有關電子銀行專業畢業論文

  近年來,我國的電子銀行業務得到了飛速發展,蘊藏了較大的風險。下面是小編為大家整理的,供大家參考。

  篇一

  《 管理和控制電子銀行外包風險 》

  電子銀行業務外包風險概述

  電子銀行業務系統的成功運轉需要大量硬體設施與軟體程式的支援,這些硬體與軟體如果要完全依靠銀行機構的內部力量進行研究和開發,無疑需要銀行投入鉅額的開發與維護資金,並引進大量的技術人員。除少數大型銀行機構外,大多數銀行並不具備如此強大的資金與技術實力。不僅如此,這種佔據銀行機構內部大量資源的做法還可能造成銀行精力的分散,使之無法集中於核心業務的經營與處理之上,從而阻礙其服務品質的提高。有鑑於此,許多銀行為了控制成本,獲取必要的專業技術支援,擴充套件客戶產品的營銷渠道以及改善服務質量,往往會選擇將原本由銀行內部實現的一部分網上銀行業務功能外包給一個或多個技術服務供應商***TSPs***,如硬體軟體銷售商、電信公司、專家公司和其他支援性經營者等,利用這些外包商所提供的服務來支援網上銀行業務系統的運轉。可見,通過尋求外部支援已成為許多銀行機構節約成本、提高其核心競爭力的一項重大戰略選擇。也正因為如此,伴隨著電子銀行業務的興起和蓬勃發展,與之相關的外包活動也日益頻繁起來。

  儘管外包關係的建立具有一定的經濟合理性與必要性,但它給銀行機構帶來的各種特殊風險依然不可小覷,而在網際網路環境下,這些風險更是呈現出加重和擴大的趨勢。

  總體看來,外包關係所帶來的風險大多源於兩個方面:一是銀行的規劃不合理或監督與控制不力;二是第三方外包商的執行或服務不達標。

  就銀行而言,在做出網上銀行業務之提供是否需要藉助外部第三方力量的決定之前,若沒有進行充分的風險評估、成本收益分析、目標相容性調查及合法性與可行性研究,若未能採用針對第三方外包活動的適當風險管理機制與監督措施,若尚不具備實施監督所必需的足夠的專業技術能力與經驗,則極容易產生戰略性風險。

  而從外包商的角度看,這些提供技術支援與服務的供應商或銷售商在網上銀行業務活動中通常是作為第三方出現的,不受管制的他們對網上銀行業務活動的介入無疑會對銀行機構的整體風險狀況產生重大影響,給銀行機構帶來額外的不穩定因素。例如,銀行可能由於外包商的不當或不法行為,如提供劣質服務、發生服務中斷、實施不適當推銷、違反資訊保安操作規程、違反客戶隱私保護政策、違反消費者保護法等而被迫陷入訴訟,不但法律風險陡增,還可能遭受財產與信譽損失。尤其是當外包安排中需要外包商的職員直接同銀行客戶打交道時,銀行因外包商的產品或服務不符合銀行所制訂的政策與標準而遭到信譽損失的可能性更可能大大增加。為此,銀行對外包商所提供之產品與服務的品質與適當性進行密切監測實為必要。

  電子銀行業務中日益突出的外包風險較之傳統銀行業務環境下更加突出、複雜和嚴重,更易迅速傳遞和擴散,對銀行機構的安全與穩健也具有更深刻的影響和更大的破壞性。在電子銀行業務最為發達的美國,2001年就曾發生這樣一起因外包安排而致使銀行遭受風險的案例。當時,雖然只是一家美國的主機公司***hostingcompany***受到黑客襲擊,但卻有超過300家銀行因此而受到損害。[1]電子銀行業務環境下外包風險的巨大沖擊力可見一斑。

  如果銀行機構所利用的服務供應商位於另一個國家,則可能帶來更為複雜的跨境外包風險。這種因利用外國服務供應商而造成的風險既可能是因外國外包商不受銀行機構及其監管機關有效監控而產生的操作風險,也可能是因有關外包活動違反他國法律法規而引發的法律風險,甚至還可能是因外包商所在國的經濟、社會或政治等因素致使其無法履約而帶來的國家風險等。

  有鑑於此,關注第三方或外包商所帶來的各種風險,尤其是其中的戰略風險、操作風險、法律風險與信譽風險,重新評價現有銀行業管制框架的有效性,並在第三方介入有關服務提供的情況下采取相應措施對外包關係及其風險加以有效管理十分必要。

  電子銀行業務外包風險管理的國際經驗

  為應對日益突出的電子銀行業務外包風險,有關國家與地區的監管當局以及一些重要的國際金融組織都紛紛著手研究外包活動及其風險的特殊性,探索對其實施有效管理與監控的基本原則與方法。企業家天地2011年第11期中旬刊管理Management有關國家和地區監管當局確立的主要原則與方法。

  美國的實踐。以美國為例,在美國的電子銀行業務發展實踐中,大多數銀行都不願自己進行技術設計和網路系統的安裝與維護,而是選擇將這些工作外包出去。由於大量外包活動所帶來的風險很可能危及銀行機構的整體安全與穩健,負責銀行業機構監管的各個監管機構都意識到了這一問題的嚴重性,因而在對各種電子銀行業務風險進行監管時特別重視外包風險的管理和控制。

  這些美國銀行監管機構曾在多部監管檔案中確立了有關電子銀行外包風險管理的指南。例如,貨幣監理署***簡稱OCC***於1999年釋出的《網上銀行業務———監理手冊》***簡稱《監理手冊》***就曾概括性地強調,銀行機構應加強對網上銀行業務外包之相關風險的控制。它明確要求:銀行應定期對其技術支援來源進行重新評估;應將技術提供者的技術服務同銀行自身戰略計劃程式相結合;銀行機構在選擇合作之供應商時應謹慎行事,事前簽定正式協議明確雙方權利義務;銀行還應監督供應商的經營狀況、財務狀況、該供應商所具備之技術是否能與不斷更新的技術保持一致以及是否具備良好的內部管理等等。[2]

  除《監理手冊》外,聯邦金融機構審查理事會***FFIEC***於2000年11月釋出的《外包技術服務風險管理指南》,OCC於2001年11月釋出的《第三方關係:風險管理原則》,以及FFIEC於2003年8月釋出的《電子銀行業務:資訊科技審查手冊》等監管檔案都就管理外包風險制訂了專門規則。根據這些檔案,要有效防範和控制外包風險,銀行機構需要做到如下幾點:其一,慎重選擇合格的服務供應商,即要求銀行在選擇新的服務供應商時保持有效的合理謹慎,考慮其財務狀況、經驗、專業技能、技術相容性以及客戶滿意度;其二,重視以書面合同形式明定各方權利、義務與責任,即要求銀行與供應商簽訂書面合同,並在其中載明囊括保護銀行資料的隱私與安全,銀行對資料的所有權,審查安全與控制的權利,監測服務質量的能力,限制銀行對服務供應商的行為可能承擔的責任,以及終止合同等方面內容的具體條款;其三,依合理程式對供應商實施持續監測,即要求銀行具備一套監測銷售商的業績表現、服務質量、安全控制、財務狀況和守約情況的適當程式;其四,對包括事故反應與通知在內的報告和預測進行監測。[3]

  新加坡的實踐。在新加坡,對發展電子銀行業務所帶來的各種加重的風險,新加坡貨幣局***MAS***給予了高度重視。在MAS看來,更適當的做法應該是基於各銀行具體情形和戰略的不同採用以風險為本的監管方法***arisk-basedsupervisoryap-proach***。2003年6月,MAS釋出了最新的《網上銀行業務技術風險管理指引》,要求各銀行切實遵行。該指引涵蓋的內容十分全面,其中尤值一提的是,它為銀行的外包活動及其管理確立了具體指南。MAS認為,銀行將其有關經營操作外包給第三方並不會消除或減輕銀行機構所承擔的職責與責任。它強調,銀行有責任確保其服務供應商的營業水平以及他們所提供的服務的可靠性與安全性達到銀行網上銀行業務所要求的水平。

  針對如何管理外包風險的問題,該指引提出了以下三點具體要求:第一,要求銀行董事會與高階管理層充分認識將其網上銀行業務操作外包出去所產生的相關風險。具體說來,在將有關活動委託或承包給某個外部服務供應商之前,銀行應當合理審慎地確定此種安排的可行性以及外包商的素質能力、可靠性、歷史記錄和財務狀況等;並應以書面協議的形式細緻和恰當地寫明有關合同各方當事人的地位、關係、義務與責任的具體合同條件與條款。第二,要求銀行遵守有關管制、審計或守法要求,切實實施審查或評估。具體而言,就是應當要求服務供應商向銀行指定的所有當事方提供利用銀行系統、業務、檔案及設施的服務;不僅如此,銀行與服務供應商還應在其所訂協議中承認管制機關依《銀行業法》所擁有的對服務供應商的地位、職責、義務、功能、系統和設施實施檢查、監督或審查的權力。第三,要求銀行和服務供應商遵守《銀行業法》中關於銀行業的保密要求。換言之,銀行同服務供應商之間的合同與安全應當滿足保護客戶資訊機密性的需要,也應符合所有現行法律法規的要求。

  針對如何監測外包安排,該指引也做出了相應規定:其一,銀行應要求服務供應商執行與其自身操作同樣嚴格的安全政策、程式和控制;銀行應定期審查和監測服務供應商的安全做法與程式,如定期取得有關服務供應商操作方面的安全充足性與守法性的專家報告;為監督服務供應商是否持續達到約定的服務水平以及其操作的可行性,還應設立一道監測服務供應商的服務提供、履約可靠性及加工處理能力的程式。其二,隨著銀行的外包關係日益複雜和重要以及其對外包關係的依賴性日益增強,為確保銀行管理層不丟掉其保護銀行核心操作與服務的職責,應當採取一種強有力的風險管理方法。

  我國香港特區的實踐。在香港,較為典型的銀行業外包活動主要表現為將原本由認可機構自行提供的資料處理、客戶服務***如熱線中心***及後勤支援等業務專案外包給香港或海外的服務供應商。電子銀行由於需要藉助複雜的資訊與網路技術,其所涉及的與技術有關的外包活動愈加普遍。面對銀行業外包活動的日趨活躍,香港金融管理局***簡稱金管局***敏銳地洞察到其中潛藏的各種風險與問題,因而釋出了一系列建議性檔案,從不同角度提出了對外包活動尤其是外包風險實施監管的原則與指南。

  2001年12月金管局制定的一份以《外判》為標題的檔案可適用於所有認可機構的銀行業外包活動,這份檔案雖然並非專門針對電子銀行,但其中載明的一般監管方法及有關技術外包的管控措施等均對電子銀行的外包活動具有重要的參考價值。

  在《外判》指引中,金管局對認可機構從事的外包活動表達了相當明確的監管態度,即只要認可機構的外包安排具備周詳的計劃和妥善的管理,且不會導致損害客戶利益的情形發生,金管局就不會阻撓。[4]至於怎樣才算是具備了“周詳的計劃”和“妥善的管理”,則須由認可機構在實施其外包計劃之前事先同金管局進行商討。通常,認可機構須使金管局確信其能夠做到如下幾個方面:第一,認可機構繼續保留對外包業務的最終控制權,其董事會與管理層對外包出去的業務負有最終責任;第二,確保在推行外包計劃前後對外包安排實施全面持續的風險評估,並對有關風險進行妥善處理;第三,確保選定服務供應商之前已對其進行嚴格調查,選定之後又具備持續監察服務供應商的適當管控措施;第四,確保簽定的外包協議內容明確詳盡,並對該協議進行定期審查和評估;第五,確保外包安排中有關客戶資料的保密性;第六,確保具有有效的外包安排管控程式及應變計劃;第七,確保審查與審計所必需之外包資訊的取用不受影響;第八,確保對跨國外包活動中風險的可控性;等等。

  除對一般外包活動確定指南外,金管局還通過後來發布的《科技風險管理的一般原則》和《電子銀行的監管》確定了網上銀行技術外包監管中需採取的一些特殊管控措施。例如,在選擇適當的技術服務供應商時,應注意所選的供應商須具備足夠的資源與專業知識,能夠遵守認可機構資訊科技管控政策的實質內容;而在將關鍵技術服務***如資料中心操作***外包的情況下,認可機構還應詳細評估技術服務供應商的資訊科技管理環境,且該評估最好由獨立於服務供應商以外的一方做出,獨立評估報告應清楚列明評估的目的、範圍及結果,並提交金管局以供參考。

  在同服務供應商簽訂外包協議時,金管局強調:首先,應清楚載明技術服務供應商的履行標準、明確有關軟硬體的所有權及服務供應商須承擔的其他責任。如技術服務供應商應確保其職員或代理人對取得的認可機構的資訊嚴格保密,以及遵守認可機構有關資訊科技的管控政策與程式等。其次,鑑於技術服務供應商可能進一步將有關服務分包給其他方負責,認可機構應考慮在協議中增加一項約定,即技術服務供應商對有關服務的重大部分實施分包時,必須向認可機構發出通知或獲得後者的核準,而且此時原技術服務供應商仍須就分包出去的服務負責。

  在外包安排存續期間,為了對外包活動實施持續充分的監管和控制,除進行定期監察外,認可機構還應進行年度評估,以確保重要的技術服務供應商受到充分的資訊科技管控。不僅如此,為了避免因未能預見的技術服務供應商問題***如服務供應商財務狀況惡化而無力償債,或因其他困難而無法繼續提供有關服務和支援等***而導致有關銀行業服務無法使用,認可機構還應就已外包的關鍵技術服務制定必要的應變計劃,包括制訂退出管理計劃及物色額外或候補的技術服務供應商等。[5]此外,為了防止外包風險過於集中,做出技術外包安排的認可機構應儘量避免過度依賴單一的外部服務供應商提供關鍵的技術服務。

  在電子銀行外包活動中,除技術外包外,認可機構還可能通過外聘技術服務供應商的方式來提供與技術有關的支援與服務。對於這些外聘活動所引發的風險和問題,金管局指出,“認可機構應制定有關如何管理各類主要外聘科技服務供應商的指引。”而此種指引也應包括揀選服務供應商的程式,核准重大例外情況的程式,以及避免過度依賴單一技術服務供應商提供關鍵技術服務等主要內容。重要國際組織確立的指導性原則。一些國際金融組織也就外包風險及其管理問題展開了有益探索,並提煉總結出了對各國金融監管當局均頗具參考價值的重要經驗。例如,為了指導和協助銀行等金融機構及其監管者們有效地解決外包問題以及防範和控制外包風險,由巴塞爾銀行監管委員會、國際證券委員會組織、國際保險監管協會組成的聯合論壇就於2005年2月共同釋出了可普遍適用於銀行、保險以及證券行業的受監管金融機構及外包服務商的題為《金融服務的外包》的最新指導性檔案。[6]

  該檔案提出了9項高階原則:1、實施業務外包的受監管實體應具備一套全面的政策,以便對關於是否及如何適當開展外包活動的評估工作進行指導。董事會或相應機構不僅要對其外包政策負責,而且還要對根據該政策實施的活動承擔有關責任;2、受監管實體應制訂一套全面的外包風險管理計劃,以管理外包活動及處理其同服務供應商的關係;3、受監管實體應確保有關外包安排不會削弱其向客戶及監管者履行義務的能力以及不妨礙監管者的有效監管;4、受監管實體在選擇第三方服務供應商時應保持合理審慎;5、應以書面合同確定外包關係,合同中應清楚載明外包安排的所有實質性問題,包括各方當事人的權利、義務與預期;6、受監管實體及其服務供應商應制訂和保留包括災難恢復計劃和定期檢測備份設施在內的應急計劃;7、受監管實體應採取適當措施要求服務供應商保護受監管實體及其客戶的機密資訊,以防有關資訊被有意無意地披露給未經授權者;8、監管者應將外包活動作為其持續評估受監管實體時的組成部分。監管者應通過適當方法使自己確信有關外包安排不會導致受監管實體無法滿足其法定要求;9、監管者應認識到多個受監管實體將業務活動集中外包給少量服務供應商可能帶來的潛在風險。概括說來,在這些關於金融服務外包活動的原則之中,前七項涉及的是實施外包的受監管實體的責任問題,後兩項則涉及的是監管者的作用與職責問題。

  國際經驗對我國內地電子銀行業務外包風險管理的啟示

  就我國內地電子銀行發展的實踐來看,外包活動尤其是技術外包已逐漸進入人們的視野。2002年,深圳發展銀行和高陽公司簽訂了為期10年的災難備援外包服務合同,成為內地首個銀行IT系統外包合同。[7]前不久,國家開發銀行又與惠普公司簽訂了首份戰略性IT外包服務合同。[8]在我國,技術外包對那些不具備專業技術力量的中小銀行具有相當大的吸引力,因為只要通過適當的外包安排,中小銀行在電子銀行業務領域佔有一席之地的可能性就會大大提高。不僅如此,外包作為一種優化企業資源配置的戰略也越來越得到銀行業界的認同。可見,外包在內地具有良好的市場前景。

  外包活動的日趨頻繁及其帶來的各種風險需要我國內地的銀行業監管機構密切關注銀行業的外包實踐,制訂和完善相應監管制度,將外包風險納入電子銀行業務的審慎監管框架。而諸如巴塞爾委員會發布的《電子銀行業務風險管理原則》與《金融服務的外包》指南,美國貨幣監理署釋出的《監理手冊》及其它關於外包風險管理專門檔案,以及香港金管局出臺的《外判》、《科技風險管理的一般原則》及《電子銀行的監管》等,對於我國內地有關監管制度的確立顯然具有重大的啟示意義。事實上,在我國內地電子銀行業務監管法制的建設實踐中,也的確充分借鑑和參考了這些重要檔案中蘊含的國際經驗與原則。

  近些年來,我國內地相關部門因應電子銀行業務實踐的發展而不斷制訂和出臺一系列監管規則,目前已然初步確立起了電子銀行業務及其風險監管的整體框架。綜觀現行監管法律制度,大致由兩個方面內容構成:一是那些可同樣適用於新型電子銀行業務的傳統監管制度中的有關規定,主要指2004年2月1日起施行的《中華人民共和國中國人民銀行法***修正案***》、《中華人民共和國商業銀行法***修正案***》和《中華人民共和國銀行業監督管理法》,以及經2006年11月11日修訂後於同年12月11日正式施行的《外資銀行管理條例》及其《實施細則》等;二是新制訂的電子銀行業務專門性監管規章,目前主要指由中國人民銀行於2005年10月釋出的《電子支付指引***第一號***》***簡稱《指引》***,由中國銀行業監督管理委員會***簡稱銀監會***於2006年1月26日頒佈並於2006年3月1日起施行的《電子銀行業務管理辦法》***簡稱《管理辦法》***、《電子銀行安全評估指引》***簡稱《評估指引》***以及《電子銀行安全評估機構業務資格認定工作規程》***簡稱《工作規程》***等。

  起初,我國銀行監管部門中對於電子銀行業務的外包風險並未給予足夠重視,因而在中國人民銀行2001年制訂的《網上銀行業務管理暫行辦法》***簡稱《暫行辦法》***之中尚未有所涉及。但隨著電子銀行業務外包實踐的發展,外包風險的日漸突顯,以及國際社會相關監管經驗的不斷豐富,2006年銀監會制定的《管理辦法》就彌補了過去《暫行辦法》在這方面的缺憾和不足,專設一章規定了電子銀行業務外包和選擇外包方的基本要求以及對外包風險的管理原則,將外包風險真正納入了電子銀行審慎監管框架之中。

  具體而言,對於因外包活動而產生的各種風險,《管理辦法》所確立的防範與管理原則主要包括:其一,確定合理的外包及外包風險控制戰略,即合理確定外包的原則與範圍,評估外包風險,建立健全規章制度,制定風險防範措施,將外包風險納入總體安全策略中;其二,謹慎選擇外包服務供應商,即應盡職調查和充分審查、評估外包供應商的狀況與能力;其三,簽訂書面合同,明晰雙方權利義務,規定外包服務供應商的保密義務與責任;其四,建立完整的外包風險評估與監測程式,審慎管理外包風險;其五,建立針對外包風險的應急計劃及保證外包服務的應急預案;其六,對涉及機密資料管理與傳遞環節的重大系統進行外包時應經過金融機構董事會或法人代表批准,並在外包前向中國銀監會報告。

  與《暫行辦法》相比,這可以說是個重大進步,但其內容上的侷限性仍然十分明顯,原則性有餘操作性不足的問題依然存在。對此,筆者認為,今後銀監會應繼續關注國際社會有關外包風險管理原則的最新發展,並結合本國電子銀行業務外包實務的特點和需要適時推出更為詳盡、全面的電子銀行業務外包管理指南以及更具操作性的外包風險管理實施細則。

  篇二

  《 我國電子銀行的分類與定義 》

  1電子銀行的定義與分類

  中國銀監會發布的《電子銀行業務管理辦法》中對電子銀行進行了定義:“是指商業銀行等銀行業金融機構利用面向社會公眾開放的通訊通道或開放型公眾網路,以及銀行為特定自助服務設施或客戶建立的專用網路,向客戶提供的銀行服務。電子銀行業務包括利用計算機和網際網路開展的銀行業務,利用電話等聲訊裝置和電信網路開展的銀行業務,利用行動電話和無線網路開展的銀行業務,以及其他利用電子服務裝置和網路,由客戶通過自助服務方式完成金融交易的銀行業務。”國內電子銀行概念的提出是從網上銀行普及開始的,各銀行已經普遍建立了電子銀行的業務渠道體系。下一步,分別建立的電話銀行、網上銀行、自助銀行等系統將整合在一起,形成完整的電子銀行系統。

  2不同種類電子銀行的安全威脅

  各類電子銀行的安全性,可以從客戶端、傳輸線路和服務部端三個部分去考慮。我們在之前的技術文章中,已經討論過網上銀行的安全性問題,其中對銀行伺服器端的威脅與安全防護已經解釋得很詳細,在此就不再贅述,主要談一談幾類電子銀行客戶端的安全問題。

  2.1網上銀行

  網上銀行使用者使用PC或筆記本上網,利用網銀的B/S或C/S客戶端上網,其面臨的威脅是多方面的。攻擊目的一般都是獲取使用者的賬號、口令和個人證書等資訊,冒充使用者身份非法轉移資金。網上銀行客戶端易受惡意程式碼、釣魚、輸入擷取、證書盜取和交易篡改等攻擊。惡意程式碼包括蠕蟲、病毒、惡意指令碼等,通常作為侵入客戶端的第一個手段;釣魚攻擊是偽造網上銀行交易系統,誘使投資者使用虛假系統登入,造成賬號和口令的洩密;輸入擷取是獲得使用者的擊鍵或滑鼠點選記錄,通常包括網上銀行的賬號與口令;證書盜取是取得使用者計算機中個人證書,以冒充使用者的身份;交易篡改是相對較少出現但很有威脅的一種攻擊,可以將使用者的網上銀行操作指令內容進行非法改變,以實現其攻擊目的。網上銀行客戶端的安全保護需要從兩個方面去考慮,一是作業系統的安全性,二是網上銀行客戶端本身的安全性。

  作業系統安全,可以從打補丁、做好安全配置、良好的上網習慣等方面著手。如果能保障作業系統的安全,可以有效防止攻擊者通過控制作業系統而攻擊網上銀行。網上銀行客戶端的安全防護主要由安全控制元件實現,通常包括輸入資訊的保護、程序保護、檔案保護等功能。銀行要重點加強網上銀行客戶端的安全性,在客戶教育中強調作業系統的安全性。不過事實證明,無論銀行如何加強安全教育,網上銀行使用者的計算機水平與安全意識還是相差很大,總是有一部分使用者的水平不足,作業系統安全性很差。所以對於銀行來說,技術防禦手段還主要是從客戶端著手,儘量多地考慮可行的安全功能,力爭“在不安全的作業系統環境下,實現安全的網上銀行交易”。

  2.2手機銀行

  3G和高效能智慧手機的普及,使手機銀行正式登場,已經向主要的業務渠道去發展。2G時代手機的頻寬不足,很多網路應用無法開展。到了3G時代,一個手機的網路頻寬甚至要比PC的網路頻寬還要大,加上1G左右的CPU運算速度和相匹配的記憶體,大部分的網路應用都可以在手機上實現,例如手機上網、手機炒股、手機錢包、手機支付、移動商務、地圖導航等。將來,手機銀行會與網上銀行一樣,成為被攻擊的重點。目前手機銀行的風險主要來自智慧手機本身。從本質上說,手機安全和PC終端安全原理上一致,但手機安全也有其自身的特點,一是現有手機作業系統的安全機制可以被破解,二是手機軟體市場的混亂無序。手機作業系統在設計之初,不約而同地採取了“應用准入”的機制,即只有通過相關廠商或機構驗證的軟體,才可以安裝在手機中。典型的當然是AppleIOS,在IPhone、IPAD等裝置上安裝軟體,必須要從AppStore下載。

  這個限制當然主要是出於商業持續贏利目的而設計,而客觀上也確實能夠保護那些下載者,AppStore上出售的軟體都是經過安全驗證的,可以讓使用者免受惡意軟體的入侵。而針對性的攻擊手段也已經存在,這就是越獄***Jailbreaking***,它可以突破限制,讓使用者免費、自由地下載破解後的軟體,受到“廣大使用者的歡迎”。但那些破解後的軟體全部來自於非正規的地下開發者,其安全性完全得不到保障,很可能會有惡意程式碼包含在其中。

  無獨有偶,這方面另一個典型的例子就是Symbian,這個手機作業系統市場曾經的老大。雖然SymbianOS9.x具有了強制簽名機制,但仍然被人找到了漏洞可以突破這個限制。針對S60的最新韌體版本的簽名破解程式已經出現,破解之後強制簽名機制將不再有效。很多使用者為了不受限制,同樣進行了這種破解操作,導致系統本身失去了安全性,也就給惡意軟體的入侵帶來了機會。破解之後,智慧手機就可以無限制地下載應用軟體了,雖然這很方便,但其中的安全隱患大大提升。

  由於智慧手機的興起,一個規模巨大的市場被創造出來,各路開發商和團隊紛紛搶佔地盤,推出自己的手機應用產品,力圖分得更大的一塊蛋糕。這些開發團隊魚龍混雜,有非常多的非正規團隊,他們編寫的程式只注重功能實現,可能存在嚴重的安全隱患,容易被人利用。甚至地下開發者也會混跡其中,在各類手機下載網站上釋出綁定了惡意軟體的應用程式。客觀地講,目前手機相關的安全事件沒有傳統PC安全事件那麼多,那麼嚴重。這是由於現階段傳統PC終端還是擁有最大數量的使用者群,更受攻擊者關注,而不是因為手機更安全。從大環境看,智慧手機的綜合安全能力不如傳統PC終端。

  2.3電話銀行

  電話銀行出現較早,最初可以實現查詢的簡單功能,後來又逐步加入支付、轉賬等功能,而且與呼叫中心的人工服務結合起來,成為一個比較簡易方便的銀行業務渠道。電話銀行的安全問題比較有特點:安全隱患大而威脅小,所以總體風險不高。安全隱患大,主要由於電話傳輸的訊號是明文,從電話機到電信運營商中間的路線如果被非法搭接,可以竊聽到所有重要資訊;威脅小,是因為實際情況中去非法搭接電話線路、想偷取重要資訊的攻擊者非常少。一方面由於攻擊者有更方便攻擊、更多目標的網上銀行,不會去費勁冒風險在電線杆上爬上爬下,一方面由於電話銀行的使用者並不廣泛,即使監聽也很可能不會得到有用的資訊。

  2.4家居銀行

  與電話銀行類似的家居銀行,是有可能受到較大威脅的。家居銀行已經在某些省市出現,其業務終端是使用者在家裡的電視機與機頂盒,藉助廣電網路傳輸銀行業務資訊,進行查詢、繳費等業務處理。從使用者家中到廣電那一端的傳輸是明文的,因為機頂盒通常沒有加密功能。我們在對幾個不同家居銀行的安全測試中發現,廣電網路的線路是可以進行監聽的,從某戶居民的有線電纜接入,可以監聽到其他居民的訊號。家居銀行應當在機頂盒軟體里加入足夠強度的加密功能,防止傳輸的資訊被非法竊聽。

  2.5自助銀行

  自助銀行目前有ATM***自動櫃員機,取款***,存取款機,多功能終端等形式,是銀行在特定地點向用戶提供自助服務的一種重要的業務形式。大部分自助銀行裝置被直接利用計算機技術攻擊的可能性不大。自助終端裝置都是銀行特製的機具,雖然作業系統採用的是可能存在較多漏洞的Windows桌面作業系統,如Win98、XP等,但由於輸入裝置通常為數字和特製的鍵盤,無法輸入計算機命令。同時終端也沒有外接裝置的介面,又不直接連線公共網路,因此不太可能進行攻擊。這類可以存取款的裝置,主要面臨被偷窺使用者輸入的密碼、通過讀卡器偷取銀行卡資訊等威脅。而多功能終端不同於其他自助銀行裝置,它可以提供通過Internet訪問特定網站和網銀的功能。其本身是一臺完整的計算機,利用標準鍵盤輸入,有滑鼠,甚至可能有USB介面,供使用者插入U盾。這種終端被攻擊的可能性就大大增加了。攻擊者可能利用U盤在多功能終端上植入非法程式,偷取其他使用者的資訊。也可能利用一些命令的操作,去開啟原本不被允許訪問的網站,下載木馬程式。甚至直接跳出多功能終端限定的使用者操作環境,進入到作業系統,這樣可以進行的攻擊就更多了。

  3全面考慮電子銀行面臨的威脅

  以上討論的各類電子銀行,都各自面臨不同的威脅,但需要注意的是,這些不同種類電子銀行的安全性會相互影響,如電話銀行/呼叫中心的安全性,可能會影響到網上銀行的安全性。前不久國內銀行就出現了這樣一個案例:一位女士在某銀行辦理了信用卡,但可能個人開卡相關的資訊被洩露出去,有人利用這些資訊,通過電話銀行激活了信用卡的網上支付功能,並且修改了簡訊通知的手機號碼。結果她的信用卡被人在購物網站上利用網銀支付功能,盜刷了2萬餘元。這是一個比較有代表性的案例,電話銀行的安全漏洞影響到了網上銀行的安全性,最終導致了使用者資金被盜。因此銀行在考慮不同種類電子銀行安全性的同時,也應注意從整體上考慮安全防範手段,如限定交易額、加強身份驗證憑據、銀行操作的簡訊通知等,都不應只考慮本類電子銀行的安全威脅與保護需求,要同時考慮它們之間的相互作用和影響。

  4結語

  本文描述了當前電子銀行的分類以及所面臨的安全問題,對於不同安全威脅的分析結果,提出瞭解決建議。瞭解當前電子銀行現狀,不僅有利於電子銀行自身的發展,也提升了客戶的體驗度以及滿足上級監管部門的要求。更為重要的是,為以後對於識別風險、規避風險做好了準備。

有關推薦: