¿Cuáles son los riesgos de la banca en línea?
1. Riesgos que enfrentan los bancos en línea de China
1. Riesgo del sistema
(1) Riesgo del sistema operativo. Como administrador directo de los recursos informáticos, el sistema operativo se ocupa directamente del hardware y proporciona interfaces para los usuarios, que es la base para el funcionamiento normal y seguro del sistema informático. Existen muchos agujeros de seguridad en el sistema operativo Windows, mientras que el sistema operativo UNIX es un sistema abierto y su código fuente se ha hecho público. Según los "Criterios comunes para la evaluación de la seguridad de TI" (estándar CC), un estándar de evaluación de la seguridad desarrollado conjuntamente por los Estados Unidos, los Países Bajos, Francia, Alemania, el Reino Unido y Canadá, la seguridad del sistema operativo Windows de Microsoft y la mayoría de los UNIX Los sistemas operativos solo alcanzan el nivel C2, mientras que el nivel de seguridad del sistema operativo de banca en línea debe alcanzar al menos el nivel B.
(2) Riesgos del sistema de aplicación. Existen lagunas en el diseño del sistema empresarial de red. Actualmente, el software de aplicación de red tiene las siguientes vulnerabilidades de seguridad: parámetros no válidos, control de acceso no válido, cuentas no válidas, vulnerabilidades de secuencias de comandos entre sitios, desbordamientos de búfer, vulnerabilidades de inyección de comandos, problemas de manejo de errores, uso inseguro de sistemas de contraseñas, vulnerabilidades de administración remota, red y Error de configuración del servidor del software de la aplicación.
En el proceso de diseño, solo nos centramos en el diseño de "cómo la computadora completa la tarea" y no consideramos completamente el control o la inspección del programa durante la operación. El sistema no deja una interfaz para la auditoría, lo que dificulta la realización de auditorías en tiempo real.
(3) Riesgo de almacenamiento de datos. Riesgos por acceso a datos, confidencialidad y corrupción del disco duro.
(4) Riesgo de transmisión de datos. Riesgos como el robo o modificación de datos durante la transmisión.
2. Riesgo operativo
El riesgo operativo de la banca en línea se refiere al riesgo de pérdidas directas o indirectas causadas por imperfecciones o errores en los procedimientos internos, el personal y los sistemas de la banca en línea, así como como eventos externos. Las razones de los riesgos operativos son las siguientes:
(1) La conciencia de los riesgos operativos en la banca en línea es débil.
(2) Las responsabilidades de la organización no están claras.
(3) El sistema de control interno es imperfecto o está mal implementado.
(4) No existe un departamento de auditoría adecuado para la banca online.
3. Riesgo crediticio
El riesgo crediticio de la banca en línea se produce principalmente cuando los clientes sobregiran maliciosamente al utilizar tarjetas de crédito para pagar en línea, o utilizan tarjetas de crédito falsificadas para engañar al banco.
4. Riesgo de asimetría de la información
La asimetría de la información se manifiesta en dos aspectos: por un lado, porque los bancos en línea no pueden obtener suficiente información de los clientes; no puede obtener suficiente información bancaria en línea. La asimetría de la información facilita que los clientes en línea oculten su información y acciones y tomen acciones que son beneficiosas para ellos pero perjudiciales para la banca en línea. También hace imposible que los clientes evalúen correctamente las ventajas y desventajas de la banca en línea.
5. Riesgos legales
China carece de las leyes y regulaciones correspondientes en términos de banca y transacciones en línea. Por ejemplo: cómo recaudar y gestionar impuestos en línea, si las firmas digitales tienen efecto legal, cuestiones transfronterizas en transacciones, cuestiones de propiedad intelectual, contratos electrónicos, emisiones de moneda electrónica, cuestiones de transferencias electrónicas, etc.
2. Medidas de prevención de riesgos para la banca online de mi país
1. Prevenir riesgos del sistema
(1) Seguridad física. Se refiere principalmente a medidas de defensa de seguridad para equipos clave, como sitios de equipos informáticos, sistemas informáticos, equipos de red y claves. Para evitar fugas electromagnéticas, las líneas eléctricas y de señal deben estar equipadas con filtros para reducir la impedancia de transmisión y el acoplamiento cruzado entre cables y, al mismo tiempo, evitar la radiación.
(2) Aplicación de tecnología de sistema operativo seguro. Un sistema operativo seguro no sólo puede evitar que los piratas informáticos aprovechen las vulnerabilidades de la plataforma del sistema operativo para atacar el sistema de transacciones bancarias en línea, sino que también puede proteger hasta cierto punto algunas vulnerabilidades de seguridad en el sistema de software de la aplicación. Estados Unidos ha desarrollado varios niveles de sistemas operativos de seguridad, incluido el sistema operativo de seguridad DG UX B1/B2 de Data General y el sistema operativo de seguridad HPUX CMW B1 de Hewlett-Packard. Las principales instituciones y empresas nacionales de investigación científica también han desarrollado sistemas operativos de alta seguridad, como el sistema operativo seguro SECLINUX desarrollado por el Centro de Investigación de Ingeniería de Seguridad de la Información de la Academia de Ciencias de China y el sistema COSIX LINUX desarrollado por ChinaSoft. En la actualidad, el sistema bancario en línea de China Construction Bank se basa en una plataforma de sistema operativo seguro, basada en la plataforma de hardware HP9000, y adopta el sistema operativo de seguridad B1 de HP.
(3) Aplicación de la tecnología de cifrado de comunicación de datos. Según el nivel de cifrado de la comunicación, el flujo de datos en la transmisión cifrada se puede dividir en cifrado de enlace, cifrado de nodo y cifrado de extremo a extremo. Cuando hay una gran cantidad de enlaces y los requisitos para el análisis del tráfico no son altos, el método de "cifrado de extremo a extremo" es adecuado. En el caso de altos requisitos para el análisis del tráfico, se puede utilizar una combinación de "cifrado de enlace" y "cifrado de extremo a extremo": utilice "cifrado de enlace" para cifrar el encabezado del mensaje para evitar el análisis del tráfico, y luego Los mensajes son “cifrado de extremo a extremo”.
Existen dos algoritmos principales para el cifrado de datos: DES y RSA. DES es un sistema de cifrado de clave privada (también llamado sistema de cifrado simétrico). Sus ventajas son una rápida velocidad de cifrado y descifrado, una sencilla implementación de algoritmos y una buena seguridad. Su desventaja es que la gestión de claves es incómoda. RSA es un sistema de cifrado de clave pública (también llamado sistema de cifrado asimétrico). Sus ventajas son una buena seguridad y una sencilla gestión de claves en la red. Por lo tanto, se puede utilizar un sistema de cifrado integral que combine DES y RSA: los datos se cifran con el algoritmo DES y la clave se cifra con el algoritmo RSA.
(4) Seguridad del sistema de aplicaciones. La seguridad del sistema de aplicación incluye principalmente la identificación de ambas partes de la transacción y la confirmación de la transacción. En el sistema bancario en línea, la autenticación de la identidad del usuario se basa en la doble verificación del mecanismo de firma digital y la contraseña de inicio de sesión. En el futuro, también se podrá autenticar mediante el sistema automático de autenticación de huellas dactilares. Las firmas digitales también garantizan que las instrucciones de transacción enviadas por los clientes sean innegables. Infraestructura de clave pública: PKI (infraestructura de clave pública) es una buena solución para resolver los problemas de confianza y cifrado en entornos de red a gran escala. Al mismo tiempo, se adopta un protocolo seguro de transacciones electrónicas. Los principales estándares de protocolo actuales son: Protocolo seguro de transferencia de hipertexto (S-HTTP), Protocolo de capa de conexión segura (SSL), Protocolo de tecnología de transacciones seguras (STT) y Protocolo de transacciones electrónicas seguras (SET), de los cuales SET cubre las transacciones con tarjetas de crédito. , confidencialidad de la información, integridad y autenticación de datos, firmas digitales, etc. y se ha convertido en el estándar de facto de la industria.
Fortalecer la auditoría del proceso de desarrollo del sistema de aplicaciones y la auditoría en tiempo real del proceso de operación del sistema de aplicaciones.
(5) Aplicar tecnología de seguridad de bases de datos. Aplique tecnología de control de acceso, tecnología de cifrado de datos, tecnología de protección de particiones del disco duro, tecnología de auditoría de seguridad de bases de datos, tecnología de recuperación de fallas, etc.
(6) Aplicar tecnología de seguridad firewall. El firewall de cuarta generación integra tecnología de detección de virus informáticos, tecnología de servicio de proxy y tecnología de filtrado de paquetes para proporcionar cifrado DES, cifrado de enlaces de soporte o red privada virtual, escaneo de virus y otros servicios de seguridad, y tiene informes en tiempo real, monitoreo en tiempo real, ilegal. Registro de inicio de sesión, análisis estadístico y otras funciones. Al configurar el firewall, corte todas las conexiones TCP y UDP de 135 a 142, cambie el puerto de configuración predeterminado, rechace los mensajes PING e implemente el filtrado de paquetes estableciendo reglas de filtrado de la lista de acceso. Adopte una estrategia de copia de seguridad en frío de doble máquina con firewall. Realice detección de intrusiones y análisis periódicos de vulnerabilidades.
2. Prevención de riesgos operacionales
Los riesgos operacionales provienen principalmente de los bancos. Se debe mejorar el sistema de control interno de la banca en línea, se deben establecer regulaciones operativas científicas y se deben separar los puestos incompatibles como administradores y gerentes, programadores y operadores, productores y ejecutores. Se utiliza para autenticar a supervisores y operadores. También agregue una contraseña. Cualquier operación en el sistema debe registrarse en el registro.
Establecer un centro de gestión de riesgos operativos para brindar a los empleados capacitación técnica sobre la prevención de riesgos operativos, supervisar la implementación de diversos sistemas de gestión de riesgos operativos, evaluar los riesgos operativos de la banca en línea y tomar las medidas correspondientes. Establecer un centro de emergencia de riesgo operativo para estudiar los factores que influyen en el negocio, identificar situaciones que puedan llevar a la suspensión del negocio, realizar copias de seguridad del sistema y probar periódicamente el plan de emergencia ante desastres de la empresa, y brindar soporte técnico y soluciones a los problemas de seguridad que surjan. Utilice seguros para compensar esos riesgos operativos de “baja frecuencia y alto riesgo”. Establecer un centro de auditoría de riesgos operativos para monitorear y escanear todos los servicios bancarios en línea en tiempo real y utilizar registros de auditoría para auditar a los operadores comerciales y administradores de sistemas informáticos.
Los riesgos operativos externos, especialmente el fraude financiero en la banca en línea, no solo deben monitorear el negocio minorista de servicios personales, sino también fortalecer el monitoreo de los inicios de sesión corporativos en la banca en línea y utilizar software de extracción de datos para analizar transacciones de fondos sospechosas. para evitar la explotación Realizar transacciones financieras ilegales en línea.
3. Prevención del riesgo crediticio
Establecer un sistema de información de gestión de crédito de usuarios a nivel nacional, dividir a los usuarios en diferentes niveles de crédito y adoptar diferentes medidas de gestión para usuarios de diferentes niveles. Tiene una base de datos de información de clientes y coopera con otros bancos comerciales, compañías de seguros y otras instituciones financieras no bancarias, bancos y otras instituciones financieras de todo el mundo para registrar la confiabilidad y el incumplimiento de los clientes de manera oportuna.
4. Prevención de riesgos de asimetría de información
Establecer un sistema de divulgación de información y mejorar la calidad de la divulgación de información. Se debe publicar periódicamente información justa sobre las actividades comerciales de la banca en línea y el estado financiero auditado por contadores públicos certificados, y se debe divulgar información sobre los riesgos de la banca en línea, las medidas para evitar riesgos de la banca en línea y la protección de los derechos del consumidor. Establecer un sistema de supervisión social para llevar a cabo una supervisión mutua entre los bancos en línea.
5. Prevención de riesgos legales
Es necesario hacer pleno uso e implementación de las “Medidas Provisionales para la Gestión de la Banca en Línea”, hacer pleno uso de la “Ley de Contratos”. ", "Ley de Contabilidad", "Ley de Facturas", las "Medidas de Pago y Liquidación" y otras leyes redactan acuerdos relevantes para la banca en línea, formulan procesos comerciales relevantes y regulaciones de manejo comercial, y hacen pleno uso de la "Protección de seguridad del sistema de información informática". Reglamento", "Reglamento Provisional sobre la Gestión de Redes Internacionales de Redes de Información Informática" y demás reglamentos de seguridad de redes actualmente implementados. Reglamento administrativo. Los bancos en línea deben prestar atención al almacenamiento de los datos de las transacciones y preparar pruebas para posibles disputas o litigios.
Establecer un sistema de supervisión legal para la banca en línea, formular medidas de castigo externo para la banca en línea y un mecanismo de salida para el mercado de la banca en línea. Establecer un sistema legal para los negocios de banca en línea, como establecer leyes y regulaciones como la Ley de Banca Electrónica, la Ley de Firma Electrónica y la Ley de Transferencia Electrónica de Fondos, y al mismo tiempo enriquecer y modificar las leyes y regulaciones existentes. Mejorar las leyes y regulaciones de apoyo a la banca en línea, incluyendo principalmente la ley de recaudación y administración de impuestos, la ley tributaria internacional, la ley de comercio electrónico, la ley penal, la ley de litigios, la ley de instrumentos negociables, la ley de valores, la ley de banca comercial, la ley de protección de los derechos del consumidor, la ley anti- Ley de competencia desleal y otras leyes y reglamentos pertinentes. Fortalecer los intercambios y la cooperación con la legislación y la práctica judicial internacionales, y aumentar los esfuerzos para combatir los delitos electrónicos como el lavado de dinero y el robo en línea.