PDF《and its Prevention》

对 重要电子凭证、基码及密码保管不当,导致不法分子 借此窃取客户数据、重要电子凭证、基码、软件及密 码以从事不法活动. 5) 银行的操作人员、 软件人员等通过某些技术手 段和本身拥有的权限,对账户进行修改,进行盗用客户 资金或者套取银行利息等违规行为.这种手段具有极 大的隐蔽性,给银行带来的损失也是巨大的. 3.3 网络漏洞引发交易风险 1) 网上银行主机与中心主机间数据的传送加密不 够,导致不法分子或金融机构内部人员窃取以明码方 式传送于网上银行主机及中心主机间的客户网上银行 交易密码,或篡改转账交易数据封包. 2)Internet/Extranet/modems未严禁开放主机拨接 功能;

未订定系统安全策略、未利用网址转换(NAT) 技术隐藏内部终端/服务主机的IP地址;

未严禁透过 Internet联机维护主机数据;

未利用防火墙反诈骗及反 攻击技术防止各种入侵手段;

未利用网上扫瞄等网上 侦测工具程序扫描异常网段,导致不法分子、金融机 构内部人员或黑客透过拨接直接进入主机或利用维护 主机系统的特定网页,进入主机修改数据及开放不必 要的服务功能.

4 网络银行交易技术风险的防范 针对上述网络银行交易层面技术风险的隐患,相 关主体可以有针对性地采取如下风险防范对策. 4.1 客户自身增强风险防范意识并进行规范化操 作 客户在开通网上交易功能并进行网上交易之前, 应该全面了解相关权利义务、操作流程和正确的操作 方法,采取必要的保密技术和手段,时刻警惕不法分 子通过 网络钓鱼 、木马病毒等手段盗取银行账户信 息.金融机构应提供客户网上银行业务或服务的详细 操作说明文件,对客户权益、信息安全及隐密性等注 意事项,应以书面且较醒目的方式告知客户注意.鼓 励客户使用网上银行 专业版 , 它是一种基于PKI的证 书机制,能够做到网上真实身份的认证和抗否认的数 字签名,及数据的完整性和保密性. 4.2 金融机构加强自身系统和内控制度建设 4.2.1 强化网络银行信息设备安全管理 1) 电子转账、 交易性指示等金融交易讯息或电子 文件传输,应确认符合来源辨识性、讯息隐密性、完 整性、不可重复性、不可否认传输讯息等设计,应用 程序设计应避免产生缓冲区溢位系统漏洞,以免遭人 利用附加不当指令窃取数据. 2)网关(Gateway)系统建置或变更通讯等转换内 容,应建立符合内控原则的控管程序;

对异常进出网 关的事件应留存记录备查;

对重大异常状况应建立警 示机制及追踪管理措施. 3) 信息部门负责网上银行信息系统软、 硬设备维 护的职务应有适当分工,其建置与变更应妥善控管, 并留存可供追踪查核的审核日志. 4) 加强计算机机房门禁, 涉及储存客户数据的设 备应严........