银行 信息安全 案例.docx
《银行 信息安全 案例.docx》由会员分享,可在线阅读,更多相关《银行 信息安全 案例.docx(8页珍藏版)》请在冰豆网上搜索。
银行信息安全案例
银行信息安全案例
篇一:
商业银行科技风险案例63条!
63条
中国银行业监督管理委员会信息中心
二○一○年八月
1商业银行科技风险案例
序言
当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之一。
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定。
根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉和市值造成极大伤害;中断2~3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。
同时,随着网上银行、电子商务等网络金融服务的快速发展,利用网络信息技术的犯罪活动也日益增加,威胁银行业信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害不容忽视。
204年,巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴,使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
近年来,银监会对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。
各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险管理水平不断提高。
在取得成绩的同时,必须清醒地意识到存在的问题与不2
足。
近年来国内外信息科技风险事件时有发生,系统重大停机宕机、核心业务系统中断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等。
后果严重,教训深刻,网络与信息安全形势不容忽视。
这些事件的发生再次向我们敲响警钟:
信息科技工作一旦发生问题就是重大问题。
信息科技风险就在身边,强化风险监管刻不容缓。
以史为镜知兴替,以案为鉴明得失。
基于此,银监会组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意义的典型案例,开创性地编写了《银行业科技风险警示录》。
该书汇编刊印工作非常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。
入选案例都具有较高的借鉴价值,为银监会系统的IT风险监管工作提供了有效资料,为各银行业金融机构和广大员工提供了警示教材。
这些素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例,还是对银行高管人员、审计人员以及从事相关业务的广大员工,都具有实践的借鉴价值和指导作用。
《银行业科技风险警示录》汇编教材意义重大,值得肯定。
“前事昭昭,足为明戒”。
银监会系统一定要高度重视信息科技风险管控工作。
切实分析好、利用好这些案例,认真查找银行业金融机构在内控管理、安全防范、信息技术等3
方面存在的差距与不足,清醒把握当前防范计算机犯罪与信息安全面临的形势。
采取有针对性的监管措施,指导银行业金融机构落实内控、提高信息安全管理能力,遏制计算机犯罪快速上升势头。
各银行业金融机构要能够吸取这些案例的教训,警钟长鸣,积极开展多种形式的信息科技风险警示教育,做好计算机案件与信息安全事件防范工作,促进在更大范围和更高层次上提升信息科技风险防范水平。
我们坚信:
通过提高信息科技风险防范意识,完善信息科技风险管理机制,计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会大大减轻。
是为序。
郭利根
二O一O年八月
4
前言
随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入,涉及信息技术的犯罪案件与信息安全事件不断发生,且呈现快速上升趋势。
近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机构日常运营提供了重要的基础支持,银行业的稳健经营离不开对信息科技风险的有效管理。
国外两大事件将科技风险管控重要性昭示天下。
201年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。
该恐怖袭击事件瞬间彻底毁灭了数百家公司所拥有的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝国人寿保险公司、摩根斯坦利金融公司、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。
2021年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信用卡公司的计算机网络,伪造假卡,在不足12小时内从全球至少280个城市的2100部提款机提取逾900万美元现金,使RBS集团短时间内损失惨重。
如果不能对信息科技风险进行有效管控,一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。
鉴于此,银监会信息中心组织专人对银行业金融机构计5
篇二:
网银安全案例
假冒银行网站窃取账号密码事件频发,网银安全要携手-网络专家
导读:
网上银行的安全一直是人们关注的一个话题。
接连出现的假冒银行网站、网上窃取账号和密码等事件的发生,让人们不禁产生疑问,网上银行的安全系数究竟有多大?
记者为此采访了工商银行和华夏银行以及第三方支付平台网银在线。
《中国信息化》记者魏洁自从美国在1995年推出世界第一家网络银行------安全第一网络银行,世界各国网络银行的发展势头十分迅猛。
美国在202年时,约有560万个家庭每月至少使用一次网络银行功能或在线支付功能。
203年,东亚银行、汇丰银行等均在我国内地开办了网络银行业务。
我国第一家网络银行出现于1998年。
有报道说,到204年底,我国网络银行个人客户已达到1758万户,企业用户已达60万户,网络银行交易量达到了49万亿元。
但是,正当消费者接受并尝试着这一新鲜事物带来的新奇和便捷时,因安全问题引发的欺诈案件却接踵而来。
这使得消费者开始产生质疑,不得不重新审视网络银行的可信度。
网络银行的安全究竟该如何认识?
问题是出在银行,还是在消费者自身缺乏防范意识?
安全问题确实已成为网络银行发展过程中的一个聚焦。
形形色色的网银安全问题
网络银行,又称网上银行或在线银行,是指银行以自己的计算机系统为主体,以单位和个人的计算机为入网操作终端,借助互联网技术,通过网络向客户提供
银行服务的虚拟银行柜台。
简单地说,网络银行就是互联网上的虚拟银行柜台,它把传统银行的业务“搬到”网上,在网络上实现银行的业务操作。
在西方发达国家,网络银行业务一般分为三类,即信息服务、客户交流服务和银行交易服务。
信息服务是银行通过互联网向客户提供产品和服务。
客户交流服务包括电子邮件、帐户查询、贷款申请等。
银行交易服务包括个人业务和公司业务,前者包括转帐、汇款、代缴费用、按揭贷款、证券买卖、外汇买卖等;后者包括结算、信贷、投资等。
银行交易服务是网络银行的主体业务。
网络银行的特点是客户只要拥有帐号和密码,便能在世界各地通过互联网,进入网络银行处理交易。
与传统银行业务相比,网络银行的优势体现在,不仅能够大大降低银行的经营成本,还有利于扩大客户群,交叉销售产品,吸引和保留优质客户。
由于客户采用的是公共浏览器软件和公共网络资源,节省了银行对客户端的软、硬件开发和维护费用。
网络银行的无时空限制的特点,打破了传统业务受地域和时间的限制,能在任何时候、任何地方为客户提供金融服务;并且在整合各类交叉销售产品信息的基础上,实现金融创新,为客户提供更具个性化的服务。
网络银行发展的模式有两种,一是完全依赖于互联网的无形的电子银行,也叫“虚拟银行”;另一种是在现有的传统银行的基础上,利用互联网开展传统的银行业务交易服务。
因此,事实上,我国还没有出现真正意义上的网络银行,也就是“虚拟银行”,国内现在的网络银行基本都属于第二种模式。
对于银行来讲,历来是“信用第一”。
网络银行既然是互联网的产物,互联网所带来的一切安全隐患,自然会波及网络银行,影响其信用。
因此,网络银行的安全问题不仅是客户最担心的事情,也为各传统银行所关注和重视。
网络银行面临的安全隐患除了来自数据传输风险、应用系统设计的缺陷和计算机病毒的攻击三个方面外,利用网络银行进行欺诈的行为是当前危害最大、影响最恶劣的一个安全问题。
这些欺诈手段包括假冒银行网站、电子邮件欺诈和网上交易陷阱等。
假冒银行网站具有很强的隐蔽性,其域名通常和真实银行的域名相差一个字母或数字,主页则与真实银行的非常相似。
欺诈邮件是提供一个与银行或购物网站极为相似的链接,收到此类邮件的用户一旦点击这个链接,紧接着页面会提示用户继续输入自己的帐户信息;如果用户填写了此类信息,这些信息将最终落入诈骗者手中。
而网上交易陷阱则是,一些不知名的购物网站通常会打出超低价商品等信息,待用户点击付款链接时就将用户的银行资料骗取出去。
面对发生在网络银行上形形色色的安全问题,各家银行的反映如何?
它们都采取了哪些相应的措施?
银行篇:
该出手时就出手
8月份,国内14家商业银行与中国金融认证中心(CFCA)联合推出“205放心安全用网银”的活动。
银行界
与第三方安全认证机构联手行动,为广大消费者提供了一次了解网上银行和信息安全知识的机会。
在这14家银行中,中国工商银行于20年推出了网上银行。
通过采用国际先进的技术安全措施和严格的风险控制手段,工行建立了一整套严密的网上银行技术与制度体系,确保了网上银行安全的运行。
中国工商银行电子银行部副处长尚阳向记者介绍说,利用网上银行进行欺诈行为,骗取客户资金,目前主
要有四种类型:
一是不法分子通过电子邮件冒充知名公司,特别是冒充银行,以系统升级等名义诱骗不知情的用户点击进入假网站,并要求他们同时输入自己的账号、网上银行登录密码、支付密码等敏感信息。
二是不法分子利用网络聊天,以您的身份低价兜售网络游戏装备、数字卡等商品,诱骗用户登录犯罪嫌疑人提供的假网站地址,输入银行账号、登录密码和支付密码。
三是不法分子利用一些人喜欢下载、打开一些来路不明的程序、游戏、邮件等不良上网习惯,有可能通过这些程序、邮件等将木马病毒置入客户的计算机内,一旦客户利用这种“中毒”的计算机登录网上银行,客户的账号和密码就有可能被不法分子窃取。
例如,人们在网吧等公共电脑上网时,网吧电脑内有可能预先埋伏木马程序,账号、密码等敏感信息。
四是不法分子利用人们怕麻烦而将密码设置得过于简单的心理,通过试探等方式可能猜测出密码。
所以,为了保证信息和资金的安全,我们不仅需要具备辨识网络诈骗的能力,更需要养成良好的网上银行使用习惯。
当然,如果用户申请了客户证书,就可以有效防范目前常见的各种网络犯罪,确保用户资金安全无忧。
工商银行网上银行系统的安全保障是多层的,包括网上银行技术安全和业务安全,二者共同构成了一个完备的网上银行安全体系。
从技术安全的层面上,网上银行的技术安全包括网络安全和交易安全两个方面。
网络安全确保工行网站的安全可靠,交易安全确保客户通过网上银行进行交易的资金安全。
其中,网络安全涉及系统安全、网络运行安全等。
系统安全实际上指的是主机和服务器的安全,主要包括反病毒、系统安全检测、入侵检测(监控)和审计分析;网络运行安全就是指要具备必须的针对突发事件的应急措施,如数据的备份和恢复等等。
工商银行为保障网上银行的网络安全性,采取了一系列措施,包括:
在互联网与网上银行服务器之间设置第一道防火墙,在门户网站服务器和工行内部网络(应用服务器)之间设置第二道防火墙。
第二道防火墙与入口的第一道防火墙采用的是不同厂商的产品,设置不同的安全策略,使黑客即使攻破第一道防火墙,也无法轻易攻破第二道防火墙而进入内部网络,等等。
在确保网络安全的同时,工行网上银行还采取了一系列确保网上交易安全的措施,包括采用中国金融认证中心(CFCA)提供的、目前最严密的1024位证书认证和128位SSL加密的公钥证书安全体系等等。
根据客户对方便性和安全级别要求的不同,工行将客户分为无证书客户和证书客户两大类。
没有申请证书的客户要进入网上银行,首先要验证客户的账号(或自己设立的登录ID)和登录密码,对外支付还必须验证支付密码。
此外,通过增加密码难度(必须是6—30位数字与字母的组合)、设置虚拟“e”卡(专门用于网上购物)和每日支付最高限额等一系列方式,最大限度地保证客户安全使用网上银行。
对于申请了证书的客户,工行USBKey客户证书是一个外形类似U盘的智能芯片,是网上银行的“身份证”和“安全钥匙”,也是目前安全级别最高的一种安全措施。
客户申请了这个证书后,网上所有涉及资金对外转移的操作,都必须通过这个客户证书才能完成,而此证书,仅客户自己保管和使用。
换句话说,账号、登录密码、支付密码、客
篇三:
银行卡信息安全
近来频频发生的客户银行卡被盗刷、客户身份外泄等事件令监管层十分关注。
昨日,银监会发布《商业银行信息科技风险管理指引》(以下简称《指引》)。
该《指引》特别强调,商业银行应严防客户信息外泄,同时应对有可能造成客户信息外泄的ATM机、POS机等终端用户设备进行全面的安全检查。
本次《指引》将替代20年银监会曾下发的《银行业金融机构信息系统风险管理指引》。
新《指引》的最大亮点是,银监会将监管目标直接锁定为商业银行。
《指引》强调,从保护广大储户利益出发,要求商业银行在信息系统开发、测试和维护,以及服务外包过程中加强对客户信息的保护,防止敏感信息泄露,对业务连续性管理也加以规范,保障客户数据安全和服务连续。
对此,银监会相关负责人透露,对敏感信息保护要求的提出,特别是对外包服务环节信息保护的要求,将促使商业银行进一步加强客户信息保护,为广大储户提供更加安全的服务。
对于有可能直接导致银行客户信息外泄的终端设备,《指引》提出,商业银行应配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、柜员终端、自动柜员机(ATM)、存折打印机、读卡器、销售终端(POS)和个人数字助理(PDA)等。
今年以来,很多地区出现了客户银行卡信息泄露、银行卡遭遇盗刷的情况。
据报道,一些银行卡使用者虽然“卡不离身”,但卡内信息仍被不法之徒复制,从而造成客户资金损失。
另有不少人士反映,自己在银行办理信用卡之后,常能收到各类推销电话,而银行作为客户敏感信息的第一接收者,很难撇清自身的权责。
此外,银监会也注意到银行内部的信息风险。
《指引》强调,银行应设立首席信息官,对内部信息数据进行统筹管理;同时,银行内部用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,对于试图破解其他领域访问密码的内部用户,银行应对其进行及时调查;另外,商业银行应对所有员工违反安全规定的行为采取零容忍政策。
“在银行电子化、网络化和信息化进程提速的背景下,敏感数据泄露将给银行带来法律风险和声誉风险。
”对此,中央财经大学中国银行业研究中心主任郭田勇表示。
他认为,信息安全性对银行业来说愈发重要,加强对客户信息安全风险防控,以及首席信息官的设立更是及时、必要的。
荷兰银行在中国爆出20万客户存款被盗,广发银行的业务员把客户的信息资料卖给深发展,电信运营商客户资料泄露引发今年3·15一场集体对山东移动的声讨?
?
触目惊心的电信、金融和企业机密信息外泄事件,给企业安全拉响了警钟。
企业安全隐患已经从单纯的病毒入侵发展到针对企业数据和信息的攻击,“大约有80的企
业其实都发生过数据泄露事件,而这些泄密事件中,绝大部分又都是内部泄密。
”赛门铁克大中国区总裁吴锡源向记者介绍,几年前,病毒和黑客是企业安全的最大威胁,如今数据信息的丢失和被窃已成为企业面临的最大安全威胁。
“从今年3·15之后,各地移动,商业银行都在积极上马防数据丢失系统,成了企业安全支出里增长比较快的。
”
企业机密信息为何频频泄露?
个人电脑成“肉鸡”,可能你的私密信像陈冠希“艳照门”一样被传遍网络,或者像央视名嘴马斌那样因其不雅照被人用“狙击手控制软件”窃取并被敲诈?
?
而企业的信息系统一旦成为“肉鸡”或者存在漏洞,其泄密带来的影响将更大,极有可能引发一场“大地震”,甚至让企业遭受灭顶之灾。
赛门铁克大中国区总裁吴锡源称,企业信息泄密主要分为两类:
一种是客户资料泄密,另一种是企业核心资料泄密。
企业核心资料(如生产、销售数据,技术专利等)则关系到企业的正常生产、经营,关系到企业的竞争力。
此前,鸿海集团郭台铭控告比亚迪从鸿海挖墙脚,而跳槽者涉嫌将鸿海技术“拿”到了比亚迪,使得比亚迪在手机代工领域业务快速发展,对鸿海构成巨大威胁。
而今年闹得沸沸扬扬的力拓“间谍门”事件中,就出现了中国钢铁企业的生产、经营数据被“胡士泰”们轻易拿到的现象,从而让中方在铁矿石谈判中处处陷于被动局面。
据相关数据,在国外发达市场,企业机密信息外泄,大概每一笔数据丢失对企业造成的影响会达到670万美金(包括直接损失和间接损失)。
防“内鬼”比“外鬼”重要得多
“现在企业安全防护的重心应该发生变化,来自病毒的危害给企业造成的损失是显性的,可以量化的,而数据泄密造成的损失则是无法估量的。
‘80的企业信息泄露事件都是由内部员工造成的,外部黑客攻击不超过20.’”赛门铁克大中国区总裁吴锡源认为,保护企业核心机密,防“内鬼”要远远比防“外鬼”重要得多。
在广发行“泄密案”中,也是业务员把客户信息资料卖给深发展。
证监会近段时间严打“老鼠仓”,也发现银行工作人员挪用客户资金到股市里赚一把,然后再把本金还回去的案例。
“金融行业其实相比其他行业在信息安全的硬件建设上是最成熟的。
像这类企业,更多是由于内部员工或者合作伙伴引起的数据丢失。
”上海师范大学金融工程研究中心主任孙茂辉表示:
“荷银此案的爆发,对整个银行业有一定的警示作用。
目前,银行多专注于防控来自外部的风险,而内部的人员管理却流于形式。
”
此外,由于企业对机密信息管理不善,也存在善意员工在不知情的情况下“泄密”。
U盘、邮件、笔记本电脑、即时通讯工具都成为泄密的渠道。
CIO与“内鬼”较量升级
一些企业现有的安全防范措施,例如防火墙或入侵检测防御系统,主要是针对外部攻击,而对于来自内部的正常数据流都是完全放行的。
这让企业花费大量心血的安全防范措施显得非常可笑,也让企业内部机密数据的丢失变得只要点击一下鼠标这么简单。
如何防范“内鬼”
泄密,已经成为CIO最为头疼的难题之一。
一个案例生动地说明了“内鬼”外泄机密信息给企业带来的麻烦。
25岁青年徐某遭银行解聘后不满银行所给的经济补偿,以将银行客户资料曝光相威胁欲敲诈800万元钱款。
后来警方将徐某抓获,徐某被判处有期徒刑4年。
徐某是被抓获了,但徐某被解雇时是如何轻易将银行客户资料带走的?
显然是银行的信息安全防范措施不到位,也就是CIO的工作没到位。
因该事件,该行CIO受到处分。
然而随着存储数据每年增长50,想要保护所有的信息,需要付出大量的成本,而且效率极低。
因此,企业需要保护的是关键信息,从源代码到用户信息及员工数据。
关键在于平衡风险与机遇、在于保护数据,无论数据是在静态还是在动态之中。
赛门铁克技术工程师李文纲指出,在进行安全管理前,企业首先需要回答几个简单却十分重要的问题:
一是企业拥有哪些敏感信息?
二是这些敏感信息存储在哪里?
三是这些信息在网络和端点上是如何使用的?
一旦深入了解信息如何被使用,企业便能够开始设置策略来降低风险。
吴锡源表示,企业机密信息外泄,一般都有征兆可循:
首先是企业IT基础建设不到位,造成安全事故。
其次就是公司本身没有一个很好的IT管理机制。
第三,对这些机密信息没有做好保护,才会发生这些被盗、被偷,被植入木马。
此外,这些机密信息没有好好地被管理。
“抓住这些征兆,采取针对性措施,90的信息安全事故都可以主动防范。
”
视点
企业机密信息外泄四部曲
企业机密信息外泄,几乎都要经历四大步骤,就是入侵Incur-sion、探索发现Discovery、获取Capture和泄露Efiltration.
第一步:
入侵。
通过木马、恶意软件等方式,侵入客户端系统。
207年到2021年,垃圾邮件增长了192,因为很多垃圾邮件含木马程序、恶毒软件,用户不小心打开以后,基本上它就会进入到里面。
2021年有75000个很活跃的僵尸或者是木马在网络间传播,说明犯罪分子的手段是先入侵,先入侵用户的电脑。
第二步:
探索发现。
就是到用户的系统里面“刺探军情”,对用户信息进行全面摸底。
第三步:
获取。
探索完了之后就是捕捉机密信息。
2021年全球有两亿七千五百万的记录被盗,超过204年到207年的总和。
相信2021年会更多。
信用卡资料成重灾区,损失加起来超过6000亿美金。
第四步:
泄露。
盗取到机密信息后,想尽各种办法流出去,没有流出去的信息对窃密者来说是没有用的。