银行 信息安全 案例篇一:商业银行科技风险案例63条!63条中国银行业监督管理委员会信息中心二O—O年八月1 商业银行科技风险案例序言当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信 息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之 一信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基 础,还关系到整个银行业的安全和国家金融体系的稳定根据近几年国际上出现的 信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支 付业务;中断1天,将对其声誉和市值造成极大伤害;中断2〜3天以上不能恢 复,将直接危及银行乃至整个金融系统的稳定同时,随着网上银行、电子商务等 网络金融服务的快速发展,利用网络信息技术的犯罪活动也日益增加,威胁银行业 信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害 不容忽视204年,巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴,使得 信息科技风险管理成为了银行全面风险管理体系中的重要组成部分近年来,银监 会对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。
各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险 管理水平不断提高在取得成绩的同时,必须清醒地意识到存在的问题与不2 足近年来国内外信息科技风险事件时有发生,系统重大停机宕机、核心业 务系统中断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等后果严重, 教训深刻,网络与信息安全形势不容忽视这些事件的发生再次向我们敲响警钟: 信息科技工作一旦发生问题就是重大问题信息科技风险就在身边,强化风险监管 刻不容缓以史为镜知兴替,以案为鉴明得失基于此,银监会组织专人对银行业金融 机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意 义的典型案例,开创性地编写了《银行业科技风险警示录》该书汇编刊印工作非 常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一 步入选案例都具有较高的借鉴价值,为银监会系统的IT风险监管工作提供了有 效资料,为各银行业金融机构和广大员工提供了警示教材这些素材新、内容全、 深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入 研究相关案例,还是对银行高管人员、审计人员以及从事相关业务的广大员工,都 具有实践的借鉴价值和指导作用。
《银行业科技风险警示录》汇编教材意义重大, 值得肯定前事昭昭,足为明戒”银监会系统一定要高度重视信息科技风险管控工 作切实分析好、利用好这些案例,认真查找银行业金融机构在内控管理、安全防 范、信息技术等 3方面存在的差距与不足,清醒把握当前防范计算机犯罪与信息安全面临的形 势采取有针对性的监管措施,指导银行业金融机构落实内控、提高信息安全管理 能力,遏制计算机犯罪快速上升势头各银行业金融机构要能够吸取这些案例的教 训,警钟长鸣,积极开展多种形式的信息科技风险警示教育,做好计算机案件与信 息安全事件防范工作,促进在更大范围和更高层次上提升信息科技风险防范水平我们坚信:通过提高信息科技风险防范意识,完善信息科技风险管理机制, 计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会 大大减轻郭利根二0—0年八月4、八 、亠前言随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中 应用的不断深入,涉及信息技术的犯罪案件与信息安全事件不断发生,且呈现快速 上升趋势近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机 构日常运营提供了重要的基础支持,银行业的稳健经营离不开对信息科技风险的有 效管理。
国外两大事件将科技风险管控重要性昭示天下201年9月11日恐怖分子劫 持飞机撞击美国纽约世贸中心该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有 的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝 国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨 头遭受了重大损失2021年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗 下信用卡公司的计算机网络,伪造假卡,在不足12小时内从全球至少280个城市 的2100部提款机提取逾900万美元现金,使RBS集团短时间内损失惨重如果不 能对信息科技风险进行有效管控,一些信息科技案件或事件必将对银行业持续稳健 运行带来重大威胁鉴于此,银监会信息中心组织专人对银行业金融机构计 5 篇二:网银安全案例 假冒银行网站窃取账号密码事件频发,网银安全要携手 - 网络专家 导读:网上银行的安全一直是人们关注的一个话题接连出现的假冒银行网 站、网上窃取账号和密码等事件的发生,让人们不禁产生疑问,网上银行的安全系 数究竟有多大?记者为此采访了工商银行和华夏银行以及第三方支付平台网银在 线《中国信息化》记者 魏洁自从美国在1995年推出世界第一家网络银行 -安全第一网络银行,世界各国网络银行的发展势头十分迅猛。
美国在202年时,约 有560万个家庭每月至少使用一次网络银行功能或支付功能203年,东亚银 行、汇丰银行等均在我国内地开办了网络银行业务我国第一家网络银行出现于 1998年有报道说,到204年底,我国网络银行个人客户已达到1758万户,企业 用户已达60万户,网络银行交易量达到了49万亿元但是,正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时,因安全 问题引发的欺诈案件却接踵而来这使得消费者开始产生质疑,不得不重新审视网 络银行的可信度网络银行的安全究竟该如何认识?问题是出在银行,还是在消费 者自身缺乏防范意识?安全问题确实已成为网络银行发展过程中的一个聚焦形形色色的网银安全问题网络银行,又称网上银行或银行,是指银行以自己的计算机系统为主 体,以单位和个人的计算机为入网操作终端,借助互联网技术,通过网络向客户提 供银行服务的虚拟银行柜台简单地说,网络银行就是互联网上的虚拟银行柜 台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务操作在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务 和银行交易服务信息服务是银行通过互联网向客户提供产品和服务客户交流服 务包括电子邮件、帐户查询、贷款申请等。
银行交易服务包括个人业务和公司业 务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包 括结算、信贷、投资等银行交易服务是网络银行的主体业务网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网, 进入网络银行处理交易与传统银行业务相比,网络银行的优势体现在,不仅能够 大大降低银行的经营成本,还有利于扩大客户群,交叉销售产品,吸引和保留优质 客户由于客户采用的是公共浏览器软件和公共网络资源,节省了银行对客户端的 软、硬件开发和维护费用网络银行的无时空限制的特点,打破了传统业务受地域 和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交 叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也 叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银 行业务交易服务因此,事实上,我国还没有出现真正意义上的网络银行,也就是 “虚拟银行”,国内现在的网络银行基本都属于第二种模式对于银行来讲,历来是“信用第一”网络银行既然是互联网的产物,互联 网所带来的一切安全隐患,自然会波及网络银行,影响其信用。
因此,网络银行的 安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视网络银行面临 的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个 方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问 题这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等假冒银行 网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页 则与真实银行的非常相似欺诈邮件是提供一个与银行或购物网站极为相似的链 接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己 的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中而网上 交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击 付款链接时就将用户的银行资料骗取出去面对发生在网络银行上形形色色的安全问题,各家银行的反映如何?它们都 采取了哪些相应的措施?银行篇:该出手时就出手8月份,国内14家商业银行与中国金融认证中心(CFCA)联合推出“205放心安全用网银”的活动银行界 与第三方安全认证机构联手行动,为广大消费者提供了一次了解网上银行和 信息安全知识的机会。
在这14家银行中,中国工商银行于20年推出了网上银行通过采用国际先 进的技术安全措施和严格的风险控制手段,工行建立了一整套严密的网上银行技术 与制度体系,确保了网上银行安全的运行中国工商银行电子银行部副处长尚阳向记者介绍说,利用网上银行进行欺诈 行为,骗取客户资金,目前主要有四种类型:一是不法分子通过电子邮件冒充知名公司,特别是冒充银 行,以系统升级等名义诱骗不知情的用户点击进入假网站,并要求他们同时输入自 己的账号、网上银行登录密码、支付密码等敏感信息二是不法分子利用网络聊天,以您的身份低价兜售网络游戏装备、数字卡等 商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,输入银行账号、登录密码和支 付密码三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件 等不良上网习惯,有可能通过这些程序、邮件等将木马病毒置入客户的计算机内, 一旦客户利用这种“中毒”的计算机登录网上银行,客户的账号和密码就有可能被 不法分子窃取例如,人们在网吧等公共电脑上网时,网吧电脑内有可能预先埋伏 木马程序,账号、密码等敏感信息四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理,通过试探等 方式可能猜测出密码。
所以,为了保证信息和资金的安全,我们不仅需要具备辨识 网络诈骗的能力,更需要养成良好的网上银行使用习惯当然,如果用户申请了客 户证书,就可以有效防范目前常见的各种网络犯罪,确保用户资金安全无忧工商银行网上银行系统的安全保障是多层的,包括网上银行技术安全和业务 安全,二者共同构成了一个完备的网上银行安全体系从技术安全的层面上,网上银行的技术安全包括网络安全和交易安全两个方 面网络安全确保工行网站的安全可靠,交易安全确保客户通过网上银行进行交易 的资金安全其中,网络安全涉及系统安全、网络运行安全等系统安全实际上指 的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审 计分析;网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备 份和恢复等等工商银行为保障网上银行的网络安全性,采取了一系列措施,包 括:在互联网与网上银行服务器之间设置第一道防火墙,在门户网站服务器和工行 内部网络(应用服务器)之间设置第二道防火墙第二道防火墙与入口的第一道防 火墙采用的是不同厂商的产品,设置不同的安全策略,使黑客即使攻破第一道防火 墙,也无法轻易攻破第二道防火墙而进入内部网络,等等。
在确保网络安全的同时,工行网上银行还采取了一系列确保网上交易安全的 措施,包括采用中国金融认证中心(CFCA)提供的、目前最严密的1024位证书认 证和128位SSL加密的公钥证书安全体系等等根据客户对方便性和安全级别要求 的不同,工行将客户分为无证书客户和证书客户两大类没有申请证书的客户要进 入网上银行,首先要验证客户的账号(或自己设立的登录ID)和登录密码,对。