保险学院《毕业论文》毕业论文提交.docx
国家开放大学学士学位论文排版装订样式国家开放大学学士学位论文题目:中国农业银行手机银行风险管理研究分部:国家开放大学保险学院学习中心:保险学院专业:金融学入学时间:学号:姓名:指导教师:论文完成日期:2022年10月学位论文原创性声明本人郑重声明:所呈交的学位论文,是本人在导师指导下,进行研究工作所取得的成果。除文中已经注明引用的内容外,本学位论文的研究成果不包含任何他人创作的、已公开发表或者没有公开发表的作品的内容。对本论文所涉及的研究工作做出贡献的其他个人和集体,均已在文中以明确方式标明。本学位论文原创性声明的法律责任由本人承担。作者签名:日期:2022年11月13日学位论文版权使用授权声明本人完全了解国家开放大学关于收集、保存、使用学位论文的规定,同意如下各项内容:按照学校要求提交学位论文的印刷本和电子版本;学校有权保存学位论文的印刷本和电子版,并采用影印、缩印、扫描、数字化或其它手段保存论文;学校有权提供目录检索以及提供本学位论文全文或者部分的阅览服务,以及出版学位论文;学校有权按有关规定向国家有关部门或者机构送交论文的复印件和电子版;在不以赢利为目的的前提下,学校可以适当复制论文的部分或全部内容用于学术活动。作者签名:日期:2022年11月13日摘要1(一)手机银行主要业务2(二)手机银行主要风险2(三)风险指标评估指标设计.3二、目前国内的相关银行的手机银行存在下列安全风险4三、解决措施6四、手机银行风险管理现状分析7(一)手机银行的风险管理机制不健全7(二)对电子银行技术风险防范措施不到位8(三)风险管理与技术革新不同步9(四)没有建立健全风险预警机制与风险应急预案10结语11参考文献:12摘要本文从手机银行的应用现状出发,阐述手机银行的技术架构以及常见的安全风险。结合国家等级保护及行业主管部门的相关技术要求,分析手机银行的各个层面的风险评估指标,并采取层次分析法确定各指标的权重,最后得出手机银行的总体安全情况。在此基础上形成的手机银行风险评价体系,可量化风险评估结果,为手机银行的风险管理提供依据。关键词:手机银行风险评估信息安全一、手机银行概述(一)手机银行主要业务手机银行是网上银行的延伸,具备网上银行的大部分功能,并利用其便携的特点,还扩充了位置服务等功能,使人们在任何时间、任何地点处理多种金融业务。主要业务包括:1.账户管理将客户在银行的账户统一管理,对账户交易情况及余额进行查询、储蓄管理等功能。2 .转账汇款行内转账、跨行转账,转账记录查询等功能。3 .信用卡信息卡基本信息、交易账单明细、信用卡积分的查询,信用卡还款等功能。4 .代缴费代缴水电煤等公共事业费、手机充值等功能。5 .理财产品理财产品的购买、查询、撤销等功能。6 .证券交易银证转账、账户余额及交易查询等功能。7 .其他根据银行的业务发展需求,其他常见业务包括基金代销、彩票、捐款、网点查询等功能。(二)手机银行主要风险手机银行业务取得快速发展的同时手机银行的安全问题也成为手机银行实现普遍应用的关键性问题。手机银行业务创新、信息技术应用以及外部技术支持、风险防范意识不足是手机银行技术风险的主要成因。手机银行除了传统银行所具有的信用风险、流动性风险、市场风险、外汇风险等风险以外,同时还面临基于其自身特点的业务风险,如战略风险、操作风险、信誉风险和法律风险。而手机银行系统的安全主要涉及到其本身在运作过程中的技术和管理方面的风险。技术风险主要包括手机终端风险、网络通信风险和服务器端风险。手机终端风险如通过手机木马程序窃取手机银行密码、手机银行钓鱼攻击、手机银行客户端软件被反编译导致密钥等敏感信息泄露、手机丢失后用户敏感信息泄露;网络通信风险如网络通信中断、手机银行密码等敏感信息在通信过程中被窃取、手机银行交易被中间人劫持攻击、手机银行交易信息被篡改、手机银行通信过程中用户身份假冒、手机银行交易被重放攻击;服务器端攻击如系统遭受拒绝服务攻击导致服务器瘫痪、Web服务器被远程控制、服务器数据库被篡改、服务器故障、数据丢失。管理风险如心怀不满的或早有预谋的人员对手机银行业务系统进行恶意破坏、技术管理组织机构的缺失导致缺乏最高领导层从战略角度的支持和推动、风险管理制度和安全策略未落实或落实不到位导致风险失控、内部人员缺乏培训导致误操作、外包商能力不足导致无法对系统进行有效支持。(三)风险指标评估指标设计手机银行作为电子银行的一种创新业务,银监会等行业主管部门对发展过程中的安全问题也是非常重视。为加强电子银行业务的风险管理,2006年3月,银监会就发布了电子银行业务管理办法和电子银行安全评估指引。为电子银行的风险管理提供政策依据。本文将从手机银行面临的风险出发,依据电子银行安全评估指引和国家等级保护的相关内容要求,提出手机银行风险评估的指标,包括安全策略、内控制度、风险管理、系统安全性、业务运行连续性计划、业务运行应急计划、风险预警体系等七个方面,组成手机银行风险评估的一级指标。二、目前国内的相关银行的手机银行存在下列安全风(一)技术性风险手机银行作为网上银行的一个延伸和发展,在无线终端丰富化的今天,手机银行的使用已经是非常的普通,但是网络所特有的安全性问题和风险也就继承到了手机银行上来。在智能手机广泛使的当今,手机银行既要面临系统性的风险,还要面临硬件设风险、软件风险及一些操作性的风险。系统性的风险是因为它所继承的互联网所固有的技术风险,比如网络设施设备的热物理性安全,密钥的安全,认证安全O还有就是手机银行软件本身设的缺陷而导致的风险,在调查我们发现个别的手机银行系统在使用中都是将手机号码和软件绑定,但是把手机卡取下来装到另一台手机上,再能原来的手机通过联网也可以使用手机银行,只是验证码会发到插卡的手机上,输人验证码后也交易成功了。由此我们想到如何一个手机开通手机银行,但是丢失了,虽说卡可以补但是手机上的手机银行软件也可以使用,登陆密码有可能会被试出来,因为比较短只有位。半导体芯片产业是对信息安全、国民经济极其重要的战略性产业,在互联网中具有非常重要的作用和意义。相关资料显示,与国内市场的庞大需求相比,国产半导体芯片体量仍然较小,我国大部分芯片需要从欧美国家进口,每年进口消耗多亿美元超石油,信息安全存巨大隐患。我国的芯片进口往往“不设防”,不设置任何门槛,甚至允许国外公司直销,给国防安全留下重大隐患。外国可以对销往全球的信息产品进行监控,甚至在大规模芯片等关键部件内安装“插件”留“后门”,通过特殊手段启动,发回芯片所处理的各种数据,以控制芯片执行特定任务。在调查中发现手机银行的使者多为年轻人,以在校的学生和职场的新贵,购物达人,科技控、企业的负责人,相关财务工作人员等居多,老年人较少,但是很多人对于手机银行和手机安全是很注意的,在手机的使用中非常注重安全性,但是还有部分人不注意,在使用中可以会遭遇病毒和木马的攻击而导致损失,手机的越狱和刷机是导致手机中毒的最根本的因素。(二)声誉风险声誉风险就是负面的公众舆论对银行造成的风险。手机银行因产品、服务、及处理过程出现原问题面产生的负面舆论而影响银行的声誉和收益。调发现在我国已经出现了多起因为手机问题而导致的储户的资金被盗的案例。安全性的问题出现导致客户的隐私权被侵害。不恰当的处理措施损害公众的信任,而导致大规模的诉讼使银行的声誉受损而产生信任危机。一旦因为手机银行的问题处理不善致使公众困巩慌引发流动性的危机。(三)法律风险手机银行所面临的法律风险主要是能过手机银行所进行的相关业务缺乏明确的法规依据的司法解释,造成的相关问题无法得到满意的解决。手机银行在实际使用过程中可能会出现跨境服务,涉及不同地区或国家的司法管辖权的问题。再就是各国对于电子交易的支付的相关法规的差异性,各国之间没有达成一致的相关协议。还就是有可能会引发洗钱和犯罪活动。三、解决措施(一)扶持和支持互联网相关的企业创新和研究针对手机银行所存在的系统性风险,应该从根本上解决问题,硬件上大力支持发展具有自主知识产权的软件和硬件,从基层网络硬件设计生产,到系统软件的开发。主要就是扶持和支持互联网的核心设备、半导体芯片产业和操作系统相关的企业创新和研究,减少对国外相关产品的依赖。国家层面开发自己知识产权的核心技术架构的信息化平台更好的应用到手机银行系统。国家应从政策层面加大国产操作系统的开发、推广力度。对要害部门、关键性行业,应明确立法要求全系统使用国产软硬件。同时,抓住智能终端和移动通信发展带来的机遇,掌握移动互联网时代领先的操作系统和芯片核心技术,实现从追随到领先的整体突破。自主研发安全芯片才能给我国信息安全提供可靠保障,为手机银行的安全保驾护航(二)积极主动的做好声誉风险管理银行应随时关注声誉风险管理,需要谨慎对待所有的客户和整个社会。当出现声誉风险的时候,应该及时了解和满足市场和客户的需求,及时提供准确的服务,制定好市场计划,及时进行信息的披露。合理、精确的介绍相关的服务,不夸大。经常性的与媒体做好沟通,在出现负面的舆论的时候可以做出有效的反应。做好客户的关怀服务与新客户建立良好的沟通机制。(三)法律风险管理机制因为未经法律或法规检测的或者是模糊性的银行产品和服务会带来法律风险,手机银行的设计和运行过程应该考虑相关的法律、法规、预先设计相应的标准及首先标准,手机银行业务处理上要与我国现行的合同法、会计法、票据法、支付结算办法、中华人民共和国反洗钱法等法律来约定相关手机银行服务协议和规定。技术安全上充分利用目前执行的关于信息技术安全方面的行政法规,如中华人民共和国计算机信息系统安全保护条例、金融机构计算机信息系统安全保护工作暂行规定等做好交易数凭证的保管。四、手机银行风险管理现状分析(一)手机银行的风险管理机制不健全手机银行这种新业务的诸多优点打破了以往传统银行交易方式的壁垒,正逐步的体现出来。根据全面风险理论和风险识别理论分析可以看出,手机银行在开展业务的过程中,存在着一定的风险隐患。从日常业务操作来看,主要的风险来源于技术层面风险和操作风险。这主要和手机银行操作系统的特殊性以及办理业务人员的操作不当有着直接的关系。而面对这种情况下,中国农业银行目前并没有建立相对完善的专门针对手机银行风险管理的机制,仍然沿用了传统银行风险管理模式和风险管理机制,这种方式手机银行进行风险管理的效果可想而知是差强人意的。仍然沿用传统银行业务风险管理机制的内容对手机银行业务进行监管,并没有将手机银行风险纳入银行自身的全面风险管理中的一部分进行统一的规划和风险管理,所以手机银行风险管理机制不健全的问题比较突出。下面通过三个方面集中体现中国农业银行手机银行管理机制不健全的问题:案例一操作机制:客户信息审核制度不严格,导致非客户本人签约手机银行业务现象存在。在日常办理业务当中发现,我行部分网点员工对客户(个人和企业)身份审核和验证不严格,签约个人网银、手机银行、网上支付、电话银行时,并未需遵循“本人办理、本人签字、本人签收”原则,而由非客户本人携带银行卡及有效身份证件到柜面签约。柜员在办理签约业务时,并没有核实开户人本人及所持身份证件与公民身份联网核查系统中,公安部门原录入的身份证照片是否一致,也没有按照规定验证身份证件是否真实有效。在签约企业网银时,没有重点审核客户提交的营业执照副本等证件是否真实有效;没有通过公民身份联网核查系统验证法定代表人、授权代理人的身份证件是否真实有效,对有发现疑点的客户并没有及时电话联系企业负责人,核实经办人员身份。一旦有不法分子恶意使用他人身份证件(或企业资料)签约电子银行业务,掌握客户银行账户账号和密码,就有可能发生盗取客户资金案件。案例二人员机制:在操作人员岗位配备上,没有将岗位制度落实到位,岗位变动后没有及时更新系统操作员信息,仍使用原岗位人员用户名,导致系统录入员、审核员与实际操作人员不符,或者营业网点人员变动未及时办理交接登记手续。这些没有按照岗位设置要求配备操作人员,或操作人员配备流于形式,导致内部制约环节难以落实到位,存在着内部管理的风险隐患。案例三内控机制:行内存在代客户保管USB-Key.手机银行贴膜芯片、动态令牌等操作人员违规操作的现象。这样如果员工持有客户的USB-Key,手机银行贴膜芯片、动态令牌等,就存在员工违规划拨客户资金风险的可能,这样不但客户的资金安全得不到保障,也给员工作案提供了“有利”条件。有些网点并没有加强USB-Key,手机银行贴膜芯片、动态令牌等重要空白凭证的管理,使其领用、出库、入库、调拨和日常使用管理均未按照正常流程处理,这不但对银行内部的凭证管理存在不安定因素,也对鞍山银行客户资金的安全带来隐患。(二)对电子银行技术风险防范措施不到位地方性商业银行照比国有银行和其他股份制银行发展相对较为滞后,存在着一定的局限性使得发展银行业务,尤其是手机银行业务的发展也相对较为保守。中国农业银行手机银行自身的系统部分不能全面涵盖新业务发展的各个方面,系统安全出现漏洞,有时对不成功交易的处理和报告也不能及时的识别和反馈。目前中国农业银行手机银行还没有建立业务风险监管系统,对于业务操作无法进行实时跟踪和风险分析,有时一旦交易量过大或是交易频次过高,系统就无法及时监控得到,都会对手机银行系统的运行,甚至整个行内系统的运行都带来巨大的隐患;在通讯层必须时刻采用SSL加密传输,防止中间人在互联网中窃取数据和拦截数据的可能发生;在USB-Key的技术应用方面,应全面及时更新到第二代USB-Key技术上,杜绝一代USB-Key带来的风险隐患;在业务量突增或其他个别情况时,有时会导致些许的系统故障或延迟,导致客户体验感下降,或给客户带来电子渠道交易不方便等印象。虽然只是及其偶尔的现象,但也会对中国农业银行造成及其恶劣的影响,所以银行系统的更新升级工作就显得尤为重要。随着电子市场和金融渠道的扩大,原有的安全策略己无法识别或控制新的内、外部风险出现等现象,一些新型的病毒、木马层出不穷,这就要求我们要有强大的技术手段和反病毒入侵的机制才能提高手机银行安全系数,降低风险隐患。(三)风险管理与技术革新不同步现阶段XX银行手机银行业务主要涵盖了网上银行、手机银行、支付宝、电话银行及自助机具管理、POS机具收单等业务。新业务在研发的初期是以规避风险为首要原则,业务上线前首先制定相应的业务流程、管理办法,明确职责、规避风险。本人先后到其他同业银行进行走访学习,借鉴其他银行手机银行相关的风险管理模式,以此建立XX银行手机银行相关业务流程和风险管理体系。但随着近些年来业务发展的迅速提高和技术革新的快速发展,在前期制定的一系列规章制度逐渐的与风险管理不同步的显现也初见端倪。起初有些业务上线只是单纯为了扩大行业规模、评级检查、资质认证等要求进而照搬其他银行,借鉴模仿而来,这些业务的发展既有局限性又有被动性,但是为了更好地顺应业务发展需求,就必须要将这些不成熟的业务进行合理化发展。在对员工教育方面,由于新型业务的逐渐问世,在前台业务办理过程中也遇到这样那样的新鲜事物,客户们的需求也在逐渐增多,这也使得我们在员工培训方面必须出台新的规章制度和业务管理办法来加大对员工在风险管理方面的教育和培训。对我行管理人员进行职业操守教育,配合典型案例分析,突出惩罚措施,不断强化员工的内控案防意识,形成自律自控的良好行为规范。不断提高网银管理人员风险责任意识,对手机银行业务的真实性、合规性严格把关。中国农业银行手机银行风险管理还仅仅处于起步的初级阶段,风险管理的完善程度还远远不够,面对无论从交易规模还是交易频次都日益快速扩张的电子银行业务,其风险管理的现状显然无法与其发展速度相匹配。那么,面对手机银行业务的飞速发展,我们怎么能够从根本上使业务革新速度与风险管理速度相匹配,真正的实现对风险管理的驾驳,这是值得我们深思的问题。(四)没有建立健全风险预警机制与风险应急预案中国农业银行现阶段并没有制定完善良好的处理手机银行全面风险的应急预案和风险预警机制,也就是说如果中国农业银行在手机银行业务方面发生突发事件,各部门在面临突发事件上表现的会及其被动。虽然全行上下尚未发生较为严重的风险案件,但防患于未然,如果没有及时有效的应急预案的实施,或者员工没有在日常的办公中进行风险预警演练。那么一旦发生突发事件,员工就不能保持着冷静的态度来面对发生的紧急情况,没有及时稳定的控制突发事件的局面并安抚客户情绪,使得突发事件可能进一步扩大。如果上级管理部门不能及时的收到突发事件的“报警”信息,那么就不能给出控制和处理突发事件的正确指示,会造成事态的进一步扩大,造成的后果和损失可想而知也是无法弥补的。在事件爆发后,会给XX银行带来极其恶劣的影响,所以,防患于未然,在风险事件尚未发生之前就做好风险预警机制,并建立起有效的风险应急预案也是十分必要的。以上是经过对中国农业银行手机银行风险管理的整体风险进行研究,总结出现阶段中国农业银行手机银行风险管理面临的部分问题。结语手机银行风险评估从手机银行面临的风险出发,依据国家和行业的相关政策和标准规范,细化评估指标。采用层次分析法确定指标的权重,从而形成手机银行的量化风险评价体系模型。根据该评估模型对手机银行实施风险评估,可以比较客观地反映手机银行的风险管理现状,并给出量化的结果,为银行管理层的下一步决策提供一定的参考。当然,信息系统风险评估是一个复杂的工程,手机银行又是一种不断创新的业务,新技术、新规范的更新都会引起评估要求的变化,因此风险评估的方法和评价要求需要根据手机银行的发展情况不断进行优化和完善。参考文献:1曾瑾,信用卡欺诈风险的防控J.国际金融,2012(11):11-14.2胡国有.电子银行业务风险及防范对策N.金融会计,2008(06).3农行江苏扬州市分行课题组.电子银行业务的发展与风险防范M.农民日报,2008(02).4绩效考核下的国有控股银行操作风险管理研究D.山西财经大学博士论文,2013(06).5沈鸿.电子商务M.电子工业出版社.2004.937籍晨.浅谈我国商业银行电子银行改革J.中国商界,2010(02):5-6