网上银行安全性

网上银行安全性（共12篇）

网上银行安全性 篇1

1 交易系统的安全性

交易系统的安全性, 指的是网上银行系统运行维护平台的物理环境的安全性。为防止服务器受到攻击, 通常采用以下几种技术措施:

1.1 高安全级别的服务器

服务器采用可信的安全服务器和专用的操作系统, 消除操作系统带来的安全漏洞。凭借服务器特有的安全架构, 保证只有合法的用户请求才能够通过代理程序传递到应用服务器进行后续的业务处理。

1.2 通过防火墙隔离网络区域

一般采用多重防火墙方案, 通过防火墙将服务器的网络环境隔离成多个不同界别的安全区域, 各个安全区域之间的数据流向由防火墙进行严格的策略限制。使得互联网、网银服务器、银行内部网络之间实现逻辑隔离, 防止通过互联网非法入侵。

1.3 实时安全监控

通过网络动态监控设备进行实时的安全监控, 实时对系统进行漏洞扫描和入侵检测, 发现问题急事报警处理。

2 身份识别的安全性

身份识别的安全性, 指的是对网络用户身份鉴别, 确保真是的客户身份。目前, 网上银行的身份认证机制, 主要包括如下几种方式:

2.1 登录密码

登录密码方式的身份认证, 是最简单的一种方式, 也是所有网上银行必备的一种方式。但是由于密码很容易被他人冒用, 所以目前网上银行采用密码方式登录, 只能够执行一些查询、下挂账户间转账等一些基本的, 不会造成客户资金转移的简单业务。

2.2 动态口令卡

动态口令卡是银行实现为用户发放的一张卡片, 包含一个二位的口令矩阵。网银交易是, 系统通过矩阵中的某组密码组合, 来实现用户身份的确认。这种方式安全性有一定的提高, 也相对比较方便, 能够进行一些小额的支付交易。

2.3 手机动态口令

手机动态口令, 指的是在交易过程中, 网银系统向用户的注册手机发送一个动态的随机口令, 用户通过提交收到的随机口令, 实现用户身份的进一步认证。这种方式安全性较高, 也相对比较方便, 可以作为一种安全的网银身份认证手段。但是由于手机短信的通信不稳定性, 可能在有效时间范围内收不到随机口令, 对交易流程造成影响。

2.4 动态口令令牌

动态口令令牌是一种专有的硬件设备, 小巧便携, 通过特有的动态口令算法, 能够与后台的网银系统同步产生相同的口令序列, 通过设备中读取的口令, 实现对用户身份的认证。

2.5 安全UKey

安全UKey也是一种硬件设备, 形如U盘。通过PKI数字证书技术, 实现用户身份的认证。UKey中内置用户的密钥和数字证书, 用户密钥不可复制。安全UKey的认证方式, 是目前最为安全的一种身份认证方式, 而且, 还可以通过UKey中的数字证书实现交易业务签名, 通过电子签名法保证交易信息的有效性。

3 网络通信的安全性

网络通信的安全性指的是用户访问网上银行的过程中, 数据在用户主机和网上银行服务器之间传输过程的安全性。互联网是一个开放的平台, 用户的密码、网银数据等敏感信息, 通过互联网进行传输很容被黑客拦截, 造成秘密信息泄漏。黑客也能通过钓鱼网、路由拦截等方式对用户访问的数据进行绑架, 用虚假的网上银行来蒙蔽用户, 骗取用户的私密信息。为了防止这些情况的发生, 网上银行通常采用加密传输的机制, 保护网络通信的安全。

4 客户的安全意识

密码学研究表明, 最大的安全隐患, 还是来自于人。不论技术手段提供如何完美的安全方案, 但是如果客户本身安全意识不够, 仍能够带来很多的安全问题。网银交易系统和交易过程中, 银行已经充分考虑了交易风险, 避免了很多安全问题的发生, 在发生问题时能够最大程度上减少客户的损失。但是, 在客户使用网银系统, 以及日常工作和管理过程中, 仍然存在很多安全风险问题。这些安全风险包括三个方面:

4.1 网银密码

如果客户没有足够的安全意识, 网银密码很容易被有心人获得或骗取, 对用户的网上银行账户造成不必要的损失。为了用户银行资金的安全, 需要用户妥善保管网银密码。

4.2 网银身份设备

网银身份认证设备, 包括动态口令卡、绑定的手机、动态口令令牌、安全UKey等, 由于通过这些设备认证后能够获得更大的网银业务操作权限, 直接影响用户的资金安全, 所以对这些设备的管理尤为重要。如果这些设备被其他人非法使用, 可能会对用户的资金带来极大的危害。对这些设备的管理, 银行拥有一套完整的注销机制, 在发现设备丢失的情况下, 需要用户及时通知银行进行注销, 并换发新的设备。

4.3 网银数据

网银数据指的是用户通过网上银行, 下载到本地的账务流水等数据。这些数据虽然不会对用户的资金造成直接的影响, 但是也能够造成用户敏感金融数据的泄漏, 会对用户的其他方面带来一定程度的影响。对于企业用户来说, 单位内部计算机的使用和访问没有特定的限制, 通过下载的网银数据, 很容易造成企业金融数据的泄密。除此之外, 本地保存的网银数据还受到来自互联网的木马等网络攻击的安全威胁。

安全性作为网络银行赖以生存和发展的基础因素, 在网上银行建设一开始就得到了极大的重视, 并贯穿整个网上银行业务交易的过程和各个环节中。银行采用多种有效的技术手段和业务手段, 保障网上银行使用的安全。但安全性和便捷性是互相矛盾的, 安全性越好, 意味着操作越复杂。客户在使用这些安全手段的过程中, 往往为了自己更加方便, 而主动放弃了一些安全措施, 这都是非常危险的, 必须在安全性和方便性上进行权衡。到目前为止, 国内网上银行交易额已达数千亿元, 银行方还未出现过安全问题, 只有个别客户由于安全意识不强而造成资金损失。

参考文献

[1]吴建.我国商业银行网上银行操作风险管理研究[J].浙江金融.2011, (10) .

[2]郑云飞, 万鹏.网上银行信息安全的常用解决方案[J].科技广场.2011, (09) .

[3]吴溥峰.网上银行信息安全体系框架的构建[J].西北大学学报 (哲学社会科学版) .2010, (02) .

网上银行安全性 篇2

题目：网上银行的安全性分析毕 业 论 文

——以中国农业银行为例

学 号：_____ __ ___ 姓 名：_____ __ _______ 班 级：____ ____ 专 业：______ ______ 指导老师：_______ _______

摘要

随着科技的发展和进步，网络的普及和网购意识的日益增长，网上银行业务也开始发展起来。

网上银行的兴起伴随着一个弊端，那就是网上银行操作的风险性，为了能更好的避免这些风险，我们对网上银行的操作进行了各种防护手段，更好的让客户知道如何操作是安全的。

网上银行代表着一种全新的业务模式和发展方向，它给银行带来的表面变化是减少了固网点和经营成本，为用户提供24小时全天候的不间断服务。更深刻的变化是在于，银行由经营金融产品的中介机构开始向提供信息和投资理财的服务性机构转换。这是金融业经营理念上的重大变化，更是网络经济时代金融业发展的大趋势。然而，随着网络技术的发展，网上银行业务也带来了各种各样的风险。对网上银行进行安全性的分析，有利于更好的开展网上银行业务。

中国农业银行是成为国内实现全国连通“网上银行”的大众普及型银行。目前，无论是网络银行技术，还是业务量均在国内同业中处于领先地位。被许多著名电子商务网站列为首选的网上支付工具。

【关键字】中国农业银行 系统安全 网上银行 网上支付 系统风险 农行

4.1.2 网上银行个人客户科技知识水平和文化素养层次较高，但企业经营的信息化和电子化应用程度不高；...........................................................................13 4.1.3 外部监管滞后，法规体系不配套；..................................................13 4.1.4 网络基础设施建设有待加强，网络环境需进一步改善。..............14

4.2 中国农业银行发展的应对策略.................................................................................14

4.2.1 在业务体系上，银行必须积极创新，完善服务方式，丰富服务品种，提供“金融超市”式的服务。为客户提供“一站式”的全方位服务。...............14 4.2.2 在经营方式上，中国农业银行应该把传统营销渠道和网络营销渠道结合起来，走“多渠道并存”的道路。.......................................................................14

4.2.3 在经营理念上，中国农业银行必须实现由“产品中心主义”向“客户中心主义”的转变。从客户的需求出发，为客户提供“量身定做”的个性化金融产品和金融服务。...................................................................................................14

4.2.4 在战略导向上，中国农业银行必须调整与其他金融机构的关系，争取成为网络经济的金融门户。...................................................................................14

小结........................................................................................................................................14 致谢........................................................................................................................................14 主要参考文献........................................................................................................................14

-1 网上银行概述

1.1 网上银行产生和发展的原因

1.1.1 信息技术革命是网上银行产生和发展的根本原因

信息技术革命对人类社会的发展产生了及其深远的影响。因特网的出现给人类生活带来了质的飞跃，也给金融业带来了一次前所未有的革命。

构建在因特网上的网上银行给商业银行提供了创造银行知识优势的平台。在这个平台上，商业银行形成了全行业乃至整个金融服务业有别于其他行业或产业的无边界发展空间。它突破了网点约束对银行业务扩张的限制，使金融服务从有形的物理世界延伸到无形的数字世界。

1.1.2 网上银行是电子商务发展的要求

电子商务作为信息流、资金流和物流的统一，它的运行从根本上离不开银行网上支付的支撑。因此，发展电子商务客观上要求银行业必须同步实现电子商务化，以保证资金流正确、安全地在网上流通，进而保证电子商务目的的最终实现。而银行业适应电子商务发展的基本途径就是大力发展网上银行。1.1.3 网上银行是银行业自身发展的要求

激烈的同业竞争是网上银行发展的必然选择。为了在竞争中谋求生存发展，任何一家不甘落后的银行都有足够的内在动力来发展网上银行。利用因特网开展新的银行业务成了各家银行竞争的新领域。1.2 网上银行的发展状况

我国自1997年以来，中国农业银行、中国农业银行、中国银行、建设银行、工商银行陆续推出网上银行，开通了网上支付、网上自助转账和网上缴费等业务，初步实现真正的在线金融服务。中国农业银行网上银行的系统功能和特点

2.1 系统功能

2.1.1 用户管理功能：包括增加用户、日志查询。2.1.2 K宝管理功能：包括安装K宝、删除K宝。

2.1.3 数字证书管理功能：包括证书申请、下载、更新、查询、备份、恢复。

2.1.4 业务功能：账户、帐务查询业务，转账和汇款业务，挂失、修改用户支付密码、修改用户查询密码、自助贷款，网上支付，外汇买卖等功能。

2.2 系统特点 2.2.1 数字证书

定义

数字证书是客户在网上进行交易及商务活动的身份证明，基于证书还可以对数据进行加密和签名。经过数字证书的网银交易数据不可修改，具有唯一性和不可以否认性，从而可以防止他人冒用证书持有者名义进行网上交易，维护用户及银行的合法权益，减少和避免经济及法律纠纷。

功能

1.交易方身份鉴别：鉴别包括源点鉴别和实体鉴别，即要能准确鉴别信息来源，鉴别彼此通信的对等实体的身份。通俗的讲，就是银行网站可以验证证书持有者的身份，而客户也可以通过网站证书验证网站的合法性。

2.保证信息的完整性：确保收到的信息就是对方发送的信息，在交换过程中没有乱序或篡改。

3.信息内容的保密性：对交换的信息实施加密保护，使 券等，使得对个人的理财服务更加完善。2.2.4 可自行设定支付限额

用户可以自主设定甚至取消支付限额，一方面使得用户对安全的控制更加个性化，另一方面方便了用户进行大额网上支付。2.2.5 K宝升级

用户软件由曾经的一代K宝变为了二代K宝。二代K宝基于人机交互理念设计、生产和使用的，相比于目前大量使用的普通K宝性能更强、增加了按键及显示屏等硬件和配置、能够有效抵御黑客攻击行为。它能帮助您更安全高效的使用网上银行。2.2.6 关闭网银时，弹出窗口提示拔掉K宝

中国农业银行为了进一步提高网银的安全等级，更好的保障客户资金安全，对K宝用户在网银使用完毕后的操作进行了优化。主要的改进就像您所看到的，关闭网银时将出现拔除K宝的提示框，您只需拔除K宝关闭网页后就能进行其他操作，这样能够更好地防范来自网络针对于您K宝及网银的攻击，更有效的保障您的资金安全。中国农业银行网上银行的安全机制

3.1 中国农业银行网上银行业务中的相关风险 3.1.1 操作风险

安全性风险：比如不完善的访问控制使得黑客可以通过互联网成功地攻击银行的系统，从而可以访问、获取和使用机密的信息。

系统设计、实施和维护方面的风险：比如设计、实施的联完善，对外部服务提供商的依赖。

客户误操作风险：如果银行没能就安全预防问题向客户进行足够的宣传教育，这种风险就会增加。

银行内部组织与管理风险

网上银行业务改变了银行传统的业务模式，银行必须对内部组织和管理方式进行变革，这给银行造成了很大的操作风险。3.1.2 战略风险

如果银行业务的决策和实施与该银行的总体业务目标不一致，这将给银行造成战略风险。

3.1.3 信誉风险

比如公众对网上银行运行情况产生负面的印象而损坏了银行与客户之间的关系，网上银行系统的安全性出现问题而损害了客户对银行的信心，客户在网上银行服务中碰到了问题而银行没能给出恰当的问题解决程序，IE证书导入导出的加密 证书制作并加密导入

网上银行系统安全体系浅析 篇3

摘要：网上银行系统是银行通过互联网为客户提供各种金融服务和信息增值服务的系统。为了能够安全地开展网上银行业务，必须在以下几个层面上采取不同的安全技术规范来保证系统的安全性，如安全策略、物理安全、系统资源安全、应用系统安全、数据通信安全、运行安全、人员安全、安全评估于检查等。本文仅从系统层面对网上银行系统的安全防范体系做概要阐述。

关键词：网上银行安全计算机系统

0引言

网上银行系统是银行通过互联网为客户提供各种金融服务和信息增值服务的系统。为了能够安全地开展网上银行业务，必须在以下几个层面上采取不同的安全技术规范来保证系统的安全性，如安全策略、物理安全、系统资源安全、应用系统安全、数据通信安全、运行安全、人员安全、安全评估于检查等。

1安全策略

安全策略就是要求银行高级管理层对网上银行业务的技术性风险管理给予高度重视，并针对网上银行业务的特点，制定全面、综合、重点突出的系统即信息安全规章制度和操作程序，在根据重要性、复杂性和敏感性等方面对系统进行分类、分层次的保护，以保证银行能集中精力管理关键部分。

2物理安全

物理安全是指有形的安全措施。主要针对计算机系统、网络设备、通信线路等关键设备及信息的安全防卫措施。例如，计算机房要安装电子门户控制系统，关键场所要安全监视器，关键设备之间要保证相互隔离，进入密钥保管房间要有多人控制等。

3系统资源安全

系统资源安全主要指构成系统的软硬件本身的安全系数。如软硬件的配置是否达到先进水平，是否符合安全标准。

4应用系统安全

应用系统安全主要涉及对客户的身份认证和对交易的确认，这是网上银行业务运作的关键环节。网上银行业务突破了传统银行业务经营的概念，客户不用到银行柜台就可以操作，银行业务人员和客户之间也没有面对面的接触，这就要求银行必须有一套有效的系统确认客户的资格，保证客户和银行双方无法否认已发生的交易。

5数据通信安全

数据通信安全是网上银行业务和技术风险管理的核心部分。银行应适当地设计和配置不同的服务器和防火墙，采用合适的加密技术，在保证网上银行业务平稳运行的基础上，确保数据传输的保密性和完整性。服务器包括网络服务器、应用服务器和数据库服务器。防火墙则包括外部防火墙和内部防火墙。为保证系统不受黑客侵入，银行应在网络服务器和互联网之间设置外部防火墙，在网络服务器和银行内部计算机系统之间设置内部防火墙。嘉勉技术主要包括密码算法和密钥长度两个方面的内容构成，通过采用合适长度的密钥和密码算法，可以有效地防止系统传输的信息和系统存储的信息被破译，从而保证网上银行业务信息的安全。

6运行安全

运行安全主要是指银行计算机系统运行的内部控制制度，包括银行业务运行应急计划和业务连续性计划、管理人员和业务人员授权、保密字管理等方面的内容。

7人员安全

人员安全是指业务人员和技术人员的专业能力和管理能力是否达到风险控制和业务发展的要求，具体包括人员审查、安全意识培养、人员培训等。

8安全评估和检查

安全评估与检查是网上银行业务风险控制的重要组成部分。包括三个方面的内容：一是公认的社会评估机构对计算机系统的安全评估；二是银行管理层对计算机系统的安全测试；三是银行内部审计部门对网上银行业务及系统运作情况的检查。从系统层的角度，整个网上银行系统结构分为三个层次：第一部分是Internet接入区域；第二部分是对外提供服务的Web服务器，同时也放置了CA服务器；第三个部分是内网区域，含应用服务器、数据库服务器等。

对不同的安全级别的区域采用网关类的设备进行隔离，使用既能实现防火墙功能，又能实现IPS和病毒过滤的相关安全防护产品，实现网络层的隔离，应用层的攻击和病毒的隔离，形成真正意义上的立体全面多位一体综合侦测防御体系。

在网银系统互联网接入的入口处，为了保证链路的可用性，一般采取双链路接入方式，通过两家不同的lSP提供互联网接入，在其中一条链路出现故障时仍然可以提供网上银行的交易服务。同时，作为提供认证服务的CA中心，也是通过互联网提供连接的。CA认证中心作为独立的第三方机构，不属于网银系统的网络范畴，但客户对网银的验证和网银对客户的验证都是通过互联网连接CA中心实现的。在网银系统的Intemet接入路由器之后，部署安全网关(或防火墙)、负载均衡设备和WEB服务器。安全网关可根据需要也做双机热备处理。同时部署负载均衡设备，对访问网银系统的流量进行动态分配。负载均衡设备的另一个重要应用是可做SSL解密，因为SSL在解除非对称加密时会占用系统大量资源，因此在网银系统的设计中，SSL的解密一般放在负载均衡设备上处理，负载均衡设备专门对SSL解密过程做了硬件优化，因此在效率上能够得到保障。通过负载均衡设备后用户请求将进入WEB服务器，wEB服务器将部署网银门户网站的静态内容，如网银系统登陆入口、用户手册下载、驱动程序下载、工具软件下载、营销信息等网银相关内容，此外WEB服务器的另一个重要职责是向应用服务器转发通讯请求，对于需要和应用服务器交互的动态信息，如网银登陆、转账、实时查询等交易请求将通过部署在WEB服务器上的插件转发至应用服务器。

通过WEB服务器后，进入网银系统的主要应用部分，这部分将网银系统网站的应用分为应用服务器和数据库的三层结构。应用服务器和数据库服务器均使用双机热备，数据库服务器还备有存储设备，存储网银系统的业务数据。网银系统只作业务数据接受和存储，真正的业务处理要发送到银行核心的业务处理网络或业务处理中心进行具体的业务操作。因此在网银系统的后端连接的是银行的综合业务网络。这一部分设置了防火墙和通信加密系统。防火墙限制了银行内部网络对网银系统的访问，并限制网银系统对银行内部业务系统的访问。网银系统发送给业务系统的数据，均需要经过加密设备的加密才能送出网银系统，进入银行综合业务网络。

整个系统中在不同区域部署的防火墙产品可以启用策略控制，只向外开放允许访问端口。比如说部署于对外Web服务器与In-ternet之间的防火墙产品上只开放由外向内的Http端口，部署于Web服务器与内部网之间的防火墙设置策略只允许Web服务器访问内部网，禁止其它服务和设备通过防火墙：在防火墙上启用网关级别的病毒过滤模块，对HTI-P，FTP，IMAP，POP3，SMTP，IM等协议传输的文件实现病毒过滤，该过滤体系能够有效地对所传输的文件进行检测，当发现病毒时予以阻断。病毒网关的部署，实现了对病毒的分区域管理，当一个地区爆发病毒时，会被有效地隔离在本地，而不至于传染到其他地区去，从而避免所有区域爆发病毒i在防火墙上开启IPS特征值类的阻断。根据所要保护的服务器和其提供的服务，开启相应的入侵检测和防御的功能。比如说针对某个Apache的服务器，我们推荐开启入侵检测的与Web相关Apache攻击特征值：此外防火墙的DoS防御能力能够有效地低挡synflood，udpflood等DoS攻击，能够在高攻击的背景下，保持正常的对网银服务器的访问针对整个网络的访问，启用病毒文件网关过滤体系对蠕虫病毒进行防护：通过入侵检测和防御设备(IDS)实现对利用系统的漏洞进行攻击行为的防御：通过设置审计日志设备来记录所有通过防火墙的数据通讯，用于网银涉及到的诉讼的法律证据。比如说，某人连接网银的服务器做了不符合法律规定的事务，可以通过审计日志设备上所记录下来的原始数据包作为法律证据。另外，审计日志设备可以有效地还原http、ftp、smtp、imap、pop3等协议通讯的内容，了解实际操作的过程，对于跟踪攻击和事后补救具有非常重要的意义。

参考文献：

[1]李仁真，余素梅巴塞尔委员会电子银行业务风险管理原则[J]，国际金融研究，2002，(03)，

网上银行安全性 篇4

近年来, 我国的网民数量增长迅速, 网上银行业务也在快速发展, 但其中的安全问题一直是人们所关注的焦点。据统计, 到2009年, 人们对网银安全的信心指数有所提升, 主要表现在:1.提高了自我防范意识, 增强了对网银的应用能力;2.加强了对各银行的信心, 提高了银行的被信任度;3.有效了解网络银行的安全支付的方法手段;4.在亲友对网银真实性的有利见证下, 提高了网银的口碑。与此同时, 那些认为网银不安全的用户担心的主要原因是因为其对网上银行的深入了解不够, 而且计算机网络会受到黑客攻击以及造成病毒木马的侵害。

二、网上银行中存在的相关安全隐患

1、网银用户的身份认证过程安全存隐患

用户可以通过账号与密码的相互配合使用来进行网银登陆的, 但是用户身份的验证只能通过相关网络系统数字证书以及相应的动态密码来进行, 可以看出, 不管是谁只要拥有了有网络证书密码, 才能使身份验证合法有效, 就是因为这种用户身份认证系统的一些相关缺陷, 让一些不法分子钻了空子, 他们通过一些木马程序、服务器攻击、钓鱼网站等各种欺骗手段来盗取客户的资料、身份认证, 并通过盗用的身份证和密码来使用网银。众所周知, 网上银行使用起来简易便捷, 这就导致如果用户信息出现被盗的现象, 再想挂上取回就已经来不及了。

2、网络银行管理制度体系尚未完全建立

目前我国对网银并没有制定详细的法律法规, 虽然我国落实了《网上银行业务管理暂行办法》, 这些规定对交易操作规程、公平电子交易、银行与客户的关系等作出了相关的规定, 但是在实施的细节上并没有作出明确的说明, 而我国必须对网银有一套完善的管理机制才能保证网银系统的健康有效的发展。

三、网银系统建设的安全加强策略

1、规范用户网银使用流程, 做好网银操作风险防范

在人们的日常生活中大部分用户对网银的安全意识比较淡薄, 造成很多人为的安全隐患, 银行要主动承担起告知用户金融风险的义务, 让用户对网络信息形成良好的安全管理意识和防范意识。例如, 有网银服务的银行可以做好网银安全的日常宣传与培训, 加强网银使用用户的网银操作水平, 提高用户相关的网络法律保护意识, 增进网上银行使用者的网银安全防范能力, 银行要高度重视对用户的心理的研究, 加强用户的操作经验, 帮助用户更好的了解银行的各项服务, 积极发挥网银在现在生活中的作用, 强化对网银用户身份的认证机制是保障网银安全最直接有效的手段, 其中对假卡、假证件的防范最为重要。银行必须加强对柜员责任意识的管理, 提高其识别意识与能力;对柜员的防范技术水平要相应加强, 在银行内配置柜员身份证件的相关鉴证仪器, 同时在注册系统时多加上密码验证功能以及相关账户的电子信息的环节, 在有特殊情况出现的时候, 还要对客户的身份信息进行联网核对, 这样可以有效地组织犯罪分子的盗窃诈骗等犯罪行为的出现。

2、完善网上银行管理体系, 加快网银相应法律准则的出台进程

近年来, 我国网银法律体系不是很完善, 从我国近几年来的立法状态来看, 刑法对计算机相关方面的犯罪行为作出了具体规定, 人行也随之进行了《网上银行业务管理暂行办法》颁布与实施, 但我国的这些法律准则对网银交易的保障都不是很充分。因此, 我国相关部门体系一方面要努力建设完善的网上银行法律规范, 对网银所涉及到的方方面面都做出定出明确的规定;另一方面, 我们要积极利用现有的法律法规对网银的各项行为进行审查, 规范以后的网上银行业务。也要充分贯彻执行网络安全相关的法律法规, 比如《计算机信息网络国际联网管理暂行规定》以及《计算机信息系统安全保护条例》等等, 使各种网银业务的有效使用与实施都能够配套切实可行的法律依据。这也是目前网银发展志在必行的任务之一。此外, 针对我国在具体实施发展网上银行使用的相关进程中, 为了让相应法律法规能够保障网银业务切实有效的开展, 国家要及时进行相关法律准则规定的更新。与此同时, 法律的积极建立仅仅是网银安全保障的一个有机组成部分, 这就使得我们要建立真正有效的执行体系。网银安全法律准则的健全建立是网银业务顺利开展的先决条件, 其能够充分发挥法律法规的保障作用。网络金融业务高度公开渗透性是由网银的特性决定的, 所以, 唯有加强相关复合型技术人员的能力培养才能使相关金融系统积极对市场脉搏的迅速把握做出回应。

综上, 我们通过人才以及国外先进技术的积极引进, 加强对技术人员技术教育的培养, 从而组织出一支熟悉精通电子商务规则并且信息技术水平较高的网银运行的全面人才现代化队伍来有效促进我国网银系统的健康蓬勃的发展。

参考文献

[1]李帅.网上银行业务风险的国际法律规制问题研究[D].郑州大学, 2010

[2]马怀玉, 杨凌云, 李新月.银行业电子商务应用探讨[J].金融理论与实践, 2002;3

[3]郭歆.我国电子口岸建设问题研究——以宁波电子口岸为例[D].同济大学经济与管理学院, 2007

网上银行安全性 篇5

过滤器系统起重要作用

据了解，银行将采取许多步骤来确保互联网金融系统的安全状况，例如：使用阻止非法入侵的最佳过滤器系统及网络安全科技，若要知道网上的安全是如何遭到破坏或入侵，就必须先了解互联网上的通讯是如何完成。

当一间银行和另一间银行互相通讯并且也和顾客进行交流时，有关资料(我们所输八的个人信息等)便已开始输送。为了将日期安全地从一间银行转移至另一间银行，下列方法最适于使用：银行A发出一个密码进入他们本身阻止非法入侵的过滤器系统内。有关过滤器系统将鉴定该项要求并且和银行B的阻止非法入侵的过滤器系统设立一个密码传送档案。所以。这两间银行之间拥有安全的联系，并且不会被未经授权的一方介入。

为了避免顾客资料被窥视，银行A将使用一个防护插座层保安措施，简称SSL。它是由128位元密码键支援的一个强大的译密码和主机鉴定协议，以便为SSL提供最高级数的译密码能力。因此，你的通讯是绝对保证安全的。然而，另一个疑问出来了：到底该由谁来证实所涉及的一方之身份？

密码检验程序严密

数码鉴定是网上银行身份鉴定的重要程序。数码检验程序分成4个关键部份：

1、鉴定(身份证明)：证实该用户就是他/她自己；

2、机密性 (隐私)：能确保除了有关部门外，任何人均不能获得您的资料；

3、不被拒绝(签名)：首先减低寄件人的签名和资料一起被拒的可能性以说明它原来的真面目，而其次是让它在随后被证实；

4、安全性：实行上述的安全服务措施以减低资料作弊事件的发生，

一个具有数码签名的数码检定智慧卡(Smm Card)不只是一个非常安全的身份确认和证实方法，它们还能用来以数码形式签证电子文档，是许多类型的商务交易之重要程序。

数码证书有不同等级

据悉数码证书共分成数个等级，顾客可以按照本身所需的安全程度作出选择。最基本的等级是通过一个具备数码签名特征的数码证书，以允许用户在互联网呈交他们的银行资料前，以数码签名方式核准。

另一个更先进方法是将智慧卡插入电脑解读器中进行鉴定，以证实顾客的身份。这个方法能把侦查到的微少差别部份向银行作出报告。

为了保护顾客的利益，银行的网站会通过安装一个网站主机进行检查或通过DIGICERT主机身份来鉴定他们的身份。网站检查是以另一种数码鉴定形式发给机构的网站主机，充分运用了顾客和网站之间128位元密码SSL协议的安全通讯。

提高网上账户的安全性 篇6

市场研究机构SplashData的数据显示，一个非常常见的密码“123456”多年以来一直高居使用者数量排行榜的顶部。我们不必为了竟然有人使用这样的密码而感到惊讶，事实上许多人使用类似的简单密码，但是这不代表攻击者可以轻松破解他们的账户，只要他们激活一个身份验证的附加功能：双因素身份验证（Two Factor Authentication，简称2FA），在该功能被激活的情况下，当用户试图登录时，服务器就要求提供3项信息：用户名、密码和一次性的双因素身份验证码，这样就可以有效地提高账户的安全性，因为攻击者要完成登录必须同时控制用户的两个设备，例如个人电脑和移动电话。

举手之劳可以更安全

一个2FA方案必须通过智能手机或者一个特殊的安全USB验证盘，并结合通用第二要素（Universal 2nd Factor，简称U2F）协议进行处理，该协议的验证过程已集成了迄今为止仍可以认为无懈可击的加密系统。在结合智能手机进行验证的情况下，一次性的双因素身份验证码将在用户输入正确的用户名和密码之后通过短信发送到指定的手机，每次登录过程中发送。如果结合各应用程序（现在可用于所有大型操作系统）进行验证，那么将由软件实时生成双因素身份验证码。这种方案特别适合外出旅行的用户，因为不需要接收短信，可以避免在国外使用手机可能产生的高昂费用。

在大部分情况下双因素身份验证的步骤都非常简单：如果通过短信接收，那么输入手机收到的双因素身份验证码即可；如果使用应用程序，则可能需要扫描一个二维码码；如果使用USB验证盘，则只需将验证盘插入电脑或者靠近运行相关应用的NFC智能手机即可。

不过，在亚马逊使用双因素身份验证会略有些复杂。目前，在国内的亚马逊网站上没有开通该功能，但是可以通过美国网站“Your Account|Change Account Settings|Advanced Security Settings|Two-Step Verification”开通，问题是亚马逊发送到国内手机号码的短信很多时候收不到，所以只能使用通过应用程序验证的方式，也就是在登录时通过“Google身份验证器或者Microsoft验证器扫描二维码生成双因素身份验证码。

如果可能，那么我们应该尽可能地使用应用程序或USB验证盘来获取双因素身份验证码，因为我们的智能手机有可能会被恶意软件感染而通过截取短信之类的手段获得我们的双因素身份验证码。

双因素保护：这是我们所需要的

短信接收验证码

我们可以通过智能手机接收短信获取一次性的双因素身份验证码，这类似于网上银行的操作验证码。要破解我们的账户，攻击者就要同时入侵我们的电脑并拦截智能手机的短信，这或许不是不可能做到的事情，但是破解账户的难度要高很多。

应用程序生成验证码

我们可以通过应用程序获得一次性的双因素身份验证码，应用程序可以根据不同的情况，通过扫描二维码等方式生成与账户对应的双因素身份验证码。攻击者即使入侵电脑，获得了电脑的控制权，但也很难从智能手机上获得实时生成的验证码。

U2F移动验证码

验证码可以存储在U2F验证盘上，其原理类似于使用芯片的银行卡，在我们登录的过程中，通信过程中U2F验证盘将生成需要的双因素身份验证码。如果我们有一个包含相应登录应用的NFC智能手机，那么只需将它尽可能地靠近U2F验证盘即可。

这些服务支持双因素身份验证

适用于iOS、Android和Windows Phone的双因素身份验证应用程序

iOS版：OTPAuth

如果需要，该软件可以通过TouchID（指纹）维护和访问一次性的双因素身份验证码，此外，该应用程序可以通过在线存储服务备份配置。

Android：Authy

双因素身份验证的设置可以通过自动同步功能轻松地转移到各种设备上，该应用程序还提供了备份功能和PIN码保护功能。

Windows Phone：验证器

微软官方的应用程序，数据将以加密的形式保存在智能手机上。是Windows Phone上唯一的双因素身份验证器，不具有备份功能。

2015年最大的数据泄密

黑客经常通过攻击大公司的数据库来获取用户的密码，因而，当类似的攻击出现时必须及时更改密码。

经常修改电子邮件密码吗？

网上银行安全性 篇7

一、网上银行存在的安全风险

(1)用户安全风险意识薄弱。网上银行使用用户安全意识差是影响网上银行安全交易的一个重要因素。在虚幻的互联网世界中许多用户由于个人安全意识较差致使个人的秘密资料丢失，而这些资料很有可能是被盗窃者利用网上银行的漏洞转移走的[1]。现阶段，大部分用上银行用户安全防范意识弱，这体现在：对银行卡密码设置相对简单，不能对个人的银行账号以及密码等各种私人信息进行保密，没有注意到个人电脑使用时的安全环境，对个人电脑是否中病毒等不关心，更有甚者用户在公共场合登录网上银行进行跨行转账、消费等等，这样做很容易被隐藏在公共电脑上面的病毒、木马等利用键盘记录工具盗取密码。

(2)严重的网络技术风险。互联网是一个资源共享的开放式结构，并且在安全性方面具有先天性缺陷，而其技术风险是网上银行风险的主要内容，通常是指由于网络技术方面的原因，网站不能够提供让用户满意的服务，或网络防火墙设置水平很低，致使网络很容易受到“电脑黑客”的攻击。其次，电脑发生故障、操作人员的失误都会对电脑系统的稳定性、安全性构成重大的威胁。并且随着网络技术的发展，网上银行出现技术性风险的概率越来越大，且高于其他各种风险的发生概率，所以网上银行的首要关注风险对象就是技术性风险[2]。黑客一般都对瞄准银行用户端的系统，利用漏洞扫描、恶意代码、数据包嗅探等手段入侵客户端PC，进而切勿用户的密码，或者修改用户和银行之间的通信数据，实施黑客攻击。

二、加强安全防范措施

(1)提高网上银行用户的风险防范意识。鉴于我国的网上银行业务还处于初步发展阶段，许多用户对网上银行市场的认知度和电子支付的相关知识认知程度有限，银行应该对用户大力宣传网上银行安全方面的知识，提高用户的风险意识。首先，要求用户安装防火墙以及其它防病毒的软件，并且经常进行升级;定时对网络操作系统进行修补，及时更新有关电脑软件，有效预防软件漏洞的出现。提醒用户不要下载不明确的程序，不要随意打开来路不明的邮件，尤其是邮件的附件，以防止让木马等电脑病毒直接入侵[3]。其次，让用户明白不要爱公共场所使用网上银行的重要性，因为动态口令在公共场合很容易被他人拍照。当用户进行在线交易操作时，一定要反复确认，在按“确定”键之前，一定要反复确认自己的交易数目，并且要警惕电脑浏览器地址栏和弹出窗口内的各项细节信息，一旦发现异常情况，立即停止交易。

(2)采用先进的网络技术。充分利用防火墙与其它先进的入侵检测技术，以有效阻挡网络外部的不安全因素，防止外部网络用户在未经授权的条件下，进行非法访问。网上银行的防火墙是指在网上银行与其它外部网络接口位置成立的安全系统，主要由软件和硬件组成，可以对进出网上银行的数据进行适时检查控制，把网络外部的威胁隔离在外，进而保护网络系统不会免受不法分子的入侵[4]。其次，采用入侵检测技术，一方面通过及时的监控、报警以及主动对网路漏洞进行检测，拦截黑客入侵的必经之路;另一方面要设置伪装的安全陷阱，搜捕到黑客对电脑系统进行攻击的有力证据。最后，将防火墙技术和入侵检测技术结合，进行优点互补，加强网上银行用户端口的安全防范。

三、结束语

总而言之，网上银行发展到现在已经成为现代银行必不可少的组成部分，它的在银行办理业务方面的广泛应用，不仅大大降低了银行的运行成本，还拓展了银行的业务范畴。但是网上交易安全问题仍旧是银行不可小觑的一个重要问题，网上银行只有利用更加先进的网络技术，有效解决各种复杂的安全问题，给用户提供安全、便捷的高效服务，网上银行也会迎来发展的“春天”。

参考文献

[1]何朝阳.网络银行发展问题及对策探析[J].现代经济信息.2008⁽04⁾

[2]褚俐.浅谈个人网上银行安全防范措施[J].青岛酒店管理职业技术学院学报.2009(02)

[3]孙炜.论我国网上银行存在的问题及对策[J].商情(科学教育家).2007(10)

网上银行安全性 篇8

一、人

“人”是进行网上银行业务的主体, 起着决定性的作用。由于任何人只要拥有一台电脑或数据终端, 都是银行的潜在用户。而这些人的安全意识却是高低不一。安全和方便是一对矛盾体, 有很多人为了方便而忽略了安全。因此, 在成为网上银行用户前, 银行有必要对他们进行安全教育, 以增强其安全意识;用户也应主动学习有关网上银行的安全知识, 在上网时, 尽量不要浏览一些来历不明的网站, 不要轻易下载、安装、运行来历不明的软件, 尽量避免在不属于自己的电脑上使用网银功能, 减少中木马的可能性。从而防范未来可能产生的风险, 以减少自己不必要的损失。

由于用户把自己在网上银行的损失大多归咎于银行方面, 由此可见, 这种安全教育的重要性。防范于未然。由于用户的分散, 银行方面所要主动提供的安全教育也就只能通过网络进行。现在, 用户在注册成为网上银行用户的时候, 通常网站有一个《××银行网上银行个人客户服务协议》, 有不少用户在注册时为了省时, 却并没有认真了解这个协议, 就点了下面的“同意”直接进入下一项。其实, 如果网上银行方面充分利用这一段协议, 作为安全教育的课堂, 将会收到良好的效果。可以让用户点击“同意”后将有关安全方面的知识化作试题, 让用户通过这里的在线测试才能进入后续的注册。

而对于已经注册的用户, 银行可以通过举行安全知识问答, 或者在用户登录时, 要求用户回答一些安全问题, 或者弹出一些安全提示让用户了解……长此以往, 就会增强用户的安全意识, 让用户主动防范可能发生的风险。

二、机

在银行方面, 机主要是指网上银行为实现交易提供的交易服务器。为防止交易服务器受到攻击, 银行主要采取以下三方面的技术措施:

1. 设立防火墙, 隔离相关网络。

一般采用多重防火墙方案。其作用为:分隔互联网与交易服务器, 防止互联网用户的非法入侵;用于交易服务器与银行内部网的分隔, 有效保护银行内部网, 同时防止内部网对交易服务器的入侵。

2. 高安全级的Web应用服务器。

服务器使用可信的专用操作系统, 凭借其独特的体系结构和安全检查, 保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

3.24小时实时安全监控。例如, 采用ISS网络动态监控产品, 进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时, 使用ISS安全产品的网站均幸免于难。

从商业银行角度, 各家银行不惜投入巨资纷纷引进先进的计算机软硬件, 学习发达国家的经验, 引进先进技术和系统, 选择软件开发商也都是国内外最好的, 力图确保系统的稳定性和先进性, 最大限度地确保网上银行软硬件系统的安全。

三、料

工业企业中的“料”是指加工出成品的原材料, 在这里可以理解为完成网上银行业务的身份认证。网银在现实中所做的安全措施是非常强大的:网上银行系统中网上银行分为普通版和专业版, 一般来说普通版是单一身份认证, 所以只提供简单的账户查询功能。只有采取了双重认证, 客户才能通过网上银行进行各种转账、支付等操作。这样就大大加强了网上银行的安全性。用户的身份认证依靠基于“RSA公匙密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验, 全部通过后才能确认该用户的身份。用户的唯一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输, 确保了身份认证的安全可靠性。数字证书的引入, 同时实现了用户对银行交易网站的身份认证, 以保证访问的是真实的银行网站, 另外还确保了客户提交的交易指令的不可否认性。

现今各网上银行推出了CA数字证书、U盾、USB-KEY、动态密码、口令卡、安全登录控件等办理网上银行业务的安全帮手。USB-KEY是目前国内商业银行采用最为普遍的双重认证方式之一, 是可以随身携带的网上银行物理“身份证”和“安全钥匙”。客户申请USB-KEY后, 所有涉及资金对外转移的网银操作, 都必须使用USB-KEY才能完成。客户只要保证USB-KEY、USB-KEY密码、账号、登录密码和支付密码不被同一个人窃取, 任何病毒、木马、黑客、假网站的网络诈骗方式都无法窃取客户资金。

如果用户能好好利用这些“料”, 相信所完成的产品———网上交易也是合格的、安全的。

四、法

也就是使用安全问题 (包括银行系统的生产运行安全和客户使用安全两个方面) 是否有相关法律法规和具体的规章制度。银行的机房 (包括网上银行的系统运行) 往往被视为银行的重要核心地方, 安全措施和规章制度都非常健全, 并严格地落到实处。风险控制和管理部门的常规监督检查也是作为网络运行安全的一个重要环节;如网上银行是否有健全的各项规章制度?是否得到了有效执行等。客户使用方面, 出于安全考虑, 用户要尽量避免使用网吧等公用电脑进行网上银行业务。在使用网上银行时, 最好不要直接用键盘输入密码, 而用“密码软键盘”输入密码, 因为假如所使用的这台电脑被植入木马程序, 木马程序一旦发现用户登录银行界面, 就记录下其在此期间的所有键盘和鼠标动作, 以此窃取客户的信息。相比之下, “密码软键盘”的安全性更高。

五、环境

环境也就是指客户使用网上银行的安全运行环境。一般来说, 人们担心的网上银行安全问题主要是: (1) 银行交易系统被非法入侵; (2) 信息通过网络传输时被窃取或篡改; (3) 交易双方的身份识别;账户被他人盗用。银行视信誉如生命, 所以它会不断采用当今最先进的安全技术来保障系统的安全。在网络上采用128位SSL安全加密技术加密传输, 能够有效防止黑客在网络上截取密码信息。那么, 安全的漏洞一般只会在用户这一边打开。

黑客手上的客户资料应该是客户的计算机感染间谍软件而导致密码遭窃, 有很多人则是在网上下载可免费取得音乐的软件时, 在不知情的情况下被强制下载了间谍软件。

银行应提醒用户在使用网上银行时, 电脑应该无毒、无木马程序, 以防止自己的密码被盗, 目前已有商业银行在用户登录界面提出安全提示。如果银行能够与杀毒软件公司合作, 提供在线杀毒, 那么用户在登录网银时, 银行方面会跳出提醒框, 用户只要轻松一“点”就可以使用最新病毒库的软件杀毒、清除木马, 这样用户的使用环境就会更清洁, 网上银行交易就更安全。

关于“网络钓鱼”, 即以假网站或是购物网站为名, 以紧急升级、低价优惠等为幌子, 来诈骗客户的账号、密码、支付密码, 或者要求客户到一个指定的网站去购物。这样的钓鱼平台, 不能认定只是银行的网络安全有问题, 例如有人使用www.lcbc.com.cn, 而它与工行www.icbc.com.cn十分接近, 这就需要域名注册机构的监管, 这些监管部门也应该负有一定的社会责任。同时, 银行方面也要注意在申请自己的域名时, 应该像企业注册商标那样, 把接近或类似自己的域名同时进行保护性注册, 以最大限度地保护自己的客户利益 (娃哈哈集团在注册娃哈哈时, 同时保护性注册了哈哈娃、娃娃哈、哈哈哈等商标) 。而作为客户在进行网上银行、网上购物或其他需要输入密码的操作时也要特别仔细核对网址, 多留个心眼, 以免上当。

全面质量管理工作的一个重要特征是, 从根源处控制质量。综上, 银行在加大自身安全方面投入的同时, 不断对用户进行安全教育, 提高用户的安全意识, 为用户提供杀毒的方便, 并且, 用户在交易之前先进行杀毒处理, 再使用数字证书、动态密码、USB-KEY等安全措施开展网上银行业务, 将是十分安全的。这种使客户足不出户就能完成“安全、方便、快捷”的网上查询、转账、支付等业务的网上银行, 既提高了银行与用户双方的办事效率, 又在一定程度上为客户节省了大量的人工、车辆等费用及支票等工本费用。相信网上银行会立即融入到电子商务的潮流中, 得到更多人的青睐。

摘要：目前, 网上银行的安全问题已成为网上银行发展的“瓶颈”和推动电子商务的最大障碍, 如何建立一个高效、安全、风险责任明确的网上银行体系成为一个现实而又迫切的问题。应用全面质量管理中针对人、机、料、法、环分析的方式来对网上银行安全问题进行剖析, 通过检查与网上银行安全有关的因素, 提出可能的解决方法。银行在加大自身安全方面投入的同时, 不断对用户进行安全教育, 为用户提供杀毒的方便, 让用户在交易之前先进行杀毒处理, 再使用数字证书、动态密码、USB-KEY等安全措施开展网上银行业务, 将是十分安全的。

网上银行安全性 篇9

一、服务营销与服务定价的基本理论

服务营销中产品的概念包括产品本身的价值和附着于它的所有服务价值,产品和服务是描述一个产品的不同方面、两个范畴,包含了产品和服务的要素比例。事实上服务与产品之间的区别并不总是那么地清晰,许多服务都至少含有一些产品元素,而绝大多数产品都至少提供递送服务,对于那些兼营产品和服务的企业来说,产品和服务之间的界限就更加模糊了,越来越多的产品制造商正在向着服务提供商的方向转变[4]。尽管存在种种困惑,产品和服务之间还是存在一些明确的区别,一般来说产品被定义为物品、设备和实物,而服务则被定义为行动、过程和表现,产品与服务的本质区别就是服务的无形性、异质性,与产品相比,服务更加难以做出评估,价格与质量的关系也非常复杂[2]。

(一)服务定价的基本理论

按照传统的价格理论,企业定价的主要方法有成本导向定价法,需求导向定价法和竞争导向定价法。成本是服务产品价值的基础部分,它决定着产品的最低界限,如果价格低于成本,企业便无利可图;市场需求影响顾客对产品价值的认识,进而决定着产品价格的上限,而市场竞争状态则调节着价格在上线和下限之间不断波动并最终确定产品的市场价格。在研究服务定价时,除了要评估服务产品的成本、市场供求和竞争状况,还必须同服务的基本特征联系起来,同时考虑顾客感知价值、利润、产品、法律等各方面因素。

顾客感知到的服务价值代表着顾客享受服务产品所带来的利益部分,而为使用服务所支付的价格就是顾客感知的成本部分,当顾客在获取的服务与支付的价格间权衡时,服务所提供的价值会随着支付的价格而减少。从企业的角度出发,价格是影响价值的直接因素,对于开发和提供一项服务,服务供应商发生的成本需要由顾客支付的价格来补偿。由于服务供应商不能仅基于成本来定价,过高的价格会降低顾客感知到的价值,顾客就会决定不再使用该供应商的服务,因此顾客的支付意愿通常是服务提供商进行服务定价的更重要的决定因素。因此,在许多情况下,顾客的支付意愿并不是完全相同的,总有一些顾客愿意支付较高的价格获得高质量的服务,而另外一些顾客则只愿意支付较低的价格,这就使得服务定价变得相当复杂。

(二)常用的服务定价策略

为服务定价是一项很困难的工作,服务消费者往往很难明确预定价格,更多的只是将价格作为衡量服务质量的指标。在某种意义上,消费者正在购买一种经历,他们经常对于将要为其支付价格的东西感到困惑。由于服务提供商出售的是一种无形产品,无法像实体货物那样仅仅依靠成本定价,许多服务供应商通常为之感到困惑与迷惘,进而忽略了自身的成本结构与竞争优势。与此相反,成功的服务供应商应遵循的服务定价原则包括价格应该很容易让顾客理解,价格应代表给予顾客的价值,价格应该增强顾客忠诚度,促进顾客与服务供应商之间的关系,价格应该加强顾客信任度,价格应减少顾客的不确定程度。

二、网上银行信息安全产品的顾客感知价值

顾客感知价值的核心是顾客在感知利得和感知利失之间的权衡,如果顾客感知到的利得大于其感知到的利失时,则相应的价格会带来积极的影响,使顾客需求增加;如果顾客感知到的利失大于其感知到的利得时,则相应的价格会带来消极的影响,使顾客需求减少[5]。顾客感知的利得因素不仅包含了产品价值,还包含了服务价值、关系价值、形象价值;顾客感知的利失因素除了包含有货币成本,还包含了时间成本、搜寻成本、便利成本以及心理成本[6]。

(一)网上银行信息安全产品的顾客感知利得

顾客在选择网上银行信息安全产品时,多数用户首要考虑的是安全保障性,其次是产品的价格,操作的便捷性,更新升级以及申办挂失的繁琐性。本文将网上银行信息安全产品的顾客感知利得,概括为产品价值以及与产品相关的服务价值,关系价值和形象价值等几个方面[7]。

1.产品价值是指顾客感知到的网上银行信息安全产品的功能、质量等方面的价值,主要体现在产品对网上银行安全的保障力度,其可靠性,响应性,安全性,产品是否处于同行业的领先地位,产品的功能,种类是否能满足不同客户群体的需求,使用过程以及更新升级是否方便快捷,价格是否合理,性价比如何,为其付出多少货币成本是值得的[6]。

2.服务价值是指顾客感知到的网上银行围绕着信息安全产品所提供的各种服务的价值,包括使用指南,网点工作人员对信息安全产品的了解,掌握程度,问题回答的响应速度等,顾客根据服务质量及其体验到的总体满意度来感知服务价值。根据国外的调查资料表明,有68%的消费者是由于对服务不满意而去购买其他公司的产品,仅有14%的人是由于产品本身的问题而购买其他公司的产品。

3.关系价值是指顾客所感受到的网上银行为建立,维护和加强与客户的长期关系所做出的努力,如向老顾客提供低价或增值服务,跟踪顾客的网上购物、网上支付、网上付费、转账等行为偏好,为其量身订做个性化的服务,当顾客感知得到的价值比从其他竞争对手那里得到的更多时,顾客将会保持对原公司的忠诚。

4.形象价值是指顾客感知的网上银行提供的金融服务产品在社会公众中形成的总体形象所产生的价值,品牌形象会影响顾客的购买行为,顾客通常喜欢把自己和某个品牌联系在一起,如某个网上银行信息安全产品的品牌会让顾客觉得符合自己的身份,自身地位得到了体现,当顾客对品牌形象有积极的感知时,他们往往更倾向于使用该品牌的服务。另外一些用户之所以开始使用网银,是因为象征着时尚的品味和高科技的生活能够给自己带来正面的形象。

(二)网上银行信息安全产品的顾客感知利失

网上银行信息安全产品的顾客感知利失包括顾客在购买和使用时所需付出的各种成本,本文将网上银行信息安全产品的顾客感知利失概括为货币成本、时间成本、搜索成本、便利成本、心理成本等几个方面[8],而时间成本搜索成本、便利成本、心理成本又都属于非货币成本的范畴。

1.货币成本主要是指顾客在购买网上银行信息安全产品时所需要支付的货币费用,这个费用包含的范围非常广,主要包括了开通以及购买网上银行信息安全产品时的费用,另外还包括了相应的上网费用、电脑等硬件设备的费用。

2.非货币成本是指顾客购买及使用网上银行信息安全产品时需要付出的其他代价,包括时间成本、搜寻成本、便利成本以及心理成本[9]。如顾客在购买和使用网上银行信息安全产品时会花费时间,在选择网上银行和信息安全产品类别时,由于互联网、网上银行、网上银行信息安全产品对大多数传统银行顾客来说仍然是新生事物,顾客在使用这些信息安全产品之前对产品的了解程度不高,需要通过对不同的网上银行进行对比才能做出决定,会付出比其他产品更多的搜寻成本;在服务的便利成本方面,由于使用网上银行信息安全产品涉及较多的环节,除了正常的安装、登陆、支付、转账操作等环节外,还会涉及到产品相应软件更新换代所需的下载、升级等操作,手续繁琐,对于大多数传统银行客户来说,使用网上银行及其安全产品的便利成本就会很高;另外在心理成本方面,由于顾客对网上银行及其信息安全产品的信心不足,总是会担心在开放的互联网中使用网上银行时存在种种的安全风险,如账户,密码被盗导致资金损失等,还有对自己的购物行为、消费习惯等隐私流失的担心,这些都是顾客使用网上银行及其信息安全产品时所感知到的心理成本。

三、网上银行信息安全产品的服务定价策略

银行业是同质性非常强的行业之一,想做到差别化非常的不易,加上各大网上银行竞争激烈,因此围绕着网上银行信息安全产品提供的各种服务对于网上银行的发展来说非常的有意义。服务定价区别于传统商品定价的最大特点是必须要考虑非货币价值和非货币成本,因此服务定价应该是需求导向的,即定价应与顾客感知价值相一致,价格以顾客会为所提供的服务支付多少为导向,根据对顾客感知价值的构成要素的分析,我们知道增加顾客感知利得和减少顾客感知利失,都可以增加顾客感知价值,下面我们将探讨网上银行信息安全产品的服务定价策略。

(一) 增加顾客感知利得的服务定价策略

增加网上银行信息安全产品的顾客感知利得包括增加顾客感知的产品价值、服务价值、关系价值和形象价值等几个方面。

1.增加顾客感知的产品价值的服务定价策略。

产品细分的服务定价策略是对于不同的目标顾客群体提供相应产品和服务的一种定价策略,产品本身的功能可能并没有根本的差异,但会根据不同顾客群体的感知价值,设定产品的价格,提供相应的服务,通过产品细分定价策略可以增加顾客对高端产品的感知价值。网上银行常用的信息安全产品有静态口令卡,动态口令卡,文件数字证书和移动数字证书,尽管静态口令卡,文件数字证书通常是免费的,动态口令卡,移动数字证书是收费的,但由于静态口令卡,文件数字证书的安全性比动态口令卡,移动数字证书都要低,所以在交易权限、交易金额方面都有一定的限制,移动数字证书虽然价格最贵,由于其安全性最高,所以没有交易权限、交易金额的限制,使用起来最方便,适合对货币成本不敏感的客户群体,如企业客户和高收入客户等,因此通过产品细分的定价策略增加了顾客对移动数字证书的感知价值。

2.增加顾客感知的服务价值的定价策略。

增加服务价值的有效定价策略是指围绕着基本产品,提供高度相关联的多种服务,并对各种服务的定价进行有机的协调,以达到增加顾客感知的服务价值的最佳效果,相应的定价策略有价格束、互补定价、价格结构、超值定价。对于网上银行信息安全产品中的数字文件证书,移动数字证书的使用中的各个环节,如使用前的证书、驱动程序的下载、安装;使用过程中的更新等环节,提供各种使用指导服务,将这些服务的价格和产品的价格相关联,进行价格束定价、互补定价、价格结构定价和超值定价。可以将产品本身的价格降低,对后续提供的下载、安装、更新、使用指导、网上代购等服务项目收取一定的服务费用和管理费用,以弥补降低产品价格的收入损失,这样就降低了顾客利用网上银行信息安全产品的门槛,可以培育出大量的潜在目标客户群体。还可以设定各种服务组合,使顾客可以根据自身需求单独选取其中一种服务,也可以选取全程服务,单独选取的服务价格的总和将大于全程服务的价格。

3.增加关系价值的服务定价策略。

增加关系价值的服务定价策略首先可以采用特殊对待定价策略,如为各种服务设定会员价格,VIP会员价格,鼓励顾客成为长期会员,以获得特殊交易机会,特殊价格,得到优先接待,特别关怀等服务[10]。其次是增加信任价值的定价策略,如对长期利用网上银行信息安全产品的顾客给予更多的服务承诺,如果顾客使用网上银行信息安全产品出现问题,可根据顾客利用信息安全产品时间的长短,所利用的网上支付金额的高低,设置承诺的赔偿限度,以增加顾客对网上银行信息安全产品的信心。最后是增加社会价值的定价策略,如免费提供网上银行信息安全产品的使用指南,常见问题解答,网上购物导购,使顾客逐渐习惯并喜欢利用网上银行信息安全产品,网上购物方式,网上购物过程,形成一种家庭式的感觉,同时建立一种社会关系,这对于提高顾客感知的社会关系支持价值非常重要,甚至可能达到或超过服务提供商所提供的产品价值。

4.增加形象价值的服务定价策略。

一个银行的形象价值是通过银行为顾客提供的服务在顾客的心中形成的,增加形象价值通常选择声望定价和撇脂定价策略,一般是提供高质量或高档次服务的公司采用的一种特殊的需求导向定价形式。各个银行可以根据自身的形象品牌,推出不同的能代表自身形象的网上银行品牌,例如招商银行的“一网通U盾”品牌,每当人们提到网银时就会想起它,给人的印象就是安全快捷。出色的银行可以根据自身品牌的优势,对优势服务项目索要高价,一些顾客可能确实看重高价,因为其代表着声望或高质量。实际上,声望定价中需求或许随着价格提高而增长,因为较昂贵的服务在表现质量和声望方面更具价值。

(二) 降低顾客感知利失的服务定价策略

降低网上银行信息安全产品的顾客感知利失包括减少顾客感知的货币成本、时间成本、搜索成本、便利成本、心理成本等几个方面。

1.降低货币成本的服务定价策略。

对于普通的顾客来说,因为服务产品的特殊性,顾客对于产品的其他价值并不能直接的感受到,而货币成本的改变是顾客所能感知到的最直观的价值变化。在其他因素不变的情况下,价格的降低会提高顾客感知价值,一般可采用低价定价方法,包括尾数定价策略、折扣定价策略、以及渗透定价法。如对U盾的定价可采用99.9元,促销活动期间可以打3折,如招商银行推出的USB-key三折销售活动,另外在特别优惠促销活动期间,还可以采用免费,从第二年开始收取年管理费用的渗透定价法。

2.降低非货币成本的服务定价策略。

顾客选择网上银行信息安全产品时,不仅付出了货币成本,还付出了大量的非货币成本,非货币成本包括了时间成本、搜寻成本、便利成本、心理成本、降低非货币成本,也是增加顾客感知价值的有效措施。在降低时间成本方面,网上银行可以加强24小时客服热线服务,安排专业人员通过电话帮助顾客解决网银信息安全产品的使用问题,对于一些不熟悉网络的顾客来说,银行可以充分利用网银体验中心,并安排专业人士对顾客进行一对一的辅导,这样可以为顾客节省大量相应软件下载、安装、更新的时间。对于这些服务的定价可以采用渗透定价法、互补定价法,将基本服务费用转移到未来的年管理费用中。

在降低搜寻成本方面,由于银行的品牌繁多,服务的同质性很高,顾客要找到适合自身使用的网上银行信息安全产品仍需要投入一定的精力,需要搜集各大网银的信息并进行对比。如果提供一种把各行网银信息安全产品的特点罗列出来并进行比较的信息服务,顾客就可以直接选出适合自己的网银,从而降低顾客搜寻成本,这种信息服务可以采用声望定价法,通过提供高质量或高档次服务获取利润。

在降低便利成本方面可以通过U盾的产品更新与升级,如“免驱动”U盾的开发和应用,省略驱动安装步骤,消除了USB Key安装失败的困扰,可有效降低便利成本,对具有行业领先地位的“免驱动”U盾可以采用撇脂定价的方法,利用最新的产品与服务,在愿意支付高价获得最好服务的顾客身上得到更多利润。另外可以用于登陆超级网银的U-KEY,可直接向各家银行发送交易指令并完成汇款操作,彻底免去了使用传统网银需进行多次登陆、查询操作的麻烦,这也将大大降低顾客使用的便利成本,而这种供超级网银使用的信息安全产品及相关服务也可以采用声望定价法。另外通过撇脂定价法,以高价和大量的促销投入推出新服务,可以在更多关心获得服务而不是服务成本的顾客身上获得利润。

在降低心理成本方面可以推出“预留信息验证”服务,如当客户登录中国工商银行个人网上银行在购物网站上进行支付或在线签订委托缴费协议时,网页上会自动显示客户预留的信息,以便客户验证是否为真实的工商银行网站。另外短信提示服务,将网银和手机绑定,诸如登陆、查询、交易以及退出的每一个环节都有短信提示。这些服务都达到了降低顾客的心理成本的目的,可以采用价格结构、价格束、互补定价、或结果导向定价等定价方法。

四、结束语

由于各大网上银行竞争激烈,所提供的信息安全产品功能都很相近,所以围绕网上银行信息安全产品的使用环节,使用过程所提供各种相关的服务,将成为各大网银获取客户,扩大客户群体的重要手段之一。网上银行信息安全产品本身的定价应该是成本导向和竞争导向的,而围绕着网上银行信息安全产品的所提供的各种顾客服务及其定价策略,应该是顾客需求导向的,合理的服务定价策略对于网上银行扩大市场占有率有着非常重要的意义。我们从顾客感知价值的角度出发,将其分成感知利得和感知利失两部分,探讨了增加网上银行信息安全产品的顾客感知利得和减少顾客感知利失的服务定价策略。

在增加顾客感知的利得方面,可以对不同的信息安全产品设置不同权限,交易金额来增加顾客感知的产品价值,针对信息安全产品使用过程中的各个环节提供各种体验指导服务可以增加顾客感知的服务价值,对长期利用网上银行信息安全产品的顾客给予更多的特殊对待,更多的服务承诺可以增加顾客感知的关系价值,通过提升网上银行及其信息安全产品的品牌形象可以增加顾客感知的形象价值。在降低顾客感知的利失方面,采用尾数定价策略、折扣定价策略以及渗透定价策略可以降低顾客感知的货币成本;24小时客服热线,网银体验中心可以降低顾客感知的时间成本,具有行业领先地位的“免驱动”U盾的推出可以降低顾客感知的便利成本;安全保障服务承诺,短信提示服务可以降低顾客使用网上银行及其信息安全产品的心理成本。当网上银行努力通过调动各方面的力量,不断地从顾客感知的价值观出发提供各种服务时,顾客会感知到获益并得到激励,从而长期保持这个关系,成为“忠诚”的客户,使得网上银行可以利用长期的客户关系来获取,优化各方面的利益,实现业绩的持续改善和长期增长。

参考文献

[1]汪晓梅.基于顾客感知价值的信息产品定价方法研究[J].情报杂志,2010(2):164-167.

[2]雷蕾.关于商业银行定价管理的若干思考[J].新金融,2008(2):42-44

[3][美]K.道格拉斯.霍夫曼.服务营销精要———概念,战略和案例(原书第2版)[M].北京:北京大学出版社,2008:166-189.

[4]叶力源.基于顾客感知价值的服务营销初探[J].经济论坛,2009(12):135-136.

[5]Zeithaml.Consumer Perceptions of Price,Qualityand Value:A Means———End Model and Syn-thesisof Evidence.Journal of Marketing,1988(7):52.

[6]黄绿群.浅析个人网银顾客感知价值的构成因素[J].商业研究,2009(9):73-75.

[7]罗海青,刘宏志.顾客价值评价实证研究[J].市场营销,2003(24):63-67.

[8]郑立明,何宏金.顾客价值分析模型[J].商业研究,2004(4).100-106.

[9]范旭泉,甘碧群.顾客感知价值矩阵研究[J].学术研究,2004(5):32-36.

网上支付的安全性探讨 篇10

网络和银行卡的普及推动了网上支付的发展,应用形式多种多样,包括网上转账、网上炒股、网上购基金、网上炒黄金和网上购物等。来自“国家金卡工程第十二次全国IC卡/RFID应用工作会议”的资料显示,2009年中国网上银行个人用户已达1.5亿户,网上银行企业用户超过400万户,交易额超过400万亿元。

依照《电子支付指引(第一号)》规定,网上支付是电子支付指令发起方式在网络的电子支付类型。从形式上可以分为2大类:直接支付和间接支付,直接支付最主要的表现形式为网上银行,常见形式是证券账户和银行账户之间的网上转账,网上证券的股票、基金买卖,其他形式还包括电信企业小额代收费(如手机付费、电话付费)、虚拟货币支付(如Q币、联众币等);间接支付主要表现形式为独立第三方支付(如支付宝、财付通等)和银联的第三方支付(CHINAPAY)。独立第三方支付成功解决了相互不了解的人的交易诚信问题,自身也得到了快速发展,连续5年增长超过100%,从2005年的年交易额196亿元发展到2009年的5 766亿元。2009年网上支付交易额占全年社会零售总额的0.46%,预计2012年将超过2万亿元,将占社会零售总额的1%。

二、网上支付的风险分析

(一)支付流程和安全性分析

网上直接支付是付款人直接通过计算机网络将银行(或证券公司等机构)账户的资金划转给收款人,从而实现转账的相应交易,付款和收款2个环节顺次完成(不考虑银行系统内部流转),资金直接在银行系统内完成转移。网上间接支付是付款人通过网络把资金先划至第三方支付公司,通过担保和代保管,在交易确认成功后再由第三方支付公司划给收款人,包括付款、代保管、收款3个环节。从网上支付流程中可以看出,整个支付系统的安全包括银行(或证券)系统安全、第三方支付机构系统安全、客户安全(收款人、付款人)和网络支持系统安全4个方面。绝大多数支付行为都离不开银行系统的支持,因此,网上银行的安全性成为网上支付安全的核心。

(二)风险分析

1. 系统风险分析,包括网上银行(证券)系统、第

三方支付系统、网络支持系统,具体体现在实体安全风险和技术安全风险。其中,实体安全风险有经营风险、环境风险(如火灾、水灾)、设备风险等,技术安全风险有业务系统安全风险、数据安全风险、操作系统及网络安全风险、网络攻击风险、网站被假冒风险等。

在实体安全经营风险方面,银行(证券)系统受到较为严格的监管,有严格的市场准入和经营管理机制,网上业务也受到相应的约束,证券系统实行客户资金银行第三方存管,经营风险控制较完善,但第三方支付目前监管缺失,主要依靠企业自身自律完成,只有少数企业实行自有资金和客户资金分离的形式,如经营风险,则可能导致挪用甚至侵占客户资金。环境风险可能导致业务设备、业务系统损坏,如2005年4月某直辖市联社数据中心受到火灾威胁,在消防人员的特别保护下才保护住核心数据。

在技术安全风险方面,2007年4月6日,某银行总行的数据中心网络出现故障,北京分行各营业网点和网上交易业务被迫中断4小时;2010年2月3日另一家银行系统瘫痪4小时,影响涉及全国分支机构,自动取款机、网银均不能办理业务。网络的开放性让网络攻击可以随时随地进行,如采用Do S拒绝服务攻击可以使一个网站不堪重负而瘫痪,网络攻击也可能找到访问服务器的漏洞从而窃取客户访问数据。网站被假冒,即做一个和网上银行或第三方支付界面一样的网站,域名和真实网站相近,如出现过工行的www.icbc.com.cn曾被www.lcbc.com.cn在2004年底仿冒,许多利用“中奖”骗人的网站也作类似的仿冒。和假冒网站狼狈为奸是域名劫持,通常是利用病毒修改上网机器的hosts文件或解析服务器地址,将地址解析到一个假的网站上去,2010年1月12日百度域名劫持事件性质更为严重,黑客直接修改了域名服务商域名解析数据,从源头将百度网站的地址指向了伊朗网军和雅虎错误界面。

2. 客户风险分析,客户风险主要来自于欺骗和盗

用,病毒和木马威胁着网上银行和第三方支付账户安全和支付过程的安全。最常见的是利用病毒和木马盗窃资料,如网银大盗、网银窃贼等木马病毒。2009年央视“315”晚会曝光的名叫“顶狐”黑客,通过自己制造木马程序,盗取大量用户的网上银行信息,并出售给他人导致部分网银客户资金受损。

虽然网银或第三方支付提供了一些技术手段来增强客户支付的安全性,但其通常是防范已知危险行为,不法入侵者并不需要破解这些防护行为,而且通过别的漏洞从而绕过防护。一种是来自假冒交易网站(如假淘宝、假网银)的钓鱼行为,如客户不能正确识别登录了假冒网站进行交易,轻者导致客户丢失自己的网上银行或第三方支付账户资料,重者直接把款项付给了黑客虚设的账户。另一种是更为严重的情况客户机器已经成为了“肉鸡”,黑客利用木马程序获得账号密码,然后利用用户数字证书甚至是USB Key来完成网上银行转账。如果该客户没有银行卡使用手机通知服务,则不能及时发现资金被盗。还有更糟糕的是不法入侵者得到了银行卡账号和密码,在现实生活中制造假卡盗取客户银行资金。

三、网上支付安全评估

(一)增强网上支付安全手段及效果

1. 增强系统安全手段,包括银行(证券)系统、第三方支付系统、网络支持系统。

主要体现在技术方面,有2层防火墙技术(保证核心数据库不受攻击)、网络数据传输加密(保证口令、数据和控制信息的安全)、权限控制(内部权限控制和外部网络访问权限控制)、备份与灾难恢复、入侵检测等。通过以上措施,能够保证核心数据库安全,但灾害、拒绝服务攻击等有可能让服务器中断服务,与外部联系紧密的访问服务器也有较多风险。另外要进行身份验证,因为牵涉到网络和前台客户端,容易产生漏洞,一直处于不断完善中。

2. 增强客户安全手段。

由网上银行和第三方支付服务提供商为客户提供,具体包括客户动态密码、USB Key、数字证书(含第三方认证证书)、短信服务、预留信息验证、128位SSL安全通信协议、图形码、动态密码键盘等。其中,客户动态密码和USB key为物理移动设备,难以被盗用,安全特征明显;短信服务是让客户了解账户变动情况;数字证书第三方认证是个人用户使用的电子签名安全认证,由第三方机构提供,主要是增强对交易过程中行为和责任的认定。通过几种方式的组合,增强了非法入侵和盗用的难度。

3. 其他手段。

一是加强实名验证,如淘宝(支付宝)实行了收款人身份证认证和银行卡认证,防范欺诈;二是第三方支付公司借鉴证券公司使用第三方存管,增强了客户资金安全性。

(二)常见网上支付行为安全性评估

网上支付的后台核心数据库安全性很高,更多的风险来自前台用户端的仿冒、盗用和外部欺骗。网上支付安全的实质是资金会不会被盗用,最安全的支付是能够被有效跟踪审计的资金流动且所需要银行信息少的支付,能够确保支付以后达到付款者目的为安全支付,可能被欺诈等不能被有效跟踪的资金支付为不安全支付。

1. 最安全的支付是使用证券客户端进行银证转账

和购买证券,因在此客户端中不会提示出银行账号和身份证号等重要信息,资金只能在证券账户和对应的银行账户流动,不会造成资金被盗。

2. 在网上银行直接购买基金、外汇、纸黄金,在基

金公司网上直销点购买基金等资金流走向明确,不受网银交易额限制,为安全支付。

3. 企业网上转账、个人汇款、交纳电费、水费、通信

费、在知名的公司网上平台购买、商品支付等交易对象明确可信,为安全支付。

4. 在知名的交易网站(如淘宝网、拍拍网)购物,使用第三方支付的,为安全支付。

5. 通过知名网站专门广告连接在普通企业网站或不知名的交易网站购物支付,一般为安全支付;

通过搜索引擎查找,并能确认真实性的企业网上购物支付,一般也为安全支付。

6. 通过知名网站论坛等非正常广告链接和小网站

广告链接,尤其是超低价购物、中奖消息为虚假消息,为此付出的货款、税费、手续费的支付均为不安全支付。通过搜索引擎查找,无法确认真实性的企业网上购物支付,也为不安全支付。

以上6种情况安全性逐渐降低,第2~5的风险主要来自于使用者的计算机安全,如木马和病毒对客户信息的盗用,第6种是不安全支付,也是用户信息被盗用和计算机感染木马病毒的渠道。因为绝大多数网上支付属于前4项行为,所以网上支付总体上是安全的。

四、增强网上支付安全性的建议

虽然网上支付发生风险的比例很低,但风险的存在依然让很多人对其安全性能心存疑虑。如《2009中国网上银行调查报告》显示,有80%参与调查者使用了网上银行业务,说明认可网银安全性能的人较多;另一方面,拒绝开通网上银行的受访者中间,将近70%的人对网银的安全性表示担忧。要增强人们对网上支付的信心,应加强法律环境建设、系统安全管理和使用者安全教育,让人们能够安全安心地使用网上支付,从而享受网络的便捷性。

(一)完善网上支付相关法律,规范网上支付环境

1. 完善网上支付法律建设,尤其是要尽早出台第三方支付法律规范。

我国网上支付相关的法律法规有《电子签名法》、《电子支付指引(第一号)》、《电子银行业务管理办法》、《证券公司网上证券信息系统技术指引》等,但还不是完善的体系,如与《票据法》相关法律对接问题。另外,以上规范主要用于约束金融机构,目前对第三方支付机构没有约束力,建议将其业务纳入结算管理范畴,并出台第三方支付业务规范,明确其法律责任。

2. 加强监管,落实网上支付风险控制。

银行和证券监管部门落实网上银行、网上证券各环节监管监测,从制度、内控、客户教育上落实与技术体系相配套的风险控制,保证网上银行、网上证券安全。

3. 打击网上违法犯罪行为,建立诚信网络环境。

切实打击网络攻击、赌博、诈骗、盗窃他人信息和资金等违法犯罪行为,教育广大网民遵纪守法,建立诚信网络环境。

(二)加强系统和运行安全建设,防患于未然

1. 加强系统安全建设和管理,确保网上银行、网上证券和第三方支付系统安全运行。

包括加强内部管理,切实做好系统运行监测、维护和入侵检测,及时发现和处理潜在风险,避免系统中断运行;做好备份和灾难恢复,建设异地备份数据处理中心,确保核心数据安全。

2. 完善网上支付平台安全设计,不断减少安全漏洞。

要不断完善网上支付平台设计,运用新技术增强支付的安全性,同时要优化客户的操作便利性。如网上支付客户端控件时主动关闭计算机远程服务,对威胁网上支付的应用进行报警,防止别人用远程控制盗窃客户信息和资金;在客户端设计上,应避免客户重要资料需要经常输入等。

3. 通过技术手段或人工检测加强网上支付各交

易环节的监控,妥善记录和保存交易内容及技术信息,便于交易分析和事后追溯。如发现可能存在的洗钱、套现、赌博、欺诈等非法活动,应及时处置或报相关部门,避免他人的违法犯罪活动影响正常的网上支付行为。

(三)强化宣传教育,提高网上支付客户自身安全意识及安全水平,增强操作安全性

宣传教育包括的网络安全教育和交易提供者的功能使用安全教育,如安全风险识别、新功能使用、安全习惯培养等,增强操作安全性。

1. 使用安全的计算机进行网上支付。

安装必要的杀毒软件、防火墙软件,及时做好系统漏洞修补,不在网吧等公用计算机操作。不使用密码保存功能,对于浏览器自动打开、防病毒软件不能正常工作要及时解决,防止病毒和木马感染。

2. 访问正确的网站,谨防钓鱼。

访问网上银行和交易网站时,可以将正确的网址收藏起来,避免通过“超链接”操作,登录时核对信息是否正确。记住正确的网站名称、特服号码,对于要求提供身份、账户及密码的邮件、电话、短信保持高度警惕。学会识别正规经营网站的红盾标志,对没有把握的交易对象要通过搜索判断其服务真实性,不打开非正常弹出的链接。

3. 应熟悉所使用的交易规程,避免被欺诈。

如第三方支付中不良卖方会诱导买方提前确认付款或者欺骗买方导致第三方机构“超时打款”。

4. 保护好自己的账号和密码。

不要轻易将个人信息告诉他人,密码要有足够的强度,对于网上银行支付密码要与访问密码不同,尽量使用动态口令密码、USB Key、短信服务等增强安全工具进行支付,要经常核对账户资金是否正确。

参考文献

[1]徐辉.我国网上银行安全问题及风险防范[J].华南金融电脑,2009.

[2]孟凡霞.2009中国网上银行调查报告[N].北京商报,2009.

[3]钱宏,赵琳峰.构建安全支付服务体系迎接支付健康发展新纪元[J].金融电子化,2010.

网上求医，安全堪忧 篇11

今年2月，国家食品药品监督管理总局药品安全监管司司长李国庆曾表示，网上求医问药火暴的背后是严重的安全问题，据统计，网上药店销售的药品80%都有问题。

近日，《生命时报》与新浪网健康频道、搜狐网健康频道和39健康网联合推出了“您会在网上寻医问药吗？”的网络调查，受调查者中，七成以上都有过在网上寻医问药的经历；四成左右的网民表示在网上寻医问药就是为了图方便，少数网友是为了节省开支；网上咨询病情或买药的人选择去在线就医咨询类网站的达到30%，而只有10%的网民选择医院官方网站。超过六成的网民认为网上寻医问药对治病有一定帮助，但在这个过程中遇到的麻烦较多，其中“夸大病情”、“问诊期间反复推销药品”和“发生误诊，耽误治疗”分别排在前三位。

卫生部全国合理用药监测系统专家孙忠实认为，通过这三家网站的调查数据可以看出，人们上网求医问药多是图便捷或省钱。网络求医的人数增多说明人们对健康的关注度比以往提高不少，但网络求医诊疗不比医院，在医院，医生看病不仅需要和患者面对面交流，还要借助于各种医疗仪器，而在网上仅凭几句话很难诊断病情。据孙忠实介绍，现在许多网络医疗咨询平台都是以看病为幌子，实际在推销自己的药品甚至保健品，孙忠实提醒，网络求医的结果只能作为参考。

“我个人是不支持在网上买药的。”孙忠实说。目前药监局认证的网络药店还很少，不少属于违规运营。药品是特殊商品，它不像其他商品，一旦用错会造成严重的后果。孙忠实认为，在实体店买药比较保险，因为在药店，可以由药师作指导，告诉患者如何选择，如何储存药物。而网上药店连资质都难确认，药品的质量也就更难保证了。

网上银行安全性 篇12

一、我国网上银行发展历程

1996年2月，中国银行在互联网上建立和发布了自己的主页，成为全国第一家在互联网上发布信息的银行。1998年中国银行、招商银行开通网上银行服务，此后工商银行、建设银行、交通银行、光大银行以及农业银行等也陆续推出网上银行业务。

经过数年的发展，我国网上银行呈现不断增长的势头，交易额由2003年的24.3万亿元增长到2004年的49.3万亿元，增长率高达93.6%，用户数也达到了1 900万左右。从2005年开始，网上银行步入快速发展期，2007年中国网上银行交易额规模实现爆发式增长，高达245.8万亿元，比2006年增长163.1%。2008年中国网上银行交易规模达到320.9万亿元，比2007年增长30.6%。截至2008年底，全国个人网银客户已达1.48亿户, 比年初大幅增加了52.81%。2009年我国网上银行市场交易金额已超过400万亿元，2010年网上银行市场全年交易额达到553.75万亿元，尤其是个人网银业务，显现了强劲的发展势头。网上银行业务比例占到银行业务的20%以上。

网上银行的产生和发展，推动了银行业务流程的再造，优化了经营过程，降低了交易成本，在一定程度上改变了金融活动参与各方信息不对称的状况，为网络经济的发展提供了更有效的支持和更大的发展空间。

一般来说，可以把我国网上银行的发展分为三个阶段。2000年以前为第一阶段，主要表现形式是“银行网站”，其职能是作为信息发布的渠道，塑造企业新的形象品牌。这阶段的网上银行服务单一，仅提供账户查询等简单信息类服务，更多地作为商业银行的宣传窗口。

第二个阶段从2000年至2005年，国内部分大型商业银行在市场的驱动下，利用网上银行服务和运营成本低廉的优势，快速发展网上银行客户，并将大量传统业务功能搬到网上，代替传统网点。网上银行增加了转账支付、缴费、网上支付、金融产品购买等交易类功能。

进入第三阶段后，网上银行的最大转变是真正以客户为中心，因需而变。这一特征在各家银行推出的网银产品中得到体现。这一阶段网上银行的典型特征是业务创新，不再仅仅是将传统的业务功能搬到网上，对网上银行的考核从单一的替换率向销售收入发展，网上银行也日益成为银行重要的战略业务单元。在这一阶段，查询类的服务得到了优化，转账和理财等类别的网上交易迅速普及开。网上银行的盈利能力增强，把成本中心变为利润中心，逐渐成为银行努力的方向和目标。

基于互联网的网上银行打破了空间和时间的限制，大幅提高了商业银行服务的准确性和时效性，人们足不出户就可以享受个性化的、便捷的金融服务。但是，便捷性和安全性总是一对与生俱来的矛盾，在具备了便捷性的同时，安全性也越来越受到关注。随着网上银行的不断创新发展，网上银行安全也面临新的挑战。

二、网上银行安全面临的新形势

（一）风险边界越来越大

在网上银行发展初期，网上银行功能从提供账户查询等简单信息类服务逐步发展到实现传统业务功能。总体来说，网上银行的业务功能较少，是银行传统网点的一种替代渠道，客户通过登陆网上银行系统办理原来需要到银行网店办理的业务。

但是，近几年来，网上银行进入快速发展的车道，不断创新发展，网上银行不再仅仅是传统网点的替代渠道，而是发展成为商业银行不可缺少的一种电子渠道。在网上银行不断创新发展的过程中，网上银行的功能越来越完善，应用范围也越来越广。网上银行不断拓展连接范围，和企业、商户、第三方支付机构等互联互通，连接渠道不断扩大，参与各方的安全方案和安全措施也各不相同，网上银行信息安全风险边界也越来越大。

（二）信息技术的不断发展是一把双刃剑

网上银行是互联网和信息技术发展的产物，打破时间、空间的界限，促进了银行业务创新发展。信息技术的发展进步，不仅为银行业务信息化提供技术支撑，而且引领其发展创新，但也对信息安全防范也提出了更高要求。

一是计算机信息安全的防范和攻击技术是互为矛盾关系。在信息技术的发展进步过程中，防范技术和攻击技术都在不断提高，防范技术提高表现在不断修补系统漏洞、完善安全体系结构方面，而攻击技术提高却表现在利用不断发展的信息技术去发现系统安全缺陷和风险漏洞。然而，人们总是在发现漏洞后才会修复漏洞，发现缺陷后才完善缺陷，因此从某种意义上说，信息技术的发展进步既提高了信息安全防范能力，却也可能产生新的安全漏洞和风险隐患。

二是在信息技术不断进步发展的过程中，原来相对安全的技术可能会变得不安全了，甚至其漏洞和隐患会被公开，针对该技术的攻击方法和手段可以在网上很容易获得。网上银行系统在建成后上线运行的长期过程中，面对这种风险威胁的可能性将不断增加。

（三）互联网黑客利益链的形成对网上银行安全影响甚大

从互联网的诞生到发展过程中，始终活跃着一个神秘的群体，那就是黑客。在互联网发展的初期，黑客主要是基于对技术的信仰，充满对互联网和信息技术的好奇和追求，用智力挑战技术极限。然而，随着互联网在商业领域的广泛应用，黑客那种只追求自由探索而不搞破坏的精神正走向没落，现实商业利益的驱动开始改变黑客世界的生态。近年来，国内黑客活动拥有明确的利益目的，并且已经形成了清晰的“产业链条”，具有“以牟利为目的，形成利益链条，攻击计算机信息系统并涉及多领域”等明显特点。

通过黑客方式窃取有价信息的网络犯罪现象已呈集团化趋势。这里面有着巨大的利益，它已经形成了一个比较完整的产业链条。产业链上各个环节分工明确，黑客可以根据自己的专长，专门负责某个环节，这个链条上的每个个体都有利益，这是一个利益链条。从近几年警方破获的网上银行盗窃案来看，基本上都是“链条式”作案，犯罪分子在互联网上以虚拟身份纠集成伙，尽管不明彼此身份，但却配合密切、分工明确，有人制作木马病毒，有人负责散布木马，有人负责利用木马收集账户、密码信息，有人根据信息制作银行卡或通过网上银行盗取账户资金，还有人负责提取现金、收赃、洗钱等。在这种产业链条中，有人负责制作、提供黑客工具并获取利益，为实现利益最大化，必然造成黑客技术的竞赛升级和传播泛滥，这是对互联网安全的最大威胁。

黑客行为的商业利益化，使得网上银行、游戏密码等有价信息成为黑客作案的首选目标。同时，产业链条式的攻击方式，大大降低了技术难度，甚至没有任何计算机专业知识的人，只要肯花钱，就可以购买木马程序，获取黑客技术，加入产业链条中，成为一名黑客。而且，随着这种犯罪的利益链条日趋成熟，黑客对网上银行信息安全的威胁日益严重。

（四）网上银行功能、应用范围不断拓展，其面临的安全风险更分散

近年来，我国的电子支付发展非常迅速，新兴电子支付工具不断出现，电子支付交易量不断提高，电子支付逐步成为我国零售支付体系的重要组成部分。从目前网上支付工具和支付方式来看，绝大部分电子支付以网上银行为支撑，银行在整个网上支付业务链上处于关键控制环节。

在电子支付的整条支付服务产业链上，网上银行处于支撑地位，基本都是依靠银行卡进行支付，但是，由于第三方支付机构的加入，整个支付服务链条延长。虽然银行对整条支付服务产业链的安全措施具有主导作用，但也未必都在银行的控制之中，支付服务链条延长，必然会增大风险隐患，尤其是客户敏感信息在输入、传输、存储过程中泄漏的风险加大。部分第三方支付机构的信息安全管理体系不完善、安全技术防护能力薄弱，根据“短板”原理，也将波及网上银行信息安全;同时，由于网上交易的匿名性，还存在利用第三方支付进行信用卡套现、甚至洗钱等违规行为，也使得网上银行面临监管风险。

三、对策建议

（一）加强跨部门之间的沟通协作，共同维护网上支付安全，促进电子商务发展

随着互联网技术的不断发展，基于互联网的应用将越来越丰富，电子商务的发展前景广阔。网上支付是电子商务的重要环节，对促进电子商务发展起到了重要作用，但同时也是安全风险较高的环节，是黑客攻击的首选目标之一。网上黑客技术的泛滥和利益链条的形成，造成了人们对网上支付安全性的担忧，也必将影响电子商务的可持续发展。然而，基于互联网的非法活动，其隐蔽性、流动性强，不受时间、空间限制，单个部门难以有效防范。各部门应该各司其职、各负其责，如网上银行监管部门加强对网上银行系统的安全监管，第三方支付机构管理部门加强对支付机构的安全管理和加强对客户敏感信息的保护，公安部门加强对违法行为的打击，互联网主管部门加强对互联网的安全管理等等，各部门共同协作、齐抓共管，共同维护网上支付安全，促进电子商务发展。

（二）加强对网上银行安全技术的研究，不断完善网上银行信息安全技术体系，提高风险防范能力

由于网络和计算机技术的发展更新速度很快，网上银行系统建设难以一劳永逸，必须跟踪研究新技术，尤其是对安全技术的研究和应用。商业银行应该组织专业的团队，了解、跟踪计算机信息安全技术的最新动态，了解软件厂商发布的最新漏洞和安全隐患，了解专业安全机构发布的最新病毒情况和黑客攻击技术，从而做出对策，及时修复漏洞和风险隐患，完善网上银行系统安全防范措施，形成有效的安全防范技术体系。同时，还应该重视网上银行信息安全的管理，要不断完善安全管理的制度规范，形成适应网上银行特点的安全管理体系，通过安全管理体系和安全技术体系的有效结合，提高网上银行风险防范的整体能力。

（三）加强对网上银行系统的实时监控，定期进行安全审计和风险评估

网上银行基于互联网运行，提供7×24小时服务，客户可以不分时间、空间访问，这使得网上银行随时面临被非法攻击的风险，因此，加强对网上银行系统的实时监控显得十分重要。对网上银行的实时监控，商业银行可以通过部署专业的监控工具，对网络、系统和业务交易进行监控、分析，及时发现异常情况并预警，以便采取有效措施进行处理;可以提前消除风险隐患或及时处置信息安全事件，从而减少可能造成的损失。商业银行还可以通过提供网络安全服务的第三方机构进行实时监控，对防范黑客对网上银行系统网站攻击有较好的效果，也便于协调外部资源对黑客攻击进行及时有效处置。

从理论上说，信息系统的安全是相对的，没有绝对的安全。能否及时发现系统漏洞和安全隐患，是进行漏洞修复或制定实施相应安全防护措施的重要前提，对系统的正常运行至关重要。因此，对系统进行定期的安全审计和风险评估是非常必要的。通过对网上银行系统进行定期的安全审计，及时发现系统漏洞和隐患，并进行风险评估，采取有效措施进行整改，是推动网上银行系统不断健壮、完善的重要途径。

（四）加强网上银行信息安全交流协作和信息共享，促进我国网上银行信息安全水平整体提高

对于国内所有商业银行网上银行系统来说，其面临的信息安全风险隐患具有类似性，面对的黑客攻击技术和手段也具有趋同性，因此，商业银行应该加强网上银行信息安全的交流协作。通过建立交流协作的平台和渠道，加强对网上银行安全管理和安全技术的交流;建立网上银行安全漏洞和安全风险事件库，各商业银行及时通报发现的安全漏洞和风险隐患，实现信息共享，在网上银行安全预警、应急响应和安全事件处理等方面发挥重要作用;加强和第三方专业化安全服务机构的合作，合理利用其信息安全专业化咨询和服务，形成网上银行安全防范的合力，共同促进我国网上银行信息安全水平整体提高。