□文/ 張藝婷 姬祥飛

（西安石油大學經濟管理學院 陜西·西安）

［提要］ 隨著技術發(fā)展和社會需求變化，銀行業(yè)逐漸互聯(lián)網化。鑒于國外銀行推出的網上銀行業(yè)務，我國在21 世紀初開創(chuàng)網上銀行模式。但就目前來看，其安全性問題依然存在，并一直為社會各界所重視。本文就中國具有代表性的6 家商業(yè)銀行為研究對象，探究中國商業(yè)銀行網上銀行所存在的安全問題，并以此為基礎提出對策建議，以促進中國商業(yè)銀行網上銀行的持續(xù)發(fā)展。

一、引言

隨著計算機技術和互聯(lián)網技術不斷發(fā)展，互聯(lián)網普及到人民的生活中，銀行業(yè)在發(fā)現(xiàn)機遇的同時也看到了行業(yè)的競爭，為增加自身的競爭優(yōu)勢、謀求生存和可持續(xù)發(fā)展，各大銀行涉足網上銀行業(yè)務。網上銀行以其效率高、成本低、靈活性大等特點在國內外迅速發(fā)展。

網絡技術的廣泛應用，不可避免地為使用者帶來網絡安全問題。全球首家網絡銀行——安全第一網絡銀行（SFNB）在1995 年成立，SFNB 是一種完全依賴互聯(lián)網辦理各種業(yè)務的銀行，因此也稱為純網上銀行。該銀行自成立其安全性就成為客戶擔憂的最主要因素，對此，SFNB 便采用了安全措施，首先就是承諾賠償，來保證存款人的資金安全；其次是保障網絡交易的安全，SFNB 建立了一個三層次網絡安全系統(tǒng)，包括公共網絡信息的加密傳輸、防火墻和可靠的操作系統(tǒng)。SFNB的網銀還采用了Web 服務器和ISS 網絡動態(tài)監(jiān)控等措施。在歐洲，網上銀行發(fā)展較美國晚，但網上銀行發(fā)展是非常迅速的，同時也避免不了安全性問題。以在歐洲開辦較為成功的瑞典銀行來說，為保障網站安全運行設計出遠程自動追蹤系統(tǒng)來進行監(jiān)控。我國銀行業(yè)借鑒國外經驗，緊跟時代科技潮流，1999 年在招行成立中國第一家網上銀行，隨后各大商業(yè)銀行也陸續(xù)建立了自己的網上銀行。在創(chuàng)建初期，中國商業(yè)銀行網上銀行的發(fā)展存在許多局限，其中最突出的就是安全問題。在最初各家商業(yè)銀行網上銀行系統(tǒng)數(shù)據(jù)網絡傳輸方面采用的是國際上通行的SSL（安全套接字協(xié)議）協(xié)議進行鏈路層的加密傳輸，同時各商業(yè)銀行都直接或間接通過自己建立的CA（證書簽發(fā)機構）完成網上業(yè)務。除了這些共有的問題外，各家網上銀行也存在其他安全問題。

基于上述國內外網上銀行安全問題的不斷涌現(xiàn)和改進，再到新的安全問題的出現(xiàn)，本文選取了國內較為代表的6 家商業(yè)銀行為樣本，探究商業(yè)銀行網上銀行安全方面發(fā)展模式的變化，對比這6 家商業(yè)銀行網上銀行現(xiàn)存的安全問題，為中國商業(yè)銀行網上銀行的發(fā)展提出可行性建議，推動中國銀行業(yè)的創(chuàng)新發(fā)展。

二、樣本選取

商業(yè)銀行，英文縮寫為CB，是銀行的一種類型，職責是通過存款、貸款、匯兌、儲蓄等業(yè)務，承擔信用中介的金融機構。主要的業(yè)務范圍是吸收公眾存款、發(fā)放貸款以及辦理票據(jù)貼現(xiàn)等。一般的商業(yè)銀行沒有貨幣的發(fā)行權，傳統(tǒng)商業(yè)銀行的業(yè)務主要集中在經營存款和貸款業(yè)務。我國商業(yè)銀行主要有6 家大型國有商業(yè)銀行（中國工商銀行、中國農業(yè)銀行、中國銀行、中國建設銀行、交通銀行、中國郵政儲蓄銀行）和12 家全國性股份制商業(yè)銀行（浦發(fā)銀行、招商銀行、中信銀行、光大銀行、華夏銀行、民生銀行、興業(yè)銀行、廣發(fā)銀行、平安銀行、渤海銀行、恒豐銀行、浙商銀行）。

根據(jù)2020 年7 月27 日《財富》發(fā)布的中國500 強商業(yè)銀行排行榜，本文選擇其中最具代表性的國有商業(yè)銀行3 家、全國性股份制商業(yè)銀行3 家，分別為中國工商銀行（國有排名1）、中國建設銀行（國有排名2）、中國農業(yè)銀行（國有排名3）和招商銀行（民營排名1）、浦發(fā)銀行（民營排名2）、興業(yè)銀行（民營排名3）進行深入探討與研究。以下簡稱“工行、建行、農行、招行、浦發(fā)、興業(yè)”。（表 1、表 2）

三、網銀安全發(fā)展對比分析

現(xiàn)如今網上銀行面臨的危險主要有來自網絡系統(tǒng)內部的技術漏洞和來自外部的攻擊。對于安全性的考慮，各大銀行在網絡安全的技術上不斷發(fā)展改進。

（一）中國工商銀行。工行自建立網上銀行以來，采用的是公鑰安全體系，該體系是以1024 位非對稱密鑰算法為基礎。同時，還采用SSL協(xié)議進行鏈路層的加密傳輸和ISS 黑客掃描程序。為了交易安全，工行設計了“U 盾”來保障個人網銀安全，U 盾是工行設計并已經取得專利的專門進行客戶身份認證的客戶證書。針對企業(yè)網上銀行，在網絡框架上設多重防火墻和安全代理服務器，防止非法入侵，還有必須使用客戶證書進行數(shù)字簽名。工行的網上銀行具備較多的安全輔助工具，所以其網上銀行在使用時較為安全。

表1 2020 年《財富》中國500 強商業(yè)銀行排行榜前十名一覽表

（二）中國建設銀行。建行使用的是國際上認可的SSL128 位加密安全技術，用于保障信息的保密和完整，同時完成相互認證。還有采用國內最高級別安全的商用操作系統(tǒng)，保證客戶所訪問的網絡站點安全可靠。最后是擁有24 小時動態(tài)監(jiān)控系統(tǒng)，監(jiān)控黑客攻擊和非法訪問。還有其特色產品網銀盾，能夠儲存電子證書，還具有電子簽名功能。建行的網銀盾經使用發(fā)現(xiàn)其操作相比工行較為便捷。

（三）中國農業(yè)銀行。農行有兩種安全工具，一種是動態(tài)口令卡客戶申請，另一種就是K 寶，是目前農業(yè)銀行安全級別最高的認證工具。動態(tài)口令卡采用動態(tài)密碼技術，該口令卡解決了靜態(tài)密碼被盜竊的問題，能有效地保證身份識別和認證安全，農行的官網有通知提示窗口建議客戶將動態(tài)口令卡和K 寶配合使用，從而最大限度地保障客戶利益。農行相比較工行、建行來說其輔助安全措施介紹較少，也缺乏使用和操作指導。

（四）招商銀行。招行通過網上支付賬戶和一卡通主賬戶分離來將消費者信息直接傳輸?shù)姐y行，可以防止商戶泄露消費者的賬號和密碼，消費者的交易信息因為不在硬盤上存儲，防止了在PC 端盜取信息的機會；同時，信息傳輸采用的也是SSL 協(xié)議防止信息盜取，網絡傳輸采取隨機密碼制，避免密碼被隨意猜測。招商銀行設計有“一網通網盾”提供八重保障，免驅動“優(yōu)Key”采用精尖加密技術，具有獨有的“免驅動”特點，能夠自動識別虛假網站，幫助客戶防范網絡欺詐。

（五）浦發(fā)銀行。浦發(fā)銀行在安全基礎設施上采用了路由器、防火墻、交換機、入侵檢測系統(tǒng)、公鑰技術等，在客戶端采用的也是128 位SSL 數(shù)據(jù)傳輸協(xié)議，客戶身份信息驗證也是采用動態(tài)身份認證，浦發(fā)銀行網上銀行的災難備份不是獨立存在及建設的，是依靠浦發(fā)核心系統(tǒng)一同備份，來提高IT 技術災害抵御能力。浦發(fā)銀行現(xiàn)在仍然是采用UKey 和動態(tài)密碼相配合來確保網上交易安全。

（六）興業(yè)銀行。興業(yè)銀行網上銀行也稱為在線興業(yè)，是中國首批通過認證中心安全評估的網上銀行系統(tǒng)，在技術推新的過程中，興業(yè)銀行也采用了“網盾”預制數(shù)字證書，外形小巧，方便攜帶，不可復制，有效防止木馬病毒；同時還具有密碼鎖定保護、超時自動退出、精靈衛(wèi)士為客戶提供短信和手機二維碼兩種動態(tài)密碼驗證服務、精靈秘書確保資金安全可控等功能。

通過上述六大商業(yè)銀行的對比，各大商業(yè)銀行都擁有動態(tài)口令卡和USB 證書兩個安全措施來相互配合，主要是保障身份識別和避免密碼與信息被盜取，保證資金安全，在系統(tǒng)方面也是利用國際安全技術來維護網絡系統(tǒng)安全。

四、我國網上銀行存在的安全問題

表2 樣本銀行官方網站一覽表

經過對比各大銀行網站發(fā)現(xiàn)，各家銀行可以針對內部系統(tǒng)和身份認證方面，研發(fā)出有助于客戶網上交易的安全工具，但在瀏覽網頁中發(fā)現(xiàn)各大銀行的安全專區(qū)中有許多安全提示，這些是在高新技術的發(fā)展下，銀行所面臨的新型網絡安全風險，銀行業(yè)暫時無法克服，亟待解決的問題。經過調查研究發(fā)現(xiàn)，目前幾大商業(yè)銀行的網上銀行在安全保障上的不足主要有以下幾個方面：

（一）網絡釣魚。釣魚網站是指欺騙用戶的虛假網站。根據(jù)中國反釣魚網站聯(lián)盟公布的數(shù)據(jù)顯示，支付類和金融交易類釣魚網站位居前列。大部分商業(yè)銀行官網的首頁是不斷更新的，但當用戶點擊個人或者企業(yè)等業(yè)務模塊進入二級頁面時，依然會出現(xiàn)界面老舊，缺乏更新的狀況，容易讓不法分子仿制，制作釣魚網站來開展違法活動。此外，部分商業(yè)銀行沒有關注到客戶可能在各大搜索引擎中當輸入自身關鍵字段卻沒有檢索到官網的現(xiàn)象。例如，當搜索到“興業(yè)”兩字時沒有出現(xiàn)由百度認證的興業(yè)銀行官方網站，而當搜索“農行、招行”等關鍵字段皆能出現(xiàn)被認證過的官方網站。

（二）電子身份認證。對6 家網上銀行的研究發(fā)現(xiàn)，這六家商業(yè)銀行都是采用由中國金融認證中心提供的統(tǒng)一認證服務，能夠提供電子身份認證服務的機構具有可依賴、公正性、權威性，統(tǒng)一電子認證對網上銀行交易安全起關鍵性作用。但是，部分商業(yè)銀行采用自建的電子認證系統(tǒng)（CA）來對客戶進行認證，這不僅花費較高，還加重了自身的技術壓力。在這種情況下，對證書頒發(fā)、管理等過程有了更加嚴格的要求。

（三）缺乏風險提示。經使用發(fā)現(xiàn)，部分商業(yè)銀行沒有彈窗提示消息，如警示用戶在操作完成后拔出自己的U 盾等。不能培養(yǎng)用戶的良好使用習慣，提高了安全問題發(fā)生的概率。另外，在實體營業(yè)網點也鮮少能看見網上銀行的操作注意事項或有關功能介紹。就如上文中農行的安全性輔助工具及操作指導較少。

（四）頁面設計感不強。部分商業(yè)銀行的官網沒有將客戶使用可能性最高的功能入口鏈接擺放在較為顯眼的位置，如“卡內余額查詢”、“銀行卡申請”等功能。這對于本身就不經常使用網上銀行的人來說無疑增添了一道工序，增加了時間成本，降低了易用性感知。若此客戶沒有特別偏好，則有一定的概率可能使其轉變?yōu)楦偁帉κ值目蛻簟?/p>

五、網上銀行發(fā)展實現(xiàn)路徑

沒有絕對的安全，時代在發(fā)展，技術在進步，只有安全防范意識的不斷提高與安全保障措施的不斷完善才能更好地為客戶提供服務，維護客戶利益，保持企業(yè)自身形象。

（一）系統(tǒng)及內部管理要到位。首先，作為不法分子制作釣魚網站的重災區(qū)，商業(yè)銀行應定時定點地對自己官方網站進行維護與更新，一級、二級甚至三級頁面都要進行版式的更新，做到與母版一致。其次，應主動出擊，對網站進行巡視與檢查，積極主動地舉報釣魚網站而不是等到用戶投訴再做出反應。最后，切實做好SEO 優(yōu)化，可以招聘專業(yè)的技術人員進行維護，也可以與專業(yè)的機構進行合作來增加官網曝光率和減少客戶的錯誤檢索。

（二）統(tǒng)一電子認證。在電子認證上，依據(jù)《電子認證服務管理辦法》來說，金融機構并不屬于傳統(tǒng)意義上的電子認證服務機構，嚴格意義上來說，在發(fā)生糾紛的情況下，其電子認證的效力相對較弱?？梢酝ㄟ^不斷地更新迭代慢慢地摒棄掉原先自建的電子認證系統(tǒng)，轉為與合法合規(guī)的、行業(yè)內認可的、安全度較高的電子認證服務專業(yè)機構開展合作，如中國金融認證中心（CFCA），以此來增加認證的效力，進而提高不良資產處置效率。

（三）增加風險提示。首先，在用戶完成一些敏感操作（如轉賬匯款、投資理財）后，及時彈窗進行提示，來確保用戶操作的正確性和培養(yǎng)顧客良好的使用習慣。其次，可以制作高級安全插件，在某用戶首次使用網上銀行進行操作的前后，對用戶電腦進行快速檢測以排除隱藏風險和及時地告知。

（四）豐富使用功能。銀行可以借助大數(shù)據(jù)技術來記錄并分析出客戶使用頻次較高的部分功能，將之放置在網站中顯眼的位置來提高事務處理效率、降低客戶的時間成本?；蚴峭瞥鲱愃朴膳d業(yè)銀行所推出的“功能演示”功能，此功能可以讓客戶使用虛擬賬戶進行練習，幫助客戶熟悉各項功能的使用，降低了客戶因使用真實賬戶操作不當而造成不必要損失的可能。相比于圖文的堆砌，這種讓客戶上手實際操作的效果更加有效和更容易讓客戶所接受。（圖1）

圖1 興業(yè)銀行功能演示圖

六、總結

網上銀行是新經濟發(fā)展的產物，在我國，網上銀行的安全性問題依然存在，并且隨著時代的進步，新技術的產生必然伴隨著新的技術漏洞，也會給不法分子帶來可乘之機，所以在網上銀行發(fā)展的不斷探索中，要將安全問題擺在首位，促進安全模式的不斷升級，提高網上銀行全方位的防御體系，從而提升中國銀行業(yè)的優(yōu)勢和競爭力。