银行业科技风险警示录
银行科技条线风险点自查
银行科技条线风险点自查1. 引言随着科技的飞速发展和互联网的普及,银行科技条线在金融行业中扮演着越来越重要的角色。
然而,银行科技条线也面临着各种潜在的风险。
为了保障银行科技条线的正常运转和安全性,进行风险点自查显得尤为重要。
本文将从多个维度对银行科技条线的风险点进行自查,并给出相应的解决方案。
2. 人员风险2.1 内部员工安全意识银行科技条线的内部员工对安全意识的重视程度直接影响着系统的安全性。
他们可能存在密码泄露、数据滥用等行为,导致信息泄露、账户被盗等风险。
自查事项:•内部员工是否经过信息安全培训?•内部员工在日常工作中遵守安全规范的情况如何?•内部员工是否具备甄别网络钓鱼邮件等网络欺诈行为的能力?解决方案:•定期组织信息安全培训,提高员工的安全意识;•建立和完善内部员工行为准则,加强安全规范的执行;•定期组织网络安全知识测试,提高员工甄别网络欺诈行为的能力。
2.2 外部攻击者银行科技条线经常成为网络攻击的目标,黑客可以通过各种手段获取用户敏感信息、盗取资金等。
自查事项:•是否存在黑客入侵的记录?•是否有网络攻击检测和预防措施?•是否定期进行渗透测试,发现潜在的安全漏洞?解决方案:•强化网络安全防护措施,包括防火墙、入侵检测系统等;•定期进行渗透测试,发现并修复系统中的安全漏洞。
3. 数据风险3.1 数据泄露银行科技条线需要处理大量的敏感数据,包括客户个人信息、交易记录等。
一旦这些数据泄露,将会给客户带来财产损失,同时也对银行的信誉造成严重影响。
自查事项:•是否有对敏感数据的访问权限控制机制?•数据传输过程是否加密?•是否定期备份数据?解决方案:•建立完善的权限管理制度,确保只有授权人员可以访问敏感数据;•使用加密技术保护数据在传输过程中的安全性;•定期备份数据,并进行测试恢复,确保备份的可靠性。
3.2 数据完整性银行科技条线处理的数据非常庞大,数据的完整性对于银行的正常运营至关重要。
如果数据被篡改或者出现错误,将会给银行和客户带来巨大的损失。
银行科技风险问题
银行科技风险问题seek; pursue; go/search/hanker after; crave; court; woo; go/run after随着业信息化建设步伐的加快,信息科技不断为各项业务发展注入活力,其作用从业务保障正逐步走向与业务深度融合,并逐步成为农信社各项业务稳健运营和发展的重要支柱.在充分享受信息科技带来的便捷和高效的同时,我们也清楚的认识到,农信社的信息科技风险管理尚不完善,需将风险管理作为重点进行防控.信息科技风险管理存在的问题信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、和声誉等风险.信息科技管理架构、信息安全体系、业务连续能力、合规与风险控制等多元化的风险范畴影响着农信社的日常经营管理.首先是信息科技风险管理组织未能履行职责.虽然各农村信用社均成立了信息安全管理领导小组、信息科技风险管理委员会,但大多数并未真正实施起信息科技风险管理的领导决策职责;年度的信息科技风险评估往往是做为一项自查进行,风险管理岗位人员均为兼职,风险评估时只为走形式,评估发现的问题仅为表面不涉及本质.其次是信息科技风险管理制度不完善.部分信用社没有制定专门的风险管理制度,只是作为某制度的一部分,操作性不强,缺乏具体的风险管控措施,不能对风险进行有效的识别、监测和控制.即便制定了制度,但落实不到位,也不能很好的实施制度的约束性.第三是信息科技风险防范意识淡薄.农信社只注重业务发展,只对存款、利息等数字敏感,提及信息科技就嗤之以鼻,认为门属于服务部门,上至高层领导的决策管理,下至每位临柜人员的业务操作,广大员工对信息科技风险防范的重要性置若罔闻,未产生人人有责的共鸣.系统灾备及应急预案存在缺陷农信社的应急预案缺乏实战操作.虽然制定了应急预案,但实战演练不到位,压力测试可能从未进行过,信息科技安全防范不具实效性,不能有效提高风险预警能力.信息科技突发事件处置包括技术、声誉、业务等,涵盖面大,在进行预案演练时,统一指挥、协调存在一定困难,只注重技术支持,忽视其它相关方面的配合.系统灾备不够全面.数据集中后,部分农信社只对重要信息系统进行灾备,忽视各应用系统的备份机制,甚至不做要求.此外,不能定期对灾备数据进行有效性检测,即使检测,也不是在生产环境中,未能达到检测效果.基础设施不过硬.部分信用社的信息科技风险系统运行存在隐患,供电、空调、接地防雷和消防等基础设施配备不足,即使配备不间断电源,但信用社网点设置多在农村,电池存量不能保证足够长时间;农村网点对电子设备缺乏清洁、保养,大大影响设备的使用效果和使用寿命;主、备通讯线路不能做到全部畅通,未能对备线进行定期测试,一旦主线出现问题,营业就会受到影响,存在潜在的风险.信息科技专业人才匮乏科技人员力量薄弱.信息科技管理部门人员配备不足,人员数量与网点、设备数量不匹配,岗位设置不够精细化,一身兼数职现象严重,AB岗制度难以落实;关键岗位轮换、强制休假等制度形同虚设,仅做表面文章,岗多人少不能进行有效的监督约束.科技人员知识水平弱势.农村信用社缺乏高素质、专业的系统设计、开发人才;科技人员武装的知识不能适应当前业务拓展和IT水平发展的需要,缺乏系统的专业知识和信息科技风险知识培训,各农村单位间缺乏交流;大部分科技人员还存在错误观念,认为科技风险就是保证系统、网络正常运转,忽视了各条线的风险排查,在风险防范上存在误区和盲区;网点信息安全员多为柜员兼职,分身乏术,时间上缺乏工作主动性.农信社信息科技风险防控建议农信社应借鉴其它商业银行的先进经验和国际标准,结合自身实际,以信息科技管理架构、信息安全体系、业务连续能力、合规与风险控制等方面为信息科技风险管理发展目标与实施路线,做到“事前有防范、事中有控制、事后有监督”,将技术防范为,主的信息科技风险管控落实到实处.进一步明确信息科技风险管理责任目标,落实信息科技风险防范责任,提高思想认识,上下齐抓共管,处理好业务发展与信息科技风险防范之间的关系,构筑起信息科技风险防范防线.积极探索实践并形成适应本单位发展特点的信息科技风险管理模式,定位清晰,摆脱因人设岗的旧模式,科学安排信息科技岗位,使信息科技风险管理工作标准化、规范化、科学化,信息化建设有序推进,进入良性循环.注重信息科技安全防范,提高风险预警能力.首先是通过技术管理手段,确保信息系统实体安全、运行安全、数据安全.根据业务系统的重要性、灾难恢复的时效性和自身的风险承受能力等及时分析和解决科技条线的业务隐患,建立完备的灾备体系,不断规范预案演练切实提高应急水平和能力,熟练掌握各种应急手段,积极落实信息安全等级保护措施,有效降低信息科技风险发生概率.其次是完善信息系统运行安全体系,对机房、网络设备、主机设备、消防、供电、门禁等设施的运行安全进行全面评估,严格执行相关管理制度,加大信息科技投入,确保基础设施后备充足.加强信息科技风险防控,积极培育科技创新主体.大力实施科技素质教育工程,建立健全信息科技人员激励机制,不断充实农村科技人员的业务知识,在全社范围内形成比学比优的良好学习氛围,积极培养、引进优秀的信息科技专业人才,给予其施展才华、体现价值的平台,将“信息创新价值、科技引领发展”的信息专业理念融入信用社文化建设中,保证信息科技资源有效利用,全面提升信息科技风险管理水平.加强要害岗位的管理,按照责任范围实行严格的限制,相互制约、互相监督,加强信息系统的安全运行监测,切实提高信息系统的安全效能.。
基层银行业信息科技风险表现及防范对策
基层银行业信息科技风险表现及防范对策随着信息科技在银行业经营管理全过程的推广运用,银行对信息科技的依赖程度显着提高,在促进银行改进流程、加快发展的同时,银行业机构信息科技风险防范工作面临着新形势、新情况和新问题,信息科技风险事件凸现。
加强基层银行业机构信息科技风险防范,对于维护银行业机构以及整个银行业体系的安全稳定至关重要。
一、当前银行业机构信息科技风险的主要表现(一)数据大集中引发的风险数据的集中直接带来了银行金融产品的升级和服务、管理手段的提高,但银行数据大集中后,可能带来的风险隐患也随之加大。
一是不可抗力引发的风险。
一旦出现突发的灾难事故,将导致系统性的业务停顿与客户流失,甚至会引起业务系统瘫痪,造成社会不稳定。
二是系统安全维护工作不及时引发的危险。
在数据大集中前,系统架构相对简单,原有的各地方数据中心均由技术人员负责辖内各系统的安全维护工作。
由于他们对原系统涉及的各个环节比较熟悉,与系统软件开发商的联系较为密切,与区域内的网络运营商的协调能力较强,因此能迅速调动各种技术力量解决问题,对客户的响应时间较快。
而数据集中后,虽然在管理上便于维护、升级,但由于数据集中后的系统的架构变得更加复杂,牵扯的各方面因素比原来大大增加,而且很多问题由于权限问题在市级分行层面漂统前置立韵无法得到很好的解决,往往需要向总行数据总中心反映,才能得到根本的解决,这在一定程度上削弱了现有数据中心技术人员应急抗灾能力和应变管理能力。
三是外包风险。
数据大集中后,对系统开发、网络管理、运行维护等的要求更加专业化了。
随着IT 外包服务的概念逐步被各银行业机构接受,各银行业机构开始尝试实施IT 服务外包,这既有利于银行降低运营成本,也有利于银行集中更多的精力专注于自身的核心业务发展。
但银行不是一般的企业,它是经营货币的特殊企业,银行信息系统、数据的安全不仅关系着自身的生存,而且关系着整个国家的经济命脉,而实行IT 外包服务后不仅银行内部掌握的大量敏感数据可能被外包公司掌握,而且更重要的是目前可以为银行提供IT 外包服务的大多数是国际跨国公司,万一国际政治、军事形势发生变化,外包公司随时可能停止提供服务,造成我国银行业的业务中断,严重影响我国的金融经济秩序,造成巨大混乱和损失。
《商业银行信息科技风险管理指引》
银监会发布《商业银行信息科技风险管理指引》为进一步加强商业银行信息科技风险管理,银监会近日发布《商业银行信息科技风险管理指引》(以下简称《管理指引》),原《银行业金融机构信息系统风险管理指引》(银监发[2006]63号,以下简称原《指引》)同时废止。
随着银行业信息化的发展,信息科技的作用已经从业务支持逐步走向与业务的融合,成为银行稳健运营和发展的支柱,原《指引》定位在信息系统风险管理的基本、原则性要求,已难以满足商业银行信息科技风险管理的需要。
为此,银监会在原《指引》的基础上,广泛征求业内机构意见,制定了本《管理指引》。
《管理指引》具有以下几个特点:一是全面涵盖商业银行的信息科技活动,进一步明确信息科技与银行业务的关系,对于认识和防范风险具有更加积极的作用;二是适用范围由银行业金融机构变为法人商业银行,其他银行业金融机构参照执行;三是信息科技治理作为首要内容提出,充实并细化了对商业银行在治理层面的具体要求;四是重点阐述了信息科技风险管理和内外部审计要求,特别是要求审计贯穿信息科技活动的整个过程之中;五是参照国际国内的标准和成功实践,对商业银行信息科技整个生命周期内的信息安全、业务连续性管理和外包等方面提出高标准、高要求,使操作性更强;六是加强了对客户信息保护的要求。
新《指引》共十一章七十六条,分为总则,信息科技治理,信息科技风险管理,信息安全,信息系统开发、测试和维护,信息科技运行,业务连续性管理,外包,内部审计,外部审计和附则等十一个部分。
新《指引》的发布,将进一步推动我国银行业信息科技风险管理向更高水平迈进。
商业银行信息科技风险管理指引第一章总则第一条为加强商业银行信息科技风险管理,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》、《中华人民共和国外资银行管理条例》,以及国家信息安全相关要求和有关法律法规,制定本指引。
第二条本指引适用于在中华人民共和国境内依法设立的法人商业银行。
银行科技条线风险点自查
银行科技条线风险点自查
银行科技条线风险点自查
信息科技风险管理和控制措施多分散于其他管理制度中,没有专门的科技风险管理度。
管理制度滞后于信息系统、信息技术的发展,没有随着新购买设备、设施而及时更新、完善相关的管理制度.没
有随着信息系统的升级换代而重新修订,难以起到防范信息科技风
险的作用。
三、硬件基础设施薄弱
现在,在物理层面上实现了内、外网络的隔离,但针对U盘、移动硬盘等设备尚没有建立防护策略和有效的管理制约手段.外网病
毒容易通过上述设备侵入到内部网络,导致内网带宽被侵占,影响
综合业务系统的正常运行。
.
四、应急预案徒有形式
制定了系统应急预案,但大部分基层网点尚未根据预案对电力设备、网络设备等实施压力测试,也没有进行过应急演练。
应急预案
还只是停留在形式上,出现突发故障或紧急事件时不一定能达到预
期的处置结果。
另外,有些应急预案涵盖的项目过多,针对性和可
操作性不强,影响应急预案的实效。
商业银行的科技风险管理
应对措施
列出已采取或拟采取的应对措 施,包括技术手段、人员调配 、资源投入等方面。
建议措施
针对风险事件提出具体的建议 措施,以提高商业银行的科技 风险管理水平。
05
商业银行科技风险的案例分 析
案例一:网络攻击事件
总结词
网络攻击事件是商业银行科技风险的一种常见类型,通常涉及到黑客利用系统 漏洞进行非法入侵和窃取信息。
风险识别方法
风险清单法
通过列举商业银行科技系统中可能存 在的风险点,形成风险清单,以便全 面了解和掌握潜在风险。
流程图法
通过对商业银行科技系统的业务流程 进行绘制和分析,找出可能存在的风 险环节和问题点。
事件树分析法
通过对可能引发科技风险的事件进行 逐级分析,形成事件树,以便找出可 能的风险源头和影响范围。
商业银行的科技风险管理
汇报人:可编辑
2024-01-03
目录 Contents
• 商业银行科技风险管理概述 • 商业银行科技风险的识别与评估 • 商业银行科技风险的防范与控制 • 商业银行科技风险的监测与报告 • 商业银行科技风险的案例分析 • 商业银行科技风险管理的未来发展
01
商业银行科技风险管理概述
风险控制策略
制定详细的风险控制计划 商业银行应根据自身实际情况, 制定详细的风险控制计划,明确 风险控制的目标、措施和时间表 。
强化员工培训和教育 商业银行应加强员工培训和教育 ,提高员工对科技风险的认知和 防范意识,确保各项风险控制措 施得到有效执行。
加强风险评估和监测
商业银行应定期对科技风险进行 评估和监测,及时发现和解决存 在的风险问题,确保风险得到有 效控制。
确定评估范围和对象
明确需要评估的科技系统和业务 流程,确定评估的重点和目标。
银行业防范风险案例
银行业防范风险案例一、过度放贷的危机:次级贷款引发的风暴。
话说曾经有那么一些银行,看到房地产市场一片火热,就像饿狼看到肉一样,眼睛都放光了。
它们开始大量发放次级贷款。
啥是次级贷款呢?就是那些给信用不咋好、还款能力有点悬的人的贷款。
就像有个叫杰克的小年轻,没什么稳定工作,收入也不咋地。
正常情况下,银行是不会给他贷款买房的。
可是呢,那些银行想啊,房子价格一直在涨,就算他还不上钱,把房子一卖不就得了嘛。
于是就把钱借给了杰克。
结果呢,市场就像调皮的孩子,突然就变了脸。
房价开始暴跌,杰克那房子卖了都不够还贷款的。
这时候,银行可就傻眼了,大量的次级贷款收不回来,这就像多米诺骨牌一样,一家银行出问题,和它有业务往来的其他银行也跟着遭殃。
这就是当年美国次贷危机的一个小小缩影,好多银行差点因为这个就破产关门了,整个金融市场也被搅得一团糟。
二、内部管理漏洞:巴林银行的悲剧。
巴林银行,那可是一家挺有名气的银行呢。
可是它却因为内部管理的一个大窟窿,一下子就栽了个大跟头。
有个叫尼克·里森的交易员,就像一个在银行里胡作非为的小恶魔。
他在新加坡分行负责期货交易。
这家伙呢,一开始做交易亏了点钱,按道理应该及时止损,向总部报告。
可他偏不,他想通过更多的交易把亏的钱赚回来,就像一个赌徒输了钱想翻本一样。
他伪造文件,做假账,把亏损藏得严严实实的。
而巴林银行的内部监管就像个睁眼瞎一样,根本没发现他的这些小动作。
最后呢,尼克·里森亏得越来越多,高达14亿美元,这可是个天文数字啊!巴林银行就这么被他给拖垮了,几百年的老字号就这么没了,真是让人唏嘘不已。
三、信用风险:雷曼兄弟的倒下。
雷曼兄弟,曾经也是金融界的一个大佬。
它的风险防范就像一个到处是洞的筛子。
雷曼兄弟在业务扩张的时候,对信用风险的把控简直是乱成一团麻。
它大量持有那些高风险的金融产品,就像抱着一堆随时可能爆炸的炸弹。
比如说,它和很多信用不那么可靠的企业和金融机构有业务往来,而且还大量投资那些复杂的、透明度不高的金融衍生品。
银行数字化法律风险案例(3篇)
随着金融科技的飞速发展,银行业数字化转型已成为趋势。
在这一过程中,银行面临着前所未有的法律风险。
本文将通过一个具体的案例,分析银行在数字化过程中可能遇到的法律风险,并提出相应的防范措施。
案例背景某商业银行(以下简称“银行”)为了提升客户体验和业务效率,决定推出一款基于移动端的新一代网上银行APP。
该APP集成了多项金融服务功能,如账户查询、转账汇款、理财投资等。
在APP开发过程中,银行高度重视用户隐私保护和数据安全,投入了大量资源进行风险评估和控制。
案例经过1. 开发阶段:银行委托第三方开发公司进行APP开发。
在开发过程中,银行与开发公司签订了保密协议,约定双方对APP的技术秘密、商业秘密等负有保密义务。
2. 上线前测试:APP开发完成后,银行进行了内部测试,确保APP功能正常、性能稳定。
同时,银行邀请部分客户进行试用,收集用户反馈。
3. 正式上线:经过一系列测试和调整,APP正式上线。
上线初期,APP受到用户好评,下载量和用户活跃度持续上升。
4. 法律风险爆发:不久后,一位用户发现,在使用APP进行转账汇款时,其账户信息被泄露,导致账户资金被盗。
经过调查,发现APP存在安全漏洞,用户信息被恶意攻击者获取。
案例分析1. 数据安全风险:该案例中最明显的法律风险是数据安全风险。
银行在APP开发过程中,虽然采取了保密措施,但未能有效防止用户信息泄露。
这违反了《中华人民共和国网络安全法》关于个人信息保护的规定,可能面临行政处罚和民事赔偿。
2. 知识产权风险:在APP开发过程中,银行与第三方开发公司签订了保密协议,但未能明确约定知识产权归属。
一旦发生纠纷,银行可能无法享有APP的知识产权,导致经济损失。
3. 用户权益保护风险:在APP上线后,用户发现其账户信息被泄露,导致资金损失。
这违反了《中华人民共和国消费者权益保护法》关于消费者个人信息保护的规定,银行可能面临用户索赔。
1. 加强数据安全风险管理:银行应建立健全数据安全管理制度,加强数据安全防护措施,确保用户信息安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
银行业科技风险警示录--银行业信息科技风险案件与事件汇编中国银行业监督管理委员会信息中心二○一○年八月序言当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之一。
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定。
根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉和市值造成极大伤害;中断2~3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。
同时,随着网上银行、电子商务等网络金融服务的快速发展,利用网络信息技术的犯罪活动也日益增加,威胁银行业信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害不容忽视。
2004年,巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴,使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
近年来,银监会对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。
各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险管理水平不断提高。
在取得成绩的同时,必须清醒地意识到存在的问题与不足。
近年来国内外信息科技风险事件时有发生,系统重大停机宕机、核心业务系统中断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等。
后果严重,教训深刻,网络与信息安全形势不容忽视。
这些事件的发生再次向我们敲响警钟:信息科技工作一旦发生问题就是重大问题。
信息科技风险就在身边,强化风险监管刻不容缓。
以史为镜知兴替,以案为鉴明得失。
基于此,银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意义的典型案例,开创性地编写了《银行业科技风险警示录》。
该书汇编刊印工作非常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。
入选案例都具有较高的借鉴价值,为银监会系统的IT风险监管工作提供了有效资料,为各银行业金融机构和广大员工提供了警示教材。
这些素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例,还是对银行高管人员、审计人员以及从事相关业务的广大员工,都具有实践的借鉴价值和指导作用。
《银行业科技风险警示录》汇编教材意义重大,值得肯定。
“前事昭昭,足为明戒”。
银监会系统一定要高度重视信息科技风险管控工作。
切实分析好、利用好这些案例,认真查找银行业金融机构在内控管理、安全防范、信息技术等方面存在的差距与不足,清醒把握当前防范计算机犯罪与信息安全面临的形势。
采取有针对性的监管措施,指导银行业金融机构落实内控、提高信息安全管理能力,遏制计算机犯罪快速上升势头。
各银行业金融机构要能够吸取这些案例的教训,警钟长鸣,积极开展多种形式的信息科技风险警示教育,做好计算机案件与信息安全事件防范工作,促进在更大范围和更高层次上提升信息科技风险防范水平。
我们坚信:通过提高信息科技风险防范意识,完善信息科技风险管理机制,计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会大大减轻。
是为序。
二O一O年八月前言随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入,涉及信息技术的犯罪案件与信息安全事件不断发生,且呈现快速上升趋势。
近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机构日常运营提供了重要的基础支持,银行业的稳健经营离不开对信息科技风险的有效管理。
国外两大事件将科技风险管控重要性昭示天下。
2001年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。
该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。
2009年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足12小时内从全球至少280个城市的2100部提款机提取逾900万美元现金,使RBS集团短时间内损失惨重。
如果不能对信息科技风险进行有效管控,一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。
鉴于此,银监会信息中心组织专人对银行业金融机构计算机犯罪和信息安全事件进行认真梳理,从中选择部分有代表性和一定借鉴意义的典型案例,编写了《银行业科技风险警示录》。
《银行业科技风险警示录》收集了中国银行业金融机构2004~2010年初所发生的具有代表性的98个计算机犯罪案件和信息安全事件。
入选案例通常在多家银行发生,且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。
汇编此书,意欲举一反三,警示昭告,引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以及各相关业务部门的高度重视,以认真汲取事故教训,采取措施,堵塞漏洞。
《银行业科技风险警示录》中各案例内容分别包括“案例描述”、“案例分析”两个部分。
“案例描述”部分主要是以有关银行提供的事件分析报告为依据,简要介绍案例概况;“案例分析”部分深入浅出地对案件内部深层次原因进行剖析,以反映银行机构信息安全面临的严峻形势。
在每节后附“防范对策与建议”,通过各家银行的实际防范经验总结为银行建立解决方案提供借鉴。
《银行业科技风险警示录》着重突出了以下特点:一是素材新。
入选的98个计算机犯罪案件和信息安全事件具有普遍典型意义,部分案例为国内首次披露。
二是内容全。
通过向全国银行业金融机构广泛征集案例,保证了内容的覆盖面和信息量,基本做到了案件与事件、历史与现状、中资银行与外资银行、不同规模银行业机构等的兼收并蓄。
三是富有新意。
《银行业科技风险警示录》对案例内容尝试性引入了危害指数、影响指数和频度指数进行风险分级。
其中,危害指数主要侧重从案件对行业的冲击力及对银行客户的影响面进行分析;影响指数主要侧重从事件对银行持续经营的影响度进行分析;而频度指数主要从发生概率(案件和事件)或作案难易度(仅针对案件)进行定性分析。
案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。
四是深入浅出。
注重技术深度和通俗易懂的结合,每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行,具有较好的完整性、前瞻性和实用性。
同时,力避生硬技术性论述,数据主要以图、表形式进行罗列和分析,使读者一目了然。
中国银行业监督管理委员会信息中心二〇一〇年八月目录第一章信息科技相关案件 (11)第一节网上银行类案件 (21)案例1:篡改网银交易数据盗取客户资金 (21)案例2:利用内嵌病毒邮件盗取客户资金 (22)案例3:通过木马盗取客户资金之一 (23)案例4:通过木马盗取客户资金之二 (24)案例5:远程操纵客户计算机盗取资金 (25)案例6:攻击网站获取客户信息盗取资金 (26)案例7:窃取客户网银证书作案 (27)案例8:盗取同事账户作案 (28)案例9:利用假证件开通网上银行作案 (29)案例10:嗅探网银系统作案 (30)案例11:非法破解用户密码作案 (31)第二节内控缺陷类案件 (34)案例12:非法办理存折配卡作案 (34)案例13:篡改系统数据虚开存单作案 (35)案例14:篡改账户状态非法结息作案 (36)案例15:篡改账务数据盗取资金 (38)案例16:利用综合业务系统漏洞作案之一 (39)案例17:利用综合业务系统漏洞作案之二 (40)案例18:利用贷款业务系统缺陷作案 (41)案例19:利用储蓄业务系统漏洞作案 (42)案例20:盗用他人柜员密码挂失存单作案 (43)案例21:盗取他人柜员密码空存资金作案 (44)案例22:盗用他人柜员密码虚列利息支出作案 (45)案例23:盗用系统权限冒名贷款作案 (46)案例24:伪装外包人员混入银行营业室作案 (47)案例25:利用外包管理漏洞盗取客户信息作案 (48)案例26:编制非法程序窃取客户信息作案 (49)案例27:盗取客户信息篡改数据库作案 (50)案例28:窃取数据仓库客户信息作案 (51)第三节自助设备类案件 (54)案例29:加装特殊装置盗取银行卡信息作案 (54)案例30:张贴虚假告示骗取客户信任作案 (64)案例31:利用自助设备的自动保护功能作案 (72)案例32:利用自助设备功能模块缺陷作案 (74)案例33:利用自助设备系统程序漏洞作案 (75)案例34:通过砸撬ATM机等暴力手段进行作案 (76)案例35:一些其他银行卡犯罪案件 (78)第二章信息科技相关事件 (82)第一节硬件设备故障 (93)事例1:主机宕机处置不及时导致系统交易停止 (93)事例2:存储设备故障致重要应用系统中断 (94)事例3:主机配件故障导致银行对外服务中断 (94)事例4:备机电源模块故障导致主机系统宕机 (95)事例5:主机电源故障导致核心业务长时间停止 (96)事例6:CPU主板硬件故障致系统中断 (97)事例7:存储设备故障致系统中断 (98)事例8:交换机接触不良致业务中断 (98)事例9:核心交换机故障致业务中断 (99)事例10:存储光纤交换机宕机致系统中断 (100)事例11:机房地面震动引起机房设备电源频发故障 (101)事例12:交换机协议不兼容导致网络通信异常 (102)事例13:光端机通讯板卡故障致业务中断 (102)事例14:网络设备配置不当致系统中断 (103)事例15:加密机故障导致银行卡交易长时间中断 (104)第二节软件系统故障 (107)事例16:加密平台设计缺陷引发交易拥堵 (107)事例17:压力测试不充分导致系统服务中断 (108)事例18:需求交流不充分导致部分银期转账无法正常处理 (109)事例19:监控系统缺陷导致业务瘫痪 (110)事例20:主机系统缺陷导致业务系统运行不畅 (111)事例21:程序性能缺陷导致交易缓慢 (111)事例22:应用程序缺陷导致银证交易异常 (112)事例23:第三方存管系统运行故障引发服务中断 (113)事例24:系统容量不足导致系统运行意外终止 (115)事例25:应用系统故障影响客户服务 (116)事例26:对批量操作的管理不善引发系统停机 (117)事例27:系统交易堵塞引发系统崩溃 (118)事例28:ATM程序故障造成吞卡及交易失败 (119)事例29:系统变更缺陷导致ATM透支事故 (120)事例30:光纤传输速率波动引发业务系统故障 (121)事例31:系统数据库意外宕机造成业务数据丢失 (122)事例32:数据库软件缺陷引发业务交易堵塞 (123)事例33:数据库升级异常引发系统故障 (124)事例34:备份操作异常导致银行卡交易中断 (124)事例35:疏于备份导致银行客户数据丢失 (125)事例36:操作失误引发综合业务系统停止服务 (126)事例37:操作不当导致银行现金业务中断 (127)事例38:系统设置错误导致卡业务故障 (128)第三节外围保障设施故障 (131)事例39:操作不慎导致核心系统服务中断 (131)事例40:UPS系统故障导致呼叫中心停止服务 (131)事例41:外包服务商违规操作导致银行服务中断 (132)事例42:双回路切换器故障引发银行供电隐患 (133)事例43:供电系统老化及演练不到位导致服务中断 (134)事例44:电力转换系统故障引发供电中断 (136)事例45:市变电站突发设备故障导致银行业务中断 (137)事例46:光端机设备故障造成通讯中断 (138)事例47:电信运营商设备故障导致业务无法正常办理 (138)事例48:域名未及时备案导致网上银行被封 (139)事例49:与银联沟通不畅引起银行卡业务异常 (140)第四节网络攻击事件 (143)事例50:遭受恶意攻击门户网站间歇性中断 (143)事例51:遭受恶意攻击短暂影响网银访问 (144)事例52:及时化解恶意攻击确保网银业务正常运行 (145)事例53:域名解析错误引发网络流量剧增 (147)事例54:SQL注入篡改信托公司网站数据库 (148)事例55:架构漏洞导致银行网站被植入恶意链接 (148)事例56:设置钓鱼网站,假冒网上银行系统 (149)第五节有害程序事件 (153)事例57:办公电脑感染病毒导致网络阻塞 (153)事例58:防病毒软件更新不及时导致全行网络流量异常 (153)事例59:数据库补丁更新不及时引发业务中断 (154)事例60:前置程序感染病毒导致自助设备无法使用 (155)第六节灾害性事件 (158)事例61:台风破坏通讯设施导致银行网点停业 (158)事例62:火灾导致银行供电中断 (158)事例63:雷击损坏网络设备导致银行呼叫中心通讯中断 (159)后记 (162)第一章信息科技相关案件一、案防形势当今社会经济发展对信息科技的依赖程度愈来愈高,金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。