电子银行的风险分析及对策
第17卷第6期
Vol.17No.6
电子设计工程
Electronic Design Engineering 2009年6月Jun. 2009
电子银行的风险分析及对策
张蕾
(西安邮电学院,陕西西安710061)
摘要:详细阐述了电子银行所具有的各种风险类型,包括:技术风险,业务风险,法律风险。并在研究这些风险类型的基础上,对如何规避风险,提高电子交易的安全性进行对策探讨。这对现有电子银行建立风险防范体系具有一定的参考意义。关
键
词:电子银行;技术风险;业务风险;法律风险;对策
文献标识码:A
文章编号:1674-6236(2009)06-0025-03
中图分类号:F830.49,TP393.08
E -Bank ’s risk analysis and suggestions
ZHANG Lei
(Xi ′an Institute of Post and Telecommunications, Xi ′an 710061, China )
Abstract:This paper analyses all kinds of risk types of E -Bank in detail, including technology risk, business risk and legal risk. Based on research, it discusses how to avoid risks and improve security of Etransaction. This paper has certain refer -ence value for E -Bank to build risk prevention system.
Key words:E -Bank ;technology risk ;business risk ;legal risk ;suggestions
1引言
在网络与电子商务的共同推动下,银行业掀起金融电子
化的浪潮,于是电子银行应运而生。随着电子银行业务的不断发展,其便利性已被人们广泛接受,然而电子银行所具有的风险性仍需高度重视。电子银行不仅具有传统银行所固有的信用、流动性、市场等风险,而且由于自身的特殊性,还具有高风险性。目前,电子银行业务的开发者对此十分关注,并尽力采取措施在运营中降低这种风险性,以最大可能保护消费者的利益。在研究电子银行的风险类型的基础上,提出如何规避风险,从而实现电子银行安全性的对策。
2电子银行概述
电子银行E -Bank (Electric Bank ), 又称网络银行,是网络
图1
电子银行结构示意图
经济发展过程中的产物, 适应电子商务发展需要。电子商务是电子银行的商业基础, 电子银行是电子商务的核心商务活动。网络银行就是基于互联网或其他电子通讯网络手段,提供各种金融服务的银行机构及其网站与各类客户使用的电子交易终端共同构成的金融交易网络。
电子银行为客户提供在线的、实时的、即时的服务。在网络环境支持下,客户处理金融业务不再受地点和时间等因素影响。电子银行的主要销售渠道是计算机网络系统以及基于计算机网络系统的客户经理制度和个人电脑等个人电子终端。电子银行通过信息服务来拓展赢利机会,通过对技术的重复使用或对技术的不断创新带来高效益。图1为电子银行结构示意图。
收稿日期:2009-02-13
稿件编号:200902017
3电子银行存在的风险
由于其特定的运作方式和网络环境,电子银行在给人们
带来极大便利的同时,也具有一定的风险。巴塞尔银行监管委员会在1997年9月公布的《有效银行监管的核心原则》中,将银行业面临的主要风险归纳为以下八类:信用风险、转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险和声誉风险[1]。对于电子银行而言,除了具有传统银行业务所固有的风险,它还产生了很多新的风险类型。根据电子银行的构成及运营方式,其所面临的风险基本可分为技术安全风险和业务操作风险,以及相关的法律风险。
3.1技术安全风险
(1)计算机硬件和软件系统所带来的风险因为电子银
作者简介:张蕾(1980-), 女,陕西西安人,硕士,助教。研究方向:电子商务。
-25-
《电子设计工程》2009年第6
期
行是基于全球电子信息系统基础上运行的金融服务形式,电子化支付清算系统的电子银行间的交易是跨国性的,所以硬件及软件出现故障都将会影响到全球金融网络的正常运行,并对不同的行业造成不同程度的损害,如表1所列[2]。
银行信誉,产生信誉风险。
3.3法律风险
法律风险是指违反或不遵守有关的法律、法规,或者没有完善的约定各方在法律上的权利和义务而造成的风险。电子银行作为一种新生事物,在很多国家还处于起步阶段,原有的有关商业银行的法律框架已经不适用于现在的情况,而关于电子银行的法律法规尚未健全,使得电子银行在开展业务时无法可依。此外,由于电子银行的运营是基于互联网,而网络具有全球性,不同国家间有关金融交易的法律法规存在差异,所以在电子银行的跨国交易业务中,难免出现国与国之间在法律问题上的冲突。目前国际上尚未就电子银行涉及的法律问题达成共同协议,也没有一个共同认可的仲裁机构,客户与电子银行很容易陷入法律纠纷之中。
4
(2)网络传输风险
电子银行是开放性的,容易受到系统
内部或外部的数字攻击。虽然电子银行都有多层安全协议,如SSL 和SET, 但电子银行的安全系统仍是电子银行服务中最薄弱的环节。系统外部的网上“黑客”通常专门侵入银行计算机系统,直接盗取银行资金或侵入客户账户转走资金;还可能浏览银行和客户的有关财务资料以及盗取客户的电子账号和密码来篡改帐目或盗取资金。同样,系统内部的银行业务人员也可能利用工作之便,使用客户账户进行风险投资或窃取客户资金。
(3)病毒攻击
计算机病毒的传播对网络银行电子信息
系统的安全形成巨大威胁。病毒攻击主要分为两类:一是攻击网络银行的电子信息系统,破坏系统和数据,使系统瘫痪;二是直接窃取网络银行的用户帐号、密码以及数字签名。
对策探讨
通过对电子银行目前所存在的风险分析,可以看出有效
的防范风险,确保电子银行业务运作的安全性,必须加强电子银行的监督与管理。
4.1加强网络系统安全
采取数据备份和系统备份确保计算软硬件的安全。系统备份可以采用双服务器、磁盘镜像等。系统备份主要是对操作系统、网络系统以及数据库系统的备份;而数据备份可采用硬盘备份、软件备份或光盘备份的方式。数据备份是计算机系统安全管理的一个重要组成部分,一旦出现数据被破坏的情况即可及时恢复系统的正常运行,尽量减少损失。
利用加密技术、CA 认证、入侵检测、安全协议等措施保证网络传输安全。加密就是通过加密算法,利用密钥机制将正常情况下原有的可懂数据信息进行编码,编码成不可识别的秘密代码形式,使之成为无正确密钥的任何人都无法读懂的信息。通过加密手段有效防止有价值的信息在网上传输时被拦截、窃取、篡改和破坏,从而保证信息传输的安全。CA 认证主要通过数字签名技术、数字证书来确保网络金融交易中交易者身份、信息、手段和交易设备的可靠性。数字签名技术可以证实信息发送者的身份,也可解决网络通信中发生伪造、冒充、篡改等问题。数字证书就是网络通讯中标志通讯各方身份信息的一系列数据,通常由证书授权中心(CA )颁发。我国最权威的认证中心是中国金融认证中心(CFCA ),它是由中国人民银行牵头,14家商业银行联合共建的。图2为中国金融认证中心CFCA 系统体系结构图[4]。入侵检测系统是一种信息处理系统,其主要作用是对计算机和网络资源上的恶意使用行为进行识别和响应,动态的阻止入侵者的破坏,减轻入侵者对系统造成的损害,对攻击进行预警并对攻击者进行跟踪。安全协议是为保障电子商务的安全性和可操作性而产生的数据交流标准,在电子银行中也同样重要。
建立网络病毒防卫体系,则需加强网络防火墙,来监视银行网络的安全性,利用安全扫描技术及时发现安全漏洞。但防火墙不能防范所有病毒,所以电子银行要建立起一整套网
3.2业务操作风险
(1)市场信号风险市场信号风险是指由于信息的不对称性而导致电子银行面临不利选择和道德风险时所引发的业务风险
[3]
。电子银行无法在网上鉴别客户的风险水平而处于
不利的选择地位,客户可利用其身份和行动的隐蔽性做出对其有利但损害银行的决策等。
(2)操作风险
操作风险指由于系统的可靠性、稳定性
和安全性的重大缺陷而导致潜在损失的可能性。操作风险可以来自于电子银行客户的疏忽,也可以来自于电子银行安全系统设计缺陷,还可以来自银行内部职员对业务操作的粗心,造成客户信息的泄露。
(3)信誉风险
信誉风险是指负面的公众舆论而导致资
金或客户流失的风险。银行是依靠长期良好的信誉进行经营活动的机构,对于电子银行来讲,是否能提供安全可靠的网络服务显得尤为重要。信誉风险主要源于电子银行本身,以及除电子银行和客户以外的第三者。当电子银行提供的服务无法满足客户需求,且在社会上产生不良影响时;当电子银行的安全系统出现安全问题时;或电子银行的信息系统遭到破坏时,社会公众将难以恢复对电子银行交易能力的信心,从而影响
张蕾电子银行的风险分析及对策
估;加密技术及制度和电子签名技术及制度监管;保护消费者的隐私权不受侵犯;以及和其他职能部门联合打击利用电子银行进行的犯罪活动。电子银行业务的跨国进行使得监管问题不仅局限在一国之内,而是需要各国金融监管部门联合起来,相互合作,建立统一的市场准入和退出原则、运营原则以及监管处罚原则。
络病毒防卫体系。常见的病毒检测和预防措施:通过随机访问和强制访问控制病毒;通过反病毒软件检测已知病毒;利用完整性检测工具对文件信息的完整性进行全面检测以发现病毒。对于发现或未发现的病毒都可以利用各种抗病毒软件有效对付和防范。随着病毒的日益复杂,抗病毒软件可采用综合手段,还可安装网络防病毒管理服务器使得查杀病毒达到最佳效果。
4.3完善法律制度
电子银行的迅速发展要求有相应的法律框架和法律条文的不断完善。1996年6月,联合国国际贸易法委员会颁布《电子商务示范法》,为世界各国制定自己的相关法律提供了借鉴。巴塞尔委员会《电子银行风险管理原则》、美国《电子资金划拨法》《统一商法典》为中国的电子银行立法起到了示范作用。2001年6月,中国人民银行出台了《网上银行业务管理暂行办法》,规定了商业银行开展网上银行的规则,从此揭开了我国网络银行立法的序幕。但随着商业银行电子银行业务的不断发展,此法以不能适应电子银行风险监管的要求,于是2006年3月1日,银监会颁布《电子银行业务管理办法》和《电子银行安全评估指引》[6]。但是相对于电子银行的发展,立法还是处于滞后状态,今后还应对网络交易的各方权利义务进行清晰界定并增强可操作性,同时,对于网络金融犯罪
图2中国金融认证中心CFCA
系统体系结构图
的各个方面加强立法,为电子银行的发展创造一个良好的法律环境。
4.2加强业务管理措施
除了使用技术加强电子银行网络的安全外,对于业务风险,还应当完善一系列的内部安全管理和监控制度。
首先,电子银行的业务管理体制要从以帐户为中心转向以客户为中心,利用信息技术最大限度的挖掘客户信息的潜在价值。加强业务风险管理的关键是建立合理的授信制度和开发经营业务管理系统,用以降低业务风险,提高银行的经济效益,增强客户的满意度。除此之外,还要制定相关的安全管理制度,如网络操作安全规则,系统外来攻击处置方法,定期安全评估制度等。
此外,由于操作风险一部分是由于银行内部人员的疏忽和业务水平有限造成的,所以加强内部人员的培养和监控也是十分必要的。组织内部职工的培训以提高业务水平,计算机技术和道德素质,增强员工的金融防范意识。在人员监控上,要坚持多人负责原则,从而相互制约;有限任期原则,定期或不定期的换岗,避免同一个人长期担任重要的职位;权限分散原则,严禁一人多岗操作。
最后,要加强电子银行的监管。由于电子银行的自身特殊性,导致监管的复杂化。所以对于电子银行,要从银行内部、中央银行和国际层面来监管[5]。银行内部层的监管主要是对电子银行在日常经营活动中的风险进行防范。如加强日常安全管理,对网上金融消费者进行信用登记和跟踪,从而降低信用风险;在经营活动中按照规定和原则办事,树立良好的银行信誉;加强银行信息系统的基础设施建设,促进电子银行更好更快发展。中央银行主要监管带有全局性的具体问题,如电子银行运行风险对国家金融风险形成的影响及评
5结论
综上所述,可以看出在电子银行日益发展的今天,它的
便利性被人们广泛接受,但其自身存在的风险性也不容忽视。除了具有传统商业银行的风险性外,电子银行还产生了新的技术风险和业务风险,此外电子银行业务在许多方面突破了传统的法律框架,这也给电子银行业务运营和监管带来一些体制性障碍[7]。只有解决好这些问题,电子银行才能更好更快地发展。参考文献:
[1]国际清算银行. 巴塞尔银行监管委员会文献汇编[M].北
京:中国金融出版社,1998.
[2]欧阳勇. 网络金融:理论分析与实践探索[M].成都:西南财
经大学出版社,2006.
[3]禾文汇,赵志华. 网络银行的风险管理研究[J].今日科苑,
2007(18):219-220.
[4]李琪,张宽海. 网上支付结算与电子商务[M].重庆:重庆大
学出版社,2004.
[5]何伟,周晓志. 论我国网络银行的风险与监管[J].农业网
络信息,2007(5):45-48.
[6]贺丹,蒋龙. 我国网络银行风险及其风险防范[J].内蒙古
农业大学学报(社会科学版),2007,9(4):101-102.
[7]刘萍萍,徐江涛. 基于CICS 的中间业务平台的设计与实现
[J].电子设计工程,2008,16(9):70-72.
-27-