101
基金项目:教育部人文社会科学研究项目 投资者情绪、I PO 投资绩效与热发行研究 (项目编号:10YJ C790162;项目负责人:林辉)成果之一。
作者简介:林辉,管理学博士,南京大学商学院副教授,研究方向:金融工程与风险管理;周勇,管理学博士,江苏弘业国际集团总裁,研究方向:金融工程;董斌,经济学博士,东南大学经济管理学院副教授,研究方向:金融经济学。
网络银行技术风险的防范与监管问题研究
林 辉1
周 勇2
董 斌
3
(1南京大学商学院,南京210093;2江苏弘业国际集团,南京210001;3东南大学经济管理学院,南京210096)
摘 要:网络银行依托信息技术,具有服务效率高、成本低等优势,但网络银行具有的潜在技术风险,成为其发展最主要的障碍。通过分析网络银行技术风险的来源,提出技术风险的防范措施和监管模式,并就我国网络银行技术风险防范和监管的问题提出若干建议。关键词:网络银行;技术风险;信息系统
20世纪60年代末,互联网的产生和发展对世界各国人民的工作和生活产生了深刻的影响。依托互联网技术的发展,网络银行在传统银行业务的基础上应运而生,成为金融领域的又一重要创新。网络银行(I nternet B ank)又称虚拟银行,是指利用互联网技术,为客户提供综合、统一、安全和适时的银行服务。网络银行不仅是 银行上网 ,而且以局域网(I ntranet)和互联网(I nter net)为基础,利用先进的网络技术和信息资源,实现各种银行业务处理的自动化、经营管理的敏捷化和虚拟化,达到为客户提供各种快捷、方便的金融服务的目的
[1]
。网络
银行与传统银行相比具有明显的优势:首先,网络银行可以在任何时候(Any ti m e )、任何地方(Any w here)、以任何方式(Anyho w )提供服务,即所谓的 AAA 式服务,与传统银行有限时空的柜台交易相比,网络银行提高了服务质量,给顾客带来更高的满意度。其次,网络银行还具有低成本、高效率的优势。一般开办一个网络银行往往只有建立一个传统银行分支机构所付成本的50%~60%,故设立网络银行比新建同样业务量的营业网点可节省大量的投资[2]
。最后,网络银行拓宽了银行的服务领域,它不仅提供传统的银行服务,而且利用互联网的优势,融合证券、保险等分散经营的金融市场,甚至可联合其他实体网络,从事旅游组团、商品零售等业务,所以,网络银行拓宽银行业务的创新空间,也为客户提供更具有附加值的服务,发展网络银行
是一个双赢的选择
[3]
。
虽然网络银行具有低成本、高效率等优势,但网络银行以互联网为媒介,故它还具有互联网技术带来的风险。总的来看,网络银行的风险包括基于信息技术产生的技术风险和基于金融服务引起的业务风险,其中,业务风险主要包括信誉风险、法律风险、信用风险、利率风险、汇率风险和市场风险等。由此可见,与传统银行相比,技术风险是网络银行所独有的风险类别
[4]
。值得注意的是,技术风
险所导致的损失已经明显大于业务风险。据统计,在美国,网络银行每年被偷窃的资金高达6000万美元,电子盗窃未遂的案值在5~100亿美元,作案平均得手价值是25万美元,而持抢劫银行平均得手价值却只有7500美元。由此可见,技术风险极大地削弱了网络银行的优势,也是阻碍其发展的最主要的原因。本文通过分析网络银行技术风险的来源,提出了网络银行技术风险的防范措施,对于建立完善的网络银行监管体系和促进网络银行的稳步发展具有重要意义。
1 网络银行技术风险的来源
由于网络银行是客户利用计算机,通过有关的认证机构核发的电子凭证,与互联网联机的金融机构进行交易,故其技术风险来源于银行自身、客户以及银行与客户之间数据交换的过程。具体地,网络银行技术风险的来源主要包括如下几个方面。
Sc i ence &T echno l ogy and E cono m y 2011V o1.24N o .3
102
1.1 操作系统或系统软件的安全隐患
隐患主要有:未定期修补、更新和备份操作系统,未及时提高系统软件版本等原因造成的系统安全控制方面的缺陷,这些缺陷给了黑客以可乘之机,如利用缓冲区出现的漏洞植入木马程序,取得系统管理员密码进行数据窃取及破坏,或者植入计算机病毒以瘫痪主机系统和防火墙系统。2003年,专门盗取银行用户的信用卡号和密码的 怪物 病毒在因特网上蔓延,直接影响100多个国家的1200家银行等金融机构的网上业务,其危害程度可见一斑。
1.2 服务器的漏洞问题
网络银行的服务器主要有网络服务器、应用服务器和数据库服务器,若这3种服务器之间所形成的网络存在漏洞,将导致黑客入侵系统窃取数据、关闭防火墙、以及实体连结线路被改变等事故发生。服务器的漏洞还与输入输出设备以及通讯设备的设置不当有关,如预留过多未受控制的端口,或者不安全的连结点过多等,都容易引起非法侵入系统事件的发生。
1.3 网络和数据库系统方面的缺陷
如数据库查询参数过滤器(Q uery Para m eter F il ter)及接口查询程序过滤器(C G I Progra m F ilter)的不完善,导致黑客利用数据隐码攻击(S QL Injec tion)程序窃取数据库数据。对数据存取管理上的不足,如对数据文件未制定系统安全管理规范,管理人员职能分工不当或违反相互制约原则等,都容易引发金融机构内部人员窃取未隐藏的数据文件,或黑客采用 字典攻击法 推测出使用者密码,进而篡改数据库或档案内容。
1.4 网络银行作业流程管理缺陷导致的风险
核发电子凭证、软件、密码函等作业流程中,不符合 相互制约、相互监督 原则;计算机系统预警及稽核通报制度的缺陷,导致客户数据、电子凭证、软件、密码遭窃取。
2 网络银行技术风险的防范措施
为防止上述的技术风险,网络银行需要在物理安全、数据通信安全以及应用系统安全等方面采取有效的措施。
2.1 物理安全
物理安全是网络银行技术风险管理的基础。物理安全是指有形的安全措施,包括环境安全、设
备安全和媒体安全。环境安全是指计算机信息系统所在环境的安全保护,如对主机房电源要实行双
回路备份;计算机房要安装电子门户控制系统,关键设备要安装监视器以及保证相互隔离;进入密钥保管房间要有双人控制,并且严格无关人员进入等。设备安全是计算机信息系统设备的安全保护,主要包括设备的防毁、防盗,采取电磁屏蔽措施防止电磁辐射的干扰等。媒体安全是指信息载体如硬盘、磁带、光盘媒体上信息数据的安全和媒体本身的安全保护,包括建立严格的保管、存放制度和销毁制度,严格数据文件带出机房。2.2 数据通信安全
数据通信安全是网络银行技术风险管理的核心部分。数据通信安全涉及如下几个方面的内容。
服务器、加密技术和安全协议。保证网络银行的三大服务器拥有高可靠性的专用操作系统是数据通信安全的先决条件;同时,电子文件传输的加密技术和安全协议是数据通信安全的有效保障。中国人民银行 网上业务管理暂行办法 第十七条规定,银行应采用合适的加密技术和措施,以确认网上银行业务用户身份和授权,保证网上交易数据传输的保密性、真实性,保证通过网络传输信息的完整性和交易的不可否认性。基于安全协议的使用证书,实现用户浏览器与网络银行W eb 服务器之间的双向身份确认。数据加密、解密等电子文件传输和确认必须符合辨识性、信息隐密性、完整性、不可重复性等要求,如基于 RSA 公钥密码 的加密机制、数字签名机制等可以有效地防止用户的身份数据被攻击者截获。
提供给客户使用的软件、密码或其它有关数据应符合内控原则。有关密钥、电子凭证资料以及密码等隐密性数据的产生、变更、储存应按照内控原则实时监控,密钥长度应符合主管机关的规定。此外,为维护客户数据(含密码)隐密性,密码应以乱码化方式储存。2.3 应用系统安全
首先,应设立多重防火墙严格控制互联网与计算机系统间的路径,目的是隔离互联网与交易服务器,有效地防止互联网用户的非法入侵。其次,对未经防火墙的远程访问应予过滤及管制;对未经授权或违规的异常存取或进出网站情形,应设计侦测、警示及追踪的机制,并设有防范网页遭窜改的监控措施。第三,在网关(Gate way)设置上应建立符
科技与经济 2011年6月 第3期 第24卷/总第141期
103
合内控原则的控制程序,对异常进出网关的事件应留存纪录备查;对重大异常状况应建立警示机制及追踪管理措施。最后,应用程序设计应避免产生缓冲区系统漏洞,以免遭人利用非法指令窃取数据。
2.4 网络银行技术关联方的管理
应对认证机构的营运及其可信度进行评估,以免产生相关性风险。应制定与客户、技术外包方、第三者(含凭证机构、清算机构、商家、供货商等)权利义务关系合同,对重要软硬件购置应评估厂商信誉、财务状况、研发支持能力、内控制度,以避免衍生相关风险。此外,网络银行应制定交易限额,依照交易类别分别每次交易金额、每日交易累计金额,以及特约账户的转账金额等。
2.5 客户端的管理
应给网络银行的客户提供业务或服务的详细操作说明文件,尤其对客户权益、信息安全及隐密性等注意事项,应以书面的、醒目的方式提请客户注意。对首次往来客户身份的确认,应有确认程序以避免有假冒他人开户或往来的情形发生,制定客户终止网络银行往来的处理程序,以免其账户遭盗用。
3 网络银行技术风险的监管模式
与传统银行相比,网络银行在操作模式、技术和业务风险等方面具有特殊性,这使传统银行的监管体系面临着众多的挑战,维护客户和公众的利益是网络银行监管的首要目标[5 7]。
3.1 网络银行挑战传统的分业监管模式
网络银行的金融创新,使某些业务难以按照传统的方法划定其所属的业务类型,进而归属管辖权,故传统的多个监管主体分业监管的模式,容易产生在某些业务上监管重复,而在另一些业务上又无人监管的问题。这迫使监管主体由多主体向单一主体转变,统一监管成为趋势,这也是国际上网络银行监管的主流模式。不仅如此,统一监管主体将提供公平一致的监管环境,不仅可以避免不同监管机构间的意见分歧和信息要求上的不一致,提高监管的效率,还有利于保护公众的利益。
3.2 监管客体范围的扩大与监管竞争
并非仅有传统的银行具有开展网络银行业务的能力,事实上,一些非金融机构也开始涉足诸如短期电子商业信贷、中介支付、投资理财顾问等金融或准金融服务,因而监管客体的范围也将随之由金融机构扩大到非金融机构。网络银行不受地域的,其疆界模糊性和相对较低的转移成本使传统监管模式的属地管辖权失去意义,由此引发了监管竞争的问题。众所周知,在传统的银行领域,各国监管当局在其管辖地域内,对被监管对象具有权威性,但对于网络银行,由于其跨境交易的便利性,若A国的监管规则较B国严格,则A国的网络银行可以通过转移注册地点来规避A国的监管,或者在A国不具备设立网络银行资格的,却能在B国获得经营许可,并同样在A国开展业务,由此可见,由于它造成监管当局的管辖权威受到了事实上的削弱。为了防止监管竞争,一个有效的办法就是要求各国监管机构针对网络银行的特点,共同制定包括市场准入、业务扩展、日常检查与信息报告等统一的监管规则[8]。
3.3 监管当局对客户权益的保护
与传统银行及其客户的法律关系相比,网络银行使其和客户之间的法律关系出现了许多未知的新问题,这些问题又与客户权益的保护息息相关,故监管部门必须通过立法,准确地界定网络银行与客户之间的新型法律关系,明确双方的权利义务及法律责任,只有这样才能保护客户的权益。首先,需要以法律形式界定网络银行与客户之间的新型关系,如:网络银行服务协议的法律效力问题;客户身份的认证问题;电子合同和电子签名的法律效力问题;网络银行与客户在各种具体交易中的权利、义务及责任等。其次,为防止网络银行对客户权益的侵害,监管当局必须以法律的形式界定网络银行通过电子手段向客户披露、揭示、传递相关业务信息的标准及其合法性;客户个人信息、交易信息和账务信息的安全及其隐私权的保护等。第三,日常检查与信息报告。为保护客户的利益,除了与传统银行一样进行常规的资本充足率、流动性等检查以外,针对网络银行的特殊性,还需要进行交易系统的安全性、客户资料的保密与隐私权的保护、电子记录的准确性和完整性等方面的检查。
3.4 市场准入
市场准入主要包括两方面的内容:一是业务范围,除了基本的支付业务外,在多大程度上允许网络银行经营存贷款、保险、证券、信托投资以及非金融业务、联合经营等业务。二是市场准入的资格审查,大多数国家都对设立网络银行需要申报批准,并对软硬件提出一系列的要求:注册资本或银行规
Sc i ence &T echno l ogy and E cono m y 2011V o1.24N o .3
104
模、技术协议安全审查报告、办公场所与网络设备标准、风险揭示与处置规划等。此外,是否对非银行机构甚至一般的企业也可以进入网络银行市场,以及纯网络银行是否允许其建立分支或代理机构等问题也决定了网络银行的市场壁垒的高低。
4 我国网络银行技术风险防范和监管的若干建议
1996年,中国银行首次开展网络银行服务,在此之后,我国的网络银行发展迅速,其中以招商银行网络银行的发展最为突出。招商银行分别于1997年和1998年建立我国首个网上个人银行和网上企业银行,并实现了网上支付业务的B2C 系统。2001年,中国人民银行颁布了 网上银行管理暂行办法 ,标志着监管部门在网络银行业务的市场准入、日常监管方面取得了重要的进展。由中国人民银行牵头、12家商业银行联合建设的中国金融认证中心(CFC A )Non set 和Set 两套系统开始投入使用,这对规范和促进网络银行的发展起到了积极的作用。经过10多年的发展,我国的网络银行无论从提供的服务还是用户数量方面都取得了长足的进步。截至2009年,我国网络银行的客户已达1.5亿,其中,城镇人口中个人网络银行用户的比例达到25%。伴随着用户数量的增加,网络银行客户的使用率也在不断提高,调查显示,2009年我国网络银行客户每月平均使用次数已达到5.6次,与2003年网络银行用户每月仅使用网银服务2.1次相比,有了明显的增加。
然而,我国网络银行发展的最大威胁仍是技术风险,它直接影响客户资金和交易安全性,从而影响客户使用网络银行的意愿。尽管目前各家银行均采取了防火墙和网络检测等安全措施,但随着技术风险管理的提高,犯罪分子利用互联网技术的缺陷,对网络银行进行攻击的手段层出不穷。因此,各家商业银行需要建立专门的组织机构优化技术风险管理的职能,建立网络银行技术风险的长效管理机制,还需要建立银行间的合作机制,实现网络银行技术风险管理的规模效应。
4.1 网络银行防范技术风险的组织结构优化目前,我国网络银行的管理仍延续传统商业银行的直线职能制管理模式,一般地,由银行的科技部门负责网络运营的安全,由客户服务部门负责授信的管理,由信用卡部负责信用卡业务等,这种管
理模式事实上是将网上业务当作传统业务的增量,这在网络银行发展的起步阶段是可行的。但随着网络银行的发展,网上业务与传统业务将出现管理上的冲突,两个突出的问题是:适合于传统业务的操作流程和规则不适用于网上业务;传统业务与网上业务对管理人员的素质要求迥然相异。从国络银行的发展经验来看,一般地,在直线职能制基础上设立网络银行的专门部门来统筹管理、协调各个职能部门的工作,这主要适用于网络银行规模不大,需要协调的任务不多的情形下,此外这种管理模式无法对网上业务的利润进行考核,因为业务开展如何还主要取决于各个职能部门,而非取决于协调部门。另一种组织模式是将网上业务与传统业务分离,使其成为运作和核算的部门,同时各个职能部门对网上业务仅具有指导作用,即网络银行单独成为一个产品中心和利润中心,这也是国外商业银行开展网上业务常用的模式。但不管哪种模式,为了防范网络银行的技术风险,商业银行应在董事会层次建立网上银行风险管理委员会,全面负责组织和协调实施整个银行的技术风险管理工作,并由风险管理部门具体负责进行网络银行系统安全风险评估,建立技术风险的应急管理流程。
4.2 建立网络银行技术风险防范的合作机制虽然各个网络银行开展的业务有所差别,但他们所面对的技术风险却具有共同性,因此,有必要在银行间建立网络银行技术风险的合作机制,这不仅可以促进网络银行技术的整体提升,还可降低网络银行防范技术风险的成本,实现网络银行技术风险管理的规模效应。然而,我国各商业银行在早期发展网络银行的过程中缺乏合作,出于竞争的需要,各个银行都选择自建网络银行系统,尚未形成全国统一的发展规划和技术风险的防范标准。时至今日,面对互联网发展过程中层出不穷的技术风险问题,任何一家银行都没有技术力量独自承担技术风险的管理,对此,我们建议监管部门和银行业协会应该早日制定统一的技术标准和开发规则,结束各家商业银行在网络银行建设上各自为政的局面,实现与国际上网络银行的接轨,通过相关国际信息安全组织时刻跟踪各种最新安全威胁,并根据这些威胁信息共同建立漏洞管理流程,统一网络银行的技术风险管理规范,及时对相关设备和系统新发布的安全补丁进行测试和安装,建立严格规范的
科技与经济 2011年6月 第3期 第24卷/总第141期
105
密钥管理和访问控制流程,共同打击网络金融犯罪。
4.3 加强金融监管电子化的步伐,采取电子银行的监管方式,对网络银行实施有效监管
我国网络银行的监管部门是人民银行、银监会、信息产业部、门等,如上所言,这种分业、分职能监管模式已经无法适应网络银行的发展,故我国急需将网络银行的监管职能统一到一个部门,由此提高监管效率。我国目前尚缺乏全国性的有关电子资金划拨的专门立法。1996年1月1日生效的 中华人民共和国票据法 确立的是以纸票据为基础的结算支付制度,没有针对电子资金划拨进行立法,而不少银行各自推出的章程却含有许护银行自身利益、削弱消费者地位的条款。为了保障电子资金划拨的安全正常运行,我们应当借鉴美国 1978年电子资金划拨法 和 统一商法典 第4A 篇及联合国国际贸易法委员会制定的 国际贷记划拨示范法 等的规定,适时地制定新的支付体系和制度,以便明确电子资金划拨或使用电子货币实现在线支付时的风险责任负担。
此外,在 网上银行管理暂行办法 颁布的基础上,有关部门应该着手制定网络银行业务运作的统一规范。主要在电子货币、电子票据的发行和流通、支付网络的建立、网络银行服务的和基本模式、网络银行服务结果的法律效力等方面确立统一的标准,以便明确网络银行业务操作规则与风险的划分,这也有利于培育网络银行公平竞争的法律环境。
参考文献
[1] Se i tz J,S tickel E.I n tern et Bank i ng An O vervie w[J].Journal of
Internet Bank i ng and Co mm erce,1998,3(1):9801 9808.
[2] 谢平,尹龙.网络银行:21世纪金融领域的一场[J].财
经科学,2000(4):1 5.
[3] 吴晓云,焦勇兵.顾客采用网络银行的影响因素研究[J].南
开管理评论,2008(6):18 27.
[4] 李红霞.我国网络银行技术风险及其监管[J].金融理论与实
践,2005(9):79 80.
[5] 乔红.网络银行的技术风险与防范[J].金融理论与实践,
2004(9):27 28.
[6] 李成,张成虎.现代网络银行发展中的金融监管思考[J].当
代经济科学,2002(5):36 40.
[7] 尹龙.对我国网络银行发展与监管问题的研究[J].金融研
究,2001(1):76 86.
[8] 谢平,尹龙.网络经济下的金融理论与金融治理[J].经济研
究,2001(4):24 31.
R esearch on Internet Bank T echnical R isk Prevention and Supervision
LIN Hui1 ZHOU Y ong2 DONG B i n3
(1Schoo l o f Busi ness,N anji ng U n i versity,N an ji ng210093,Chi na;
2Ji ang su H oll y G roup,N an ji ng210001,Chi na;3Schoo l of Econo m ic andM anag e m ent,Southeast U niversity,N anji ng210096,Ch i na)
Ab strac t:Interne t banks had t he advantages o f h i gh effic i ent serv i ce and low costs,based on t he i nforma ti on techno l ogy.H o w ev er,the re w as a po ten tia l techno l ogy risk becom i ng t he m a j or dra w back o f i n ternet bank develop ment.By t he ana l ysis of the m ajor cause o f technology r i sk,the counte r m easure of techno logy risk and superv i sion pa ttern are addressed i n th i s paper.L astl y,the f uture deve l op m ent suggesti on for Ch i nese i nterne t banks is m ade.
K ey words:i nte rnet bank;techno logy r i sk;infor m ati on syste m
(收稿日期:2011 03 03)下载本文
