银行业如何加强网络安全管理

‘壹’ 如何加强网络安全管理技术

一、建立健全网络和信息安全管理制度
各单位要按照网络与信息安全的有关法律、法规规定和工作要求，制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任，规范团败伏计算机信息网络系统内部控制及管理制度，切实做好本单位网络与信息安全保障工作。
二、切实加强网络和信息安全管理
各单位要设立计算机信息网络系统应用管理领导小组，负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制，明确主管领导，落实责任部门，各尽其职，常抓不懈，并按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实履行好信息安全保障职责。
三、严格执行计算机网络使用管理规定
各单位要提高计算机网络使用安全意识，严禁涉密计算机连接互联网及其他公共信息网络，严禁在非涉密计算机上存储、处理涉密信息，严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离，并强化身份鉴别、访问控制、安全审计等技术防护措施，有效监控违规操作，严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。
四、加强网站、微信公众平台信息发布审查监管
各单位通过门户网站、微信公众平台在互联网上公开发布信息，要遵循涉密不公开、公开不涉密的原则，按照信息公开条例和有关规定，建立严格的审查制度。要对网站上发布的信息进行审核把关，审核内容包括：上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息，严禁交流传播涉密信息。坚持先审查、后公开，一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。
严肃突发、敏感事(案)件的新闻报道纪律，对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害，涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道，如确需宣传报道的，经县领导同意，上报地区层层审核，经自治区党委宣传部审核同意后，方可按照宣传内容做到统一口径、统一发布，确保信息发布的时效性和严肃性。
五、组织开展网络和信息安全清理检查
各单位要在近期集中开展一次网络安全清理自查工作。对办公网络、门户网站和微信公众平台的安全威胁和风险进行认真分析，制定并组织实施本单位各种网络与信息安全工作计划、工作方案，及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度，及时发现问题、堵塞漏洞、消除隐患;要全面清查，严格把关，对自查中发现的问题要立即纠正，存在严重问题的单位要认真整改。
如何加强网络安全管理
1 制定网络安全管理方面的法律法规和政策
法律法规是一种重要的行为准则，是实现有序管理和社会公平正义的有效途径。网络与我们的生活日益密不可分，网络环境的治理必须通过法治的方式来加以规范。世界很多国家都先后制定了网络安全管理法律法规，以期规范网络秩序和行为。国家工业和信息化部，针对我国网络通信安全问题，制塌携订了《通信网络安全防护管理办法》。明确规定：网络通信机构和单位有责任对网络通信科学有效划分，根据有可能会对网络单元遭受到的破坏程度，损害到经济发展和社会制度建设、国家的安危和大众利益的，有必要针对级别进行分级。电信管理部门可以针对级别划分情况，组织相关人员进行审核评议。而执行机构，即网络通信单位要根据实际存在的问题对网络单元进行实质有效性分级。针对以上条款我们可以认识到，网络安全的保证前提必须有科学合理的管理制度和办法。网络机系统相当于一棵大树，树的枝干如果出现问题势必影响到大树的生长。下图是网络域名管理分析系统示意图。
可以看到，一级域名下面分为若干个支域名，这些支域名通过上一级域名与下一级紧密连接，并且将更低级的域名授予下级域名部门相关的权利。预防一级管理机构因为系统过于宽泛而造成管理的无的放矢。通过逐级管理下放权限。维护网络安全的有限运枯困转，保证各个层类都可以在科学规范的网络系统下全面健康发展。
一些发达国家针对网络安全和运转情况，实施了一系列管理规定，并通过法律来加强网络安全性能，这也说明了各个国家对于网络安全问题的重视。比方说加拿大出台了《消费者权利在电子商务中的规定》以及《网络保密安全法》等。亚洲某些国家也颁布过《电子邮件法》以及其他保护网络安全的法律。日本总务省还重点立法，在无线局域网方面做出了明确规定，严禁用户自行接受破解网络数据和加密信息。还针对违反规定的人员制定了处罚条例措施。用法律武器保护加密信息的安全。十几年前，日本就颁布了《个人情报法》，严禁网络暴力色情情况出现。在网络环境和网络网络安全问题上布防严谨，减小青少年犯罪问题的发生。
可以说网络安全的防护网首先就是保护网络信息安全的法律法规，网络安全问题已经成为迫在眉睫的紧要问题，每一个网络使用者都应该与计算机网络和睦相处，不利用网络做违法违规的事情，能够做到做到自省、自警。
2 采用最先进的网络管理技术
工欲善其事，必先利其器。如果我们要保障安全稳定的网络环境，采用先进的技术的管理工具是必要的。在2011年中国最大软件开发联盟网站600万用户账号密码被盗，全国有名网友交流互动平台人人网500万用户账号密码被盗等多家网站出现这种网络安全惨案。最主要一个原因就是用户数据库依然采用老旧的明文管理方式没有及时应用新的更加安全的管理用户账号方式，这点从CSDN网站用户账号被泄露的声明：“CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。 但部分老的明文密码未被清理，2010年8月底，对账号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN账号管理功能，使用了强加密算法，账号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN账号的各种安全性问题。”通过上面的案例，我们知道保障安全的网络应用避免灾难性的损失，采用先进的网络管理与开发技术与平台是及其重要的。同时我们也要研究开发避免网络安全新方法新技术。必须达到人外有人，天外有天的境界，才能在网络安全这场保卫战中获得圆满胜利。保证网络优化环境的正常运转。
3 选择优秀的网络管理工具
优良的网络管理工具是网络管理安全有效的根本。先进的网络管理工具能够推动法律法规在网络管理上的真正实施，保障网络使用者的完全，并有效保证信息监管执行。
一个家庭里面，父母和孩子离不开沟通，这就如同一个管道一样，正面的负面都可以通过这个管道进行传输。网络系统也是这样，孩子沉迷与网络的世界，在无良网站上观看色情表演，以及玩游戏，这些都是需要借助于网络技术和网络工具屏蔽掉的。还有些钓鱼网站以及垃圾邮件和广告，都需要借助有效的网络信息系统的安全系统来进行处理。保障网络速度的流畅和安全。网络管理工具和软件可以担负起这样的作用，现在就来看看几款管理系统模型：
网络需求存在的差异，就对网络软件系统提出了不同模式和版本的需求，网络使用的过程要求我们必须有一个稳定安全的网络信息系统。
网络环境的变化也给网络安全工具提出了不同的要求，要求通过有效划分网络安全级别，网络接口必须能够满足不同人群的需要，尤其是网络客户群和单一的网络客户。在一个单位中，一般小的网络接口就能满足公司内各个部门的需要，保障内部之间网络的流畅运行即是他们的需求，因此，如何选用一款优质的网络管理软件和工具非常的有必要。
4 选拔合格的网络管理人员
网络管理如同一辆性能不错的机车，但是只有技术操作精良的人才能承担起让它发挥良好作用的重任。先进的网络管理工具和技术，有些操作者不会用或者不擅长用，思维模式陈旧，这样只会给网络安全带来更多的负面效应，不能保证网络安全的稳定性，为安全运转埋下隐患。
4.1 必须了解网络基础知识。
总的来说，网络技术是一个计算机网络系统有效运转的基础。必须熟知网络计算机基础知识，网络系统构架，网络维护和管理，内部局域网络、有效防控网络病毒等基础操作知识。另外，网络管理者要具备扎实的理论基础知识和操作技能，在网络的设备、安全、管理以及实地开发应用中，要做到熟练掌握而没有空白区域。计算机网络的维护运行，还需要网络管理人员有相应的职业资格证书，这也能够说明管理者达到的水平。在网络需求和网络性能发挥等目标上实施有效管理。
4.2 熟悉网络安全管理条例
网络管理人员必须熟悉国家制定的相关的安全管理办法，通过法律法规的武器来保护网络安全，作为他们工作的依据和标准，有必要也有能力为维护网络安全尽职尽责。
4.3 工作责任感要强
与普通管理岗位不同的是，网络安全问题可能随时发生。这就给网络管理人员提出了更高更切实的要求。要具有敏锐的观察力和快速做出决策的能力，能够提出有效的应对办法，把网络安全问题降到最低程度，所以网络管理人员的责任心必须要强。对于出现的问题，能在8小时以内解决，尽量不影响以后时间段的网络运转。

‘贰’ 银行业金融机构信息系统风险管理指引的主要要求是什么

机构职责
第六条 银行业金融机构应建立有效的信息系统风险管理架构，完善内部组织结构和工作机制，防范和控制信息系统风险。
第七条 银行业金融机构应认真履行下列信息系统管理职责：
（一）贯彻执行国家有关信息系统管理的法律、法规和技术标准，落实银监会相关监管要求；
（二）建立有效的信息安全保障体系和内部控制规程，明确信息系统风险管理岗位责任制度，并监督落实；
（三）负责组织对本机构信息系统风险进行检查、评估、分析，及时向本机构专门委员会和银监会及其派出机构报送相关的管理信息；
（四）及时向银监会及其派出机构报告本机构发生的重大信息系统事故或突发事件，并按有关预案快速响应；
（五）每年经董事会或握笑其他决策机构审查后向银监会及其派出机构报送信息系统风险管理的年度报告；
（六）做好本机构信息系统审计工作；
（七）配合银监会及其派出机构做好信息系统风险监昌皮迅督检查工作，并按照监管意见进行整改；
（八）组织本机构信息系统从业人员进行信息系统有关的业务、技术和安全培训；
（九）开展与信息系统风险管理相关的其他工作。
第八条 银行业金融机构的董事会或其他决策机构负责信息系统的战略规划、重大项目和风险监督管理；信息科技管理委员会、风险管理委员会或其他负责风险监督的专业委员会应制定信息系统总体策略，统筹信息系统项目建设，定期评估、报告本机构信息系统风险状况，为决策层提供建议，采取相应的风险控制措施。
第九条 银行业金融机构法定代表人或主要负责人是本机构信息系统风险管理责任人。
第十条 银行业金融机构应设立信息科技部门，统一负责本机构信息系统的规划、研发、建设、运行、维护和监控，提供日常科技服务和运行技术支持；建立或明确专门信息系统风险管理部门，建立、健全信息系统风险管理规章、制度，并协助业务部门及信息科技部门严格执行，提供相关的监管信息；设立审计部门或专门审计岗位，建立健全信息系统风险审计制度，配备适量的合格人员进行信息系统风险审计。
第十一条 银行业金融机构从事与信息系统相关工作的人员应符合以下要求：
（一）具备良好的职业道德，掌握履行信息系统相关岗位职责所需的专业知识和技能；
（二）未经岗前培训或培训不合格者不得上岗；经考核不适宜的工作人员，应及时进行调整。
第十二条 银行业金融机构应加强信息系统风险管理的专业队伍建设，建立人才激励机制，适应信息技术的发展。
第十三条 银行业金融机构应依据有关法律法规及时和规范地披露信息系统风险状况。
总体风险控制
第十四条 总体风险是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。
第十五条 银行业金融机构应根据信息系统总体规划，制定明确、持续的风险管理策略，按照信息系统的敏感程度对各个集成要素进行分析和评估，并实施有效控制。
第十六条 银行业金融机构应采取措施防范自然灾害、运行环境变化等产生的安全威胁，防止各类突发事故和恶意攻击。
第十七条 银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等；明确与信息系统相关人员的职责权限，建立制约机制，实行最小授权。
第十八条 在境外设立的我国银行业金融机耐此构或在境内设立的境外银行业金融机构，应防范由于境内外信息系统监管制度差异等造成的跨境风险。
第十九条 银行业金融机构应严格执行国家信息安全相关标准，参照有关国际准则，积极推进信息安全标准化，实行信息安全等级保护。
第二十条 银行业金融机构应加强对信息系统的评估和测试，及时进行修补和更新，以保证信息系统的安全性、完整性。
第二十一条 银行业金融机构信息系统数据中心机房应符合国家有关计算机场地、环境、供配电等技术标准。全国性数据中心至少应达到国家A类机房标准，省域数据中心至少应达到国家B类机房标准，省域以下数据中心至少应达到C类机房标准。数据中心机房应实行严格的门禁管理措施，未经授权不得进入。
第二十二条 银行业金融机构应重视知识产权保护，使用正版软件，加强软件版本管理，优先使用具有中国自主知识产权的软、硬件产品；积极研发具有自主知识产权的信息系统和相关金融产品，并采取有效措施保护本机构信息化成果。
第二十三条 银行业金融机构与信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等应严格执行相关规程，选用的设备应经过技术论证，测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性，并配置适当的备品备件。
第二十四条 信息系统的网络应参照相关的标准和规范设计、建设；网络设备应兼备技术先进性和产品成熟性；网络设备和线路应有冗余备份；严格线路租用合同管理，按照业务和交易流量要求保证传输带宽；建立完善的网管中心，监测和管理通信线路及网络设备，保障网络安全稳定运行。
第二十五条 银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制；使用内容过滤、身份认证、防火墙、病毒防范、入侵检测、漏洞扫描、数据加密等技术手段，有效降低外部攻击、信息泄漏等风险。
第二十六条 银行业金融机构应加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理，使用符合国家安全标准的密码设备，完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度。密钥、密码应定期更改。
第二十七条 银行业金融机构应加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的有效管理，不得脱离系统采集加工、传输、存取数据；优化系统和数据库安全设置，严格按授权使用系统和数据库，采用适当的数据加密技术以保护敏感数据的传输和存取，保证数据的完整性、保密性。
第二十八条 银行业金融机构应对信息系统配置参数实施严格的安全与保密管理，防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途，确定存取权限、方式和授权使用范围，严格审批和登记手续。

第二十九条 银行业金融机构应制定信息系统应急预案，并定期演练、评审和修订。省域以下数据中心至少实现数据备份异地保存，省域数据中心至少实现异地数据实时备份，全国性数据中心实现异地灾备。
第三十条 银行业金融机构应加强对技术文档资料和重要数据的备份管理；技术文档资料和重要数据应保留副本并异地存放，按规定年限保存，调用时应严格授权。信息系统的技术文档资料包括：系统环境说明文件、源程序以及系统研发、运行、维护过程中形成的各类技术资料。重要数据包括：交易数据、账务数据、客户数据，以及产生的报表数据等。
第三十一条 银行业金融机构在信息系统可能影响客户服务时，应以适当方式告知客户。
研发风险控制
第三十二条 研发风险是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。
第三十三条 银行业金融机构信息系统研发前应成立项目工作小组，重大项目还应成立项目领导小组，并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成，具体负责整个项目的开发工作。
第三十四条 项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识，小组负责人需具备组织领导能力,保证信息系统研发质量和进度。
第三十五条 银行业金融机构业务部门根据本机构业务发展战略，在充分进行市场调查、产品效益分析的基础上制定信息系统研发项目可行性报告。
第三十六条 银行业金融机构业务部门编写项目需求说明书，提出风险控制要求，信息科技部门根据项目需求编制项目功能说明书。
第三十七条 银行业金融机构信息科技部门依据项目功能说明书分别编写项目总体技术框架、项目设计说明书，设计和编码应符合项目功能说明书的要求。
第三十八条 银行业金融机构应建立独立的测试环境，以保证测试的完整性和准确性。测试至少应包括功能测试、安全性测试、压力测试、验收测试、适应性测试。测试不得直接使用生产数据。
第三十九条 银行业金融机构信息科技部门应根据测试结果修补系统的功能和缺陷，提高系统的整体质量。
第四十条 银行业金融机构业务人员、技术人员应根据职责范围分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划，并进行演练。

第四十一条 开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存。
第四十二条 项目验收应出具由相关负责人签字的项目验收报告，验收不合格不得投产使用。
第五章运行维护风险控制
第四十三条 运行维护风险是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。
第四十四条 银行业金融机构信息系统运行与维护应实行职责分离，运行人员应实行专职，不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护，除应急外，其他维护应在非工作时间进行。
第四十五条 银行业金融机构信息系统的运行应符合以下要求：
（一）制定详细的运行值班操作表，包括规定巡检时间，操作范围、内容、办法、命令以及负责人员等信息；
（二）提供常见和简便的操作菜单或命令，如信息系统的启动或停止、运行日志的查询等；
（三）提供机房环境、设备使用、网络运行、系统运行等监控信息；
（四）记录运行值班过程中所有现象、操作过程等信息。
第四十六条 银行业金融机构信息系统的维护应符合以下要求：
（一）除对信息系统设备和系统环境的维护外，对软件或数据的维护必须通过特定的应用程序进行，添加、删除和修改数据应通过柜员终端，不得对数据库进行直接操作；
（二）具备各种详细的日志信息，包括交易日志和审计日志等，以便维护和审计；
（三）提供维护的统计和报表打印功能。
第四十七条 银行业金融机构信息系统的变更应符合以下要求：
（一）制订严密的变更处理流程，明确变更控制中各岗位的职责，并遵循流程实施控制和管理；变更前应明确应急和回退方案，无授权不得进行变更操作；
（二）根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性；
（三）应采用软件工具精确判断变更的真实位置和内容，形成变更内容核实清单，实现真实、有效、全面的检验；
（四）软件版本变更后应保留初始版本和所有历史版本，保留所有历史的变更内容核实清单。
第四十八条 银行业金融机构在信息系统投产后一定时期内，应组织对系统的后评价，并根据评价及时对系统功能进行调整和优化。
第四十九条 银行业金融机构应对机房环境设施实行日常巡检，明确信息系统及机房环境设施出现故障时的应急处理流程和预案，有实时交易服务的数据中心应实行24小时值班。
第五十条 银行业金融机构应实行事件报告制度，发生信息系统造成重大经济、声誉损失和重大影响事件，应即时上报并处理，必要时启动应急处理预案。
外包风险控制
第五十一条 外包风险是指银行业金融机构将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。
第五十二条 银行业金融机构在进行信息系统外包时，应根据风险控制和实际需要，合理确定外包的原则和范围，认真分析和评估外包存在的潜在风险，建立健全有关规章制度，制定相应的风险防范措施。
第五十三条 银行业金融机构应建立健全外包承包方评估机制，充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平，并进行必要的尽职调查。评估工作可委托经国家相应监管部门认定资质，具有相关专业经验的独立机构完成。
第五十四条 银行业金融机构应当与承包方签订书面合同，明确双方的权利、义务，并规定承包方在安全、保密、知识产权方面的义务和责任。
第五十五条 银行业金融机构应充分认识外包服务对信息系统风险控制的直接和间接影响，并将其纳入总体安全策略和风险控制之中。
第五十六条 银行业金融机构应建立完整的信息系统外包风险评估与监测程序，审慎管理外包产生的风险，提高本机构对外包管理的能力。
第五十七条 银行业金融机构的信息系统外包风险管理应当符合风险管理标准和策略，并应建立针对外包风险的应急计划。
第五十八条 银行业金融机构应与外包承包方建立有效的联络、沟通和信息交流机制，并制定在意外情况下能够实现承包方的顺利变更，保证外包服务不间断的应急预案。
第五十九条 银行业金融机构将敏感的信息系统，以及其他涉及国家秘密、商业秘密和客户隐私数据的管理与传递等内容进行外包时，应遵守国家有关法律法规，符合银监会的有关规定，经过董事会或其他决策机构批准，并在实施外包前报银监会及其派出机构和法律法规规定需要报告的机构备案。

‘叁’ 如何加强网络安全管理

导语：加强网络信息日常维护管理。加强日常维护和保养，定期进行巡查，及时了解和掌握网络安全运行情况，按要求排除存在的不安全因素和故障，变“事后处理”为“事前预防”。加强日常检测检查、管理维护，及时了解设备正常运行情况，建立网络安全巡查检查记录，定期开展设备保养，对设备运行中存在的隐患及时了解和掌握，做到巡查有记录、检查有目标、查后有改进，从源头上构建一张严密的“信息安全网”。

如何加强网络安全管理

一、建立健全网络和信息安全管理制度

各单位要按照网络与信息安全的有关法律、法规规定和工作要求，制定并组织实施本单位网络与信息安全管理规章制度。要明确网络与信息安全工作中的各种责任，规范计算机信息网络系统内部控制及管理制度，切实做好本单位网络与信息安全保障工作。

二、切实加强网络和信息安全管理

各单位要设立计算机信息网络系统应用管理领导小组，负责对计算机信息网络系统建设及应用、管理、维护等工作进行指导、协调、检查、监督。要建立本单位计算机信息网络系统应用管理岗位责任制，明确主管领导，落实责任部门，各尽其职，常抓不懈，并按照“谁主管谁负责，谁运行谁负责，谁使用谁负责”的原则，切实履行好信息安全保障职责。

三、严格执行计算机网络使用管理规定

各单位要提高计算机网络使用安全意识，严禁涉密计算机连接互联网及其他公共信息网络，严禁在非涉密计算机上存储、处理涉密信息，严禁在涉密与非涉密计算机之间交叉使用移动存储介质。办公内网必须与互联网及其他公共信息网络实行物理隔离，并强化身份鉴别、访问控制、安全审计等技术防护措施，有效监控违规操作，严防违规下载涉密和敏感信息。通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。

四、加强网站、微信公众平台信息发布审查监管

各单位通过门户网站、微信公众平台在互联网上公开发布信息，要遵循涉密不公开、公开不涉密的原则，按照信息公开条例和有关规定，建立严格的审查制度。要对网站上发布的信息进行审核把关，审核内容包括：上网信息有无涉密问题;上网信息目前对外发布是否适宜;信息中的文字、数据、图表、图像是否准确等。未经本单位领导许可严禁以单位的名义在网上发布信息，严禁交流传播涉密信息。坚持先审查、后公开，一事一审、全面审查。各单位网络信息发布审查工作要有领导分管、部门负责、专人实施。

严肃突发、敏感事(案)件的新闻报道纪律，对民族、宗教、军事、环保、反腐、人权、计划生育、严打活动、暴恐案件、自然灾害，涉暴涉恐公捕大会、案件审理、非宗教教职人员、留大胡须、蒙面罩袍等敏感事(案)件的新闻稿件原则上不进行宣传报道，如确需宣传报道的，经县领导同意，上报地区层层审核，经自治区党委宣传部审核同意后，方可按照宣传内容做到统一口径、统一发布，确保信息发布的时效性和严肃性。

五、组织开展网络和信息安全清理检查

各单位要在近期集中开展一次网络安全清理自查工作。对办公网络、门户网站和微信公众平台的安全威胁和风险进行认真分析，制定并组织实施本单位各种网络与信息安全工作计划、工作方案，及时按照要求消除信息安全隐患。各单位要加大网络和信息安全监管检查力度，及时发现问题、堵塞漏洞、消除隐患;要全面清查，严格把关，对自查中发现的问题要立即纠正，存在严重问题的单位要认真整改。

如何加强网络安全管理

1 制定网络安全管理方面的法律法规和政策

法律法规是一种重要的行为准则，是实现有序管理和社会公平正义的有效途径。网络与我们的生活日益密不可分，网络环境的治理必须通过法治的方式来加以规范。世界很多国家都先后制定了网络安全管理法律法规，以期规范网络秩序和行为。国家工业和信息化部，针对我国网络通信安全问题，制订了《通信网络安全防护管理办法》。明确规定：网络通信机构和单位有责任对网络通信科学有效划分，根据有可能会对网络单元遭受到的破坏程度，损害到经济发展和社会制度建设、国家的安危和大众利益的，有必要针对级别进行分级。电信管理部门可以针对级别划分情况，组织相关人员进行审核评议。而执行机构，即网络通信单位要根据实际存在的问题对网络单元进行实质有效性分级。针对以上条款我们可以认识到，网络安全的保证前提必须有科学合理的管理制度和办法。网络机系统相当于一棵大树，树的枝干如果出现问题势必影响到大树的生长。下图是网络域名管理分析系统示意图。

可以看到，一级域名下面分为若干个支域名，这些支域名通过上一级域名与下一级紧密连接，并且将更低级的域名授予下级域名部门相关的权利。预防一级管理机构因为系统过于宽泛而造成管理的无的放矢。通过逐级管理下放权限。维护网络安全的有限运转，保证各个层类都可以在科学规范的网络系统下全面健康发展。

一些发达国家针对网络安全和运转情况，实施了一系列管理规定，并通过法律来加强网络安全性能，这也说明了各个国家对于网络安全问题的重视。比方说加拿大出台了《消费者权利在电子商务中的规定》以及《网络保密安全法》等。亚洲某些国家也颁布过《电子邮件法》以及其他保护网络安全的法律。日本总务省还重点立法，在无线局域网方面做出了明确规定，严禁用户自行接受破解网络数据和加密信息。还针对违反规定的人员制定了处罚条例措施。用法律武器保护加密信息的安全。十几年前，日本就颁布了《个人情报法》，严禁网络暴力色情情况出现。在网络环境和网络网络安全问题上布防严谨，减小青少年犯罪问题的发生。

可以说网络安全的防护网首先就是保护网络信息安全的法律法规，网络安全问题已经成为迫在眉睫的紧要问题，每一个网络使用者都应该与计算机网络和睦相处，不利用网络做违法违规的事情，能够做到做到自省、自警。

2 采用最先进的网络管理技术

工欲善其事，必先利其器。如果我们要保障安全稳定的网络环境，采用先进的技术的管理工具是必要的。在2011年中国最大软件开发联盟网站600万用户账号密码被盗，全国有名网友交流互动平台人人网500万用户账号密码被盗等多家网站出现这种网络安全惨案。最主要一个原因就是用户数据库依然采用老旧的明文管理方式没有及时应用新的更加安全的管理用户账号方式，这点从CSDN网站用户账号被泄露的声明：“CSDN网站早期使用过明文密码，使用明文是因为和一个第三方chat程序整合验证带来的，后来的程序员始终未对此进行处理。一直到2009年4月当时的程序员修改了密码保存方式，改成了加密密码。 但部分老的明文密码未被清理，2010年8月底，对账号数据库全部明文密码进行了清理。2011年元旦我们升级改造了CSDN账号管理功能，使用了强加密算法，账号数据库从Windows Server上的SQL Server迁移到了Linux平台的MySQL数据库，解决了CSDN账号的各种安全性问题。”通过上面的案例，我们知道保障安全的网络应用避免灾难性的损失，采用先进的网络管理与开发技术与平台是及其重要的。同时我们也要研究开发避免网络安全新方法新技术。必须达到人外有人，天外有天的境界，才能在网络安全这场保卫战中获得圆满胜利。保证网络优化环境的.正常运转。

3 选择优秀的网络管理工具

优良的网络管理工具是网络管理安全有效的根本。先进的网络管理工具能够推动法律法规在网络管理上的真正实施，保障网络使用者的完全，并有效保证信息监管执行。

一个家庭里面，父母和孩子离不开沟通，这就如同一个管道一样，正面的负面都可以通过这个管道进行传输。网络系统也是这样，孩子沉迷与网络的世界，在无良网站上观看色情表演，以及玩游戏，这些都是需要借助于网络技术和网络工具屏蔽掉的。还有些钓鱼网站以及垃圾邮件和广告，都需要借助有效的网络信息系统的安全系统来进行处理。保障网络速度的流畅和安全。网络管理工具和软件可以担负起这样的作用，现在就来看看几款管理系统模型：

网络需求存在的差异，就对网络软件系统提出了不同模式和版本的需求，网络使用的过程要求我们必须有一个稳定安全的网络信息系统。

网络环境的变化也给网络安全工具提出了不同的要求，要求通过有效划分网络安全级别，网络接口必须能够满足不同人群的需要，尤其是网络客户群和单一的网络客户。在一个单位中，一般小的网络接口就能满足公司内各个部门的需要，保障内部之间网络的流畅运行即是他们的需求，因此，如何选用一款优质的网络管理软件和工具非常的有必要。

4 选拔合格的网络管理人员

网络管理如同一辆性能不错的机车，但是只有技术操作精良的人才能承担起让它发挥良好作用的重任。先进的网络管理工具和技术，有些操作者不会用或者不擅长用，思维模式陈旧，这样只会给网络安全带来更多的负面效应，不能保证网络安全的稳定性，为安全运转埋下隐患。

4.1 必须了解网络基础知识。

总的来说，网络技术是一个计算机网络系统有效运转的基础。必须熟知网络计算机基础知识，网络系统构架，网络维护和管理，内部局域网络、有效防控网络病毒等基础操作知识。另外，网络管理者要具备扎实的理论基础知识和操作技能，在网络的设备、安全、管理以及实地开发应用中，要做到熟练掌握而没有空白区域。计算机网络的维护运行，还需要网络管理人员有相应的职业资格证书，这也能够说明管理者达到的水平。在网络需求和网络性能发挥等目标上实施有效管理。

4.2 熟悉网络安全管理条例

网络管理人员必须熟悉国家制定的相关的安全管理办法，通过法律法规的武器来保护网络安全，作为他们工作的依据和标准，有必要也有能力为维护网络安全尽职尽责。

4.3 工作责任感要强

与普通管理岗位不同的是，网络安全问题可能随时发生。这就给网络管理人员提出了更高更切实的要求。要具有敏锐的观察力和快速做出决策的能力，能够提出有效的应对办法，把网络安全问题降到最低程度，所以网络管理人员的责任心必须要强。对于出现的问题，能在8小时以内解决，尽量不影响以后时间段的网络运转。

‘肆’ 急求我国法律在对银行网络安全的相关规定

《全国人民代表大会常务委员会关于修改

〈中华人民共和国中国人民银行法〉的决定》

已由中华人民共和国第十届全国人民代表大会常务委员会第六次会议于2003年12月27日通过，现予公布，自2004年2月1日起施行。

中华人民共和国
2003年12月27日

中华人民共和国中国人民银行法
《全国人民代表大会常务委员会关于修改〈中华人民共和国中国人民银行法〉的决定》已由中华人民共和国第十届全国人民代表大会常务委员会第六次会议于2003年12月27日通过，2003年12月27日中华人民共和国主席令第十二号 公布，自2004年2月1日起施行。
[编辑本段]第一章 总则
第一条为了确立中国人民银行的地位，明确其职责，保证国家货币政策的正确制定和执行，建立和完善中央银行宏观调控体系，维护金融稳定，制定本法。
第二条中国人民银行是中华人民共和国的中央银行。
中国人民银行在国务院领导下，制定和执行货币政策，防范和化解金融风险，维护金融稳定。
第三条货币政策目标是保持货币币值的稳定，并以此促进经济增长。
第四条中国人民银行履行下列职责：
（一）发布与履行其职责有关的命令和规章；
（二）依法制定和执行货币政策；
（三）发行人民币，管理人民币流通；
（四）监督管理银行间同业拆借市场和银行间债券市场；
（五）实施外汇管理，监督管理银行间外汇市场；
（六）监督管理黄金市场；
（七）持有、管理、经营国家外汇储备、黄金储备；
（八）经理国库；
（九）维护支付、清算系统的正常运行；
（十）指导、部署金融业反洗钱工作，负责反洗钱的资金监测；
（十一）负责金融业的统计、调查、分析和预测；
（十二）作为国家的中央银行，从事有关的国际金融活动；
（十三）国务院规定的其他职责。
中国人民银行为执行货币政策，可以依照本法第四章的有关规定从事金融业务活动。
第五条中国人民银行就年度货币供应量、利率、汇率和国务院规定的其他重要事项作出的决定，报国务院批准后执行。
中国人民银行就前款规定以外的其他有关货币政策事项作出决定后，即予执行，并报国务院备案。
第六条中国人民银行应当向全国人民代表大会常务委员会提出有关货币政策情况和金融业运行情况的工作报告。
第七条中国人民银行在国务院领导下依法独立执行货币政策，履行职责，开展业务，不受地方政府、各级政府部门、社会团体 和个人的干涉。
第八条中国人民银行的全部资本由国家出资，属于国家所有。
第九条国务院建立金融监督管理协调机制，具体办法由国务院规定。
[编辑本段]第二章 组织机构
第十条中国人民银行设行长一人，副行长若干人。
中国人民银行行长的人选，根据国务院总理的提名，由全国人民代表大会决定；全国人民代表大会闭会期间，由全国人民代表大会常务委员会决定，由中华人民共和国主席任免。中国人民银行副行长由国务院总理任免。
第十一条中国人民银行实行行长负责制。行长领导中国人民银行的工作，副行长协助行长工作。
第十二条中国人民银行设立货币政策委员会。货币政策委员会的职责、组成和工作程序，由国务院规定，报全国人民代表大会常务委员会备案。
中国人民银行货币政策委员会应当在国家宏观调控、货币政策制定和调整中，发挥重要作用。
第十三条中国人民银行根据履行职责的需要设立分支机构，作为中国人民银行的派出机构。中国人民银行对分支机构实行统一领导和管理。
中国人民银行的分支机构根据中国人民银行的授权，维护本辖区的金融稳定，承办有关业务。
第十四条中国人民银行的行长、副行长及其他工作人员应当恪尽职守，不得滥用职权、徇私舞弊，不得在任何金融机构、企业、基金会兼职。
第十五条中国人民银行的行长、副行长及其他工作人员，应当依法保守国家秘密，并有责任为与履行其职责有关的金融机构及当事人保守秘密。
[编辑本段]第三章 人民币
第十六条中华人民共和国的法定货币是人民币。以人民币支付中华人民共和国境内的一切公共的和私人的债务，任何单位和个人不得拒收。
第十七条人民币的单位为元，人民币辅币单位为角、分。
第十八条人民币由中国人民银行统一印制、发行。
中国人民银行发行新版人民币，应当将发行时间、面额、图案、式样、规格予以公告。
第十九条禁止伪造、变造人民币。禁止出售、购买伪造、变造的人民币。禁止运输、持有、使用伪造、变造的人民币。禁止故意毁损人民币。禁止在宣传品、出版物或者其他商品上非法使用人民币图样。
第二十条任何单位和个人不得印制、发售代币票券，以代替人民币在市场上流通。
第二十一条残缺、污损的人民币，按照中国人民银行的规定兑换，并由中国人民银行负责收回、销毁。
第二十二条中国人民银行设立人民币发行库，在其分支机构设立分支库。分支库调拨人民币发行基金，应当按照上级库的调拨命令办理。任何单位和个人不得违反规定，动用发行基金。
[编辑本段]第四章 业务
第二十三条中国人民银行为执行货币政策，可以运用下列货币政策工具：
（一）要求银行业金融机构按照规定的比例交存存款准备金；
（二）确定中央银行基准利率；
（三）为在中国人民银行开立账户的银行业金融机构办理再贴现；
（四）向商业银行提供贷款；
（五）在公开市场上买卖国债、其他政府债券和金融债券及外汇；
（六）国务院确定的其他货币政策工具。
中国人民银行为执行货币政策，运用前款所列货币政策工具时，可以规定具体的条件和程序。
第二十四条中国人民银行依照法律、行政法规的规定经理国库。
第二十五条中国人民银行可以代理国务院财政部门向各金融机构组织发行、兑付国债和其他政府债券。
第二十六条中国人民银行可以根据需要，为银行业金融机构开立账户，但不得对银行业金融机构的账户透支。
第二十七条中国人民银行应当组织或者协助组织银行业金融机构相互之间的清算系统，协调银行业金融机构相互之间的清算事项，提供清算服务。具体办法由中国人民银行制定。
中国人民银行会同国务院银行业监督管理机构制定支付结算规则。
第二十八条中国人民银行根据执行货币政策的需要，可以决定对商业银行贷款的数额、期限、利率和方式，但贷款的期限不得超过一年。
第二十九条中国人民银行不得对政府财政透支，不得直接认购、包销国债和其他政府债券。
第三十条中国人民银行不得向地方政府、各级政府部门提供贷款，不得向非银行金融机构以及其他单位和个人提供贷款，但国务院决定中国人民银行可以向特定的非银行金融机构提供贷款的除外。
中国人民银行不得向任何单位和个人提供担保。
[编辑本段]第五章 金融监督管理
第三十一条中国人民银行依法监测金融市场的运行情况，对金融市场实施宏观调控，促进其协调发展。
第三十二条中国人民银行有权对金融机构以及其他单位和个人的下列行为进行检查监督：
（一）执行有关存款准备金管理规定的行为；
（二）与中国人民银行特种贷款有关的行为；
（三）执行有关人民币管理规定的行为；
（四）执行有关银行间同业拆借市场、银行间债券市场管理规定的行为；
（五）执行有关外汇管理规定的行为；
（六）执行有关黄金管理规定的行为；
（七）代理中国人民银行经理国库的行为；
（八）执行有关清算管理规定的行为；
（九）执行有关反洗钱规定的行为。
前款所称中国人民银行特种贷款，是指国务院决定的由中国人民银行向金融机构发放的用于特定目的的贷款。
第三十三条中国人民银行根据执行货币政策和维护金融稳定的需要，可以建议国务院银行业监督管理机构对银行业金融机构进行检查监督。国务院银行业监督管理机构应当自收到建议之日起三十日内予以回复。
第三十四条当银行业金融机构出现支付困难，可能引发金融风险时，为了维护金融稳定，中国人民银行经国务院批准，有权对银行业金融机构进行检查监督。
第三十五条中国人民银行根据履行职责的需要，有权要求银行业金融机构报送必要的资产负债表、利润表以及其他财务会计、统计报表和资料。
中国人民银行应当和国务院银行业监督管理机构、国务院其他金融监督管理机构建立监督管理信息共享机制。
第三十六条中国人民银行负责统一编制全国金融统计数据、报表，并按照国家有关规定予以公布。
第三十七条中国人民银行应当建立、健全本系统的稽核、检查制度，加强内部的监督管理。
[编辑本段]第六章 财务会计
第三十八条中国人民银行实行独立的财务预算管理制度。
中国人民银行的预算经国务院财政部门审核后，纳入中央预算，接受国务院财政部门的预算执行监督。
第三十九条中国人民银行每一会计年度的收入减除该年度支出，并按照国务院财政部门核定的比例提取总准备金后的净利润，全部上缴中央财政。
中国人民银行的亏损由中央财政拨款弥补。
第四十条中国人民银行的财务收支和会计事务，应当执行法律、行政法规和国家统一的财务、会计制度，接受国务院审计机关和财政部门依法分别进行的审计和监督。
第四十一条中国人民银行应当于每一会计年度结束后的三个月内，编制资产负债表、损益表和相关的财务会计报表，并编制年度报告，按照国家有关规定予以公布。
中国人民银行的会计年度自公历1月1日起至12月31日止。
[编辑本段]第七章 法律责任
第四十二条伪造、变造人民币，出售伪造、变造的人民币，或者明知是伪造、变造的人民币而运输，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关处十五日以下拘留、一万元以下罚款。
第四十三条购买伪造、变造的人民币或者明知是伪造、变造的人民币而持有、使用，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关处十五日以下拘留、一万元以下罚款。
第四十四条在宣传品、出版物或者其他商品上非法使用人民币图样的，中国人民银行应当责令改正，并销毁非法使用的人民币图样，没收违法所得，并处五万元以下罚款。
第四十五条印制、发售代币票券，以代替人民币在市场上流通的，中国人民银行应当责令停止违法行为，并处二十万元以下罚款。
第四十六条本法第三十二条所列行为违反有关规定，有关法律、行政法规有处罚规定的，依照其规定给予处罚；有关法律、行政法规未作处罚规定的，由中国人民银行区别不同情形给予警告，没收违法所得，违法所得五十万元以上的，并处违法所得一倍以上五倍以下罚款；没有违法所得或者违法所得不足五十万元的，处五十万元以上二百万元以下罚款；对负有直接责任的董事、高级管理人员和其他直接责任人员给予警告，处五万元以上五十万元以下罚款；构成犯罪的，依法追究刑事责任。
第四十七条当事人对行政处罚不服的，可以依照《中华人民共和国行政诉讼法》的规定提起行政诉讼。
第四十八条中国人民银行有下列行为之一的，对负有直接责任的主管人员和其他直接责任人员，依法给予行政处分；构成犯罪的，依法追究刑事责任：
（一）违反本法第三十条第一款的规定提供贷款的；
（二）对单位和个人提供担保的；
（三）擅自动用发行基金的。
有前款所列行为之一，造成损失的，负有直接责任的主管人员和其他直接责任人员应当承担部分或者全部赔偿责任。
第四十九条地方政府、各级政府部门、社会团体和个人强令中国人民银行及其工作人员违反本法第三十条的规定提供贷款或者担保的，对负有直接责任的主管人员和其他直接责任人员，依法给予行政处分；构成犯罪的，依法追究刑事责任；造成损失的，应当承担部分或者全部赔偿责任。
第五十条中国人民银行的工作人员泄露国家秘密或者所知悉的商业秘密，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。
第五十一条中国人民银行的工作人员贪污受贿、徇私舞弊、滥用职权、玩忽职守，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，依法给予行政处分。
[编辑本段]第八章 附则
第五十二条本法所称银行业金融机构，是指在中华人民共和国境内设立的商业银行、城市信用合作社、农村信用合作社等吸收公众存款的金融机构以及政策性银行。
在中华人民共和国境内设立的金融资产管理公司、信托投资公司、财务公司、金融租赁公司以及经国务院银行业监督管理机构批准设立的其他金融机构，适用本法对银行业金融机构的规定。
第五十三条本法自公布之日起施行。

‘伍’ 网上银行不安全的原因，解决的方法~~~~~

般来说，人们担心的网上银行安全问题主要是：

1. 银行交易系统被非法入侵。

2. 信息通过网络传输时被窃取或篡改。

3. 交易双方的身份识别；账户被他人盗用。

从银行的角度来看，开展网上银行业务将承担比客户更多的风险。因此，我国已开通“网上银行”业务的招商银行、建设银行、中国银行等，都建立了一套严密的安全体系，包括安全策略、安全管理制度和流程、安全技术措施、业务安全措施、内部安全监控和安全审计等，以保证“网上银行”的安全运行。

银行交易系统的安全性

“网上银行”系统是银行业务服务的延伸，客户可以通过互联网方便地使用商业银行核心业务服务，完成各种非现金交易。但另一方面，互联网是一个开放的网络，银行交易服务器是网上的公开站点，网上银行系统也使银行内部网向互联网敞开了大门。因此，如何保证网上银行交易系统的安全，关系到银行内部整个金融网的安全，这是网上银行建设中最至关重要的问题，也是银行保证客户资金安全的最根本的考虑。

为防止交易服务器受到攻击，银行主要采取以下三方面的技术措施：

1. 设立防火墙，隔离相关网络。

一般采用多重防火墙方案。其作用为：

（1） 分隔互联网与交易服务器，防止互联网用户的非法入侵。

（2） 用于交易服务器与银行内部网的分隔，有效保护银行内部网，同时防止内部网对交易服务器的入侵。

2. 高安全级的Web应用服务器

服务器使用可信的专用操作系统，凭借其独特的体系结构和安全检查，保证只有合法用户的交易请求能通过特定的代理程序送至应用服务器进行后续处理。

3. 24小时实时安全监控

例如采用ISS网络动态监控产品，进行系统漏洞扫描和实时入侵检测。在2000年2月Yahoo等大网站遭到黑客入侵破坏时，使用ISS安全产品的网站均幸免于难。

身份识别和CA认证�

网上交易不是面对面的，客户可以在任何时间、任何地点发出请求，传统的身份识别方法通常是靠用户名和登录密码对用户的身份进行认证。但是，用户的密码在登录时以明文的方式在网络上传输，很容易被攻击者截获，进而可以假冒用户的身份，身份认证机制就会被攻破。

在网上银行系统中，用户的身份认证依靠基于“RSA公钥密码体制”的加密机制、数字签名机制和用户登录密码的多重保证。银行对用户的数字签名和登录密码进行检验，全部通过后才能确认该用户的身份。用户的惟一身份标识就是银行签发的“数字证书”。用户的登录密码以密文的方式进行传输，确保了身份认证的安全可靠性。数字证书的引入，同时实现了用户对银行交易网站的身份认证，以保证访问的是真实的银行网站，另外还确保了客户提交的交易指令的不可否认性。 由于数字证书的惟一性和重要性，各家银行为开展网上业务都成立了CA认证机构，专门负责签发和管理数字证书，并进行网上身份审核。2000年6月，由中国人民银行牵头，12家商业银行联合共建的中国金融认证中心(CFCA)正式挂牌运营。这标志着中国电子商务进入了银行安全支付的新阶段。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构，为今后实现跨行交易提供了身份认证基础。

网络通讯的安全性

由于互联网是一个开放的网络，客户在网上传输的敏感信息(如密码、交易指令等)在通讯过程中存在被截获、被破译、被篡改的可能。为了防止此种情况发生，网上银行系统一般都采用加密传输交易信息的措施，使用最广泛的是SSL数据加密协议。

SSL协议是由Netscape首先研制开发出来的，其首要目的是在两个通信间提供秘密而可靠的连接，目前大部分Web服务器和浏览器都支持此协议。用户登录并通过身份认证之后，用户和服务方之间在网络上传输的所有数据全部用会话密钥加密，直到用户退出系统为止。而且每次会话所使用的加密密钥都是随机产生的。这样，攻击者就不可能从网络上的数据流中得到任何有用的信息。同时，引入了数字证书对传输数据进行签名，一旦数据被篡改，则必然与数字签名不符。SSL协议的加密密钥长度与其加密强度有直接关系，一般是40～128位，可在IE浏览器的“帮助”“关于”中查到。目前，建设银行等已经采用有效密钥长度128位的高强度加密。

客户的安全意识�

银行卡持有人的安全意识是影响网上银行安全性的不可忽视的重要因素。目前，我国银行卡持有人安全意识普遍较弱：不注意密码保密，或将密码设为生日等易被猜测的数字。一旦卡号和密码被他人窃取或猜出，用户账号就可能在网上被盗用，例如进行购物消费等，从而造成损失，而银行技术手段对此却无能为力。因此一些银行规定：客户必须持合法证件到银行柜台签约才能使用“网上银行”进行转账支付，以此保障客户的资金安全。

另一种情况是，客户在公用的计算机上使用网上银行，可能会使数字证书等机密资料落入他人之手，从而直接使网上身份识别系统被攻破，网上账户被盗用。

安全性作为网络银行赖以生存和得以发展的核心及基础，从一开始就受到各家银行的极大重视，都采取了有效的技术和业务手段来确保网上银行安全。但安全性和方便性又是互相矛盾的，越安全就意味着申请手续越烦琐，使用操作越复杂，影响了方便性，使客户使用起来感到困难。因此，必须在安全性和方便性上进行权衡。到目前为止，国内网上银行交易额已达数千亿元，银行方还未出现过安全问题，只有个别客户由于保密意识不强而造成资金损失。

总 结

据有关资料显示，现在美国有1500多万户家庭使用“网上银行”服务，“网上银行”业务量占银行总业务量的10%，到2005年，这一比例将接近50%。而我国网上银行业务量尚不足银行业务总量的1%，就此点讲我国网上银行业务的发展前景极为广阔，我们有理由相信，随着国民金融意识的增强，国家规范网上行为的法律法规的出台，将会有更好的网上银行使用环境，能为客户提供“3A服务”（任何时间、任何地点、任何方式）的“网上银行”一定会赢得用户的青睐。

自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。美国在2002年时，约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。2003
年，东亚银行、汇丰银行等均在我国内地开办了网络银行业务。我国第一家网络银行出现于1998年。有报道说，到2004年底，我国网络银行个人客户已达到1758万户，企业用户已达60万户，网络银行交易量达到了49万亿元。
但是，正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时，因安全问题引发的欺诈案件却接踵而来。这使得消费者开始产生质疑，不得不重新审视网络银行的可信度。网络银行的安全究竟该如何认识？问题是出在银行，还是在消费者自身缺乏防范意识？安全问题确实已成为网络银行发展过程中的一个聚焦。

形形色色的网银安全问题

网络银行，又称网上银行或在线银行，是指银行以自己的计算机系统为主体，以单位和个人的计算机为入网操作终端，借助互联网技术，通过网络向客户提供银行服务的虚拟银行柜台。简单地说，网络银行就是互联网上的虚拟银行柜台，它把传统银行的业务“搬到”网上，在网络上实现银行的业务操作。

在西方发达国家，网络银行业务一般分为三类，即信息服务、客户交流服务和银行交易服务。信息服务是银行通过互联网向客户提供产品和服务。客户交流服务包括电子邮件、帐户查询、贷款申请等。银行交易服务包括个人业务和公司业务，前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等；后者包括结算、信贷、投资等。银行交易服务是网络银行的主体业务。

网络银行的特点是客户只要拥有帐号和密码，便能在世界各地通过互联网，进入网络银行处理交易。与传统银行业务相比，网络银行的优势体现在，不仅能够大大降低银行的经营成本，还有利于扩大客户群，交叉销售产品，吸引和保留优质客户。由于客户采用的是公共浏览器软件和公共网络资源，节省了银行对客户端的软、硬件开发和维护费用。网络银行的无时空限制的特点，打破了传统业务受地域和时间的限制，能在任何时候、任何地方为客户提供金融服务；并且在整合各类交叉销售产品信息的基础上，实现金融创新，为客户提供更具个性化的服务。

网络银行发展的模式有两种，一是完全依赖于互联网的无形的电子银行，也叫“虚拟银行”；另一种是在现有的传统银行的基础上，利用互联网开展传统的银行业务交易服务。因此，事实上，我国还没有出现真正意义上的网络银行，也就是“虚拟银行”，国内现在的网络银行基本都属于第二种模式。

对于银行来讲，历来是“信用第一”。网络银行既然是互联网的产物，互联网所带来的一切安全隐患，自然会波及网络银行，影响其信用。因此，网络银行的安全问题不仅是客户最担心的事情，也为各传统银行所关注和重视。网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外，利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。

假冒银行网站具有很强的隐蔽性，其域名通常和真实银行的域名相差一个字母或数字，主页则与真实银行的非常相似。欺诈邮件是提供一个与银行或购物网站极为相似的链接，收到此类邮件的用户一旦点击这个链接，紧接着页面会提示用户继续输入自己的帐户信息；如果用户填写了此类信息，这些信息将最终落入诈骗者手中。而网上交易陷阱则是，一些不知名的购物网站通常会打出超低价商品等信息，待用户点击付款链接时就将用户的银行资料骗取出去。面对发生在网络银行上形形色色的安全问题，各家银行的反映如何？它们都采取了哪些相应的措施？

银行篇：该出手时就出手

8月份，国内14家商业银行与中国金融认证中心（CFCA）联合推出“2005放心安全用网银”的活动。银行界与第三方安全认证机构联手行动，为广大消费者提供了一次了解网上银行和信息安全知识的机会。
在这14家银行中，中国工商银行于2000年推出了网上银行。通过采用国际先进的技术安全措施和严格的风险控制手段，工行建立了一整套严密的网上银行技术与制度体系，确保了网上银行安全的运行。

中国工商银行电子银行部副处长尚阳向记者介绍说，利用网上银行进行欺诈行为，骗取客户资金，目前主要有四种类型：一是不法分子通过电子邮件冒充知名公司，特别是冒充银行，以系统升级等名义诱骗不知情的用户点击进入假网站，并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。二是不法分子利用网络聊天，以网友的身份低价兜售网络游戏装备、数字卡等商品，诱骗用户登录犯罪嫌疑人提供的假网站地址，输入银行账号、登录密码和支付密码。三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯，有可能通过这些程序、邮件等将木马病毒置入客户的计算机内，一旦客户利用这种“中毒”的计算机登录网上银行，客户的账号和密码就有可能被不法分子窃取。

例如，人们在网吧等公共电脑上网时，网吧电脑内有可能预先埋伏木马程序，账号、密码等敏感信息。四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理，通过试探等方式可能猜测出密码。所以，为了保证信息和资金的安全，我们不仅需要具备辨识网络诈骗的能力，更需要养成良好的网上银行使用习惯。当然，如果用户申请了客户证书，就可以有效防范目前常见的各种网络犯罪，确保用户资金安全无忧。

工商银行网上银行系统的安全保障是多层的，包括网上银行技术安全和业务安全，二者共同构成了一个完备的网上银行安全体系。从技术安全的层面上，网上银行的技术安全包括网络安全和交易安全两个方面。网络安全确保工行网站的安全可靠，交易安全确保客户通过网上银行进行交易的资金安全。其中，网络安全涉及系统安全、网络运行安全等。

系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控) 和审计分析；网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。工商银行为保障网上银行的网络安全性，采取了一系列措施，包括：在互联网与网上银行服务器之间设置第一道防火墙, 在门户网站服务器和工行内部网络（应用服务器）之间设置第二道防火墙。第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品，设置不同的安全策略，使黑客即使攻破第一道防火墙，也无法轻易攻破第二道防火墙而进入内部网络，等等。

在确保网络安全的同时，工行网上银行还采取了一系列确保网上交易安全的措施，包括采用中国金融认证中心（CFCA）提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。根据客户对方便性和安全级别要求的不同，工行将客户分为无证书客户和证书客户两大类。没有申请证书的客户要进入网上银行，首先要验证客户的账号（或自己设立的登录ID）和登录密码，对外支付还必须验证支付密码。

此外，通过增加密码难度（必须是6—30位数字与字母的组合）、设置虚拟“e”卡（专门用于网上购物）和每日支付最高限额等一系列方式，最大限度地保证客户安全使用网上银行。对于申请了证书的客户，工行USBKey客户证书是一个外形类似U盘的智能芯片，是网上银行的“身份证”和“安全钥匙”，也是目前安全级别最高的一种安全措施。客户申请了这个证书后，网上所有涉及资金对外转移的操作，都必须通过这个客户证书才能完成，而此证书，仅客户自己保管和使用。换句话说，账号、登录密码、支付密码、客户证书、证书密码等种种安全防范措施，只要其中一样没有丢失或泄露，或即使丢失，只要密码和证书没有被同一个人获得，就不存在资金安全问题。

除了技术安全外，工行在业务安全层面上，制定了健全的内部柜员操作管理机制。整个网上银行的内部管理系统，都通过工行内网向全行提供统一的内部管理功能。系统内部从总行、省行到市行建立4类9级柜员制度，逐级管理,每一级对下一级有管理、监督的权限。同时柜员在进行一些关键性操作时，还需要上一级柜员的实时审核，防止单人作案。

那么，用户应该如何安全使用网上银行？尚阳副处长说，对于有了客户证书的客户来说，只要密码和证书没有被同一个人获得，就能确保客户资金的安全。而没有申请客户证书的客户，只要保管好自己的账号和密码以及支付密码，就是非常安全的。总而言之，有几点需要提醒人们：1.要妥善保管好自己的账号和密码。2.谨防假网站索要账号、密码、支付密码等客户敏感信息。3.维护好自己的电脑。不要轻易下载一些来历不明的软件。最好不要在公共场所（如网吧、公共图书馆等）使用网上银行。4、最有效的方式就是到工行网点申请一个客户证书。一旦拥有了自己的客户证书，就可以有效防范诸如假网站、“木马”病毒等网络诈骗；换句话说，即使假网站、“木马”病毒通过欺骗等手段获得了您的账号、密码等敏感信息，但有了证书，照样可以安心使用网上银行。

‘陆’ 电子银行：网络安全如何保障

编者按：随着银行业的竞争加剧，“钱庄多于米铺”的情景可能会再次重演。作为客户关心的要点，安全性再次引起了银行的关注。在电子银行大行其道的今天，银行的安全已经不能只从物理层面实施了，我们需要从机制、内部、外部等多方面加以考虑。新环境，新挑战：银行安全的标准升级 银行和客户之间最重要的合作条款是安全性。银行的业务就是要为客户提供一个安全可靠的环境，使他们可以把贵重资产交由银行保管。不久前，安全意味着银行要在其办公场所采取一级防范禁闭，选用堡垒式的建筑、配置报警设施、安排保安人员把守等。不过，近十年来，全球性数字化革命从根本上改变了银行开展业务的方式，既为他们带来新的商机，也为他们提出了新的挑战。 当前，电子网络不仅构成银行与客户进行合作的主要环境，同时也成为银行开展金融业务的主要管道和保存客户资产和敏感数据的中央仓库。银行通过部署外联网、内联网和基于因特网的其他系统，加快了运营速度，实现了相互通信，为客户提供了史无前例的服务和便利。为了适应安全和规章条令的要求[如，美国的Gramm-Leach-Bliley法案]，银行正在着手采取各种措施来保护网络不受攻击。 然而，金融业在不断发展。为了进一步加强竞争优势，银行正在实现先进的网络应用，为客户提供从保险合同到票据和工资发放等新的业务。而且，随着经济全球化的不断发展，银行将越来越多地在世界范围内与客户进行沟通，无论是使用自动柜员机（ATM）卡的旅游者，还是跨境划拨资金的公司。除此之外，银行还必须遵守国内外关于跟踪和保护国际资金流及客户信息的相关法令，以及保证不拒绝大宗金融交易及赔付的相关规章制度。因此，随着银行不断拓展市场范围，其网络基础架构也将超越他们的物理地点被扩展到客户或第三方来执行交易，或访问保密信息所需要的任何地方。 新的保障机制：银行安全的基础架构 电子银行的不断发展增加了IT部门的压力。他们既要保障安全性和保密性，又要设法减轻IT人员高度紧张的管理负担。随着银行不断增加物理设施来加强防范措施外，IT管理人员也必须加大他们的安全防范工作，全方位的保障网络安全。 这意味着IT管理员需要设计行之有效的验证和授权机制，以便只允许授权用户，包括员工、客户和伙伴，在网上访问授权他们访问的特定资源。例如，通过部署防火墙，银行能够控制通过企业的因特网门户进入网络进行访问的人员。而对于入侵者而言，门户往往是诱人的目标。防火墙只允许合法用户进入，入侵者和外部人员将被拒之门外。 银行还需要其他安全机制，包括数字签名和证书支持功能。验证必须扩展到网络设备，特别是服务器。例如，窃贼有可能把缺乏控制的服务器和网络相连接，以便非法处理各种交易和转移资金，从而给银行造成严重后果。 保护内部安全：实施企业级安全政策 一旦加强了基础架构边缘的安全保障，银行还必须控制网络内部可能发生的情况，对象应包括银行员工和承包商。因为银行的威胁既可能来自网络外部，又可能来自网络内部。如果未经授权的人员可以擅自访问关键金融应用，他们就可能随意拒绝或窜改交易，由此给银行带来风险。 因此，银行需要实施企业级安全政策。这些政策能够进行集中管理，只允许获得授权的员工访问规定的应用和数据库。一旦某人进入网络，常规边缘防火墙就不能保护金融数据，所以银行应考虑采用先进防火墙技术，以便把防窜改安全特性嵌入到桌面系统和服务器，只允许每个机器访问用户获得授权的那部分网络资源。另外，银行还可以部署虚拟LAN/VLAN，把网络分割成各种不同的用户组。VLAN允许管理员组织和控制通信流，因此有利于对网络内部资源实行隔离。 传送不容出错：VPN＋防火墙 当客户访问银行外联网查看帐户信息或执行交易时，请求将始发于客户的远程地点，然后通过因特网或其他公用网络传至银行网络。在无法约束的因特网空间内，这类敏感通信容易成为窥视的目标，甚至可能被窜改。 为了保障基于因特网和基于Web交易的保密性和完整性，银行可以实现虚拟专用网（VPN）。就像装甲车一样，VPN在金融资源从银行传到其他位置的途中能为它们提供保驾护航作用。在远程用户和金融机构之间，VPN提供安全可靠的加密式端对端"隧道"。即使是最狡猾的无赖之徒，VPN的强劲安全性也能防止他们截取隧道传输的内容，使他们的阴谋不能得逞。VPN的创建宗旨就是要在每个远程访问会话期间保障其安全性，它对用户是透明的。一般而言，具有VPN功能的防火墙和客户计算机配置的许多操作系统都支持VPN。 在内部台式系统、服务器和笔记本电脑内可以部署基于防窜改硬件的防火墙来加强保护，防止入侵者通过远程访问VPN进入银行网络，同时严防在银行非军事区内（DMZ）从事破坏安全的活动。通常，DMZ包括允许公开访问的Web服务器和其它外联网服务器。 外包安全也要考虑：银行安全的外部延伸 当前，银行在保护企业的同时，又要为客户、供应商和合作伙伴提供安全可靠的通信，这是银行在全球连接的经济环境中保持赢利的关键因素。银行需要整体网络保护方案，而不仅仅是为其网络基础设施增加一些零碎的安全部件。他们必须从独立的边缘防火墙，跨越所有的有线和无线端口，扩展到基于端口的网络登录和安全可靠的网络管理等领域。 显然，有效的安全性设计来源于网络本身。网络基础架构必须具有嵌入式防火墙、验证和VPN等安全功能。不仅设计安全的网络很重要，而且设计网络时所采用的方法同样也重要，不能使企业的日常运营脱离正常轨道。当超负荷网络发生故障或崩溃时，将会给银行业务造成令人可怕的后果。 要建设一种能够提供银行安全特性的基础架构，就需要IT资源和技术。正是由于这个原因，越来越多的银行对其网络安全实行外包，虽然外包网络安全能够带来某种好处，但这并非适用于所有情况。如果银行考虑采用这种选择，就应该依靠那些了解他们特定的严格安全要求的供应商。 银行需要通过与可信赖的供应商建立合作伙伴关系，并以此作为安全决策要求的一部分，采取经济有效的方式，并适应相关规章条例的要求。在一个瞬息万变的世界，这种伙伴关系有利于金融机构应对当前和今后的所有安全问题，保证使客户永不放弃对银行的信任度和满意度。
还有什么问题，问问网络专家 3Com公司的业务专长就是为客户提供安全可靠的网络解决方案。3Com公司的技术开发策略是建立在一种实用方法基础之上，宗旨是把安全性扩展到整个网络的各个层面，设计原理就是要像高性能和高可用性那样，把安全性作为网络解决方案的内在特性来对待，从而满足客户的需要。3Com公司认为，企业网络的安全性必须作为公司策略来加以实施。而3Com公司能够提供性能强劲和可靠的系统，并支持几乎所有级别的安全保护要求。
除此之外，3Com公司创建产品的先决条件就是为企业提供分层式和分布式安全解决方案，用以满足他们的各种业务需求。如果银行安装了易于部署、易于管理和易于扩展的系统，就能够减轻其IT部门的压力，减少网络总拥有成本。

‘柒’ 网上银行的风险管理

导语：本论文主要分析网上银行风险形成的原因，总结网上银行风险防范中面临的主要问题，提出了网上银行的风险管理措施，解决目前网上银行建设中所面的问题，研究如何使银行通过科学的风险管理方法，避免网上交易风险，为网上银行健康发展提出建议。

网上银行的风险管理

一、网上银行

网上银行(E-Bank)是银行等金融机构使用计算机及网络技术在网络开设的银行，通过Internet向客户提供开户、销户、查询、对账、行内转账、跨行转账、信贷、网上证劵、投资理财等传统服务项目，使客户可以足不出户就方便地管理活期和定期存款、支票、信用卡及进行个人投资的虚拟银行柜台。

二、网上银行的风险

为保证银行内部整个金融网的安全，我们需要保证网上银行交易系统的安全，最大限度避免交易风险，这是网上银行建设中最至关重要的问题，也是银行保证顾客资金安全的`最根本的考虑。

1.来自网上银行物理结构的风险

网络是虚拟的，但又是物理存在的，数据通过物理介质进行运输和储存，进行储存的介质有硬盘、软盘和磁带等，若遭受物理损失，损失的不仅仅是这些设施，更严重的是存储于这些设施中的数据，所以注重网上银行的物理安全问题是网上银行发展的前提。

它主要包括两个方面，第一是环境安全，及对系统所在环境的安全进行保护，如区域保护和灾难保护等。第二是设备安全，主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。

2.来自网上银行技术结构的风险

网上银行的技术风险主要包括网络风险和交易风险两个方面，网络安全能够确保网上银行网站的安全性，交易安全能够确保客户通过网上银行进行交易的资金安全。

在网络风险问题中，最重要的是内部网与外部网之间的访问控制问题，在这个环节上时常发生问题，这也是黑客经常攻击的地方;另外一个问题是内部网不同网络安全域拿槐渗的访问控制问题，不同内部网具有重要性不同的信消脊息资料，因而，内部犯罪人员往往利用内部网管理上的漏洞，寻找盗窃或破坏漏洞。

计算机技术不断更新发展的同时，防病毒技术、防火墙技术的更新发展存在一定的滞后性。计算机病毒、黑客、木马等技术有威胁网上银行安全的可能。

三、网上银行风险对策设计

1.重视物理环境安全设计

首先，制度的安全需要提高安全防范意识，参照国家标准制定相关的规章制度，加强安全管理，提高员工整体素质，建立健全安全防范制度。其次，建筑的安全，机房建筑和结构从安全的角度出发，应该考虑多个方面，例如，计算机周围应有足够亮度的照明设施和防止非法进入的设施，计算机中心周围100米内不能有危险建筑物等。最后是计算机设备的防火、防盗、防雷、防静电，计算机在摆放时，可以根据消防火级别来确定机房的设计方案。

2.确保硬件安全

硬件安全主要是物理安全和设备安全。为确保物理安全，要防止意外的发生，和人员的故意破坏;确保设备安全就要求管理人员保护设备的钥匙、口令、密码等，防止人为或网络病毒、近远程对于安全的攻击。

3.控制访问权限

控制访问权限，是网络安全防范和保护的主要策略，它的明仿主要任务是保证网络资源不被非法使用和访问。

4.保护主机自身安全

利用系列网络隔离的手段对计算机中心的硬件系统进行隔离。要着重考察主机及系统的安全、稳定、持续性，防止黑客、木马等入侵的渠道。

5.确保内部网络安全性

使用加密、签名认证等技术避免数据篡改;局域网技术利用vlan技术进行物理隔离不同的位置、不同的业务网。

6.防火墙隔离安全

防火墙的硬件基础应选择性能优良的物理平台，设置防火墙时要截止所有从135到142的TCP和UDP连接，改变默认配置端口，拒绝Ping信息包，通过设置过滤规则来实现包过滤功能。实际运行操作中可采取防火墙双机备份，选择两台同样的设备安装防火墙(一台作为备份)。

7.数据备份与隔离保护

鉴于数据库的重要性，应对数据进行分级管理并提供可靠的故障恢复机制，实现数据库的访问、存取、加密控制，具体实现方案有安全数据库系统、数据库保密系统、数据库扫描系统等。

8.保障通信与信息安全

完善并发控制，利用C/S(客户/服务器)模式、B/W(浏览器/服务器)在关系数据库中进行管理，完成数据浏览以及数据探索，尽量降低无用数据交换;完善FLX FLX支持数据传输加密。

加强与改进安全协议。在信息数据传输方面，采用DES128位对称加密技术来保障数据传输的安全性，可以防窃听、防伪造和防篡改等;选择合适加密算法，考虑到国家对信息安全的控制权，我国网上银行最终目标要定位在选用国内加密算法。目前国内暂没有成熟方案和产品，初期可以选国外产品，条件成熟时改用国内加密产品。

‘捌’ 银行的网络安全是怎样保障的

法律主观：

为了保障网络个人信息的安全，个人信息处理者应当根猛好冲据个人信息的处理目的、处理方式、个人信息的种类以及对个人权枝歼益的影响、可能存在的安全风险等，采取下列措施：(1)制定内部管理制度和操作规程;(2)对个人信息实行分类管理;(3)采取相应的加密、去标识化等安全技术措施;(4)合理确定个人信息处理的操袜世作权限，并定期对从业人员进行安全教育和培训;(5)制定并组织实施个人信息安全事件应急预案;(6)法律、行政法规规定的其他措施。