊伍和缺乏必要的風險評估手段。其次,對已識別風險不能準確評估和有效控制。主要表現(xiàn)為監(jiān)控手段、措施不適當,不能發(fā)揮作用。

  5.忽視了人的風險。首先對“權力者”的管理。由于基層分支機構(gòu)是“一把手”負責制,權利過于集中,很少受到約束,而上級主管部門一般只對高管人員做離任審計,很少做在職期間行為稽核。其次,部分崗位人員不具備與風險防范和內(nèi)部控制相適應的能力,多數(shù)基層只重視業(yè)務人員上崗操作技能、政治素質(zhì)和職業(yè)操守教育與培訓跟不上,導致基層窗口人員法規(guī)制度觀念淡薄。

  (五)銀行網(wǎng)絡系統(tǒng)自身的安全威脅

  銀行網(wǎng)絡內(nèi)一般存在多種操作系統(tǒng),運行多種網(wǎng)絡協(xié)議,這些操作系統(tǒng)、網(wǎng)絡協(xié)議又并非專為安全通訊而設計。如,計算機軟硬件的運行風險。網(wǎng)絡銀行所依賴的計算機硬件系統(tǒng)停機、磁盤列陣破壞等不確定性因素都會形成網(wǎng)絡銀行的系統(tǒng)風險。同時,計算機系統(tǒng)軟件或應用軟件的不完善,也帶來了系統(tǒng)的運行風險。

  三、網(wǎng)上銀行應用安全策略建議

  (一)利用防火墻有效防止黑客的攻擊

  防火墻技術的應用是檢查和控制進出網(wǎng)絡銀行的數(shù)據(jù),將外部網(wǎng)絡中對內(nèi)部網(wǎng)絡造成安全威脅的數(shù)據(jù)隔離在外,從而使得網(wǎng)絡和資源的安全不會受到非法入侵。防火墻技術專門建立在網(wǎng)絡銀行與其它外部網(wǎng)絡的接口處,包括外部防火墻和內(nèi)部防火墻兩種,涉及到代理技術、電路級網(wǎng)關技術、狀態(tài)檢查技術、地址翻譯技術、包過濾技術、安全審計技術、虛擬網(wǎng)技術、完全內(nèi)核技術以及負載平衡技術等關鍵技術。

  (二)及時查殺病毒,避免病毒攻擊

  計算機病毒是破壞網(wǎng)絡銀行運行系統(tǒng)的重要因素,以病毒的殺傷力來體現(xiàn)其破壞行為,影響主要取決于病毒制造者的目的和技術能力。隨著計算機技術的發(fā)展,計算機病毒也逐漸趨于多樣化,其特性復雜、數(shù)量巨大、傳播迅速廣泛,給網(wǎng)絡銀行的發(fā)展帶來了極大的破壞。防病毒技術的應用主要是對病毒進行檢測和處理,要求網(wǎng)絡銀行必須安裝防病毒軟件,及時做好軟件版本和病毒庫的更新與升級,充分利用病毒檢測技術及時清查與處理各種病毒程序。啟發(fā)式掃描法、虛擬機技術法、特征代碼掃描法、行為監(jiān)測法、感染實驗法和軟件模擬法是目前較為常用的病毒檢測方法。

  (三)通過網(wǎng)絡安全機制防范信息有效性的破壞

  1.密碼技術。密碼技術是通過加密和隱藏的方式實現(xiàn)信息保護,目前主要包括對稱密鑰加密技術和非對稱密鑰加密技術兩大類。對稱密鑰加密技術可以應用于大量數(shù)據(jù)的加密,大于128位的密鑰破譯難度大,其系統(tǒng)的運行速度很快,是一種行之有效的密碼技術。而非對稱密鑰加密技術的加密和解密密鑰是分開的,不容易破譯,應用十分廣泛。

  2.數(shù)字摘要技術。通過哈希函數(shù)對信息進行加密,在加密過程不可逆的同時,通過哈希函數(shù)獨有的特點,相同明文產(chǎn)生的數(shù)字摘要必然相同,不同明文產(chǎn)生的數(shù)字摘要必然不同來比較信息是否具有其完整性。

  3.數(shù)字簽名技術。數(shù)字簽名技術是加密技術的延伸,要求對數(shù)字信息進行簽名,需要保證接收者能解密發(fā)送者對報文的簽名,不能對其進行偽造。同時,要求發(fā)送者在事后不能抵賴對報文的簽名。

  4.數(shù)字認證技術。數(shù)字認證技術是通過認證中心對數(shù)字證書進行有效識別管理,以第三方認證機構(gòu)的形式來確認網(wǎng)絡銀行交易各方的真實身份,具有權威性和公正性。數(shù)字認證證書主要包括發(fā)行機關名稱,證書持有人名稱和公開密鑰,證書使用的簽名算法以及發(fā)行機關對證書的簽名等內(nèi)容,對于保證網(wǎng)絡銀行信息的權威性有著重要意義。

  (四)網(wǎng)銀安全風險防范從金融監(jiān)管、網(wǎng)銀用戶角度提高警惕

  1.網(wǎng)絡銀行同樣需要政府監(jiān)管,以保護公眾利益,降低銀行業(yè)的經(jīng)營風險。網(wǎng)絡銀行作為新興業(yè)務渠道,自身特點決定一旦發(fā)生風險,對銀行本身,甚至整個金融行業(yè)的影響巨大。要防范業(yè)務風險和系統(tǒng)風險,就要加強法律對網(wǎng)絡銀行市場準入的監(jiān)管。必須有嚴密的安全對策、制度規(guī)范和操作程序,建立以安全為中心的制度保障體系。

  2.網(wǎng)絡銀行用戶作為網(wǎng)絡銀行終端的管理者與使用者,在網(wǎng)絡銀行的安全機制中有著不可替代的作用,是網(wǎng)絡銀行安全的 最終環(huán)節(jié)。因此,網(wǎng)銀用戶需要有效防范木馬與病毒對終端系統(tǒng)的攻擊,安裝網(wǎng)絡銀行終端系統(tǒng)的個人電腦上安裝防病毒軟件,并經(jīng)常更新軟件版本與病毒庫、安裝軟件防火墻、安裝木馬清除軟件,定期更新木馬庫,掃描與清除木馬。第二,使用IC卡和USB卡物理介質(zhì)的證書認證方式。通過證書驗證客戶身份,確保其真實性,防止其他人員非法使用。第三,認清網(wǎng)絡銀行網(wǎng)址,避免進入“假網(wǎng)銀”。

  除了以上方面,個人觀點,網(wǎng)上銀行應用的安全性還應從多方面入手。例如:

  從技術上看,除上述的加密、數(shù)字摘要、數(shù)字簽名、認證服務以外,還應研究建立支持多渠道的安全認證體系,例如支持指紋認證、身份證掃描識別等渠道安全認證體系,以避免目前單一密碼認證的缺陷。

  從流程上看,應設計一套與多渠道服務相匹配的服務、管理和內(nèi)控流程。通過流程的完善,對網(wǎng)絡、自助設備、電話等渠道接入交易的額度進行控制,提高渠道接入的每筆交易的審查和稽核能力。在網(wǎng)站管理方面,針對域名,銀行應該加強相關域名和網(wǎng)站的調(diào)查,及早發(fā)現(xiàn)對自身網(wǎng)上銀行構(gòu)成安全威脅的相關網(wǎng)站。應盡可能主動注冊與自家網(wǎng)站相近似的、差別小的域名,從而預防用戶誤判。并可以通過國家立法或與域名管理機構(gòu)協(xié)商,對于與銀行注冊網(wǎng)站相近的網(wǎng)站嚴格把關,一律不予注冊。網(wǎng)站界面上,應明確加強防偽的標識,便于用戶識別。

  從人員和組織看,一方面要加強自身員工的安全意識,建立嚴格的授權和保密制度。另一方面,要加強對用戶的培訓。在開設網(wǎng)上銀行等服務形式時,要通過培訓手冊等明確對用戶進行安全知識的教育;要設置專門的用戶體驗區(qū),實際指導用戶完成第一次交易;要明確說明證書的重要作用,鼓勵用戶使用證書等等。

  銀行在應用安全體系建設中,要自主加強制度建設、優(yōu)化業(yè)務流程、強化安全意識、建立縱深安全技術體系、評估安全風險、審計安全隱患,使得各項產(chǎn)品創(chuàng)新能始終經(jīng)受住安全的考驗。

  四、結(jié)論

  近年來,隨著IT技術的發(fā)展,電子商務的普遍開展,推動了網(wǎng)上銀行的發(fā)展。網(wǎng)上銀行要想深遠發(fā)展,必須打破其安全這個瓶頸,安全問題是它的核心問題。網(wǎng)絡銀行的安全主要是圍繞網(wǎng)上銀行技術,管理和相關法律,因此防范策略要圍繞它們進行。雖然不能消除所有的不安全因素,但我們可以通過努力,從以上幾個方面入手減少這些不安全因素。網(wǎng)上銀行的這些問題將隨著網(wǎng)絡銀行不斷走向成熟而得到解決,它將隨著互聯(lián)網(wǎng)迅速發(fā)展而向更高的層次發(fā)展。

  參考文獻:

  [1] 田世宏. 我國網(wǎng)絡銀行的監(jiān)管和發(fā)展對策[J]. 中南財經(jīng)政法大學報,2009,(9).

  [2] 倪建明,崔宇清. 網(wǎng)上銀行風險識別與監(jiān)管框架[J]. 國際金融研究2011, (3).

  [3] 張凱,荊繼武. CA系統(tǒng)在網(wǎng)絡銀行中的應用[J].中國科學院學報, 2010,(7).

  [4] 游雅娟. 網(wǎng)絡銀行的信息披露淺析[J]. 科技創(chuàng)新, 2010,(6).

  >>>下頁帶來更多的網(wǎng)上銀行風險的論文下載

3346067