PDF《and its Prevention》

5 次;

交易用户平均每 月使用次数更高, 为5.9 次, 也高于

2008 年的 5.5 次. 企业用户方面,月使用频率则更高:2009 年,平均每 家活动用户使用网银的次数从 10.3 次增长到 11.3 次. 企业网银对于柜台业务的替代比率达到了 50.7%.在 活跃度提升的背后,是用户对于网银功能的进一步了 解和更多的尝试.2009 年使用各项网银功能的个人用 户比例均比

2008 年增加, 特别是网上支付、 转账汇款、 信用卡还款和个人贷款

4 项功能,增幅非常明显.企 业用户方面,账户查询、转账汇款则是他们使用比例 最高的两项企业网银功能.活跃度的提升以及对网银 功能的更多尝试表明,对于很多网银用户来说,使用 网银正在由对新鲜事物的浅尝辄止转变为日常生活和 企业运营的必须,网银普及正向纵深发展. 2.3 网银安全仍需重视 网银高速增长的同时,安全性一直是各界关注的 焦点.《2009 年中国网上银行调查报告》显示,2009 年, 个人用户对于网银安全的信心已经提升, 3/4 以上 潜在用户认为网银是 安全 的.其信心来源主要集中 在以下几点:一是自我防范意识和能力的增强;

二是 对银行实力和对银行的信任;

三是对网银安全技术手 段和安全措施有一定的了解;

四是亲朋好友的使用经 历及口碑.与此相对应,导致非潜在用户认为网银不 安全的首要原因则是不了解网银安全技术手段,其次 是担心黑客/木马病毒盗取账户资金.如何帮助用户提 升自我防范意识以及掌握必要的安全防范手段仍然是 未来一段时间内网银普及推广工作的重点.

3 网络银行交易层面技术风险的内容 詹德新等(2007)将网上银行交易风险归纳为三 方面:客户端交易凭证的保管及使用、金融机构服务 端信息设备与系统的安全防护、交易讯息经由因特网 传输过程是否遭受外来黑客的干扰或截听.郇凤悦 (2009)将网络银行交易层面的技术风险分为密码盗 窃风险、客户误操作风险和银行员工的技术风险三大 类.本文按照网络银行交易主体及业务流程将网络银 行交易层面的技术风险归纳如下: 3.1 客户端存在的安全隐患 客户在网上交易过程中的无意识、疏忽大意和误 操作会给银行和自己带来损失.如:客户使用电子银 行前并未充分了解各项权利义务及操作方式,就会产 生客户操作风险;

客户在没有安全防护措施的场合使 用个人信息容易造成信息泄露和权益受损;

客户没有 授权的交易可能会给银行造成经济损失;

客户缺乏安 全防范意识将认证磁盘随意放置,致遭不法分子复制 盗用进而盗领存款;

客户本身利用电子银行进行非法 的洗钱活动;

不法分子仿冒银行网站,借此骗取客户 基本资料,损及金融机构商誉等. 3.2 金融机构服务端存在的安全隐患 1) 金融机构未定期修补系统程序或未及时升级版 本、未扫描异常更新或复制的系统文件、系统安控参 数设定不完整,致使黑客利用缓冲区溢出漏洞、植入 木马程序取得特权使用者密码或附加植入计算机病毒 以瘫痪主机及防火墙系统,或附加木马程序进行数据 窃取及破坏,或利用系统安控设定不周延以进行数据 窃取及破坏. 2) 金融机构对使用者的数据文件未制订系统安全 管理规范、未限制使用文件修改工具、职务分工不当 或未落实,违反牵制原则,导致不法分子或金融机构 内部人员窃取未隐藏的使用者数据文件,并采用字典 攻击法推测出使用者密码,进而篡改数据库或文件内 容. 3)金融机构未确实有效地监督厂商人员维护系 统、未与厂商洽订保密契约、未建立内部安全措施, 致入侵者将IP、防火墙规则等重要数据拷贝至储存媒 体或印成纸张携出办公室、或利用e-mail、ftp、http 将数据利用拨接方式绕过防火墙传送,以攻击银行内 部主机. 4) 柜台整体交易流程不符合牵制原则, 中心产制 及核发电子凭证、软件、密码函不符牵制及机密性, 致客户数据、电子凭证、软件、密码信函遭窃取;