财务网上银行业务的安全性分析范文

一、前言

网上银行是信息化高度发展的产物，用户可通过它在线办理一些传统的银行业务，如查询、对账、转账等。由于其具有不受任何时间、空间、方式（Anytime，Any-where，Anyhow）的限制，因此又被称作“3A银行”。凭借其服务方便、快捷、运营成本低、工作效率高等诸多优势，网上银行近些年迅猛发展，已经深入生活的方方面面，为人们提供了极大的便利。如何通过开通网上银行业务以提高服务能力得到了越来越多高校的关注，并且很多高校已经开始使用了网上银行。以缴纳学费为例，对部分教育部直属高校进行调研，已有将近30所学校开通了网上缴纳学费业务。日常核算中的转账、电汇业务也可通过网银进行支付，且在高校中开展的更加广泛。通过电话问询的方式对61所教育部直属高校进行了咨询，其中已有42所高校开通了此项业务（其中部分高校使用的是更加高效、快捷的银校直连业务），占总数的68.85%。此外，部分未开通网银业务的高校已有意向开通此项业务。另外，根据第三方支付平台支付宝在2014年的统计数据显示，全国已有132所高校可以通过其完成学费缴纳、考试报名、重修费缴纳、一卡通充值等业务。随着互联网技术的进一步发展，将会有更多的高校选择开通网上银行业务。随着高校内涵式发展的不断推进，必然对财务的管理水平和服务能力提出更高的要求，而网上银行业务的开通无疑将会对这两方面能力的提升起到十分积极的作用。

二、网上银行业务服务的优势

网上银行作为传统银行业务与信息化技术结合的产物，对高校财务而言，除具备传统金融服务的基本特性外，还具有实体银行无法比拟的优势。

（一）服务方便、快捷，不受时间、空间限制银行通过Internet向用户提供转账汇款、账户查询、银行对账、工资发放等服务，高校财务人员可以足不出户的完成相关工作，与实体银行不同，不存在办公时间等因素的限制，增加了财务工作的灵活性，提升了财务的整体服务能力。例如，在传统模式下，在进行教职工工资和学生奖助学金的发放工作时，需将发放数据送至银行进行，如遇数据格式错误、人员信息不符等问题时，要将信息修正后再送至银行发放，推迟了发放的时间。而通过使用网上银行的业务，在出现上述问题时，财务人员能够在第一时间获得反馈信息并及时进行后续处理，从而不影响工资、奖助学金的发放。

（二）实现了无纸化交易，提高工作效率在开通网上银行业务后，传统的转账、汇款等业务将不必单独打印票据，只需统一打印对应的明细单，进而减少了财务人员的工作量。因无需打印票据，还可节省购买相关票据的费用。另外，使用网上银行业务后，当汇款单位信息有误而导致转账、汇款业务未能完成时，财务人员能够及时、快捷的从系统中查询到相关信息并通知汇款人。在传统的模式下，这些工作需在银行交换单据后方可进行，费时费力。

（三）简单易用，便于科学化管理网上银行能够为客户提供更加方便、专业的服务，财务人员只需简单的操作即可完成如资金划转、查询、薪金、电子对账等业务。另外，其强大的账单查询功能方便用户实时掌握高校资金使用情况；其角色和权限机制可进一步加强财务内部监控。

三、高校财务推行网上银行存在的风险分析

网上银行具有许多传统实体银行所不具备的优势，加上各个银行的大力推广，近些年来在我国发展十分迅猛。据中国银行业协会的《2014年度中国银行业服务改进情况报告》显示，截止到2014年年末，网上银行个人客户数达到9.09亿户，交易笔数达608.46亿笔，可见在我国网上银行用户数量已经达到了一定的规模。据CNNIC（中国互联网络信息中心）的相关调查报告显示，在不选择使用网上银行的客户中，有八成人是出于对网银安全性的担心。网银安全事故主要发生在交易环节，按数据交互的流程可将网银交易分为三个部分，即客户端、银行服务器端和数据传送部分。在数据传送部分，客户与银行服务器通讯采用基于SSL的安全传输协议,因其采用128位数据加密，可确保数据在通过Internet传输过程中不会被他人截取及窃听,因此在数据传送部分能够确保网上银行交易的安全。截止目前，尚未有该部分被骇客破解的报道。在服务器端，银行在物理容灾备份、网络防火墙使用、路由访问控制、系统防黑加固、应用层安全控制等方面都建立了比较完善的保障措施，在理论上已经风险控制到了最低，因此是比较安全的。对网银安全事故进行分析可知，大多数问题均发生在客户端部分。这是因为网银用户数量众多、分布广泛，并且个体网络安全防护意识、计算机使用水平、计算机系统安全防护措施等方面差异较大，目前尚无法建立一套适用性强、操作简单、成本低廉的网银客户端防护体系，因此骇客主要针对部分未采取防护措施或不足的网银用户进行攻击，造成一定的财产损失。

（一）网站密码暴力破解暴力破解是在获取到用户账号的情况下，通过软件不断地将破解词典中的字符按照一定的规则排列组合后进行尝试，直至找到正确的登录密码。该方法虽然在理论上可以破解任何密码，但是由于现在的大部分网站已采取密码多次输入错误后禁止登录或者登录需输入验证码等方式，该办法已很少使用。

（二）键盘敲击记录该方法通过向系统植入木马程序，当用户登录网银时，记录用户所有的键盘敲击内容，从而获得用户的账号名、密码等相关信息，造成财产损失。现在很多网站均采用虚拟键盘技术，即在用户输入密码的过程中，只需点击鼠标即可录入密码，从而防范了风险。

（三）屏幕快照该方法与键盘敲击记录相似，只是增加了屏幕录像功能。因此，当用户登录带有虚拟键盘的银行网站时，骇客依然可以通过记录鼠标的点击顺序，获得客户的账户名及密码。

（四）获取系统控制权骇客通过流光、superscan等软件对计算机系统进行扫描，在发现漏洞后，远程进行攻击并获得电脑控制权。在获得电脑控制权后，骇客很容易就可以获取用户的用户名、数字证书等相关信息。

（五）钓鱼网站钓鱼网站是犯罪分子建立的与银行官网十分相似的网站，其一般包含恶意的代码。当用户误登录到此网站时，因警惕性不高而按网站提示将重要的个人信息透露给了犯罪分子，从而造成财产损失。除了上述的风险外，财务人员的人为风险也是需要引起我们关注的，如存在工资发放金额填写错误、转账单位填选有误等情况。同传统的银行业务相比，网上银行业务具有非常好的实时性，即在高校财务人员提交业务申请后，银行系统能够马上对此申请进行处理。虽然其良好的实时性能够提高工作效率，但同时也加大了处理人为误操作的难度，可能会造成一定的经济损失，存在一定的财务风险。

四、防范高校财务网上银行业务风险采取措施

网上银行风险防范措施旨在保证用户信息不被篡改、泄露，提供高效、便利、安全的网银服务，其主要可分为技术保障和管理制度两部分。虽然网上银行业务存在一定的风险，但只要做好相关的防范措施，便可将风险降至最低，确保资金使用的安全。

（一）利用技术手段，降低网银使用风险1．多方式进行身份识别，保证交易安全确保网银业务安全的核心工作是对进行交易的人员进行身份的核实，以保证网银业务的真实、准确、合法。在第二部分介绍的屏幕快照、钓鱼网站等攻击手段便是通过获取用户的账户名、密码等相关信息，进而通过银行系统的身份验证，获得被盗用户的网银权限，将资金转移到其账户，造成财产损失。为了防范骇客攻击所带来的风险，近些年银行采取新的技术手段对网银用户的身份进行验证，以保证网银资金的使用安全。（1）数字证书数字证书是由第三方权威机构CA证书授权中心(CertificateAuthority)签发的文件，它主要包含公开密钥等信息，是在网银交易中识别对方身份的一种标识。通过使用数字证书，能够建立起一套严密的身份认证系统，使银行能够确认客户的身份，并且保证信息在双方传送过程中不被其它人窃取和篡改，确保信息的安全。（2）USBKey（U盾）USBKey也称为U盾，是一种具有USB接口的硬件设备，外形与U盘十分相似，内置微型智能卡处理器，从外部无法读取内部保存的证书私钥数据，从而保证了网上交易的安全性。USBKey的安全性极高，但是使用也相对复杂，在使用前，需在系统中安装对应的驱动程序，在使用时需将其插在电脑上方可进行某些特定的网银操作。另外，第二代U盾均带有液晶显示屏，可将网银的交易信息显示在屏幕上，在确认交易金额、收款单位等信息无误后，点击U盾的确认键方可完成交易，这样的操作方式无疑将进一步加强资金的使用安全。（3）短信息动态口令短信息动态口令是用户在进行网银交易时，银行将验证信息以短信的方式发送用户预留的手机中，只有正确的填写验证信息后，才能完成交易。使用此方式进行验证十分简单、方便，用户只需携带手机便可完成验证，而不需购买或使用其他设备。另外，通过短信息可传递更多的附加信息，例如告知用户此条短信是对哪项操作进行验证，从而降低安全风险。对高校财务而言，通过上述3种技术的混合使用，可以大大加强网银业务的风险防范能力，即使骇客攻占了系统，获得了财务账户名和密码，因无法使用U盾和短信息动态口令进行身份验证，依旧无法进行网银交易，从而保证了高校资金的安全。以转账业务为例，当财务人员进行该项业务时，首先需要登录网上银行系统进行第一步身份验证，通过后方可进行后续操作。在登录成功后，即使财务人员已确认转账金额与收款单位等信息无误，亦不能将款项进行划转，必须插上U盾，再次对相关信息进行核对，核实无误后，点击U盾上的确认键，方可完成第二步验证。如果没有采用短信动态口令的方式，通过第二步验证后即可将款项划转至收款单位；如采用了短信动态口令的方式，还需填入短信验证码，验证无误后方可完成转账业务。在验证短信息中，包含转账金额及单位信息以便财务人员对转账业务进行核对。通过以上几步验证，使财务人员多次对转账业务的相关信息进行核对，确保了发生业务的真实性和准确性。骇客即使盗取了财务人员的网银用户名和密码，亦不能通过U盾和短信息动态验证码的检测，因此多重验证身份机制确保了资金的安全。2．构建专用网络，防范网络攻击为了防范来自网络的攻击，可以使用银行前置机通过DDN网（DigitalDataNetwork，利用数字信道传输数据信号的数据传输网，也是平时常说的专线上网方式）将高校业务数据与银行进行交互，使骇客很难通过网络对系统进行攻击，从而降低了网上银行的使用风险。3．定制个性化服务，降低财务风险通过对高校日常业务进行分析，归纳出使用网上银行业务可能存在的安全隐患，针对这些不足，通过技术手段进行防范，进而降低财务风险。如在办理薪金业务过程中，连续多次向同一人员发放酬金，网银系统需能向财务人员发送提醒，检查业务的真实与准确，杜绝误操作的发生。

（二）加强制度建设，杜绝安全隐患软件运行的本质是按照用户的设定完成一系列固定的操作，将人从繁杂、重复的劳动中解放出来，以提高用户的工作效率和单位管理水平。因此即使设计再完美的软件，如果用户使用不当，一样会出现问题，网上银行系统也是如此，只有建立明晰的工作流程和制度规范，才能从根本上防范风险。为了确保网银资金使用的安全，高校财务应从以下几方面规范工作流程和完善制度建设。1．建立资金支付多级审核制度除了前面介绍的骇客攻击风险外，操作人员的误操作也是一个潜在的风险点，如将汇款转入错误的收款单位，当然这在传统的实体银行业务中也是存在的。通过建立多级审核制度，可以很大程度上避免这种情况的发生，即业务流程的下一级对上一流程的操作进行检查，确认无误后方可通过进入下一环节。如在日常工作中，制单人员填写相关转账信息后，复合人员需对这部分信息进行检查、审核，审核通过后凭证到达出纳的环节，出纳员会再对这部分信息进行核查，确认无误进行转账。在使用网银转账业务的过程中，还需增加一岗位对出纳人员的操作进行审核，已确保发生业务的真实和准确。同时，该制度的实施也可有效的防范骇客攻击带来的风险，当骇客攻破整个流程中的某一个环节时，其无法通过后续环节的检测，也就无法影响财务资金的使用，从而保证了高校资金的安全。另外，对于大额的资金的使用，可以采取更多级别的审核，从而进一步保障资金安全。2．规范流程，明确职责，加强监督网银业务的开通，必然对原有的工作流程产生一定的影响，高校财务应针对这一变化，修订和完善各岗位职责，修改工作流程，加强监督机制，防止内部高科技犯罪的发生，确保资金使用的安全。3．提高风险意识，确保系统安全网上银行的使用除了要求财务人员具备财务专业技能外，还要具备一定的计算机操作能力，更重要的是要树立风险防范意识，以确保计算机系统的安全、稳定。在日常工作中，每台计算机均应安装防火墙及杀毒软件，并定期升级；应定期更新系统的补丁，避免骇客通过漏洞对计算机进行攻击；操作人员不得随意浏览无关网站，打开陌生链接及电子邮件；不要随意接入移动设备，如需使用，在接入前应进行病毒扫描等。这些措施的使用，将可以有效的阻止骇客对网银客户端的攻击，从而确保资金的安全。

五、结语

网上银行系统操作简单、服务快捷的优势是不言而喻的，近些年逐步得到了大家的普遍认同，在高校中也得到了广泛的应用。尽管网上银行业务存在一定的交易风险，但高校只需从技术和管理两方面入手，提高安全等级、做好应急预案、规范财务管理，便能够将风险降到可控范围内。在高校推进内涵式发展、提升核心竞争力的大趋势下，财务需要不断提升自身的服务能力和管理水平，因此网银业务的开通和使用将势在必行。

作者：刘国斌 姜南 单位：吉林大学