前言：本站為你精心整理了網(wǎng)絡(luò)銀行風(fēng)險管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]文章從技術(shù)上、操作上、社會環(huán)境等方面闡述了網(wǎng)絡(luò)銀行的風(fēng)險及其相應(yīng)的防范措施。

[關(guān)鍵詞]網(wǎng)絡(luò)銀行;風(fēng)險;防范

我國網(wǎng)絡(luò)銀行除了具有傳統(tǒng)銀行的流動性風(fēng)險、利率風(fēng)險、結(jié)算風(fēng)險、道德風(fēng)險、新金融工具風(fēng)險外,還增加了一些網(wǎng)絡(luò)環(huán)境下的新風(fēng)險。

一、我國網(wǎng)絡(luò)銀行面臨的風(fēng)險

1.系統(tǒng)風(fēng)險

(1)操作系統(tǒng)風(fēng)險。操作系統(tǒng)是作為計算機資源的直接管理者,它直接和硬件打交道并為用戶提供接口,是計算機系統(tǒng)能夠正常、安全運行的基礎(chǔ)。Windows操作系統(tǒng)存在許多安全漏洞,UNIX操作系統(tǒng)是一個開放的系統(tǒng),源代碼已公開。根據(jù)美、荷、法、德、英、加共同制定的通用安全評價標準《CommonCriteriaforITSecurityEvaluation(簡稱CC標準)》,微軟的Windows操作系統(tǒng)、大部分的UNIX操作系統(tǒng)其安全性僅達到C2級安全,而網(wǎng)絡(luò)銀行的操作系統(tǒng)的安全級別應(yīng)至少達到B級。

(2)應(yīng)用系統(tǒng)風(fēng)險。網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)設(shè)計存在漏洞。目前,網(wǎng)絡(luò)應(yīng)用軟件存在以下安全漏洞:無效參數(shù)、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統(tǒng)的非安全利用、遠程管理漏洞、網(wǎng)絡(luò)及應(yīng)用軟件服務(wù)器錯誤配置。

在設(shè)計過程中,只重視“計算機如何完成任務(wù)”方面的設(shè)計,對運行過程中的程序控制或檢查考慮不全面,系統(tǒng)沒有為審計留下接口,難以進行實時審計。

(3)數(shù)據(jù)存儲風(fēng)險。數(shù)據(jù)存取、保密、硬盤損壞導(dǎo)致的風(fēng)險。

(4)數(shù)據(jù)傳輸風(fēng)險。數(shù)據(jù)傳輸過程中被竊取、修改等風(fēng)險。

2.操作風(fēng)險

網(wǎng)絡(luò)銀行操作風(fēng)險是指由于網(wǎng)絡(luò)銀行中的內(nèi)部程序、人員、系統(tǒng)的不完善或失誤,以及外部事件而導(dǎo)致網(wǎng)絡(luò)銀行直接或間接損失的風(fēng)險。產(chǎn)生操作風(fēng)險的原因有以下幾點:

(1)網(wǎng)絡(luò)銀行操作風(fēng)險意識淡薄。

(2)組織機構(gòu)職責(zé)不清。

(3)內(nèi)控制度不健全或執(zhí)行不力。

(4)沒有適合的網(wǎng)絡(luò)銀行稽核審計部門。

3.信用風(fēng)險

網(wǎng)絡(luò)銀行的信用風(fēng)險主要表現(xiàn)為客戶在網(wǎng)絡(luò)上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。

4.信息不對稱風(fēng)險

信息不對稱表現(xiàn)在兩個方面,一方面是由于網(wǎng)絡(luò)銀行無法得到足夠客戶信息,另一方面是由于客戶無法得到有關(guān)網(wǎng)絡(luò)銀行的足夠信息。信息不對稱使得網(wǎng)上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網(wǎng)絡(luò)銀行不利的行為,也使得客戶不能正確評價網(wǎng)絡(luò)銀行的優(yōu)劣。

5.法律風(fēng)險

我國對網(wǎng)絡(luò)銀行和網(wǎng)上交易缺乏相應(yīng)的法規(guī)。如:如何征收與管理網(wǎng)上稅收、數(shù)字簽名是否具有法律效力、交易的跨國界問題、知識產(chǎn)權(quán)問題、電子合同問題、電子貨幣問題、電子轉(zhuǎn)賬問題。

二、我國網(wǎng)絡(luò)銀行風(fēng)險防范對策

1.系統(tǒng)風(fēng)險的防范

(1)物理安全。主要指對計算機設(shè)備場地、計算機系統(tǒng)、網(wǎng)絡(luò)設(shè)備、密鑰等關(guān)鍵設(shè)備的安全防衛(wèi)措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導(dǎo)線間的交叉耦合,同時對輻射進行防護。

(2)應(yīng)用安全操作系統(tǒng)技術(shù)。安全操作系統(tǒng)不僅可以防范黑客利用操作系統(tǒng)平臺本身的漏洞來攻擊網(wǎng)絡(luò)銀行交易系統(tǒng),而且它還可以在一定程度上屏蔽掉應(yīng)用軟件系統(tǒng)的某些安全漏洞。美國先后開發(fā)了各種級別的安全操作系統(tǒng),其中作為商用的有DataGeneral公司的DGUXB1/B2安全操作系統(tǒng),HP公司的HPUXCMWB1級安全操作系統(tǒng)等。國內(nèi)各大科研機構(gòu)及公司也研制出高安全級別的操作系統(tǒng),如:中科院信息安全工程研究中心研制的SECLINUX安全操作系統(tǒng)、中軟總公司研制的COSIXLINUX系統(tǒng)。目前,中國建設(shè)銀行的網(wǎng)絡(luò)銀行系統(tǒng)建立在安全操作系統(tǒng)平臺之上,該系統(tǒng)基于HP9000硬件平臺,采用HP公司的B1級安全操作系統(tǒng)。

(3)數(shù)據(jù)通信加密技術(shù)的應(yīng)用。對傳輸中的數(shù)據(jù)流進行加密,按實現(xiàn)加密的通信層次可分為鏈路加密、節(jié)點加密、端到端加密。在鏈路數(shù)較多以及對流量分析要求不高的情況下,適合采用“端到端加密”方式。在對流量分析要求較高的情況下,可采用“鏈路加密”與“端到端加密”相結(jié)合的方式:用“鏈路加密”對報文的報頭進行加密,防止進行流量分析,再用“端到端加密”對傳送的報文進行加密保護。

對數(shù)據(jù)進行加密的算法主要有DES和RSA兩種。DES屬于私鑰加密體制(又稱對稱加密體制),它的優(yōu)點是加、解密速度快,算法容易實現(xiàn),安全性好,缺點是密鑰管理不方便。RSA屬于公鑰加密體制(又稱非對稱加密體制),它的優(yōu)點是安全性好,網(wǎng)絡(luò)中容易實現(xiàn)密鑰管理。因此可以采用將DES和RSA相結(jié)合的綜合加密體制:用DES算法對數(shù)據(jù)進行加密,用RSA算法對密鑰進行加密。

(4)應(yīng)用系統(tǒng)安全。應(yīng)用系統(tǒng)安全主要包括對交易雙方的身份確認和對交易的確認。在網(wǎng)絡(luò)銀行系統(tǒng)中,用戶的身份認證依靠數(shù)字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統(tǒng)進行身份認證。數(shù)字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎(chǔ)設(shè)施——PKI(PublicKeyInfrastructure)是解決大規(guī)模網(wǎng)絡(luò)環(huán)境中信任和加密問題的很好的解決方案。同時采用安全電子交易協(xié)議,目前主要的協(xié)議標準有:安全超文本傳輸協(xié)議(S-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術(shù)協(xié)議(STT)、安全電子交易協(xié)議(SET),其中SET涵蓋了信用卡的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)字簽名等,已經(jīng)成為事實上的工業(yè)標準。

加強應(yīng)用系統(tǒng)開發(fā)過程的審計,應(yīng)用系統(tǒng)運行過程中的實時審計。

(5)應(yīng)用數(shù)據(jù)庫安全技術(shù)。應(yīng)用存取控制技術(shù)、數(shù)據(jù)加密技術(shù)、硬盤分區(qū)防護技術(shù)、數(shù)據(jù)庫的安全審計技術(shù)、故障恢復(fù)技術(shù)等。

(6)應(yīng)用防火墻安全技術(shù)。建立綜合計算機病毒檢測技術(shù)、服務(wù)技術(shù)和包過濾技術(shù)的第四代防火墻,提供DES加密、支持鏈路加密或虛擬專網(wǎng)、病毒掃描等安全服務(wù),并具有實時報告、實時監(jiān)控、記錄非法登錄、統(tǒng)計分析等功能。設(shè)置放火墻時要截止所有從135到142的TCP和UDP連接,改變默認配置端口,拒絕PING信息包,通過設(shè)置ACCESSLIST的過濾規(guī)則來實現(xiàn)包過濾功能。采用防火墻雙機冷備份策略。進行入侵檢測和定期漏洞掃描。

2.操作風(fēng)險的防范

操作風(fēng)險主要來自銀行內(nèi)部,應(yīng)完善網(wǎng)絡(luò)銀行的內(nèi)部控制制度,建立科學(xué)的操作規(guī)范,嚴格內(nèi)部制約機制,將不相容職務(wù)如管理員與經(jīng)辦員分離、程序員與操作員分離、制作者與執(zhí)行者分離,對主管和操作員實行IC卡身份鑒別,并同時加口令,任何進入系統(tǒng)的操作必須有日志記載。

建立操作風(fēng)險管理中心,對員工進行防范操作風(fēng)險的技術(shù)培訓(xùn),監(jiān)督各項操作風(fēng)險管理制度的執(zhí)行情況,對網(wǎng)絡(luò)銀行的操作風(fēng)險進行評估,并采取相應(yīng)措施。建立操作風(fēng)險應(yīng)急反應(yīng)中心,對業(yè)務(wù)的影響因素進行研究,識別出可能導(dǎo)致業(yè)務(wù)中止的情況,系統(tǒng)的備份及定期測試公司的災(zāi)難應(yīng)急計劃,對出現(xiàn)的安全問題提供技術(shù)支援和解決方案。使用保險來抵補那些“低頻率、高危害”的操作風(fēng)險。建立操作風(fēng)險審計中心,對全部的網(wǎng)絡(luò)銀行業(yè)務(wù)實時監(jiān)控、網(wǎng)絡(luò)掃描,并利用審計記錄,對業(yè)務(wù)操作人員和計算機系統(tǒng)管理人員進行稽核。

來自外部的操作風(fēng)險,尤其是網(wǎng)絡(luò)銀行金融欺詐方面,不但要對個人服務(wù)的零售業(yè)務(wù)進行監(jiān)控,還要加強對登錄網(wǎng)絡(luò)銀行的企業(yè)加強監(jiān)控,通過數(shù)據(jù)挖掘軟件對可疑資金交易進行分析,防范利用網(wǎng)絡(luò)進行非法資金交易。

3.信用風(fēng)險的防范

建立全國性的用戶信用管理信息系統(tǒng),將用戶劃分為不同的信用等級,針對不同等級的用戶采取不同的管理措施。應(yīng)共享客戶資料信息庫,與其他商業(yè)銀行、保險公司等非銀行金融機構(gòu)、世界各銀行等金融機構(gòu)合作,及時將客戶的守信情況和違約情況記錄入庫。

4.信息不對稱風(fēng)險的防范

建立信息披露制度,強化信息披露的質(zhì)量。應(yīng)定期經(jīng)注冊會計師審計的關(guān)于網(wǎng)絡(luò)銀行經(jīng)營活動和財務(wù)狀況的公允信息,披露有關(guān)網(wǎng)絡(luò)銀行風(fēng)險的大小和網(wǎng)絡(luò)銀行為了規(guī)避風(fēng)險而采取的措施以及消費者權(quán)益保護的信息。建立社會監(jiān)管體系,網(wǎng)絡(luò)銀行之間進行相互監(jiān)督。

5.法律風(fēng)險的防范

應(yīng)充分利用和執(zhí)行《網(wǎng)絡(luò)銀行業(yè)務(wù)管理暫行辦法》,應(yīng)充分利用《合同法》、《會計法》、《票據(jù)法》、《支付結(jié)算辦法》等法律擬訂網(wǎng)絡(luò)銀行相關(guān)協(xié)議,制定有關(guān)業(yè)務(wù)流程和業(yè)務(wù)處理規(guī)定,應(yīng)充分利用目前執(zhí)行的關(guān)于網(wǎng)絡(luò)安全方面的行政法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》等,充分利用中國金融認證中心在認證技術(shù)方面的權(quán)威性和第三方認證的合理性。網(wǎng)絡(luò)銀行應(yīng)注重交易數(shù)據(jù)的保管,為可能的糾紛或訴訟過程做好證據(jù)準備。

建立網(wǎng)絡(luò)銀行法律監(jiān)管體系,制定網(wǎng)絡(luò)銀行的外部懲罰措施以及網(wǎng)絡(luò)銀行的市場退出機制。建立網(wǎng)絡(luò)銀行業(yè)務(wù)運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規(guī),同時對已有法律法規(guī)進行充實、修改。完善網(wǎng)絡(luò)銀行配套法律法規(guī)建設(shè),主要有稅收征管法、國際稅收法、電子商務(wù)法、刑法、訴訟法、票據(jù)法、證券法、商業(yè)銀行法、消費者權(quán)益保護法、反不正當競爭法等相關(guān)法律法規(guī)。加強與國際立法、司法實踐的交流與合作,加大打擊網(wǎng)上洗錢、網(wǎng)上盜竊等電子犯罪的力度。

主要參考文獻

[1]周慧.商業(yè)銀行電子化的風(fēng)險控制[J].金融與保險,2003,(9).

[2]喬立新,袁愛玲,馮英俊.建立網(wǎng)絡(luò)銀行操作風(fēng)險內(nèi)部控制系統(tǒng)

的策略[J].商業(yè)研究,2003,(8).

[3]劉昊.論我國網(wǎng)絡(luò)銀行的風(fēng)險及其控制[J].新金融,2003,(1).

[4]劉克龍.電子商務(wù)及其安全性分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用

2003,(7).