设为首页 加入收藏
   
     
   
综合•其他
 
网上银行安全管理之细节探讨
双击自动滚屏 发布者:admin 时间:2010-8-16 22:51:06 阅读:78次 【字体:

肖 玮 (浙江大学宁波理工学院 浙江 宁波 315100)
摘 要 随着计算机网络的普及,互联网安全倍受重视,网上银行的安全也逐渐成为人们关注的焦点。虽然银行和用户都采取了必要的防范措施,但是对比国外成熟的网上银行运作,我国网上银行仍然在细节上存在管理不足的问题。针对网上银行安全管理的一些细节问题展开讨论,并提出相关建议。
关键词 网上银行 安全 管理 细节
中图分类号 F830.49 文献标识码 A
1 引言
1995年10月18日,全球第一家计算机网络银行(SFNB)的出现,打破了银行业传统经营模式,并为银行业的今后发展提供了一个新的平台和方向,但同时也给银行业带来了全新领域的挑战。网上银行并不是计算机系统和银行业务在互联网上的简单总和,它是现代计算机和网络技术发展过程中结合新金融模式所创造出来的一种新的有机体。 笔者把它理解为两方面的内容:第一,计算机和网络技术在这个有机体中起到了骨干支撑作用,体现出现代IT技术同银行业的紧密联系;第二,新技术的使用引发了思维模式的变化,产生新的管理理念以及营销方式,给银行业带来新的发展机遇和挑战。21世纪的银行业者已经不得不同时面对技术更新和管理理念的双重变化带来的冲击,这也是本文所探讨的基础。
国内网上银行已经经历了初期的认识阶段,并逐步进入成熟发展阶段,对比国外网上银行的发展现状以及相关IT技术,发现我国距离成熟的网上银行还有较大的差距。笔者认为差距主要是由于管理细节上的疏忽所导致的。在全面推广巴赛尔协议,强调银行风险与安全控制的今天,细节是不能被忽略的。这里分IT技术发展与银行细节管理两部分内容来探讨网上银行安全管理的问题。
2 网上银行与IT技术发展紧密相关
网上银行最大的特点之一就是计算机和网络在银行业的创新应用。首先,抛开银行自身业务,网上银行本身就是一个复杂且敏感的应用系统。传统银行业务在接触计算机和内部网络系统得到长足发展之后,我们将更多的精力放在业务创新和完善内控管理上。其次,在传统业务范围内,现有的计算机和网络已经足够满足一家地方性商业银行扩展到全国性乃至全球性的银行,因此银行业往往将内部IT管理放在银行业务的后台考核范围内执行。但是,现在网上银行直接把银行的核心业务通过网络直接暴露给客户使用,不受时间和空间的影响。这样一来不可避免的模糊了银行业对前中后台业务性质的划分,并且一下子把原本隐藏在后台的IT技术部门推向了前台,并且有着赶超传统前台业务量的趋势。有关信息显示,韩国网上银行业务量占传统银行业务量的比例接近40%,美国接近50%,而在瑞典该比例更是高达60%。网上银行业务已经成长为银行业务的一个重要组成部分。
2.1 IT技术发展对网上银行的影响
随着IT技术的发展,网上银行在银行发展过程中逐渐扮演着越来越重要的角色,因此IT技术的发展随着网上银行的出现也进一步提高到更加重要的层面,但同时IT技术对于银行业发展也是一个非常敏感的问题。海外银行在IT开发过程中很重视过程,即从使用者到开发者的沟通。在传统银行业中,使用者只是银行的柜员或者银行的其他内部员工,但是由于网上银行的出现,使用者变成了互联网上的用户。而中国又是互联网用户增长最快的国家之一。据中国互联网络信息中心(CNNIC)于2008年1月发布的《第21次中国互联网络发展状况统计报告》显示,截止2007年12月31日,我国网民总数已达到2.1亿人,略低于美国的2.15亿,位居世界第二,其中网上银行使用率为19.2%。中国每年数以千万的网民数量的增长,迫使IT技术迅速发展,银行业者将会面临怎样一个状况呢?
首先,科技力量薄弱是银行业普遍面临的发展瓶颈。据了解,中国各商业银行信息技术部门(各银行叫法不同,以下简称IT部)人员配备普遍存在不足,地方性商业银行通常只有10~50人左右,而国有商业银行一般也不超过200~400人。在海外,新加坡华侨银行的IT部员工有585人(数据截止2006年8月),但是他们同样都面临一个人手不足的问题。国内体制下银行员工的编制受制于银行总体发展规划的制定,人员配备有限,当需要进行网上银行这类复杂的系统开发时,需要请入外公司人员进行承建。而由于这类项目往往都是在现有基础模型上进行改造而来,因此银行员工做的更多的是基于现有平台的交易开发以及后期的维护,而对于系统内部构造以及更进一步的升级开发则显得心有余而力不足。所以,银行往往会和相关公司在签署项目合同的时候,存在一个维护服务期限的协议,以弥补银行相关技术人员储备不足的现状。这就导致外公司人员长期介入银行业务系统,接触大量的银行数据。尽管银行有着严格的制度,但由于IT系统的特殊性,不可避免地带来了安全隐患。同时,外公司技术人员又不属于银行编制,银行无法对其进行有效地约束和管理。相比较,国外有些银行的做法就值得我国借鉴。以新加坡华侨银行为例,同样存在科技力量不足的问题,但是通过自身机制,以设立合同工的形式招纳有着相关技术专长的人员来补充自身的科技力量。这些合同工一般有着当前银行所需要的相关领域的技术专长,在项目启动阶段通过订立2~3年的服务合同作为华侨银行的职工直接进行项目开发,而他们和原有的银行职工一样,接受银行的安全管理和监督。这样一来,既避免了银行数据暴露的风险,又增强了自身的技术力量。
其次,IT技术开发有别于其他业务操作,有其自身的特殊性。例如,微软的Windows操作系统已经风行了十几年,但至今它仍然是一个时常需要下载安装补丁的操作系统,我们明知道它肯定还有尚未解决和发现的系统漏洞,但仍然坚持使用它。这说明IT技术虽然已经普遍成熟地运用在人们日常生活的各个方面,但是由于IT技术的复杂性,我们仍然需要面对比其他银行业务更多的风险。一个程序的漏洞,可能并不影响系统整体的运行和表现,但是一旦被发现,则可能造成不可估量的影响。又例如,我国在近几年接连发生过程序员设置软件系统的“定时炸弹”来威胁所服务的单位,这种平时很难察觉的高技术性犯罪正是IT技术所带来风险性的另一方面。因此,从传统银行过渡到网络银行要求银行管理层对IT技术有着充分细致的了解,这正是网上银行管理走向成熟的标志。从管理模式上,需要设立CIO首席信息官等兼具技术背景的高层职务来统一领导银行的信息技术发展,在网上银行相关的业务部门设立专职且懂得IT技术细节的操作岗位人员以辅助业务发展。同时从风险操作上,需要培养和引进一批懂得IT技术风险控制的审计管理人员,制定符合当前银行发展方向的相关技术规定。
2.2 IT技术发展离不开管理制度
网上银行需要不同的职能来支持它安全稳定地运作,除了技术之外,更重要的是人和管理制度的落实。这就需要银行业者把网上银行系统作为核心系统。网上银行代表着企业形象,不能因为人力少等原因减少人员配置,把系统的安全和客户的安全,乃至银行的安全寄托于几个银行员工的个人道德上,网上银行同样需要类似银行柜面操作的双人复核,互相监督的原则。目前国内多家地方性商业银行的IT部门,甚至国有大银行,仍然缺少代码审计这块内容。同时管理制度和安全意识仍然跟不上IT技术的高速发展,这需要引起足够的重视。
3 网上银行细节管理仍显重要
网上银行除了体现方便易用等特点,更重要的是应对其加强安全管理,笔者认为细节上的管理是保证网上银行安全的一个重要途径。相对于传统业务,每个接受银行业务的人多少都会留下一些信息,甚至连在ATM机上操作业务也会被摄像机留下影像,而网上银行却不知道每个访问业务的人是谁,来自何方?这就给网上银行留下了潜在的安全隐患。一个匿名的访问者,能够轻易地通过国外的代理服务器作为跳板,或者远程遥控他人电脑访问网上银行,而不留下自身信息。然而作为银行方面若要追踪一个可疑的用户,不仅需要同地方相关部门合作,而且还可能存在跨国信息存取的技术和手续障碍。从犯罪学上说,通过计算机网络在网上银行作案,它的成本相对于网上银行的安全防范措施要低得多。因此,网上银行不得不重视细节所可能带来的安全威胁。
3.1 技术管理上落实细节
网上银行对外网提供客户服务时,往往通过SSL协议加密传输数据,以保证用户的数据不被中途窃取。但是网上银行的传输途径已经贯穿了银行的各个业务系统,因此需要充分细致的技术手段来保证整个传输路径上的安全。由外至内,安全技术分别可以采用不同特点的手段来进行有效管理。
设计合理的系统架构,增添安全设施以及及时更新系统补丁,这些都已经强调了很多遍,但是在细节上仍然缺少落实。首先,在设计系统架构的时候,按照国家有关规定,在核心层上必须使用国产防火墙,这并不是说除了网上银行数据库之外,其他都不是核心层,而不用在意使用什么牌子的防火墙了。银行重视网上银行并且肯投资是件好事,但是需要注意到,许多国外高端品牌的防火墙或者路由器是存在后门的,这已经是一个公开的秘密。最初这仅仅是为了安装和调试的方便,但是在部署网上银行的时候,有了设备而没有仔细考虑这些后门配置,这将给今后运行留下巨大的隐患。笔者曾听一位网络安全专家讲过这样一件事,国内某著名大公司的网站,在使用了国外高端品牌的路由器发生故障后,给对方公司致电,由于国外品牌在国内人员无法解决这个技术问题,问题被转送到了美国的总部,然而等过了一个周末后,故障自然解决了,国外公司仅仅告知此故障已经通过远程解决。令人惊讶的是,该公司并没有开放任何一个远程访问服务!事后,该公司不得不增加投资更换了国产品牌的路由器。由此可知,不仅需要设计合理的网络架构,更需要在设备选型和设备配置上作仔细考虑。
除了系统架构中的硬件外,网上银行有别于传统银行内部网络系统建设的一个投资是安全设备的增加。常见的安全设备有入侵侦测系统、网闸、反病毒服务器、防火墙、主机和网络的扫描系统等,他们是建设安全的网上银行不可或缺的组成部分。但是这些设备有一个共同点,就是被动防御。虽然有厂商鼓吹主动防御功能,但是我们不得不先面对攻击或威胁才能发现和解决的局面。因此,事后分析是网上银行维护部门日常的主要工作之一。因为设备的投资看得见摸得着,而相关人员的管理和培训则是看不见摸不着,因此部分银行缺少在没有回报的相关方面投入资金和精力。并且相关安全维护人员的培养不是一朝一夕可以获得的,他们如同金融分析师一样也需要多年的经验才能达到一定水准,所以多数银行还是缺少真正能够进行安全维护的工作人员。安全设备和安全工作人员是一个有机的结合,只有充分发挥他们的能力才能最大程度地提高网上银行的安全性能,及时防范来自外部和内部的威胁。部分银行通过引进专业安全公司提供技术支持服务的方式,但是这是暂时的,仅仅是弥补一时之需。对此银行需要更多的拥有类似CISSP(信息系统安全认证专家)认证的安全人员来有效维护网上银行的安全运行。
目前仍有很多专业人士认为,通过外部设备保证内网安全后,内网的数据传输可以把安全放在次要位置了。但是,在强调内控的前提下,不得不重视内部作案的可能性。网上银行主要是通过Internet为银行客户提供各种金融服务,并且在网络上传输包括用户信息、账户信息、交易信息、密码等在内的一系列客户的重要资料。可以说银行的主要业务数据都通过网上银行的内部网络直接传输出去。所以,网上银行内部数据传输安全直接关系到银行的信息安全。除了在制度管理上进行有效约束外,我们仍然可以通过技术管理来落实具体细节。可以在不同的服务器间进行数据加密,使原本通过明文传输于内网的数据变成密文。例如,使用RSA算法不仅可以达到单向加解密,而且可以有效验证传输数据不被篡改。此外,还可以配置核心交换机和增加“网闸”等措施,分流不同等级数据、限制通讯协议、管理数据包传输安全。新出现的“堡垒主机&rdq……uo;概念已经能够让数据传输在不经过其他设备进行协议转换的前提下,自动在内部完成通讯协议转发,充分保证了在通往银行核心业务系统的数据通道上的数据交换安全要求。
同时,适当采用主机安全监控系统,配合应用程序监控系统,可以更为细致详尽地进行安全管理,有效杜绝内部人员作案引起的安全威胁,甚至可以在一定程度上自动恢复未经许可的非正常篡改活动。在这点上,各地公安机关已经要求对互联网提供网络服务的服务器加装防篡改等安全软件,一定程度上提高了网上银行的安全性。
3.2 操作管理上体现细节
操作风险被视为巴赛尔协议中的三大主要风险之一,在网上银行管理中操作风险也是非常重要,但是往往看到的是框架性和指导性的操作,在实际管理中更需要从细节上来保证安全。虽然网上银行实现了计算机自动处理,大大减轻了人工干预的工作量,因而也减少了人工操作失误的可能性,但这更需要在管理细节上加以重视,从而防微杜渐。无论是银行操作还是客户操作,都有可能对网上银行产生安全影响,而高度自动化的网上银行,即使一个细小的错误也可能带来比传统操作更大的损失。
与网上银行的安全关系最密切的就是系统开发和维护人员。首先需要保证人员的充足,至少满足基本安全内控要求。从开发上,需要有代码开发人员,程序测试人员,以及程序变更管理控制人员,从而在软件程序的生产环节上保证网上银行应用程序开发安全稳定,避免出现程序人员留下后门、逻辑炸弹等非法代码。有条件的银行可以增加配置代码复核审计环节,从而增强代码的健壮性。另外,在程序开发过程中需要留下足够的标准文档以备存档和审计,而这仍是目前软件行业开发过程中的软肋。除了开发之外,进行系统维护的人员也需要满足内控的要求。例如,进入设备的密码和操作设备的人员必须分开,任何操作的细节都需要以文档或是电子数据的方式由第三方妥善保管,外公司的技术人员在操作生产设备时需要有银行相关人员监督和管理。事实上,保证操作的独立和互相监督已有明文规范,但是在实际操作中各个环节都需要文档和审批才能真正体现细节之处。网上银行开发的先期成本比较高,同时又受到IT技术更新迅速的压力,所以完善细节操作对银行稳定安全地迈向电子化发展和减少可能的风险成本有着重要的意义。
银行客户是网上银行的主要操作者,他们在每天24小时运作的网上银行里,每时每刻都可能进行查询、转账、理财等操作,他们的每一个操作细节都体现着银行操作管理上的成熟度。瑞典银行早在2005年就已经全面使用动态令牌,为每一个申请网上银行的客户免费赠送个人专属的令牌,要求所有登陆网上银行操作的客户必须使用交互式的活动密码,从而增强业务操作的安全性。新加坡华侨银行自2007年7月1日起要求所有网上银行操作用户必须输入一次性口令(OTP)。口令的获取采用手机短信、手机应用程序或是硬件令牌等方式。虽然增加了网上银行的成本,但是极大地方便了客户安全使用网上银行。其中使用手机短信的方式迎合了追求时尚和先进技术的年轻人的心理,为银行赢得了良好品牌的同时又扩大了客户范围。如果仅为了增强网上银行安全性,过分增加多种口令和多种登录条件限制,那么必然牺牲操作的简便性,一部分用户会因此放弃网上银行;如果一味地追求方便,那么信息被盗则会威胁银行客户的金融安全,这又是我们不愿意看到的。那么,如何寻找操作和安全上的平衡点呢?应该从细节管理出发。
网上银行不仅给予客户延伸到桌面的业务,而且能将银行的管理水平和企业文化得以充分展现。一个网上银行交易确认的提示界面,一个系统退出的提示信息,以及客户登录网上银行的历史记录等等都能反映出银行业务严谨求实的作风。由于银行是经营货币的特殊企业,因此这种安全细节上的体现更有利于增加银行的信誉度。
4 结语
网上银行发展至今已经成为一家成熟银行不可或缺的组成部分,它不仅降低了成本,更拓展了业务范围,突破了时空限制。网上银行安全管理的程度,直接影响到一家银行业务发展的速度。在重视网上银行资金投入的同时,更应看到它的特殊性,从信息技术到管理艺术的体现才能更好地发挥网上银行的渠道作用。因而不仅要关注管理细节上的挖掘,也需要在技术细节上体现安全符合业务增长需要的特点。借鉴国内外不同银行的经验、倾听不同角色的声音,走努力提高网上银行可持续发展之路。
参考文献
1 李兴智,丁凌波.网上银行理论与实务[M].北京:清华大学出版社,2003
上一篇|下一篇

 相关评论

暂无评论

 发表评论
 昵称:
 评论内容:
 验证码:
  
打印本页 || 关闭窗口
 
 

咨询电话: 13891856539  欢迎投稿:gmlwfbzx@163.com  gmlwfb@163.com
617765117  243223901(发表)  741156950(论文写作指导)63777606     13891856539   (同微信)

All rights reserved 版权所有 光明论文发表中心 公司地址:西安市碑林区南大街169号-6
CopyRight ©  2006-2009  All Rights Reserved.


  制作维护:中联世纪  网站管理
访问 人次
国家信息产业部ICP备案:陕ICP备17019044号-1 网监备案号:XA12993