第一篇：對(duì)電子銀行安全與風(fēng)險(xiǎn)防范的思考

弱技術(shù)配強(qiáng)管理的電子銀行安全效果，與強(qiáng)技術(shù)配弱管理的安全效果是一樣令人擔(dān)憂的。銀行要通過強(qiáng)技術(shù)強(qiáng)管理的組合來(lái)保證電子銀行的安全。

由于方便、快捷，電子銀行越來(lái)越為銀行和客戶所青睞，其業(yè)務(wù)量在銀行業(yè)務(wù)中的占比逐漸增加。與此同時(shí)，電子銀行的安全問題也引起了越來(lái)越多的關(guān)注。近兩年，網(wǎng)上銀行發(fā)生的安全事件增加了人們對(duì)

電子銀行安全性的擔(dān)心，英國(guó)破獲黑客盜劃2.2億英鎊的新聞，讓客戶疑慮自己的財(cái)富是否會(huì)在眨眼間化為烏有，所以不少人選擇了小規(guī)模、低頻率使用網(wǎng)上銀行的下策。而對(duì)于銀行來(lái)說(shuō)，安全事件給銀行造成聲譽(yù)和經(jīng)濟(jì)上的重大損失，而且今后還可能面對(duì)賠償訴訟。如何保證電子銀行的安全、有效防范風(fēng)險(xiǎn)成為各銀行的頭等大事。

電子銀行的安全問題千頭萬(wàn)緒，要分析清楚，還得從電子銀行的系統(tǒng)架構(gòu)和風(fēng)險(xiǎn)點(diǎn)說(shuō)起（見圖1）。

圖1　電子銀行技術(shù)實(shí)現(xiàn)的網(wǎng)絡(luò)原理

電子銀行風(fēng)險(xiǎn)點(diǎn)

操作系統(tǒng)的安全

操作系統(tǒng)安全的主要考慮有：（1）連續(xù)無(wú)故障運(yùn)行天數(shù)。（2）超級(jí)用戶指令保管與使用。操作系統(tǒng)的口令是系統(tǒng)安全的命門，一旦超級(jí)用戶指令被人知曉，該知情者就可以遠(yuǎn)程控制計(jì)算機(jī)，進(jìn)而修改數(shù)據(jù)庫(kù)用戶的密碼，從而無(wú)障礙地進(jìn)入數(shù)據(jù)庫(kù)系統(tǒng)進(jìn)行任何操作。（3）壓力指標(biāo)。操作系統(tǒng)提供的緩沖空間、進(jìn)程數(shù)等是數(shù)據(jù)庫(kù)、應(yīng)用軟件運(yùn)行的基礎(chǔ)參數(shù)，需要根據(jù)運(yùn)行情況進(jìn)行參數(shù)最優(yōu)化配置。通常操作系統(tǒng)要與應(yīng)用系統(tǒng)一起進(jìn)行壓力測(cè)試，以便測(cè)出業(yè)務(wù)量等極限值。針對(duì)極限值，把系統(tǒng)裝備相應(yīng)的預(yù)防、處理、應(yīng)急機(jī)制，如自動(dòng)或人為分流流量、報(bào)警等，避免系統(tǒng)癱瘓。

數(shù)據(jù)庫(kù)的安全

數(shù)據(jù)庫(kù)安全的主要考慮有：（1）操作系統(tǒng)登錄時(shí)的用戶名與口令如果泄密將危及整個(gè)數(shù)據(jù)庫(kù)的安全，數(shù)據(jù)的修改將無(wú)法控制。（2）數(shù)據(jù)庫(kù)的用戶名和密碼不要簡(jiǎn)單得讓人猜出來(lái)，不少系統(tǒng)就使用用戶名sa和口令sa，這樣做不但使數(shù)據(jù)庫(kù)安全受威脅，操作系統(tǒng)的安全也受到威脅。因?yàn)榭梢酝ㄟ^一種數(shù)據(jù)庫(kù)遠(yuǎn)程控制機(jī)制控制遠(yuǎn)程操作系統(tǒng)。（3）數(shù)據(jù)庫(kù)操作審計(jì)，將運(yùn)行主機(jī)上所有數(shù)據(jù)庫(kù)操作及數(shù)據(jù)變更寫入日志。這個(gè)日志將迅速膨脹，需要專門的日志管理員進(jìn)行外部備份和清理，否則系統(tǒng)硬盤過一段時(shí)間就會(huì)漲滿。但是，中小銀行可能會(huì)屏蔽數(shù)據(jù)庫(kù)審計(jì)功能，以減少日志清理和管理的麻煩。這樣，數(shù)據(jù)庫(kù)安全失去了重要的、可跟蹤恢復(fù)的操作監(jiān)視手段。（4）數(shù)據(jù)同步、一致性問題。數(shù)據(jù)操作是以事件驅(qū)動(dòng)的，事件沒有完成，則數(shù)據(jù)庫(kù)將自動(dòng)恢復(fù)到事件前狀態(tài)。軟件編程要注意應(yīng)用數(shù)據(jù)表之間的邏輯一致性，否則，數(shù)據(jù)挖掘就得浪費(fèi)大量的時(shí)間清理無(wú)效數(shù)據(jù)。

核心系統(tǒng)的安全

第二代核心系統(tǒng)主要有信貸、柜臺(tái)、賬務(wù)、現(xiàn)金管理等，第三代核心業(yè)務(wù)系統(tǒng)模型則包括了客戶關(guān)系管理、風(fēng)險(xiǎn)管理、市場(chǎng)營(yíng)銷分析等模塊。第四代核心系統(tǒng)正在建設(shè)當(dāng)中，思路更加清晰，更加強(qiáng)調(diào)數(shù)據(jù)共享和soa架構(gòu)，更好地進(jìn)行業(yè)務(wù)流程整合與信息管理整合。

核心系統(tǒng)安全的考慮包括：（1）源程序是否有漏洞、后門和錯(cuò)誤代碼。由于當(dāng)代銀行軟件主要采用的是黑匣子測(cè)試，而不是白匣子測(cè)試，因而大量“死角”無(wú)法發(fā)現(xiàn)，隱藏的風(fēng)險(xiǎn)是較大的。2007年底，一客戶在廣州市某銀行atm機(jī)上取現(xiàn)金1000元，而賬戶卻只扣一元，客戶因取現(xiàn)17.5萬(wàn)元被判重刑而引起爭(zhēng)議。其實(shí)在這個(gè)案件中，銀行過錯(cuò)在先，因?yàn)殂y行軟件測(cè)試沒有發(fā)現(xiàn)程序錯(cuò)誤。（2）系統(tǒng)壓力測(cè)試。如某銀行的基金理財(cái)平臺(tái)屬于核心系統(tǒng)，由于股市行情的井噴，致使2007年8月的一天網(wǎng)上銀行占用主機(jī)資源過多，主機(jī)down機(jī)幾個(gè)小時(shí)。這種現(xiàn)象斷斷續(xù)續(xù)持續(xù)約一個(gè)月時(shí)間，銀行其他業(yè)務(wù)也受到影響。事后，該銀行制定了應(yīng)對(duì)策略，讓分行分流部門網(wǎng)上理財(cái)業(yè)務(wù)。分行業(yè)務(wù)數(shù)據(jù)通過電信、網(wǎng)通專網(wǎng)與總行相連，避免流量都擠在公網(wǎng)入口的局面。高峰期，專網(wǎng)的傳輸速度比公網(wǎng)快，速度有保證。另外，在分行增設(shè)業(yè)務(wù)流控制界面，一旦全國(guó)行情井噴，則由分行控制流量，避免由于理財(cái)產(chǎn)品等邊緣業(yè)務(wù)導(dǎo)致整個(gè)核心系統(tǒng)癱瘓的惡性事件。（3）核心系統(tǒng)的管理員用戶名和密碼。（4）核心系統(tǒng)的易維護(hù)性、易擴(kuò)展性。如果元數(shù)據(jù)標(biāo)準(zhǔn)等標(biāo)準(zhǔn)化建設(shè)達(dá)到了一定的水平，則外圍系統(tǒng)容易擴(kuò)展核心系統(tǒng)的功能，共享核心系統(tǒng)的數(shù)據(jù)。同時(shí)，核心系統(tǒng)如果獲得越多的外圍子系統(tǒng)的數(shù)據(jù)，則越可能做數(shù)據(jù)挖掘等建模工作，而風(fēng)險(xiǎn)管理、管理決策、客戶分析等都離不開數(shù)據(jù)挖掘和商務(wù)智能。（5）版本升級(jí)、新產(chǎn)品上線、定期系統(tǒng)在線清理、操作運(yùn)行主機(jī)等操作行為的風(fēng)險(xiǎn)控制。在核心系統(tǒng)down機(jī)的嚴(yán)重故障中，部分原因恰是系統(tǒng)切換、系統(tǒng)升級(jí)或新產(chǎn)品上線欠周全造成的。操作運(yùn)行主機(jī)要有一定的程序要求，要求雙人共同操作，且不可進(jìn)行試驗(yàn)性操作。試驗(yàn)性操作要在備份機(jī)器上進(jìn)行，確認(rèn)無(wú)誤后才可在運(yùn)行主機(jī)上

操作。另外，主機(jī)長(zhǎng)年累月地運(yùn)行，不可避免地會(huì)出現(xiàn)內(nèi)存、進(jìn)程等方面的問題，需要人為適當(dāng)干預(yù)。隨著硬件功能越來(lái)越強(qiáng)大，以及soa設(shè)計(jì)理念和設(shè)計(jì)能力的普及，核心系統(tǒng)的能力范圍會(huì)逐漸擴(kuò)大，安全性也越來(lái)越有保證。（6）數(shù)據(jù)備份與系統(tǒng)備份。大銀行都有南北兩個(gè)異地?cái)?shù)據(jù)中心，每個(gè)數(shù)據(jù)中心有本地同步備份，共有四套系統(tǒng)。目前，監(jiān)管部門強(qiáng)調(diào)在數(shù)據(jù)中心災(zāi)

備就屬于核心系統(tǒng)安全的重要范疇。

路由器、入侵檢測(cè)、防火墻的安全

路由器提供了網(wǎng)絡(luò)連接的路徑。入侵檢測(cè)可以對(duì)非法訪問內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行檢測(cè)并預(yù)警。防火墻是通過對(duì)網(wǎng)絡(luò)層傳輸?shù)臄?shù)據(jù)包中的目標(biāo)地址進(jìn)行檢測(cè)，控制數(shù)據(jù)包的流向，從而避免對(duì)核心系統(tǒng)的非正常訪問。如果路由器的端口密碼被人攻破，則黑客可以通過直接添加路由，使得外來(lái)的訪問變得合法。這時(shí)，獲得的內(nèi)網(wǎng)訪問能力是十分危險(xiǎn)的。

區(qū)分外網(wǎng)與內(nèi)網(wǎng)是重要的安全方法。一般對(duì)外網(wǎng)的防護(hù)要嚴(yán)格些，而對(duì)內(nèi)網(wǎng)的防護(hù)則簡(jiǎn)單得多。某證券公司嚴(yán)禁客戶在內(nèi)網(wǎng)上炒股，就是擔(dān)心客戶反復(fù)試驗(yàn)出總部主機(jī)的密碼。因?yàn)閮?nèi)網(wǎng)沒有設(shè)置相應(yīng)的安全防護(hù)措施。

網(wǎng)上銀行包括個(gè)人網(wǎng)銀和企業(yè)網(wǎng)銀。由于個(gè)人網(wǎng)上銀行功能日益豐富，如匯款、基金買賣、外匯買賣、黃金買賣、銀證通、代繳費(fèi)、網(wǎng)上商家等，數(shù)量龐大的客戶群的集中操作給核心系統(tǒng)造成了巨大壓力。

應(yīng)用軟件服務(wù)器

應(yīng)用軟件服務(wù)器處在客戶端和核心系統(tǒng)之間，解決渠道的多變與核心系統(tǒng)穩(wěn)定之間的關(guān)系。花旗銀行的產(chǎn)品達(dá)6000個(gè)左右，這種方式明顯保持了核心系統(tǒng)的穩(wěn)定。我國(guó)銀行核心系統(tǒng)每五六年重新設(shè)計(jì)一次，達(dá)到核心系統(tǒng)穩(wěn)定性與靈活性的統(tǒng)一，每過五六年銀行的硬件就要更新一次。

應(yīng)用服務(wù)器通過數(shù)據(jù)接口與核心系統(tǒng)相連，也需要有相應(yīng)審計(jì)措施跟蹤人為操作。否則，由于超級(jí)權(quán)限造成的對(duì)客戶數(shù)據(jù)的直接、非法修改，會(huì)危及系統(tǒng)的安全。黑客也可以攻擊應(yīng)用服務(wù)系統(tǒng)，從而修改重要客戶資料。內(nèi)網(wǎng)用戶也可以攻破應(yīng)用服務(wù)器的關(guān)鍵密碼，以獲得超級(jí)權(quán)限。

應(yīng)用服務(wù)器一般采用雙備份、雙線路方式，一旦由于硬件損壞等原因造成系統(tǒng)故障，可以迅速切換到正常系統(tǒng)。

網(wǎng)絡(luò)傳輸?shù)陌踩?/p>

現(xiàn)有網(wǎng)絡(luò)安全技術(shù)不少是用來(lái)解決網(wǎng)絡(luò)傳輸數(shù)據(jù)安全問題的，如數(shù)據(jù)加密、數(shù)字認(rèn)證、安全標(biāo)準(zhǔn)。數(shù)據(jù)加密主要有對(duì)稱加密算法des和非對(duì)稱加密算法rsa。從理論上說(shuō)，有些現(xiàn)行算法已經(jīng)被數(shù)學(xué)家攻破，能夠在現(xiàn)有條件下解密，所以隨著計(jì)算機(jī)芯片速度的不斷提升，有些算法需要淘汰。

數(shù)字認(rèn)證技術(shù)，包括數(shù)字簽名、數(shù)字證書、生物特征識(shí)別等，正面很難攻破。但是每一種技術(shù)都存在軟肋，通常這些認(rèn)證證書的保管等是軟肋。

安全標(biāo)準(zhǔn)有ssl、set。這些標(biāo)準(zhǔn)保證了交易的不可否認(rèn)性，以及網(wǎng)絡(luò)傳輸數(shù)據(jù)的不可修改性。

客戶端的安全

終端用戶的安全是最脆弱的，攻破的成本也最低。主要問題有：

數(shù)字證書文件被病毒竊走。這種軟證書比硬證書的安全性低，存在硬盤和外設(shè)中，病毒可以將證書文件通過網(wǎng)絡(luò)傳給主人。數(shù)字證書的弱點(diǎn)在于證書的保管，如硬件證書被挪用，軟證書被復(fù)制。

網(wǎng)銀密碼被木馬程序竊走。網(wǎng)銀大盜病毒可以竊取客戶在鍵盤上輸入的賬號(hào)和密碼，并通過郵件發(fā)給病毒的主人。英國(guó)最近破獲的金額達(dá)2.2億英鎊的國(guó)際大案，就是黑客知道客戶的賬號(hào)和密碼后，轉(zhuǎn)出客戶資金。對(duì)付這類病毒的方法除殺毒、系統(tǒng)打補(bǔ)丁外，可以采用軟鍵盤，即在屏幕上出現(xiàn)鍵盤界面，用鼠標(biāo)點(diǎn)擊屏幕上的相應(yīng)鍵符來(lái)代替手工鍵盤輸入。用這種方法，病毒無(wú)法捕捉鍵盤輸入信息。

信用卡賬戶和密碼被竊取?，F(xiàn)在信用卡采用的是磁條技術(shù)，極易仿造。由于信用卡都是標(biāo)準(zhǔn)化的，其磁條信息的格式是已知的。如果知道了卡號(hào)，就可以使用專用的寫卡器，寫入卡號(hào)，偽造出一張信用卡。知道了密碼，該信用卡可以在取款機(jī)上取款。要想從根本上解決這個(gè)問題，只有采用更新的emv2000技術(shù)。這是一種多操作系統(tǒng)的ic卡技術(shù)，攜帶不可復(fù)制的加密區(qū)，保證ic卡的不可復(fù)制。但是，從目前的磁條信用卡標(biāo)準(zhǔn)向emv2000智能卡標(biāo)準(zhǔn)過渡，成本很高。盡管我國(guó)監(jiān)管機(jī)構(gòu)積極推進(jìn)信用卡向emv2000標(biāo)準(zhǔn)遷移，但實(shí)際進(jìn)展不大。

pos系統(tǒng)。如果設(shè)法通過客戶輸入密碼的操作來(lái)獲得客戶的密碼，則客戶資金就危險(xiǎn)了。

客戶對(duì)賬號(hào)、密碼、證書的管理是網(wǎng)銀、手機(jī)銀行、atm機(jī)、pos系統(tǒng)等薄弱之處，此外還有釣魚網(wǎng)站法，如騙子網(wǎng)站004km.cn，其頁(yè)面通常做得與實(shí)際網(wǎng)站004km.cn的頁(yè)面幾乎完全相同，以欺騙信用卡客戶輸入用戶和密碼。他們的主要作案手法，是篡改公網(wǎng)上指向?qū)嶋H銀行的鏈接地址，指向釣魚網(wǎng)站地址；或者在bbs論壇等網(wǎng)頁(yè)空間設(shè)置釣餌，文字上看是某某銀行，實(shí)際鏈接地址卻是釣魚網(wǎng)站地址。由于釣魚網(wǎng)站域名與真實(shí)網(wǎng)址域名相似，沒有警惕性的人是注意不到這些細(xì)微差別的?？蛻粢坏┦茯_輸入賬戶和密碼，賬號(hào)和密碼就被竊取了。

客戶端的安全方面，銀行有義務(wù)教育、協(xié)助客戶保持賬號(hào)、密碼、證書的安全。建議建立反釣魚網(wǎng)站法律、組織、技術(shù)措施，動(dòng)態(tài)跟蹤釣魚網(wǎng)站?？蛻羰褂煤?jiǎn)單但可靠的安全方法，如輸入網(wǎng)址、使用動(dòng)態(tài)口令卡、取款短信提醒服務(wù)、支付的計(jì)算機(jī)綁定等。對(duì)于中小銀行的企業(yè)銀行業(yè)務(wù)來(lái)說(shuō)，生物指紋識(shí)別是一種可靠的和使用簡(jiǎn)單的方法。但這種方法對(duì)大銀行不適用，因?yàn)槟壳爸讣y識(shí)別的技術(shù)還不很成熟，采樣多，識(shí)別時(shí)間長(zhǎng)。對(duì)于大銀行來(lái)說(shuō)，幾億客戶量的指紋讀寫是系統(tǒng)繁重的負(fù)擔(dān)。

電子銀行安全不止包括技術(shù)安全，還包括信息安全。敏感數(shù)據(jù)被刪除、竊取、篡改、非法訪問，用戶身份被冒充，交易被抵賴，機(jī)密信息被公開等等，都是信息安全。我國(guó)還缺少對(duì)公開客戶信息方面的法律懲戒措施，如果與國(guó)際慣例接軌，則要頒布隱私保護(hù)法等相應(yīng)法律。

風(fēng)險(xiǎn)防范對(duì)策

銀行轉(zhuǎn)變觀念，主動(dòng)承擔(dān)起電子銀行各個(gè)環(huán)節(jié)的安全義務(wù)。以前我國(guó)銀行在客戶資金被盜問題上采取了拒絕賠償?shù)牧?chǎng)，使銀行聲譽(yù)到影響。所以，銀行不能采取駝鳥政策，應(yīng)該主動(dòng)采取措施保證電子銀行的安全，而不能將責(zé)任全部推給終端客戶。

技術(shù)和管理并重。弱技術(shù)配強(qiáng)管理的電子銀行安全效果，與強(qiáng)技術(shù)配弱管理的安全效果是一樣的。銀行要通過強(qiáng)技術(shù)強(qiáng)管理的組合來(lái)保證電子銀行的安全。

所有小型機(jī)、大型機(jī)的登錄密碼，數(shù)據(jù)庫(kù)登錄密碼都要復(fù)雜得讓人記不住?？梢圆捎秒p人或多人復(fù)合密碼的形式，各人記一段，分段保密。但是也要避免密碼保管過于復(fù)雜，以免導(dǎo)致密碼遺失。要加強(qiáng)對(duì)密碼保管方式的研究，可以適用保密級(jí)別的方法。當(dāng)然，再怎么保密，還得基于對(duì)人的信任。如果對(duì)所有人都不信任，那么密碼保管成本將相當(dāng)高，使用起來(lái)也相當(dāng)麻煩。

運(yùn)行主機(jī)上的所有操作都要有可追蹤的記錄。無(wú)論是操作系統(tǒng)操作，還是數(shù)據(jù)庫(kù)操作，都要由系統(tǒng)自動(dòng)記載。對(duì)于應(yīng)用軟件的操作，在數(shù)據(jù)表中要有相應(yīng)的操作記錄，供操作風(fēng)險(xiǎn)審計(jì)員使用。一旦發(fā)生重大問題，可以依靠這些記錄來(lái)確定責(zé)任人和責(zé)任原因。否則，責(zé)任無(wú)法定位的系統(tǒng)從根本上就不是安全的系統(tǒng)，是十分可怕的。

運(yùn)行機(jī)雙人操作、版本升級(jí)管理、備份等的管理制度。運(yùn)行機(jī)雙人操作，避免操作人因?yàn)榍榫w激動(dòng)和僥幸原因而人為導(dǎo)致重大操作失誤。各銀行在版本升級(jí)管理方面是交了學(xué)費(fèi)才總結(jié)出一套操作規(guī)程經(jīng)驗(yàn)的。備份有災(zāi)備、備份數(shù)據(jù)中心、系統(tǒng)熱備份等不同級(jí)別的方法和措施。

不斷就最新的安全技術(shù)進(jìn)行實(shí)驗(yàn)使用，跟蹤國(guó)際電子銀行安全技術(shù)，參與國(guó)際交流。災(zāi)備中心平時(shí)就是實(shí)驗(yàn)中心，可以就最新的安全技術(shù)進(jìn)行實(shí)驗(yàn)性使用。銀行對(duì)于軟硬件的使用，偏好于穩(wěn)定性好的技術(shù)系統(tǒng)，而不是技術(shù)最新的不穩(wěn)定技術(shù)。銀行通常要等新技術(shù)通過其他實(shí)際部門一段時(shí)間有效使用后，才大規(guī)模地使用。新技術(shù)有入侵檢測(cè)技術(shù)、防火墻技術(shù)、加密技術(shù)、反病毒技術(shù)、數(shù)字認(rèn)證技術(shù)、安全標(biāo)準(zhǔn)等等，銀行要加強(qiáng)對(duì)這些技術(shù)的弱點(diǎn)的研究和把握，以便分析電子銀行安全所處的態(tài)勢(shì)，并研究實(shí)際中發(fā)生的安全問題的原因，提出對(duì)策。矛與盾總是此消彼長(zhǎng)，任何一門技術(shù)總有破解的新方法。同樣，新技術(shù)被破解之后，更新的技術(shù)又會(huì)出現(xiàn)，而且風(fēng)險(xiǎn)防范的技術(shù)也相應(yīng)演化。對(duì)于安全態(tài)勢(shì)和技術(shù)的研究是目前我國(guó)銀行的弱點(diǎn)，需要建立相應(yīng)的合作機(jī)制。銀行要獨(dú)立、自主地關(guān)注電子銀行的安全問題，而不能完全依賴第三方安全公司。銀行要在電子銀行的安全領(lǐng)域有所作為，有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品和理念。

設(shè)置客戶端電子銀行安全保障崗位。銀行總行應(yīng)有相應(yīng)的崗位就目前客戶端的電子銀行的安全問題進(jìn)行調(diào)查、分析，提出對(duì)策，并反饋、主導(dǎo)建立電子銀行客戶端安全保障機(jī)制。安全既是技術(shù)又是管理，可以通過強(qiáng)化技術(shù)來(lái)改善安全管理的預(yù)見性、可控性，在保證整體安全效果的情況下，降低安全管理的難度和風(fēng)險(xiǎn)。

備份和應(yīng)急機(jī)制。在市場(chǎng)成熟技術(shù)條件下，投入越大，安全水平越高。但是，投入水平與安全水平并不成線性關(guān)系，而是非線性關(guān)系。當(dāng)安全要求達(dá)到閥值時(shí)，市場(chǎng)上沒有相應(yīng)的安全產(chǎn)品，此時(shí)需要進(jìn)行研發(fā)，或者為了把安全水平提高一點(diǎn)，需要幾倍的投入。在一套系統(tǒng)的運(yùn)行故障率是a的情況下，兩套系統(tǒng)熱備份運(yùn)行時(shí)的故障概率是a2。工行要保障系統(tǒng)運(yùn)行的正常率是99.99%，從概率學(xué)來(lái)說(shuō)，若兩套系統(tǒng)同行運(yùn)行，自動(dòng)切換，一套系統(tǒng)的故障率就能容忍達(dá)到1%的較高故障水平。

正是由于高安全的高成本，銀行應(yīng)該有計(jì)劃地加大對(duì)安全的研究性投入，包括安全產(chǎn)品、技術(shù)、標(biāo)準(zhǔn)的投入。從機(jī)會(huì)成本上說(shuō)，這是劃算的。電子銀行應(yīng)用的首要問題就是安全問題，銀行有義務(wù)在此領(lǐng)域保持領(lǐng)先地位。

絕對(duì)的安全是不存在的。所以，要建立應(yīng)急機(jī)制。應(yīng)急機(jī)制有技術(shù)應(yīng)急和管理應(yīng)急。筆者認(rèn)為，沒有必要建立千年蟲那種級(jí)別的應(yīng)急機(jī)制，成本太高，而可以建立中等級(jí)別的應(yīng)急機(jī)制，比如說(shuō)切換系統(tǒng)演練。對(duì)于異地備份系統(tǒng)來(lái)說(shuō)，由于數(shù)據(jù)不同步，系統(tǒng)切換就面臨著無(wú)從考證的數(shù)據(jù)包丟失問題。這將使銀行面臨復(fù)雜的舉證責(zé)任。如果是客戶取錢沒有入賬，客戶可能不會(huì)主動(dòng)找銀行退錢。但若是客戶的系統(tǒng)入賬沒有收到，而出賬已經(jīng)劃賬的情形，客戶必然要求銀行核實(shí)并糾正錯(cuò)誤。銀行可以考察賬戶的資金劃出流向，一般來(lái)說(shuō)是可以追蹤的，通過橫向不同賬戶和縱向不同時(shí)間的對(duì)賬，可以發(fā)現(xiàn)賬戶的真實(shí)改變情形。一套運(yùn)行系統(tǒng)，銀行基本上需要四套系統(tǒng)配套，本地備份一套，異地備份一套和異地的本地備份一套。這就是電子銀行安全的備份成本。

在銀證通、銀期通等系統(tǒng)中，常會(huì)出現(xiàn)單邊賬情況，如2007年第三方存管業(yè)務(wù)的高峰期時(shí)，銀行系統(tǒng)無(wú)法滿足證券交易系統(tǒng)的大量交易和實(shí)時(shí)性要求，反復(fù)出現(xiàn)單邊賬情形，雙方日終對(duì)賬要對(duì)到午夜十二點(diǎn)，有時(shí)甚至到凌晨三四點(diǎn)。

圖2　電子銀行安全投入與安全水平的關(guān)系

制定標(biāo)準(zhǔn)與法律，加強(qiáng)監(jiān)管。借鑒國(guó)外標(biāo)準(zhǔn)，修改完善現(xiàn)有電子銀行安全標(biāo)準(zhǔn)，包括安全建設(shè)、運(yùn)行管理、安全組織設(shè)置等。企業(yè)的軟件開發(fā)、安全達(dá)標(biāo)，以及監(jiān)管機(jī)構(gòu)的安全監(jiān)管都依據(jù)此標(biāo)準(zhǔn)，以此提高電子金融的安全水平。我們要做以下方面的工作：完善信息安全的行業(yè)規(guī)范與法規(guī)；系統(tǒng)安全評(píng)估；信息系統(tǒng)戰(zhàn)略規(guī)劃；系統(tǒng)和網(wǎng)絡(luò)安全；業(yè)務(wù)持續(xù)性經(jīng)營(yíng)計(jì)劃；外包業(yè)務(wù)監(jiān)控。不止安全標(biāo)準(zhǔn)，基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)、應(yīng)用標(biāo)準(zhǔn)等都會(huì)對(duì)電子銀行的安全產(chǎn)生影響。頒布《電子銀行安全法》，以便對(duì)電子銀行安全的義務(wù)與權(quán)利認(rèn)定、犯罪量刑等做出框架性的規(guī)定。業(yè)已生效的《電子合同法》、《電子簽名法》為電子銀行的發(fā)展奠定了基礎(chǔ)。加大對(duì)電子銀行犯罪的打擊力度，保護(hù)消費(fèi)者的權(quán)益，將是電子銀行再一次爆發(fā)式增長(zhǎng)的重要推動(dòng)力。短期內(nèi)，借鑒《薩班斯法案》加強(qiáng)對(duì)上市銀行的信息化監(jiān)管。

利用itil進(jìn)行信息技術(shù)基礎(chǔ)設(shè)施建設(shè)。作為銀行信息化的參考模型，可以指導(dǎo)包括網(wǎng)絡(luò)建設(shè)在內(nèi)的銀行基礎(chǔ)技術(shù)設(shè)施升級(jí)改造。軟硬件方面的基礎(chǔ)性投入如存貯系統(tǒng)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)管理監(jiān)控系統(tǒng)等，是必要的，而多條專網(wǎng)則保證了穩(wěn)定的帶寬。這些投入通常是很大的。對(duì)于那些中小銀行，可以探索外包方式。

加強(qiáng)對(duì)電子銀行開發(fā)、維護(hù)、呼叫中心、銀行業(yè)務(wù)、atm運(yùn)維等外包風(fēng)險(xiǎn)的管理，制定相應(yīng)的外包風(fēng)險(xiǎn)控制程序，并加強(qiáng)對(duì)金融服務(wù)提供商的監(jiān)管。對(duì)于銀行來(lái)說(shuō)，要制定外包的邊界，核心數(shù)據(jù)、關(guān)鍵系統(tǒng)等不能外包，銀行必須保持對(duì)電子金融的控制力。這方面要加強(qiáng)行業(yè)經(jīng)驗(yàn)交流。不同銀行在外包管理中確實(shí)積累了一些經(jīng)驗(yàn)，如某銀行軟件開發(fā)堅(jiān)持銀行開發(fā)人員與企業(yè)開發(fā)人員共同組成開發(fā)小組的模式，你中有我，我中有你，制約金融it公司對(duì)電子金融項(xiàng)目的實(shí)際控制能力。由于一部分技術(shù)掌握在銀行員工手中，金融it公司想把開發(fā)隊(duì)伍全部拉走，從而實(shí)現(xiàn)對(duì)產(chǎn)品的控制就變得不太現(xiàn)實(shí)了。經(jīng)驗(yàn)表明，如果電子金融產(chǎn)品由金融it公司全部負(fù)責(zé)設(shè)計(jì)開發(fā)，則銀行必然處于被動(dòng)地位。對(duì)外包的管理包括法律層面、技術(shù)層面和體制層面。銀行要與外包公司簽定保密協(xié)議，一旦發(fā)生泄密，金融it公司要承擔(dān)法律后果。

第二篇：電子銀行操作風(fēng)險(xiǎn)與防范

電子銀行操作風(fēng)險(xiǎn)與防范

一、內(nèi)部控制風(fēng)險(xiǎn)

風(fēng)險(xiǎn)點(diǎn)1：操作人員崗位配備沒有落實(shí)到位。

主要表現(xiàn)：一是網(wǎng)銀內(nèi)管系統(tǒng)錄入員、審核員與實(shí)際操作人員不符，崗位變動(dòng)后沒有及時(shí)更新系統(tǒng)操作員信息，仍使用原崗位人員用戶名；二是營(yíng)業(yè)網(wǎng)點(diǎn)人員變動(dòng)未及時(shí)辦理交接登記手續(xù)

風(fēng)險(xiǎn)提示：沒有按照崗位設(shè)臵要求配備操作人員，或操作人員配備流于形式，導(dǎo)致內(nèi)部制約環(huán)節(jié)難以落實(shí)到位，存在著內(nèi)部管理風(fēng)險(xiǎn)隱患。

防控措施：

1.各級(jí)會(huì)計(jì)管理部門應(yīng)設(shè)臵會(huì)計(jì)錄入崗、會(huì)計(jì)審核崗，負(fù)責(zé)業(yè)務(wù)參數(shù)設(shè)臵、機(jī)構(gòu)管理、柜員管理等工作；

2.各級(jí)電子銀行業(yè)務(wù)管理部門應(yīng)設(shè)臵業(yè)務(wù)管理崗、業(yè)務(wù)審核崗，負(fù)責(zé)留言管理、公告管理、業(yè)務(wù)統(tǒng)計(jì)等工作；

3.各營(yíng)業(yè)網(wǎng)點(diǎn)應(yīng)設(shè)臵業(yè)務(wù)錄入崗、業(yè)務(wù)審核崗，負(fù)責(zé)簽約、數(shù)字證書管理等業(yè)務(wù)操作。（企業(yè)網(wǎng)銀）

風(fēng)險(xiǎn)點(diǎn)2：非客戶本人簽約電子銀行業(yè)務(wù)。

風(fēng)險(xiǎn)提示：如果網(wǎng)點(diǎn)柜員對(duì)客戶（個(gè)人和企業(yè)）身份審核和驗(yàn)證不嚴(yán)格，一旦有不法分子惡意使用他人身份證件（或企業(yè)資料）簽約電子銀行業(yè)務(wù)，掌握客戶銀行賬戶賬號(hào)和密碼，就有可 能發(fā)生盜取客戶資金案件。

嚴(yán)格把好客戶簽約注冊(cè)關(guān) 防控措施：

1.簽約個(gè)人網(wǎng)銀、手機(jī)銀行、網(wǎng)上支付、電話銀行、短信通，需遵循“本人辦理、本人簽字、本人簽收”原則，由客戶本人攜帶銀行卡及有效身份證件到柜面簽約。柜員在辦理簽約業(yè)務(wù)時(shí)，須核實(shí)開戶人本人及所持身份證件與公民身份聯(lián)網(wǎng)核查系統(tǒng)中公安部門原錄入身份證照片是否一致，驗(yàn)證身份證件是否真實(shí)有效，以確?？蛻舯救撕灱s。

2.簽約企業(yè)網(wǎng)銀，應(yīng)重點(diǎn)審核客戶提交的營(yíng)業(yè)執(zhí)照副本等證件是否真實(shí)有效；通過公民身份聯(lián)網(wǎng)核查系統(tǒng)驗(yàn)證法定代表人、授權(quán)代理人的身份證件是否真實(shí)有效，對(duì)有疑點(diǎn)的客戶及時(shí)電話聯(lián)系企業(yè)負(fù)責(zé)人，核實(shí)經(jīng)辦人員身份；通過折角驗(yàn)印等方式核對(duì)客戶預(yù)留印鑒，確保各項(xiàng)資料審核無(wú)誤。

風(fēng)險(xiǎn)點(diǎn)3：代客戶保管USBKEY、手機(jī)銀行貼膜芯片、動(dòng)態(tài)令牌等。

風(fēng)險(xiǎn)提示：如果員工持有客戶USBKEY、手機(jī)銀行貼膜芯片、動(dòng)態(tài)令牌等，存在員工違規(guī)劃撥客戶資金的風(fēng)險(xiǎn)。

按重要空白憑證的要求規(guī)范化管理 防控措施：

1.加強(qiáng)USBKEY、手機(jī)銀行貼膜芯片、動(dòng)態(tài)令牌等重要空白 憑證的管理，規(guī)范其領(lǐng)用、出庫(kù)、入庫(kù)、調(diào)撥和日常使用管理。每日營(yíng)業(yè)終了，營(yíng)業(yè)網(wǎng)點(diǎn)要按照會(huì)計(jì)部門關(guān)于重要空白憑證管理的要求進(jìn)行賬實(shí)核對(duì)。

2.嚴(yán)格落實(shí)內(nèi)部控制制約機(jī)制，要求員工及時(shí)將USBKEY、貼膜芯片、動(dòng)態(tài)令牌等發(fā)放到客戶手中，禁止代客戶保管。

風(fēng)險(xiǎn)點(diǎn)4：客戶資料審核環(huán)節(jié)把關(guān)不嚴(yán)。

風(fēng)險(xiǎn)提示：如果柜員辦理簽約、變更、注銷等業(yè)務(wù)時(shí)，沒有認(rèn)真審核客戶資料的完整性和真實(shí)性，一旦發(fā)生經(jīng)濟(jì)糾紛和案件，就無(wú)法對(duì)相應(yīng)操作免責(zé)，將會(huì)給農(nóng)村信用社帶來(lái)法律風(fēng)險(xiǎn)。

嚴(yán)格按照操作規(guī)程辦理 防控措施：

1.柜員應(yīng)認(rèn)真審核客戶提供資料的完整性、授權(quán)委托書的規(guī)范性（使用財(cái)務(wù)會(huì)計(jì)部確定的格式憑證），以及填寫的各項(xiàng)要素是否完整、各類簽章是否齊全。

2.在辦理個(gè)人網(wǎng)銀業(yè)務(wù)時(shí)，應(yīng)核對(duì)客戶提供的賬戶信息與系統(tǒng)登記的客戶身份信息是否相符，銀行卡狀態(tài)是否正常。

3.在辦理企業(yè)網(wǎng)銀業(yè)務(wù)時(shí)，應(yīng)審核客戶提供的單位活期存款賬戶是否符合簽約企業(yè)網(wǎng)銀的條件，核對(duì)客戶提供的企業(yè)相關(guān)信息與核心業(yè)務(wù)系統(tǒng)登記信息是否相符。

4.辦理企業(yè)網(wǎng)銀簽約業(yè)務(wù)要堅(jiān)持雙人操作，嚴(yán)格執(zhí)行業(yè)務(wù)審核制度，避免擅自為企業(yè)客戶開通網(wǎng)銀的行為，以免造成客戶資 金風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)點(diǎn)5：開通網(wǎng)上銀行、手機(jī)銀行（WAP）沒有按照操作規(guī)程要求進(jìn)行操作。

風(fēng)險(xiǎn)提示：沒有按照流程操作，浪費(fèi)操作時(shí)間，影響其他客戶辦理業(yè)務(wù)，甚至導(dǎo)致客戶不滿或投訴。

主要表現(xiàn)：先出售USBKEY或動(dòng)態(tài)令牌，導(dǎo)致已簽約客戶無(wú)法進(jìn)行簽約，這時(shí)必須對(duì)出售的USBKEY或動(dòng)態(tài)令牌進(jìn)行沖正，并將工本費(fèi)返還給客戶。

規(guī)范操作可以有效避免此類問題的發(fā)生

防控措施：客戶申請(qǐng)開通網(wǎng)上銀行或手機(jī)銀行（WAP）時(shí)，柜員須按照“先簽約，后出售USBKEY或動(dòng)態(tài)令牌，最后綁定客戶數(shù)字證書或動(dòng)態(tài)令牌”的流程辦理，嚴(yán)禁在未簽約狀態(tài)下出售USBKEY或動(dòng)態(tài)令牌給客戶。

風(fēng)險(xiǎn)點(diǎn)6：沒有在客戶簽約電子銀行時(shí)進(jìn)行必要的安全提示。風(fēng)險(xiǎn)提示：在辦理開通電子銀行業(yè)務(wù)時(shí)，應(yīng)重點(diǎn)提醒客戶防范欺詐風(fēng)險(xiǎn)，防止在不知情的情況下，被犯罪分子欺騙簽約電子銀行，進(jìn)而造成客戶資金損失。

主動(dòng)提示 盡職免責(zé)

防控措施：對(duì)主動(dòng)要求簽約電子銀行的客戶，柜員首先詢問客戶開通電子銀行的用途，判斷客戶是否有被詐騙的可能。對(duì)有 被詐騙嫌疑且經(jīng)提醒，客戶仍執(zhí)意辦理電子銀行業(yè)務(wù)的，柜員應(yīng)向客戶進(jìn)行風(fēng)險(xiǎn)提示，履行風(fēng)險(xiǎn)告知義務(wù)，提醒客戶切勿按照陌生人提示簽約電子銀行或通過電子銀行辦理相關(guān)業(yè)務(wù)，對(duì)接收到的陌生郵件及短信提高警惕，不要輕易相信各種套取客戶資料的信息，以防上當(dāng)受騙。

風(fēng)險(xiǎn)點(diǎn)7：客戶安全操作提示不到位。

風(fēng)險(xiǎn)提示：如果客戶操作提示不到位，不僅影響客戶正常使用，而且有可能給客戶帶來(lái)經(jīng)濟(jì)損失。

防控措施：

1.提示客戶通過正確網(wǎng)址登陸，防范各種欺詐。應(yīng)提示客戶直接登錄山東省聯(lián)社官方網(wǎng)址（004km.cn或004km.cn）或手機(jī)銀行（WAP）網(wǎng)址（https：//wap.sdrcu.com），切勿通過其他網(wǎng)站鏈接方式登錄。

2.提示客戶在登錄網(wǎng)銀或手機(jī)銀行（WAP）系統(tǒng)后，及時(shí)核對(duì)自己設(shè)定的“預(yù)留信息”，切實(shí)防范“釣魚網(wǎng)站”等欺詐。3.提示客戶設(shè)臵安全性較高的密碼，不要采用生日、電話號(hào)碼、身份證號(hào)碼中的連續(xù)幾位以及簡(jiǎn)單規(guī)則排列的數(shù)字等作為網(wǎng)銀或手機(jī)銀行（WAP）的登錄密碼。

4.提示客戶修改USBKEY初始密碼，具備條件的營(yíng)業(yè)網(wǎng)點(diǎn)應(yīng)由大堂經(jīng)理指導(dǎo)客戶完成初始密碼修改工作。

5.提醒客戶妥善保管身份證件、銀行卡、USBKEY及動(dòng)態(tài)令 牌等重要物品；勿將賬戶信息、證件號(hào)碼及密碼信息等透漏、告知包括自稱銀行工作人員在內(nèi)的任何人。

6.提醒客戶不要在網(wǎng)吧等公共場(chǎng)所使用網(wǎng)上銀行。

7.提醒客戶使用USBKEY完成業(yè)務(wù)操作后，退出網(wǎng)銀系統(tǒng)并拔下USBKEY，不要在本人離開的情況下，長(zhǎng)時(shí)間將USBKEY插在計(jì)算機(jī)上。

風(fēng)險(xiǎn)點(diǎn)8：新簽約電子銀行客戶，沒有引導(dǎo)其通過網(wǎng)銀體驗(yàn)機(jī)進(jìn)行首次使用操作。

風(fēng)險(xiǎn)提示：客戶沒有對(duì)我們的電子銀行首次登錄或初始密碼修改等進(jìn)行操作，加大了客戶操作失敗的次數(shù)，客戶體驗(yàn)較差。

防控措施：

1.營(yíng)業(yè)網(wǎng)點(diǎn)要明確網(wǎng)銀體驗(yàn)機(jī)的日常維護(hù)和管理職責(zé)，定期對(duì)網(wǎng)銀體驗(yàn)機(jī)進(jìn)行巡檢，確保機(jī)具正常使用。

2.安裝指定的殺毒軟件，防止使用人員非法安裝木馬程序，采取技術(shù)措施限制客戶只能登陸網(wǎng)銀系統(tǒng)相關(guān)頁(yè)面，并定期進(jìn)行系統(tǒng)升級(jí)。

3.營(yíng)業(yè)網(wǎng)點(diǎn)要安排相關(guān)人員通過網(wǎng)銀體驗(yàn)機(jī)，教會(huì)客戶首次登錄網(wǎng)銀進(jìn)行相關(guān)密碼變更、使用網(wǎng)銀、安全退出等操作，有效防范資金風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)點(diǎn)9：營(yíng)業(yè)網(wǎng)點(diǎn)在客戶提供的電子回單上加蓋印章。風(fēng)險(xiǎn)提示：客戶提供的電子回單，不符合操作規(guī)范，不作為客戶的入賬依據(jù)。

防控措施：按照相關(guān)操作規(guī)程要求，通過網(wǎng)銀或手機(jī)銀行內(nèi)管系統(tǒng)查詢出客戶交易信息后，為其打印客戶回單并加蓋業(yè)務(wù)公章。

風(fēng)險(xiǎn)點(diǎn)10：企業(yè)年服務(wù)費(fèi)扣繳，沒有按照企業(yè)操作員領(lǐng)用的USBKEY分別扣繳。

風(fēng)險(xiǎn)提示：企業(yè)客戶到柜臺(tái)主動(dòng)繳納年服務(wù)費(fèi)時(shí)，柜員沒有對(duì)該企業(yè)全部操作員領(lǐng)用的USBKEY分別扣繳年服務(wù)費(fèi)，導(dǎo)致其中一個(gè)操作員不能操作，或者其中一個(gè)USBKEY扣繳了兩年的年服務(wù)費(fèi)，容易造成糾紛。

防控措施：按照相關(guān)操作規(guī)程要求，對(duì)于存在一個(gè)以上操作員的企業(yè)用戶要分別扣繳每個(gè)USBKEY的年服務(wù)費(fèi)。

風(fēng)險(xiǎn)點(diǎn)11：網(wǎng)銀注銷時(shí)沒有按照操作流程直接做注銷操作，而是先對(duì)USBKEY解綁后再進(jìn)行網(wǎng)銀解約。

風(fēng)險(xiǎn)提示：網(wǎng)銀解約流程不符合操作規(guī)范，導(dǎo)致客戶數(shù)字證書沒有進(jìn)行吊銷，存在一定的風(fēng)險(xiǎn)隱患。

嚴(yán)格按照操作規(guī)程辦理 防控措施：

1.按照電子銀行注銷操作流程規(guī)范操作。2.做好對(duì)電子銀行客戶注銷時(shí)提供資料的審核。

3.客戶電子銀行注銷后，提示客戶及時(shí)銷毀USBKEY或動(dòng)態(tài)令牌。

二、客戶操作風(fēng)險(xiǎn)

風(fēng)險(xiǎn)點(diǎn)12：客戶電子銀行業(yè)務(wù)自助注冊(cè)風(fēng)險(xiǎn)

風(fēng)險(xiǎn)提示：網(wǎng)銀、手機(jī)銀行、電話銀行等電子銀行業(yè)務(wù)有其便利性，同時(shí)也伴隨著風(fēng)險(xiǎn)性，客戶自助注冊(cè)電子支付前要具備一定的電子支付和計(jì)算機(jī)操作技能，具備一定的風(fēng)險(xiǎn)防范意識(shí)，并主動(dòng)實(shí)施。

防控措施：

1.認(rèn)真閱讀電子銀行簽約協(xié)議和風(fēng)險(xiǎn)提示，對(duì)于不明鏈接或短信提示要提高警惕；

2.對(duì)于人行“超級(jí)網(wǎng)銀”業(yè)務(wù)中“跨行收款”、“跨行賬戶信息查詢”和“第三方貸記”業(yè)務(wù)功能，不要輕易授權(quán)他人使用。3.網(wǎng)上有風(fēng)險(xiǎn)，操作需謹(jǐn)慎。

風(fēng)險(xiǎn)點(diǎn)13：客戶賬號(hào)及密碼資料被盜。

風(fēng)險(xiǎn)提示：客戶將存款賬戶賬號(hào)、密碼存入電腦，有可能被木馬病毒侵害，泄露賬號(hào)及密碼。

防控措施：銀行卡賬戶、密碼不能保存于接入互聯(lián)網(wǎng)的電腦中；對(duì)于不熟悉的網(wǎng)站，填寫個(gè)人信息要謹(jǐn)慎；客戶應(yīng)設(shè)臵更高級(jí)別的單獨(dú)密碼，使用“數(shù)字+字母+符號(hào)”組合的高安全級(jí)別密 碼；網(wǎng)上銀行和手機(jī)銀行登錄密碼、USBKEY密碼、動(dòng)態(tài)令牌開機(jī)密碼、銀行卡交易密碼應(yīng)設(shè)臵為不同的密碼，且不定期修改

風(fēng)險(xiǎn)點(diǎn)14：客戶電腦中木馬病毒。

風(fēng)險(xiǎn)提示：客戶要定期查殺病毒，保證在一個(gè)干凈、安全的電腦里使用電子銀行。

防控措施：

1.陌生人發(fā)來(lái)的鏈接或者郵件，不要輕易接收甚至打開；對(duì)一些后綴名為exe的安裝文件，或者不常見后綴名，更要加以留心。

2.有些鏈接點(diǎn)一下，原本很清爽簡(jiǎn)單的文字會(huì)變成很長(zhǎng)一串，而且亂七八糟，這種網(wǎng)頁(yè)要馬上關(guān)閉。

3.假如對(duì)方要發(fā)圖片給你看，不要采取接收文件的形式。如果圖片數(shù)量很大，可讓對(duì)方上傳到QQ空間或者博客里。4.養(yǎng)成良好的安全上網(wǎng)習(xí)慣，不要打開垃圾網(wǎng)站或可疑網(wǎng)站，關(guān)閉或刪除系統(tǒng)中不需要的服務(wù)，及時(shí)給系統(tǒng)打補(bǔ)丁，安裝專業(yè)防毒軟件實(shí)時(shí)監(jiān)控。

5.推薦使用二代USBKEY。客戶數(shù)字證書本身不存在安全風(fēng)險(xiǎn)，但由于網(wǎng)絡(luò)黑客、木馬病毒的存在，加之客戶操作不規(guī)范（USBKEY長(zhǎng)時(shí)間放到電腦上）使之安全性受到威脅，建議采用二代USBKEY。由于USBKEY在客戶手中，不法分子不能進(jìn)行按鍵確認(rèn)，可以有效避免資金損失 風(fēng)險(xiǎn)點(diǎn)15：網(wǎng)上消費(fèi)時(shí)，打開來(lái)源不明的郵件或異常鏈接。

風(fēng)險(xiǎn)提示：不明賣家發(fā)送的鏈接或電子郵件有可能攜帶木馬病毒，隨意進(jìn)入可能會(huì)遭木馬攻擊，從而泄露支付賬號(hào)和密碼。

防控措施：網(wǎng)上購(gòu)物時(shí)，要登錄正確的網(wǎng)址，按照購(gòu)物流程直接在平臺(tái)內(nèi)支付，不要輕易點(diǎn)擊賣家發(fā)送的不明鏈接，不要輕易接受來(lái)源不明的電子郵件。

風(fēng)險(xiǎn)點(diǎn)16：沒有辨別“釣魚網(wǎng)站”。

風(fēng)險(xiǎn)提示：不法分子通過設(shè)臵“釣魚網(wǎng)站”、以假亂真等手段，達(dá)到騙取客戶錢財(cái)?shù)哪康?，要引起網(wǎng)購(gòu)客戶的警惕。

防控措施：

1.網(wǎng)上購(gòu)物應(yīng)保持警惕，看網(wǎng)站是否具有合法的ICP證及工商部門頒發(fā)的營(yíng)業(yè)執(zhí)照，看網(wǎng)站有沒有公布詳細(xì)的經(jīng)營(yíng)地址和電話號(hào)碼。

2.網(wǎng)上購(gòu)物時(shí)不能貪圖便宜，更要留意其支付方式，對(duì)不接受貨到付款或匯款的支付一定要慎重。

3.向賣家索要收據(jù)、發(fā)票或者其他憑證，妥善保管匯款單據(jù)等，同時(shí)保留與賣家的往來(lái)郵件，交易訂單的網(wǎng)頁(yè)等，以備不時(shí)之需。

風(fēng)險(xiǎn)點(diǎn)17：USBKEY、動(dòng)態(tài)令牌或手機(jī)丟失。

風(fēng)險(xiǎn)提示：客戶USBKEY、動(dòng)態(tài)令牌或手機(jī)等設(shè)備丟失，要 在第一時(shí)間撥打客服電話（96668）進(jìn)行相關(guān)簽約、綁定賬戶的口頭掛失，首先確保賬戶資金安全，然后到營(yíng)業(yè)網(wǎng)點(diǎn)辦理相關(guān)業(yè)務(wù)的具體處理工作。

防控措施：

1.USBKEY或動(dòng)態(tài)令牌丟失后，客戶應(yīng)憑有效身份證件到簽約網(wǎng)點(diǎn)辦理USBKEY或動(dòng)態(tài)令牌掛失手續(xù)，并領(lǐng)取新的USBKEY或動(dòng)態(tài)令牌。

2.手機(jī)如有遺失或被盜，客戶要及向運(yùn)營(yíng)商時(shí)報(bào)停機(jī)，憑有效身份證件到簽約網(wǎng)點(diǎn)辦理手機(jī)銀行掛失手續(xù)，并領(lǐng)取新的手機(jī)銀行貼膜芯片。

3.手機(jī)號(hào)碼更換后，客戶要及時(shí)更新短信通簽約手機(jī)號(hào)碼及網(wǎng)上銀行、手機(jī)銀行客戶信息資料，避免賬戶信息泄露。

風(fēng)險(xiǎn)點(diǎn)18：企業(yè)網(wǎng)銀客戶代發(fā)工資操作不當(dāng)帶來(lái)的資金風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)提示：客戶對(duì)企業(yè)網(wǎng)銀代發(fā)工資業(yè)務(wù)處理機(jī)制不了解，不清楚其入賬時(shí)間，多次提交，在賬戶余額充足的情況下造成重復(fù)發(fā)放工資。企業(yè)員工一旦離職，重復(fù)發(fā)放的工資難以追回。

防控措施：

1.客戶辦理簽約代發(fā)工資業(yè)務(wù)時(shí)，應(yīng)告知客戶代發(fā)工資業(yè)務(wù)的入賬時(shí)間為日終系統(tǒng)批量后次日，避免客戶重復(fù)提交業(yè)務(wù)。2.若出現(xiàn)代發(fā)工資失敗的情況，企業(yè)操作人員要及時(shí)撥打客服中心（96668）或到營(yíng)業(yè)網(wǎng)點(diǎn)咨詢。

風(fēng)險(xiǎn)點(diǎn)19：客戶未在網(wǎng)銀或手機(jī)銀行（WAP）中設(shè)臵預(yù)留信息。

風(fēng)險(xiǎn)提示：個(gè)人及企業(yè)客戶在網(wǎng)銀或手機(jī)銀行（WAP）中設(shè)臵預(yù)留信息，每次登錄時(shí)，首先驗(yàn)證預(yù)留信息的正確性，可有效規(guī)避誤入釣魚網(wǎng)站。

防控措施：客戶開通網(wǎng)銀或手機(jī)銀行（WAP）業(yè)務(wù)后，應(yīng)及時(shí)設(shè)臵并定期修改預(yù)留信息，且每次登錄時(shí)首先核對(duì)預(yù)留信息的正確性，避免進(jìn)入釣魚網(wǎng)站，辦理完畢業(yè)務(wù)后應(yīng)安全退出系統(tǒng)操縱界面。

風(fēng)險(xiǎn)點(diǎn)20：網(wǎng)上支付資金賬戶存放資金較多。

風(fēng)險(xiǎn)提示：由于網(wǎng)上支付方便快捷，個(gè)人身份認(rèn)證環(huán)節(jié)相對(duì)寬松，客戶在網(wǎng)上支付綁定賬戶應(yīng)盡量少存放資金，以免給自己帶來(lái)資金損失。

防控措施：網(wǎng)上支付綁定資金賬戶中不要存入過多資金，最好隨用隨轉(zhuǎn)。采用雙賬戶管理網(wǎng)上銀行支付交易，在直接支付賬戶中不留或少留資金，在進(jìn)行支付交易時(shí)，方可將資金轉(zhuǎn)到支付賬戶中進(jìn)行交易。風(fēng)險(xiǎn)點(diǎn)21：客戶未及時(shí)掌握網(wǎng)上支付賬戶資金變動(dòng)情況。

風(fēng)險(xiǎn)提示：客戶要及時(shí)掌握自己賬戶資金變動(dòng)，在賬戶被盜的情況下，能最大限度避免經(jīng)濟(jì)損失。

防控措施：

1.客戶應(yīng)經(jīng)常關(guān)注網(wǎng)銀、手機(jī)銀行及網(wǎng)上支付相關(guān)加掛賬戶內(nèi)資金變化和登錄次數(shù)，發(fā)現(xiàn)賬戶被他人操作、登錄密碼泄露或其他可疑情況，立即修改密碼。

2.網(wǎng)上銀行、手機(jī)銀行及網(wǎng)上支付客戶應(yīng)開通短信通業(yè)務(wù)，以便及時(shí)掌握賬戶資金變動(dòng)。手機(jī)號(hào)碼變更時(shí)，應(yīng)及時(shí)維護(hù)個(gè)人短信通客戶信息，以防個(gè)人信息資料被他人盜取。

風(fēng)險(xiǎn)點(diǎn)22：客戶未設(shè)臵交易限額

風(fēng)險(xiǎn)提示：客戶要按照自身資金往來(lái)實(shí)際，及時(shí)合理設(shè)臵網(wǎng)銀、手機(jī)銀行等電子銀行渠道單筆和日累計(jì)交易限額，有效防范資金風(fēng)險(xiǎn)。

防控措施：

1.網(wǎng)上銀行、手機(jī)銀行、電話銀行簽約時(shí)，可在營(yíng)業(yè)網(wǎng)點(diǎn)由柜員進(jìn)行相關(guān)交易限額的設(shè)臵。

2.對(duì)于已簽約的網(wǎng)銀、手機(jī)銀行客戶，可登錄相關(guān)系統(tǒng)，自行設(shè)臵交易限額。

3.若由于臨時(shí)大額資金劃撥等原因，導(dǎo)致客戶當(dāng)日單筆或累計(jì)交易限額超過自己設(shè)定的交易限額（在銀行控制的交易限額之 內(nèi)），客戶可更改相關(guān)設(shè)定后再辦理相關(guān)資金劃撥。資金劃撥后，可再將交易限額調(diào)整至原設(shè)定值。

風(fēng)險(xiǎn)點(diǎn)23：企業(yè)客戶沒有按照企業(yè)網(wǎng)銀的交易規(guī)則，設(shè)臵操作員和交易審核機(jī)制。

風(fēng)險(xiǎn)提示：部分企業(yè)客戶風(fēng)險(xiǎn)意識(shí)不強(qiáng)，為了業(yè)務(wù)操作方便，將兩個(gè)USBKEY交由一個(gè)操作員使用和管理，企業(yè)內(nèi)部業(yè)務(wù)審核環(huán)節(jié)形同虛設(shè)，不能發(fā)揮應(yīng)有的作用。一旦企業(yè)操作員盜竊或惡意侵占企業(yè)資金，很容易通過網(wǎng)上銀行非法轉(zhuǎn)移企業(yè)資金，案件偵破難度也會(huì)大大增加。

防控措施：企業(yè)客戶應(yīng)加強(qiáng)網(wǎng)銀操作員的管理，加強(qiáng)操作員應(yīng)用管理，嚴(yán)格落實(shí)網(wǎng)銀內(nèi)部審核流程，防止資金被惡意侵占。

風(fēng)險(xiǎn)點(diǎn)24：客戶不重視電話銀行操作風(fēng)險(xiǎn)。

風(fēng)險(xiǎn)提示：在辦理電話銀行業(yè)務(wù)時(shí)，客戶應(yīng)采取切實(shí)有效措施，切實(shí)保護(hù)賬戶、密碼等個(gè)人關(guān)鍵信息，嚴(yán)格防止賬戶資金被盜情況的發(fā)生。

防控措施：

1.最好不要使用公用電話或他人手機(jī)撥打客服電話，以防賬戶信息、密碼等個(gè)人資料泄露。

2.嚴(yán)格核對(duì)客服電話號(hào)碼，以防誤撥與客戶電話相似的電話號(hào)碼，防范客戶賬戶信息、密碼等資料泄露。3.使用電話銀行時(shí)，不要開啟電話的免提功能。

三、系統(tǒng)安全風(fēng)險(xiǎn)

風(fēng)險(xiǎn)點(diǎn)25：業(yè)務(wù)差錯(cuò)處臵不及時(shí)，如果涉及客戶交易手續(xù)費(fèi)沒有及時(shí)進(jìn)行沖正。

風(fēng)險(xiǎn)提示：因系統(tǒng)故障造成的業(yè)務(wù)差錯(cuò)，若得不到及時(shí)處理，可能給客戶帶來(lái)經(jīng)濟(jì)損失，甚至引發(fā)客戶投訴。由于客戶自身原因造成業(yè)務(wù)差錯(cuò)，若不能及時(shí)協(xié)助客戶查明賬務(wù)差錯(cuò)原因，有可能貽誤客戶追索資金的時(shí)機(jī)。

防控措施：

1.由于系統(tǒng)故障原因造成的錯(cuò)記、重記、漏記、或少記客戶賬務(wù)差錯(cuò)，要嚴(yán)格按照會(huì)計(jì)核算有關(guān)規(guī)定及時(shí)進(jìn)行調(diào)賬，涉及手續(xù)費(fèi)、資金匯劃費(fèi)的同時(shí)進(jìn)行沖正。

2.對(duì)客戶自身原因造成的業(yè)務(wù)差錯(cuò)，要積極協(xié)助客戶查明原因，并向客戶解釋清楚；需要追索款項(xiàng)的，相關(guān)部門要盡量給客戶提供幫助，做好協(xié)調(diào)工作。

風(fēng)險(xiǎn)點(diǎn)26：系統(tǒng)服務(wù)中斷處臵不及時(shí)。

風(fēng)險(xiǎn)提示：系統(tǒng)服務(wù)中斷影響客戶正常辦理業(yè)務(wù)，如果不能及時(shí)處臵，影響客戶對(duì)我們的滿意度，甚至可能給客戶帶來(lái)經(jīng)濟(jì)損失；一旦引發(fā)客戶投訴，可能帶來(lái)聲譽(yù)風(fēng)險(xiǎn)，損害農(nóng)村信用社的信譽(yù)和服務(wù)形象。防控措施：

1.對(duì)于客戶反映的系統(tǒng)服務(wù)中斷事件，受理機(jī)構(gòu)人員應(yīng)立即排查原因，經(jīng)確認(rèn)，屬非客戶原因服務(wù)中斷導(dǎo)致客戶無(wú)法辦理網(wǎng)銀業(yè)務(wù)的，應(yīng)立即向上級(jí)主管部門報(bào)告。

2.由于不可抗外力因素、系統(tǒng)程序缺陷等各種原因?qū)е戮W(wǎng)銀系統(tǒng)服務(wù)中斷，省聯(lián)社相關(guān)部門應(yīng)立即排查系統(tǒng)中斷原因，迅速啟動(dòng)應(yīng)急處臵預(yù)案，采取有效處臵措施，使網(wǎng)上銀行系統(tǒng)盡快恢復(fù)對(duì)外服務(wù)。

風(fēng)險(xiǎn)點(diǎn)27：電子銀行安全事件處臵不及時(shí)。

風(fēng)險(xiǎn)提示：如果電子銀行安全事件處臵不及時(shí)，造成客戶資金損失，勢(shì)必會(huì)引發(fā)客戶投訴；一旦被新聞媒體曝光，就會(huì)帶來(lái)聲譽(yù)風(fēng)險(xiǎn)，造成難以挽回的損失。

防控措施：

1.客戶反映賬戶或資金被異常使用時(shí)，受理機(jī)構(gòu)人員要認(rèn)真聽取并記錄有關(guān)情況，幫助客戶查詢、核對(duì)業(yè)務(wù)交易情況，認(rèn)真查找分析原因，并及時(shí)向上級(jí)主管部門報(bào)告。

2.指導(dǎo)客戶立即辦理賬戶掛失或止付手續(xù)，及時(shí)修改相關(guān)登錄密碼、USBKEY密碼、動(dòng)態(tài)令牌開機(jī)密碼，以及賬戶交易密碼等個(gè)人信息。

3.對(duì)交易確屬可疑的，要及時(shí)向省聯(lián)社報(bào)告，并詳細(xì)說(shuō)明事件情況，主要包括：客戶姓名、賬號(hào)、事件經(jīng)過、是否報(bào)案、采 取的措施等內(nèi)容。

4.安全事件較為嚴(yán)重或有繼續(xù)發(fā)展趨勢(shì)的，需向公安機(jī)關(guān)報(bào)案的，要及時(shí)向公安機(jī)關(guān)報(bào)案并提供線索，配合公安部門偵破案件。

第三篇：淺談網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與防范

淺談網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與防范免費(fèi)文秘網(wǎng)免費(fèi)公文網(wǎng)

淺談網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與防范2010-06-29 18:45:29免費(fèi)文秘網(wǎng)免費(fèi)公文網(wǎng)淺談網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與防范淺談網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與防范(2)

近年來(lái)，電子銀行業(yè)務(wù)以其成本低，方便、快捷、全天候服務(wù)等優(yōu)勢(shì)倍受客戶青睞。網(wǎng)上電子銀行結(jié)算在企事業(yè)單位迅速發(fā)展，但是，由于社會(huì)的復(fù)雜性、企業(yè)財(cái)務(wù)人員水平和個(gè)別銀行結(jié)算人員業(yè)務(wù)水平較低，網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)案例也不斷增加。增強(qiáng)風(fēng)險(xiǎn)意識(shí)，規(guī)避網(wǎng)上電子銀行結(jié)算成為當(dāng)前網(wǎng)上電子銀行發(fā)展的當(dāng)務(wù)之急。

一、網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)類型

網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)存在于銀行及客戶通過互聯(lián)網(wǎng)登陸銀行網(wǎng)站辦理各項(xiàng)業(yè)務(wù)活動(dòng)的始終，網(wǎng)上電子銀行會(huì)計(jì)結(jié)算風(fēng)險(xiǎn)也是自始至終貫穿于網(wǎng)上銀行業(yè)務(wù)處理的全過程，我國(guó)商業(yè)銀行結(jié)算業(yè)務(wù)目前所面臨的部分結(jié)算風(fēng)險(xiǎn)在一定程度上是與網(wǎng)上銀行結(jié)算有關(guān)。從目前網(wǎng)上銀行結(jié)算的風(fēng)險(xiǎn)類型來(lái)看主要有客戶自身風(fēng)險(xiǎn)、銀行內(nèi)部操作風(fēng)險(xiǎn)、黑客惡意攻擊風(fēng)險(xiǎn)。

（一）客戶自身風(fēng)險(xiǎn)。表現(xiàn)形式主要是企業(yè)財(cái)務(wù)管理混亂，崗位職責(zé)不清，財(cái)務(wù)管理做不到相互制約，有的企業(yè)所有印章全由會(huì)計(jì)一人保管，企業(yè)對(duì)財(cái)務(wù)事項(xiàng)全權(quán)委托會(huì)計(jì)一人處理，法人對(duì)財(cái)務(wù)事項(xiàng)長(zhǎng)期不管不問，涉及簽字授權(quán)也不看不問，大筆一揮完事大吉，企業(yè)自身在管理上的嚴(yán)重缺陷，一旦財(cái)務(wù)人員有盜竊或侵占等非法手段獲得結(jié)算資金企圖，會(huì)通過網(wǎng)上銀行則將企業(yè)資金轉(zhuǎn)入個(gè)人儲(chǔ)蓄存款賬戶等。

案例：5月7日上午10時(shí)，一對(duì)

公客戶持現(xiàn)金支票到某支行營(yíng)業(yè)室支取現(xiàn)金，柜員記賬時(shí)顯示客戶賬戶余額不足?？蛻舴Q自己是該單位負(fù)責(zé)人，原會(huì)計(jì)辭職，支票及印鑒都在自己手中，前一天明明有一筆10萬(wàn)元款項(xiàng)到賬，自己沒有開出別的支票，怎么會(huì)沒有存款呢？經(jīng)查，該企業(yè)原會(huì)計(jì)在未告知企業(yè)負(fù)責(zé)人的情況下辦理了企業(yè)網(wǎng)上銀行開戶手續(xù)，并且設(shè)定業(yè)務(wù)權(quán)限為轉(zhuǎn)賬額度2萬(wàn)元，設(shè)定一人辦理。5月7日上午8時(shí)，原會(huì)計(jì)進(jìn)入網(wǎng)上銀行分5次將10萬(wàn)元存款轉(zhuǎn)入其他賬戶。

該企業(yè)在開辦企業(yè)網(wǎng)銀時(shí)，會(huì)計(jì)在法人代表不知道什么是網(wǎng)上銀行的情況下取得授權(quán)書一人經(jīng)辦，開通網(wǎng)上銀行業(yè)務(wù)后多次使用網(wǎng)上銀行轉(zhuǎn)賬及匯款，法人代表從未過問。法人代表在不明白網(wǎng)上銀行業(yè)務(wù)情況下就出具了授權(quán)書，反映了企業(yè)自身在管理上的嚴(yán)重缺陷。同時(shí)，也向我們揭示了企業(yè)網(wǎng)上銀行業(yè)務(wù)的風(fēng)險(xiǎn)點(diǎn)之一——開戶環(huán)節(jié)。作為經(jīng)辦網(wǎng)點(diǎn)，必須嚴(yán)格企業(yè)網(wǎng)上銀行開

戶手續(xù)，確保企業(yè)網(wǎng)銀開戶資料齊全、合法，避免埋下事故案件隱患。

（二）銀行內(nèi)部操作風(fēng)險(xiǎn)。銀行內(nèi)部操作風(fēng)險(xiǎn)多數(shù)來(lái)自銀行經(jīng)辦人員出于私利，首先經(jīng)辦人員同客戶相互之間比較信任，出于營(yíng)銷目的或別的原因，在客戶不了解網(wǎng)上銀行的情況下向客戶營(yíng)銷，之后替客戶保管證書，由于風(fēng)險(xiǎn)意識(shí)淡薄、疏于管理，出現(xiàn)了內(nèi)部會(huì)計(jì)人員利用網(wǎng)上銀行盜竊客戶結(jié)算資金的案件，不僅給造成了損失，也損害了銀行形象，給銀行結(jié)算工作造成不良影響。

（三）黑客惡意攻擊風(fēng)險(xiǎn)。具體表現(xiàn)為，一是犯罪分子利用客戶疏于防范心理盜竊客戶原始密碼自助注冊(cè)網(wǎng)上銀行盜竊客戶資金。二是利用假網(wǎng)站誘騙客戶上當(dāng)。

二、網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)成因

網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與銀行其他風(fēng)險(xiǎn)相比具有復(fù)雜性、隱蔽性、突發(fā)性和更大的危害性等特點(diǎn)，其風(fēng)險(xiǎn)形成是多方面的：如銀行臨柜人員違規(guī)違章

操作，賬務(wù)處理程序隨意簡(jiǎn)化，隱瞞問題不及時(shí)上報(bào)造成重大隱患；銀行臨柜人員缺乏對(duì)網(wǎng)上電子銀行結(jié)算業(yè)務(wù)整體性的了解，對(duì)一些關(guān)鍵性的環(huán)節(jié)控制不到位或業(yè)務(wù)不熟悉；會(huì)計(jì)人員缺乏對(duì)網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)的研究，忽略重點(diǎn)環(huán)節(jié)的控制等。從已發(fā)生的案例來(lái)分析，主要為內(nèi)部原因和外部原因兩方面：

（一）外部原因。主要是犯罪分子利用網(wǎng)上電子銀行結(jié)算這一環(huán)節(jié)，采用隱蔽、狡猾的手法進(jìn)行詐騙。

1、洗錢。網(wǎng)上電子銀行結(jié)算不受時(shí)間、空間限制，銀行在為客戶提供方便的同時(shí)也為犯罪分子洗錢提供方便，犯罪分子可以在短時(shí)間內(nèi)將非法所得通過網(wǎng)上銀行結(jié)算在不同賬戶之間劃轉(zhuǎn)達(dá)到洗錢目的。

2、詐騙。利用人們對(duì)網(wǎng)上電子結(jié)算業(yè)務(wù)不精通設(shè)置假網(wǎng)址進(jìn)行詐騙。地震以來(lái)，不法分子利用人們支援災(zāi)區(qū)的愛心設(shè)置假冒網(wǎng)址欺騙廣大qq用戶匯款的情況，近日，**分行連續(xù)發(fā)生不法分

子利用地震災(zāi)情，通過在騰訊科技有限公司設(shè)置假冒財(cái)付通捐贈(zèng)網(wǎng)址欺騙廣大qq用戶匯款的情況，其假冒網(wǎng)址和內(nèi)容為：**匯款或銀行轉(zhuǎn)賬——可通過網(wǎng)上銀行轉(zhuǎn)賬；或中國(guó)工商銀行賬戶捐款；人民幣捐贈(zèng)；開戶單位中國(guó)紅十字會(huì)總會(huì)（李連杰壹基金計(jì)劃-四川地震救助）；收款人蒲某經(jīng)查，假冒網(wǎng)址1的開戶人蒲某于 2008年4月25日使用第二代身份證在****州某支行開立個(gè)人結(jié)算賬戶。

3、盜竊他人密碼自助注冊(cè)。犯罪分子潛伏在銀行營(yíng)業(yè)網(wǎng)點(diǎn)，當(dāng)有人辦理開戶業(yè)務(wù)時(shí)，記下賬號(hào)、密碼、身份證件，自助注冊(cè)網(wǎng)上銀行盜竊他人資金。

（二）內(nèi)部原因。主要是銀行規(guī)章制度不健全及結(jié)算人員違規(guī)操作帶來(lái)風(fēng)險(xiǎn)。

1、結(jié)

第四篇：淺談網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與防范

近年來(lái)，電子銀行業(yè)務(wù)以其成本低，方便、快捷、全天候服務(wù)等優(yōu)勢(shì)倍受客戶青睞。網(wǎng)上電子銀行結(jié)算在企事業(yè)單位迅速發(fā)展，但是，由于社會(huì)的復(fù)雜性、企業(yè)財(cái)務(wù)人員水平和個(gè)別銀行結(jié)算人員業(yè)務(wù)水平較低，網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)案例也不斷增加。增強(qiáng)風(fēng)險(xiǎn)意識(shí)，規(guī)避網(wǎng)上電子銀行結(jié)算成為當(dāng)前網(wǎng)上電子銀行發(fā)展的當(dāng)務(wù)之急。

一、網(wǎng)上電子銀行

結(jié)算風(fēng)險(xiǎn)類型

網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)存在于銀行及客戶通過互聯(lián)網(wǎng)登陸銀行網(wǎng)站辦理各項(xiàng)業(yè)務(wù)活動(dòng)的始終，網(wǎng)上電子銀行會(huì)計(jì)結(jié)算風(fēng)險(xiǎn)也是自始至終貫穿于網(wǎng)上銀行業(yè)務(wù)處理的全過程，我國(guó)商業(yè)銀行結(jié)算業(yè)務(wù)目前所面臨的部分結(jié)算風(fēng)險(xiǎn)在一定程度上是與網(wǎng)上銀行結(jié)算有關(guān)。從目前網(wǎng)上銀行結(jié)算的風(fēng)險(xiǎn)類型來(lái)看主要有客戶自身風(fēng)險(xiǎn)、銀行內(nèi)部操作風(fēng)險(xiǎn)、黑客惡意攻擊風(fēng)險(xiǎn)。

（一）客戶自身風(fēng)險(xiǎn)。表現(xiàn)形式主要是企業(yè)財(cái)務(wù)管理混亂，崗位職責(zé)不清，財(cái)務(wù)管理做不到相互制約，有的企業(yè)所有印章全由會(huì)計(jì)一人保管，企業(yè)對(duì)財(cái)務(wù)事項(xiàng)全權(quán)委托會(huì)計(jì)一人處理，法人對(duì)財(cái)務(wù)事項(xiàng)長(zhǎng)期不管不問，涉及簽字授權(quán)也不看不問，大筆一揮完事大吉，企業(yè)自身在管理上的嚴(yán)重缺陷，一旦財(cái)務(wù)人員有盜竊或侵占等非法手段獲得結(jié)算資金企圖，會(huì)通過網(wǎng)上銀行則將企業(yè)資金轉(zhuǎn)入個(gè)人儲(chǔ)蓄存款賬戶等。

案例：5月7日上午10時(shí)，一對(duì)公客戶持現(xiàn)金支票到某支行營(yíng)業(yè)室支取現(xiàn)金，柜員記賬時(shí)顯示客戶賬戶余額不足?？蛻舴Q自己是該單位負(fù)責(zé)人，原會(huì)計(jì)辭職，支票及印鑒都在自己手中，前一天明明有一筆10萬(wàn)元款項(xiàng)到賬，自己沒有開出別的支票，怎么會(huì)沒有存款呢？經(jīng)查，該企業(yè)原會(huì)計(jì)在未告知企業(yè)負(fù)責(zé)人的情況下辦理了企業(yè)網(wǎng)上銀行開戶手續(xù)，并且設(shè)定業(yè)務(wù)權(quán)限為轉(zhuǎn)賬額度2萬(wàn)元，設(shè)定一人辦理。5月7日上午8時(shí)，原會(huì)計(jì)進(jìn)入網(wǎng)上銀行分5次將10萬(wàn)元存款轉(zhuǎn)入其他賬戶。

該企業(yè)在開辦企業(yè)網(wǎng)銀時(shí)，會(huì)計(jì)在法人代表不知道什么是網(wǎng)上銀行的情況下取得授權(quán)書一人經(jīng)辦，開通網(wǎng)上銀行業(yè)務(wù)后多次使用網(wǎng)上銀行轉(zhuǎn)賬及匯款，法人代表從未過問。法人代表在不明白網(wǎng)上銀行業(yè)務(wù)情況下就出具了授權(quán)書，反映了企業(yè)自身在管理上的嚴(yán)重缺陷。同時(shí)，也向我們揭示了企業(yè)網(wǎng)上銀行業(yè)務(wù)的風(fēng)險(xiǎn)點(diǎn)之一——開戶環(huán)節(jié)。作為經(jīng)辦網(wǎng)點(diǎn)，必須嚴(yán)格企業(yè)網(wǎng)上銀行開戶手續(xù)，確保企業(yè)網(wǎng)銀開戶資料齊全、合法，避免埋下事故案件隱患。

（二）銀行內(nèi)部操作風(fēng)險(xiǎn)。銀行內(nèi)部操作風(fēng)險(xiǎn)多數(shù)來(lái)自銀行經(jīng)辦人員出于私利，首先經(jīng)辦人員同客戶相互之間比較信任，出于營(yíng)銷目的或別的原因，在客戶不了解網(wǎng)上銀行的情況下向客戶營(yíng)銷，之后替客戶保管證書，由于風(fēng)險(xiǎn)意識(shí)淡薄、疏于管理，出現(xiàn)了內(nèi)部會(huì)計(jì)人員利用網(wǎng)上銀行盜竊客戶結(jié)算資金的案件，不僅給造成了損失，也損害了銀行形象，給銀行結(jié)算工作造成不良影響。

（三）黑客惡意攻擊風(fēng)險(xiǎn)。具體表現(xiàn)為，一是犯罪分子利用客戶疏于防范心理盜竊客戶原始密碼自助注冊(cè)網(wǎng)上銀行盜竊客戶資金。二是利用假網(wǎng)站誘騙客戶上當(dāng)。

二、網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)成因

網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)與銀行其他風(fēng)險(xiǎn)相比具有復(fù)雜性、隱蔽性、突發(fā)性和更大的危害性等特點(diǎn)，其風(fēng)險(xiǎn)形成是多方面的：如銀行臨柜人員違規(guī)違章操作，賬務(wù)處理程序隨意簡(jiǎn)化，隱瞞問題不及時(shí)上報(bào)造成重大隱患；銀行臨柜人員缺乏對(duì)網(wǎng)上電子銀行結(jié)算業(yè)務(wù)整體性的了解，對(duì)一些關(guān)鍵性的環(huán)節(jié)控制不到位或業(yè)務(wù)不熟悉；會(huì)計(jì)人員缺乏對(duì)網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)的研究，忽略重點(diǎn)環(huán)節(jié)的控制等。從已發(fā)生的案例來(lái)分析，主要為內(nèi)部原因和外部原因兩方面：

（一）外部原因。主要是犯罪分子利用網(wǎng)上電子銀行結(jié)算這一環(huán)節(jié)，采用隱蔽、狡猾的手法進(jìn)行詐騙。

1、洗錢。網(wǎng)上電子銀行結(jié)算不受時(shí)間、空間限制，銀行在為客戶提供方便的同時(shí)也為犯罪分子洗錢提供方便，犯罪分子可以在短時(shí)間內(nèi)將非法所得通過網(wǎng)上銀行結(jié)算在不同賬戶之間劃轉(zhuǎn)達(dá)到洗錢目的。

2、詐騙。利用人們對(duì)網(wǎng)上電子結(jié)算業(yè)務(wù)不精通設(shè)置假網(wǎng)址進(jìn)行詐騙。5.12地震以來(lái)，不法分子利用人們支援災(zāi)區(qū)的愛心設(shè)置假冒網(wǎng)址欺騙廣大qq用戶匯款的情況，近日，**分行連續(xù)發(fā)生不法分子利用地震災(zāi)情，通過在騰訊科技有限公司設(shè)置假冒財(cái)付通捐贈(zèng)網(wǎng)址欺騙廣大qq用戶匯款的情況，其假冒網(wǎng)址和內(nèi)容為：**匯款或銀行轉(zhuǎn)賬——可通過網(wǎng)上銀行轉(zhuǎn)賬；或中國(guó)工商銀行賬戶捐款；人民幣捐贈(zèng)；開戶單位中國(guó)紅十字會(huì)總會(huì)（李連杰壹基金計(jì)劃-四川地震救助）；收款人蒲某經(jīng)查，假冒網(wǎng)址1的開戶人蒲某于 2008年4月25日使用第二代身份證在****州某支行開立個(gè)人結(jié)算賬戶。

3、盜竊他人密碼自助注冊(cè)。犯罪分子潛伏在銀行營(yíng)業(yè)網(wǎng)點(diǎn)，當(dāng)有人辦理開戶業(yè)務(wù)時(shí)，記下賬號(hào)、密碼、身份證件，自助注冊(cè)網(wǎng)上銀行盜竊他人資金。

（二）內(nèi)部原因。主要是銀行規(guī)章制度不健全及結(jié)算人員違規(guī)操作帶來(lái)風(fēng)險(xiǎn)。

1、結(jié)

算隊(duì)伍建設(shè)滯后。網(wǎng)上銀行結(jié)算業(yè)務(wù)量隨著經(jīng)濟(jì)的發(fā)展而迅速增加，網(wǎng)上銀行結(jié)算管理的任務(wù)不斷加重，然而專業(yè)結(jié)算人員素質(zhì)不高，這種狀況，必然削弱網(wǎng)上銀行結(jié)算管理，成為違章違紀(jì)行為經(jīng)常發(fā)生的一個(gè)原因。結(jié)算人員替客戶保管證書，很容易引發(fā)網(wǎng)上銀行結(jié)算風(fēng)險(xiǎn)，這樣無(wú)形當(dāng)中增加了經(jīng)辦人員錯(cuò)弊的可能性，同時(shí)也為作案人員創(chuàng)造了機(jī)會(huì)。

2、內(nèi)部檢查力度不夠。一些行由于會(huì)計(jì)檢查人員配備不足，會(huì)計(jì)檢查人員水平有限，會(huì)計(jì)檢查輔導(dǎo)內(nèi)部檢查的頻率和覆蓋面均未涉及網(wǎng)上銀行結(jié)算，未達(dá)到一個(gè)合理的水平，無(wú)法及時(shí)發(fā)現(xiàn)網(wǎng)上銀行結(jié)算工作中存在的問題。

3、重營(yíng)銷輕管理，風(fēng)險(xiǎn)意識(shí)不到位。近年來(lái)，網(wǎng)上電子銀行的營(yíng)銷作為一項(xiàng)指標(biāo)與支行掛鉤，部分營(yíng)銷人員缺乏防范意識(shí)，為完成任務(wù)指標(biāo)往往在手續(xù)不全的情況下為客戶注冊(cè)網(wǎng)上銀行，一旦發(fā)生風(fēng)險(xiǎn)無(wú)法補(bǔ)救。

三、網(wǎng)上電子銀行結(jié)算風(fēng)險(xiǎn)的防范措施

（一）客戶自身風(fēng)險(xiǎn)的防范。一是在向客戶營(yíng)銷時(shí)作好調(diào)查，企業(yè)財(cái)務(wù)管理情況、企業(yè)財(cái)務(wù)人員電腦水平有多高要了如指掌。二是向客戶做好培訓(xùn)工作，一定要教會(huì)教懂。三是一定要提醒客戶進(jìn)行必要的風(fēng)險(xiǎn)防范。

（二）銀行內(nèi)部操作風(fēng)險(xiǎn)防范。一是統(tǒng)一開戶資料的核驗(yàn)標(biāo)準(zhǔn)。嚴(yán)格按照制度和操作流程辦理業(yè)務(wù)。堅(jiān)持按制度辦理業(yè)務(wù)是規(guī)避風(fēng)險(xiǎn)的有效手段。二是增強(qiáng)員工的業(yè)務(wù)素質(zhì)和案防意識(shí)。只有熟知制度和業(yè)務(wù)操作流程，才能掌握風(fēng)險(xiǎn)點(diǎn)，控制業(yè)務(wù)風(fēng)險(xiǎn)。對(duì)此，必須加強(qiáng)員工培訓(xùn)學(xué)習(xí)，建立學(xué)習(xí)制度，使業(yè)務(wù)學(xué)習(xí)經(jīng)?；?、規(guī)范化。另外，要加強(qiáng)風(fēng)險(xiǎn)教育工作，結(jié)合實(shí)際案件揭示各項(xiàng)業(yè)務(wù)的風(fēng)險(xiǎn)點(diǎn)，讓員工真正理解制度，做到“知其然知其所以然”，減少和避免對(duì)制度的抵觸情緒。三是加強(qiáng)內(nèi)部檢查力度。目前對(duì)網(wǎng)上銀行電子結(jié)算檢查環(huán)節(jié)比較薄弱，檢查頻率、深度不夠。

（三）黑客惡意攻擊風(fēng)險(xiǎn)防范。一是加大金融知識(shí)宣傳力度。采取多種形式進(jìn)行業(yè)務(wù)宣傳，對(duì)開戶企業(yè)寄送網(wǎng)銀資料，利用客戶回訪或與企業(yè)座談等宣傳網(wǎng)上銀行的強(qiáng)大功能與優(yōu)勢(shì)，使客戶感受到網(wǎng)銀的便利與特點(diǎn)，同時(shí)也使企業(yè)法人及財(cái)務(wù)人員了解企網(wǎng)特點(diǎn)與風(fēng)險(xiǎn)點(diǎn)，增強(qiáng)企業(yè)領(lǐng)導(dǎo)和財(cái)務(wù)人員風(fēng)險(xiǎn)意識(shí)。二是提請(qǐng)客戶識(shí)別假網(wǎng)站，安裝防病毒軟件。三是營(yíng)業(yè)網(wǎng)點(diǎn)大堂經(jīng)理做好大堂秩序維護(hù)，防止閑雜人等混入銀行伺機(jī)作案，同時(shí)提醒客戶開戶信息不要隨意丟棄。

第五篇：電子銀行業(yè)務(wù)風(fēng)險(xiǎn)與防范

課 程 提 綱

賴立峰

課程名稱：電子銀行業(yè)務(wù)風(fēng)險(xiǎn)與防范

課程時(shí)長(zhǎng)：120分鐘

課程簡(jiǎn)介：我國(guó)的電子銀行業(yè)務(wù)始于20世紀(jì)90年代后期，目前已初步建成一套較為完整的包括網(wǎng)上銀行、電話銀行、手機(jī)銀行、自助銀行等渠道在內(nèi)的電子銀行服務(wù)體系。雖然目前我國(guó)電子銀行業(yè)務(wù)得到了迅速發(fā)展，但電子銀行在產(chǎn)品特色、經(jīng)營(yíng)理念及管理水平上都還存在參差不齊的現(xiàn)狀。尤其隨著我國(guó)加入WTO，外資銀行全面進(jìn)軍國(guó)內(nèi)市場(chǎng)，在經(jīng)營(yíng)地域、業(yè)務(wù)范圍和客戶市場(chǎng)上將與中資銀行開展全面競(jìng)爭(zhēng)，國(guó)內(nèi)各銀行風(fēng)險(xiǎn)的把握是極其必要的。因此，對(duì)電子銀行業(yè)務(wù)進(jìn)行風(fēng)險(xiǎn)評(píng)估與管理就成為國(guó)內(nèi)商業(yè)銀行把握機(jī)遇，降低風(fēng)險(xiǎn)的必要步驟。課程內(nèi)容：

一、電子銀行業(yè)務(wù)風(fēng)險(xiǎn)分類標(biāo)準(zhǔn)

1、《電子銀行風(fēng)險(xiǎn)管理原則》（Risk Management Principle for Electronic Banking）;

2、按中國(guó)銀監(jiān)會(huì)標(biāo)準(zhǔn)劃分。

二、電子銀行業(yè)務(wù)風(fēng)險(xiǎn)分析

1、傳統(tǒng)風(fēng)險(xiǎn)：★信用（基礎(chǔ)）、流動(dòng)性、市場(chǎng)、利率等；

2、特殊風(fēng)險(xiǎn)：技術(shù)、★操作（差別較大）、★法律（差別較大）、戰(zhàn)略、聲譽(yù)、外包、跨境等。

三、風(fēng)險(xiǎn)的管理和控制

1、操作風(fēng)險(xiǎn)管理

2、信用風(fēng)險(xiǎn)管理

3、流動(dòng)性、利率、市場(chǎng)風(fēng)險(xiǎn)管理

4、聲譽(yù)風(fēng)險(xiǎn)管理

5、法律風(fēng)險(xiǎn)管理

四、其他措施和輔助手段：包括稽核和系統(tǒng)檢測(cè)。