电子银行业务由于具有客户自助操作的特性,交易主要由客户利用银行提供的服务渠道,在银行外部完成交易。本文按照电子银行操作风险发生的部位分为银行内部操作风险和银行外部操作风险两大类,分别进行阐述。
1.银行内部操作风险。
1.1系统安全风险,指商业银行的电子银行系统由于设计缺陷、安全机制不健全、软硬件设施落后等原因,导致电子银行系统被攻击而造成损失的风险。该类风险事件一旦发生,将给银行的电子银行系统带来较大的破坏和影响,危及大量客户的信息安全和资金安全。商业银行应通过建立系统安全评估机制,加强对系统漏洞与缺陷的主动扫描和监测,及时修正问题、弥补漏洞,消除风险隐患。
1.2运营风险,指电子银行服务运营过程中,因生产系统突发事件、设备网络老化故障等原因,造成电子银行系统宕机、拥堵、错账等风险。该类风险将使客户无法正常办理电子银行业务,影响客户体验,甚至可能出现因资金到账不及时、错误等与客户产生纠纷。商业银行一方面应建立生产系统应急预案,强化预案演练并定期更新,在故障发生时,能够在最短的时间内予以解决;另一方面,在重要时点,提前预判业务峰值,动态调整系统承载能力,减少问题的发生。
1.3内部管理风险,指银行员工在业务管理中因操作失误、恶意违规、内外勾结等行为,给银行、客户造成资金损失的风险。该类风险的防范依赖于商业银行内部控制手段,目前各商业银行主要通过发挥业务操作职能部门、业务管理职能部门、内部稽核部门三道防线的作用来强化操作风险管理。
2.银行外部操作风险。
2.1诈骗风险,指不法分子利用各种手段欺骗客户或银行,诱导客户按指定方式开通电子银行业务,进而盗取客户资金的风险。常见的诈骗手法,如通过短信、邮件或广告等告知客户可代办银行无抵押、无担保贷款,要求客户使用其提供的手机号码签约电子银行服务,并须存入资金后告知银行卡密码已便进行验资;又如不法分子冒充国家公检法机关、税务局、银监局、银行、电信公司等单位工作人员,以各种理由给客户打电话实施诈骗。
2.2木马病毒攻击风险,指不法分子通过散播木马、病毒等恶意文件,对客户使用的PC机、手机或其他设备进行攻击,窃取客户账户、密码等关键信息进而盗取客户资金,或直接远程控制客户设备发起交易,导致客户资金损失的风险。早期,木马病毒主要针对网上银行进行攻击,各大商业银行通过推广二代U盾(二代网银盾)等安全工具来加以防范;近期,随着手机在客户生活服务、银行业务中嵌入越来越多,木马病毒逐步转变为攻击客户的手机,特别是相对开放的安卓系统,来抓取客户信息,甚至直接窃取客户资金,给客户、银行以及第三方支付机构带来了巨大的风险。
2.3钓鱼网站风险防范,不法分子通过建立钓鱼网站或通过邮件、链接、短信等方式,诱导客户泄露信息,进而造成资金损失,或与木马病毒相结合,诱骗客户打开网页后,自动将木马病毒植入客户设备,进而盗取客户资金。近期,最新出现了通过假冒电讯基站,伪造银行或运营商短信号码向客户群发短信,诱骗客户登录钓鱼网站并盗取资金的案列,可见钓鱼方式也在不断演化,风险形势日益严峻。针对该类风险,应以加强风险提示、强化客户教育、提升客户安全防范意识为主;同时,建立反钓鱼机制,主动侦测、鉴别钓鱼网站,消除风险源头。
2.4客户误操作风险,指客户因误操作,交易办理重复、错误,可能导致资金损失或引发客户纠纷的风险。该风险主要由客户过失所致,但商业银行也应在流程设计、安全确认等环节,增加提示、优化设计,减少客户误操作几率。
二、对商业银行电子银行安全防范体系的建议
目前,各商业银行已经在安全技术、安全产品、内部控制、风险提示等方面采取了相应措施,取得了一定成效。但笔者认为,随着内外部风险形势的不断变化,商业银行以及监管单位、公安机关等还应在安全防范体系建设方面,有更多前瞻性的考虑,统筹协调,共同推进,相关建议主要有以下几点:
1.建立电子银行风险监控系统,强化事中干预。商业银行应充分运用IT技术,建立电子银行风险监控系统,支持实时或事后对交易数据的收集、分析,并组织专业人才成立专职团队,负责后台监控系统的运营,条件具备的,应确保后台监控7×24运营,实时处理各种风险事件。同时,商业银行应研究内外部风险事件,分析犯罪分子作案手法和客户风险特征,并制定相应的风险识别模型。通过风险识别模型的匹配,对客户风险级别和交易风险级别进行识别和评估。结合内外部风险形势的变化,商业银行还应动态补充完善风险识别模型,涵盖各种风险因子,不断提高后台监控的识别准确率。
2.建立客户问题解决机制,主动化解客户纠纷。电子银行风险事件中,犯罪分子往往在客户不知情的情况下,窃取客户关键信息,进而盗取资金。而一旦发生资金损失,客户由于对资金损失过程不了解,通常首先会要求银行给予解释并赔偿损失。此时,银行方如果无法提供强有力证据证明资金损失确为客户责任,往往会处于较为被动的局面,而客户情绪一旦激化,银行又要面临声誉风险。因此,建议商业银行应本着“客户为中心”的理念,逐步建立纠纷和解机制,在基本排除客户诈骗银行的前提下,主动通过垫付客户部分资金等形式安抚客户,化解客户纠纷,避免声誉风险,树立客户使用电子银行的信心。同时,在与客户纠纷和解过程中,应与客户签署保密文本,纠纷和解实施后,应注意对事件传播范围的控制,避免不明真相的大众客户或媒体因误解事件经过,出现对商业银行不利的投诉、报道等。
尽管有人质疑,单一供应商提供的一体化方案可能将用户锁定在单一厂商的解决方案平台上,从而影响日后系统的升级,但是在数据中心领域,集成一体化解决方案的大潮已势不可当。几年前,当机房一体化解决方案刚刚问世时,质疑声甚至是批判声不绝于耳。但是现在,机房一体化解决方案已经成了主流厂商一致的选择。
机房设计实现“两化”
4月7日,台达电子集团(以下简称台达)在北京正式推出可靠、节能的InfraSuite数据中心解决方案。中达电通股份有限公司UPS产品开发处高级产品经理李南将InfraSuite最核心的设计理念概括成“两化”,即集成一体化和系统模块化。
集成一体化,顾名思义就是将网络关键物理基础设施架构(NCPI)所涉及的各种部件全部集成在一起。以InfraSuite数据中心解决方案为例,它将供电系统、IT设备机械支撑系统、空气调节系统和管理系统全部整合在一起,具有更好的可扩展性、可管理性和可维护性,可以降低数据中心建设的总体拥有成本,同时提高数据中心基础架构的可用性。采用集成一体化架构的数据中心机房,设备布局合理,机房显得整齐、美观。一体化的解决方案更便于实现集中监控和管理。
系统模块化的设计理念已经被广大的行业用户所接受。在IT领域,刀片服务器、集群技术等无不以模块化的技术理念为基础。在数据中心机房建设方面,从模块化UPS产品开始,人们逐渐将模块化的设计思想运用到整个机房的构建中。InfraSuite数据中心解决方案的所有组件都是标准化的模块,可以轻松连接,快速安装。李南表示,系统模块化的设计理念最大的好处是可以实现机房的边成长边投资。以前,采用传统的设计理念,为了满足业务高峰期的需求,机房在建设初期通常会过度配置,从而导致设备在大部分的时间里处于闲置状态。用户如果采用模块化的设计理念,就可以根据实际的应用需求进行系统扩展,从而避免资源浪费。
一体化方案是不是万能的
台达为不同规模的数据中心用户提供了不同配置的InfraSuite解决方案。从目前来看,InfraSuite解决方案比较适合数据中心机房,尤其是一些中小型的数据中心机房。从台达提供的数据来看,面积在500平方米以下的中小型数据中心机房都可以采用InfraSuite解决方案。台达分别为小型和中型数据中心用户提供了最优价格、高性价比和最优性能等三种不同的解决方案。
在一些大型的数据中心里,InfraSuite解决方案是否也有用武之地呢?中达电通股份有限公司UPS产品开发处总监陈冰介绍说:“InfraSuite解决方案非常适合用于IT机房。政府部门、制造或零售企业、能源及交通等行业的企业等都是InfraSuite解决方案的目标客户。InfraSuite解决方案中采用的HIFT系列UPS的最大功率可以达到480kVA,能够满足大多数用户的电力保护需求。一些大型的数据中心通常会将机房划分成多个区域,采用分区供电、制冷的方式。针对这种需求,台达也可以提供适合的解决方案。除了模块化的HIFT系列UPS以外,台达也有传统的UPS产品,能够满足工业环境的电力保护需求。”
台达一体化解决方案的优势主要体现在两个方面:第一,遵循国际标准化的设计原则,例如台达加入绿色网格(GreenGrid)联盟就是出于这方面的考虑;第二,台达数据中心解决方案追求的是高性价比,可以实现对机房PUE值的持续监控和优化。
从Inside到Outside
台达是一家技术至上的公司。台达每年会将全球营收的5%用于技术研发。据台达资深副总裁张明忠介绍,台达用于研发InfraSuite数据中心解决方案的总投入远远高于台达年收入的5%。“从HIFT系列模块化UPS到机柜,再到具有里程碑意义的InfraSuite解决方案,台达在数据中心解决方案领域的发展可谓一步一个脚印。这些成绩的取得主要得益于台达在技术和行业应用方面的长期积累。”张明忠表示。
创立于1971年的台达,到今年已经走过了风风雨雨的40年。面对蓬勃兴起的数据中心市场以及行业用户对节能减排的迫切需求,40岁的台达将再次面临业务转型的严峻挑战。以前,许多用户的数据中心机房里可能摆放着台达的UPS,但是用户并不熟悉台达这个品牌,因为台达以前的业务以ODM为主。张明忠表示:“如今,台达面临的一个最迫切的任务就是尽快实现从台达Inside到台达Outside的转变,在市场上树立起台达自己的品牌形象。InfraSuite数据中心解决方案的推出标志着,台达已从一个单纯销售产品的公司转变成一个销售整体解决方案的公司。”
作为一个面向全球市场的公司,台达的目标十分明确,就是要成为UPS和数据中心市场上排名前三的供应商。为实现业务的转型,台达将从以下两个方面入手进行业务调整:第一,台达在总部成立了专门的品牌行销部门,目的是将更多的内部资源用于品牌行销,并且不断加强与用户的沟通和联系,提升品牌知名度;第二,台达内部以前是以产品线为业务主导,而现在则以区域市场为主导,将全球市场划分成几个大区,目的是进一步提升台达在各区域的本地化设计、制造、销售和服务能力。
产品链接
InfraSuite的空调及监控产品
台达InfraSuite数据中心解决方案主要包括UPS系统、空气调节、机柜及管理系统等,其中UPS、机柜已经推出市场多年。InfraSuite方案新增的部件主要是空调和机房监控管理系统。