XX教研文档下载

商业银行科技风险案例63条

本文由用户“十年拥”分享发布 更新时间:2021-04-03 04:29:12 举报文档

以下为《商业银行科技风险案例63条》的无排版文字预览,完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的,下载的文档就是什么样的。

商业银行科技风险案例63条

中国银行业监督管理委员会信息中心

二○一○年八月 序 言

当前,信息技术已经渗透到商业银行经营管理的各个领域,银行业已成为信息技术高度密集、高度依赖的行业,同时也是受信息科技风险影响最大的行业之一。信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定。根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉和市值造成极大伤害;中断2~3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。同时,随着网上银行、电子商务等网络金融服务的快速发展,利用网络信息技术的犯罪活动也日益增加,威胁银行业信息安全、针对网上银行的案件呈上升趋势,对客户利益和对银行声誉带来的危害不容忽视。

2004年,巴塞尔新资本协议将信息科技风险明确划归操作风险的范畴,使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。近年来,银某某对银行信息科技风险管理高度重视,对银行信息科技风险管理提出了明确要求。各商业银行也普遍提高了对信息科技风险管理的关注程度,银行业的信息科技风险管理水平不断提高。

在取得成绩的同时,必须清醒地意识到存在的问题与不足。近年来国内外信息科技风险事件时有发生,系统重大停机宕机、核心业务系统中断、网站安全漏洞、网上银行虚假交易、客户资金被窃取等。后果严重,教训深刻,网络与信息安全形势不容忽视。这些事件的发生再次向我们敲响警钟:信息科技工作一旦发生问题就是重大问题。信息科技风险就在身边,强化风险监管刻不容缓。

以史为镜知兴替,以案为鉴明得失。基于此,银某某组织专人对银行业金融机构计算机犯罪案件和信息安全事件进行了认真梳理,从中选择有代表性和借鉴意义的典型案例,开创性地编写了《银行业科技风险警示录》。该书汇编刊印工作非常适时,非常必要,在银行业计算机犯罪与信息安全事件研究方面迈出了可喜的一步。入选案例都具有较高的借鉴价值,为银某某系统的IT风险监管工作提供了有效资料,为各银行业金融机构和广大员工提供了警示教材。这些素材新、内容全、深入浅出、富有新意的案例分析无论对银行风险管理部门、信息科技部门继续深入研究相关案例,还是对银行高管人员、审计人员以及从事相关业务的广大员工,都具有实践的借鉴价值和指导作用。《银行业科技风险警示录》汇编教材意义重大,值得肯定。

“前事昭昭,足为明某某”。银某某系统一定要高度重视信息科技风险管控工作。切实分析好、利用好这些案例,认真查找银行业金融机构在内控管理、安全防范、信息技术等方面存在的差距与不足,清醒把握当前防范计算机犯罪与信息安全面临的形势。采取有针对性的监管措施,指导银行业金融机构落实内控、提高信息安全管理能力,遏制计算机犯罪快速上升势头。各银行业金融机构要能够吸取这些案例的教训,警钟长鸣,积极开展多种形式的信息科技风险警示教育,做好计算机案件与信息安全事件防范工作,促进在更大范围和更高层次上提升信息科技风险防范水平。

我们坚信:通过提高信息科技风险防范意识,完善信息科技风险管理机制,计算机案件和信息安全事件的发生概率就会大大降低,所造成的影响和损失也将会大大减轻。

是为序。

郭某某

二O一O年八月

前 言

随着信息科技在银行业金融机构客户服务、营销、内控、经营管理等工作中应用的不断深入,涉及信息技术的犯罪案件与信息安全事件不断发生,且呈现快速上升趋势。近年来出现的一些重大金融信息科技风险案例表明,信息系统为金融机构日常运营提供了重要的基础支持,银行业的稳健经营离不开对信息科技风险的有效管理。

国外两大事件将科技风险管控重要性昭示天下。2001年9月11日恐怖分子劫持飞机撞击美国纽约世贸中心。该恐怖袭击事件瞬间彻底毁灭了数***所拥有的重要数据,令近九百家机构因此倒闭,美洲银行、德国银行、国际信托银行、帝国人寿***、摩根斯坦利***、美国商品期货交易所等数十家世界金融巨头遭受了重大损失。2009年11月8日黑客集团成功入侵苏格兰皇家银行(RBS)旗下信***的计算机网络,伪造假卡,在不足12小时内从全球至少280个城市的2100部提款机提取逾900万美元现金,使RBS集团短时间内损失惨重。如果不能对信息科技风险进行有效管控,一些信息科技案件或事件必将对银行业持续稳健运行带来重大威胁。

鉴于此,银某某信息中心组织专人对银行业金融机构计算机犯罪和信息安全事件进行认真梳理,从中选择部分有代表性和一定借鉴意义的典型案例,编写了《银行业科技风险警示录》。

《银行业科技风险警示录》收集了中国银行业金融机构2004~2010年初所发生的具有代表性的98个计算机犯罪案件和信息安全事件。入选案例通常在多家银行发生,且具有银行机构信息科技风险管理工作中普遍存在的薄弱环节、共性缺陷。汇编此书,意欲举一反三,警示昭告,引发银行机构高管人员、风险管理部门、信息科技部门、审计部门以及各相关业务部门的高度重视,以认真汲取事故教训,采取措施,堵塞漏洞。

《银行业科技风险警示录》中各案例内容分别包括“案例描述”、“案例分析”两个部分。 “案例描述”部分主要是以有关银行提供的事件分析报告为依据,简要介绍案例概况;“案例分析”部分深入浅出地对案件内部深层次原因进行剖析,以反映银行机构信息安全面临的严峻形势。在每节后附“防范对策与建议”,通过各家银行的实际防范经验总结为银行建立解决方案提供借鉴。

《银行业科技风险警示录》着重突出了以下特点:一是素材新。入选的98个计算机犯罪案件和信息安全事件具有普遍典型意义,部分案例为国内首次披露。二是内容全。通过向全国银行业金融机构广泛征集案例,保证了内容的覆盖面和信息量,基本做到了案件与事件、历史与现状、中资银行与外资银行、不同规模银行业机构等的兼收并蓄。三是富有新意。《银行业科技风险警示录》对案例内容尝试性引入了危害指数、影响指数和频度指数进行风险分级。其中,危害指数主要侧重从案件对行业的冲击力及对银行客户的影响面进行分析;影响指数主要侧重从事件对银行持续经营的影响度进行分析;而频度指数主要从发生概率(案件和事件)或作案难易度(仅针对案件)进行定性分析。案例的风险类型与发生根源分析则借鉴了巴塞尔新资本协议的要求和分类方式。四是深入浅出。注重技术深度和通俗易懂的结合,每个案例做到了情况描述全面细致、原因分析切中要害、对策建议切实可行,具有较好的完整性、前瞻性和实用性。同时,力避生硬技术性论述,数据主要以图、表形式进行罗列和分析,使读者一目了然。

中国银行业监督管理委员会信息中心

二0一0年八月

目 录

第一章 信息科技相关案件 11

第一节 网上银行类案件 21

案例1: 篡改网银交易数据盗取客户资金 21

案例2: 利用内嵌病毒邮件盗取客户资金 22

案例3: 通过木马盗取客户资金之一 23

案例4: 通过木马盗取客户资金之二 24

案例5: 远程操纵客户计算机盗取资金 25

案例6: 攻击网站获取客户信息盗取资金 26

案例7: 窃取客户网银证书作案 27

案例8: 盗取同事账户作案 28

案例9: 利用假证件开通网上银行作案 29

案例10: 嗅探网银系统作案 30

案例11: 非法破解用户***

第二节 内控缺陷类案件 34

案例12: 非法办理存折配卡作案 34

案例13: 篡改系统数据虚开存单作案 35

案例14: 篡改账户状态非法结息作案 36

案例15: 篡改账务数据盗取资金 38

案例16: 利用综合业务系统漏洞作案之一 39

案例17: 利用综合业务系统漏洞作案之二 40

案例18: 利用贷款业务系统缺陷作案 41

案例19: 利用储蓄业务系统漏洞作案 42

案例20: 盗用他人柜员密码挂失存单作案 43

案例21: 盗取他人柜员密码空存资金作案 44

案例22: 盗用他人柜员密码虚列利息支出作案 45

案例23: 盗用系统权限冒名贷款作案 46

案例24: 伪装外包人员混入银行营业室作案 47

案例25: 利用外包管理漏洞盗取客户信息作案 48

案例26: 编制非法程序窃取客户信息作案 49

案例27: 盗取客户信息篡改数据库作案 50

案例28: 窃取数据仓库客户信息作案 51

第三节 自助设备类案件 54

案例29: 加装特殊装置盗取银行卡信息作案 54

案例30: 张贴虚假告示骗取客户信任作案 64

案例31: 利用自助设备的自动保护功能作案 72

案例32: 利用自助设备功能模块缺陷作案 74

案例33: 利用自助设备系统程序漏洞作案 75

案例34: 通过砸撬ATM机等暴力手段进行作案 76

案例35: 一些其他银行卡犯罪案件 78

第二章 信息科技相关事件 82

第一节 硬件设备故障 93

事例1: 主机宕机处置不及时导致系统交易停止 93

事例2: 存储设备故障致重要应用系统中断 94

事例3: 主机配件故障导致银行对外服务中断 94

事例4: 备机电源模块故障导致主机系统宕机 95

事例5: 主机电源故障导致核心业务长时间停止 96

事例6: CPU主板硬件故障致系统中断 97

事例7: 存储设备故障致系统中断 98

事例8: 交换机接触不良致业务中断 98

事例9: 核心交换机故障致业务中断 99

事例10: 存储光纤交换机宕机致系统中断 100

事例11: 机房地面震动引起机房设备电源频发故障 101

事例12: 交换机协议不兼容导致网络通信异常 102

事例13: 光端机通讯板卡故障致业务中断 102

事例14: 网络设备配置不当致系统中断 103

事例15: 加密机故障导致银行卡交易长时间中断 104

第二节 软件系统故障 107

事例16: 加密平台设计缺陷引发交易拥堵 107

事例17: 压力测试不充分导致系统服务中断 108

事例18: 需求交流不充分导致部分银期转账无法正常处理 109

事例19: 监控系统缺陷导致业务瘫痪 110

事例20: 主机系统缺陷导致业务系统运行不畅 111

事例21: 程序性能缺陷导致交易缓慢 111

事例22: 应用程序缺陷导致银证交易异常 112

事例23: 第三方存管系统运行故障引发服务中断 113

事例24: 系统容量不足导致系统运行意外终止 115

事例25: 应用系统故障影响客户服务 116

事例26: 对批量操作的管理不善引发系统停机 117

事例27: 系统交易堵塞引发系统崩溃 118

事例28: ATM程序故障造成吞卡及交易失败 119

事例29: 系统变更缺陷导致ATM透支事故 120

事例30: 光纤传输速率波动引发业务系统故障 121

事例31: 系统数据库意外宕机造成业务数据丢失 122

事例32: 数据库软件缺陷引发业务交易堵塞 123

事例33: 数据库升级异常引发系统故障 124

事例34: 备份操作异常导致银行卡交易中断 124

事例35: 疏于备份导致银行客户数据丢失 125

事例36: 操作失误引发综合业务系统停止服务 126

事例37: 操作不当导致银行现金业务中断 127

事例38: 系统设置错误导致卡业务故障 128

第三节 外围保障设施故障 131

事例39: 操作不慎导致核心系统服务中断 131

事例40: UPS系统故障导致呼叫中心停止服务 131

事例41: 外包服务商违规操作导致银行服务中断 132

事例42: 双回路切换器故障引发银行供电隐患 133

事例43: 供电系统老化及演练不到位导致服务中断 134

事例44: 电力转换系统故障引发供电中断 136

事例45: 市变电站突发设备故障导致银行业务中断 137

事例46: 光端机设备故障造成通讯中断 138

事例47: 电信运营商设备故障导致业务无法正常办理 138

事例48: 域名未及时备案导致网上银行被封 139

事例49: 与银联沟通不畅引起银行卡业务异常 140

第四节 网络攻击事件 143

事例50: 遭受恶意攻击门户网站间歇性中断 143

事例51: 遭受恶意攻击短暂影响网银访问 144

事例52: 及时化解恶意攻击确保网银业务正常运行 145

事例53: 域名解析错误引发网络流量剧增 147

事例54: SQL注入篡改***网站数据库 148

事例55: 架构漏洞导致银行网站被植入恶意链接 148

事例56: 设置钓鱼网站,假冒网上银行系统 149

第五节 有害程序事件 153

事例57: 办公电脑感染病毒导致网络阻塞 153

事例58: 防病毒软件更新不及时导致全行网络流量异常 153

事例59: 数据库补丁更新不及时引发业务中断 154

事例60: 前置程序感染病毒导致自助设备无法使用 155

第六节 灾害性事件 158

事例61: 台风破坏通讯设施导致银行网点停业 158

事例62: 火灾导致银行供电中断 158

事例63: 雷击损坏网络设备导致银行呼叫中心通讯中断 159

后 记 162

第一章 信息科技相关案件

一、案防形势

当今社会经济发展对信息科技的依赖程度愈来愈高,金融业信息系统和网络安全对国家安全、社会稳定和公众权益的影响逐渐增强。在全球范围内,网络窃密、网络攻击等利用计算机技术进行网络违法犯罪活动呈上升趋势。近年来,我国银行业信息科技相关案件频发,银行网络、信息系统已成为境内外敌对势力和不法分子攻击破坏的重要目标之一。攻击手段层出不穷,作案手法不断翻新,信息安全形势日益严峻。

二、案件类型及作案手段

按照案发区域,银行业信息科技相关案件可分为以下三类:

一是网上银行类案件。犯罪嫌疑人主要通过国际互联网等载体,以木马病毒、程序破解密码等多种技术手段获取银行客户账号和密码,再以非法转账或网上支付等方式,盗取客户资金。

二是内控缺陷类案件。犯罪嫌疑人借内部工作人员的身份和工作之便,利用银行管理制度、业务流程、交易系统等方面存在的漏洞作案,盗取客户或银行资金。内部控制作案又可细分为两类:其一是业务人员盗取其他员工的柜员号和密码,通过对客户定期存款进行密码挂失、虚假存款、虚列利息支出、冒名虚假贷款等方式作案,盗取银行或客户资金。其二是科技人员利用职务便利,非法进入系统,通过编制非法程序窃取银行客户密码、篡改数据库数据、篡改账户状态、窃取数据仓库客户信息和利用综合业务系统功能缺陷等方式作案,盗取银行或客户资金。

三是自助设备类案件。犯罪嫌疑人在银行自助设备上做手脚,利用读卡器、微型摄像机、假冒银行服务电话等各种手段盗取客户账号及密码,进而盗取客户资金。

上述三种类型案件在案发区域、损失度及防范难度等方面存在不同,作案手段也有所差异。见表1、表2。

表1三种类型案件发案差异

序号

类型名称

案发区域

危害指数

频度指数



1

网上银行类案件

国际互联网

中

较高



2

内控缺陷类案件

银行内部

高

较低



3

自助设备类案件

ATM、CDM、POS

中

高



表2三种类型案件的作案手段

序号

作案手段

网上银行类案件

内控缺陷类案件

自助设备类案件



1

从外部入侵银行系统,更改数据

√







2

网上窃听或截获客户银行卡账号及***;







3

从外部窃取客户银行卡账号、***;



√



4

从外部破解客户网银***;







5

从外部窃取客户网银证书

√







6

内部人非法使用业务系统



√





7

内部人非法访问系统或数据库,但不涉及篡改系统数据



√





8

内部人非法篡改系统数据



√





9

内部人使用或拷贝恶意软件



√







三、案件特点分析

据2004~2010年银行业信息科技相关案件统计数据显示,当前我国银行业信息科技案件中,最受关注的是利用网上银行作案;利用银行内部控制漏洞作案发案数相对较少但涉案金额较高;发案率最高的是利用自助设备作案。见图1所示。



上述三类案件近年来呈以下变化趋势。

(一)利用网上银行作案发案率逐年递增

1.利用网上银行作案具有任意时间、任意地点之特点,犯罪分子实施犯罪不容易受到事件时点的限制。

2.由于技术的开放性,犯罪分子容易掌握一些技术含量较高的作案手法,且攻击手段不断翻新,犯罪行为更不易被察觉。

3.银行为适应市场竞争的需要,网银产品开发周期缩短,相应内控手段难以适应业务快速发展的需要,风险敞口逐步累积。

(二)利用银行内部控制漏洞作案发案率逐年递减,但涉案金额较高

1.银行内控体系逐步完善。随着对信息科技风险认识的不断提高,银行业金融机构逐步将信息科技风险纳入银行整体风险防范体系,促使银行内控机制日渐增强,风险管控能力和水平不断提升。例如银行通过实施关键业务岗位隔离、信息科技生产和测试环境隔离、指纹识别仪取代柜员卡等制度和措施,堵塞了部分漏洞。

2.外部环境对银行内部控制的合规要求日益严格。例如近年来银某某相继出台了《商业银行信息科技风险管理指引》、《银行业重要信息系统突发事件应急管理规范》、《电子银行业务管理办法》等规范性文件,对银行内部控制合规提出了更为明确的要求。

3.由于内部人员作案,熟悉银行控制体系,导致此类案件具有作案时间长、败露周期长、单笔涉案资金高的特点,危害性较高。

(三)利用自助设备作案案件呈高发趋势

1.近几年,基于企业竞争策略,中小银行纷纷加大了借记卡、信用卡等客户市场的开拓力度,但由于其科技部门整体技术水平不高、对信息安全的风险防范意识和能力不足,导致相关犯罪案件高发。

2.该类案件有向农村、乡镇蔓延转移之趋势。犯罪分子利用不发达地区银行客户风险意识薄弱的特点,专门***XX融机构ATM作案。

3.该类案件对技术要求相对较低,目前我国仍大量使用安全级别较低的磁条卡,涉及相关案件较多。

四、危害及根源分析

(一)危害分析

各类信息科技犯罪案件会使银行面临多方面的风险,主要集中在以下三个方面。

1.欺诈风险,例如敏感信息被盗取,包括银行卡号及密码、网银账号及密码等,导致银行或客户资金被盗。

2.银行资产设施及信息系统受损,影响其正常对外提供服务。

3.信誉风险和法律风险。具体分析见表3。

表3三种类型案件危害分析

序号

危害类型

网上银行类案件

内控缺陷类案件

自助设备类案件



1

银行资产设施遭到破坏





√



2

银行资金遭受损失

√

√

√



3

客户资金遭受损失

√

√

√



4

银行遭受法律诉讼

√

√

√



5

银行信誉受损

√

√

√



(二)根源分析

导致各类信息科技犯罪案件发生的原因来自多个方面。

1.银行的系统安全机制存在缺陷。例如银行卡防伪能力弱、客户认证机制存在漏洞等。

2.银行的内部控制存在漏洞。例如对敏感信息保护不周全,对生产环境控制不严,外包管理存在缺失,对自助设备区域的巡查不力等等。

3.银行业及其客户的科技风险防范意识整体偏低。体现在银行的风险防范意识普遍不足,客户的安全意识更为薄弱。具体分析见表4 内容过长,仅展示头部和尾部部分文字预览,全文请查看图片预览。 个渠道搜集案例,为后期的《银行业科技风险警示录》汇编工作奠定了丰厚的资料基础。第二阶段侧重对案例进行细致梳理,确立了案例和事件分类标准,并对全书结构、内容、逻辑、文字进行逐项整理,使《银行业科技风险警示录》初具雏形。第三阶段侧重对每个案例精雕细琢,使其更为准确和恰当。在上级领导的亲切指导下,经全体参写人员共同努力,《银行业科技风险警示录》最终定稿并出版发行。

参与本书编写的成员(按姓氏笔画排序)有:于某某、方某某、包某某、冯某某、朱某某、李丹、李伟、李某某、李某某、吴某某、吴某某、张某某、陈伟、陈某某、武某某、单某某、姚某某、徐静、唐某某、黄某某、谢某某、谢某某、戴某某,他们为本书的最终出版付出了辛勤的劳动。在本书案例收集过程中得到了各地银监局和有关银行机构的大力支持,特别是**_*、**_*、**_*、**_*、**_*、**_*、**_*、*_**还直接派员参与了本书不同阶段的编写工作,在此一并致谢。

由于时间匆促,加之编者水平有限,书中难免有疏漏和不足之处,敬请读者批评指正。

编 者

二0一0年八月

[文章尾部最后500字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《商业银行科技风险案例63条》的无排版文字预览,完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的,下载的文档就是什么样的。

图片预览