前言：本站為你精心整理了網絡銀行風險管理范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

[摘要]文章從技術上、操作上、社會環(huán)境等方面闡述了網絡銀行的風險及其相應的防范措施。

[關鍵詞]網絡銀行;風險;防范

我國網絡銀行除了具有傳統(tǒng)銀行的流動性風險、利率風險、結算風險、道德風險、新金融工具風險外,還增加了一些網絡環(huán)境下的新風險。

一、我國網絡銀行面臨的風險

1.系統(tǒng)風險

(1)操作系統(tǒng)風險。操作系統(tǒng)是作為計算機資源的直接管理者,它直接和硬件打交道并為用戶提供接口,是計算機系統(tǒng)能夠正常、安全運行的基礎。Windows操作系統(tǒng)存在許多安全漏洞,UNIX操作系統(tǒng)是一個開放的系統(tǒng),源代碼已公開。根據(jù)美、荷、法、德、英、加共同制定的通用安全評價標準《CommonCriteriaforITSecurityEvaluation(簡稱CC標準)》,微軟的Windows操作系統(tǒng)、大部分的UNIX操作系統(tǒng)其安全性僅達到C2級安全,而網絡銀行的操作系統(tǒng)的安全級別應至少達到B級。

(2)應用系統(tǒng)風險。網絡業(yè)務系統(tǒng)設計存在漏洞。目前,網絡應用軟件存在以下安全漏洞:無效參數(shù)、失效的訪問控制、失效的賬戶、跨站點腳本漏洞、緩沖溢出、命令注入漏洞、錯誤處理問題、密碼系統(tǒng)的非安全利用、遠程管理漏洞、網絡及應用軟件服務器錯誤配置。

在設計過程中,只重視“計算機如何完成任務”方面的設計,對運行過程中的程序控制或檢查考慮不全面,系統(tǒng)沒有為審計留下接口,難以進行實時審計。

(3)數(shù)據(jù)存儲風險。數(shù)據(jù)存取、保密、硬盤損壞導致的風險。

(4)數(shù)據(jù)傳輸風險。數(shù)據(jù)傳輸過程中被竊取、修改等風險。

2.操作風險

網絡銀行操作風險是指由于網絡銀行中的內部程序、人員、系統(tǒng)的不完善或失誤,以及外部事件而導致網絡銀行直接或間接損失的風險。產生操作風險的原因有以下幾點:

(1)網絡銀行操作風險意識淡薄。

(2)組織機構職責不清。

(3)內控制度不健全或執(zhí)行不力。

(4)沒有適合的網絡銀行稽核審計部門。

3.信用風險

網絡銀行的信用風險主要表現(xiàn)為客戶在網絡上使用信用卡進行支付時惡意透支,或使用偽造的信用卡來欺騙銀行。

4.信息不對稱風險

信息不對稱表現(xiàn)在兩個方面,一方面是由于網絡銀行無法得到足夠客戶信息,另一方面是由于客戶無法得到有關網絡銀行的足夠信息。信息不對稱使得網上客戶更容易隱蔽他們的信息和行動,做出對自己有利而對網絡銀行不利的行為,也使得客戶不能正確評價網絡銀行的優(yōu)劣。

5.法律風險

我國對網絡銀行和網上交易缺乏相應的法規(guī)。如:如何征收與管理網上稅收、數(shù)字簽名是否具有法律效力、交易的跨國界問題、知識產權問題、電子合同問題、電子貨幣問題、電子轉賬問題。

二、我國網絡銀行風險防范對策

1.系統(tǒng)風險的防范

(1)物理安全。主要指對計算機設備場地、計算機系統(tǒng)、網絡設備、密鑰等關鍵設備的安全防衛(wèi)措施。為了防止電磁泄露,要對電源線和信號線加裝濾波器,減少傳輸阻抗和導線間的交叉耦合,同時對輻射進行防護。

(2)應用安全操作系統(tǒng)技術。安全操作系統(tǒng)不僅可以防范黑客利用操作系統(tǒng)平臺本身的漏洞來攻擊網絡銀行交易系統(tǒng),而且它還可以在一定程度上屏蔽掉應用軟件系統(tǒng)的某些安全漏洞。美國先后開發(fā)了各種級別的安全操作系統(tǒng),其中作為商用的有DataGeneral公司的DGUXB1/B2安全操作系統(tǒng),HP公司的HPUXCMWB1級安全操作系統(tǒng)等。國內各大科研機構及公司也研制出高安全級別的操作系統(tǒng),如:中科院信息安全工程研究中心研制的SECLINUX安全操作系統(tǒng)、中軟總公司研制的COSIXLINUX系統(tǒng)。目前,中國建設銀行的網絡銀行系統(tǒng)建立在安全操作系統(tǒng)平臺之上,該系統(tǒng)基于HP9000硬件平臺,采用HP公司的B1級安全操作系統(tǒng)。

(3)數(shù)據(jù)通信加密技術的應用。對傳輸中的數(shù)據(jù)流進行加密,按實現(xiàn)加密的通信層次可分為鏈路加密、節(jié)點加密、端到端加密。在鏈路數(shù)較多以及對流量分析要求不高的情況下,適合采用“端到端加密”方式。在對流量分析要求較高的情況下,可采用“鏈路加密”與“端到端加密”相結合的方式:用“鏈路加密”對報文的報頭進行加密,防止進行流量分析,再用“端到端加密”對傳送的報文進行加密保護。

對數(shù)據(jù)進行加密的算法主要有DES和RSA兩種。DES屬于私鑰加密體制(又稱對稱加密體制),它的優(yōu)點是加、解密速度快,算法容易實現(xiàn),安全性好,缺點是密鑰管理不方便。RSA屬于公鑰加密體制(又稱非對稱加密體制),它的優(yōu)點是安全性好,網絡中容易實現(xiàn)密鑰管理。因此可以采用將DES和RSA相結合的綜合加密體制:用DES算法對數(shù)據(jù)進行加密,用RSA算法對密鑰進行加密。

(4)應用系統(tǒng)安全。應用系統(tǒng)安全主要包括對交易雙方的身份確認和對交易的確認。在網絡銀行系統(tǒng)中,用戶的身份認證依靠數(shù)字簽名機制和登錄密碼雙重檢驗,將來還可以通過自動指紋認證系統(tǒng)進行身份認證。數(shù)字簽名還確保了客戶提交的交易指令的不可否認性。公鑰基礎設施——PKI(PublicKeyInfrastructure)是解決大規(guī)模網絡環(huán)境中信任和加密問題的很好的解決方案。同時采用安全電子交易協(xié)議,目前主要的協(xié)議標準有:安全超文本傳輸協(xié)議(S-HTTP)、安全套接層協(xié)議(SSL)、安全交易技術協(xié)議(STT)、安全電子交易協(xié)議(SET),其中SET涵蓋了信用卡的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)字簽名等,已經成為事實上的工業(yè)標準。

加強應用系統(tǒng)開發(fā)過程的審計,應用系統(tǒng)運行過程中的實時審計。

(5)應用數(shù)據(jù)庫安全技術。應用存取控制技術、數(shù)據(jù)加密技術、硬盤分區(qū)防護技術、數(shù)據(jù)庫的安全審計技術、故障恢復技術等。

(6)應用防火墻安全技術。建立綜合計算機病毒檢測技術、服務技術和包過濾技術的第四代防火墻,提供DES加密、支持鏈路加密或虛擬專網、病毒掃描等安全服務,并具有實時報告、實時監(jiān)控、記錄非法登錄、統(tǒng)計分析等功能。設置放火墻時要截止所有從135到142的TCP和UDP連接,改變默認配置端口,拒絕PING信息包,通過設置ACCESSLIST的過濾規(guī)則來實現(xiàn)包過濾功能。采用防火墻雙機冷備份策略。進行入侵檢測和定期漏洞掃描。

2.操作風險的防范

操作風險主要來自銀行內部,應完善網絡銀行的內部控制制度,建立科學的操作規(guī)范,嚴格內部制約機制,將不相容職務如管理員與經辦員分離、程序員與操作員分離、制作者與執(zhí)行者分離,對主管和操作員實行IC卡身份鑒別,并同時加口令,任何進入系統(tǒng)的操作必須有日志記載。

建立操作風險管理中心,對員工進行防范操作風險的技術培訓,監(jiān)督各項操作風險管理制度的執(zhí)行情況,對網絡銀行的操作風險進行評估,并采取相應措施。建立操作風險應急反應中心,對業(yè)務的影響因素進行研究,識別出可能導致業(yè)務中止的情況,系統(tǒng)的備份及定期測試公司的災難應急計劃,對出現(xiàn)的安全問題提供技術支援和解決方案。使用保險來抵補那些“低頻率、高危害”的操作風險。建立操作風險審計中心,對全部的網絡銀行業(yè)務實時監(jiān)控、網絡掃描,并利用審計記錄,對業(yè)務操作人員和計算機系統(tǒng)管理人員進行稽核。

來自外部的操作風險,尤其是網絡銀行金融欺詐方面,不但要對個人服務的零售業(yè)務進行監(jiān)控,還要加強對登錄網絡銀行的企業(yè)加強監(jiān)控,通過數(shù)據(jù)挖掘軟件對可疑資金交易進行分析,防范利用網絡進行非法資金交易。

3.信用風險的防范

建立全國性的用戶信用管理信息系統(tǒng),將用戶劃分為不同的信用等級,針對不同等級的用戶采取不同的管理措施。應共享客戶資料信息庫,與其他商業(yè)銀行、保險公司等非銀行金融機構、世界各銀行等金融機構合作,及時將客戶的守信情況和違約情況記錄入庫。

4.信息不對稱風險的防范

建立信息披露制度,強化信息披露的質量。應定期經注冊會計師審計的關于網絡銀行經營活動和財務狀況的公允信息,披露有關網絡銀行風險的大小和網絡銀行為了規(guī)避風險而采取的措施以及消費者權益保護的信息。建立社會監(jiān)管體系,網絡銀行之間進行相互監(jiān)督。

5.法律風險的防范

應充分利用和執(zhí)行《網絡銀行業(yè)務管理暫行辦法》,應充分利用《合同法》、《會計法》、《票據(jù)法》、《支付結算辦法》等法律擬訂網絡銀行相關協(xié)議,制定有關業(yè)務流程和業(yè)務處理規(guī)定,應充分利用目前執(zhí)行的關于網絡安全方面的行政法規(guī),如《計算機信息系統(tǒng)安全保護條例》、《計算機信息網絡國際聯(lián)網管理暫行規(guī)定》等,充分利用中國金融認證中心在認證技術方面的權威性和第三方認證的合理性。網絡銀行應注重交易數(shù)據(jù)的保管,為可能的糾紛或訴訟過程做好證據(jù)準備。

建立網絡銀行法律監(jiān)管體系,制定網絡銀行的外部懲罰措施以及網絡銀行的市場退出機制。建立網絡銀行業(yè)務運營法律體系,如建立《電子銀行法》、《電子簽名法》、《電子資金劃撥法》等法律法規(guī),同時對已有法律法規(guī)進行充實、修改。完善網絡銀行配套法律法規(guī)建設,主要有稅收征管法、國際稅收法、電子商務法、刑法、訴訟法、票據(jù)法、證券法、商業(yè)銀行法、消費者權益保護法、反不正當競爭法等相關法律法規(guī)。加強與國際立法、司法實踐的交流與合作,加大打擊網上洗錢、網上盜竊等電子犯罪的力度。

主要參考文獻

[1]周慧.商業(yè)銀行電子化的風險控制[J].金融與保險,2003,(9).

[2]喬立新,袁愛玲,馮英俊.建立網絡銀行操作風險內部控制系統(tǒng)

的策略[J].商業(yè)研究,2003,(8).

[3]劉昊.論我國網絡銀行的風險及其控制[J].新金融,2003,(1).

[4]劉克龍.電子商務及其安全性分析[J].網絡安全技術與應用

2003,(7).