作为传统银行的延伸和创新,电子银行的安全风险呈现出复杂性和多样性,互联网的开放和虚拟性带给电子银行的安全风险种类繁多、内容和表现形式各不相同。从信息安全的角度分析,电子银行的安全风险来源于电子银行基础架构环境引发的技术安全风险、金融业务特征形成的业务性安全风险和电子银行管理体系的信息安全风险三个方面。
(一)技术安全风险
技术安全风险是电子银行面临的首要风险。安全技术问题成为目前制约电子银行发展的关键因素。主要包括系统漏洞、客户端感染病毒、网络通信泄密、数据丢失/泄露和篡改、手机客户端安全隐患、机房物理环境损坏等信息安全风险。
1。系统漏洞。电子银行使用的应用系统和数据库,在技术上自身存在漏洞和隐患,这些漏洞可能被黑客、计算机病毒利用,对电子银行系统或用户造成损害。
2。客户端感染病毒。电子银行客户端使用用户名和密码方式进行认证,如果用户计算机感染病毒、木马程序或被黑客攻击,不能进行安全认证,电子银行用户所做的操作,可能被发送至计算机感染病毒、木马程序或被黑客控制的服务器后端,严重威胁电子银行账户和密码的安全。如互联网上出现的“网银大盗”病毒,专门针对某一国有银行的网上银行进行网上银行用户的账户、密码、验证码等敏感信息窃取,给网上银行带来很大的信息安全风险。
3。网络通信泄密。电子银行业务通过网络在银行和用户之间进行数据传输,在传输过程要求进行数据加密,如果网络传输系统、环境或加密算法被黑客攻破,将可能造成电子银行客户的资金、账号、密码等在网络中明文传输,泄露客户信息,严重影响电子银行用户的信息安全。
4。数据丢失、泄露和篡改。电子银行的数据要求绝对安全和保密。用户基本信息、用户支付信息、业务处理信息、数据交换信息等的丢失、泄露和篡改都会对电子银行造成不可估量的损失。
(二)管理安全风险
管理安全风险存在于电子银行系统开发、运行、维护等整个生命周期中。主要包括内控制度执行不到位、业务运行应急演练执行不到位、外包服务管理不到位等信息安全风险。
1。内控制度执行不到位。电子银行内控制度是对电子银行日常运行处理中需要遵守的流程或制度规范,如果网上银行内控制度建设或执行不到,将可能在电子银行运行或业务操作中出现问题。
2。业务运行应急演练执行不到位。目前大多商业银行在系统建设和运行中,没有很好地按照业务运行应急计划进行实际演练,在应对电力中断、地震、洪水,以及黑客攻击等灾害时,不能采取及时有效的措施,一旦灾难发生,将可能给银行带来巨大损失。
3。外包服务管理不到位。电子银行在快速发展过程中,由于银行相关人才不足,在系统开发、运行和维护过程中,通常通过购买第三方外包服务的方式提供电子银行的技术支持。如果对电子银行外包服务的管理不到位,将可能给银行带来数据泄密的风险;如果外包服务公司经营不善或破产,还可能造成电子银行外包服务突然中断,严重影响电子银行的安全稳定运行。
(三)业务安全风险
业务安全风险与传统银行相似。主要包括操作风险、信誉风险、法律风险、市场风险、流动性风险等信息安全风险等。
1。操作风险。指由于内部程序不完善或失效以及有关制度、系统或人工操作出现问题,或外部因素引起的风险,可能源于银行内部员工或用户的错误、恶意操作而导致的潜在损失。包括安全性风险、系统运维风险、客户滥用产品和服务的风险等。
2。信誉风险。指由于负面公众舆论对银行造成的风险,可能致使银行建立和维护客户关系的能力严重受损,导致资金筹措或客户群方面的重大损失。
3。法律风险。指由于违反法律、规章、交易习惯、职业道德伦理标准等,或者与之不一致,或交易各方的权利和义务未能合理分配,或通过电子媒介订立的协议效力不确定等情况而造成的风险。对于从事电子银行业务的银行,未适当告知客户权利和义务、未向客户提供充分的隐私保护;将其网站与其他网站链接,黑客利用被连接的网站欺诈银行客户;在电子认证系统中双方的权利义务未能在合同中明确或信赖证书的相关方遭受了损失,都可能使银行面临法律风险。
我国电子银行的发展现状
(一)发展特点
我国电子银行的发展呈现出以下特点:
1。交易规模迅速增长,呈现阶跃式发展态势。随着互联网基础设施和通信终端的不断完善,以及电子商务、电子支付浪潮的涌现,电子银行业务近几年交易规模迅速增长,呈现出阶跃式的发展态势。
2。用户规模不断扩大,网银替代率不断上升。随着交易规模的扩大,电子银行用户数量也在迅速增长,其中包括传统的网银用户和新兴的手机用户。用户规模的迅速增长使得网银对传统业务的替代率不断上升。据艾瑞咨询数据统计分析,2013年中国电子银行替代率达77%,即电子渠道交易笔数总量是柜面交易笔数的两倍左右。尤其是手机银行等移动渠道交易更迎合了用户生活节奏的变化,培养新的消费习惯和消费文化。预计到“十二五”末期,我国电子银行替代率将达80%以上,交易笔数超过1000亿笔。
3。客户端用户越来越多,手机银行成为银行必争之地。近年来随着智能手机的普及,手机银行的客户端用户也越来越多,随之而来的便利体验,颠覆性地改变了人们的生活方式。据艾瑞咨询《中国手机银行用户行为研究报告》显示,使用智能手机APP客户端接入手机银行的人数达65%。
(二)信息安全保障相关工作
信息安全风险是电子银行乃至金融安全风险的重要组成部分。我国金融信息化在战略规划与体系设计、基础设施与核心系统建设、渠道整合与流程再造等方面都取得了突破性进展,对金融改革、发展与壮大发挥了重要的支撑和促进作用。金融信息化的深入发展,使金融业演化为信息化金融。其中商业银行尤其重视将电子银行作为加快金融创新、提升核心竞争力的手段,普遍将电子银行的柜面替代率提高到60%以上。人民银行作为国家的中央银行,高度重视金融信息安全保障工作,为提高金融信息化安全保障水平,切实维护金融消费者权益,以构建金融信息安全保障体系为目标,以标准规范为基础,检查测评为手段,应急协调为依托开展了以下工作。
(1)会同监管部门,共同做好金融业信息安全管理。人民银行、银监会、证监会、保监会(简称“一行三会”)切实履行国务院赋予的职责,组织制定《中国金融业信息化“十二五”发展规划》,制定金融业标准体系,落实信息安全等级保护、涉密信息系统分级保护政策,并根据监管行业的实际情况开展信息安全管理工作。
(2)制定标准规范,夯实金融服务安全保障基础。2012年,全国金融标准化技术委员会(简称金标委)发布《银行业标准体系》,结合已经发布的证券和期货业、保险业、印制业标准体系,宣告金融业标准体系的建设取得重要成果。金融标准化将进入规范化、体系化的发展轨道。
(3)加强检查测评,督促落实信息安全保障要求。建立金融信息安全保障体系的重要手段是“合规性检查”和“风险性检测”,以查促改,改后再查,形成正向的持续改进流程。
(4)开展技术研究,提高技术应用风险控制水平。伴随“数据集中、资源整合”进程,信息安全风险高度聚集,信息安全事件一旦爆发容易演变成为区域性、系统性风险,引发恐慌性、群体性事件。技术发展加快了金融信息化进程,同时也对金融信息安全带来新的挑战。为了适应技术发展趋势,人民银行研究和落实了控制技术应用风险的相关措施。
(5)构建协同机制,形成信息安全综合防御体系。信息安全风险复杂多样,杜而不绝,而且会从单一、小型风险演变成为区域性、系统性风险,需要联合国家有关部门建立群防群治的体制,联合技术支撑单位建立联动协调的机制,共同防御金融网络和信息系统面临的信息安全风险。
(责任编辑:DF126)
相关:
菲亚特收购克莱斯勒本月完成 来自菲亚特-克莱斯勒亚太区的最新信息,菲亚特股份公司(菲亚特)与自愿员工受益协会(V EBA )已达成协议 , 其全资子公司菲亚特北美(FN A )将收购V E B A所持有的克莱斯勒集团全部41.4616%股权。本交易..
日本地震保险体系缓冲巨灾损失2013年9月,日本地震学家乘坐深海站探船深入海底搜寻地震起源C FP供图 日本位于环太平洋火山地震带上,地震发生频繁,也是较早开始地震保险制度研究的国家之一 . 经过多年探索,日本建立了一套以政府为主导..