一、网上银行的特点 网络银行是指利用因特网作为一个远程的交付渠道来进行银行业务。这些服务既包括传统的开设账户或银行转账业务,也包括新的银行业务,例如在线电子支付(允许客户在银行的网站上收款和付款)(见ISACA准则中的网上银行指南)。它是现代信息网络技术在银行业应用的直接结果,改变了传统银行业以银行柜台为交易前台、纸质票据为工具的现场交易方式,发展为以客户个人电脑、通讯设备或其他智能设备为交易前台、电子凭证为工具的非现场交易方式,使银行服务不受时间和空间的限制。 首先,“网上银行”不受时空限制,只要客户拥有一台电脑,并掌握了互联网的基本知识,就能够随时、随地享受“网上银行”为自己提供的各类金融服务。其次,对于银行而言,“网上银行”金融基础设施的成本大大低于传统意义上银行的成本。在银行经营开支中,以工资和租金占最大比重。“网上银行”服务则可以通过电脑处理客户需求,无须依赖密集的分行物理网络,可节省大量人力资源,符合成本效益原则。第三,由于“网上银行”交易不受时空限制,客户可随时随地处理个人财务安排,“网上银行”服务可延伸至世界的任何角落,因此扩大了客户来源,特别是对那些海外没有分行的银行更是如此。 正是由于这些特点,使得网上银行迅速发展起来,招商银行、国有四大商业银行都纷纷建立网上银行。网上银行成为了这些传统银行的延伸和助手,并且开始形成激烈的竞争。但影响网上银行能否成功,方便、功能齐全的特点并非最重要,关键是网上银行的安全性。安全性关乎该银行的运作的畅顺,关乎银行的信誉以及客户对该银行的信心和信赖。因此,在审计过程中,审计员对网上银行的安全性的关注尤其重要。安全性的评估就体现在对风险的评估,其中风险又包括技术风险、管理风险。在实施实质性测试之前,需要对网上银行的各种风险进行评估。 二、技术风险系统评估 在网上银行风险评估过程中,技术风险首当其冲。因为,网上银行是以网络和计算机技术为依托的,任何有关信息技术的出错都会对网上银行造成极大的威胁。因此网上银行的正常运行必须采用安全措施,防范恶意攻击,更主要的是向真正的客户提供可靠的服务,保障网上客户和商家的利益。网上银行系统的主要任务是正确识别客户和商户的身份,允许客户使用合法的服务,保证客户信息和数据不被泄露和篡改。鉴于此目标,网上银行应就各种可预见的技术风险建立可行的防范措施,审计员的任务也就是要检查网上银行在防范技术风险所做的措施是否完善有效,能否保证数据的完整性。 1、是否建立完整、完善的安全策略和整套的管理体系 安全策略是制定其他所有安全管理制度或措施的基础,网上银行系统的安全策略应当是银行整个计算机网络安全的一部分,在制定网上银行系统安全策略时也要考虑到银行整体安全策略和成本以及安全与效率及利润之间的平衡。 2、是否建立有效的防火墙体系以及入侵检测系统 黑客入侵系统后,可以发出拒绝服务攻击、同步(SYN)攻击、WEB欺骗攻击和TCP/IP欺骗攻击等,使得系统不能提供正常的服务,甚至让黑客可以从中窃取数据。另一方面,计算机病毒的肆虐使得网络安全尤令人担忧。妖怪病毒,在2003年就把世界范围内 1200家银行作为攻击目标。当网上银行系统建立起强大的防火墙体系和入侵检测系统,可以有效抵御这些破坏。审计人员应检查网上银行所设的这些安全体系是否足够,有否定期更新的政策和应变的能力。 3、保密措施是否足够 网络是一个向全世界开放的虚拟空间,而存在网络或经过网络的数据却是私隐的东西,因此审计人员要检查网络中的数据保密措施是否足够。保密措施的一个主要办法是数据加密,而加密的关键在于密钥的管理。故此,审计员应检查密钥的产生、传递和销毁是否严格的监督控制下进行;密钥是否定期更换;是否对重要的程序和敏感的数据都进行了加密。加密主要体现在数据传输和储存的状态,而装载数据的磁盘的保管,以及读写的进入的授权都应纳入保密措施的实施范围。磁盘有否特殊标记,读写数据如何授权及其所用口令的管理等等都应被审计员所了解。 4、身份鉴别和访问控制机制是否完善 传统的身份鉴别方法通常是靠用户的登录密码对用户的身份进行认证。但是,用户的密码在登录时是以明文的方式在网络上传输的,很容易被攻击者截获,进而可以假冒用户的身份。在互联网银行系统中,审计人员应该检查用户身份的认证是否有加密机制、数字签名机制和用户密码等多重保证。服务方是否对用户的数字信息和登录密码进行检验,全部通过以后才确认该用户的身份。用户是否具有惟一的标识,而银行是否有专门的认证机构发放给用户“数字证书”之类的身份鉴别证明。 网上银行是否在安全系统中建立安全等级标签,只允许符合安全等级的用户进行访问。同时,对用户进行分级的授权,每个用户只能在有权范围内进行操作,从而实现了对资源的访问控制。这些都是对访问的控制机制,审计人员都应该关注。 5、是否有应急措施 网上银行即使抵御入侵的技术再完善,也不可避免某些不可预见破坏因素,如停电、灾害破坏服务器等导致网络瘫痪。在面对这些破坏时,网上银行系统是否有一定的应急措施以隔离损害,尽量减轻损失,或阻止不法分子趁乱进行不法活动。此外,在破坏后的数据恢复技术也很重要。有否此技术将决定网上银行能否在破坏后迅速恢复正常运作。