网络银行的风险、安全及监管

网络银行的风险、安全及监管

湖北经济学院金融学院邓钥

１９９５年１０月美国安全第一网络银行诞生，至此，网络银行借助现代信息技术，以其低成本、高效益、方便快捷、应用广泛等特点，显示了强大的生命力，从而在国际金融界掀起了一股网络银行的热潮。自１９９６年中国银行在国内设立网站尝试开展网上银行业务后，网上银行已成为我国银行发展的重要方向。１９９７年，招商银行开通交易型网站，拉开了我国网上银行发展的帷幕。２１世纪的银行将是建立在计算机通信基础上的网络银行。网络银行正成为金融机构拓宽服务领域、实现业务增长、调整经营战略、促进金融发展的重要手段。但与此同时，因为兼有银行业与现代信息技术的双重特点，网络银行的发展也在传统银行业一般风险的基础上带来了一系列新的风险，给银行业的监管和风险防范提出了更大的挑战。

一、网络银行的安全及保障

一些不法分子克隆某银行网站，在网站上制造假通知，声称银行系统升级，要客户将自己的网银账号及口令密码送至不法分子建立的信箱里，以骗取客户的账号及口令。这种手段虽然有些拙劣，但上当受骗的人也不少。

网上“钓鱼”：指利用人们视觉的马虎，设立假网址，如仿照ｗｗｗ．ｉｃｂｃ．ｃｏｍ．ｃｎ设立ｗｗｗ．１ｃｂｃ．ｃｏｍ．ｃｎ，仿照ｗｗｗ．ｂａｎｋ－ｏｆ－ｃｈｉｎａ．ｃｏｍ．ｃｎ设立ｗｗｗ．ｂａｎｋ－ｏｆｆ－ｃｈｉｎａ．ｃｏｍ．ｃｎ等，稍不认真识别就会上当受骗．这种手段比前者要进步一些，因为这种经过技术处理的手法容易麻痹一些人。特别是那些采用引擎搜索网址连接进入网站的登录方式，很容易误入网站。

病毒程序：黑客们利用能够在网上直接窃取客户口令和账号的病毒程序，常用的有“特洛伊木马”、“快乐耳朵”等，将这些黑客程序通过互联网置于网银服务器里，定时扫描、抓取此时登录网银服务器的客户口令及账号，自动的转发到黑客自己的邮箱里。这种手段比前两者更高明，可以“神不知鬼不觉”的窃取你的密码和账号。

目前，国内各家网上银行一般主要采用简单鉴别和强鉴别两种机制，即用户名＋口令和基于ＰＫＩ的证书机制。

用户名＋口令使用方便、操作简单，适用于交易额小，安全性要求不高的客户。但它不具备数字签名的功能，不具备抗抵赖性，安全性差，因为在互联网上传输口令易被截获，易被置于浏览器中的黑客程序所窃取。当前发生的假冒网站、特洛伊木马等欺诈事件都是针对此弱点。所以，在国内客户逐渐走向成熟的形势下，应该采用基于ＰＫＩ证书的强鉴别方式。

基于ＰＫＩ证书的强认证方法是指用户在注册网上银行时要申请证书，经资信审查后由ＣＡ签发，ＣＡ是ＰＫＩ核心执行机构，是权威、公正的第三方；证书是ＰＫＩ的核心元素，是公钥的载体，公钥对应一个私钥。用私钥加密的文件可用公钥解密，用于数字签名；用公钥加密的文件可用私钥解密，用于通信。ＰＫＩ证书机制能很好的解决网上交易身份的真实性交易数据的保密和完整性以及交易的不可抵赖性问题。今年４月１日开始执行的《电子签名法》为网上交易提供了法律保障。

近年来发展起来的一种方便、安全的身份认证技术是将证书存放在ＵＳＢｋｅｙ中，它采用软硬件相结合的强双因子认证模式，每个ＵＳＢｋｅｙ硬件都具有用户ＰＩＮ码，很好的解决了安全性与易用性之间的矛盾。ＵＳＢｋｅｙ内置智能芯片，证书和私钥储存其中不可能被复制，任何“网银大盗”的黑客程序和“网上钓鱼”都对其束手无策。工行从去年已开始对大力推广ＵＳＢｋｅｙ证书，取得很好的效果。今年建行、招行、交行、民

生银行和深圳发展银行等也相继推广了ＵＳＢｋｅｙ。

二、网络银行面临的风险

除了传统银行的流动性风险、信用风险、利率风险等，网络银行由于新的经营理念和经营模式，不可避免的带来了更多的风险种类。根据网络银行的构成及运行方式，从技术和业务的角度分析，网络银行面临的这些新的风险可分为两类：基于网络信息技术导致的技术风险和基于网络金融业务特征导致的业务风险。

（一）网络银行的技术风险

网络金融是基于全球电子信息系统基础上运行的金融服务形态，因此，全球电子信息系统的技术性和管理性安全成为网络银行最为重要的系统风险。这些技术方面的原因主要包括：

１．技术选择风险。网络金融业务的开展必须选择一种成熟的技术解决方案来支撑。在技术选择上存在着技术选择失误的风险。这种风险既来自于选择的技术系统与客户终端软件的兼容性差导致的信息传输中断或速度降低的可能，也来自于选择了被技术变革所淘汰的技术方案，造成技术相对落后、网络过时的状况，导致巨大的技术和商业机会的损失。

２．系统安全风险。网络金融的业务及大量风险控制工作均是由电脑程序和软件系统完成，所以，电子信息系统的技术性和管理性安全就成为网络金融运行的最为重要的技术风险。虽然网络银行都设计有多层安全系统，并不断出现新的、安全性的技术及方案，以保护虚拟金融柜台的平稳运行，但是网络银行的安全系统仍然是网络银行服务业务中最为薄弱的环节。这种风险既来自计算机系统停机、磁盘列阵破坏等不确定因素，也来自网络外部的数字攻击，以及计算机病毒破坏等因素。根据对发达国家不同行业的调查，系统停机对金融业造成的损失最大。网上黑客的袭击范围不断增大，手段日益翻新，攻击活动能量正以每年１０倍的速度增长，其可利用网上的任何漏洞和缺陷非法进入主机、窃取信息、发送假冒电子邮件等。计算机网络病毒则可通过网络进行扩散与传染，传播速度是单机的几十倍，一旦某个程序被感染，则整台机器、整个网络也很快被感染，破坏力极大。系统安全风险不仅会被扰乱或中断提供正常的服务，给银行带来直接的经济损失，而且影响网络银行的形象和客户对网络银行的信任水平。

３．外部技术支持风险。由于网络技术的高度知识化和专业化，或出于降低营运成本的考虑，网络银行往往要依赖外部市场的服务支持来解决内部的技术或管理难题。这种做法适应了网络银行发展的要求，但由于外部技术支持者可能不具备满足网络银行要求的足够能力而无法提供高质量的金融服务。

（二）网络银行的业务风险

网络银行基于虚拟金融服务品种形成的业务风险主要包括操作风险、市场信号风险和法律风险。

１．操作风险。操作风险是指由于系统可靠性、稳定性和安全性的重大缺陷导致的潜在损失的可能性。这类风险可能来自于网络银行安全系统和其产品的设计缺陷及操作失误，也可能来自于网络银行客户的疏忽，商业银行职员在业务上的误操作，也可能导致网络银行严重的业务风险。操作风险主要涉及网络银行账户的授权使用、网络银行的风险管理系统、网络银行与客户间的信息交流、真假电子货币的识别等领域。例如，网络银行改变了传统的以图章为支付指令的结算手段，采用数字签名方式对支付指令的有效性进行确认。由于网络的“虚拟性”，数字签名的可靠性完全取决于银行安全控制系统的严密与否。

２．市场信号风险。信息的非对称性可能导致网络银行面临不利选择和道德风险，这一风险被称为市场信号风险。由于网络银行无法在网上鉴别客户的风险水平而处于不利的选择地位，网上客户可能利用他们的隐蔽信息和隐蔽行动做出对自己有利但损害网络银行利益的决策等。另外，在虚拟的金融市场上，网上客户不了解每家银行提供的服务质量究竟是高是