网站安全性管理论文

摘要：该文首先介绍了网站的维护内容及方法，接着介绍了网站安全管理的方法，并详细介绍了网站自身的安全防御。下面是小编为大家整理的《网站安全性管理论文(精选3篇)》，希望对大家有所帮助。

网站安全性管理论文 篇1：

浅谈网站的安全性管理

摘要:信息科技的高速发展,给人们生活带来极大便利的同时,也给许多行业带来了极大的风险。文章主要探讨了网络与网站安全的隐患,并提出了相应的应对措施。

关键词:网络安全;网络管理;防火墙

一、前言

随着计算机信息技术的高速发展,人们的生活、工作越来越依赖互联网上的信息发布和信息获取,但是人们却时刻被信息网络的安全隐患所困扰,因此网络网站的安全性管理研究尤为重要。

网站安全是指对网站进行管理和控制,并采取一定的技术措施,从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。网站安全的主要目标就是要稳妥地确保经由网站传达的信息总能够在到达目的地时没有任何增加、改变、丢失或被他人非法读取。要做到这一点,必须保证网站系统软件、数据库系统有一定的安全保护功能,并保证网站部件如终端、数据链路等的功能不变而且仅仅是那些被授权的人们可以访问。

二、网络与网站安全隐患概述

目前影响网站安全的问题主要来自于网络的不安全性,所以在这个意义上讲,网站的安全漏洞其实也就是网络的安全漏洞,主要来自以下几个方面:

1.自然因素

1.1软件漏洞

任何的系统软件和应用软件都不能百分之百的无缺陷和无漏洞,而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。针对固有的安全漏洞进行攻击,主要在以下几个方面:

1.1.1、协议漏洞。例如,IMAP和POP3协议一定要在Unix根目录下运行,攻击者利用这一漏洞攻击IMAP破坏系统的根目录,从而获得超级用户的特权。

1.1.2、缓冲区溢出。很多系统在不检查程序与缓冲区之间变化的情况下,就接受任何长度的数据输入,把溢出部分放在堆栈内,系统照常执行命令。攻击者利用这一漏洞发送超出缓冲区所能处理的长度的指令,造成系统不稳定状态。

1.1.3、口令攻击。例如,Unix系统软件通常把加密的口令保存在一个文件中,而该文件可通过拷贝或口令破译方法受到入侵。因此,任何不及时更新的系统,都是容易被攻击的。

1.2病毒攻击

计算机病毒一般分为四类:①文件型病毒(FileViruses);②引导型病毒(SystemorBootSectorVirus);③链式病毒(SYSTEMorCLUSTERVirus);④宏病毒(MacroVirus)。计算机病毒的主要危害有:对计算机数据信息的直接破坏作用,给用户造成重大损失:占用系统资源并影响运行速度;产生其他不可预见的危害;给用户造成严重的心理压力。

2.人为因素

这是计算机网络所面临的最大威胁,敌人的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。

三、网站安全管理策略探讨

1.网络安全的管理

1.1使用防火墙

防火墙作为使用最多,效率最高的网络安全产品自然有它自身的优势,所以防火墙在整个网络安全中的地位将是无可替代的。

1.2与因特网接入处增设网络入侵检测系统

入侵检测系统(IDS)是实时网络违规自动识别和响应系统,它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵或破坏性代码流,寻找网络违规模式和未授权的网络访问,一经发现入侵检测系统根据系统安全策略做出反应,包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。

1.3病毒防御

选购杀毒软件,必须考虑产品的采购成本、管理和维护成本,以及将来企业或网络规模变化后,软件能否实现平滑过渡等问题。只有明确需求,重视产品的应用和管理,把网络防病毒纳入到信息安全防范体系之中进行综合防范,才能有效提升信息的安全水平。

2.网站自身的安全管理

2.1网站服务器的安全管理

网站服务器的日常管理、维护工作包括网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。主要注意以下几点:

①从网络结构设计上解决安全问题

安装一个功能强大的防火墙可以有效防御外界对Web服务器的攻击,还可通过安装非法入侵监测系统,提升防火墙的性能,达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作,当有入侵者攻击时可以立刻有效终止服务。同时应限制非法用户对网络的访问,规定具有特定IP地址的客户机对本地网络服务器的访问权限,以防止从外界对网络服务器配置的非法修改。

②定期对网站服务器进行安全检查

由于网站服务器是对外开放的,容易受到病毒的攻击,所以应为服务器建立例行安全审核机制,利用漏洞扫描工具和IDS工具,加大对服务器的安全管理和检查。另外,随着新漏洞的出现,我们要及时为服务器安装各类新漏洞的补丁程序,从而避免服务器受到攻击和出现其他异常情况。

③定期进行必要的数据备份

对服务器上的数据定期进行备份是很重要的。网站的核心是数据,数据一旦遭到破坏,后果不堪设想。除了设置相应权限外,应建立一个正式的备份方案,而且随着网站的更新,备份方案也需要不断地调整。

2.2数据库安全管理

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性,采用基于Client/Server模式访问后台数据库,为不同的应用建立不同的服务进程和进程用户标识,后台数据库系统以服务器进程的用户标识作为访问主体的标识,以确定其访问权限。

2.3编码中的安全管理

防止恶意代码注入

①验证输入,使攻击者无法注入脚本代码或使缓冲区溢出。

②对所有包含输入的输出进行编码。这可防止客户端将潜在的恶意脚本标记作为代码进行转换。

③使用接受参数的存储过程,防止数据库将恶意SQL输为可执行语句进行处理。同时使用特权最低的进程帐户和模拟帐户。在攻击者企图应用程序的安全上下文执行代码时,可缓解风险并减少损害。

总之,计算机技术和网络技术已深入到社会的各个领域,人类社会各种活动对计算机网络的依赖程度已经越来越大。增强社会安全意识教育,普及计算机网络安全教育,提高计算机网络安全技术水平,改善计算机网络的安全现状,成为当务之急。

参考文献:

[1]沈文智.MicrosoftBS网页技术[M].北京:人民邮电出版社.1998.

[2]张仕斌. 《网络安全技术》. 清华大学出版社 2004

[3]刘欲晓,郭晓光,丁雪等.电脑故障快速维修666例[M].北京:电子工业出版社,2004.

[4]骆耀祖,刘永初等.计算机网络技术及应用[M]北京:清华大学、北方交大出版社,2003.

作者：李亚芳 范怀玉

网站安全性管理论文 篇2：

浅析网站的维护与安全性管理

摘要：该文首先介绍了网站的维护内容及方法，接着介绍了网站安全管理的方法，并详细介绍了网站自身的安全防御。

关键词：网站；维护；安全性；管理

Analysis of Website Maintenance and Security Management

ZHAO Jing1, FU Yang2, ZHAO Pei3

(1.The sixth community management center of Zhongyuan Petroleum Exploration Bureau,Kaifeng 475300,China; 2.The Third drilling Company of Zhongyuan Petroleum Exploration Bureau,Kaifeng 475300,China; 3.PLA Information Engineering University,Zhengzhou 450002,China )

Key words:Website; maintenance; security; management

1 前言

企业网站的维护与管理的效果决定了访客对网站的感受和印象。如果访客在一段时期里，看到的网站内容基本上没多少改变，或者是网站因遭受病毒袭击等而不能正常访问，那么他们就会对企业的形象产生一种不好的想法，甚至会对企业产生一种不大信任的感觉，这样势必会给企业带来不可估量的负面影响。因此，网站的维护是必不可少的，只有这样才能达到企业预计的效果。同时，要想网站的维护得以延续，网站的安全性管理则是必不可少的一项重要工作。

2 网站维护的内容、方法

2.1 网站维护的内容

网站维护的内容一般包含有：1) 内容的更新(如：重大事项的公示更新、产品信息的更新等)；2) 网站风格的更新 (如：网站改版等)；3) 网站重要页面设计制作 (如：重大事件页面，突发事件等页面设计制作)；4) 网站系统维护服务(如：E-mail帐号维护服务，域名维护续费服务等)。

2.2 网站维护的方法

1) 网站更新。企业网站的更新主要是指更新产品及相应的文字说明。一般来说，中小型企业的网站都没有后台管理系统，而网页更新则需要懂得设计与制作网页的人员来完成，但企业大都没有这样的人员。这样一来，就需要企业在与设计、制作网站的网络公司签订合同时，在合同中明确规定有关企业网站中网页更新服务的条款；另外，也可采取这样的方法：企业资助、培养几个会编辑网页的公司人员，让他们学会使用Front page、Dream weaver等网页编辑程序。可以选择在做网站的网络公司培训一下，也可选择其他较好的网络培训学校，同时，也可让他们购买相应的书籍进行自学。笔者认为，这种方法是比较可行的，也是较为合理的。

2) 网站推广。对于中小型企业的网站推广，笔者认为，可实行：重点项目外包，其它推广工作则内部承担。重点项目主要指：搜索引擎推广、网络广告等。而国内搜索引擎和网络广告的业务开展都力推代理制，我们可以在网站上找到它们相应的授权代理商，通过代理的价格有时可能比媒体网站自己的对外报价还低；其它推广维护工作主要指：寻找互换链接的对象、发布信息、E-mail营销推广、回复客户E-mail以及网站与用户的互动应答等，这些事项大都需要长期经营。尽管这些工作大多不需要太复杂的专业知识，但需要投入较多的精力。因此，对于企业网站维护人员来说，需要明确各自的工作职责、内容，并长期学习新的知识，为企业网站的正常运营、竖立良好的企业形象打下坚实的基础。

3 网站的安全性管理

网站安全是指对网站进行管理和控制，并采取一定的技术措施，从而确保在一个网站环境里信息数据的机密化、完整性及可使用性受到有效的保护。

3.1 网站外部的安全管理

1) 使用防火墙。防火墙是指一种将内部网和公众访问网(Internet)分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。其作为使用最多、效率最高的网络安全产品，自然有它自身的优势。因此，防火墙在整个网络安全中的地位将是无可替代的。

2) 增设网络入侵检测系统。入侵检测系统(IDS即Intrusion Detect System)是实时网络违规自动识别和响应系统，它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方，通过实时截获网络数据流，能够识别、记录入侵或破坏性代码流，寻找网络违规模式和未授权的网络访问，一经发现入侵检测系统根据系统安全策略做出反应，包括：实时报警、自动阻断通信连接或执行用户自定义安全策略等。

3) 病毒防御。为了防御病毒，企业网站必须安装有效的杀毒软件，而企业在选购杀毒软件时，必须考虑产品的采购成本、应用(管理、维护)成本，以及将来企业或网络规模变化后，软件能否实现平滑过渡等问题。只有明确企业自身的需求，重视产品的应用和管理，把网络防病毒纳入到信息安全防范体系之中进行综合防范，才能有效提升企业网站的信息安全水平。

3.2 网站自身的安全管理

1) 网站服务器的安全管理

网站服务器的日常管理、维护工作包括：网站服务器的内容更新、日志文件的审计、安装一些新的工具和软件、更改服务器配置、对服务器进行安全检查等。另外，还得注意以下事项：

①从网络结构设计上解决安全问题。安装一个功能强大的防火墙，这样可以有效防御外界对Web服务器的攻击，还可通过安装非法入侵监测系统，提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作。当有入侵者攻击时，可以立刻有效终止服务。同时，应限制非法用户对网络的访问，规定具有特定IP地址的客户机对本地网络服务器的访问权限，以防止外界访问者对网络服务器配置的非法修改。

②定期对网站服务器进行安全检查。由于网站服务器是对外开放的，容易受到病毒的攻击，所以应为服务器建立例行安全审核机制，利用漏洞扫描工具和IDS工具，加大对服务器的安全管理和检查。另外，随着新漏洞的出现，我们要及时为服务器安装各类新漏洞的补丁程序，从而避免服务器受到攻击和发生其他异常情况。

③定期进行必要的数据备份。对服务器上的数据定期进行备份是很重要的。网站的核心是数据，数据一旦遭到破坏，后果不堪设想。除了设置相应权限外，还应建立一个正式的备份方案，而且随着网站的更新，备份方案也需要不断地调整。

④设立服务器动态口令。用户名/密码是最简单也是最常用的身份认证方法，实际上，由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，这就可能会存在着许多安全隐患，极易造成密码泄露。且由于密码是静态的数据，并且在验证过程中，需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。特别是对服务器来说，要想更好地规避这种风险，那就有必要设立动态口令。动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而动态口令技术采用一次一密的方法，也有效地保证了用户身份的安全性，同时，也可最大限度地保障服务器的安全。

2) 数据库安全管理

数据库的安全性是指保护数据库以防止不合法的使用所造成的数据泄密和破坏。为了保证业务应用系统后台数据库的安全性，采用基于Client/Server模式访问后台数据库，为不同的应用建立不同的服务进程和进程用户标识，后台数据库系统以服务器进程的用户标识作为访问主体的标识，以确定其访问权限。我们可以通过如下方法和技术来实现后台数据库的访问控制：

①访问矩阵。访问矩阵就是以矩阵的方式来规定不同主体(用户或用户进程)对于不同数据对象所允许执行的操作权限，并且控制各主体只能存取自己有权存取的数据。它以主体标行，访问对象标列，访问类型为矩阵元素的矩阵。Informix提供了二级权限：数据库权限和表权限，并且能为表中的特定字段授予Select和Update权限。因此，我们在访问矩阵中定义了精细到字段级的数据访问控制。

②视图的使用。通过视图可以指定用户使用数据的范围，将用户限定在表中的特定字段或表中的特定记录，并且视图和基础表一样也可以作为授权的单位。针对不同用户的视图，在授权给一用户的视图中不包括那些不允许访问的机密数据，从而提高了系统的安全性。

③数据验证码DAC。对后台数据库中的一些关键性数据表，在表中设置数据验证码DAC字段，它是由银行密钥和有关的关键性字段值生成。不同记录的DAC字段值也不相同。如果用户非法修改了数据库中的数据，则DAC校验将出错，从而提高了数据的安全性。

3) 编码中的安全管理

①防止恶意代码注入：a.验证输入，使攻击者无法注入脚本代码或使缓冲区溢出；b.对所有包含输入的输出进行编码，这可防止客户端将潜在的恶意脚本标记作为代码进行转换；c.使用接受参数的存储过程，防止数据库将恶意SQL输为可执行语句进行处理。同时，使用特权最低的进程帐户和模拟帐户。在攻击者企图应用程序的安全上下文执行代码时，可缓解风险并减少损害。

②防止会话劫持： a.分隔个性化cookie和身份验证cookie；b.仅通过Https连接传递身份验证cookie；c.不传递在查询字符串中代表已通过身份验证的用户标识符；d.执行重要操作（如下订单、现金转移等）前重新验证用户。

4 结束语

最后，笔者认为：网站的维护与管理，需要我们管理人员时刻保持积极学习的心态，多方关注新的管理与安全防御技术，且尽其所能，将网站的维护与安全性管理做到最好。

参考文献：

[1] 骆耀祖,刘永初,等.计算机网络技术及应用[M].北京:清华大学、北方交大出版社,2003．

[2] 杨晔.谈网站的安全性管理[J].电脑与电信,2006,11.

[3] 朱传玲.中小企业网站的管理与维护[J].安徽科技,2006,8.

作者：赵　静　付　阳　赵　培

网站安全性管理论文 篇3：

网上银行的安全认证问题研究

摘要：网上銀行指銀行通过信息网络提供的各种金融服务。銀行对网銀安全性管理要求很高，通过持续技术升级，为用户提供多重安全保障。目前国内网上銀行的安全认证方式呈现多样化发展， 从最初依赖简单帐号密码，发展新增了数字证书、 动态密码、 一次性密码等新的认证方式， 单一的认证已不能满足用户需求，网銀认证正朝着多重认证的方向发展。

关键词：网上銀行；安全认证；身份识别

一、 引言

目前国内网上銀行的安全认证方式呈现多样化发展，从之前更多依赖简单的帐号密码，逐渐新增了数字证书、动态密码、一次性密码等新的认证方式。2008年至今各大銀行在安全认证方面不断加大力度，工行推出了手机短信认证服务、浦发推出了“移动数字证书+动态密码”认证新方式等。可以发现，单一的认证已不能满足用户的需求，网銀认证正朝着多重认证的方向发展。

二、 网络銀行安全系统概述

1. 网络节点安全。网络銀行的节点安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等，主要靠防火墙实现。

（1）防火墙：防火墙是在连接Internet和Intranet保证安全最为有效的方法，防火墙能够有效地监视网络的通信信息，并记忆通信状态，从而做出允许/拒绝等正确的判断。通过灵活有效运用这些功能，制定正确的安全策略，将能提供一个安全高效的Intranet系统。

（2）防火墙安全策略:基于防火墙的安全策略建立了全方位的防御体系来保护机构的信息资源，安全策略应包括：规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及管理制度等。所有可能受到网络攻击的地方都必须以同样安全级别加以保护。

（3）安全操作系统：防火墙是基于操作系统的。如果信息通过操作系统后门绕过防火墙进入内部网，则防火墙失效。所以，要保证防火墙发挥作用，必须保证操作系统的安全。只有在安全操作系统的基础上，才能充分发挥防火墙的功能。在条件许可的情况下，应考虑将防火墙单独安装在硬件设备上。

2. 商务安全。

（1）通信和链路安全。电子商务系统的数据通信主要存在于：①客户浏览器端与电子商务WEB服务器端的通讯；②电子商务WEB服务器与电子商务数据库服务器的通讯；③銀行内部网与业务网之间的数据通讯。

此外，在客户端浏览器和电子商务WEB服务器之间采用SSL协议建立安全链接，所传递的重要信息都是经过加密的，这在一定程度上保证了数据在传输过程中的安全。

（2）应用程序的安全。即使正确地配置了访问控制规则，要满足计算机系统的安全性也是不充分的，因为编程错误也可能引致攻击。

（3）用户的认证管理。

①身份认证：电子商务企业用户身份认证可以通过服务器CA证书与IC卡相结合实现的。CA证书用来认证服务器的身份，IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能，所以只采用ID号和密码口令的身份确认机制。

②CA证书：要在网上确认交易各方的身份以及保证交易的不可否认性，需要一份数字证书进行验证，这份数字证书就是CA证书，它由认证授权中心（CA中心）发行。CA中心一般是社会公认的可靠组织，它对个人、组织进行审核后，为其发放数字证书，证书分为服务器证书和个人证书。建立SSL安全链接不需要一定有个人证书，实际上不验证客户的个人证书情况是很多的。验证个人证书是为了验证来访者的合法身份。而单纯的想建立SSL链接时客户只需用户下载该站点的服务器证书（下载可以在访问之前或访问时进行）。

三、 各种安全认证的比较

目前安全认证技术主要有：动态口令、USB卡、IC卡、磁卡、虹膜、指纹、CA数字证书、掌纹、声纹、面像等。在此对主要认证技术简单进行应用安全性和实现方便性上的比较。

1. 安全性比较，（如表2示）。

2. 便捷性比较，（如表3示）。

在安全认证领域，安全性与便捷性成反向关系，U盾的安全等级高于动态令牌，但是U盾会遇到计算机、操作系统、防火墙等软硬件适配性方面的问题，也会面临手机、iPad等移动终端没有USB接口方面的问题。原来认为短信密码相对安全性比较高，但在单独使用过程中，会遭遇无线信号未覆盖、短信的时间滞后，SIM卡被克隆，电信主机被侵入，密码被盗后无法确认是电信责任还是网上銀行的责任等方面的问题。因此，一般认证体系在相同便捷性情况下，选择安全等级高的认证系统，在认证强度不足的情况下，采用双因素的认证。另外，将认证强度与交易金额上限相关，实现既便捷又相对安全的的认证方式。

四、 安全认证系统遭到攻击的事件

理论上被认为需要几百万年才能被攻破的系统，存在事后被认为显而易见的漏洞。

1. 美国网络安全认证巨头RSA公司遭受攻击，4 000万个种子文件被盗。2011年3月，RSA公司透露其受到网络攻击，攻击造成SecurID的关键信息丢失。6月2日，RSA确认了在3月份的被盗的数据被用来攻击洛克希德—马丁公司和其他美国国防承包商。6月6日，该公司在全球范围召回4 000万只SecurID。

为规避种子文件库被攻破，可以采用两次SecurID激活方案，既在出厂时激活一次，在发放给用户是再设一次SecurID。理论上，只有获得两个SecurID库，并知道两个SecurID库之间的对应关系才能攻破动态令牌。

2. 第一代U盾遭受攻击。原来被公认为安全等级最高的U盾，也遭受攻击。2011年4月，北京一犯罪分子利用木马突破网銀U盾30秒窃30万。犯罪分子通过将木马程序，远程控制用户电脑，然后在U盾尚未拔掉的情况下，完成转帐。随即，招商銀行等銀行宣布，下调通过第三方支付进行的网上交易限额。其中，招商銀行大众版一卡通客户的网上支付、转账上限由原来的5 000元/日调整为500 元/日；而信用卡客户的网上支付单日限额也由原来的自行设置调整为单笔不超过500元。除招行外，其他商业銀行也以支付安全为理由将网銀交易上限大幅下调。

3. 中国銀行第一代动态令牌遭受钓鱼网站攻击。持有中行“E令”（动态令牌）的用户登录仿冒中国銀行主页的钓鱼网站后，即暴露静态密码和动态密码，而钓鱼网站利用动态密码在60秒钟内有效的特点，有程序自动登陆中国銀行主页并转账。据业内人士估计，此轮中行遭受的损失上亿元。此后，中国銀行增加短信密码作为第二个认证因素。

目前，生成与账户、转账金额相关的挑战／应答型动态令牌可以有效化解这方面的风险。

五、 电子安全认证相关法律法规

网络銀行和电子商务相关的主要法律法规包括：《中华人民共和国电子签名法》、《电子銀行业务管理办法》、《电子认证服务管理办法》、《电子认证服务密码管理办法》、《商用密码管理条例》、《商用密码产品生产管理规定》、《商用密码产品销售管理规定》、《商用密码产品使用管理规定》、《境外组织和个人在华使用密码产品管理办法》、《电子支付指引（第一号）》、《电子銀行安全评估指引》、《关于网上交易的指导意见（暂行）》、《信息安全等级保护管理办法》。

2004年8月28日，十届全国人大常委会第十一次会议通过了《中华人民共和国电子签名法》是该领域比较基础性的法律，主要规定了四方面的内容：确立了电子签名的法律效力；规范了数据电文；设立电子认证服务市场准入制度；制定了电子签名安全保障制度。虽然在《电子签名法》诞生后，完成了对《公司法》、《票据法》、《证券法》、《拍卖法》的修订工作，但仍然存在许多衔接方面的问题。《合同法》第32条规定：“当事人采用合同书形成订立合同的，自双方当事人签字或盖章时合同成立”。该合同书很明显指的是传统的书面合同并不涉及电子合同。与电子合同有关的是《合同法》第33条：“当事人采用信件、数据电文形式订立合同的，可以在合同成立之前要求签订确认书，签订确认书时合同成立”。但在这里《合同法》并没有解决电子合同的签名问题，而是将其抛给了当事方自己处理。当事人既可以要求签订确认书，也可以不要求签订确认书。事实上，由于当事方在现实中客户与銀行的财力、技术水平、经验等方面并不是一样的，客户与銀行很难通过协商达成公平的解决方案。《电子签名法》倾向但不强制要求采用第三方认证。1999年由中国人民銀行牵头组织工商銀行、建设銀行、中国銀行、农业銀行等多家商业銀行联合共建国家金融认证中心（CFCA）。事实上，中农工建交招等大型銀行依然采用本銀行内部认证机制，未采用CFCA认证。另外，《电子签名法》倾向于电子签名，但由于现实情况、技术水平决定电子签名效率比较低、依然存在安全漏洞，而且与用户习惯不符，因此为其他安全认证方法留下足够的空间。如“第三十四条第三款：电子签名认证证书，是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录”。总体看来，《电子签名法》的表述上有较大的弹性，实际情况是象征意义大于操作意义。

銀监会公布《电子銀行业务管理办法》和《电子銀行安全评估指引》，于2006年3月1日起施行。《办法》上所指的电子銀行包括网上銀行、电话銀行、手机銀行，也包括其他利用电子服务设备和网络，由客户通过自助服务方式完成金融交易的銀行业务，例如自助銀行、ATM机等。由于电子銀行的銀行风险很大程度上与第三方有关，比如技术风险，銀监会在管理办法中，重点强调了风险管理和相应的法律责任，明确了电子銀行风险管理体系和内控制度建设、授权管理机制等要求。按照办法规定，金融机构应当与客户签订电子銀行服务协议或合同，在协议中告知风险，比如金融机构已经采取的风险控制措施和客户应采取的风险控制措施，相关风险的责任承担等。在责任部分，办法规定，因电子銀行系统存在安全隐患、金融机构内部违规操作和其他非客户原因等造成损失的，金融机构应承担相应责任。因客户有意泄露交易，或者未按照服务协议尽到应尽的安全防范与保密义务造成损失的，金融机构可以根据协议的约定免于承担相应责任。如果涉及到两家金融机构造成客户损失，尽职的不担责任，但提供电子銀行服务的金融机构有义务协助其客户处理有关事宜。由于电子銀行涉及到的安全和技术风险，銀行依靠传统的风险管理机制很难识别、监测、控制和管理，大部分国家依靠外部专业化机构定期对电子銀行的安全性进行评估，銀监会因此颁布了指引以规范电子銀行安全评估活动。

参考文献：

1. 梁爽.我国网上銀行风险现状及对策.财经界(学术版)，2011,（3）：90-92.

2. 孙旖.我国网上銀行发展历程及现状浅析.东方企业文化，2010，（7）:283-284.

3. 陈晓慧，吴应宇.我国网络銀行发展的制约因素及完善对策，2008，（6）:104-105.

4. 吕志祥，何红金.我国网上銀行安全保障机制探析，2010，（3）:113-114.

作者简介：王勉，南京大学经济学院博士生。

收稿日期：2011-03-11。

作者：王勉