金融機構網路安全總結

A. 網路金融風險的網路金融中的主要風險分析

傳統銀行所面臨的風險，比如信用風險、流動性風險、利率風險和市場風險，在網路銀行的經營中仍然存在，只不過在表現形式上有所變化。這里將討論的是網路銀行所特有的風險：操作風險、市場風險、信息風險、信譽風險和法律風險。
（一）操作風險。操作風險指源於系統可靠性、穩定性和安全性的重大缺陷而導致的潛在損失的可能性。操作風險可能來自網路金融客戶的疏忽，也可能來自網路金融安全系統及其產品的設計缺陷與操作失誤。操作風險主要涉及網路金融賬戶的授權使用、網路金融的風險管理系統、網路金融他金融機構和客戶間的信息交流、真假電子貨幣的識別等。目前，網路金融對進入金融機構賬戶的授權管理變得日益復雜起來，這一方面是由於計算機的處理能力得到日益增強，另一方面是客戶的地理空間位置變得更加分散，也可能是由於採用多種通訊手段等因素造成的。
（二）交易風險。交易風險是指投機者利用利率、匯率等市場價格的變動進行關聯交易，給金融資產的持有者帶來損益變化的不利影響。由於網路信息傳遞的快捷和不受時空限制，網路金融會放大傳統金融風險，導致市場價格波動風險、利率風險、匯率風險發生的突然性、傳染性增強，危害也更大。金融網路化給投機者帶來了機會，他們會在股市、匯市、期市進行大量關聯交易，導致金融市場跌宕起伏，從而可能會在極短的時間內給一國經濟予致命打擊。在金融網路化、全球化不斷加深的今天，國際游資對證券市場的沖擊和股票投資者的非理性操作是證券市場動盪的根源，也是網路金融最大的潛在風險。
（三）信息風險。信息風險是指由於信息不對稱或信息不完全導致網路銀行面臨的不利選擇和道德風險引發的業務風險。由於網路金融的虛擬性，一切金融往來都是以數字化在網路上得以進行,網路市場上商業銀行與客戶間信息處於嚴重的不對稱狀態，客戶將會比在傳統市場上更多地利用信息優勢，形成對網路銀行不利的道德風險行動。
（四）信譽風險。信譽風險是指網路金融交易者的任何一方不能如約履行其義務的風險。由於網路金融虛擬性的特點，與傳統金融相比，金融機構的物理結構和建築的重要性大大降低。交易雙方互不見面，只是通過網路發生聯系，這使對交易者的身份、交易的真實性驗證的難度加大，增大了交易者之間在身份確認、信用評價方面的信息不對稱，從而增大了信用風險。對我國而言，網路金融中的信用風險不僅來自服務方式的虛擬性，還有社會信用體系的不完善而導致的違約可能性。信譽風險可能來自網路金融出現巨額損失時，或者出現在網路金融的支付系統發生安全問題時，社會公眾難以恢復對網路金融交易能力的信心。一旦網路金融提供的虛擬金融服務產品不能滿足公眾所預期的水平，且在社會上產生廣泛的不良反應時，就形成了網路金融的信譽風險。或者，如果網路金融的安全系統曾經遭到破壞，無論這種破壞的原因是來自內部還是來自外部，都會影響社會公眾對網路金融的商業信心。
（五）法律風險。法律風險來源於違反法律、規章的可能性，或者有關交易各方的法律權利和業務的不明確性。銀行通過互聯網在其他國家開展業務，對於當地的法規可能不甚了解，從而加劇了法律風險。有關網路的法律仍不完善，如電子合同和數字簽名的有效性，而且各國情況也不一樣，這也加大了網路銀行的法律風險。當前，電子商務和網路金融在許多國家尚處於起步階段，缺乏相應的網路消費者權益保護管理規則及試行條例。因此，利用網路及其他電子媒體簽訂的經濟合同中存在著相當大的法律風險。

B. 以銀行的角度談信息安全需求分析

銀行信息安全
近期，據國家計算機網路應急技術處理協調中心發布的2012年網路安全報告顯示， 2012年，我國境內（我國海關關境以內）被篡改網站數量為16388個，發現針對我國境內網站的釣魚頁面22308個，涉及IP地址2576 個。從釣魚站點使用域名的頂級域分布來看，以.COM最多，佔36.5%，其次是.TK 和.CC，分別佔20.6%和9.5%；接收到網路釣魚類事件舉報9463起，較2011年大幅增長73.3%，約占總接收事件數量的一半（49.5%）。這些釣魚網站中，仿冒中國工商銀行等網上銀行的約佔54.8%。國家計算機網路應急技術處理協調中心的研究人員告訴記者，「從報告顯示來看，現在與以往通過明顯篡改網頁內容以表達訴求或炫耀技術不同的是，黑客更傾向於通過隱蔽的、危害更大的後門程序，獲得經濟利益和竊取網站內存儲的信息。目前，網站被植入後門等隱蔽性攻擊事件呈增長態勢，網站用戶信息成為黑客竊取的重點。」他還告訴記者，「釣魚網站的主要目的是騙取用戶的銀行賬號、密碼等網上交易所需信息。2012年，僅CNCERT/CC監測發現被黑客騙取的用戶銀行卡信息就達1.8萬條，這些信息失竊很可能會給用戶帶來巨額財產安全。」
而在2012年年底，明朝萬達根據事件的影響性評選出的「2012年十大信息泄密事件」中，電商銀行也是最多的。
對於記者質疑銀行網路信息安全的問題，民生銀行(600016,股吧)一位金融總監王先生（化名）直截了當地說：「我一直都認為銀行網路不安全，將來會出大問題的，」但同時他還強調，「目前，銀行是安全的，中國黑客整體技術水平不高，暫時還未能對銀行造成威脅。可是，他們會對不懂網路的普通民眾下手，請市民與企業在使用網銀轉賬匯款時小心，因為這些例子已經很多了。」
使用網銀需小心
隨著網路應用的發展，很多人都喜歡在網上辦事。網上銀行因其不受時間、空間限制，能夠在任何時間、任何地點以多種方式給客戶提供金融服務，受到越來越多人的青睞。但網銀是一把「雙刃劍」，在給用戶帶來巨大方便的同時，也不可避免地潛藏著一定的風險。
據媒體報道，今年2月，在北京工作的鋃先生因為蹭「免費WiFi」登錄網銀，導致銀行卡被分17次轉賬或取現，共損失3.4萬元。鋃先生的錢是怎麼被取走的呢？記者采訪了工商銀行的網路技術人員，他告訴記者，「蹭網有風險的，有時候免費WiFi是個陷阱，也就是大家所說的釣魚陷阱。其實釣魚WiFi信號都含有病毒軟體，可以記錄下用戶的操作記錄並破解。當你連接上這個WiFi之後，病毒軟體就開始監控你的操作。舉個例子，你用瀏覽器登錄郵箱，你的郵箱名和密碼就都被軟體記錄，並傳給黑客。」
鋃先生真是因小失大呀。在采訪過程中，工商銀行的客服人員提醒用戶，用網銀時，一定要看清網站來源及付款信息，還特別強調，一定要直接登錄銀行的官網，不要在網路或360等搜索引擎里搜。建設銀行的工作人員提醒用手機銀行的用戶，平時最好閉關WiFi自動連接。如長期保持打開狀態，手機在進入有WiFi的區域後會自動掃描，並連接沒有密碼的網路，大大增加誤連釣魚WiFi的幾率。
5月28日，360互聯網安全中心發布重大安全警報稱，「超級網銀」跨行賬戶管理功能已經成為黑客惡意利用的目標，近期全國連續出現多起各大銀行客戶被騙案例。這也是因為用戶安全意識薄弱引起的。
據悉，陳女士在網購衣服時，被騙子誘導進行了「超級網銀」授權支付操作，短短24秒內，銀行賬戶中10萬元就被洗劫一空。工商銀行的網路技術人員講，「超級網銀」是標准化跨銀行網上金融服務產品，能夠方便用戶實時跨行管理不同的銀行賬戶。通俗地說，就是可以用一個網銀賬戶，實現多張銀行卡的跨行查詢和轉賬，國內絕大多數銀行均默認支持該項功能。然而不法分子惡意利用「超級網銀」，通過欺詐手段獲取他人銀行賬戶的授權，就可以將對方賬戶余額全部偷走。
這種事情很多，據卡巴斯基中國區技術總監陳羽興介紹：「今年上半年的時候卡巴斯基就協助公安調查了一起資金被盜案件，對方自稱是檢察院，要求受害者上網驗證信息而被引導到釣魚網站上，最後機器被遠程式控制制導致賬戶里的資金全部被轉走。」
對於對網路都不甚了解的網民來說，黑客真是防不勝防呀！陳羽興建議個人用戶，首先要做到的是，不要在網吧、共用的機器上登錄銀行帳號；在自己的機器里裝專業的防惡意程序軟體；把經常使用的銀行網址記在瀏覽器里，避免由於記錯網址或者打錯網址或者用搜索引擎搜索的時候不小心點到釣魚網站而導致泄露或者損失。另外在任何人或者機構給你打電話自稱是銀行、公安、檢察院等要求你登錄網上銀行或者政府部門的網站查看或者轉帳的都不要理會而且要及時報案。
提高標准很重要
金融機構的專業人員相對於普通網民來說要專業得多，在防黑客方面做得怎樣？工商銀行客服經理介紹說，因網上銀行、支付寶等金融類網站和手機客戶端信息經過了層層加密，破解的難度大，只要使用銀行發布的官方網站或者銀行官方手機客戶端，不管是WiFi、2G還是3G網路，都不可能被人盜走賬戶信息。
陳羽興說，銀行經過多年的網路建設，已經形成一套防護體系。但是，有兩個方面容易成為整個防護體系的短木板。第一是新興系統的加入，比如虛擬化系統/雲計算系統，這些系統的防護解決方案整體還比較薄弱。另一方面是不同網路間的數據交換，比如生產網路和辦公網路是物理隔離的；銀行需要定期跟其他銀行比如人民銀行之間交換數據；有部分合作夥伴或者業務單位需要上傳一些文檔等，這些在線和離線數據如何交換、如何實時檢測以防止病毒交叉感染、數據丟失和防篡改等都面臨一些問題。
「如果國家信息安全委員會不提高驗收標准，銀行不加大技術投入力度，將來的事情不敢預想，會很可怕的。」民生銀行的王先生說，「目前銀行驗收標准太低，應該提高標准。但提高標準是要投很多錢的，如果國家不要求，銀行在感覺自己信息安全方面還可以的情況下，是不願意多花很多錢去做技術升級改造。因為目前銀行在中國的信息安全技術算高的，黑客技術水平相對較低，攻不破銀行系統的密碼，所以中國在銀行偷錢的事還沒有。建議相關政府部門未雨綢繆不要亡羊補牢。」
中國人民銀行消費者保護局局長焦瑾璞表示，網路金融作為新興的金融模式，現有的金融監管體系尚無法完全覆蓋，存在一定的監管缺位，因此必須盡快明確相應的監管部門和監管職責，既能充分包容創新又能確保監管到位。
中國科學院信息安全國家重點實驗室教授、北京知識安全工程中心主任呂述望建議金融行業不要接入網際網路，要建立中國金融行業的專業網。還有一部分網路安全專家呼籲有關方面，進一步加大自主研發的網址衛士等國產伺服器證書產品的扶持和推廣力度，加強中國網路安全保障的自主權，構築中國網路金融業務防火牆。
采訪手記：
時下，斯諾登不僅是國家層面的新聞事件，也是時下最熱門的談資，因此，在不記名采訪中，大家談得淋漓盡致。
通過采訪總結出專家們的觀點，他們認為加強銀行的網路安全：一是從銀行防範。建立嚴密的安全體系，保證網路銀行的安全運行。為防止交易伺服器受攻擊,銀行應採取隔離相關網路、高安全級的Web應用服務及實施全天候的安全監控等技術措施；二是從客戶防範。客戶的安全意識是影響網路銀行安全性的重要因素。客戶要防止自己網路銀行賬號及密碼流失,上網時應設置好電腦安全措施,不隨便點擊惡意網站；三是建立全國統一的認證中心，充分發揮第三方認證機構中立、權威的作用；四是加快電子化應用環境風險防範，如加大對計算機物理安全設施的投入和嚴格中心機房的管理制度等。
也有一位非業界專家提出的觀點，記者認為很具特別性。他認為，對於銀行信息安全，不能採用頭痛醫頭腳痛醫腳的診斷辦法，應該從根拔起。他建議，應推行電子貨幣，逐步取代紙幣。他說：「電子貨幣是一種可以追蹤的貨幣，犯罪分子盜竊銀行或者銀行用戶，最終都是以紙幣的形式消化掉，如果取消紙幣，他們沒辦法把盜來的錢花出去，那還偷盜銀行與銀行用戶的消息做什麼。」對於如何取消或限制紙幣發行，他也有建議，「建議政府層非自然地推行電子貨幣，應該從國家財政部或者中央銀行控制-減少紙幣發行，這樣做有別於西方國家由銀行和用戶自然減少紙幣使用的現象，我國應直接跳過這個過程，由中央銀行及政府部門直接主導施行。」如何實施？「相關部門出台紙幣稅，存紙幣有存紙幣稅，取時有取紙幣稅，如果是大額紙幣存取銀行可問紙幣來源，也可直接報警，」他略帶興奮地回答。
這種觀點記者也不知是否可行，但博採眾長，有些觀點記者有必要記錄下來與讀者分享。

C. 寧波市銀行業信息安全等級保護的工作開展情況

寧波市銀行業扎實推進信息安全等級保護工作

為貫徹落實《寧波市信息安全等級保護工作實施方案》，寧波市公安局與市銀監局密切合作，扎實推進銀行業金融機構信息安全等級保護工作。目前，全市已經有20家銀行單位完成對信息系統自定級工作，並將定級情況報公安機關備案。部分單位已開展測評前的基礎調查工作，銀行業開展信息安全等級保護工作進展順利。主要做法：

一是加強對銀行業信息安全工作的領導和監督。市公安局網監支隊會同市銀監分局多次召開會議，明確要求各銀行業金融機構成立由主要領導負責、各業務部門領導為成員的信息安全領導小組，全面負責等級保護工作的組織、實施和落實。此外，對照人民銀行總行下發的定級指導意見，對各信息系統定級情況進行了初步審核，提高了信息系統定級的准確性。

二是強化行政監督，限期完成信息安全等級保護備案測評工作。明確了各銀行業金融機構定級、備案、測評以及整改各階段工作時限，要求在規定時間內完成有關工作，並定期對各單位工作情況進行檢查和考核，對按期推進並完成信息安全等級保護工作的單位予以表彰，對不能在規定時間內完成各項工作的單位，市公安局、銀監局將予以通報。

三是積極整合社會資源，以市計算機信息網路安全協會為抓手加強服務和指導工作。市計算機信息網路安全協會專門成立了銀行業工作委員會，吸納各銀行單位信息安全部門領導為委員會成員，以此密切銀行業金融單位間的工作聯系。公安機關充分利用協會的媒介作用，整合社會力量，並聯合銀監部門加強了對各銀行單位的指導力度，確保了信息安全等級保護各項工作的實施。

為加快推進信息安全登記保護工作，市公安局、銀監局於3月份聯合召開了全市銀行業金融機構信息安全等級保護工作推進會議。市轄各銀行業金融機構、省農信聯社寧波辦事處、中國銀聯寧波分公司等37家單位的分管領導及部門負責人參加了此次會議。會議總結了全市銀行業金融系統信息安全等級保護工作的進展情況，在肯定前期工作的同時，著重對存在的問題及症結進行了針對性分析，並就下一步工作進行了再動員、再部署。會議明確要求在北京奧運會召開前期，全市銀行業金融機構要依照信息安全等級保護技術標准和管理規范開展信息系統自查和整改工作，確保信息系統運營安全和穩定，為北京奧運會順利召開提供穩定的金融服務環境和金融秩序。

參考：http://www.zjtbzx.gov.cn/html/xxaqdj/gzdt/20080514/215.html

D. 金融機構如何識別應對金融科技帶來的潛在風險

金融科技發展應用給金融機構帶來的潛在風險

互聯網科技與金融的高度融合，使金融科技這種輕資產重服務的網路模式慢慢滲透到金融模型、業務類型中，逐漸對傳統金融業務產生了鯰魚效應和示範效應，並推動金融機構產生變革。然而，網路虛擬環境信息不對稱、交易過程透明度低、信息安全無法得到保障，使傳統金融機構在原有聲譽風險、系統性風險等宏觀風險的同時，容易引發道德風險、技術風險、信用風險、法律風險、操作風險、市場風險、流動性風險等微觀風險。

金融科技是互聯網技術與傳統金融結合的產物，金融機構在發展金融科技和與互聯網公司合作時，面臨諸多的問題，總結金融機構金融科技風險的動因，主要包括以下幾個方面：其一，金融科技政策的模糊、法律的缺失、監管的滯後，容易引發法律風險、市場風險；如e租寶、大大集團等風險的頻發；其二，互聯網虛擬環境下的信息不對稱、交易不透明、身份不確定，容易引發道德風險；其三，金融科技對信息系統的依賴性、可篡改性、受攻擊性，容易引發技術風險；其四，金融科技與傳統金融業務的交叉性、綜合性、替代性容易引發系統性風險。

金融機構金融科技風險分類和風險識別

金融科技究其本質，它還是金融，其活動沒有脫離資金融通、信用創造、風險管理的范疇，沒有違背風險收益相匹配的客觀規律，也沒有改變金融風險隱蔽性、突發性、傳染性和負外部性的特徵。不僅如此，現代網路空間的多維開放性和多向互動性，使得金融科技風險的波及面、擴散速度、外溢效應等影響都遠超出傳統金融。金融機構開展金融科技業務主要風險類別有以下幾方面。

（一）是金融機構布局金融科技P2P業務，容易引發信用風險。一方面，傳統金融機構紛紛布局金融科技業務，由於我國信用環境不健全、信用錄入數據不完整，容易引發信用風險；另一方面，傳統金融機構為P2P平台提供資金託管服務，基於平台自身制定項目審核和資金管理，一旦平台出現信用問題，投資人的合法權益很難得到保障，容易引發對傳統金融機構資金託管的責任追究，導致信用風險爆發。

（二）是金融機構與第三方支付、眾籌和互聯網理財等合作，容易引發法律風險。傳統金融機構利用第三方支付渠道投資網上貨幣市場基金，逐步拓展到定期理財、保險理財、指數基金等，支付機構會利用資金存管賬戶形成資金池，從而導致備付金數量劇增，支付機構違規操作挪用備付金引發客戶兌付困難，從而引發法律風險；與違規經營企業合作導致的非法集資、集資詐騙、洗錢等違法問題發生，容易引發法律風險。

（三）是金融機構搭建金融科技綜合經營平台，容易引發操作風險。傳統金融機構紛紛布局金融科技綜合服務平台，將金融投資、融資服務、證券交易、基金購買等金融業務植入網上平台，通過打通銀政保業務界限，提高綜合化經營水平，增強客戶粘性。金融科技平台的便捷性促使平台更新信息並便於用戶操作，然而，一方面由於網上開戶容易缺乏充分的投資者教育，容易引發投資者操作不當，另一方面，由於業務交叉容易引起內部控制和操作程序的設計不當，由此造成投資者資金損失或身份信息泄露，進而引發操作風險。

（四）是金融機構與P2P、互聯網理財、互聯網銀行合作，容易引發流動性風險。一方面，P2P、互聯網理財違規採用拆標形式對投資者承諾保本保息、集中兌付等，容易引發流動性風險。另一方面，第三方支付賬戶活躍度較高並投身到金融科技領域，存在著資金期限錯配的風險因素，一旦貨幣市場出現大的波動，就會出現大規模的資金擠兌，從而引發流動性風險。

（五）是移動通信技術的發展與普及，容易引發信息技術風險。移動通信技術的安全性很大程度取決於網路平台的IT技術、風險識別技術、抵禦黑客和病毒攻擊技術。近年來，偽基站、偽造銀行服務信息、信息「拖庫」「撞庫」事件頻發，如果防備不當，極易發生信息技術風險。

（六）是金融機構涉及寶寶類貨幣基金業務，存在監管套利風險。一方面導致產品功能跨界。另一方面可能從監管標准不一中套利。例如，互聯網「寶寶」類產品投資與銀行協議存款資金不屬於一般性存款、不需要繳納存款准備金，被一些人士認為是一種監管套利行為。

金融機構金融科技風險應對機制

目前，監管部門已經著手金融科技行業跨界互聯網理財和跨界金融業務規范的制定，傳統金融風險應對機制已經不能適應互聯網的金融創新。一方面，互聯網業務在確立負面清單、行為監管和投資者適當性原則等方面通過創新科技監管防範風險；另一方面，加強對資產、資金端、投資者的分類保護強化風險控制能力勢在必行。此外，根據《商業銀行並表管理與監管指引》，無論是銀行集團各附屬機構之間、附屬機構與其他金融機構之間的交叉產品和合作業務的協同，或是其所屬機構的公司治理、資本和財務等，都必須在現有體制下進行全面持續的並表管控。因此，傳統金融機構布局金融科技或者與相關企業合作時，為防範風險跨業傳染，同樣必須將金融科技的風險類別融入現行風險管理體系中，構建一體化全面風險管理體系，才能有效識別、計量、監測和控制並表後總體風險狀況。

（一）合理把控金融科技內控風險，首先，應建立完備的金融機構防範金融科技風險內控機制，提高金融機構內部控制、操作管理以及抵禦外部風險的能力，有效防範操作風險；其次，加強金融機構依法合規經營風險防範意識，增強員工的道德教育和行為管控，提高員工的職業素養，有效防範道德風險；第三，加強賬戶和資金流轉監測，嚴格身份識別、交易審核、大額對賬等；第四，建立金融機構子公司風險承擔、風險轉移的差異化經營策略，有效防範和化解聲譽風險；最後，建立風險預警應急措施，對涉嫌非法集資、集資詐騙、洗錢等違法違規行為做到早預警、早處理、早報告，一旦發現採取清收措施，並快速啟動司法保護程序，有效防範法律風險。

（二）加強金融科技信息科技風險防範，首先，提升金融科技核心技術水平，運行安全防範體系，如維護操作系統安全、防火牆技術、虛擬專用網路技術、入侵檢測技術、金融信息和數據安全防範技術等，防範系統故障、黑客攻擊、病毒植入等技術風險；其次，自建信用信息徵集和應用系統，配合監管機構實現信息共享，運用信息科技技術實現現場與非現場檢查，有效防範通過互聯網技術進行的非法集資、集資詐騙、洗錢等犯罪活動，有效防範系統性風險；最後，運用先進的、大數據挖掘、區塊鏈等技術，建立信用評估體系和風險預警模型，有效防範防止信息泄露等產生的法律風險。

（三）構建金融科技風險量化監測指標體系，首先，運用量化指標，分析金融科技運行、強化金融科技風險管理和宏觀決策，金融機構可在資產品質端另列金融科技板塊，定期提供金融科技產品流動性風險?信用風險與操作風險資本等量化指標風險監測。其次，可依託現行風控指標模型選擇指標，例如經由橫跨銀行?證券與保險採用的流動性覆蓋率（LCR）與凈穩定資金比率（NSFR）防範兌付流動性風險，利用資產組合的五級分類監測防範信用風險，或者通過關鍵風險敞口提列資本來防範操作風險。最後，從綜合統計的視角構建風險數據採集的基本框架，通過匯集金融科技子平台相關信息構建指標體系，形成一套與現行風險管理制度融合統一的監測框架，作為傳統金融風險管理體系的補充。

（四）避免金融科技風險傳染發生，首先，金融科技在大量客戶的相互遷徙和交叉等日趨復雜化下，應制定單一用戶畫像?個別交易對象或關聯企業所屬集團?特定商品風險頭寸?特定信息服務提供商等風險集中型態的限額，抵禦交易過於集中而產生交叉傳染的風險。其次，對於金融機構所屬的不同網貸子平台可建立同一人、同一關聯人或同一關聯企業的信息系統，運用平台間借款金額閥值的動態風險調整機制，有效防範跨平台借貸行為可能產生的違約或者惡意詐欺風險。最後，建立金融科技板塊重大突發信用事件通報機制，及早防範危機發生時的交叉感染風險。

E. 我國目前有哪些防範網路金融風險的措施

我國的網路銀行必須有足夠強的安全措施，否則將會影響到金融業的可持續發展。網路安全保障是一個綜合集成的系統，它的規劃、管理要求國家有關部門和金融機構、IT界通力合作，進行科學的、強有力的干預和導向，同時還應開展國際合作，共同打擊網路金融犯罪。 （一）加快電子商務和網路銀行的立法進程。一般來說，網路系統安全問題和網路金融立法的滯後與模糊是造成法律風險的原因之一。針對目前網路金融活動中出現的問題，加快法制建設步伐，盡快出台有關網上交易和網上銀行的法律法規，降低銀行的法律風險，規范網路金融參與者的行為。電子商務立法首先要解決電子交易的合法性、如怎樣取用交易的電子證據，法律是否認可這樣的證據，以及電子貨幣、電子銀行的行為規范，跨國銀行的法律問題。其次，對電子商務的安全保密也必須有法律保障，對計算機犯罪、計算機泄密、竊取商業和金融機密等也都要有相應的法律制裁，以逐步形成有法律許可、法律保障和法律約束的電子商務環境。再次，充分運用政策手段，鼓勵網上銀行按健康的發展方向開展業務。最後，提升整個社會的信用水平，建立和完善我國的信用制度。 （二）銀監會應提高對網路銀行的監管水平。由銀監會牽頭，其他銀行參加，統一制定一套關於網上銀行業務結算、電子設備使用等的規范標准，以便實現與國際金融業的接軌；要建立一套完整的網上銀行業務審批和監管機制，結合我國國情，借鑒國外發展經驗，成立專門機構對網上銀行的設立、管理、具體業務功能的實現及硬體和軟體系統的應用等進行研究，為網上銀行的發展提供技術服務、支持和指導，並利用網路等先進計算機技術進行非現場監管；針對網路銀行的安全問題，選擇安全標准，建立安全認證體系；針對黑客程序和病毒分別著手建立一套行之有效的程序免疫體系；建立金融信息管理分析系統和金融科技風險監測、預警體系；制定有關數字化電子貨幣的發行、支付與管理的規章制度。 （三）大力發展先進的、具有自主知識產權的信息技術，建立網路安全防護體系。網路金融的安全，最終是通過網路技術的應用來實現和支撐的，其關鍵技術有防火牆技術、數據加密技術和智能卡技術等，主要是通過採取物理安全策略、訪問控制策略、構築防火牆、安全介面、數字簽名等高新網路技術來實現。從硬體方面來說，目前我國在金融電子化業務中使用的計算機、路由器等軟、硬體系統大部分由國外引進，而且信息技術相對落後；從軟體方面來說，我國目前的加密技術、密鑰管理技術及數字簽名技術都落後於網路金融發展的要求，增大了我國網路金融發展的安全風險和技術選擇風險。因此，迅速縮小在硬體設備方面與發達國家之間的差距，並開發擁有自主知識產權的信息技術，是防範減少安全風險和技術選擇風險，提高網路安全性能的根本性措施。 （四）建立大型共享型網路銀行資料庫。要保障網路銀行的資產安全，必須要解決信息不對稱以及信息透明度的問題。依靠資料庫技術儲存、管理和分析處理數據，這是現代化管理必須要完成的基礎性工作。網路銀行資料庫的設計應該採用社會化大協作的思路，以客戶為中心進行資產、負債和中間業務的科學管理，不同銀行可實行借款人信用信息共享制度，建立不良借款入的預警名單和「黑名單」制度。對有一定比例的資產控制關系、業務控制關系、人事關聯關系的企業或企業集團，通過資料庫進行歸類整理、分析、統計，統一授信的監控。 （五）建立網路金融統一的技術標准。目前我國金融系統電子化建設存在規劃不統一、商業銀行技術標准不統一、技術規范不統一、商業銀行之間使用的安全協議各不相同的問題。應制定金融業統一的技術標准。中國金融認證中心的成立為此奠定了基礎。確立統一的發展規劃和技術標准，才有利於統一監管，增強網路金融系統內的協調性，減少支付結算風險，並有利於其它風險的監測。我們要盡快熟悉和掌握國際上有關計算機網路安全的標准和規范，如掌握和應用國際ISO對銀行業務交易系統的安全體系結構等，制定一套較為完整的國際標准，以便我國網路銀行在風險防範上與國際接軌。 （六）加強對金融創新的研究、開發和利用。我國對金融創新的研究，特別是其應用目前還處於比較低的水平，許多金融衍生工具尚沒有得到利用，學術界和實務界應聯合攻關，不斷創造、設計、開發出各種新的組合金融工具，使我國金融衍生工具創新和風險控制能得以加強，以期在一定風險度內獲得最佳收益。

F. 如何看待互聯網時代的網路金融安全

近兩年來，網路與信息安全領域大的背景，猶如一個萬花筒，復雜多變，令人眼花繚亂，很難用一句話來概括，尤其是隨著大數據時代的到來，數據安全更是受到前所未有的重視。
而互聯網金融也席捲中國熱潮，從之前的網上購物到現在手機支付、微信支付、滴滴打車等，越來越方便了我們的生活，為更多的人所接受，為我們帶來無限商機的同時，也要考慮到金融風險的防範。
那麼在互聯網時代的今天，金融安全的現狀如何呢?我們應該怎樣看待金融安全呢?今天，記者采訪了國家信息技術安全研究院副處長曹宇，讓我們來聽聽曹老師對當前網路金融安全如何看!
金融安全現狀

一、是從銀行機構抽查情況來看，安全性同比其他行業較好
認證體系基本完善，技術應用世界領先(電子銀行的安全一直是技術在引領，中國硬體身份認證技術走在世界的前列，網上銀行基本實現了雙因子證書認證);
系統防護體系趨於成熟，防護能力較高;
風險控制體系逐漸形成，安全防護緯度多;
政策監管在加強，管理層安全意識強。
二、是從高強度滲透測試來看，金融系統應對大規模網路攻擊任然存在風險。
遠程監測20%金融機構官方網站存在高危漏洞。
邏輯錯誤、許可權繞過、信息泄漏等業務系統高危漏洞時有發生。
移動互聯網、互聯網金融迅速發展，安全問題變得無處不在。
三、是從國家的戰略層面來看，網路安全挑戰依然嚴峻。
國產率較低，自主可控壓力較大;
系統復雜、防護滯後、安全動態變化、科技風險集中;
黑色產業趨利化、集團化、跨境化(如一次跨境網路釣魚攻擊，黑客從騙取用戶的信息到國外的ATM取現只需要2小時，而立案最快得6小時);
相關法律法規、信用體系仍待完善。
網路金融在給消費者帶來便利體驗的同時，其安全性問題也日益顯現。網路金融安全問題的發生，通常是跨平台、跨地域、覆蓋存、貸、流通的各個層面，對金融機構、電商、安全企業都構成挑戰，單獨從一個環節去入手，往往困難重重。只有通過網路金融產業鏈的合作，打造由政府、銀行、商家、安全服務商等全面協同參與的網路金融保護鏈條，提供系統性的安全解決方案，才能切實保護消費者利益。
從網路威脅的角度來看：網路金融系統復雜，漏洞隨時可能出現;與此同時網路環境日益惡化，大規模攻擊時有發生;現有的安全防護體系難以防範大規模高強度滲透攻擊

從技術發展來看：雲計算、大數據、移動互聯網的等新技術、新應用的快速應用給網路金融帶來較大沖擊
從人才隊伍建設來看：網路金融安全的范疇在延伸，網路安全工作人員比例不足，特別是網路攻防分析隊伍人員緊缺
從安全可控角度來看：關鍵技術產品過度依賴少數廠商，安全可控能力不強;雲計算以及互聯網金融的規模化發展，整體架構的遷移有望自主可控獲得突破性進展。
金融系統的APT攻防之道
金融系統的APT攻防之道，從技術防控和業務防控兩方面淺談攻防演進的趨勢。新一代的防禦體系，至少具備四個能力。
應該具有智能的威脅感知能力，需要加強知彼的能力，應該具有高強度攻擊抵禦能力、快速應急響應能力，是大數據分析能力，
從業務防控的演進來看，2006年到2014年的電子銀行認證體系的發展，就是不斷的加鎖的過程。總體來看，國產信息科技產業鏈發展仍不平衡，特別是在一些關鍵技術領域，國外產品仍處在領先地位。銀行業在核心技術領域仍存在對於國外信息技術產品的依賴，銀行業全面提高信息系統自主可控能力仍是一項長期、復雜、艱巨的工作，需要在國家、行業、銀行自身等多個層面持續完善、相互促進。

G. 網路安全問題對網路金融發展有什麼影響

現在各行各業都離不開互聯網 ，金融行業也不例外 ，都和網路息息相關內，而金融行業信息安容全和網路安全就更為重要了，如果網路出問題了，損失是不可估量的，對整個國家都造成威脅。所以建議金融行業不要再用傳統網路，要把網路升級成免疫網路，信息安全和網路安全就有個徹底的保證。

所謂網路金融，是指基於金融電子化建設成果在國際互聯網上實現的金融活動，包括網路金融機構、網路金融交易、網路金融市場和網路金融監管等方面。從狹義上講是指在國際互聯網上開展的金融業務，包括網路銀行、網路證券、網路保險等金融服務及相關內容；從廣義上講，網路金融就是以網路技術為支撐，在全球范圍內的所有金融活動的總稱，它不僅包括狹義的內容，還包括網路金融安全、網路金融監管等諸多方面。它不同於傳統的以物理形態存在的金融活動，是存在於電子空間中的金融活動，其存在形態是虛擬化的、運行方式是網路化的。它是信息技術特別是互聯網技術飛速發展的產物，是適應電子商務發展需要而產生的網路時代的金融運行模式。

H. 當前互聯網金融存在的主要風險及問題，傳統金融機構怎麼辦

有很多潛在風險的，比如信用違約、期限錯配的風險，還有就是法律風險，目前版互聯網金融行業部分互聯網權金融產品(尤其是理財產品)遊走於合法與非法之間的灰色區域。還有一個就是個人信息被濫用的風險。雖然互聯網金融有這么多潛在風險，我是在國美金融投資理財的，只要選准平台，還是有安全保障的