电子银行风险总结.doc

客户信息泄露风险较为突出 一是银行卡业务处理环节信息泄露问题，如由于工作需要，部分银行将客户信息存储于普通办公计算机设备，在接入互联网、报废和维修等阶段，敏感信息缺乏有效的安全控制，存在客户信息泄露的风险。 二是磁条银行卡安全性问题。目前国内银行卡科技含量不高，致使犯罪的技术门槛较低，在ATM中安装数据采集装置实施犯罪的案件频发。 三是自助银行终端信息安全管理不力。部分银行没有采取严格的终端控制策略，自助终端无法有效监控信息存取操作，可随意拷贝设备内的文件，同时机接插件（如网络接口和模块）缺乏安全保护，如某银行网银自助服务体验区计算机设备采用内部办公的地址访问互联网，不仅可以使用移动存储设备，还能够访问该行的内部敏感网络，同时设备还可任意执行程序代码。 四是外包服务管控不严。部分银行在外包服务人员进行自助设备维护操作时，未实施现场监督，对于其存取的数据也未进行登记和交接。 3.业务处理不规范 一是银行卡受理环节存在违规行为，如在信用卡办理过程中，银行工作人员迫于营销任务压力，委托熟人和第三方人员办理信用卡申请，甚至直接盗用客户开户信息办理信用卡业务，通过夹带方式，诱使客户鉴署无关的业务协议等。二是特约商户缺乏有效管控。部分银行在拓展特约商户时，轻视对商户的资信审查，未制定特约商户定期回访机制或回访机制流于形式等。三是自助设备管理制度执行不严，如部分银行自助设备管理人员未定期轮岗，自助设备密码、钥匙由同一人保管，未施行平行交接，存在在设备维护中擅离职守等问题。 4.安全防范措施不到位 一是重数据中心风险管理、轻分支机构和终端设备安全管理。电子银行业务的特征，决定了风险控制的界面在客户端、网点端、用户端。目前，各行多采取业务集中处理的模式，数据中心安全得到了普遍重视，但对于分支机构安全管理的措施和要求不够严格，加之分支机构自身安全意识普遍较低，导致在安全管理方面投入资源不足。 例如，没有建立覆盖每个网点的信息安全员管理制度，缺乏对各类终端设备定期安全检查的制度性安排，没有对客户信息采取严格的技术管理措施。二是电子银行设备安全监控措施形同虚设。部分银行离行式ATM，由于传输线路不通畅，监控措施不能发挥其监控预警功能；网银系统虽然部署了防火墙、IDS等安全技术设施，但日志分析、风险评估等流于形式。三是特约商户的交易终端设备安全问题突出。 尤其是POS设备的防信息窃取的控制、外挂刷卡设备的安全控制和POS机具外包服务的安全控制措施等。四是业务系统测试不足。 2006年广州发生的许霆案就是测试不足所导致的典型例子。近期某银行在实施商户POS系统项目建设中，由于加密测试不到位也导致业务运行缓慢。 5.电子银行缺乏必要的法律保障 由于网络经济和电子银行是一个全新的领域，具有不同于传统银行业务活动的特殊性，与传统的法律制度、社会规则之间必然发生冲突。我国现处于经济转型期，法制不够健全，假冒伪劣商品时有出现，服务水平较为低下，消费者权益往往得不到充分保护。特别是在电子支付安全方面，隐私权保护、电子签名、商业合同认证、纠纷调解、网上打假等问题的解决还缺乏相应的法律保障。由于缺乏相关的法律，问题出现后涉及责任认定、承担、仲裁结果的执行等复杂的法律关系，增加了银行和客户在网上进行金融交易的风险。 三、防范电子银行业务风险的对策和建议 1.建立风险机制 一是建立专业化的电子银行风险防控机制，形成从业务处理到技术防范的集成化风险管控组织，负责对电子银行风险控制措施的研究、制定和落实。二是建立跨行风险管控机制，落实专门的监督协调机构，负责制定整体标准和规范并实施相关利益方的权利维护和监督管理。三是建立全行业的风险预警机制，广泛收集电子银行风险信息，根据特殊时期、特定范围、特别领域的风险预警信息，制定风险控制强化措施。 2.控制风险源头 一是强化合规建设。各银行要加强业务合规、风险控制是根本保证的意识教育，加强业务合规性的监督检查。二是强化客户信息保护。要求业务各个层面的工作人员加强客户信息保护，并经常性开展客户信息保护工作的监督检查。三是强化电子银行设备安全管理。监管部门要加强对银行、特约商户和客户的信息安全教育，加强自助银行、POS安全管理的监督检查，特别是在发展特约商户时，要将商户的安全管理要求落实在资信调查和定期回访工作中。 3.堵塞风险漏洞 一是要推进银行卡安全技术的研发与应用，解决当前银行卡技术风险，提高用卡安全性。二是要加强对特种设备生产、销售和回收厂商的监督和管理。提高设备的防伪造、防仿制和防破解水平，提高实施犯罪的技术门槛。三是要推动对电子银行业务系统和管理流程的安全评估。强化业务流程