網(wǎng)上銀行又稱網(wǎng)絡(luò)銀行,是依托信息技術(shù)、因特網(wǎng)提供各種金融服務(wù)的一種全新的企業(yè)組織形式或是一種全新的銀行服務(wù)手段。下文是學(xué)習(xí)啦小編為大家搜集整理的關(guān)于網(wǎng)上銀行風(fēng)險的論文下載的內(nèi)容，歡迎大家閱讀參考!

　　網(wǎng)上銀行風(fēng)險的論文下載篇1

　　淺析我國網(wǎng)上銀行應(yīng)用風(fēng)險及安全策略

　　【摘 要】隨著電子商務(wù)的迅速發(fā)展，網(wǎng)上銀行業(yè)務(wù)呈現(xiàn)出網(wǎng)絡(luò)化、系統(tǒng)化、快速化和貨幣數(shù)字化等特點。這就對銀行信息系統(tǒng)的安全保密性提出了更加嚴(yán)格的要求。本文在分析我國網(wǎng)上銀行應(yīng)用存在的安全問題的基礎(chǔ)上，尋找解決對策，旨在為網(wǎng)上銀行發(fā)展獻(xiàn)計獻(xiàn)策，愿我國網(wǎng)上銀行業(yè)務(wù)安全、健康、有序、持續(xù)、快速發(fā)展。

　　【關(guān)鍵詞】網(wǎng)上銀行;安全策略;金融風(fēng)險

　　網(wǎng)絡(luò)銀行是銀行通過互聯(lián)網(wǎng)為客戶提供金融服務(wù)的平臺，是電子商務(wù)在銀行業(yè)的具體應(yīng)用，它代表了現(xiàn)代商業(yè)銀行業(yè)務(wù)的發(fā)展方向。自從1995年10月美國“安全第一網(wǎng)絡(luò)銀行”誕生以來，網(wǎng)絡(luò)銀行借助現(xiàn)代信息技術(shù)，以其低成本、高效益、方便快捷、應(yīng)用廣泛等特點，顯示了其強大的生命力。但是，網(wǎng)上銀行作為一種虛擬銀行，除了具有傳統(tǒng)銀行經(jīng)營過程中存在的各種風(fēng)險之外，還存在著基于虛擬網(wǎng)絡(luò)服務(wù)而形成的業(yè)務(wù)風(fēng)險和基于信息技術(shù)導(dǎo)致的技術(shù)風(fēng)險。下面主要分析一下我國網(wǎng)上銀行應(yīng)用過程中存在的安全問題及解決對策。

　　一、我國網(wǎng)上銀行安全事件分析

　　據(jù)外電報道，2005年安全公司Sunbelt軟件公司曾發(fā)現(xiàn)一個重大身份盜竊集團(tuán)竊取了50家銀行客戶的個人身份信息。據(jù)Sunbelt公司介紹，這個身份盜竊團(tuán)伙使用擊鍵登錄軟件從數(shù)千臺電腦上搜集了個人信息。所盜竊的數(shù)據(jù)包括信用卡賬號詳情、社會保險號碼、用戶名、密碼、即時信息聊天片段和搜索條件。

　　同年，廣西南寧發(fā)生的首例假中國工商銀行網(wǎng)站網(wǎng)絡(luò)盜竊案件，犯罪嫌疑人邱某通過安裝“木馬”程序盜竊他人銀行存款。

　　某銀行北京總部告急：網(wǎng)絡(luò)銀行1天內(nèi)遭同一黑客攻擊10萬次，308張銀行卡的卡號及網(wǎng)上查詢密碼被竊取，而IP地址顯示黑客所在城市就是廈門。此時，被同一黑客攻擊的還有其他10家銀行，銀行客戶信息面臨巨大威脅。

　　我國，由于網(wǎng)上銀行建設(shè)和應(yīng)用中還存在很多問題，網(wǎng)上銀行盜竊案頻繁發(fā)生，使得網(wǎng)上銀行的信息安全體系建設(shè)迅速成為金融信息化建設(shè)的一大焦點。

　　網(wǎng)上銀行的盜竊案主要是利用安全漏洞，在竊取客戶帳號、密碼和證書等信息基礎(chǔ)上，實施犯罪。對客戶信息的竊取方式，典型的包括以下幾種：

　　(1)銀行IT人員監(jiān)守自盜，竊取客戶信息;

　　(2)通過網(wǎng)絡(luò)攻擊向計算機安裝木馬及間諜軟件盜取客戶信息;

　　(3)誘導(dǎo)客戶通過超級鏈接等方式進(jìn)入偽造的商業(yè)銀行網(wǎng)站騙取客戶信息;

　　(4)通過冒充銀行發(fā)送電子郵件誘騙客戶信息;

　　(5)假借銀行之名發(fā)送短信誘騙客戶信息;

　　(6)假冒銀行客服打電話套取客戶信息。

　　二、我國網(wǎng)上銀行應(yīng)用存在的安全隱患

　　針對目前我國網(wǎng)上銀行出現(xiàn)的安全問題，將網(wǎng)銀的安全隱患總結(jié)為以下幾方面：

　　(一)黑客攻擊

　　目前由于一些網(wǎng)銀用戶自身的疏忽以及網(wǎng)絡(luò)安全意識不高，虛擬財產(chǎn)產(chǎn)受損事件還是時有發(fā)生。黑客就是其中的一種。所謂黑客，就是指網(wǎng)絡(luò)的非法入侵者。黑客針對網(wǎng)銀攻擊主要采用兩種手段，即網(wǎng)銀盜號木馬和網(wǎng)銀釣魚網(wǎng)站。

　　網(wǎng)銀盜號木馬作案方式分為三種：一是通過查找網(wǎng)銀的支付窗口，然后記錄鍵盤操作來盜取賬號和密碼。二是通過網(wǎng)銀的安全控件來盜取用戶網(wǎng)銀帳號和密碼。三是劫持本地網(wǎng)銀頁面到偽造網(wǎng)銀的支付頁面，然后盜取用戶帳號和密碼。

　　網(wǎng)銀釣魚主要是申請一個與真實網(wǎng)銀網(wǎng)站相似的域名，www.1cbc.com.cn(注意這里是1不是i)此域名將鏈接到黑客偽造的網(wǎng)銀頁面，不明真相的用戶訪問該偽裝網(wǎng)站很容易就泄露了自己網(wǎng)銀的賬號密碼。

　　(二)病毒破壞

　　編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(zhì)里，當(dāng)達(dá)到某種條件時即被激活，通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中，從而感染其他程序，對計算機資源進(jìn)行破壞。銀行計算機數(shù)據(jù)庫中存儲著大量的金融數(shù)據(jù)，如果病毒入侵銀行計算機系統(tǒng)，可能導(dǎo)致銀行數(shù)據(jù)庫的破壞甚至更嚴(yán)重的威脅到整個計算機網(wǎng)絡(luò)，導(dǎo)致系統(tǒng)癱瘓。

　　目前主要有三類病毒威脅網(wǎng)銀安全：

　　1.木馬下載器――讓系統(tǒng)安全功能全失

　　通過破壞用戶電腦的安全防護(hù)系統(tǒng)，并在用戶電腦毫無抵抗力的情況下，大量下載盜號木馬的病毒?；蛘咧苯硬僮鞔疟P以繞過系統(tǒng)文件完整性的檢驗，通過感染系統(tǒng)文件(比如explorer.exe，userinit.exe，winhlp32.exe等)達(dá)到隱蔽啟動。

　　2.遠(yuǎn)程控制木馬――讓你的電腦屏幕“現(xiàn)場直播”賬號密碼全過程

　　這類病毒可以遠(yuǎn)程控制使用者的機器，攻擊者可以對被感染病毒的機器進(jìn)行多種任務(wù)操作，如屏幕監(jiān)控，鍵盤監(jiān)控，強行視頻等等。

　　3.網(wǎng)銀專業(yè)盜號家族――專業(yè)就是生產(chǎn)力

　　這類病毒通過監(jiān)控用戶操作界面，一旦發(fā)現(xiàn)用戶使用瀏覽器登陸銀行系統(tǒng)，病毒就會監(jiān)視用戶的鍵盤輸入與鼠標(biāo)動作，伺機盜取網(wǎng)銀帳號數(shù)據(jù)并將它們發(fā)到病毒操作者指定的郵箱。

　　(三)信息有效性

　　信息安全是保證網(wǎng)絡(luò)銀行安全的關(guān)鍵，在傳輸過程中必須確保信息的機密性，完整性、交易的不可抵賴性以及用戶身份的可確認(rèn)性。

　　1.信息的保密性。銀行系統(tǒng)中的數(shù)據(jù)都是非常重要的金融數(shù)據(jù)或商業(yè)數(shù)據(jù)，要預(yù)防被非法竊取和被非法信號存取。

　　2.數(shù)據(jù)完整有效性。數(shù)據(jù)在金融網(wǎng)絡(luò)系統(tǒng)傳輸時，要防止數(shù)據(jù)傳送過程中丟失、重復(fù)、修改和刪除，確保數(shù)據(jù)的完整有效性，才能確保信息在規(guī)定時間和地點送至合法接收方。

　　3.交易不可抵賴性。網(wǎng)絡(luò)銀行的無紙性交易特點要求，發(fā)送方和接收方均不能抵賴信息，從而確保交易過程的有效。

　　4.用戶身份的可確認(rèn)性。識別用戶身份的真實性是對網(wǎng)絡(luò)銀行客戶信息的鑒定，使交易雙方在不見面的情況下能夠確認(rèn)對方的身份，從而保證安全性。

　　(四)內(nèi)部管理不嚴(yán)

　　我國銀行業(yè)內(nèi)部控制存在嚴(yán)重的缺陷。主要表現(xiàn)為以下幾方面：

　　1.組織結(jié)構(gòu)不合理，沒有形成橫縱交錯的監(jiān)督制約機制。例如決策、執(zhí)行層設(shè)置分工不合理;各業(yè)務(wù)部門管理職責(zé)執(zhí)行不到位;部門間、部門內(nèi)崗位職責(zé)不清;缺少專門的操作風(fēng)險管理部門等。

　　2.控制不足與控制分散并存。首先，我國銀行業(yè)內(nèi)控制度建設(shè)相對滯后，一些新的業(yè)務(wù)還沒有制定完善的操作規(guī)程和相應(yīng)的管理制度，導(dǎo)致出現(xiàn)風(fēng)險控制失真。其次，內(nèi)控制度不健全?，F(xiàn)行的某些制度辦法、操作規(guī)程在風(fēng)險防范方面存在局限性。再次，內(nèi)控制度不夠合理。如績效考核制度設(shè)置的指標(biāo)體系，存在單純追求業(yè)務(wù)指標(biāo)，忽視對操作流程的合規(guī)性、經(jīng)營的合規(guī)性等方面的考核，容易形成追求利潤最大化而忽略風(fēng)險的情況。

　　3.重要業(yè)務(wù)和環(huán)節(jié)內(nèi)控措施落實不到位

　　比如在會計柜臺業(yè)務(wù)管理方面、授信業(yè)務(wù)審查、審批方面等都存在管理部規(guī)范、重視程度不夠的問題。

　　4.缺乏有效的風(fēng)險識別與評估機制。首先，對風(fēng)險不能有效識別，主要表現(xiàn)為缺乏強而有力的風(fēng)險管理隊伍和缺乏必要的風(fēng)險評估手段。其次，對已識別風(fēng)險不能準(zhǔn)確評估和有效控制。主要表現(xiàn)為監(jiān)控手段、措施不適當(dāng)，不能發(fā)揮作用。

　　5.忽視了人的風(fēng)險。首先對“權(quán)力者”的管理。由于基層分支機構(gòu)是“一把手”負(fù)責(zé)制，權(quán)利過于集中，很少受到約束，而上級主管部門一般只對高管人員做離任審計，很少做在職期間行為稽核。其次，部分崗位人員不具備與風(fēng)險防范和內(nèi)部控制相適應(yīng)的能力，多數(shù)基層只重視業(yè)務(wù)人員上崗操作技能、政治素質(zhì)和職業(yè)操守教育與培訓(xùn)跟不上，導(dǎo)致基層窗口人員法規(guī)制度觀念淡薄。

　　(五)銀行網(wǎng)絡(luò)系統(tǒng)自身的安全威脅

　　銀行網(wǎng)絡(luò)內(nèi)一般存在多種操作系統(tǒng)，運行多種網(wǎng)絡(luò)協(xié)議，這些操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議又并非專為安全通訊而設(shè)計。如，計算機軟硬件的運行風(fēng)險。網(wǎng)絡(luò)銀行所依賴的計算機硬件系統(tǒng)停機、磁盤列陣破壞等不確定性因素都會形成網(wǎng)絡(luò)銀行的系統(tǒng)風(fēng)險。同時，計算機系統(tǒng)軟件或應(yīng)用軟件的不完善，也帶來了系統(tǒng)的運行風(fēng)險。

　　三、網(wǎng)上銀行應(yīng)用安全策略建議

　　(一)利用防火墻有效防止黑客的攻擊

　　防火墻技術(shù)的應(yīng)用是檢查和控制進(jìn)出網(wǎng)絡(luò)銀行的數(shù)據(jù)，將外部網(wǎng)絡(luò)中對內(nèi)部網(wǎng)絡(luò)造成安全威脅的數(shù)據(jù)隔離在外，從而使得網(wǎng)絡(luò)和資源的安全不會受到非法入侵。防火墻技術(shù)專門建立在網(wǎng)絡(luò)銀行與其它外部網(wǎng)絡(luò)的接口處，包括外部防火墻和內(nèi)部防火墻兩種，涉及到代理技術(shù)、電路級網(wǎng)關(guān)技術(shù)、狀態(tài)檢查技術(shù)、地址翻譯技術(shù)、包過濾技術(shù)、安全審計技術(shù)、虛擬網(wǎng)技術(shù)、完全內(nèi)核技術(shù)以及負(fù)載平衡技術(shù)等關(guān)鍵技術(shù)。

　　(二)及時查殺病毒，避免病毒攻擊

　　計算機病毒是破壞網(wǎng)絡(luò)銀行運行系統(tǒng)的重要因素，以病毒的殺傷力來體現(xiàn)其破壞行為，影響主要取決于病毒制造者的目的和技術(shù)能力。隨著計算機技術(shù)的發(fā)展，計算機病毒也逐漸趨于多樣化，其特性復(fù)雜、數(shù)量巨大、傳播迅速廣泛，給網(wǎng)絡(luò)銀行的發(fā)展帶來了極大的破壞。防病毒技術(shù)的應(yīng)用主要是對病毒進(jìn)行檢測和處理，要求網(wǎng)絡(luò)銀行必須安裝防病毒軟件，及時做好軟件版本和病毒庫的更新與升級，充分利用病毒檢測技術(shù)及時清查與處理各種病毒程序。啟發(fā)式掃描法、虛擬機技術(shù)法、特征代碼掃描法、行為監(jiān)測法、感染實驗法和軟件模擬法是目前較為常用的病毒檢測方法。

　　(三)通過網(wǎng)絡(luò)安全機制防范信息有效性的破壞

　　1.密碼技術(shù)。密碼技術(shù)是通過加密和隱藏的方式實現(xiàn)信息保護(hù)，目前主要包括對稱密鑰加密技術(shù)和非對稱密鑰加密技術(shù)兩大類。對稱密鑰加密技術(shù)可以應(yīng)用于大量數(shù)據(jù)的加密，大于128位的密鑰破譯難度大，其系統(tǒng)的運行速度很快，是一種行之有效的密碼技術(shù)。而非對稱密鑰加密技術(shù)的加密和解密密鑰是分開的，不容易破譯，應(yīng)用十分廣泛。

　　2.數(shù)字摘要技術(shù)。通過哈希函數(shù)對信息進(jìn)行加密，在加密過程不可逆的同時，通過哈希函數(shù)獨有的特點，相同明文產(chǎn)生的數(shù)字摘要必然相同，不同明文產(chǎn)生的數(shù)字摘要必然不同來比較信息是否具有其完整性。

　　3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是加密技術(shù)的延伸，要求對數(shù)字信息進(jìn)行簽名，需要保證接收者能解密發(fā)送者對報文的簽名，不能對其進(jìn)行偽造。同時，要求發(fā)送者在事后不能抵賴對報文的簽名。

　　4.數(shù)字認(rèn)證技術(shù)。數(shù)字認(rèn)證技術(shù)是通過認(rèn)證中心對數(shù)字證書進(jìn)行有效識別管理，以第三方認(rèn)證機構(gòu)的形式來確認(rèn)網(wǎng)絡(luò)銀行交易各方的真實身份，具有權(quán)威性和公正性。數(shù)字認(rèn)證證書主要包括發(fā)行機關(guān)名稱，證書持有人名稱和公開密鑰，證書使用的簽名算法以及發(fā)行機關(guān)對證書的簽名等內(nèi)容，對于保證網(wǎng)絡(luò)銀行信息的權(quán)威性有著重要意義。

　　(四)網(wǎng)銀安全風(fēng)險防范從金融監(jiān)管、網(wǎng)銀用戶角度提高警惕

　　1.網(wǎng)絡(luò)銀行同樣需要政府監(jiān)管，以保護(hù)公眾利益，降低銀行業(yè)的經(jīng)營風(fēng)險。網(wǎng)絡(luò)銀行作為新興業(yè)務(wù)渠道，自身特點決定一旦發(fā)生風(fēng)險，對銀行本身，甚至整個金融行業(yè)的影響巨大。要防范業(yè)務(wù)風(fēng)險和系統(tǒng)風(fēng)險，就要加強法律對網(wǎng)絡(luò)銀行市場準(zhǔn)入的監(jiān)管。必須有嚴(yán)密的安全對策、制度規(guī)范和操作程序，建立以安全為中心的制度保障體系。

　　2.網(wǎng)絡(luò)銀行用戶作為網(wǎng)絡(luò)銀行終端的管理者與使用者，在網(wǎng)絡(luò)銀行的安全機制中有著不可替代的作用，是網(wǎng)絡(luò)銀行安全的 最終環(huán)節(jié)。因此，網(wǎng)銀用戶需要有效防范木馬與病毒對終端系統(tǒng)的攻擊，安裝網(wǎng)絡(luò)銀行終端系統(tǒng)的個人電腦上安裝防病毒軟件，并經(jīng)常更新軟件版本與病毒庫、安裝軟件防火墻、安裝木馬清除軟件，定期更新木馬庫，掃描與清除木馬。第二，使用IC卡和USB卡物理介質(zhì)的證書認(rèn)證方式。通過證書驗證客戶身份，確保其真實性，防止其他人員非法使用。第三，認(rèn)清網(wǎng)絡(luò)銀行網(wǎng)址，避免進(jìn)入“假網(wǎng)銀”。

　　除了以上方面，個人觀點，網(wǎng)上銀行應(yīng)用的安全性還應(yīng)從多方面入手。例如：

　　從技術(shù)上看，除上述的加密、數(shù)字摘要、數(shù)字簽名、認(rèn)證服務(wù)以外，還應(yīng)研究建立支持多渠道的安全認(rèn)證體系，例如支持指紋認(rèn)證、身份證掃描識別等渠道安全認(rèn)證體系，以避免目前單一密碼認(rèn)證的缺陷。

　　從流程上看，應(yīng)設(shè)計一套與多渠道服務(wù)相匹配的服務(wù)、管理和內(nèi)控流程。通過流程的完善，對網(wǎng)絡(luò)、自助設(shè)備、電話等渠道接入交易的額度進(jìn)行控制，提高渠道接入的每筆交易的審查和稽核能力。在網(wǎng)站管理方面，針對域名，銀行應(yīng)該加強相關(guān)域名和網(wǎng)站的調(diào)查，及早發(fā)現(xiàn)對自身網(wǎng)上銀行構(gòu)成安全威脅的相關(guān)網(wǎng)站。應(yīng)盡可能主動注冊與自家網(wǎng)站相近似的、差別小的域名，從而預(yù)防用戶誤判。并可以通過國家立法或與域名管理機構(gòu)協(xié)商，對于與銀行注冊網(wǎng)站相近的網(wǎng)站嚴(yán)格把關(guān)，一律不予注冊。網(wǎng)站界面上，應(yīng)明確加強防偽的標(biāo)識，便于用戶識別。

　　從人員和組織看，一方面要加強自身員工的安全意識，建立嚴(yán)格的授權(quán)和保密制度。另一方面，要加強對用戶的培訓(xùn)。在開設(shè)網(wǎng)上銀行等服務(wù)形式時，要通過培訓(xùn)手冊等明確對用戶進(jìn)行安全知識的教育;要設(shè)置專門的用戶體驗區(qū)，實際指導(dǎo)用戶完成第一次交易;要明確說明證書的重要作用，鼓勵用戶使用證書等等。

　　銀行在應(yīng)用安全體系建設(shè)中，要自主加強制度建設(shè)、優(yōu)化業(yè)務(wù)流程、強化安全意識、建立縱深安全技術(shù)體系、評估安全風(fēng)險、審計安全隱患，使得各項產(chǎn)品創(chuàng)新能始終經(jīng)受住安全的考驗。

　　四、結(jié)論

　　近年來，隨著IT技術(shù)的發(fā)展，電子商務(wù)的普遍開展，推動了網(wǎng)上銀行的發(fā)展。網(wǎng)上銀行要想深遠(yuǎn)發(fā)展，必須打破其安全這個瓶頸，安全問題是它的核心問題。網(wǎng)絡(luò)銀行的安全主要是圍繞網(wǎng)上銀行技術(shù)，管理和相關(guān)法律，因此防范策略要圍繞它們進(jìn)行。雖然不能消除所有的不安全因素，但我們可以通過努力，從以上幾個方面入手減少這些不安全因素。網(wǎng)上銀行的這些問題將隨著網(wǎng)絡(luò)銀行不斷走向成熟而得到解決，它將隨著互聯(lián)網(wǎng)迅速發(fā)展而向更高的層次發(fā)展。

　　參考文獻(xiàn)：

　　[1] 田世宏. 我國網(wǎng)絡(luò)銀行的監(jiān)管和發(fā)展對策[J]. 中南財經(jīng)政法大學(xué)報，2009，(9).

　　[2] 倪建明，崔宇清. 網(wǎng)上銀行風(fēng)險識別與監(jiān)管框架[J]. 國際金融研究2011， (3).

　　[3] 張凱，荊繼武. CA系統(tǒng)在網(wǎng)絡(luò)銀行中的應(yīng)用[J].中國科學(xué)院學(xué)報， 2010，(7).

　　[4] 游雅娟. 網(wǎng)絡(luò)銀行的信息披露淺析[J]. 科技創(chuàng)新， 2010，(6).

　　>>>下頁帶來更多的網(wǎng)上銀行風(fēng)險的論文下載