有关电子银行专业毕业论文
有关电子银行专业毕业论文
近年来,我国的电子银行业务得到了飞速发展,蕴藏了较大的风险。下面是学习啦小编为大家整理的有关电子银行专业毕业论文,供大家参考。
有关电子银行专业毕业论文篇一
《 管理和控制电子银行外包风险 》
电子银行业务外包风险概述
电子银行业务系统的成功运转需要大量硬件设施与软件程序的支持,这些硬件与软件如果要完全依靠银行机构的内部力量进行研究和开发,无疑需要银行投入巨额的开发与维护资金,并引进大量的技术人员。除少数大型银行机构外,大多数银行并不具备如此强大的资金与技术实力。不仅如此,这种占据银行机构内部大量资源的做法还可能造成银行精力的分散,使之无法集中于核心业务的经营与处理之上,从而阻碍其服务品质的提高。有鉴于此,许多银行为了控制成本,获取必要的专业技术支持,扩展客户产品的营销渠道以及改善服务质量,往往会选择将原本由银行内部实现的一部分网上银行业务功能外包给一个或多个技术服务供应商(TSPs),如硬件软件销售商、电信公司、专家公司和其他支持性经营者等,利用这些外包商所提供的服务来支持网上银行业务系统的运转。可见,通过寻求外部支持已成为许多银行机构节约成本、提高其核心竞争力的一项重大战略选择。也正因为如此,伴随着电子银行业务的兴起和蓬勃发展,与之相关的外包活动也日益频繁起来。
尽管外包关系的建立具有一定的经济合理性与必要性,但它给银行机构带来的各种特殊风险依然不可小觑,而在互联网环境下,这些风险更是呈现出加重和扩大的趋势。
总体看来,外包关系所带来的风险大多源于两个方面:一是银行的规划不合理或监督与控制不力;二是第三方外包商的执行或服务不达标。
就银行而言,在做出网上银行业务之提供是否需要借助外部第三方力量的决定之前,若没有进行充分的风险评估、成本收益分析、目标兼容性调查及合法性与可行性研究,若未能采用针对第三方外包活动的适当风险管理机制与监督措施,若尚不具备实施监督所必需的足够的专业技术能力与经验,则极容易产生战略性风险。
而从外包商的角度看,这些提供技术支持与服务的供应商或销售商在网上银行业务活动中通常是作为第三方出现的,不受管制的他们对网上银行业务活动的介入无疑会对银行机构的整体风险状况产生重大影响,给银行机构带来额外的不稳定因素。例如,银行可能由于外包商的不当或不法行为,如提供劣质服务、发生服务中断、实施不适当推销、违反信息安全操作规程、违反客户隐私保护政策、违反消费者保护法等而被迫陷入诉讼,不但法律风险陡增,还可能遭受财产与信誉损失。尤其是当外包安排中需要外包商的职员直接同银行客户打交道时,银行因外包商的产品或服务不符合银行所制订的政策与标准而遭到信誉损失的可能性更可能大大增加。为此,银行对外包商所提供之产品与服务的品质与适当性进行密切监测实为必要。
电子银行业务中日益突出的外包风险较之传统银行业务环境下更加突出、复杂和严重,更易迅速传递和扩散,对银行机构的安全与稳健也具有更深刻的影响和更大的破坏性。在电子银行业务最为发达的美国,2001年就曾发生这样一起因外包安排而致使银行遭受风险的案例。当时,虽然只是一家美国的主机公司(hostingcompany)受到黑客袭击,但却有超过300家银行因此而受到损害。[1]电子银行业务环境下外包风险的巨大冲击力可见一斑。
如果银行机构所利用的服务供应商位于另一个国家,则可能带来更为复杂的跨境外包风险。这种因利用外国服务供应商而造成的风险既可能是因外国外包商不受银行机构及其监管机关有效监控而产生的操作风险,也可能是因有关外包活动违反他国法律法规而引发的法律风险,甚至还可能是因外包商所在国的经济、社会或政治等因素致使其无法履约而带来的国家风险等。
有鉴于此,关注第三方或外包商所带来的各种风险,尤其是其中的战略风险、操作风险、法律风险与信誉风险,重新评价现有银行业管制框架的有效性,并在第三方介入有关服务提供的情况下采取相应措施对外包关系及其风险加以有效管理十分必要。
电子银行业务外包风险管理的国际经验
为应对日益突出的电子银行业务外包风险,有关国家与地区的监管当局以及一些重要的国际金融组织都纷纷着手研究外包活动及其风险的特殊性,探索对其实施有效管理与监控的基本原则与方法。企业家天地2011年第11期中旬刊管理Management有关国家和地区监管当局确立的主要原则与方法。
美国的实践。以美国为例,在美国的电子银行业务发展实践中,大多数银行都不愿自己进行技术设计和网络系统的安装与维护,而是选择将这些工作外包出去。由于大量外包活动所带来的风险很可能危及银行机构的整体安全与稳健,负责银行业机构监管的各个监管机构都意识到了这一问题的严重性,因而在对各种电子银行业务风险进行监管时特别重视外包风险的管理和控制。
这些美国银行监管机构曾在多部监管文件中确立了有关电子银行外包风险管理的指南。例如,货币监理署(简称OCC)于1999年发布的《网上银行业务———监理手册》(简称《监理手册》)就曾概括性地强调,银行机构应加强对网上银行业务外包之相关风险的控制。它明确要求:银行应定期对其技术支持来源进行重新评估;应将技术提供者的技术服务同银行自身战略计划程序相结合;银行机构在选择合作之供应商时应谨慎行事,事前签定正式协议明确双方权利义务;银行还应监督供应商的经营状况、财务状况、该供应商所具备之技术是否能与不断更新的技术保持一致以及是否具备良好的内部管理等等。[2]
除《监理手册》外,联邦金融机构审查理事会(FFIEC)于2000年11月发布的《外包技术服务风险管理指南》,OCC于2001年11月发布的《第三方关系:风险管理原则》,以及FFIEC于2003年8月发布的《电子银行业务:信息技术审查手册》等监管文件都就管理外包风险制订了专门规则。根据这些文件,要有效防范和控制外包风险,银行机构需要做到如下几点:其一,慎重选择合格的服务供应商,即要求银行在选择新的服务供应商时保持有效的合理谨慎,考虑其财务状况、经验、专业技能、技术兼容性以及客户满意度;其二,重视以书面合同形式明定各方权利、义务与责任,即要求银行与供应商签订书面合同,并在其中载明囊括保护银行数据的隐私与安全,银行对数据的所有权,审查安全与控制的权利,监测服务质量的能力,限制银行对服务供应商的行为可能承担的责任,以及终止合同等方面内容的具体条款;其三,依合理程序对供应商实施持续监测,即要求银行具备一套监测销售商的业绩表现、服务质量、安全控制、财务状况和守约情况的适当程序;其四,对包括事故反应与通知在内的报告和预测进行监测。[3]
新加坡的实践。在新加坡,对发展电子银行业务所带来的各种加重的风险,新加坡货币局(MAS)给予了高度重视。在MAS看来,更适当的做法应该是基于各银行具体情形和战略的不同采用以风险为本的监管方法(arisk-basedsupervisoryap-proach)。2003年6月,MAS发布了最新的《网上银行业务技术风险管理指引》,要求各银行切实遵行。该指引涵盖的内容十分全面,其中尤值一提的是,它为银行的外包活动及其管理确立了具体指南。MAS认为,银行将其有关经营操作外包给第三方并不会消除或减轻银行机构所承担的职责与责任。它强调,银行有责任确保其服务供应商的营业水平以及他们所提供的服务的可靠性与安全性达到银行网上银行业务所要求的水平。
针对如何管理外包风险的问题,该指引提出了以下三点具体要求:第一,要求银行董事会与高级管理层充分认识将其网上银行业务操作外包出去所产生的相关风险。具体说来,在将有关活动委托或承包给某个外部服务供应商之前,银行应当合理审慎地确定此种安排的可行性以及外包商的素质能力、可靠性、历史记录和财务状况等;并应以书面协议的形式细致和恰当地写明有关合同各方当事人的地位、关系、义务与责任的具体合同条件与条款。第二,要求银行遵守有关管制、审计或守法要求,切实实施审查或评估。具体而言,就是应当要求服务供应商向银行指定的所有当事方提供利用银行系统、业务、文件及设施的服务;不仅如此,银行与服务供应商还应在其所订协议中承认管制机关依《银行业法》所拥有的对服务供应商的地位、职责、义务、功能、系统和设施实施检查、监督或审查的权力。第三,要求银行和服务供应商遵守《银行业法》中关于银行业的保密要求。换言之,银行同服务供应商之间的合同与安全应当满足保护客户信息机密性的需要,也应符合所有现行法律法规的要求。
针对如何监测外包安排,该指引也做出了相应规定:其一,银行应要求服务供应商执行与其自身操作同样严格的安全政策、程序和控制;银行应定期审查和监测服务供应商的安全做法与程序,如定期取得有关服务供应商操作方面的安全充足性与守法性的专家报告;为监督服务供应商是否持续达到约定的服务水平以及其操作的可行性,还应设立一道监测服务供应商的服务提供、履约可靠性及加工处理能力的程序。其二,随着银行的外包关系日益复杂和重要以及其对外包关系的依赖性日益增强,为确保银行管理层不丢掉其保护银行核心操作与服务的职责,应当采取一种强有力的风险管理方法。
我国香港特区的实践。在香港,较为典型的银行业外包活动主要表现为将原本由认可机构自行提供的数据处理、客户服务(如热线中心)及后勤支援等业务项目外包给香港或海外的服务供应商。电子银行由于需要借助复杂的信息与网络技术,其所涉及的与技术有关的外包活动愈加普遍。面对银行业外包活动的日趋活跃,香港金融管理局(简称金管局)敏锐地洞察到其中潜藏的各种风险与问题,因而发布了一系列建议性文件,从不同角度提出了对外包活动尤其是外包风险实施监管的原则与指南。
2001年12月金管局制定的一份以《外判》为标题的文件可适用于所有认可机构的银行业外包活动,这份文件虽然并非专门针对电子银行,但其中载明的一般监管方法及有关技术外包的管控措施等均对电子银行的外包活动具有重要的参考价值。
在《外判》指引中,金管局对认可机构从事的外包活动表达了相当明确的监管态度,即只要认可机构的外包安排具备周详的计划和妥善的管理,且不会导致损害客户利益的情形发生,金管局就不会阻挠。[4]至于怎样才算是具备了“周详的计划”和“妥善的管理”,则须由认可机构在实施其外包计划之前事先同金管局进行商讨。通常,认可机构须使金管局确信其能够做到如下几个方面:第一,认可机构继续保留对外包业务的最终控制权,其董事会与管理层对外包出去的业务负有最终责任;第二,确保在推行外包计划前后对外包安排实施全面持续的风险评估,并对有关风险进行妥善处理;第三,确保选定服务供应商之前已对其进行严格调查,选定之后又具备持续监察服务供应商的适当管控措施;第四,确保签定的外包协议内容明确详尽,并对该协议进行定期审查和评估;第五,确保外包安排中有关客户资料的保密性;第六,确保具有有效的外包安排管控程序及应变计划;第七,确保审查与审计所必需之外包信息的取用不受影响;第八,确保对跨国外包活动中风险的可控性;等等。
除对一般外包活动确定指南外,金管局还通过后来发布的《科技风险管理的一般原则》和《电子银行的监管》确定了网上银行技术外包监管中需采取的一些特殊管控措施。例如,在选择适当的技术服务供应商时,应注意所选的供应商须具备足够的资源与专业知识,能够遵守认可机构信息技术管控政策的实质内容;而在将关键技术服务(如数据中心操作)外包的情况下,认可机构还应详细评估技术服务供应商的信息技术管理环境,且该评估最好由独立于服务供应商以外的一方做出,独立评估报告应清楚列明评估的目的、范围及结果,并提交金管局以供参考。
在同服务供应商签订外包协议时,金管局强调:首先,应清楚载明技术服务供应商的履行标准、明确有关软硬件的所有权及服务供应商须承担的其他责任。如技术服务供应商应确保其职员或代理人对取得的认可机构的信息严格保密,以及遵守认可机构有关信息技术的管控政策与程序等。其次,鉴于技术服务供应商可能进一步将有关服务分包给其他方负责,认可机构应考虑在协议中增加一项约定,即技术服务供应商对有关服务的重大部分实施分包时,必须向认可机构发出通知或获得后者的核准,而且此时原技术服务供应商仍须就分包出去的服务负责。
在外包安排存续期间,为了对外包活动实施持续充分的监管和控制,除进行定期监察外,认可机构还应进行年度评估,以确保重要的技术服务供应商受到充分的信息技术管控。不仅如此,为了避免因未能预见的技术服务供应商问题(如服务供应商财务状况恶化而无力偿债,或因其他困难而无法继续提供有关服务和支持等)而导致有关银行业服务无法使用,认可机构还应就已外包的关键技术服务制定必要的应变计划,包括制订退出管理计划及物色额外或候补的技术服务供应商等。[5]此外,为了防止外包风险过于集中,做出技术外包安排的认可机构应尽量避免过度依赖单一的外部服务供应商提供关键的技术服务。
在电子银行外包活动中,除技术外包外,认可机构还可能通过外聘技术服务供应商的方式来提供与技术有关的支持与服务。对于这些外聘活动所引发的风险和问题,金管局指出,“认可机构应制定有关如何管理各类主要外聘科技服务供应商的指引。”而此种指引也应包括拣选服务供应商的程序,核准重大例外情况的程序,以及避免过度依赖单一技术服务供应商提供关键技术服务等主要内容。重要国际组织确立的指导性原则。一些国际金融组织也就外包风险及其管理问题展开了有益探索,并提炼总结出了对各国金融监管当局均颇具参考价值的重要经验。例如,为了指导和协助银行等金融机构及其监管者们有效地解决外包问题以及防范和控制外包风险,由巴塞尔银行监管委员会、国际证券委员会组织、国际保险监管协会组成的联合论坛就于2005年2月共同发布了可普遍适用于银行、保险以及证券行业的受监管金融机构及外包服务商的题为《金融服务的外包》的最新指导性文件。[6]
该文件提出了9项高级原则:1、实施业务外包的受监管实体应具备一套全面的政策,以便对关于是否及如何适当开展外包活动的评估工作进行指导。董事会或相应机构不仅要对其外包政策负责,而且还要对根据该政策实施的活动承担有关责任;2、受监管实体应制订一套全面的外包风险管理计划,以管理外包活动及处理其同服务供应商的关系;3、受监管实体应确保有关外包安排不会削弱其向客户及监管者履行义务的能力以及不妨碍监管者的有效监管;4、受监管实体在选择第三方服务供应商时应保持合理审慎;5、应以书面合同确定外包关系,合同中应清楚载明外包安排的所有实质性问题,包括各方当事人的权利、义务与预期;6、受监管实体及其服务供应商应制订和保留包括灾难恢复计划和定期检测备份设施在内的应急计划;7、受监管实体应采取适当措施要求服务供应商保护受监管实体及其客户的机密信息,以防有关信息被有意无意地披露给未经授权者;8、监管者应将外包活动作为其持续评估受监管实体时的组成部分。监管者应通过适当方法使自己确信有关外包安排不会导致受监管实体无法满足其法定要求;9、监管者应认识到多个受监管实体将业务活动集中外包给少量服务供应商可能带来的潜在风险。概括说来,在这些关于金融服务外包活动的原则之中,前七项涉及的是实施外包的受监管实体的责任问题,后两项则涉及的是监管者的作用与职责问题。
国际经验对我国内地电子银行业务外包风险管理的启示
就我国内地电子银行发展的实践来看,外包活动尤其是技术外包已逐渐进入人们的视野。2002年,深圳发展银行和高阳公司签订了为期10年的灾难备援外包服务合同,成为内地首个银行IT系统外包合同。[7]前不久,国家开发银行又与惠普公司签订了首份战略性IT外包服务合同。[8]在我国,技术外包对那些不具备专业技术力量的中小银行具有相当大的吸引力,因为只要通过适当的外包安排,中小银行在电子银行业务领域占有一席之地的可能性就会大大提高。不仅如此,外包作为一种优化企业资源配置的战略也越来越得到银行业界的认同。可见,外包在内地具有良好的市场前景。
外包活动的日趋频繁及其带来的各种风险需要我国内地的银行业监管机构密切关注银行业的外包实践,制订和完善相应监管制度,将外包风险纳入电子银行业务的审慎监管框架。而诸如巴塞尔委员会发布的《电子银行业务风险管理原则》与《金融服务的外包》指南,美国货币监理署发布的《监理手册》及其它关于外包风险管理专门文件,以及香港金管局出台的《外判》、《科技风险管理的一般原则》及《电子银行的监管》等,对于我国内地有关监管制度的确立显然具有重大的启示意义。事实上,在我国内地电子银行业务监管法制的建设实践中,也的确充分借鉴和参考了这些重要文件中蕴含的国际经验与原则。
近些年来,我国内地相关部门因应电子银行业务实践的发展而不断制订和出台一系列监管规则,目前已然初步确立起了电子银行业务及其风险监管的整体框架。综观现行监管法律制度,大致由两个方面内容构成:一是那些可同样适用于新型电子银行业务的传统监管制度中的有关规定,主要指2004年2月1日起施行的《中华人民共和国中国人民银行法(修正案)》、《中华人民共和国商业银行法(修正案)》和《中华人民共和国银行业监督管理法》,以及经2006年11月11日修订后于同年12月11日正式施行的《外资银行管理条例》及其《实施细则》等;二是新制订的电子银行业务专门性监管规章,目前主要指由中国人民银行于2005年10月发布的《电子支付指引(第一号)》(简称《指引》),由中国银行业监督管理委员会(简称银监会)于2006年1月26日颁布并于2006年3月1日起施行的《电子银行业务管理办法》(简称《管理办法》)、《电子银行安全评估指引》(简称《评估指引》)以及《电子银行安全评估机构业务资格认定工作规程》(简称《工作规程》)等。
起初,我国银行监管部门中对于电子银行业务的外包风险并未给予足够重视,因而在中国人民银行2001年制订的《网上银行业务管理暂行办法》(简称《暂行办法》)之中尚未有所涉及。但随着电子银行业务外包实践的发展,外包风险的日渐突显,以及国际社会相关监管经验的不断丰富,2006年银监会制定的《管理办法》就弥补了过去《暂行办法》在这方面的缺憾和不足,专设一章规定了电子银行业务外包和选择外包方的基本要求以及对外包风险的管理原则,将外包风险真正纳入了电子银行审慎监管框架之中。
具体而言,对于因外包活动而产生的各种风险,《管理办法》所确立的防范与管理原则主要包括:其一,确定合理的外包及外包风险控制战略,即合理确定外包的原则与范围,评估外包风险,建立健全规章制度,制定风险防范措施,将外包风险纳入总体安全策略中;其二,谨慎选择外包服务供应商,即应尽职调查和充分审查、评估外包供应商的状况与能力;其三,签订书面合同,明晰双方权利义务,规定外包服务供应商的保密义务与责任;其四,建立完整的外包风险评估与监测程序,审慎管理外包风险;其五,建立针对外包风险的应急计划及保证外包服务的应急预案;其六,对涉及机密数据管理与传递环节的重大系统进行外包时应经过金融机构董事会或法人代表批准,并在外包前向中国银监会报告。
与《暂行办法》相比,这可以说是个重大进步,但其内容上的局限性仍然十分明显,原则性有余操作性不足的问题依然存在。对此,笔者认为,今后银监会应继续关注国际社会有关外包风险管理原则的最新发展,并结合本国电子银行业务外包实务的特点和需要适时推出更为详尽、全面的电子银行业务外包管理指南以及更具操作性的外包风险管理实施细则。
有关电子银行专业毕业论文篇二
《 我国电子银行的分类与定义 》
1电子银行的定义与分类
中国银监会发布的《电子银行业务管理办法》中对电子银行进行了定义:“是指商业银行等银行业金融机构利用面向社会公众开放的通讯通道或开放型公众网络,以及银行为特定自助服务设施或客户建立的专用网络,向客户提供的银行服务。电子银行业务包括利用计算机和互联网开展的银行业务,利用电话等声讯设备和电信网络开展的银行业务,利用移动电话和无线网络开展的银行业务,以及其他利用电子服务设备和网络,由客户通过自助服务方式完成金融交易的银行业务。”国内电子银行概念的提出是从网上银行普及开始的,各银行已经普遍建立了电子银行的业务渠道体系。下一步,分别建立的电话银行、网上银行、自助银行等系统将整合在一起,形成完整的电子银行系统。
2不同种类电子银行的安全威胁
各类电子银行的安全性,可以从客户端、传输线路和服务部端三个部分去考虑。我们在之前的技术文章中,已经讨论过网上银行的安全性问题,其中对银行服务器端的威胁与安全防护已经解释得很详细,在此就不再赘述,主要谈一谈几类电子银行客户端的安全问题。
2.1网上银行
网上银行用户使用PC或笔记本上网,利用网银的B/S或C/S客户端上网,其面临的威胁是多方面的。攻击目的一般都是获取用户的账号、口令和个人证书等信息,冒充用户身份非法转移资金。网上银行客户端易受恶意代码、钓鱼、输入截取、证书盗取和交易篡改等攻击。恶意代码包括蠕虫、病毒、恶意脚本等,通常作为侵入客户端的第一个手段;钓鱼攻击是伪造网上银行交易系统,诱使投资者使用虚假系统登录,造成账号和口令的泄密;输入截取是获得用户的击键或鼠标点击记录,通常包括网上银行的账号与口令;证书盗取是取得用户计算机中个人证书,以冒充用户的身份;交易篡改是相对较少出现但很有威胁的一种攻击,可以将用户的网上银行操作指令内容进行非法改变,以实现其攻击目的。网上银行客户端的安全保护需要从两个方面去考虑,一是操作系统的安全性,二是网上银行客户端本身的安全性。
操作系统安全,可以从打补丁、做好安全配置、良好的上网习惯等方面着手。如果能保障操作系统的安全,可以有效防止攻击者通过控制操作系统而攻击网上银行。网上银行客户端的安全防护主要由安全控件实现,通常包括输入信息的保护、进程保护、文件保护等功能。银行要重点加强网上银行客户端的安全性,在客户教育中强调操作系统的安全性。不过事实证明,无论银行如何加强安全教育,网上银行用户的计算机水平与安全意识还是相差很大,总是有一部分用户的水平不足,操作系统安全性很差。所以对于银行来说,技术防御手段还主要是从客户端着手,尽量多地考虑可行的安全功能,力争“在不安全的操作系统环境下,实现安全的网上银行交易”。
2.2手机银行
3G和高性能智能手机的普及,使手机银行正式登场,已经向主要的业务渠道去发展。2G时代手机的带宽不足,很多网络应用无法开展。到了3G时代,一个手机的网络带宽甚至要比PC的网络带宽还要大,加上1G左右的CPU运算速度和相匹配的内存,大部分的网络应用都可以在手机上实现,例如手机上网、手机炒股、手机钱包、手机支付、移动商务、地图导航等。将来,手机银行会与网上银行一样,成为被攻击的重点。目前手机银行的风险主要来自智能手机本身。从本质上说,手机安全和PC终端安全原理上一致,但手机安全也有其自身的特点,一是现有手机操作系统的安全机制可以被破解,二是手机软件市场的混乱无序。手机操作系统在设计之初,不约而同地采取了“应用准入”的机制,即只有通过相关厂商或机构验证的软件,才可以安装在手机中。典型的当然是AppleIOS,在IPhone、IPAD等设备上安装软件,必须要从AppStore下载。
这个限制当然主要是出于商业持续赢利目的而设计,而客观上也确实能够保护那些下载者,AppStore上出售的软件都是经过安全验证的,可以让用户免受恶意软件的入侵。而针对性的攻击手段也已经存在,这就是越狱(Jailbreaking),它可以突破限制,让用户免费、自由地下载破解后的软件,受到“广大用户的欢迎”。但那些破解后的软件全部来自于非正规的地下开发者,其安全性完全得不到保障,很可能会有恶意代码包含在其中。
无独有偶,这方面另一个典型的例子就是Symbian,这个手机操作系统市场曾经的老大。虽然SymbianOS9.x具有了强制签名机制,但仍然被人找到了漏洞可以突破这个限制。针对S60的最新固件版本的签名破解程序已经出现,破解之后强制签名机制将不再有效。很多用户为了不受限制,同样进行了这种破解操作,导致系统本身失去了安全性,也就给恶意软件的入侵带来了机会。破解之后,智能手机就可以无限制地下载应用软件了,虽然这很方便,但其中的安全隐患大大提升。
由于智能手机的兴起,一个规模巨大的市场被创造出来,各路开发商和团队纷纷抢占地盘,推出自己的手机应用产品,力图分得更大的一块蛋糕。这些开发团队鱼龙混杂,有非常多的非正规团队,他们编写的程序只注重功能实现,可能存在严重的安全隐患,容易被人利用。甚至地下开发者也会混迹其中,在各类手机下载网站上发布绑定了恶意软件的应用程序。客观地讲,目前手机相关的安全事件没有传统PC安全事件那么多,那么严重。这是由于现阶段传统PC终端还是拥有最大数量的用户群,更受攻击者关注,而不是因为手机更安全。从大环境看,智能手机的综合安全能力不如传统PC终端。
2.3电话银行
电话银行出现较早,最初可以实现查询的简单功能,后来又逐步加入支付、转账等功能,而且与呼叫中心的人工服务结合起来,成为一个比较简易方便的银行业务渠道。电话银行的安全问题比较有特点:安全隐患大而威胁小,所以总体风险不高。安全隐患大,主要由于电话传输的信号是明文,从电话机到电信运营商中间的路线如果被非法搭接,可以窃听到所有重要信息;威胁小,是因为实际情况中去非法搭接电话线路、想偷取重要信息的攻击者非常少。一方面由于攻击者有更方便攻击、更多目标的网上银行,不会去费劲冒风险在电线杆上爬上爬下,一方面由于电话银行的使用者并不广泛,即使监听也很可能不会得到有用的信息。
2.4家居银行
与电话银行类似的家居银行,是有可能受到较大威胁的。家居银行已经在某些省市出现,其业务终端是用户在家里的电视机与机顶盒,借助广电网络传输银行业务信息,进行查询、缴费等业务处理。从用户家中到广电那一端的传输是明文的,因为机顶盒通常没有加密功能。我们在对几个不同家居银行的安全测试中发现,广电网络的线路是可以进行监听的,从某户居民的有线电缆接入,可以监听到其他居民的信号。家居银行应当在机顶盒软件里加入足够强度的加密功能,防止传输的信息被非法窃听。
2.5自助银行
自助银行目前有ATM(自动柜员机,取款),存取款机,多功能终端等形式,是银行在特定地点向用户提供自助服务的一种重要的业务形式。大部分自助银行设备被直接利用计算机技术攻击的可能性不大。自助终端设备都是银行特制的机具,虽然操作系统采用的是可能存在较多漏洞的Windows桌面操作系统,如Win98、XP等,但由于输入设备通常为数字和特制的键盘,无法输入计算机命令。同时终端也没有外接设备的接口,又不直接连接公共网络,因此不太可能进行攻击。这类可以存取款的设备,主要面临被偷窥用户输入的密码、通过读卡器偷取银行卡信息等威胁。而多功能终端不同于其他自助银行设备,它可以提供通过Internet访问特定网站和网银的功能。其本身是一台完整的计算机,利用标准键盘输入,有鼠标,甚至可能有USB接口,供用户插入U盾。这种终端被攻击的可能性就大大增加了。攻击者可能利用U盘在多功能终端上植入非法程序,偷取其他用户的信息。也可能利用一些命令的操作,去打开原本不被允许访问的网站,下载木马程序。甚至直接跳出多功能终端限定的用户操作环境,进入到操作系统,这样可以进行的攻击就更多了。
3全面考虑电子银行面临的威胁
以上讨论的各类电子银行,都各自面临不同的威胁,但需要注意的是,这些不同种类电子银行的安全性会相互影响,如电话银行/呼叫中心的安全性,可能会影响到网上银行的安全性。前不久国内银行就出现了这样一个案例:一位女士在某银行办理了信用卡,但可能个人开卡相关的信息被泄露出去,有人利用这些信息,通过电话银行激活了信用卡的网上支付功能,并且修改了短信通知的手机号码。结果她的信用卡被人在购物网站上利用网银支付功能,盗刷了2万余元。这是一个比较有代表性的案例,电话银行的安全漏洞影响到了网上银行的安全性,最终导致了用户资金被盗。因此银行在考虑不同种类电子银行安全性的同时,也应注意从整体上考虑安全防范手段,如限定交易额、加强身份验证凭据、银行操作的短信通知等,都不应只考虑本类电子银行的安全威胁与保护需求,要同时考虑它们之间的相互作用和影响。
4结语
本文描述了当前电子银行的分类以及所面临的安全问题,对于不同安全威胁的分析结果,提出了解决建议。了解当前电子银行现状,不仅有利于电子银行自身的发展,也提升了客户的体验度以及满足上级监管部门的要求。更为重要的是,为以后对于识别风险、规避风险做好了准备。
有关有关电子银行专业毕业论文推荐: