作者:聂玉鹏
摘要: 网上银行是具有高科技含量的金融服务,它的产生和发展,拓宽了银行的服务方式,增加了银行的服务功能。同时,由于银行业务的虚拟化,使网上银行风险更具复杂性和蔓延性。本文从六个方面提出了针对防范网上银行支付结算风险的意见和建议。
关键词:网上银行 支付结算 风险
当前,信息化技术日新月异,计算机将大量重复劳动和复杂运算在瞬间完成,互联网技术又让信息和传递跨越了空间距离。这种把信息和时空上的优化配置深刻影响了各行各业的发展。银行也不例外,特别对农村信用社来说,用户分布地域广,有的还比较偏僻,金融服务难免有覆盖不到的地方,电子银行的发展为农村金融普惠提供了手段。
电子银行业务突破了传统时间和空间的限制、分流柜面业务、降低服务成本、减轻一线员工工作压力和劳动强度、增加新的效益增长空间等优势在银行转型发展中发挥着越来越重要的作用。但在现实生活中不法分子针对网上银行业务诈骗也是花招百出,为客户带来了诸多不便和经济损失。网上银行支付结算风险防范的根本目标是保障银行和客户的信息和资金安全。
一、加强系统安全,防控系统风险
网上银行的关键环节就是网上银行系统的安全性,网上银行的风险管理,主要是防止入侵和网络渗透,银行要定期对系统进行检测,防范系统被入侵和攻击。
一是做好物理安全,遵守计算机硬件和存储介质存放规定,加强计算机机房管理、严格出入者登记制度、7*24小时值班以及实施各种硬件安全手段等预防措施。
二是做好逻辑安全,使用用户口令、指纹、图案等方法来实现,防止黑客入侵。涉及用户隐私的个人信息,做好同其他数据的隔离。
三是做好权限安全,对不同权限的操作员做好操作员等级和权限管理,防止互相干扰或者破坏。
四是做好联网安全,安装防入侵系统,有效防止电脑黑客对金融专用网的攻击。把公用网与银行内部专用网做好隔离,实施缓冲过滤功能,保证银行专用网的安全。
二、完善内部控制体系,健全内部控制制度
网上银行系统的程序开发人员和内部操作人员对系统及其权限非常了解,所以银行要更加注重对内部人员的管理,防止来自内部的风险隐患。建立完善的内控体系,制定并规范系统维护、信息保密、数据备份、人员管理制度、风险预警、重大事项报告等制度,确保网上银行系统正常运行。
三、加强外包服务监控,强化外包服务管理
一些中小金融机构在开发和维护上采取外包模式,由于网上银行数据的重要性,加强网上银行系统外包服务管理尤为重要。
选择长期合作开发系统的外包服务商开发和维护网上银行系统;对外包技术服务商的合同管理,规范和服务内容进行明确;加强网上银行外包服务的过程管理,同外包服务商建立良好的沟通机制。
四、制定应急预案,提高应急处置能力
网上银行系统和其他相关的业务系统相互关联,网银转账、支付需要调用核心系统、大小额系统和行内系统,当系统出现故障,网上银行业务运行应急计划可以有效减少由于停顿对该业务连续性带来的影响。
同时,加强网上银行应急演练。银行业制定切实可行的各种灾难应急预案演练方案。演练方案要体现实用性。对演练流程、预案风险等进行详细描述,对预期风险要进行严密的分析论证。通过演练要达到帮助员工掌握应急响应机制、流程、安全风险评估等相关内容,提高员工对日常安全和紧急事件的应急响应和处理能力的目的。
五、做好防御准备,完善防御机制
针对网上银行的防御手段可以分成事前预防阶段、事中防御阶段、事后审计追踪阶段三个阶段。
事前预防阶段:各银行要做好自身的安全措施,重点加强钓鱼网站的早期发现、阻止钓鱼网站蔓延、防御客户端安全隐患;事中防御阶段:针对网银认证和交易,分辩并且阻止非法交易进行;事后总结阶段:通过网银交易审计系统、保持完整交易记录,追查攻击者来源。
事前预防阶段,可以使用网银安全助手,密码控件等客户端防范手段,对键盘录入、ssl安全加密、反钓鱼等进行客户端方面的预防,有效防范木马、病毒的攻击,进一步提升安全性,增加用户使用网上银行的安全保障。事中防御阶段可以采集提取数据、分析交易内容,主动发现后发出预警提示,可以有效终止身份被冒用、出现虚假交易等风险。事后总结阶段,可以利用网银的内部交易日志和综合业务系统中的数据进行统计分析,给今后的预防工作积累一定的经验和预防手段。
六、增强风险防范意识,做好风险防范提示
网上银行的安全防范不仅仅局限于银行内部的安全防范管理。商业银行的安全认证方式一般采用数字证书,用来核对客户身份,银行有责任和义务告知客户需妥善保管数字证书,防止被他人冒用和盗用,给客户造成不必要的损失。
客户由于使用及操作上的失误也是造成风险的一个主要原因。银行对客户安全使用网银的宣传和教育就显得尤为重要。对客户的安全提示可以通过多种渠道和媒介进行。在银行营业大厅等醒目位置,向客户提供网上银行的网站地址与客服电话,避免客户点击虚假网站蒙受经济损失。提醒客户妥善保管网上银行认证信息,不要在网吧等公共场所使用网上银行交易系统,不要轻易点击陌生短信和邮件的链接,避免泄漏个人信息。