金融網絡安全管理辦法范例6篇

前言：中文期刊網精心挑選了金融網絡安全管理辦法范文供你參考和學習，希望我們的參考范文能激發你的文章創作靈感，歡迎閱讀。

金融網絡安全管理辦法范文1

論文摘要：隨著商業銀行網上業務的不斷發展，電子商務安全風險管理策略成為理論與實踐中必須重視的課題。剖析現階段電子商務安全網風險策略的薄弱點，發展商業銀行電子商務安全風險管理策略，應借鑒成熟的傳統金融風險度量中的一些方法改變電子商務安全管理對資產進行粗略的優先級別排序，用系統管理思想構建商業銀行電子商務安全管理框架，并將商務安全風險納入風險管理范疇。

商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等，而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來，我國面臨的網絡仿冒威脅正在逐漸加大，仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件，超過2004年全年案件數，商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。

一、信息安全管理的歷史演進與現階段的特點

信息安全管理的策略大體遵循事件驅動(技術和管理脫節)－逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。

(一)以事件驅動的初級階段時期

19世紀70年代安全主要是指物理設備和環境的安全，人與計算機之間的交互主要局限在大型計算機上的啞終端，安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段，由事件驅動，沒有形成規范的管理流程。在此階段的前期，只重視技術手段。后期開始重視管理手段，但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度，但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。

(二)標準化時期

企業開始將安全問題作為整體考慮，形成一套較為完整的安全管理策略，其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略，內容也包括了技術手段、安全管理制度、人員安全教育等等，基本上形成體系，技術和管理手段綜合統一，但是安全風險分析還存在不足之處。

(三)安全風險管理策略時期

隨著電子商務安全管理發展到一個比較高的層次，安全管理策略也演進到安全風險管理階段。主要特點如下：

1.安全風險管理成為主流趨勢；在安全管理策略的演進過程中，技術和管理手段綜合統一、又融入了風險管理的分析、防范策略，從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One)，認為信息安全問題最終將歸結為風險管理問題，風險管理方法是建立良性的安全技術和管理體系的依據和基礎。

2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理，制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》，對國內企業的電子商務安全風險管理給出了指導意見。

3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險，在相當程度上取決于采用的信息技術的先進程度，系統的設計開發水平，以及相關設施設備及其供應商的選擇等；銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣，監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此，大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法，加強對電子銀行安全性和技術風險的管理和監管。

4.在許多國家信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作，從經濟學的角度出發分析風險，充分衡量保持安全的代價和收益之間的關系，尋求用最小的代價實現最大的效用，在風險分析中也形成一套較為成熟的模式。

二、我國商業銀行電子商務安全風險管理策略的薄弱點

(一)系統管理思想缺乏

目前的電子商務安全風險管理策略，在全局上缺乏系統論理論的指導，在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞，無法形成一張全面有序的安全網絡。

實踐中被采用的安全風險管理策略，以及作為指導意見的規則規范，如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB／T18336．1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》，盡管提出了比較全面的安全風險管理方案，層次上也比較清晰，但是還不足以作為一個風險防范系統。實踐中，電子商務組織是一個復雜的系統組織，電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。

(二)風險分析的模型與方法不成熟，定量分析不足

電子商務模式自身的發展歷史也不過20幾年，在風險分析的定量技術上并不成熟；如BS7799中推薦的電子商務安全風險管理中實施風險評估時，往往將威脅發生的可能性定性劃分為幾個級別，將威脅所造成的影響也定性劃分為1～5級，實質上是將一些按照概率發生的事件定義為不連續的幾個級別，在操作上易行，但造成了度量的不精確。在進行監控和審計之后，也存在無法量化、對比的問題。

(三)忽視與原有的傳統風險管理策略的結合

本質上，電子商務的安全風險無非是新興的商業模式對傳統的風險的改變，以及產生的在傳統風險控制領域暫時無法明晰的新風險；現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題，站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次；忽略了風險的整體性，只進行偏信息和技術的研究，導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言，傳統金融業務的風險控制與電子商務的技術風險控制，兩個方面存在脫節，同樣屬于商業銀行的風險，存在著不同的管理策略，導致多頭管理、資源浪費、機構之間的扯皮，乃至缺位管理。

(四)風險管理策略無法依賴外部的信息安全管理行業

在發達國家，信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供，許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業，專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法，提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系，制定和引進了一批重要的信息安全管理標準、法律法規，風險評估工作得到了一定重視，但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。

(五)風險管理策略中商業銀行的內部風險控制能力薄弱

我國商業銀行目前均建立起統一的風險管理部門；但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距，風險控制實質上仍然分散在各個子部門；風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門；風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如，風險管理部門接受了電子交易部的風險控制報告，表面上履行的內控審核的流程，但審核作用有限，無法完成電子商務安全風險管理中的監控與審計環節。

三、商業銀行的電子商務安全風險管理策略的改進建議

(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架

利用系統理論作為總體的指導思想，將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。

在商業銀行電子商務安全風險控制的流程中，經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內，然后進行監控和審計；尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入，從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環，安全風險管理的有效性就上一個臺階，商業銀行的安全管理水平變得到了提高。

(二)電子商務安全風險管理中定量分析中的改進思路

商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中，商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定，商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失，巴塞爾委員會制定資本要求的轉換系數；在度量損失的分布時，主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來，利用現有的度量方法進行精確的風險定量分析的嘗試。

(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇

金融網絡安全管理辦法范文2

關鍵詞：網絡銀行；internet網絡；安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2010)20-5453-02

Internet Banking Security Prospects

ZHOU Kai

(Jining City Medical Insurance Management Center, Ji'ning 272059, China)

Abstract: That cyberbank's appearing, maximum field have changed society economy is operating a pattern, is creating new social value in the process reforming now available social value structure. While human being enjoying what informationization society brings about facilitating, also have to ingest bitter pill brewed by information society: Cyber crime is rampant, intellectual property rights and the individual privacy are infringed upon by grave field, national security is waited for a while by grave challenge and the threat. This law will be to one kind of mandatory measure adopted by information safety, the information behavior being that the mandatory strength of country uses the what be in progress law to adjust sum norm, its to information resources and information implement uses people conscientious or compels the field bureau.

Key words: internet banking; internet network; safety

隨著“以網絡應用為核心的數字化革命時代”的到來，金融業首當其沖地受到了電子信息技術的深刻影響，由此形成了全新的經營模式――網上金融。網上金融引發了一系列復雜的問題，其中最為普遍的是與網絡銀行有關的問題。“網上銀行”在為金融企業的發展帶來前所未有的商機的同時，也為眾多用戶帶來實實在在的方便。作為一種全新的銀行客戶服務提交渠道，客戶可以不必親身去銀行辦理業務，只要能夠上網，無論在家里、辦公室，還是在旅途中，都能夠每天24小時安全便捷地管理自己的資產，或者辦理查詢、轉賬、繳費等銀行業務。“網上銀行”的優越性的確很明顯。但是面對這一新興的事物，人們卻有一個最大的疑惑：“網上銀行”安全嗎？

1 網上銀行的安全性分析

1.1 網上銀行安全問題

一般來說，人們擔心的網上銀行安全問題主要是：

1.1.1 銀行交易系統被非法入侵。

黑客可以通過入侵級別很高的服務器，如政府機關的服務器訪問銀行的服務器，通過這樣的手段來竊取銀行客戶的資料?；騼炔咳藛T利用外面的計算機通過別的手段進入服務器竊取資料。

1.1.2 信息通過網絡傳輸時被竊取或篡改。

黑客通過某種手段在網上截取銀行和客戶之間的信息，或監控客戶的電腦，把客戶的電腦改為黑客的肉雞，達到竊取銀行客戶資料的目的，如前一段時間爆發的“熊貓燒香”的病毒，“熊貓燒香”病毒有竊取電腦帳號密碼的功能，然后發到指定的郵箱里。如果客戶的電腦感染了這種病毒，那客戶的資料就有可能被盜。

1.1.3 交易雙方的身份識別；賬戶被他人盜用。

上面講到了病毒和木馬有竊取帳號密碼的功能和目的，黑客用竊取的資料偽裝成合法真實的銀行客戶與銀行或其他消費性行業進行交易.業務。

網銀，一般分為大眾版和專業版。專業版必須由用戶本人到銀行網點申請辦理數字證書，大眾版允許客戶憑身份證、賬號和密碼在網上自助開通。但大眾版只能提供查詢、小額支付等基本功能，專業版可提供轉賬支付等服務。

對客戶來說，從以下幾個步驟可以看出網銀的“安全指數”：登陸、數字證書、密碼驗證。目前，各家銀行采用的登陸方式不同，即使是同一家銀行，也會讓客戶選擇多種登陸方式，一般情況采用銀行卡號、客戶號或身份證號登陸，也有的讓客戶自己設置昵稱登陸，也有不用輸入用戶名即可登陸，如招行、農行。

相對來說，數字證書略微復雜一點。數字證書是網銀用戶使用的一種將個人信息與電子簽名唯一綁定的電子文件，通過它可對網上交易進行身份確認，確保交易的唯一、完整和不可否認。數字證書分為“移動數字證書”和“文件數字證書”?！拔募底肿C書”是IE瀏覽器證書，成本低，客戶需要將此證書的軟件安裝在電腦上；“移動數字證書”外形類似U盤，安全性高，便于攜帶。有了數字證書后，等于為客戶設置了三道防火墻：用戶名、密碼、數字證書，這就能提供最基本的網銀安全保障。需要注意，在網銀的轉帳中，會涉及支付密碼，一般支付密碼和登陸密碼不宜設為同一個。

從銀行的角度來看，開展網上銀行業務將承擔比客戶更多的風險。因此，我國已開通“網上銀行”業務的招商銀行、建設銀行、中國銀行等，都建立了一套嚴密的安全體系，包括安全策略、安全管理度和流程、安全技術措施、業務安全措施、內部安全監控和安全審計等，以保證“網上銀行”的安全運行。

銀行交易系統的安全性“網上銀行”系統是銀行業務服務的延伸，客戶可以通過互聯網方便地使用商業銀行核心業務服務，完成各種非現金交易。但另一方面，互聯網是一個開放的網絡，銀行交易服務器是網上的公開站點，網上銀行系統也使銀行內部網向互聯網敞開了大門。因此，如何保證網上銀行交易系統的安全，關系到銀行內部整個金融網的安全，這是網上銀行建設中最至關重要的問題，也是銀行保證客戶資金安全的最根本的考慮。

1.2 為防止交易服務器受到攻擊，銀行主要采取的技術措施

1.2.1 設立防火墻，隔離相關網絡

一般采用多重防火墻方案。其作用為：

1) 分隔互聯網與交易服務器，防止互聯網用戶的非法入侵。

2) 用于交易服務器與銀行內部網的分隔，有效保護銀行內部網，同時防止內部網對交易服務器的入侵。

3) 還應安裝殺毒軟件，每天定時升級，加強對服務器的管理。

1.2.2 高安全級的Web應用服務器

服務器使用可信的專用操作系統，憑借其獨特的體系結構和安全檢查，保證只有合法用戶的交易請求能通過特定的程序送至應用服務器進行后續處理。

1.2.3 24小時實時安全監控

在2000年2月Yahoo等大網站遭到黑客入侵破壞時，使用ISS安全產品的網站均幸免于難。網上交易不是面對面的，客戶可以在任何時間、任何地點發出請求，傳統的身份識別方法通常是靠用戶名和登錄密碼對用戶的身份進行認證。但是，用戶的密碼在登錄時以明文的方式在網絡上傳輸，很容易被攻擊者截獲，進而可以假冒用戶的身份，身份認證機制就會被攻破。

在網上銀行系統中，用戶的身份認證依靠基于“RSA公鑰密碼體制”的加密機制、數字簽名機制和用戶登錄密碼的多重保證。銀行對用戶的數字簽名和登錄密碼進行檢驗，全部通過后才能確認該用戶的身份。用戶的惟一身份標識就是銀行簽發的“數字證書”。用戶的登錄密碼以密文的方式進行傳輸，確保了身份認證的安全可靠性。數字證書的引入，同時實現了用戶對銀行交易網站的身份認證，以保證訪問的是真實的銀行網站，另外還確保了客戶提交的交易指令的不可否認性。

2 網絡銀行的展望――客戶的安全意識

2.1 客戶的安全意識

銀行卡持有人的安全意識是影響網上銀行安全性的不可忽視的重要因素。目前，我國銀行卡持有人安全意識普遍較弱：不注意密碼保密，或將密碼設為生日等易被猜測的數字。一旦卡號和密碼被他人竊取或猜出，用戶賬號就可能在網上被盜用，例如進行購物消費等，從而造成損失，而銀行技術手段對此卻無能為力。因此一些銀行規定：客戶必須持合法證件到銀行柜臺簽約才能使用“網上銀行”進行轉賬支付，以此保障客戶的資金安全。

另一種情況是，客戶在公用的計算機上使用網上銀行，可能會使數字證書等機密資料落入他人之手，從而直接使網上身份識別系統被攻破，網上賬戶被盜用

網上銀行賬戶被盜用，經過調查分析主要由以下幾種情況引起：

點擊瀏覽了一些被安裝了木馬程序的網站，木馬就會自動下載并根植于受害者的電腦中，一旦受害者使用網上銀行功能，木馬程序就會自動將受害者的銀行賬號和密碼發給盜號者。在網吧使用網上銀行功能，被盜取的可能性極大。因為網吧的電腦有可能被黑客種植了木馬盜號程序。下載安裝了一些盜版或可疑軟件，也可能會被種木馬，有些來歷不明的郵件也會攜帶木馬。受害者不注意密碼保護，將銀行賬號的密碼設置成生日等容易被猜測的數字，也會增加被破解盜取的幾率。

網外其他途徑泄漏，如在取款機取款時被泄漏，被釣魚短信所騙取，如說你在哪里消費了多少，打什么電話查詢之類的。

防范的辦法：

首先要提高自身的安全意識，注意自己銀行賬號的密碼保護，盡可能降低泄漏的可能性。

最安全的辦法是向銀行申請自己的數字證書，例如工商銀行的用戶，其個人網上銀行USBKey客戶證書（U盾）是一個帶智能芯片、形狀類似于閃存（即U盤）的實物硬件，是專門用于網上銀行的安全通行證。擁有這個屬于自己的硬件安全證書，不但可以確保個人網上銀行的安全，而且對外轉賬金額不受限制。建行的客戶證書則是數字證書，也能起到保障網上銀行使用者利益的作用。

在電腦環境方面，建議及時更新操作系統的補丁，確保操作系統在最新的版本狀態，減少相應的安全漏洞。安裝針對病毒及木馬的查殺軟件，并及時進行更新。

千萬不要相信一些騙人的短信，如果有疑問，可以直接打銀行提供的電話進行相關的賬號信息查詢。

在上網時，盡量不要瀏覽一些來歷不明的網站，不要輕易下載、安裝、運行來歷不明的軟件，盡量避免在不屬于自己的電腦上使用網銀功能，減少中木馬的可能性。在進行網上銀行、網上購物或其他需要輸入密碼的操作時要特別仔細核對網址，有些不法分子就是注冊和銀行相似的網址，然后讓客戶上當，總之，在網上銀行業務操作時一定要多留個心眼。

一旦發現自己的網上銀行賬戶被盜用，馬上聯系當地的公安網監部門幫助解決。一般情況下，商家都會配合公安部門做好協助工作，可盡量減少損失額。

我國法律對于網絡安全保護及計算機犯罪的制裁是有規定的。1997年修訂的新刑法第285條、第286條及第287條，對以計算機系統為客體的犯罪、以計算機中的信息為客體的犯罪、制作傳播病毒破壞性程序的犯罪、以計算機為工具的金融犯罪都做出了明確的規定與制裁。此外，國務院、公安部等部門頒布的《計算機信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》、《金融機構計算機信息安全保護工作暫行規定》、《計算機信息網絡國際聯網保密管理辦法》等法規對有關問題也作出了規定。

綜上所述，網上銀行作為一種與現代科技迅猛發展緊密相連的新型貿易方式，對現行法律提出了前所未有的挑戰。對于網上銀行帶來的新問題，需要對原有法律法規的進行調整修正來解決。密切注意網上銀行發展趨勢，積極探討、研究和學習國外的先進立法經驗，并結合中國國情，制定符合實際需要的網上銀行法律規范，改善我國網上銀行發展的基礎環境，對促進我國網上銀行健康、有序的發展有著非常重要的意義。

參考文獻：

[1] 黃敏學.電子商務[M].北京：高等教育出版社,2001.