魏攀

      随着云时代的到来和智能手机、平板电脑等终端产品的普及，方便了人们的生活，但网络安全问题也随之而来。而银行，掌握着大量的客户信息资源，同时拥有着传统业务和各种电子银行类的创新产品，与金融网络安全息息相关。农村信用社，作为服务“三农”的主力军，随着业务不断发展，在保持传统业务的基础上相继推出了银行卡、自助银行服务、网上银行、网上支付、电话银行、手机银行等互联网金融创新业务，并迅速积累了大量的网络客户，而如何在云时代下做好网络金融业务的安全使用及风险防范工作则是农信社互联网业务发展面临的核心问题。

      面临三大风险漏洞
      在开放的网络环境下，金融网络系统的一系列电子银行产品，如网上银行、手机银行、电话银行等业务，其网络安全风险首当其冲，这些电子银行产品的安全性最为用户所关注。
      ——“银行端”安全风险。有些柜面工作人员跟不上信息化发展的步伐，对于新推出的金融网络系统并没有全面的认识，加上安全防范意识薄弱，很容易在系统的操作过程中面临操作不当或操作失误的风险。同样，网上银行、手机银行等电子银行产品，由于电脑软硬件和手机的软硬件系统都在不断变换，使得信用社需要不断地升级系统，在此过程中就很有可能会产生一些技术漏洞或盲点，让不法分子有可乘之机，一旦出现风险和漏洞，不但会给用户带来巨大的经济损失，也会给信用社带来严重的声誉风险。
      ——“客户端”安全风险。与“银行端”的安全相比，金融网络业务“客户端”的安全就显得较为簿弱，其安全性风险主要是用户账号和密码泄漏。常见的窃取用户账户和密码的手段有：通过“钓鱼”Wifi和木马网站直接获取客户网上产品操作的账号、密码乃至支付口令，通过仿冒手机银行APP、植入手机木马病毒、恶意输入法等窃取用户密码和操作记录，通过网络窃听传输的账户密码等交易信息。目前，信用社的网上银行业务通常采用USB-Key等硬件的方式来进行关键操作的身份鉴别，能较为有效地防御盗号木马或者“钓鱼”网站的侵袭。但对于普遍使用APP方式的手机银行却无法采用U-Key硬件的方式，而是采用动态口令进行安全身份鉴别。由于固有缺陷，动态口令只在短暂的时间内有效，很可能被“钓鱼”网站利用，并让不法分子有机可乘。
      ——用户安全意识风险。曾经我们听过这样的事例，客户拿着手机到柜台上询问，“为什么卡在手里，短信回复却一直在扣费”，后来经过查证，原来是犯罪分子盗取了该客户的身份信息，到支付宝网站上为他开通了快捷支付，而客户又自己回复了允许对方开通的短信，才导致了卡被盗刷。同样，我们在柜台上为客户开通网上银行或手机银行时，常常碰到这样的情况，客户问：“为什么你们的网上银行要留这么复杂的密码，还要留两个，我都要记错的，下次记错了怎么办啊？”“你们的网上银行转账金额太小了，我需要一次性大量地转进转出，能不能再把限额给我调大点啊”，甚至有苹果手机用户下载信用社手机银行客户端，居然从来没有听说过什么ID号密码。实际生活中，还有很多用户对使用的金融网络产品如何防范风险缺乏一定的了解，这就给不法分子作案留下了可乘之机。
 
      防范措施要细致严密
      ——加强金融网络系统的基础建设。由于信用社涉及的金融网络产品较其他商业银行起步较晚，而网上银行、手机银行的平台借助是农信银的网上银行共享平台，使用和风险防范工作完全依赖于别的系统，无自主权力，当依赖的平台出现问题时，只能等待对方系统恢复，在客户群体中会造成负面的影响，一旦停用时间过长，将会对信用社的声誉风险造成较强的影响。那么，尽快地开发属于信用社自己的电子银行平台已经是目前信用社互联网金融发展刻不容缓的事情，而对于软件的开发，必须做好调查工作，以便设计出更贴近于信用社客户使用习惯的金融网络产品。
      ——改善金融网络系统的运行环境，防范操作风险。在金融网络产品的推广营销中，一定要加强操作人员的培训，提高他们对新网络技术的认识和应用，熟悉电子银行产品的开户流程，加强业务办理时身份证件的验证，同时还要加强柜面工作人员的安全防范意识，加强对操作人员权限的管理和操作密码的管理，并做好客户金融网络电子银行产品新开户的风险提示工作。
      ——完善金融网络的安全管理办法，建立金融风险防范机制。信用社在开办金融网络产品的过程中，要持续完善金融网络安全管理办法，建立有效的金融防范机制。一是要加强机构内部的控制职能，充实内部的科技力量，建立相应的网络安全风险防范组织体系，建立健全各项计算机网络安全管理和防范制度。二是要加强岗位管理，加强内控职能的落实，严禁网络技术人员、系统操作人员、系统管理人员等出现混岗和一人多岗的现象。三是要从上至下成立相应的计算机网络安全领导小组，并明确相关责任人的权利和责任。
      ——加强客户正确使用电子银行产品宣传，提高操作安全意识。银行的电子银行客户作为银行资金的实际所有人和电子银行业务的实际使用主体，其安全意识也是安全防范中非常重要的一环。信用社在完善自身制度的同时，应进一步加强对金融网络产品的业务特点、安全知识的宣传和普及，充分利用海报张贴、LED提示、柜面宣传、资料分发等多种手段提示客户提高以下安全防范意识：一是保管好自己的各类金融业务互联网操作的登录密码，并定期更换，设置具有一定复杂度的密码，不要采用有规律的数字、身份证号码、生日、QQ号、电话号码等容易被他人获知或猜中的密码；二是尽量不使用公共场所的免费Wi-Fi登录网上银行、手机银行、淘宝、第三方支付等工具，如果登录应尽快回到安全环境下修改密码；三是必须从信用社公布的官方网站下载网银向导和各类电子产品的客户端，选择正规电商网站进行网上交易，并对转账交易自行设置合理的限额；四是尽可能从正规、安全的应用市场下载应用，不轻易点击陌生网址，不轻易下载游戏、视频等各种插件，一定要安装专业的手机安全软件并经常进行木马和病毒的查杀。

（作者单位：四川隆昌县农村信用联社）

（文章来源：《当代县域经济》杂志）