网上银行安全之我见——以地方商业银行为例

网上银行安全之我见——以地方商业银行为例 网上银行安全之我见——以地方商业银行 为例 工作研穷 摘要:目前国内部分地方性商业银行尚未开展网 上银行业务,但在今后的业务拓展中,终究要涉足其中, 而建立网上银行的安全问题不容忽视.本文就地方商业 银行建立网_卜银行业务过程中需要注意的安全问题进 行了简单探讨. 关键词:商业银行网上银行信息安全 一 ,前言 近年来,随着计算机技术,通信技术以及两者结合的网络技术尤 其是互联网技术的发展和普及,金融系统的业务处理和经营管理模 式正经历着新的变革:货币形态从实物货币向电子货币演变;服务模 式由柜面的"人,人"对话向网络的"人一机"对话演化;资金流动从 实体凭证向电子凭证过渡;银行的概念从实体银行向虚拟银行方向 发展.在传统的银行柜台服务之外,电话银行,网上银行开始在人们 的日常生活中发挥越来越大的作用. 网上银行作为21世纪一种新兴的金融业务,其方便快捷的使用 环境,已越来越得到人们的重视,而其低廉的成本和广阔的前景,使 得众多银行积极涉足其中.网上银行(InternetbankorE—bank)实际 上包含两个层次的含义,一个是机构概念,指通过信息网络开办业务 的银行;另一个是业务概念,指银行通过信息网络提供的金融服务, 包括传统银行业务和因信息技术应用带来的新兴业务.在日常生活 和工作中提及网上银行,更多是第二层次的概念,即网上银行服务的 概念.网上银行业务不仅仅是传统银行产品简单从柜台到网上的转 移,其服务方式和内涵也发生了一定的变化,而且由于信息技术的应 用,还产生了不少全新的业务品种. /594000元=17%,低于60%.因此,该股票为合格的质物,银 行可以接受质押. 4.设定合适的警戒线和平仓线.警戒线和平仓线是风险与 利润的制衡机制,是拓展股票质押融资业务的基础条件.一般 情况下,警戒线比例(质押股票市值/贷款本金X100%)最低 为135%,平仓线比例(质押股票市值/贷款本金X100%)最 低为120%.在质押股票市值与贷款本金之比降至警戒线时, 贷款人应要求借款人及时补足因证券价格下跌造成的质押价 值缺口.在质押股票市值与贷款本金之比降至平仓线时,贷款 人应及时出售质押股票,所得款项用于还本付息,余款清退给 借款人,不足部分由借款人清偿. 62膏移宝融2010.1 注释: ?PT类股票:为暂停上市流通的股票提供特别转让服务 所产生的股票品种,根据《公司法》及《证券法》的有关规定,上 市公司出现连续三年亏损等情况,其股票将暂停上市. ?sT类股票:财务状况异常的上市公司的股票,其中异常 主要指两种情况:一是上市公司经审计两个会计年度的净利 润均为负值,二是上市公司经审计最近一个会计年度的每股 净资产低于股票面值. 责任编辑:淡亚君 一人行西宁中心支行青海西宁{;1_..01) 祁方民 以地方商业银行为例 网上银行安全之我见 二,网上银行框架与模式 网上银行的系统建设可采用多层体系结构,包括安全层, 接入层,应用层,数据层和后端主机接口层.安全层运行统一 的认证和安全管理,包括CA认证,SingleSignOn认证以及安 全检测,安全管理等,保证用户登录的安全性;接入层运行 WebServer,是网上银行及其他渠道的接入口,提供统一登录 入口,处理网上银行与用户之间的页面交互,处理客户端请求 以及将应用层处理结果反馈给客户端.在网上银行中,接入层 包括了一些静态内容,HTML页面以及图片等.接入层提供了 将请求发送到应用层和外部站点的代理机制.网上银行用户 通过SSO/CA认证和HTTPS加密访问方式进入接入层:应用层也称作业务逻辑层,用于完成网上银行的业务逻辑处理.应 用层运行符合J2EE规范的应用服务器软件(ApplicationServ— er).应用服务器上部署整个网银的平台及应用;数据层展现的 是网上银行产品的数据库,用于存储网上银行的各类数据信 息.网上银行同本地数据库间通过lDBC进行信息交换.网上 银行数据库可以存储多种信息,包括客户信息(ClF库),交易 信息(BPTW库),内容信息(Content库),各种服务信息 (BusinessCentral库)等;后端主机接口层实现网上银行业务的 交易处理过程. 三,建立网上银行应注意的几个安全问题 确保安全是网上银行运作的重中之重,只有在安全基础 上,才能赢得客户,站稳市场.建立网上银行,应关注以下几个 安全问题: 1.安全管理工作 建立健全安全工作,首先要从管理角度入手.只有具备良 好管理环境,才能在此基础上开展各项安全工作,做大做强网 上银行业务.提高市场竞争力. 首先要建立健全安全管理组织机构,并且通过与之匹配 的章程来规范其行为,明确机构人员的职责;建立安全管理制 度体系,从方针策略,和操作规程入手,确保制度的 全面性,合理性和适用性;建立分层次设定网银系统的安全策 略,将安全策略覆盖面扩大到网银宏观安全策略和网银系统 ,开发,验收等不同阶段,同时完善在使用阶段的各项策 略要求. 其次要加强人员管理.管理工作最终要落实到对人的管 理上来.加强人员管理的范围不仅包含银行自身员工还应涵 盖外部人员的管理,必须建立相应制度来进行管理.在对银行 网银系统的考察学习中发现,有些地方商业银行将网银系统 通过外包的形式来进行管理,这就需要在项目实施前做好对 工作硼究 相关外包机构资质等方面的核实工作,尤其是外包单位员工 管理,通常要求在实施过程中由本行员工陪同进行施工,期间 有必要签订保密协议来共同提高系统的安全性. 三是做好文档的保管工作.网银系统建设和使用阶段不 可避免地会发生人员变动情况,为保障系统安全,正常运行, 新接手人员要能够很快熟悉系统,顺利开展日常运行维护工 作.这需要对系统相关的技术文档和资料进行妥善保管,保证 系统维护期间文档齐全并对变更情况及时,注明;同时有 必要建立技术文档管理制度,对技术文档资料的使用,外借或 销毁建立审批制度,并定期审查,确保文档的准确,完整. 四是做好密码等常规安全管理.特别是要做好密码的保 管和定期(不公开)更换工作,采取一定机制,加强密码强度, 避免出现密码雷同.在网银生命周期内做好系统的安全漏洞 扫描工作,并且做到制度化,定期制,通过升级,打补丁或加固 等方式及时解决发现的安全问题.漏洞扫描工具的选择也要 按一定程序进行,并对工具本身做好管理工作,包括定期维 护,升级等. 五是做好系统介质管理工作.在系统的生命周期,建立与 系统关联的介质安全管理制度,做好介质管理工作,对介质的 存放环境,使用,维护和销毁等方面作出规定;确保介质存放 在安全的环境中,定期盘点;对介质在物理传输过程中的人员 选择,打包,交付等情况进行控制,并对介质的归档和查询等 进行登记记录;对存储介质的使用,维修以及销毁等进行严格 管理. 六是做好数据备份管理工作.为保障系统运行过程中出 现故障后能及时恢复,尽可能不影响业务处理,应制定明确, 详细的备份,并且建立与备份及恢复相关的安全管理制 度;应根据数据的重要性和数据对系统运行的影响,制定数据 的备份策略和恢复策略;建立控制数据备份和恢复过程的程 序;定期执行恢复程序,检查和测试备份介质的有效性,确保 可以在恢复程序规定的时间内完成备份恢复. 七是加强应急管理工作.建立网上银行应在统一的应急 预案框架下制定不同事件的应急预案,并且从人力,设备,技 术和财务等方面确保应急预案的执行,要定期进行应急预案 培训,对已有应急预案定期重新评估,修订完善. 2.安全技术保障工作 一 是做好数据.应从数据保密性,数据完整性, 数据访问控制管理,数据存储安全等方面做好数据安全保障 工作.需针对系统数据实施严格的安全与保密管理,防止系统 数据的非法生成,变更,泄露,丢失与破坏;尤其对于关键业务 2010.1膏谬宝融63 工作研夯 数据不得泄露,禁止外传;对于重要数据的处理,除被批准使 用数据人员外,其它人员不得进入机房工作;清除处理过程中 产生的数据,要妥善保存结果,任何记录有重要信息的废弃物 应进行销毁;系统中各类业务数据仅用于明确规定的目的,未 经批准不得它用,查阅客户资料须经正式批准,查阅时必须登 记,并由查阅人签字;严格涉密数据的保管,不得以明码形式 存储和传输涉密数据,并根据数据的保密规定和用途,确定数 据使用人员的存取权限,存取方式和审批手续,在数据的传输 过程中采用各种加密手段进行保障. 二是做好网银系统性能稳定性,可靠性及可维护性的检 查,确保关键业务的每秒最大交易数符合需求;在大数据量 下,执行成功交易占总交易量的百分比情况应符合需求;保证 在一定比例及访问数据量的情况下各项网银业务能够不间断 运行.对不符合要求的输入数据应给出简洁,准确的提示信 息,必要时应给出帮助信息,确保操作错误,非法数据不会引 起系统异常退出或程序损坏;做到在程序运行过程中发生断 电,网络断开等异常情况时,数据和系统不会损坏.要求系统 对重要数据的录入提供有效性检查,对非法数据给出提示:系 统中不存在因删除或反复地更新而被破坏或留下垃圾数据: 保证用户能够及时,顺畅地从软件开发单位的技术支持部门 获得有效的帮助与支持. 三是建立定期数据备份机制,定期并及时进行完整数 据备份,并安全存放备份介质;对关键数据应进行异地备份, 建立异地灾难备份中心,配备灾难恢复所需的通信线路,网络 设备和数据处理设备,提供业务应用的实时无缝切换;通过异 地实时备份功能,利用通信网络将数据实时备份至灾难备份 中心;并提供主要网络设备,通信线路和数据处理系统的硬件 冗余,保证系统的高度可用性. 3.做好与技术相关的业务安全控制工作 做好与技术相关的业务安全控制工作.就需要从企业网 银,支付网关,交易安全机制,内管控制,高风险账户监控,短 时间内连续卡号多笔交易监控,网银业务开通,USBKey与 账号绑定等入手,积极应对,确保有效控制. 通常情况下,企业网银使用第三方证书,并选用合适的安 全协议;而且在登录时确保证书的正常使用;最终在达成协 议,进行交易时须做数字证书签名,并且签名要保证包含必备 要素,进行验签. 对于成熟的网银系统,应做到支持信用卡支付,非信用卡 支付设置最高限额,应有交易安全机制和防范客户端被植入 木马而被远程劫持进而实现盗取用户信息及转账操作的安全 交易机制. 关键交易应采取双人审核等授权控制机制,审计机制;针 对高风险账卢应采取有效的监控手段,例如实行网上交易监控 机制,能够针对短时间内连续卡号多笔交易的情况进行监控. 开通网银业务时,客户应在场,并经客户亲自确认后开 通;转账业务不应默认开通;应提供授权码等机制;在下栽证 书时对用户进行认证;开通网银时应将USBKey与账号绑 定,防止证书上传时受到攻击. , 总结鹱望 建立网上银行业务,应树立"以客户为导向"的经营理念, 从客户需要什么样的产品出发来考虑问题,提供特色产品与 服务以增强差异化竞争优势.运用整合营销4c论来指导网 上银行产品的设计和营销. 建立网上银行要始终考虑到安全保障工作,一方面借鉴 64膏宝融2010.1 其他行先进网上银行的经验,另一方面,在 进行差异分析的基础上,寻找适合自己的 网上银行模式,使得网上银行系统更加完 善与安全,以应对日益旺盛的网络需求,扩 大地方商业银行的业务服务范围,做大做 强业务市场,从而从根本上提高自身竞争 力. 泞释: ?4C理论:包括comumerwants andneeds一消费者的欲望和需求;Cosr 消费者获取满足的成本;convenience一消 费者购买的便利性;Communicationr企业 与消费者的有效沟通. 责任编辑:覃凌燕